USB Attacks

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Empieza el Lunes y empezaré la semana contando las últimas vulnerabilidades detectadas, y continuaré exponiendo algunas historias que me han llamado la atención referentes a temas de seguridad.

En primer lugar es de destacar el lanzamiento de Mozilla Firefox 14 donde se han corregido siete vulnerabilidades críticas, además de incorporar mejoras como la búsqueda mediante HTTPS utilizando el buscador de Google y la compatibilidad con tablets, además han sido lanzadas las actualizaciones de Oracle que corrigen 90 vulnerabilidades, mientras que otras vulnerabilidades encontradas han sido los cross-site scripting en los productos VPN SSL de Barracuda.

Todo el que esté inmerso en temas de seguridad conocerá que se está celebrando la Black Hat USA y las DEFCON 20 donde en breve podremos ver los vídeos de las demostraciones realizadas por grandes y reconocidos investigadores de la seguridad informática, así que todo el que esté por allí, siempre se le aconseja que no utilice dispositivos electrónicos no sea que se lleven un “regalito” para casa.

CONCIENCIACIÓN, FORMACIÓN Y CAPACITACIÓN EN SEGURIDAD DE LA INFORMACIÓN

Además también tengo que destacar la gran campaña de spam y phishing que se está realizando en estas fechas por motivo de los juegos olímpicos celebrados en Londres, donde hay que prestar especial atención a todos los correos que tengan enlaces o nos dirijan a páginas web que podrían estar infectadas, por tanto se recomienda visitar tan solo páginas confiables sobre los juegos olímpicos. Hablando de spam, es importante reflejar la importante labor llevada a cabo por Kaspersky Lab y Seculert donde han desarticulado una botnet llamada Madi iniciada por correos spam que tenían adjunto un documento en formato PowerPoint, esta botnet iba dirigida a Oriente Medio y más concretamente a personas que trabajan en proyectos de infraestructuras críticas iraníes e israelíes, instituciones financieras de Israel, estudiantes de ingeniería y varias agencias gubernamentales de Oriente Medio.

No quería dejar pasar este post sin escribir sobre ataques dirigidos que utilizan dispositivos USB, cada vez es más común utilizar una memoria USB para realizar un ataque, de tal modo que es tan sencillo como dejar el USB cercano al lugar de estacionamiento del empleado o cualquier otro lugar donde el empleado o ejecutivo pueda verlo, normalmente una persona cuando se encuentra una memoria USB lo primero que hace es enchufarlo en el equipo para ver exactamente qué tiene el juguetito que se ha encontrado, de esta manera el atacante se saltaría la seguridad perimetral de la organización y el equipo destino quedaría infectado. Este fue el inicio del ataque por el malware Stuxnet utilizado en el famoso sabotaje de los sensores que medían las centrífugas de la central nuclear Iraní, y esta vez se ha utilizado el mismo método de ataque contra una compañía holandesa, donde gracias a la concienciación en materia de seguridad de los empleados el ataque no ha tenido éxito, ya que un empleado dio la voz de alarma al Centro de Seguridad de la organización y rápidamente se analizó el malware que portaba la memoria USB, por tanto se denegó todos los acceso hacia los servidores donde los atacantes iban a guardar la información robada. Una vez más, vemos la importancia de que los empleados de las organizaciones están debidamente concienciados en materias de seguridad.

SEGURIDAD FÍSICA Y AMBIENTAL

Una noticia que me ha llamado la atención es la capacidad que ha tenido un consultor en seguridad de fabricar llaves de esposas utilizando impresoras 3D, esta hazaña ha sido demostrada en una conferencia donde imprimieron una llave y lograron abrir las esposas, así que mediante cámaras ubicadas estratégicamente se podría traducir las imágenes de las “cosas”, en este caso llaves, a formato 3D para luego imprimirlas, por tanto, intuyo que en un futuro en las políticas de seguridad de las organizaciones, no solo vamos a tener que cambiar las contraseñas cada cierto tiempo, sino también las cerraduras.

CUMPLIMIENTO

Por último, otra noticia interesante ha sido el caso de espionaje industrial a Samsung por parte de LG, donde Samsung acusa a ejecutivos y empleados de LG por robar información sobre sus pantalla OLED, en cambio LG insiste en que ellos no han robado información confidencial a Samsung, ya que sus pantallas de LED utilizan otra tecnología completamente diferente para fabricar sus pantallas. Una vez más, vemos la importancia de emplear herramientas contra la fuga de información, además de hacer firmar acuerdos de confidencialidad a los empleados para no tener pérdidas millonarias debido a una fuga de información por parte de un empleado descontento o posibles sobornos. Recientemente un estudio realizado por Iron Mountain confirma que el 51% de los europeos se llevan datos de la empresa a casa ya que la mayoría de los empleados consideran como suyos los datos de la empresa, además la mayoría de las empresas no ponen los medios necesarios para evitar este problema.

Saludos.

A un paso de MCITP

Esta semana la he aprovechado para continuar con el curso que empecé a principio de año sobre Microsoft Windows Server 2008 en la academia InfoGuadiana. Para obtener la certificación MCITP tan deseada por muchos administradores de sistemas que luchan con Windows Server diariamente, es necesario aprobar al menos los tres exámenes siguientes:

• 70-642: Windows Server 2008 Network Infrastructure, Configuring
• 70-640: Windows Server 2008 Active Directory, Configuring
• 70-646: Windows Server 2008, Server Administrator

Ya tengo aprobado los dos primeros y esta semana comenzaré a estudiar para intentar presentarme al último examen antes de que acabe el verano y por fin obtener la certificación. Al estudiar este segundo examen sobre Active Directory he aprendido muchas cosas que desconocía, como la utilización de Active Directory Federation Services o Active Directory Rights Management Service, además de estos dos servicios que me han llamado la atención, tengo que reconocer que con Active Directory podemos controlar con mucho detalle cada equipo o usuario. De modo resumido mediante el servicio de Federación de Identidades podemos dar permisos a una empresa para que utilice los recursos de nuestra red autenticándose con los usuarios definidos en su Active Directory, mientras que con Rights Management Service podemos integrarlo con el paquete Office de Microsoft para limitar las acciones que pueden realizar los usuarios con los documentos.

Abandonando la parte de sistemas operativos, seguiré hablando sobre las últimas vulnerabilidades encontradas en la semana, donde hay que destacar las vulnerabilidades de nivel alto encontradas en Cisco TelePresence, Oracle MySQL y múltiples vulnerabilidades encontradas en el Gestor de Autenticación RSA. Como todos sabemos, Microsoft lanzó nueve boletines de seguridad en el mes de Julio y dos avisos importantes, mientras que tres de los boletines son críticos, así que no debemos olvidar que hay que actualizar los equipos. También es de destacar la vulnerabilidad encontrada en el Panel de Parallels Plesk muy utilizado en los servidores de hosting donde se sospecha que los hackers están vendiendo exploits para hacerse con la contraseña maestra y así controlar el sitio afectado. Además los hackers continúan publicando vulnerabilidades de Java para permitir ejecutar código malicioso en diferentes sistemas operativos, incluso ha sido añadido en el kit de herramientas Black Hole el exploit para explotar dicha vulnerabilidad (CVE-2012-1723), lo que permite a los script kiddies aprovechar estas herramientas y hacer “daño” a los usuarios que no tengan actualizados sus sistemas.

Dejando el tema de las vulnerabilidades, es de destacar la orden ejecutiva firmada en EEUU por el presidente Obama donde las administraciones podrán controlar todas las comunicaciones privadas, incluidas las comunicaciones por Internet, tras una alarma o evento de seguridad, por tanto el primer paso que darán es elaborar un plan de cómo se controlará las comunicaciones en el caso que sea necesario, así que un vez publicado dicho plan, las organizaciones privadas deberán adaptar sus procedimientos al plan elaborado por el gobierno. Este tema ha sido muy debatido y criticado durante mucho tiempo debido a que podrán romper la privacidad de los usuarios, ya que hasta ahora tan sólo podían “solicitar” ayuda a las empresas de telecomunicaciones ante un posible problema de seguridad. ¿Os imagináis que esto sucede en España, donde el gobierno pueda “ver” con quién os comunicáis y para qué? Como siempre, seguirá siendo un debate.

Al hilo de lo anterior, ¿os habéis parado a pensar la cantidad de recursos necesarios que las organizaciones deben poner a disposición de los usuarios y del gobierno para cumplir la legislación? Como se puede ver en el siguiente link, Google ha puesto a disposición de los usuarios un informe de transparencia donde podemos ver la cantidad de solicitudes de retirada de contenidos, solicitudes de datos de usuarios, e incluso la cantidad de tráfico en tiempo real, y todo ello para cumplir la legislación aplicable. Otro ejemplo, es la cantidad de solicitudes, cerca de 1,3 Millones, que el gobierno ha solicitado a los proveedores inalámbricos, donde estas peticiones deben ser servidas dentro de unos plazos razonables y por tanto las empresas de telecomunicaciones tienen personas exclusivamente dedicadas a proporcionar la información solicitada al gobierno, usuarios, etc, y todo ello para que no les pase igual que a algunos bancos que han descuidado la seguridad y han recibido ataques con pérdidas millonarias.

Saludos.

La Seguridad en los Bancos

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
 
Como cada Lunes voy a comenzar hablando de las vulnerabilidades publicadas en la última semana, donde hemos visto que han aparecido vulnerabilidades de las librerías de PHP, la mayoría muy utilizadas en servicios web, además de VideoLAN VLC, WordPress, EMC RSA Access Manager, HP Network Node Manager, HP Data Protector Express y F5 Big-IP.

El Lunes pasado día 9 de Julio, fue apagado el servicio DNSChanger que fue utilizado por una gran cantidad de equipos infectados por un malware que hacía que los equipos de usuarios realizasen solicitudes DNS a dicho servidor, lo que hacía que los hackers pudiesen tener bastante información sobre qué tipo de webs y servicios utilizaban los usuarios para posteriormente poder realizar ataques de phising dirigidos y así poder “engañar” con mayor facilidad a las víctimas. Mientras que Microsoft lanzó su boletín de seguridad indicando que existen tres vulnerabilidades críticas de las nueves anunciadas, y entre ellas está la vulnerabilidad presentada en el anterior post sobre Microsoft XML Core Services, además de conocerse dos nuevas vulnerabilidades sobre Microsoft Internet Information Services FTP Server y Microsoft Internet Information Services.

PROTECCIÓN CONTRA CÓDIGO MALICIOSO Y DESCARGABLE

La semana pasada una pequeña empresa denunció a un conocido banco por la facilidad que tuvo un hacker de realizar transferencias desde sus ordenadores infectados con el troyano Zeus. Fue tan sencillo como infectar los equipos de los empleados de la pequeña empresa para obtener la identificación de usuario y contraseña, y así posteriormente comenzar a realizar transferencias, esto fue posible gracias a que el banco no realiza ningún tipo de autenticación de segundo factor para realizar dichas operaciones. Por tanto, desde mi punto de vista ambas partes tienen culpa por no securizar su información ni la de sus clientes, ya que la empresa realizando revisiones periódicas sobre el estado de los equipos y el banco implementando medidas de seguridad más robustas, hubieran evitado este robo, así que la lección sobre seguridad en este caso ha sido costosa y dolorosa para ambos. Aunque este tipo de robo cada vez es más usual, no me queda otra que recomendar a todas las personas que realizan transacciones financieras a través de Internet que estén alerta, instalando software antivirus en sus equipos y revisando el estado de sus cuentas con frecuencia para identificar el uso no autorizado.

Al hilo de lo anterior, el Centro de Análisis y Servicios Financieros y la Asociación de Banqueros de América publicaron resultados de los ataques recibidos, donde se comenta que aunque los ataques se producen cada vez con mayor frecuencia, las pérdidas registradas cada vez son menores, por lo que hay que darle la enhorabuena a las instituciones financieras por la gran labor y trabajo realizado para combatir el crimen cibernético organizado mediante métodos de autenticación y detección de actividades fraudulentas cada vez más sofisticadas. Además, los bancos cada vez colaboran más con empresas y usuarios implementando controles de seguridad para reducir estas amenazas.

CUMPLIMIENTO

En otro orden de cosas, aunque Julian Assange sigue con cargos, se conoce que WikiLeaks continúa con su labor de publicar información confidencial, en este caso se ha anunciado que se podría liberar cerca de 2,4 millones de correo del gobierno Sirio y de empresas que se comunicaron con los funcionarios, esto podría interrumpir comunicaciones sensibles y negociaciones del gobierno, además de interrumpir procesos de ventas y pérdida de confianza. Al igual que con todos los datos publicados hasta ahora por WikiLeaks, se piensa que la fuga de información ha sido realizada por las propias personas que trabajan en el gobierno y no por ningún tipo de malware o ataque, por tanto, una vez más, vemos la importancia de implementar medidas efectivas de fuga de información en las organizaciones. A raíz de esto, ¿tendrá que ver algo esta fuga de información con la debilidad de la contraseña del presidente Sirio?

Saludos.

Vulnerabilidades, Vulnerabilidades y más Vulnerabilidades??

Todas las personas que están en el mundo de la seguridad sabe y conoce que cada vez hay más sistemas y servicios al alcance de las personas y por tanto las compañías de desarrollo de software tienen que lanzar sus productos antes que la competencia, por tanto el incremento de bugs y agujeros de seguridad cada vez es mayor, ya que la mayoría de productos están a medio desarrollar y no suelen pasar controles de calidad ni seguridad.

Esto lo podemos ver en las últimas semanas ya que se ha alcanzado el nivel más alto de vulnerabilidades detectadas, ya sea en sistemas Linux como en Microsoft, además de lanzarse actualizaciones de seguridad de Symantec, Oracle, Google Chrome, IBM Lotus Notes, Apple Quicktime, Red Hat para Jboss, Adobe Flash, Cisco WebEx y SAP.

Además han sido publicados nuevos ataques contra los sistemas de tokens como el SecurID de RSA basados en los ataques anteriores pero reduciendo el tiempo necesario para comprometer la clave. Esto hace que haya muchas disputas entre los investigadores y desde el blog de RSA avisan que la probabilidad de realizar el ataque en un entorno real es muy poco probable.

Como he comentado al inicio, el número de vulnerabilidades detectadas cada vez es mayor, creciendo un 23% el número de vulnerabilidades con respecto al mismo periodo del año 2011. Lo que hace que las compañías tengan que dedicar cada vez más recursos a la gestión de vulnerabilidades para mantener los sistemas actualizados, además de que los usuarios cada vez tienen más obsoletos los equipos ya que no suelen aplicar las actualizaciones con regularidad.

Muchas de estas vulnerabilidades son explotadas con la llegada del verano y las vacaciones, ya que muchos ataques son lanzados por spammers que aprovechan estos días para enviar mensajes de agencias de viajes, hoteles y aerolíneas con documentos y enlaces que pueden comprometer a los usuarios, donde se aconseja a los usuarios que realicen sus reservas desde las webs oficiales.

En esta entrada quiero destacar una vulnerabilidad en Microsoft XML Core Services, publicada y reconocida por Microsoft, catalogada con riesgo alto, donde un atacante remoto no autenticado puede ejecutar código en el sistema de la víctima, muy fácil de explotar ya que con tan solo que el usuario visite una página web especialmente diseñada para explotar esta vulnerabilidad el atacante podría hacerse con el sistema de la víctima.

Un CIO no solo se tiene que preocupar por las vulnerabilidades que afecte a sus servicios sino por todo aquello que pueda afectar a su información, el que haya visto las noticias estas semanas habrá visto que la tormenta tropical Debby ha causado inundaciones, cortes de energía y mucho viento en EEUU donde compañías que no estaban preparadas han visto afectados sus servicios. Todos sabemos que es muy difícil predecir huracanes y tormentas, y por eso la mayoría de las compañías preocupadas por sus servicios y sus datos desarrollan planes de Disaster Recovery, donde pueden garantizar la disponibilidad de su servicio y sus datos. Hay destacar los problemas que han encontrado proveedores de Cloud como Amazon EC2 o servicios como Netflix, Pinterest o Instagram que no disponían de planes de Disaster Recovery y por tanto los usuarios no pudieron utilizar los servicios. Así que siempre es recomendable leer y exigir acuerdos de nivel de servicio a los proveedores, y en el caso que esto no sea posible, conocer la localización de nuestros datos o llegar a un acuerdo con el proveedor de Cloud para realizar un plan de Disaster Recovery.

Vulnerabilidades, seguridad física y … cumplimiento legal. Pues sí, los responsables de seguridad de la información deben tener un conocimiento amplio de todo aquello que puede afectar a los datos de la organización, entre ellos está también el cumplimiento legal. La semana pasada el departamento de salud del estado de Alaska fue multada con 1.7 millones de dólares por no proteger adecuadamente la información de los paciente. Esto es una muestra de que el gobierno de EEUU está incrementado los esfuerzos para que se cumpla la legislación de protección de datos, y así evitar el robo de información como el que sufrió la reconocida cadena de hoteles Wyndham donde le robaron más de 600 mil cuentas de tarjetas de crédito.

Así que para no extenderme más, para proteger la información de las organizaciones no sólo hay que tener en cuenta elementos técnicos como bugs, vulnerabilidades, exploit, etc sino que además se tiene que conocer todo lo que rodea, manipula o puede influir en la información de las organizaciones.

Saludos