Blog de noticias Siscotec

Los Zero-Day están de moda

Tue, 16 Nov 2010 16:24:31 +0000

Son pocas las empresas que toman las medidas necesarias frente a un zero-Day y así evitar ser víctimas de un exploit. El punto es que la gran mayoría empresas no tiene el hábito ni el tiempo para auto-protegerse, para monitorear amenazas que se inician por un zero-Day. El problema se agrava cuando su mecanismo de defensa frente a vulnerabilidades no parchadas se reduce a simplemente al antivirus. En la medida que se considere la Seguridad de la Información como para fundamental de una estrategia operativa, los zero-Day dejarán de ser un problema, pero como todo sabemos “todo es un proceso”.

Hace un tiempo Microsoft era el más afectado por zero-Day, hoy la realidad es otra, cada vez es más común encontrar vulnerabilidades en aplicaciones como: Mozilla, Oracle, Apache, Wimanp, Adobe y Andriod. Si a la lista de aplicaciones explotadas por ahora le sumamos que en nuestra realidad Boliviana son pocas las empresa que toman las tareas del departamento de TI como parte de una estrategia (leer articulo nro 3) de seguro que el proceso para mitigar daños causados por los zero-Day será mucho más largo comparado con países del primer mundo.

Cuando se habla de ahorro de recursos generalmente es un tema que solamente le interesa la gerencia y pensamos que no es un tema que interese a nuestros departamentos de TI, pero cuando empezamos a contar las aplicaciones diarias que utilizan mi empresa (Windows XP/Vista/7, Wimanp, Acrobat, Mozilla, IE, etc) la pregunta a respondernos es ¿Cuánto es el gasto que nos genera lidiar con problemas a causa de vulnerabilidades?. En ese momento, el ahorro de recursos cobra un nuevo sentido, y el hecho trabajar sobre un plan (programación, gestión, control y comunicación) que asegure el cumplimiento de tareas como actualizar nuestras aplicaciones le daría un valor especial al departamento de TI, tomando en cuenta somos los responsables de mantener la continuidad de las operaciones.

En resumen, podemos aprovechar que los Zero-Day están de moda para empezar a integrar el departamento de TI a la estrategia corporativa y Siscotec representa las mejores soluciones del mercado para lograr dicho propósito.

¿Qué tan confiable son los sitios web donde acostumbramos a navegar?

Tue, 16 Nov 2010 16:14:39 +0000

La semana pasada se conoce que una vulnerabilidad desconocida afecta al navegador Mozilla Firefox en las versiones 3.5 y 3.6. Se trata de un “zero-day” y fue descubierto por Trend-Micro, el cual informó que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denominado "JS_NINDYA.A", con objeto de propagar malware. En caso que se explotase exitosamente procede a descargar el troyano BKDR_NINDYA.A al ordenador de la víctima. Se conoce oficialmente que Mozilla está trabajando en una solución para esta vulnerabilidad.

Como se pueden dar cuenta, estamos frente a un problema incontrolable, donde creer que si usamos tal o cual navegador estaremos más seguro. Si a ello le sumamos que cada vez es más peligroso navegar (clara muestra de ello es que ni el sitio de los Premios Nobel se salvo) no lleva a pensar de que necesitamos mitigar el riesgo de infección desde otro punto de la red y controlar mejor el acceso a sitios “supuestamente” confiables.

Es por ello que en este articulo se recomienda la utilización de una solución robusta la cual integre las siguientes tecnologías para poder minimizar y garantizar en un mayor % la navegación y descarga de archivos de internet de los usuarios de su red interna, controlados desde una consola web amigable y sencilla de administrar.

Las soluciones a nivel de Gateway de Trend Micro poseen las siguientes características que usted como cliente debe conocer:

(1) Seguridad en diferente niveles, se integra al Officescan convirtiéndose en la primera barrera de detección

(2) Bloquea el acceso a sitios maliciosos con el servicio de reputación Web.

(3) Explora el tráfico HTTP y FTP en busca de virus, spyware y amenazas Web, y bloquea las comunicaciones salientes hacia sitios Web conocidos de spyware y relacionados con el phishing.

(4) Valida código Java y ActiveX para analizar las páginas Web y detectar código móvil malicioso

(5) Filtra URL para mejorar la productividad de los empleados y limitar las responsabilidades jurídicas

(6) Ofrece la función opcional de limpieza automática con el servicio Damage Cleanup Services (DCS)

(7) Se integra con Trend Micro Control Manager para proporcionar una administración centralizada en toda la red

(8) Ofrece opciones de implementación flexibles al admitir tanto appliances de software como virtuales.

Fuentes:

http://www.terra.com.mx/noticias/articulo/983245/La+pagina+web+del+Nobel+de+la+Paz+sufre+un+ataque+informatico.htm?ref=1

http://la.trendmicro.com/la/products/enterprise/interscan-web-security-suite/url-filtering/index.html

Conozca datos reveladores acerca del troyano Stuxnet

Tue, 16 Nov 2010 16:10:48 +0000

Mucho investigadores de varias casas de Antivirus coinciden que Stuxnet es el hijo mayor del WORM_DOWNAD (conficker) puesto que a pesar de que Stuxnet es catalogado como troyano, tiene características del gusano antes mencionado. Lejos de usar el tradicional autorun.inf (contra el que ya se puso remedio), se propaga en llaves USB en forma de archivos del tipo ~WTR4132.tmp, por ejemplo y como ya algunos se han debido dar cuenta, estos archivos se parecen mucho a los temporales que Word crea internamente cuando abrimos un archivo .doc.

Stuxnet nace un 1 de julio de 2009 y luego de 1 año y poco es cuando se reconoce como una amenaza verdaderamente destructiva. Todo empezó cuando solo 4 casas de antivirus (entre ellos Trend Micro) empezaron a detectar vulnerabilidades denominadas “autorun” y luego de 1 año Microsoft reconoció dicha vulnerabilidad como “CVE-2010-2568” que permitía ejecución de código malicioso a través de archivos .LNK

Para tener clara la idea les presento un recuento sobre el nacimiento, evolución y difusión de este dolor de cabeza.

1. 1 de Julio 2009 nace el primer hijo del Conficker

2. En el primer año de nacido solo 4 casas de antivirus detectaron las primeras variantes (entre ellos Trend Micro)

3. El 16 de mayo de 2010 se sabe de una muestra real de Stuxnet (archivo .sys)

4. No es hasta julio del 2010, que “sale del closet” y ampliamente reconocida

5. El 7 de julio, es el bautizo y el desconocido pasa a llamarse Stuxnet

6. A finales de julio que es detectado por la mayoría (archivos .LNK)

Entre sus fortalezas y debilidades podemos nombrar lo siguiente:

FORTALEZAS

Sin duda alguna, el uso combinado e inteligente de cuatro vulnerabilidades desconocidas es la clave de su funcionamiento.Una permitía laejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados. Otra vulnerabilidad permitía la difusión del código a través del servicio de impresión (spooler) de cualquier Windows. Y las otras dos, permitían la elevación de privilegios. Esto cerraba el círculo: si los administradores no habían tomado la precaución de limitar los permisos de los usuarios, el troyano podía conseguir ser administrador a través de estos fallos. No había escapatoria.
Los drivers de Stuxnet utilizados como rootkit estaban firmados digitalmente por la empresa china Realtek. Significa que pasaba desapercibido por cualquier antivirus.

DEVILIDADES

Desgraciadamente solo se conoce una debilidad, y es que tomando en cuenta el objetivo del Stuxnet (espionaje industrial). Es cierto, el poder incontrolado de auto-replicación ha facilitado su difusión, pero, sin duda ha sido su única falencia puesto que aquello provocó el escape del círculo cerrado (industria) que se supone eran sus objetivos primarios y, por tanto, que sea conocido, reconocido y detectado por las casas antivirus.

El troyano no debió replicarse indiscriminadamente, o bien controlar sobre qué sistemas lo hace para evitar los que escapen a su objetivo.

Fuentes:

http://www.hispasec.com/unaaldia/4283

http://www.hispasec.com/unaaldia/4382

http://www.hispasec.com/unaaldia/4383

http://www.hispasec.com/unaaldia/4384

EE.UU propone incluir backdoors en todos los servicios online

Tue, 16 Nov 2010 16:07:31 +0000

Esta notica tiene una cognotación diferente a las publicadas en este tipo de boletines, puesto que estamos hablando de:

Terrorismo + Tecnología = Guerra

La administración Obama busca aprobar propuesta de ley para intervenir las comunicaciones online (correo electrónico, mensajería instantánea, VoIP, intercambio de archivos, etc).

Lo que se busca es introducir medidas en su software que permitan al gobierno estadounidense espiar las comunicaciones que se producen entre dos usuarios, incluso aquellas que están encriptadas.

El motivo, las llamadas telefónicas han disminuido, y estas últimas son más fáciles de interceptar que las comunicaciones online, tanto a nivel técnico como judicial.

Lo que alerta y llama la atención los demás países de mundo es que la mayoría de la infraestructura de los servicios online (Facebook, Skype, BlackBerry, Gmail o Hotmail entre otros) se encuentran en territorio estadounidense lo que implicaría que “nadie” y en ninguna parte del mundo estaría exento de ser pinchado.

Está previsto discutir el proyecto de ley a inicio del año entrante y de ser aprobada dicha ley lo más seguro es que se vengan mucho cambios y movimientos estratégicos de cada una de las empresas afectadas.

James X. Dempsey, vicepresidente del Centro para la Democracia y la Tecnología habla de pérdidas de empleo a causa de la descentralización de las empresas. Esto traería graves consecuencias al rubro de los servicios en EE.UU.Estamos en una época en que la acelerada evolución de las Tecnologías de la Información y Comunicación (TICs) serán aprovecha al máximo por criminales y terroristas y es necesario hacer algo para prever conflictos bélicos.

No es de extrañarse que en un futuro no muy lejano lo que empezó como un medio de lucrar y robar información se convierta en un medio para generar caos y guerra.

Fuente:

http://www.mastermagazine.info/articulo/gobierno-estados-unidos.php

http://www.nytimes.com/2010/09/27/us/27wiretap.html

Bolivia, conozca las tendencias sobre como administramos nuestro tiempo

Tue, 16 Nov 2010 16:03:37 +0000

Tal como les hicimos conocer en el boletin anterior, Siscotec está llevando a cabo eventos para hacer conocer lo nuevo en cuanto a servicios, un servicio integrador que cuenta con un valor agregado como es el análisis de la estructura de TI y la gestión de mejoras referente a Seguridad de la Información.

Cuando hablamos de tareas de análisis y gestión necesitamos saber a ciencia cierta el control real que tenemos con el tiempo que dedicamos a Seguridad de la Información. Sobre dicha premisa y basándonos en un estudio realizado anualmente por Gartner, nos hemos tomado la libertad de “nacionalizar” una encuesta que trata sobre la planificación del tiempo en TI.

Los siguientes son los datos técnicos sobre el sondeo realizado son:

(1) Cantidad de empresas à 41

(2) Cantidad de personas (personal de TI)à 80

(3) Rubros de empresas à Banca, Gubernamentales, Privadas

(4) Procedimiento de selección de los encuestados à Clientes y No clientes invitados eventos SOC

(5) Ciudades à La Paz, CBBA y Sucre

Haciendo una lectura de los resultados podemos concluir que:

La mayoría (el 67%) de los encuestados saben por experiencia cuanto tiempo cuesta recuperar un servidor crítico
Pero el 50% no planifica un plan de trabajo anual
Y solo un 33 % tiene datos reales resultados de una auditoría interna o externa sobre ataques externos
A pesar de que el 58% han vivido en carne propia los desastres que ha causado el WORM_DOWNAD (Conficker)

En resumen, hay mucho por hacer en cuanto a la forma de mejorar organizar nuestro tiempo en relación a la criticidad de riegos comunes.

Fuente:

http://www.siscotec.com/nuestros-servicios/servicios-gestionados-de-monitoreo-de-seguridad-sgms

Dispositivos móviles, potencial brecha de seguridad en la informática corporativa

Tue, 16 Nov 2010 16:03:37 +0000

Este problema no es nuevo en muchas ocasiones (eventos, visitas, artículos del boletin, charlas informales, etc) Siscotec ha tocado este tema y que mejor momento para volverlo a tocar, pero esta vez respaldado por una de las marcas líderes en el mercado de Seguridad Perimetral, Juniper Networks.

Juniper Networks afirma que la aparición de los SmartPhones sin lugar a duda empiezan a crear una brecha de seguridad entre mantener la Confidencialidad, Integridad y Disponibilidad de información sensible VERSUS la comodidad del usuario.

Se ha revelado que gran cantidad de trabajadores acceden a sus documentos y redes corporativas desde sus SmartPhones sin el conocimiento ni consentimiento de sus superiores y el visto bueno de los departamentos técnicos de sus organizaciones. Y si al grado de inseguridad que esto significa le sumamos el robo o perdida de este tipo de dispositivos (se presume que existe un 80% de posibilidades de perder un dispositivo como tal), estamos frente a un problema grave para cualquier empresa.

Juniper Networks sostiene que un 70% de los usuarios de smartphones realiza accesos diarios sin conocimiento previo ni medidas de protección puestas por parte del departamento de TI, lo que nos lleva a una primera conclusión de que la política corporativa al respecto que debe quedar bien clara a los trabajadores, y el departamento técnico correspondiente y es que se debe securizar el acceso del terminal empleado.

Soluciones como infranet controller son las que Juniper Networks tiene disponibles para evitar sustraer información frente al problema de extravió de dispositivos con acceso a nuestra intranet.

Fuente:

http://www.juniper.net/us/en/company/press-center/press-releases/2010/pr_2010_10_26-10_02.html

http://www.mastermagazine.info/articulo/dispositivos-moviles.php

Bonus Info:: El TOP 10 de las noticas de seguridad más comentadas en septiembre 2010

Tue, 16 Nov 2010 14:14:12 +0000

Desde inicio de octubre hasta la fecha se ha generado mucha información en cuanto a novedades, fallas de seguridad y ataques se refiere, conozca las noticas más relevantes:

• Windows 8 en ¿2012?

http://www.mastermagazine.info/articulo/windows-8-en-%c2%bf2012.php

• El factor gente y la seguridad de la información (Carlos Ormella Meyer, 10 páginas, Argentina)

http://www.criptored.upm.es/guiateoria/gt_m327f.htm

• Más de 350 fallos en el Kernel de Android

http://www.hispasec.com/unaaldia/4396

• Windows XP ya no disponible en licencias OEM

http://www.mastermagazine.info/articulo/windows-disponible-licencias.php

• Adobe publica aviso de seguridad para Flash Player, Reader y Acrobat

http://www.adobe.com/support/security/advisories/apsa10-05.html

• Zbot, añadido al Malicious Software Removal Tool, bate récord

http://www.hispasec.com/unaaldia/4376

• Desbordamientos de búfer en Winamp

http://www.hispasec.com/unaaldia/4372

• Una nueva red social del cofundador de Facebook

http://www.mastermagazine.info/articulo/nueva-social-cofundador.php

• Ataques contra Java, supera a los ataques contra Adobe

http://blogs.technet.com/b/mmpc/archive/2010/10/18/have-you-checked-the-java.aspx

• NUEVO servicio de e-mail propio para Facebook

http://www.mastermagazine.info/articulo/servicio-e-mail-propio.php

Siscotec inicia eventos a nivel nacional sobre Monitoreo y Gestión de Seguridad de la Información

Thu, 30 Sep 2010 22:59:06 +0000

El primer Security Operation Center comercial a nivel Bolivia tiene como objetivo brindar un valor agregado colaborando en hacer simple y organizada tareas de Monitoreo de Eventos y Gestión en Seguridad de la Información. Este servicio no necesariamente este casado a una marca o línea de producto, al contrario, es el complemento justo y necesario a dichas marcas y/o líneas de productos. En ese sentido desde ya más de 2 años tenemos los Servicios Gestionados y Monitoreo de Seguridad (SGMS) totalmente funcional y en todo este tiempo hemos logrado contar con la confianza de 5 clientes de gran envergadura a nivel nacional.

La semana pasada se ha iniciado una serie de eventos a nivel nacional visitando las principales ciudades de Bolivia (La Paz, Sucre, Cbba y Santa Cruz) comunicando las virtudes y características de los Servicios Gestionados y Monitoreo de Seguridad como un servicio innovador e integrador pensado para empresas que están convencidos que su activo más importante es su información digital. Así mismo, con los asistentes se profundiza en un pilar importante a la hora de hablar de Seguridad de la Información, dicho pilar tarta sobre la forma de organizar nuestro tiempo para cumplir y proyectar objetivos enfocados a Seguridad Informática.

En los eventos ya realizados el punto que más se ha destacado entre los asistentes es el hecho de que es el primer servicio de este tipo en Bolivia y que a diferencia de los Security Operation Center de otros países, el nuestro plantea trabajar en Seguridad de la Información desde dos enfoques, Inseguridad y Seguridad, es decir, evidenciar (eventos) su nivel de Inseguridad realizando trabajos de relevamiento y análisis y al resultado de lo dicho anteriormente adaptarle controles (normas) que coadyuven a proyectar y gestionar planes de mejora

Irán acaba de declararle la guerra a EE.UU a raíz del virus Stuxne

Thu, 30 Sep 2010 22:56:08 +0000

Por increíble que parezca la guerra entre EE.UU e Iran ha comenzado a raíz de virus Stuxnet, pero no la guerra como se la entiende habitualmente con su cortejo de bombas y muertos, con sangre y lágrimas, sino a golpe de virus informáticos. La enfermedad se extiende entonces sin dejar cadáveres humanos. Mahmud Alyaee, secretario general de los servidores informáticos industriales de Irán, incluidos los que sirven para el control de las instalaciones nucleares, confirmó el 25 de septiembre que 30.000 computadoras instaladas en complejos industriales fueron infectadas con el virus Stuxnet al punto de volverlas inoperantes. El 16 de junio la compañía de seguridad informática VirusBlokAda descubrió un ejemplar de código malicioso bastante particular debido a las siguientes características:

(1) La falla reside en la posibilidad de ejecución de código con el solo hecho de ver iconos de “acceso directo” por lo que el usuario, con solo abrir una carpeta que contenga accesos directos (una compartida en la red, una memoria USB o hasta una página web), puede ejecutar sin darse cuenta el código malicioso.

(2) Malware firmado digitalmente: Existen dos variantes del malware que usan certificados digitales de empresas legítimas (Realtek Semiconductor y JMicron Technology). Lo anterior podría hacer pensar al usuario, erróneamente, que el malware es software válido perteneciente a alguna de las dos empresas mencionadas.

(3) Afecta casi todas las versiones de Windows: Según el descripción publicada por CVE, la vulnerabilidad afecta Windows XP SP3, Server 2003 SP2, Vista SP1 y SP2, Server 2008 SP2 y R2, y Windows 7. Desde luego en la lista no se encuentra Windows XP SP2 debido a que el soporte fue descontinuado por Microsoft.

(4) Ojo, en el listado de sistemas vulnerables no se incluye Windows 2000 ni Windows XP SP2. No es porque sean seguros, sino porque se terminó el soporte y simplemente no van a liberar los respectivos parches.

(5) Como consecuencia de lo anterior, conocidas familias de malware han aparecido empleando como vector de ataque la vulnerabilidad utilizada inicialmente por Stuxnet. Ejemplos de esto son el Zombie Infection Pack, el virus polimórfico Sality hasta el famoso troyano bancario Zeus.

Es de esta forma que un código malicioso diseñado con un objetivo y un alcance limitado se convierte en una amenaza de talla mundial del estilo Conficker. Si no quiere ser infectado por todas las variantes de malware que existen y muy seguramente aparecerán en un futuro, que se aprovechan de esta vulnerabilidad de Windows, instale el parche que Microsoft publicó: MS10-046.

Microsoft recomienda actualizar el parche crítico y desactivar los accesos directos y auto ejecución http://support.microsoft.com/kb/2286198

Trend Micro detecta el virus con los siguientes nombres WORM_STUXNET.A, RTKT_STUXNET.A, LNK_STUXNET.A,WORM_STUXNET.SM, TROJ_STUXNET.DX

Stuxnet fue fabricado aparentemente para atacar el sistema de supervisión, control y adquisición de datos de Siemens llamado SCADA, un sistema que muchas empresas utilizan para manejar reservas de agua, plantas de energía, perforaciones petroleras y otros servicios industriales. Stuxnet que tuvo sus inicios en India, Indonesia y Pakistán, Irán está en Bolivia y para evitar ser infectados debemos contar con nuestros sistemas operativos actualizados.

Fuentes:

http://america.infobae.com/notas/10264-La-guerra-contra-Iran-ha-comenzado

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx

http://blog.trendmicro.com/usb-worm-exploits-windows-shortcut-vulnerability/

http://www.fayerwayer.com/2010/09/virus-stuxnet-muta-y-arrasa-en-iran/

http://www.bbc.co.uk/mundo/noticias/2010/09/100929_1442_stuxnet_virus_gusano_china_dc.shtml

Andriod se estrena con su primer troyano mediático

Thu, 30 Sep 2010 22:53:59 +0000

Android está de moda, el Sistema Operativo para dispositivos móviles impulsado por Google ya lleva varios códigos maliciosos que se han propagado a causa de vulnerabilidades en Adobe Flash, iTune. A pesar de que vulnerabilidades de tercero complican la seguridad de Andriod, el kernel del Sistema Operativo es el más cotizado por cibercriminales. Todo empezó en agosto del 2009 cuando se supo que en Rusia un troyano tenia por tarea enviar SMS indiscriminadamente a números con tarificación especial. Hace unos días se dio a conocer que una aplicación troyanizada estaba disponible en Android market, se trata de una aplicación disfrazada del juego de la víbora (Tap Snake). Este troyano que puede obtener información sobre nuestra ubicación geográfica usando tecnología GPS. Es decir, nos pueden hacer un seguimiento de la ubicación física del teléfono móvil.

Una vez instalado el juego, éste se registra en una aplicación Web en Google (App Engine) donde cada 15 minutos enviará los datos de la posición GPS a dicha aplicación. El atacante necesita instalar una aplicación GPS Spy en el cliente para poder espiar a la víctima.

Es muy fácil darnos cuenta si hemos sido víctima de este troyano, ¿cómo?...por las solicitudes que nos pide la aplicación como ser: ¿Desea acceder a la ubicación?, ¿Desea acceder a internet?. Otro síntoma clave es que parpadea el icono del satélite GPS cuando abrimos el juego. Un usuario experimentado, se podría dar cuenta de que se trata de una aplicación maliciosa, pero ¿un usuario corriente?. Lo cierto es que Andriod está en el ojo de la tormenta y mientras siga así los usuarios comunes seguirán a expensas de tener graves problemas a causa de malware mal intencionado.

Fuentes:

http://blog.segu-info.com.ar/2010/09/estudio-troyano-tap-snake-de-android.html#axzz111UyJwLb

http://www.hispasec.com/laboratorio/Troyano_android_tab_snake.pdf

http://gpsdatapoints.appspot.com/addPoint

http://www.adobe.com/support/security/advisories/apsa10-03.html