junio 03, 2016

Windows 10 DDoS?

Últimamente hemos escuchado muchas cosas paranoicas de Windows 10. Que es una aspiradora de datos personales y los envía a los servers de Microsoft, que te vigila más que la NSA, etc, etc. 
Hace poco más de un mes, Fernando Vesga, reconocido consultor IT, publicó un reporte para el grupo de Seguridad Informática Latinoamérica de Linkedin que hizo saltar las alarmas y de cierta manera echó más leña al fuego a este debate, ya que puso al descubierto la enorme cantidad de conexiones que realiza Windows 10 con los servidores de Microsoft, a diferencia de Windows 7.
Pero como siempre, hay que meter el dedo en la llaga y decidimos echar un vistazo. Montamos una VM con Windows 10 v1511 a secas, o sea, sin otra cosa que no fuese el sistema operativo y le asignamos la ip 192.168.1.29
Del otro lado, instalamos un servidor Ubuntu 16.04 LTS x64 con GateProxy y la ip 192.168.1.10, el cual contiene el archiconocido script DDos Deflate (modificado) y como se ejecuta en el cron cada minuto, interactuamos un poco con la VM y esperamos....
Y al poco tiempo, revisamos el log y nuestros ojos no daban crédito a lo que veían...
BANNED: 192.168.1.29 with 1440 connections????
Debe haber un error. Verificamos con:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Y el resultado fue muy similar. Todas las ips de Microsoft a las que se conectaba Windows 10, superaban el límite por default de 70 conexiones por minuto.
Entonces revisamos los logs de Squid y pudimos constatar que las urls no solo eran las mismas que señala el reporte de Linkedin, sino que la lista aumentó dramáticamente. Si esto no fuera un test, cualquiera creería que se trata de un Ataque DDoS.
Conclusión: 
Para aquellos que aún defienden a Windows 10 por encima de sus antecesores, solo tenemos una respuesta: "Cuando el río suena, es porque piedras trae".

Lista parcial de direcciones de Microsoft capturadas durante varias pruebas.
# DNS
.dspg.akamaiedge.net
.g.akamaiedge.net
.msftncsi.com
.ipv6.msftncsi.com
.dns.msftncsi.com
.win10.ipv6.microsoft.com
.win10.ipv6.microsoft.com.nsatc.net
.spynet2.microsoft.com
# DOMAINS
.analytics.microsoft.com
.account.microsoft.com
.choice.microsoft.com
.dlservice.microsoft.com
.care.dlservice.microsoft.com
.dlws.microsoft.com
.feedback.search.microsoft.com
.glbdns2.microsoft.com
.glbdns.microsoft.com
.c.perf.glbdns.microsoft.com
.logging.windows.microsoft.com
.rad.microsoft.com
.technet.microsoft.com
.webtrends.com
.c.webtrends.com
.smartscreen.microsoft.com
.social.microsoft.com
.spynettest.microsoft.com
.store.microsoft.com
.sts.microsoft.com
.survey.watson.microsoft.com
.office15client.microsoft.com
.officeclient.microsoft.com
.urs.microsoft.com
.c.urs.microsoft.com
.sci1-1.am.microsoft.com
.sci2-1.am.microsoft.com
.microsoft.org
.microsoft.com
.microsoft.net
.microsoftstore.com
.sqm.microsoft.com
.crl.microsoft.com
.mscrl.microsoft.com
.metaservices.microsoft.com
.redir.metaservices.microsoft.com
.dmd.metaservices.microsoft.com
.dmd.metaservices.microsoft.com.akadns.net
.download.dmd.metaservices.microsoft.com
.secure.aadcdn.microsoftonline-p.com
.api.bing.com
.a.bing.com
.b.bing.com
.c.bing.com
.d.bing.com
.e.bing.com
.f.bing.com
.g.bing.com
.h.bing.com
.i.bing.com
.j.bing.com
.k.bing.com
.l.bing.com
.m.bing.com
.n.bing.com
.o.bing.com
.p.bing.com
.q.bing.com
.r.bing.com
.s.bing.com
.t.bing.com
.u.bing.com
.v.bing.com
.w.bing.com
.x.bing.com
.y.bing.com
.z.bing.com
.dps.bing.com
.bing.net
.bing.com
.bingbar.com
.weather.tile.appex.bing.com
.officeapps.live.com
.odc.officeapps.live.com
.roaming.officeapps.live.com
.cdn.odc.officeapps.live.com
.nexus.officeapps.live.com
.nexusrules.officeapps.live.com
.prod.nexusrules.live.com.akadns.net
.prod-w.nexus.live.com.akadns.net
.secure.shared.live.com
.shared.live.com
.onedrive.live.com
.storage.live.com
.byfiles.storage.live.com
.users.storage.live.com
.a-0001.a-msedge.net
.a-0002.a-msedge.net
.a-0003.a-msedge.net
.a-0004.a-msedge.net
.a-0005.a-msedge.net
.a-0006.a-msedge.net
.a-0007.a-msedge.net
.a-0008.a-msedge.net
.a-0009.a-msedge.net
.a-0010.a-msedge.net
.a-0011.a-msedge.net
.a-0012.a-msedge.net
.a-0013.a-msedge.net
.a-0014.a-msedge.net
.a-0015.a-msedge.net
.a-0016.a-msedge.net
.a-0017.a-msedge.net
.a-0018.a-msedge.net
.a-0019.a-msedge.net
.secure-nym.adnxs.com
.gfx.ms
.auth.gfx.ms
.a.gfx.ms
.sfx.ms
.oneclient.sfx.ms
.afx.ms
.outlook.hs.llnwd.net
.internetexplorer.com
.internetexplorer.co
.ie8.co
.microsoftwindowsupdate.net
.windowsupdate.microsoft.com
.windowsmedia.com
.images.windowsmedia.com
.update.microsoft.com
.fe1.update.microsoft.com
.fe2.update.microsoft.com
.statsfe1.update.microsoft.com
.statsfe2.update.microsoft.com
.search.microsoft.com
.research.microsoft.com
.msdn.microsoft.com
.messenger.microsoft.com
.c1.microsoft.com
.data.microsoft.com
.download.microsoft.com
.genuine.microsoft.com
.definitionupdates.microsoft.com
.wer.microsoft.com
.spynet2.microsoft.com
.iecvlist.microsoft.com
.core.windows.net
.redirection.prod.cms.msn.com
.cdn.content.prod.cms.msn.com
.cdn.content.prod.cms.msn.com.edgesuite.net
.wac.edgecastcdn.net
.wildcard.s-msn.com.edgekey.net
.wildcard.appex-rf.msn.com.edgesuite.net
.es-es.appex-rf.msn.com
.flex.msn.com
.h2.msn.com
.h6.msn.com
.msn.com
.s-msn.com
.c.msn.com
.otf.msn.com
.rad.msn.com
.video.msn.com
.widgets.video.msn.com
.contacts.msn.com
.signup.msn.com
.arc.msn.com
.arc.msn.com.nsatc.net
.img.s-msn.com
.img-s-msn-com.akamaized.net
.static-hp-eus.s-msn.com
.toolbar.search.msn.com.akadns.net
.blufiles.storage.msn.com
.skydrive.com
.skydrive.co
.onedrive.com
.onedrive.net
.onedrive.org
.onedrive.co
.metrics.skype.com
.static.asm.skype.com
.swx.cdn.skype.com
.clientlogin.cdn.skype.com
.registrar.skype.com
.prod.tpc.skype.com
.prod.registrar.skype.com
.web.skype.com
.edge.skype.com
.go.skype.com
.secure.skype.com
.login.skype.com
.ui.skype.com
.lw.skype.com
.login.skype-apps.akadns.net
.conn.skype.com
.download.skype.com
.apps.skype.com
.apps.skypeassets.com
.secure.skypeassets.com
.static-asm.secure.skypeassets.com
.static.skypeassets.com
.a.config.skype.com
.b.config.skype.com
.api.skype.com
.api.mcr.skype.com
.rstwh.skype-cr.akadns.net
.conn.skype.akadns.net
.clientapi.skype.akadns.net
.get.skype.akadns.net
.forum.skype.com
.kes.skype.com
.contacts.skype.com
.api.asm.skype.com
.urlp.asm.skype.com
.csp.skype.com
.pipe.skype.com
.community.skype.com
.support.skype.com
.pipe.prd.skypedata.akadns.net
.by2.skype.msnmessenger.msn.com.akadns.net
.bn2.skype.msnmessenger.msn.com.akadns.net
.bay-client-s.gateway.messenger.msnmessenger.msn.com.akadns.net
.dsn0.skype-dsn.akadns.net
.dsn1.skype-dsn.akadns.net
.dsn2.skype-dsn.akadns.net
.dsn3.skype-dsn.akadns.net
.dsn4.skype-dsn.akadns.net
.dsn5.skype-dsn.akadns.net
.dsn6.skype-dsn.akadns.net
.dsn7.skype-dsn.akadns.net
.dsn8.skype-dsn.akadns.net
.dsn9.skype-dsn.akadns.net
.dsn10.skype-dsn.akadns.net
.dsn11.skype-dsn.akadns.net
.dsn12.skype-dsn.akadns.net
.dsn13.skype-dsn.akadns.net
.dsn14.skype-dsn.akadns.net
.dsn15.skype-dsn.akadns.net
.dsn16.skype-dsn.akadns.net
.msecnd.net
.vo.msecnd.net
.cs1.wpc.v0cdn.net
.cs2.wpc.v0cdn.net
.cs3.wpc.v0cdn.net
.cs4.wpc.v0cdn.net
.cs5.wpc.v0cdn.net
.cs6.wpc.v0cdn.net
.cs7.wpc.v0cdn.net
.cs8.wpc.v0cdn.net
.cs9.wpc.v0cdn.net
.cs10.wpc.v0cdn.net
.cs11.wpc.v0cdn.net
.cs12.wpc.v0cdn.net
.cs13.wpc.v0cdn.net
.cs14.wpc.v0cdn.net
.cs15.wpc.v0cdn.net
.cs16.wpc.v0cdn.net
.cs17.wpc.v0cdn.net
.cs18.wpc.v0cdn.net
.cs19.wpc.v0cdn.net
.cs20.wpc.v0cdn.net
.skype.com
.skype.org
.skype.net
.api.trap.skype.net
.skype.co.uk
.skype.co
.skype.eu
.aspnetcdn.com
.ajax.aspnetcdn.com
.outlook.com
.eas.outlook.com
.xsi.outlook.com
.outlook.org
.outlook.co
.windowsupdate.com
.download.windowsupdate.com
.ctldl.windowsupdate.com
.ds.download.windowsupdate.com
.au.download.windowsupdate.com
.windows.microsoft.com
.windows.net
.windows.com
.client.wns.windows.com
.bn3sch020010527.wns.windows.com
.bn3sch020010528.wns.windows.com
.bn3sch020010529.wns.windows.com
.bn3sch020010530.wns.windows.com
.bn3sch020010531.wns.windows.com
.bn3sch020010532.wns.windows.com
.bn3sch020010533.wns.windows.com
.bn3sch020010534.wns.windows.com
.bn3sch020010535.wns.windows.com
.bn3sch020010536.wns.windows.com
.bn3sch020010537.wns.windows.com
.bn3sch020010538.wns.windows.com
.bn3sch020010539.wns.windows.com
.bn3sch020010540.wns.windows.com
.bn3sch020010541.wns.windows.com
.bn3sch020010542.wns.windows.com
.bn3sch020010543.wns.windows.com
.bn3sch020010544.wns.windows.com
.bn3sch020010545.wns.windows.com
.bn3sch020010546.wns.windows.com
.bn3sch020010547.wns.windows.com
.bn3sch020010548.wns.windows.com
.bn3sch020010549.wns.windows.com
.bn3sch020010550.wns.windows.com
.bn3sch020010551.wns.windows.com
.bn3sch020010552.wns.windows.com
.bn3sch020010553.wns.windows.com
.bn3sch020010554.wns.windows.com
.bn3sch020010555.wns.windows.com
.bn3sch020010556.wns.windows.com
.bn3sch020010557.wns.windows.com
.bn3sch020010558.wns.windows.com
.bn3sch020010559.wns.windows.com
.bn3sch020010560.wns.windows.com
.bn3sch020010626.wns.windows.com
.bn3sch020010627.wns.windows.com
.bn3sch020010628.wns.windows.com
.bn3sch020010629.wns.windows.com
.bn3sch020010630.wns.windows.com
.bn3sch020010631.wns.windows.com
.bn3sch020010632.wns.windows.com
.bn3sch020010633.wns.windows.com
.bn3sch020010634.wns.windows.com
.bn3sch020010635.wns.windows.com
.bn3sch020010636.wns.windows.com
.bn3sch020010637.wns.windows.com
.bn3sch020010638.wns.windows.com
.bn3sch020010639.wns.windows.com
.bn3sch020010640.wns.windows.com
.bn3sch020010641.wns.windows.com
.bn3sch020010642.wns.windows.com
.bn3sch020010643.wns.windows.com
.bn3sch020010644.wns.windows.com
.bn3sch020010645.wns.windows.com
.bn3sch020010646.wns.windows.com
.bn3sch020010647.wns.windows.com
.bn3sch020010648.wns.windows.com
.bn3sch020010649.wns.windows.com
.bn3sch020010650.wns.windows.com
.bn3sch020010651.wns.windows.com
.bn3sch020010652.wns.windows.com
.bn3sch020010653.wns.windows.com
.bn3sch020010654.wns.windows.com
.bn3sch020010655.wns.windows.com
.bn3sch020010656.wns.windows.com
.bn3sch020010657.wns.windows.com
.bn3sch020010658.wns.windows.com
.bn3sch020010659.wns.windows.com
.bn3sch020010660.wns.windows.com
.bn3sch020011549.wns.windows.com
.bn3sch020011550.wns.windows.com
.bn3sch020011551.wns.windows.com
.bn3sch020011552.wns.windows.com
.bn3sch020011820.wns.windows.com
.bn3sch020011821.wns.windows.com
.bn3sch020011822.wns.windows.com
.bn3sch020011823.wns.windows.com
.bn3sch020011824.wns.windows.com
.bn3sch020011825.wns.windows.com
.bn3sch020011826.wns.windows.com
.bn3sch020012849.wns.windows.com
.bn3sch020012850.wns.windows.com
.bn3sch020012851.wns.windows.com
.bn3sch020012852.wns.windows.com
.bn3sch020020359.wns.windows.com
.bn3sch020020818.wns.windows.com
.bn3sch020021553.wns.windows.com
.bn3sch020021756.wns.windows.com
.bn3sch020021831.wns.windows.com
.bn3sch020021836.wns.windows.com
.bn3sch020021840.wns.windows.com
.bn3sch020021843.wns.windows.com
.bn3sch020022323.wns.windows.com
.bn3sch020022326.wns.windows.com
.bn3sch020022328.wns.windows.com
.bn3sch020022329.wns.windows.com
.bn3sch020022335.wns.windows.com
.bn3sch020022339.wns.windows.com
.bn3sch020022340.wns.windows.com
.co2sch010011118.wns.windows.com
.co2sch010011134.wns.windows.com
.co2sch010011420.wns.windows.com
.co2sch010011442.wns.windows.com
.co2sch010011158.wns.windows.com
.office365.com
.outlook-namsouth3.office365.com
.outlook.office365.com
.live-namsouth.office365.com
.r1.res.office365.com
.r2.res.office365.com
.r3.res.office365.com
.store.office.com
.support.office.com
.officecdn.microsoft.com
.office.com
.office.net
.office.microsoft.com
.appsforoffice.microsoft.com
.ws.microsoft.com
.fe2.ws.microsoft.com
.bg.v4.emdl.ws.microsoft.com
.statsfe1.ws.microsoft.com
.usr.microsoft.com
.go.microsoft.com
.go.microsoft.com.edgekey.net
.support.microsoft.com
.diagnostics.support.microsoft.com
.watson.microsoft.com
.mobile.pipe.aria.microsoft.com
.browser.pipe.aria.microsoft.com
.wscont.apps.microsoft.com
.liveperson.net
.blob.bl2prdstr03a.store.core.windows.net
.ib.anycast.adnxs.com
.gum.criteo.com
.bn2wns1.wns.windows.com
.bn2wns1b.wns.windows.com 
.dmd.metaservices.microsoft.com.akadns.net
.tsfe.tsws.mp.microsoft.com.nsatc.net
.licensing.mp.microsoft.com
.displaycatalog.mp.microsoft.com
.geover-prod.do.dsp.mp.microsoft.com
.geo-prod.do.dsp.mp.microsoft.com
.cp201-prod.do.dsp.mp.microsoft.com
.tsfe.trafficshaping.dsp.mp.microsoft.com
.tsfe.tsws.mp.microsoft.com.nsatc.net
.kv201-prod.do.dsp.mp.microsoft.com
.prod.do.dsp.mp.microsoft.com.edgekey.net
.cy2.displaycatalog.md.mp.microsoft.com.akadns.net
.licensing.md.mp.microsoft.com
.licensing.md.mp.microsoft.com.akadns.net
.licensing-uswest.md.mp.microsoft.com.akadns.net
.cy2.licensing.md.mp.microsoft.com.akadns.net
.livetileedge.dsx.mp.microsoft.com
.dl.delivery.mp.microsoft.com
.tlu.dl.delivery.mp.microsoft.com
.fe3.delivery.mp.microsoft.com
.sls.update.microsoft.com
.sls.update.microsoft.com.nsatc.net
.vortex-win.data.microsoft.com
.vortex.data.microsoft.com
.v10.vortex-win.data.microsoft.com
.v10.vortex-win.data.metron.live.com.nsatc.net
.vortex-bn2.metron.live.com.nsatc.net
.onesettings-bn2.metron.live.com.nsatc.net
.vortex.data.glbdns2.microsoft.com
.vortex-sandbox.data.microsoft.com
.settings-win.data.microsoft.com
.settings.data.glbdns2.microsoft.com
.settings-sandbox.data.microsoft.com
.ms.akadns.net
.crl.www.ms.akadns.net
.xboxlive.com
.livemeeting.com
.omniroot.com
.crl.omniroot.com
.assg142.crl.omniroot.com
.g142.ocsp.omniroot.com
.vpscs142.ocsp.omniroot.com
.portal.omniroot.com
.vpscs142.crl.omniroot.com
.cadmin.omniroot.com
.cassg141.ocsp.omniroot.com
.vassg121.ocsp.omniroot.com
.vassg141.ocsp.omniroot.com
.vassg141.ocsp.omniroot.com
.vassg142.ocsp.omniroot.com
.vassg142.crl.omniroot.com
.1drv.com
.files.1drv.com
.oem.twimg.com
.wildcard.twimg.com
.weather.microsoft.com
.wildcard.weather.microsoft.com.edgekey.net
.tile-service.weather.microsoft.com
Maravento, Actualizado en: 18:17
Escrito por: Maravento Studio
 
© 2017 Maravento. All Rights Reserved | Powered by Maravento
Design by Novatoz and Maravento | Bloggerized By LawnyDesignz
# https://github.com/google/code-prettify