Tu SGSI, Tu Seguridad

Como podéis observar he realizado algunos cambios en el blog, donde voy a intentar asociar cada una de las noticias que publico con los controles de la ISO 27001, de tal manera que voy a intentar plasmar un resumen de la noticia junto con el control al que estaría asociado según un Sistema de Gestión de la Seguridad (SGSI), porque como todos sabemos, todo lo que ocurre siempre se puede vincular a la Seguridad de la Información y por tanto hay que conocerlo y gestionarlo.

GESTIÓN DE LA VULNERABILIDAD TÉCNICA

Como bien sabemos la tarea de la Gestión de vulnerabilidades es una tarea laboriosa pero a la vez necesaria, y como siempre los fabricantes están ahí para lanzar las actualizaciones, los fabricantes de software están continuamente invirtiendo mucho tiempo y dinero para tener sus productos “sanos y salvo” de los malos, así que una vez más, no olvidéis realizar una correcta Gestión de vulnerabilidades y actualizar vuestros equipos. Esta semana ha sido publicada una actualización crítica de Adobe Flash Player que resuelve varias vulnerabilidades, entre ellas la ejecución de código malicioso y, por tanto, la posibilidad de que un atacante pueda tomar el control del equipo infectado, además de ser vulnerable a la revelación de información confidencial

Dejémonos de actualizaciones, ahora algo más emocionante, y es el ataque que ha sufrido la mayor compañía mundial de petróleo de Arabia Saudí llamada Saudi Aramco, donde según la compañía no ha sido afectado ninguno de los procesos críticos pero según los hackers han destruido el 75% de la información de los sistemas utilizando el malware Shamoon. Los hacktivistas dicen que el ataque ha sido debido a que la empresa energética está utilizando sus beneficios para atacar a personas inocentes y se puede ver que la web de la compañía (www.aramco.com) aún no está disponible. La lista de malware diseñados y utilizados contra el sector de la energía cada vez es más larga (Duqu, Stuxnet, Flame, Gauss y Shamoon) y en este caso el malware Shamoon se dedicaba a enviar información al atacante y posteriormente a borrar el disco duro junto a la partición MBR para que el equipo no pudiera volver a arrancar - Debido a la popularidad que están teniendo estos malware, ESET ha publicado en su blog la interconexión que existe entre Stuxnet, Duqu y Flame - Aún no se conoce cuál es el origen del ataque pero se comenta que los propios empleados pueden haber ayudado a que el ataque tuviese éxito, así que en este caso vemos la importancia de tener controlado cada acceso a los sistemas y la información, además de tener debidamente actualizado y monitorizados los sistemas. 

Aprovechando esta entrada voy a comentaros que existen herramientas muy útiles para realizar análisis de vulnerabilidades como puede ser OpenVAS o Nessus, mientras que para gestionar adecuadamente las actualizaciones de los sistemas Windows es muy útil disponer de un servidor WSUS (Windows Server Update Services).

PROTECCIÓN CONTRA CÓDIGO MALICIOSO Y DESCARGABLE

No olvidemos que la mayoría del malware se distribuye mediante correo electrónico, y este es el caso del conocido virus Reveton, donde nuevamente existe una campaña de spam por EEUU. Una vez instalado el virus Reveton en el equipo víctima, se solicita al usuario el ingreso de 200 dólares si no desea ser perseguido por el FBI, ya que se le acusa al usuario de pornografía infantil y contenido pirata. Aquí vemos la necesidad de concienciar a los usuarios de no realizar pagos mediante medios no seguros, además de tener debidamente actualizado los antivirus. Para los administradores de sistemas aquí os dejo un método muy sencillo para eliminar el virus, y ejemplos de imágenes que suele dejar este virus en los escritorios de los usuarios.

CONTROLES DE RED

Debido a que la red de redes (Internet) cada vez es más grande, y con la entrada de IPv6 crecerá mucho más, es casi imposible la localización del origen de un ataque mediante virus, malware o spam ya que para obtener la fuente del ataque es necesario analizar unas gran cantidad de sistemas, por este motivo un investigador suizo ha publicado un estudio donde ha implementado ciertos algoritmos que nos permiten conocer el origen del ataque analizando tan solo de un 10 a un 20% de los sistemas. Este estudio y estos algoritmos serán de gran utilidad para los fabricantes de software antivirus ya que permitirán detectar el origen de las infecciones con mayor antelación, además se podría utilizar los algoritmos para descubrir otros tipos de ataques como virus biológicos y epidemias. Según el SGSI, la utilización de estos algoritmos sería muy útil añadirlos dentro de los Controles de Red, ya que nos proporcionaría un control y un seguimiento de toda la información y actividad que fluye por la red sin la necesidad de instalar una gran cantidad de sensores en la red.

 

Y eso es todo amigos ...

Cuida tus Redes Sociales

 

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

En esta semana Apple ha publicado varias vulnerabilidades de XSS en la plataforma de aplicaciones WebKit que afecta a varios navegadores y entre ellos el navegador de Apple Safari. En cuanto a la actividad de troyanos y spyware, Rapid 7 ha publicado un estudio en el que el spyware oficial y “legal” de las agencias gubernamentales, llamado FinFisher, ha sido detectado en más de 10 países por todo el mundo, incluido Estados Unidos. El malware Zeus se ha comenzado a utilizar para infectar a los dispositivos BlackBerry y Android. Symantec ha dado a conocer que el troyano Shylock a vuelto a aparecer, pero esta vez no solo trata de robar credenciales de cuentas bancarias a los usuarios, sino que es capaz de modificar el número de teléfono de las webs de los bancos, aún no se sabe exactamente cuál es el motivo, pero se intuye que es o para hacer tiempo mientras que los “malos” juegan con tu dinero, ya que no podrás contactar vía telefónica con el banco, o para que cuando consultes el número de teléfono del banco llames directamente al atacante y no al banco, y así poder darle toda tu información confidencial mediante una llamada telefónica. No quería dejar pasar este post sin hablar del troyano Gauss que está diseñado para robar información confidencial, como contraseñas, credenciales bancarias y cookies de los sistemas infectados, es muy similar al troyano recientemente descubierto llamado Flame, ya que comparte la arquitectura, estructura y los servidores de control. El NIST ha publicado la versión 2 de la Guía de manejo de incidentes de seguridad, así que muy recomendable de leer. Por último, en cuanto a vulnerabilidades, Microsoft ha publicado nueve boletines que solucionan un total de 27 vulnerabilidades. Cinco boletines han sido clasificados como "críticos", que afectan a Windows, Internet Explorer, Microsoft Exchange Server, Microsoft SQL Server y herramientas de desarrollo de Microsoft.

SEGURIDAD LIGADA A RRHH

A mi personalmente no me ha sucedido, pero imaginaros que vais a una entrevista de trabajo y os piden vuestras credenciales de Facebook, Twitter o Linkedin para que la persona que os hace la entrevista conozca cuáles son tus contactos, inquietudes, mensajes privados, etc, y así conocer exactamente si coincides con el perfil que buscan ¿qué haríais? Pues parece ser que esto es una práctica habitual en EEUU ya que Illinois es el tercer estado donde se va a aprobar una ley donde los departamentos de RRHH no pueden pedir credenciales de acceso a redes sociales ni de correo electrónico a los solicitantes de empleo. En el articulo se comenta que un profesor fue despedido ya que no quiso proporcionar sus credenciales de la red social Facebook en el proceso de re-certificación, así que en este caso vemos una clara invasión a la privacidad de las personas, además de violar la política de privacidad de las redes sociales al divulgar las credenciales a terceros, ya que este último podría utilizar las credenciales para violar la identidad del solicitante de empleo. En cambio, sí que está permitido utilizar la información pública de las redes sociales para tomar las decisiones de contratación y controlar el uso de los equipos una vez contratado, por tanto una vez más vemos la importancia de controlar la privacidad de las redes sociales y no publicar fotos ni comentarios de los que más tarde nos tengamos que arrepentir.

CONTROL DE ACCESO

Esto de publicar tanta información en las redes sociales y ahora con el auge del cloud nos puede costar más de un dolor de cabeza, y si no crees así, díselo a Mat Honan, quien a escrito un articulo diciendo cómo los atacantes utilizaron la ingeniería social para obtener su dirección de correo, y posteriormente elevar privilegios a través del procedimiento de recuperación de contraseñas para acceder a otras cuentas. Finalmente accedieron a su cuenta de iCloud y consiguieron resetear su teléfono móvil y borrar datos del disco duro de su portátil Mac. Por tanto vemos la importancia de no utilizar contraseñas fáciles de adivinar mediante información pública, además de realizar copias de seguridad de los datos.

Saludos.

Gestión de incidentes en el NYSE

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Como hasta ahora, seguiré hablando de las vulnerabilidades encontradas en las últimas semanas donde ha sido publicada la versión 21 de Google Chrome que corrige varias vulnerabilidades, además han sido añadidos los exploits en la famosa herramienta metasploit para aprovecharnos de las últimas vulnerabilidades aparecidas en Internet Explorer y SharePoint 2010 de Microsoft. También es de destacar el estudio realizado y publicado por TrendMicro donde indica que la botnet Luckycat ha vuelto a aparecer, pero esta vez no en dispositivos Windows ni Mac sino preparada para explotar y troyanizar los dispositivos Android, estaba preparada para infectar los dispositivos móviles y enviar información de contactos, mensajes, correos, etc a un servidor remoto, en el estudio se habla incluso que los atacantes podían ver las agendas de los usuarios y lanzar la grabadora del dispositivo móvil durante las reuniones para luego enviar el archivo de audio a sus servidores, por tanto se recomienda no abrir URL de correos o SMS que no vayan dirigidos a nosotros, además de no instalar aplicaciones en los dispositivos móviles que no provengan de los sitios oficiales como Google Play y Amazon AppStore. Por último, os recomiendo leer la Guía de prevención de incidentes y manejo de equipos, y la Guía de Prevención y Detección de Intrusos publicada por el NIST.

GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN

Ahora que estamos todos pendientes de la Prima, si de la Prima de Riesgo, y de los mercados, de la bolsa de España, Portugal, Alemania, etc, etc. ¿os imagináis que por un fallo técnico la bolsa queda suspendida durante tres o cuatro días? Más de un administrador de sistemas estaría a base de cafés y largas jornadas para recuperar cuanto antes el famoso mercado de valores, bueno pues esta entrada viene motivado por el fallo técnico que sufrió la bolsa de Nueva York el pasado 1 de Agosto, donde la bolsa quedó paralizada durante 45 minutos debido a un problema de un algoritmo que debía haberse ejecutado durante cinco días, y en lugar de eso se ejecutó completo durante 5 minutos, esto hizo que la cotización de algunas empresas sufrieran un vaivén un tanto extraño. Este pequeño error le costó a la empresa Knight Capital 440 millones de dólares y ha tenido que obtener financiación adicional para responder a las pérdidas, así que la bolsa de Nueva York está ahora investigando el incidente y añadiendo controles para que no vuelva a pasar. Es de destacar en este suceso que aunque el incidente se identificó durante los primeros minutos, las acciones correctivas no llegaron hasta pasada la media hora, por tanto, dependiendo de la criticidad del incidente cada vez vemos con más frecuencia que tras la identificación del incidente debemos dar una respuesta adaptada a la situación. Y como nota, comentaros que tras el 11-S de Nueva York la bolsa quedó paralizada durante cuatro días siendo este el periodo más largo tras las Segunda Guerra Mundial.

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Si tuvieseis un negocio en el que la red de telecomunicaciones y los sistemas dependieran de su existencia, ¿en qué país y ciudad ubicaríais el Data Center? Siiii en la nube, pero ¿dónde? Todos sabemos que la legislación cambia en cada país, pero es algo conocido, pero ¿qué hacemos con los fenómenos naturales? Mediante probabilidad podemos estudiar cuánto de “vulnerable” sería ubicar el negocio en un país u otro, pero como todos sabemos es probabilidad y no exactitud. Todo esto viene más que nada por las catástrofes que se están viviendo estos días en la zona de Taiwan, donde el tifón Saola golpeó con lluvia y viento las Filipinas y ahora Taiwan, dejando a su paso muertos, corte de suministro eléctrico, inundaciones y un largo etc, esto hace que muchas empresas cierren porque las personas no pueden ir a trabajar y el país quede incomunicado. Es una lástima que la mayoría de las empresas tengan que cerrar por no tener un Plan de Continuidad del Negocio y un Plan de Disaster Recovery, ya que sin ellos os aseguro que las empresas lo van a tener muy difícil para continuar.

GESTIÓN DE CAMBIOS EN LOS SERVICIOS PRESTADOS POR TERCEROS

Por último y continuando con economía, ¿los especialistas de seguridad deben ir preparándose para una posible salida de Grecia del euro? Pienso que sí, ya que habrá muchos negocios, como por ejemplo bancos europeos que deberán cambiar sus sistemas para adaptarlos a las nuevas circunstancias, además deberemos estar atentos a los contratos transfronterizos, cambios de divisas, disturbios laborales, aumento de la actividad delictiva y la fuga de capitales que pueden sufrir los países que salgan de la Eurozona, así que ahora más que nunca los responsables de seguridad de la información deben estar en sintonía con los economistas para estar preparados a los difíciles tiempos que se avecinan.

Saludos.

Política de Ciberseguridad

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Como cada semana comenzaremos hablando de las vulnerabilidades detectadas en las últimas semanas, donde personalmente siempre pongo las más llamativas de entre las muchas vulnerabilidad que se publican diariamente. El boletín de seguridad lanzado por Microsoft ha publicado 13 vulnerabilidades que afectan a Microsoft Exchange y SharePoint, estas vulnerabilidades están asociadas a la tecnología de Oracle y ya ha sido lanzado el parche para subsanarlas, este parche se encuentra entre las 90 vulnerabilidades corregidas por Oracle en el mes de Julio que permite a un atacante ganar acceso no autorizado al sistema objetivo, obtener acceso a información sensible o provocar una denegación de servicio. Es de destacar que existe un exploit, como pruebas de concepto, para explotar dichas vulnerabilidades.

¿Vulnerabilidades en Apple? Pues si, también ha sido publicado una actualización de seguridad para Apple Safari 6.0 donde se permitía a un atacante remoto no autenticado obtener acceso no autorizado a información sensible o dirigir al sistema afectado a ataques de spoofing y XSS. Además se han publicado actualizaciones en Symantec Web Gateway, siendo vulnerable a la ejecución de comandos remotos o inyecciones SQL lo que nos permitiría tener acceso a la interfaz de gestión del producto o a la base de datos.

CONCIENCIACIÓN, FORMACIÓN Y CAPACITACIÓN EN SEGURIDAD DE LA INFORMACIÓN

En el anterior post hablé sobre los Juegos Olímpicos y en este quiero retomar el tema, ya que la botnet Madi desarticulada por Kaspersky y Seculert parece volver a estar “viva”, porque se han vuelto a recibir numerosos correos de spam con el asunto “Olimpic Lottery” que incluye un documento malicioso de Microsoft Word adjunto, además de recibirse numerosos correos de intentos de estafa, por tanto volvemos a recordar de la importancia de no confiar en webs y correos que no pertenezcan a organizaciones autorizadas. Trabajando en este asunto, Trendmicro ha publicado en su blog ejemplos de URLs maliciosas haciendo referencia a los Juegos Olimpicos. También, como anécdota sobre los Juegos Olímpicos, los responsables de seguridad están llamando la atención a los atletas ya que varios deportistas han publicado sus credenciales de acceso a los estadios mediante tecnologías como Twitter, Facebook, etc. No olvidemos que aunque la mayoría de las personas suben fotos a las redes sociales de manera legítima, existen muchos otros pertenecientes a mafias que pueden utilizar datos como fotografías, códigos de seguridad o cualquier otra información confidencial con la intención de explotarlos con fines delictivos, así que una vez más vemos la importancia de la concienciación en seguridad que deben tener los ciudadanos para conocer qué información pueden publicar y qué métodos pueden utilizar para publicarla.

POLÍTICA DE SEGURIDAD

Al igual que comenté en un post anterior sobre la orden ejecutiva firmada por Obama para controlar las comunicaciones en EEUU, esta vez China está elaborando una Política de Ciberseguridad para proteger el país, ha comenzado en una operación policial donde hay más de 10 mil sospechosos detenidos y más de 600 bandas de delincuentes, además se ha investigado y cerrado muchos cibercafés para, según el gobierno Chino, “Proteger la salud física y mental de los jóvenes”, en cambio los ciudadanos comentan que todo esto lo están realizando para censurar las críticas hacia el gobierno y así evitar los comentarios de los usuarios. Bien conocido es la censura que tienen los internautas de la Gran Muralla ya que el gobierno filtra el contenido de webs como Facebook, Twitter y Youtube, pero según el gobierno la Política de Ciberseguridad está basada en evitar la pornografía, venta de datos confidenciales, venta de armas ilegales por Internet, uso ilegal de equipos de videovigilancia y venta de certificados falsos. Es de destacar en esta operación policial la detención de 165 personas que se dedicaban a la venta de certificados falsos como títulos académicos y licencias de conducir, de tal manera que daban de alta a sus “clientes” en los sistemas oficiales para que los certificados tuvieran validez legal. Noticias como esta hacen que las acciones de empresas ubicadas en China caigan, como ha pasado con Youku.com y Tudou Holdings dedicadas a la emisión de vídeos en línea, ya que los accionistas tienen miedo que la Política de Ciberseguridad acabe con estos sitios webs.

¿Y en España tenemos elaborada una Estrategia Nacional de Ciberseguridad? Esto lo veremos en otra ocasión.

Saludos.