¿Puedo protegerme utilizando un servicio de DNS?

En los últimos tiempos, hemos observado que las pequeñas empresas se muestran interesadas, cada vez más, en su seguridad informática. Sin embargo, al mostrar productos basados en Hardware o Software, el costo de inversión asociado a estas soluciones tiende a ser el factor principal en la toma de decisión.

La pregunta: “¿Cuánto me cuesta?” , que sigue de inmediato a la presentación de los beneficios de una solución, nos revela que nos seguimos enfrentando a la percepción de la tecnología como un gasto y no como una inversión.

Al hablar con las pequeñas empresas, en muy rara ocasión se encuentra presente algún interlocutor del área de tecnología.  Esto hace que la conversación se desarrolle con los dueños del negocio, quienes manifiestan la preocupación en su seguridad, esperando que podamos ayudarlos a un “costo razonable”.

Imagen Bloqueo

Como proveedores de servicios nos planteamos la posibilidad de operar una solución totalmente basada en la nube, que no requiera de inversión en ningún hardware o software extra, ni de complejos artilugios en las redes de nuestros clientes.

Al analizar los controles basados en DNS, encontramos la alternativa de “costo razonable” que estábamos buscando.

Si partimos del hecho que para que podamos: navegar a un sitio web, enviar un correo electrónico, chatear o ver un video, es imprescindible la resolución de un nombre de dominio (DNS) para conocer la dirección IP del servidor al que debe establecerse la conexión, entonces al controlar que direcciones IP resuelven nuestros Servidores DNS podemos controlar como fluye el tráfico hacia internet.

Este tipo de controles DNS han estado en operación desde hace tiempo, incluso en países que aplican censura a ciertos sitios o dominios opuestos al gobierno de turno.  El uso del DNS es tan poderoso, que puede utilizarse – incluso – para evadir los controles de censura aplicados por estos países.

Combinar el poder del protocolo DNS con un adecuado sistema de clasificación de dominios en internet, con el que podamos agrupar sitios que distribuyen virus,  que poseen contenido pornográfico ó que permiten la descarga de herramientas de hacking,  nos permite tener una solución de seguridad básica para las pequeñas empresas y que combinada con herramientas de seguridad multicapa, nos permite mejorar la estrategia de seguridad de las medianas y grandes empresas.

Anuncios

Malware VPNFilter infecta más de 500.000 enrutadores inalámbricos caseros.

(Tomado de WatchGuard Secplicity y del Blog de Cisco Talos)

Hace una semana los investigadores de Talos publicaron un análisis acerca de un APT denominado VPNFilter, en el cual estimaban que al menos hay 500.000 enrutadores SOHO infectados en 54 países.  Unas horas más tarde, el FBI anunció que habían incautado un dominio clave para el botnet que establecía el canal de comando y control del malware.

VPN Filter

VPNFilter es un malware altamente sofisticado, que funciona de forma modular desplegándose en fases para hacerse persistente en los enrutadores que compromete, comunicándose con los servidores de comando y control para descargar módulos de malware especializados.

La primera fase del APT difiere de otros malware dirigidos a IoT en que puede hacerse persistente, lo cual quiere decir que el dispositivo afectado permanece infectado aún después de un reinicio. Después de lograr afianzarse al enrutador, el APT intenta localizar y descargar un segundo malware que es no persistente y que es similar a otros botnet en que implementa un canal de comando y control para recibir y ejecutar comandos en el enrutador.

Como la segunda fase del malware intenta localizar a los servidores de comando y control, el FBI ha estado solicitando a los dueños de enrutadores que sospechen que pudieran haber sido afectados, para que los reinicien y de esta forma lograr identificar cuáles equipos han sido afectados a través del dominio que incautaron.

Hasta ahora no se conoce exactamente cuáles vulnerabilidades en los enrutadores fueron explotadas para lograr la instalación permanente del malware en los equipos afectados, sin embargo los investigadores han encontrado que todos los enrutadores comprometidos tenían vulnerabilidades bien conocidas que pudieron ser explotadas con técnicas que sólo requerían permisos administrativos y que no requerían técnicas de día cero sofisticadas para lograr la instalación.

Hasta ahora los modelos y marcas de los dispositivos que han sido afectados por el APT son:

LINKSYS:  E1200  –  E2500  –  WRVS4400N

MIKROTIK: 1016  –  1036  –  1072

NETGEAR:  DGN2200  –  R6400  –  R7000  –  R8000  –  WNR1000  –  WNR2000

QNAP:  TS251  –  TS439 Pro  –  Otros modelos QNAP NAS ejecutando QTS software

TP-LINK:  R600VPN

Los investigadores no han logrado determinar todos los modelos y marcas afectados porque todas sus observaciones se han basado en el acceso remoto a los equipos y aún no se conocen cuantos equipos se encuentran afectados.

Es importante destacar que este malware tiene un potencial destructivo capaz de implementar un ataque de alcance mundial a infraestructuras y proveedores de servicios críticas.  El control que han logrado de los dispositivos afectados es tal que los desarrolladores del APT tienen capacidad de dañar permanentemente a los enrutadores para lograr cubrir sus huellas.  Si decidieran generar un colapso mundial de los servicios de internet domésticos podrían destruir remotamente a todos los dispositivos con una instrucción remota.

¿Que hacer?

  • Si tiene alguna de las marcas de Enrutadores o NAS afectados, se recomienda restablecer el equipo a su configuración de fábrica y volverlo a configurar procurando evitar las claves por defecto y accesos administrativos remotos desde internet.
  • Descargue las últimas actualizaciones de firmware que pongan a disposición los fabricantes de los equipos, para tratar de corregir las vulnerabilidades que están siendo explotadas por VPN Filter en estos momentos.
  • Evite colocar enrutadores domésticos directo al Internet si está en la posibilidad de colocarlos detrás de un equipo de seguridad que tenga servicios de defensa IPS o Antivirus.

 

 

 

 

 

 

Predicciones en Seguridad IT según WatchGuard Technologies.

(Fuente WatchGuard Technologies – Versión Libre al Español por AltermediosMSS)

Predicciones 2018

1. Los hackers encontrarán una vulnerabilidad suficientemente severa en los blockchain como para acabar completamente con algunas de las criptomonedas. 

Ya el objetivo de los hackers no serán las criptomonedas para cobrar rescate en ataques de ransomware.  Como ha crecido tanto la adopción de las criptomonedas más conocidas y están incorporándose otras nuevas, no sería raro de esperar que el próximo objetivo de los cibercriminales sean las criptomonedas en sí mismas.

2. La creciente adopción de seguros corporativos que disminuyan el impacto económico de un ransomware y en la reputación de las empresas, motivará a los cibercriminales a enfocar sus ataques en las aseguradoras y sus empresas aseguradas.

Debido a que la efectividad de un ataque de spam es inferior a 1% y que apenas un tercio (1/3) de las empresas contaminadas por ransomware están pagando por los rescates solicitados, los autores de estas extorsiones han comenzado a revisar su negocio.  Pensar en subir el valor del rescate solicitado para aumentar (o compensar) sus ganancias reduce la cantidad de empresas que podrían pagar por el rescate. Su alternativa es hacerse más efectivos y apuntar a empresas vinculadas a pólizas de seguros contra este tipo de extorsiones, porque sería más probable que opten por pagar el rescate solicitado.

 3. Se espera que los gobiernos aumenten las regulaciones sobre el Internet de las Cosas (IoT = Internet of Things), debido al crecimiento de Botnets IoT.

El número de fabricantes que están desarrollando dispositivos IoT están en constante aumento.  Estos han reducido la seguridad de los desarrollos IoT para poder tener los nuevos equipos en el mercado lo más pronto posible.  Esta falta de seguridad y el incremento de plataformas multimedia de uso masivo como “Reddit” o “Netflix” hace pensar en que pudiera generarse un ataque masivo utilizando un BOTNET de equipos IoT.  Esto obligará a que los gobiernos den un paso al frente y comiencen a crear leyes que obliguen a los fabricantes de equipos IoT a prestar atención a la seguridad de sus equipos.

4. WatchGuard Labs ha estado observando un incremento en los ataques sobre sistemas basados en Linux durante el 2017 y espera que dichos ataques se dupliquen durante el 2018.

Durante el primer trimestre de 2017 el 36% del malware detectado estaba orientado a dispositivos basados en Linux, mientras que en el segundo trimestre hubo un incremento en la explotación de vulnerabilidades de red asociadas a estos equipos.  Para finales de año 2017, también se detectó un incremento de los ataques basados en sesiones TELNET y SSH sobre servidores LINUX.  Estas tendencias y el hecho que la mayoría de los dispositivos IoT baratos están haciendo uso de kernel linux instalados por defecto, lo cual los hace extremadamente inseguros, obliga a predecir el alarmante incremento de los ataques directos a estas plataformas.

5. La pérdida de datos y fuga de contraseñas obligarán a las PYME a adoptar definitivamente la Autenticación de factor múltiple.

En los últimos años se ha tenido noticias de ataques orientados al robo de credenciales (usuarios y contraseñas) en sitios web muy conocidos.  Esta información robada luego es utilizada para tener acceso directo a servidores y redes, principalmente en aquellas empresas en la que los usuarios utilizan un mismo usuario y contraseña para el acceso a todos sus recursos.  La adopción de Autenticación de Factor Múltiple, surge entonces como una alternativa, pues ya no bastaría con una contraseña para acceder a un recurso o sistema, se requeriría al menos de dos elementos de validación en simultáneo.  Estos sistemas de Autenticación múltiple han tardado en adoptarse en las pequeñas y medianas empresas (pymes) por lo costoso y complejo que resulta su implementación. Sin embargo, se espera que durante el 2018 con el incremento del uso de smartphones y de plataformas de pagos por uso (as a service) se abaraten estos sistemas lo suficiente como para que las pyme comiencen rápidamente su adopción.

6. ¿Que causará mayor impacto en las elecciones durante el 2018? Hackeo de las máquinas de votación o campañas de desinformación y propaganda.

Durante el DEFCON de 2017 un grupo de hackers pudo mostrar cómo hackear máquinas de votación, algo que ha sido intentado por años con mayor o menor grado de éxito.  La posibilidad de tener acceso a las máquinas de votación, provoca que el elector cuestione la credibilidad de un proceso electoral en su totalidad. Sin embargo, los hackers que pudieron llevar con éxito el ataque, tuvieron acceso total y físico a los equipos, cuestión que es imposible que ocurra en una elecciones en la vida real.  Ahora bien, el impacto que genera la duda acerca de la integridad de las máquinas de votación afecta mucho más al proceso electoral que el ataque en si mismo a cada máquina de votación, lo cual sería mucho más díficil y costoso de hacer. Así que pareciera que las campañas de desinformación y propaganda con noticias falsas (fake news) parecieran que van a ser la forma en que se afectarán los procesos electorales del 2018.

7. La tecnología SDR para comunicaciones inalámbricas está siendo adoptada por cada vez más dispositivos comunes como  automóviles, dispositivos de salud, alarmas de edificios, etc.  Esto lleva a pensar que la próxima frontera es el ataque a esta tecnología. 

El Hackeo de Sistemas WiFi se ha vuelto cada vez más común, al punto que ya existen videos tutoriales acerca de cómo hacerlo.  Esto ha llevado a perfeccionar los sistemas de radio definidos por software (SDR), los cuáles permiten modificar el comportamiento de un transmisor de radio con el uso de un programa y un procesador de uso general.  Esta tecnología que inicialmente encontraba su nicho de aplicación en lo militar ahora se ha estado llevando a sistemas cotidianos a los fines de poder modificar a conveniencia y de manera económica su comunicación inalámbrica.

 

Resumen del Análisis hecho por GARTNER del mercado UTM para PyMes.

Un Firewall Multi-función para PYMEs es la definición más general de UTM.  Provee una solución integrada de seguridad en un sólo equipo para Empresas Distribuidas Geográficamente y para las pequeñas y medianas empresas.

Los Servicios que debe proveer un UTM, como mínimo, son los siguientes:

  • Seguridad para Correo Electrónico.
  • Seguridad para Tráfico WEB.
  • Prevención de Intrusiones.
  • Conectividad Remota.
  • Enrutamiento y Balanceo Multi-WAN.

En las PyMes, son bien valorados que un UTM posea una interfaz web para su administración, que sea fácil la configuración de políticas de seguridad, que posea un Sistema de Reportes Integrados y que todo el Software y Documentación relacionados con el UTM se encuentren fácilmente localizados.

El mercado típico de los dispositivos de seguridad UTM son las Empresas que poseen de 100 a 1000 empleados.

La empresas más pequeñas tienen altas presiones presupuestarias y poca consciencia de sus riesgos de seguridad. Sus decisiones de compra son tomadas basadas en aspectos no técnicos, principalmente reconocimiento de marca.

Las empresas medianas, suelen tener un equipo de IT  o encargan en una empresa de servicios asistidos (MSS), el mantenimiento, configuración y monitoreo de la solución de seguridad.

Las empresas distribuidas geográficamente, con muchas sucursales, suelen tener más de mil empleados, sin embargo, sólo una fracción del personal contratado tiene acceso a recursos de IT.  Estas empresas tienden a tener presupuestos aún más escasos y su operación es mucho más complicada por la poca cantidad de miembros que suele tener el equipo de IT.

En los próximos 5 años se esperan las siguientes tendencias en las PYMEs:

  1. 50% instalará una solución de seguridad en la nube y transitará el tráfico de navegación a través de un túnel seguro hasta la nube.
  2. 25% instalará un UTM como un sistema de control y monitoreo de acceso a servicios en la nube, para controlar terminales móviles y para evaluar la seguridad de sus estaciones de trabajo.
  3. 10% de las nuevas sucursales de empresas distribuidas implementará su seguridad bajo el modelo de Firewall como servicio.

Las grandes empresas, tienen necesidades de seguridad diferentes a las PyMes, incluso en sus sucursales, que normalmente atienden con firewalls empresariales del segmento más bajo, aprovechando la economía de escala resultante de las compras por volumen y la facilidad de administración que implica trabajar con una sola consola. Por esta razón GARTNER genera un análisis diferente para Firewalls Empresariales.

A continuación el cuadrante mágico de GARTNER para UTMs

Cuadrante Magico Gartner UTM

Definición de los cuadrantes

LEADERS:  Son los que más venden equipos. Tienen una amplia gama de modelos de equipos para la venta.  Tienen gran cantidad de funciones y son fáciles de gerenciar y configurar.

VISIONARIES: Tienen el diseño y funciones que requieren las empresas que compran UTM, pero carecen de la estrategia o finanzas que le permitan competir con los líderes. Para aquellas empresas en donde la tecnología de seguridad es muy importante, los visionarios son la elección.

CHALLENGERS: Son los que tiene muchas Ventas pero sus Equipos no tienen la tecnología y funciones que requiere el mercado. Son empresas que han tenido éxito con productos en otros segmentos de mercado y que logran hacer ofertas globales (en conjunto) que le permiten obtener buenas ventas.

NICHE PLAYERS: Son vendedores que se enfocan en una vertical de mercado o un área geográfica específica.  Están totalmente enfocadas a su cliente.

 

La Ley Rusa antiterrorista permite a las empresas de seguridad hackear Facebook Messenger, Skype y WhatsApp.

(Tomado y Adaptado al Español de https://www.scmagazine.com/new-russian-law-encourages-firms-to-hack-encrypted-messaging-applications/article/527595/)

Una ley aprobada recientemente Rusia ha dado a las empresas de seguridad del país la luz verde para romper los servicios de comunicaciones cifradas, incluyendo los de Facebook Messenger , Skype y WhatsApp.

ley-yavoraya

La Ley Yarovaya se adoptó como medida contra el terrorismo. Un empleado que trabaja con la firma de seguridad “Con Certeza”, encargado de ayudar a desarrollar las herramientas necesarias para cumplir con la ley, dijo recientemente a la publicación rusa Kommersant que su firma está investigando la posibilidad de acceder a datos sensibles, identificar las partes, obtener sus credenciales, y realizar ataques de Hombre en el Medio, según Letallknow.

“Vamos a revisar dentro de los principales servicios de mensajería – WhatsApp, Viber, Facebook Messenger, Telegram y Skype tanto para iOS como para Android”; informó el empleado de Letallknow.

La ley también requiere que los medios y empresas de comunicación social suministren las claves de cifrado para apoyar a los organismos de seguridad del Estado y requiere que todas las compañías de comunicaciones mantengan información acerca del tráfico en sus servidores durante 3 años y durante 1 año para los medios de comunicación social.

(Créditos Robert Abel)

Dropbox recomienda a algunos usuarios actualizar las credenciales de su cuenta

(Tomado y Adaptado de http://www.scmagazine.com/dropbox-recommending-some-users-update-account-credentials/article/518668/)

Dropbox está recomendando a algunos usuarios actualizar el registro de las credenciales de su cuenta debido a que un conjunto de emails y contraseñas, podrían haber sido comprometidas.

dropbox

La compañía de almacenamiento en la nube dijo que sus empleados de seguridad descubrieron que ciertas direcciones de correo electrónico conjuntamente con las huellas de sus contraseñas podrían haber sido obtenidas por agentes maliciosos en 2012.

En aquel momento, la empresa informó que las credenciales de usuario habían sido robadas de otros sitios web que se utilizaban para validarse en Dropbox.

Dropbox ha comenzado a informar a aquellas direcciones de correo electrónico que se sospecha que podrían haber sido afectadas y los está invitando a actualizar sus credenciales de usuario.

“Basado en nuestro monitoreo de amenazas y a la forma como protegemos las contraseñas, no creemos que a ninguna cuenta se haya podido acceder de manera inapropiada. Aun así, como una de las muchas precauciones, es necesario que quien no haya cambiado su contraseña desde mediados de 2012, la actualice la próxima vez que inicien sesión”, escribió la empresa.

(Créditos Doug Olenick)

Encuesta: Los hackers creen firmemente en la privacidad… a no ser que les paguen para descifrar las contraseñas.

(Tomado y Adaptado de http://www.scmagazine.com/survey-hackers-believe-strongly-in-privacy-unless-theyre-paid-to-crack-passwords/article/520549/)

En una encuesta realizada en la conferencia Black Hat 2016, 4 de cada 5 piratas informáticos estuvieron de acuerdo en que Apple tenía derecho a rechazar la petición del FBI de revelar los secretos del iPhone del francotirador de San Bernardino.

Encuesta Black Hat

Sin embargo, el 52% de los encuestados dijo que podría ayudar al FBI a crackear la contraseña del iPhone por un pago, y otro 9%  dijo que lo harían de forma gratuita.

De acuerdo al Hacker Report Survey – llevado a cabo por la empresa de gestión de cuentas privilegiadas Thycotic – 75% de los encuestados dijo que ellos creen firmemente que las personas merecen la protección,seguridad y privacidad de sus datos (mientras que el 100%, por lo menos, “algo creen” en esto). En contraste a estos valores, el 18% de los encuestados ayudaría al gobierno a entrar en un teléfono por 1 millón de dólares o menos, mientras que el 23% cooperaría si el precio es de 100 millones de dólares o más.

En un panorama bastante sombrío, el 77% de los hackers encuestados dijeron que creen que no hay ninguna contraseña que este a salvo de los piratas informáticos. La encuesta se dará a conocer la próxima semana, pero fue compartida por adelantado con SCMagazine.com

(Créditos Bradley Barth)