¿Comprar o Pagar por Servicios Gestionados?

Hace una semana asistimos a una presentación de uno de nuestros próximos aliados tecnológicos y nos sorprendió gratamente lo directo y contundente de su discurso hacia nuevos potenciales clientes.

El expositor le preguntó a la audiencia si disfrutaban del servicio de televisión por cable, obteniendo una respuesta positiva por la mayoría de la audiencia. Luego le preguntó nuevamente a la audiencia ¿cuántos habían considerado evaluar la tecnología del aparato a través del cuál recibirían  la señal para contratar el servicio de Televisión?  Siendo la respuesta que ninguno había hecho consideración alguna acerca de los equipos utilizados por la operadora.

El ejemplo que nos brindó fue en extremo contundente por lo cercano y cotidiano que se nos hizo a todos los asistentes. Los clientes de un servicio de televisión por cable sólo están interesados en la programación y cantidad de canales ofrecidos respecto del valor mensual que pagarán por el servicio disfrutado.

Servicios Gestionados

Una vez que todos los asistentes caímos en cuenta de lo evidente y anticipábamos cuál sería la próxima pregunta, el expositor no defraudó nuestras expectativas y cuestionó a toda la audiencia acerca de ¿por qué comprábamos enrutadores (routers), conmutadores (switches) o cortafuegos (firewalls), si lo que queremos es disfrutar de un servicios de transporte, de segmentación o de seguridad de datos?

Al considerar que los equipos que hoy poseemos son un medio para poder obtener un servicio de transporte o de seguridad de información, no resultaría lógico más bien, que evaluáramos el tipo de servicio que quisiéramos y cuál debería ser su valor, en vez de gastar tiempo y dinero en hacernos de la propiedad de un equipo que tendrá obsolescencia tecnológica, al que tendremos que actualizar su software constantemente (y pagar por ello), que tendremos que operar y adiestrarnos para su operación correcta, entre muchos otros costos colaterales asociados a la propiedad del equipo.

La próxima vez que tenga presupuesto para invertir Mil Dólares (1,000.00 USD) en la compra de un equipo requerido para disfrutar de un servicio de transporte de datos (por el que también tendrá que pagar), evalúe también cuánto le costará mantener su nuevo equipo todos los años (incluyendo al personal requerido para operarlo).

Ahora pregúntese cuánto estaría dispuesto a pagar por el mismo equipo operado por personal especializado y llame a su proveedor de servicios gestionados de confianza.

Anuncios

CPU (Critical Patch Update) La mayor actualización jamás realizada por ORACLE.

(Tomado y Adaptado de #WatchGuard #Secplicity)

ORACLE CPU

Esta semana, Oracle lanzó su mayor actualización crítica (CPU). La conocida compañía de software encontró 276 vulnerabilidades en 80 productos diferentes, muchas de las cuales podrían ser explotadas de forma remota por usuarios  no autenticados. En otras palabras, las actualizaciones corrigen algunos defectos muy graves. Si usted utiliza cualquiera de los productos de Oracle, Java es un ejemplo muy conocido, debería implementar las actualizaciones de Oracle rápidamente.

 

Una Contraseña para Todo.

(Tomado y Adaptado de #WatchGuard #Secplicity)

Cualquiera con una cuenta de redes sociales en algún momento ha encontrado un correo no deseado que ha sido recibido desde  alguno de sus amigos,seguido de un: “Disculpen, alguien hackeó mi cuenta”. A menos que este amigo en cuestión sea una celebridad, es poco probable que estos ataques estuvieran dirigidos específicamente a ellos. En cambio, este tipo de hackeos de cuentas son generalmente causados por la víctima al utilizar la misma contraseña en la cuenta de algún otro sitio que se haya visto comprometido.

Un password para todo

Cuando se reutiliza una contraseña, todas las cuentas que comparten esas credenciales se vuelven tan vulnerables como el enlace más débil. Github recientemente reinició las contraseñas de una gran cantidad de cuentas, después de detectar que sus usuarios fueron víctimas de la exposición de dichas contraseñas desde un servicio no relacionado a ellos. A principios del mes de Junio, los atacantes tomaron control de las cuentas de Twitter y Pinterest de Mark Zuckerber, quiénes afirmaron haber utilizado las credenciales obtenidas desde Linkedin unas semanas atrás.

La exposición de contraseñas es una forma muy común de ataque y no siempre es tan pública como el ya mencionado caso de apropiación de credenciales de LinkedIn en el cual se filtraron más de 100 millones de credenciales. Hace unas semanas, más de 45 millones de credenciales se filtraron desde los sitios motorcycle.com y mothering.com. Aunque no siempre vamos a saber cuándo alguna de sus contraseñas se ha vuelto del conocimiento público. Es muy posible que el sitio propietario de una cuenta sea el que realice estas malas acciones.

Los usuarios siempre deberían utilizar contraseñas únicas, especialmente para los servicios críticos como cuentas de correo electrónico y servicios bancarios. Los usuarios también deberían cambiar sus contraseñas regularmente para prevenir que puedan ser reveladas. Dicho esto, crear y recordar docenas de contraseñas complejas puede resultar muy difícil. Es por ello que es altamente recomendable el uso de administradores de contraseñas como LastPass o KeePass para ayudar en este sentido. Los administradores de contraseñas le permiten crear y guardar contraseñas únicas para cada cuenta mientras que solo necesita recordar una única contraseña maestra para desbloquearlos todos. Cuando se combina la contraseña maestra con un segundo factor de autenticación como una huella dactilar , los administradores de contraseñas son una excelente herramienta para aumentar su seguridad y evitar que usted sea la próxima víctima de  exposición de credenciales.

(Créditos Marc Laliberte)

 

Sabes acerca de: “Obfuscated Javascript”

Recientemente en el artículo: “Friends Don’t Let Friends Download Malware” que apareció en el Blog  #Watchguard #Secplicity, llamó mi atención la frase “obfuscated JavaScript file” que traducido vendría siendo “archivo de JavaScript ofuscado”.

Particularmente considero que en el área de tecnología IT, día a día nos encontramos con infinidad de términos técnicos que desconocemos en cuanto a su significado y que empleamos cotidianamente. Terminamos usándolos, aplicándolos y refiriéndonos a ellos sin saber como describirlos.

Así que vamos a comenzar a definir algunos es estos términos. Ofuscado u Ofuscación, es la práctica de hacer algo difícil de entender.

Obfuscated JavaScript

Generalmente aplicado al código de programación para proteger la propiedad intelectual y evitar que un atacante aplique ingeniería inversa a un programa de software propietario. La ofuscación puede implicar cambio del nombre de una clase, nombres de variables, de etiquetas sin sentido o la adición de código no utilizado o sin sentido a una aplicación binaria. En si la idea es crear un código complicado de leer o entender.

No tiene nada que ver con criptografía de la información, es más bien una especie de estrategia para dificultar la ingeniería inversa; de hecho ya existen programas denominados ofuscadores que pueden actuar sobre el código fuente, código objeto o ambos para realizar estos cambios.

Entonces, pudiéramos decir que a través de este método es mucho más fácil para los programadores, incluir algún tipo de virus o malware que pueda de forma indiscriminada, atacar nuestros equipos de escritorio o dispositivos móviles.

(Créditos Fátima Díaz – Revisión José Luis Gomes)

 

Inyección Blackhat (SEO) en motores de búsqueda.

(Tomado y Adaptado de WatchGuard Secplicity)

Hoy mi jefe no pudo acceder a un sitio web. Pues resulta que nuestro servicio de WebBlocker lo clasificó como un sitio web comprometido. ¡Estupendo! Nuestro WatchGuard Firebox está haciendo un buen trabajo. Sin embargo, mi jefe conocía el sitio, y la gente detrás de él, así que quería saber lo que estaba pasando.

Una revisión rápida en nuestro Portal de Seguridad confirmó la clasificación, y csi.websense.com proporcionó la razón: Injection.Black_SEO.Web.RTSS.

BLACK HAT SEO

He visto esto antes, así que sabía qué esperar. Creé una excepción en el WebBlocker para mí, permitiéndome llegar al sitio para investigar un poco más. No pasó mucho tiempo para encontrar lo que estaba buscando.

Al ver el código fuente HTML de la página principal del sitio, rápidamente me encontré con algo de código adicional que los propietarios del sitio probablemente desconocían. El código inyectado estaba diseñado para abrir de forma invisible varios enlaces sin mostrar mucho al visitante. El objetivo de este tipo de ataques es mejorar falsamente los resultados de búsqueda de estos enlaces, puesto que cada usuario que ingrese a este sitio, también abrirá sin saberlo los enlaces que han sido inyectados. Esta técnica de ataque es algunas veces llamada blackhat search engine optimization (SEO).

Si bien este es un ejemplo relativamente inofensivo de inyección HTML (ya que no está tratando de ejecutar código en el ordenador de la víctima), la presencia del código no deseado sin duda significa que alguien tiene acceso no autorizado a este sitio. Por desgracia, hasta que los propietarios del sitio no limpien el código inyectado, el Servicio de WebBlocker continuará evitando que los usuarios accedan a él. Aunque se pudiera crear una excepción para permitir el acceso al sitio web, esto no sería lo más recomendable.

Aunque el día de hoy, los atacantes sólo se han aprovechado de este sitio para mejorar los resultados de las búsquedas a través de inyección de código en este sitio, quizás mañana podrían utilizarlo para redirigir a los visitantes a una descarga dirigida, pudiendo incluso permitir obtener furtivamente herramientas utilizadas para explotar vulnerabilidades como el Exploit Kit Angler.

Sin saber exactamente cómo los atacantes inyectaron este código, no se puede ofrecer consejos específicos para el desarrollo de páginas web seguras, (mas que visitar owasp.org y conocer las mejores prácticas para el desarrollo web en general). Sin embargo, se puede compartir un consejo universal, no considere construir y olvidar su sitio web. Es necesario que al menos, usted pueda controlar el acceso al código a su sitio, y monitorear de cerca los cambios de dicho código para que pueda identificar este tipo de inyecciones de código malicioso rápidamente.

(Créditos Rob Collins)

Los amigos no permiten que sus amigos descarguen malware

(Tomado y Adaptado de WatchGuard Secplicity)

La semana pasada, un usuario del sitio de preguntas y respuestas Stack Exchange, pidió ayuda para identificar el malware que encontró distribuido a través de Facebook. Dijo que recibió una notificación en Facebook, informándole que uno de sus amigos lo había etiquetado en un comentario en el sitio. Cuando el usuario hizo click en el enlace de la notificación, el navegador descargó automáticamente un archivo JavaScript malicioso. Un análisis rápido del JavaScript mostró que cuando era ejecutado, actuaba como un gestor de descarga y ejecutaba el malware.

Amigos no descargan malware

Otro usuario proporcionó un análisis más detallado del archivo JavaScript malicioso. Este usuario encontró que el JavaScript descargó e instaló una extensión de Chrome, el ejecutable AutoIt de Windows y algunos scripts maliciosos de AutoIt. El malware probablemente creó sus mensajes de Facebook contaminados utilizando esta extensión de Chrome para seguir infectando a otros ordenadores.

Aparte de la extensión de Chrome, el cargador del JavaScript también incluye funciones para descargar las secuencias de comandos ejecutables AutoIt y varios scripts AutoIt. AutoIt es un (generalmente legítimo) lenguaje de programación diseñado para ayudar a los administradores a configurar fácilmente un gran número de equipos Windows. En el caso de este malware, los chicos malos estaban usando secuencias de comandos AutoIt para llevar a cabo comportamientos parecidos a los de un ransomware. Los scripts fueron alojados en un sitio web comprometido, disfrazados con extensiones .jpg para aparecer como archivos normales de imágenes sin una inspección más profunda.

Afortunadamente, a pesar que el navegador del usuario descargó automáticamente el código JavaScript malicioso después de visitar el vínculo de notificación, su navegador no ejecutó de forma automática el código. Al parecer el autor del malware delegó en los usuarios que iniciaran el código JavaScript ellos mismos, por lo que esto disminuiría en gran medida el éxito de este ataque.

En cualquier caso, este incidente es un gran ejemplo de por qué nunca debería ejecutar aplicaciones no solicitadas a través de Internet. Si su navegador descarga un archivo después de hacer click en una notificación de Facebook, esto se debería tomar como una alerta roja, ya que este podría ser un archivo malicioso. El usuario de Stack Exchange hizo lo correcto al investigar el archivo primero y luego pedir ayuda a los expertos.

Usted también debería mantener su navegador y todas sus extensiones totalmente actualizadas con los últimos parches. Si bien el método de entrega de este ataque era relativamente poco sofisticado, este no siempre es el caso. Un atacante más motivado pudo haber tratado de explotar las vulnerabilidades conocidas del navegador para auto ejecutar el malware y comprometer el equipo del que podría ser la víctima antes de que supiera que fue atacado.

(Créditos Marc Laliberte)

Apple aplica parches de seguridad a TODOS sus sistemas operativos para corregir vulnerabilidad de ejecución remota de código.

Tomado y Adaptado de WatchGuard Secplicity

Como lo menciona  Corey Nachreiner Director de Tecnología (CTO) de WatchGuard en  Daily Security Byte ( 19 de Julio de 2016), Apple lanzó esta semana siete nuevas actualizaciones de seguridad para corregir las vulnerabilidades en varios de sus productos, incluyendo iTunes, iOS, Safari, OS X, TVOS, y watchOS.

Apple Ejecucion remota de codigo

SC Magazine habló con Marc Laliberte, Analista de WatchGuard para la Seguridad de Información, acerca de estas vulnerabilidades de ejecución remota de código.

Al parecer Apple recibió un informe de un investigador externo reportando un gran número de estas vulnerabilidades,  y después de indagar internamente logró encontrar más fallas. Es muy bueno que Apple no se detuviera en el tema que se le reportó inicialmente, y se haya dedicado a investigar con mayor profundidad. Investigar más allá de lo reportado debiera ser el “status quo” y esto no siempre es el caso. Esto lo dijo Marc a SC Magazine en una entrevista hecha por correo electrónico.

Corey  y Marc están de acuerdo en que Apple siempre presenta parches tan pronto como le es posible. En este caso, los usuarios de Safari específicamente, deberían actualizar sus navegadores de inmediato para evitar ser víctima de estas vulnerabilidades.

(Créditos Håkan Dahlström / Flickr)