¿Comprar o Pagar por Servicios Gestionados?

Hace una semana asistimos a una presentación de uno de nuestros próximos aliados tecnológicos y nos sorprendió gratamente lo directo y contundente de su discurso hacia nuevos potenciales clientes.

El expositor le preguntó a la audiencia si disfrutaban del servicio de televisión por cable, obteniendo una respuesta positiva por la mayoría de la audiencia. Luego le preguntó nuevamente a la audiencia ¿cuántos habían considerado evaluar la tecnología del aparato a través del cuál recibirían  la señal para contratar el servicio de Televisión?  Siendo la respuesta que ninguno había hecho consideración alguna acerca de los equipos utilizados por la operadora.

El ejemplo que nos brindó fue en extremo contundente por lo cercano y cotidiano que se nos hizo a todos los asistentes. Los clientes de un servicio de televisión por cable sólo están interesados en la programación y cantidad de canales ofrecidos respecto del valor mensual que pagarán por el servicio disfrutado.

Una vez que todos los asistentes caímos en cuenta de lo evidente y anticipábamos cuál sería la próxima pregunta, el expositor no defraudó nuestras expectativas y cuestionó a toda la audiencia acerca de ¿por qué comprábamos enrutadores (routers), conmutadores (switches) o cortafuegos (firewalls), si lo que queremos es disfrutar de un servicios de transporte, de segmentación o de seguridad de datos?

Al considerar que los equipos que hoy poseemos son un medio para poder obtener un servicio de transporte o de seguridad de información, no resultaría lógico más bien, que evaluáramos el tipo de servicio que quisiéramos y cuál debería ser su valor, en vez de gastar tiempo y dinero en hacernos de la propiedad de un equipo que tendrá obsolescencia tecnológica, al que tendremos que actualizar su software constantemente (y pagar por ello), que tendremos que operar y adiestrarnos para su operación correcta, entre muchos otros costos colaterales asociados a la propiedad del equipo.

La próxima vez que tenga presupuesto para invertir Mil Dólares (1,000.00 USD) en la compra de un equipo requerido para disfrutar de un servicio de transporte de datos (por el que también tendrá que pagar), evalúe también cuánto le costará mantener su nuevo equipo todos los años (incluyendo al personal requerido para operarlo).

Ahora pregúntese cuánto estaría dispuesto a pagar por el mismo equipo operado por personal especializado y llame a su proveedor de servicios gestionados de confianza.

CPU (Critical Patch Update) La mayor actualización jamás realizada por ORACLE.

(Tomado y Adaptado de #WatchGuard #Secplicity)

Esta semana, Oracle lanzó su mayor actualización crítica (CPU). La conocida compañía de software encontró 276 vulnerabilidades en 80 productos diferentes, muchas de las cuales podrían ser explotadas de forma remota por usuarios  no autenticados. En otras palabras, las actualizaciones corrigen algunos defectos muy graves. Si usted utiliza cualquiera de los productos de Oracle, Java es un ejemplo muy conocido, debería implementar las actualizaciones de Oracle rápidamente.

 

Una Contraseña para Todo.

(Tomado y Adaptado de #WatchGuard #Secplicity)

Cualquiera con una cuenta de redes sociales en algún momento ha encontrado un correo no deseado que ha sido recibido desde  alguno de sus amigos,seguido de un: «Disculpen, alguien hackeó mi cuenta». A menos que este amigo en cuestión sea una celebridad, es poco probable que estos ataques estuvieran dirigidos específicamente a ellos. En cambio, este tipo de hackeos de cuentas son generalmente causados por la víctima al utilizar la misma contraseña en la cuenta de algún otro sitio que se haya visto comprometido.

Cuando se reutiliza una contraseña, todas las cuentas que comparten esas credenciales se vuelven tan vulnerables como el enlace más débil. Github recientemente reinició las contraseñas de una gran cantidad de cuentas, después de detectar que sus usuarios fueron víctimas de la exposición de dichas contraseñas desde un servicio no relacionado a ellos. A principios del mes de Junio, los atacantes tomaron control de las cuentas de Twitter y Pinterest de Mark Zuckerber, quiénes afirmaron haber utilizado las credenciales obtenidas desde Linkedin unas semanas atrás.

La exposición de contraseñas es una forma muy común de ataque y no siempre es tan pública como el ya mencionado caso de apropiación de credenciales de LinkedIn en el cual se filtraron más de 100 millones de credenciales. Hace unas semanas, más de 45 millones de credenciales se filtraron desde los sitios motorcycle.com y mothering.com. Aunque no siempre vamos a saber cuándo alguna de sus contraseñas se ha vuelto del conocimiento público. Es muy posible que el sitio propietario de una cuenta sea el que realice estas malas acciones.

Los usuarios siempre deberían utilizar contraseñas únicas, especialmente para los servicios críticos como cuentas de correo electrónico y servicios bancarios. Los usuarios también deberían cambiar sus contraseñas regularmente para prevenir que puedan ser reveladas. Dicho esto, crear y recordar docenas de contraseñas complejas puede resultar muy difícil. Es por ello que es altamente recomendable el uso de administradores de contraseñas como LastPass o KeePass para ayudar en este sentido. Los administradores de contraseñas le permiten crear y guardar contraseñas únicas para cada cuenta mientras que solo necesita recordar una única contraseña maestra para desbloquearlos todos. Cuando se combina la contraseña maestra con un segundo factor de autenticación como una huella dactilar , los administradores de contraseñas son una excelente herramienta para aumentar su seguridad y evitar que usted sea la próxima víctima de  exposición de credenciales.

(Créditos Marc Laliberte)

 

Sabes acerca de: «Obfuscated Javascript»

Recientemente en el artículo: «Friends Don’t Let Friends Download Malware» que apareció en el Blog  #Watchguard #Secplicity, llamó mi atención la frase “obfuscated JavaScript file” que traducido vendría siendo “archivo de JavaScript ofuscado”.

Particularmente considero que en el área de tecnología IT, día a día nos encontramos con infinidad de términos técnicos que desconocemos en cuanto a su significado y que empleamos cotidianamente. Terminamos usándolos, aplicándolos y refiriéndonos a ellos sin saber como describirlos.

Así que vamos a comenzar a definir algunos es estos términos. Ofuscado u Ofuscación, es la práctica de hacer algo difícil de entender.

Generalmente aplicado al código de programación para proteger la propiedad intelectual y evitar que un atacante aplique ingeniería inversa a un programa de software propietario. La ofuscación puede implicar cambio del nombre de una clase, nombres de variables, de etiquetas sin sentido o la adición de código no utilizado o sin sentido a una aplicación binaria. En si la idea es crear un código complicado de leer o entender.

No tiene nada que ver con criptografía de la información, es más bien una especie de estrategia para dificultar la ingeniería inversa; de hecho ya existen programas denominados ofuscadores que pueden actuar sobre el código fuente, código objeto o ambos para realizar estos cambios.

Entonces, pudiéramos decir que a través de este método es mucho más fácil para los programadores, incluir algún tipo de virus o malware que pueda de forma indiscriminada, atacar nuestros equipos de escritorio o dispositivos móviles.

(Créditos Fátima Díaz – Revisión José Luis Gomes)

 

Inyección Blackhat (SEO) en motores de búsqueda.

(Tomado y Adaptado de WatchGuard Secplicity)

Hoy mi jefe no pudo acceder a un sitio web. Pues resulta que nuestro servicio de WebBlocker lo clasificó como un sitio web comprometido. ¡Estupendo! Nuestro WatchGuard Firebox está haciendo un buen trabajo. Sin embargo, mi jefe conocía el sitio, y la gente detrás de él, así que quería saber lo que estaba pasando.

Una revisión rápida en nuestro Portal de Seguridad confirmó la clasificación, y csi.websense.com proporcionó la razón: Injection.Black_SEO.Web.RTSS.

He visto esto antes, así que sabía qué esperar. Creé una excepción en el WebBlocker para mí, permitiéndome llegar al sitio para investigar un poco más. No pasó mucho tiempo para encontrar lo que estaba buscando.

Al ver el código fuente HTML de la página principal del sitio, rápidamente me encontré con algo de código adicional que los propietarios del sitio probablemente desconocían. El código inyectado estaba diseñado para abrir de forma invisible varios enlaces sin mostrar mucho al visitante. El objetivo de este tipo de ataques es mejorar falsamente los resultados de búsqueda de estos enlaces, puesto que cada usuario que ingrese a este sitio, también abrirá sin saberlo los enlaces que han sido inyectados. Esta técnica de ataque es algunas veces llamada blackhat search engine optimization (SEO).

Si bien este es un ejemplo relativamente inofensivo de inyección HTML (ya que no está tratando de ejecutar código en el ordenador de la víctima), la presencia del código no deseado sin duda significa que alguien tiene acceso no autorizado a este sitio. Por desgracia, hasta que los propietarios del sitio no limpien el código inyectado, el Servicio de WebBlocker continuará evitando que los usuarios accedan a él. Aunque se pudiera crear una excepción para permitir el acceso al sitio web, esto no sería lo más recomendable.

Aunque el día de hoy, los atacantes sólo se han aprovechado de este sitio para mejorar los resultados de las búsquedas a través de inyección de código en este sitio, quizás mañana podrían utilizarlo para redirigir a los visitantes a una descarga dirigida, pudiendo incluso permitir obtener furtivamente herramientas utilizadas para explotar vulnerabilidades como el Exploit Kit Angler.

Sin saber exactamente cómo los atacantes inyectaron este código, no se puede ofrecer consejos específicos para el desarrollo de páginas web seguras, (mas que visitar owasp.org y conocer las mejores prácticas para el desarrollo web en general). Sin embargo, se puede compartir un consejo universal, no considere construir y olvidar su sitio web. Es necesario que al menos, usted pueda controlar el acceso al código a su sitio, y monitorear de cerca los cambios de dicho código para que pueda identificar este tipo de inyecciones de código malicioso rápidamente.

(Créditos Rob Collins)

Los amigos no permiten que sus amigos descarguen malware

(Tomado y Adaptado de WatchGuard Secplicity)

La semana pasada, un usuario del sitio de preguntas y respuestas Stack Exchange, pidió ayuda para identificar el malware que encontró distribuido a través de Facebook. Dijo que recibió una notificación en Facebook, informándole que uno de sus amigos lo había etiquetado en un comentario en el sitio. Cuando el usuario hizo click en el enlace de la notificación, el navegador descargó automáticamente un archivo JavaScript malicioso. Un análisis rápido del JavaScript mostró que cuando era ejecutado, actuaba como un gestor de descarga y ejecutaba el malware.

Otro usuario proporcionó un análisis más detallado del archivo JavaScript malicioso. Este usuario encontró que el JavaScript descargó e instaló una extensión de Chrome, el ejecutable AutoIt de Windows y algunos scripts maliciosos de AutoIt. El malware probablemente creó sus mensajes de Facebook contaminados utilizando esta extensión de Chrome para seguir infectando a otros ordenadores.

Aparte de la extensión de Chrome, el cargador del JavaScript también incluye funciones para descargar las secuencias de comandos ejecutables AutoIt y varios scripts AutoIt. AutoIt es un (generalmente legítimo) lenguaje de programación diseñado para ayudar a los administradores a configurar fácilmente un gran número de equipos Windows. En el caso de este malware, los chicos malos estaban usando secuencias de comandos AutoIt para llevar a cabo comportamientos parecidos a los de un ransomware. Los scripts fueron alojados en un sitio web comprometido, disfrazados con extensiones .jpg para aparecer como archivos normales de imágenes sin una inspección más profunda.

Afortunadamente, a pesar que el navegador del usuario descargó automáticamente el código JavaScript malicioso después de visitar el vínculo de notificación, su navegador no ejecutó de forma automática el código. Al parecer el autor del malware delegó en los usuarios que iniciaran el código JavaScript ellos mismos, por lo que esto disminuiría en gran medida el éxito de este ataque.

En cualquier caso, este incidente es un gran ejemplo de por qué nunca debería ejecutar aplicaciones no solicitadas a través de Internet. Si su navegador descarga un archivo después de hacer click en una notificación de Facebook, esto se debería tomar como una alerta roja, ya que este podría ser un archivo malicioso. El usuario de Stack Exchange hizo lo correcto al investigar el archivo primero y luego pedir ayuda a los expertos.

Usted también debería mantener su navegador y todas sus extensiones totalmente actualizadas con los últimos parches. Si bien el método de entrega de este ataque era relativamente poco sofisticado, este no siempre es el caso. Un atacante más motivado pudo haber tratado de explotar las vulnerabilidades conocidas del navegador para auto ejecutar el malware y comprometer el equipo del que podría ser la víctima antes de que supiera que fue atacado.

(Créditos Marc Laliberte)

Apple aplica parches de seguridad a TODOS sus sistemas operativos para corregir vulnerabilidad de ejecución remota de código.

Tomado y Adaptado de WatchGuard Secplicity

Como lo menciona  Corey Nachreiner Director de Tecnología (CTO) de WatchGuard en  Daily Security Byte ( 19 de Julio de 2016), Apple lanzó esta semana siete nuevas actualizaciones de seguridad para corregir las vulnerabilidades en varios de sus productos, incluyendo iTunes, iOS, Safari, OS X, TVOS, y watchOS.

SC Magazine habló con Marc Laliberte, Analista de WatchGuard para la Seguridad de Información, acerca de estas vulnerabilidades de ejecución remota de código.

Al parecer Apple recibió un informe de un investigador externo reportando un gran número de estas vulnerabilidades,  y después de indagar internamente logró encontrar más fallas. Es muy bueno que Apple no se detuviera en el tema que se le reportó inicialmente, y se haya dedicado a investigar con mayor profundidad. Investigar más allá de lo reportado debiera ser el «status quo» y esto no siempre es el caso. Esto lo dijo Marc a SC Magazine en una entrevista hecha por correo electrónico.

Corey  y Marc están de acuerdo en que Apple siempre presenta parches tan pronto como le es posible. En este caso, los usuarios de Safari específicamente, deberían actualizar sus navegadores de inmediato para evitar ser víctima de estas vulnerabilidades.

(Créditos Håkan Dahlström / Flickr)

Hackers hacen ingeniería inversa de PokemonGo

Tomado y Adaptado de WatchGuard Secplicity

Seguramente ha podido escuchar todo el revuelo que ha causado este juego en las últimas semanas. PokemonGO es un videojuego de aventura en realidad aumentada desarrollado para dispositivos iOS y Android, que utiliza el GPS, la cámara y la pantalla de tu teléfono para mostrar las criaturas animadas llamadas Pokemon en el mundo que te rodea. El objetivo del juego está descrito en el tema musical del juego: Tienes que atrapar todos (Gotta catch ‘em all).

La popularidad del juego se ha disparado rápidamente desde su lanzamiento, convirtiéndose así, en el juego para móviles más descargado en la historia de los Estados Unidos de América.

Esto ha despertado el interés de muchos hackers que sirviéndose de la popularidad del juego han creado fuentes alternativas de descarga para infectar a los dispositivos móviles al momento de intentar hacer la instalación. Otros hackers, sin embargo, tienen otros objetivos en mente.

Se ha dedicado mucho esfuerzo en Ingeniería Inversa para tratar de entender el protocolo de comunicaciones utilizado entre la aplicación y los servidores de PokemonGo. Incluso, ya existe una guía que explica como funciona el protocolo de comunicaciones. Esto ha sido seguido por un ataque de volcado de información que ha permitido obtener todos los elementos y Pokemon del juego.

Al entender como funciona el protocolo de comunicaciones, se pueden programar nuevas aplicaciones que se conecten a los servidores fuera del propio ambiente de juego.  Al lograr decodificar la respuesta de los servidores, el paso siguiente ha sido la programación de APIs que replican el tipo de requerimientos enviados por cada teléfono. Con estas interfaces de programación se puede obtener información de ubicación de cada Pokemon en una forma menos detallada que la presentada por el juego, haciendo el proceso de cacería de Pokemon más interactiva.

Hay muchos otros proyectos tratando de presentar la ubicación de los Pokemon en tiempo real o tratando de automatizar el proceso de captura de Pokemon sin utilizar para nada la interfaz del juego.

Mucho más allá de lo asombroso que ha sido observar todo el esfuerzo de ingeniería inversa empleado en aprender como funciona el juego. Los hackers han estado arruinando la experiencia propia del juego y ojala que Niantic (empresa desarroladora de PokemonGo) consiga la forma de detener a los usuarios que obtienen ventaja de su capacidad en el uso de lenguajes de programación.

(Original de Marc Laliberte,  22 de Julio de 2016 )

 

 

 

Usuario… ¿Carne de cañón o Soldado?

En los últimos días, se ha estado escuchando cada vez más acerca del malware avanzado que incluye múltiples mecanismos de evasión de los controles de seguridad, conocidos técnicamente por las abreviaturas APT (Advanced Persistent Threat).

Los departamentos de seguridad IT (cuando existen) se rompen la cabeza y agotan sus presupuestos, intentando prevenir este tipo de amenazas.

Los atacantes comienzan por conocer a sus víctimas y también por conocer acerca de los últimos avances en tecnología de prevención y respuesta ante sus posibles ataques.

Realmente es una pelea dispareja. Es una pelea de unos pocos bien entrenados y enfocados, contra una (o varias) organizaciones que se presentan a la batalla de una forma no coordinada.

Usted se imagina a un grupo de combate, conformado por soldados equipados con uniformes, cascos, chalecos antibalas, armamento liviano, armamento pesado, sistemas de radares, anti-misiles y demás, ¿que no tengan la menor idea de como utilizar estás herramientas en batalla? ¿Podría un puesto de comando conformado por generales de amplia experiencia (departamento de seguridad IT) coordinar a estos soldados en la batalla? ¿Se imagina que los soldados no estuvieran coordinados por personal experimentado y que asuma la coordinación del batallón, el único que sabe accionar un arma (personal de sistemas), pero que nunca se ha preparado para la pelea?

Utilizando el símil de la batalla, nuestros usuarios son los soldados y debemos tenerlos bien entrenados, no en el uso de las últimas tecnologías de seguridad informática, pero sí en como deben actuar en el campo de batalla.  Necesitamos que los usuarios aprendan a estar en una formación y aprendan a seguir reglas de un comando. Necesitamos que se uniformen y se coloquen sus protecciones (antivirus y firewall personal), que aprendan a utilizar solamente las armas que le hemos asignado (no instalar programas no autorizados), a mantener sus armas en buen estado (actualización de los parches de seguridad), a usar sus armas y protecciones cuando estén en batalla (activar las VPN, no enviar información a través de WiFi públicos), entre algunos de los conocimientos más importante que deberían tener.

Sino entrenamos a nuestros soldados y los enviamos a la batalla, serán presa fácil de las armas de nuestros atacante, serán apresados y obligados a pelear en nuestra contra (zombies – botnets) o serán dados de baja fácilmente (será secuestrada su información o serán denegados sus accesos o servicios).

Si enviamos a nuestros usuarios a la pelea diaria sin entrenamiento, le estamos dando «carne» a los cañones de nuestros atacantes.

 

 

Power On… Iniciando el Blog!

En AltermediosMSS te damos la bienvenida a nuestro nuevo blog. En realidad, esperamos que sea una bienvenida mutua y nos acojas como lo que pretendemos ser: una fuente de información técnica y de opiniones sensatas en cuanto a tecnología de información (IT) se refiere.

Después de más de una decena de años dedicados al negocio de la seguridad de información, creemos que hemos visto a tanta gente, organizaciones y escenarios diferentes, que podremos generar contenido interesante para todos nuestros lectores.

 

Como es de esperar, mucha de la información que aportaremos en el blog estará relacionada con las marcas de soluciones de seguridad que representamos: WatchGuard Technologies, eScan Content Security y Paessler PRTG. Así que si quieres enterarte de las últimas novedades de estos productos, nuestro blog intentará traerte la información más actualizada que podamos encontrar.

También nos interesa formar a nuestros lectores. Esperamos que con breves cápsulas de información relacionadas con: terminología, definiciones, procedimientos y noticias recientes, podamos promover el cambio, dejando de ser parte del problema para convertirnos en parte de la solución.

Acompáñanos, comenta y comparte lo que te guste.