viernes, 27 de marzo de 2009

Conficker: colapso total o amarillismo?

El tema de la semana en los foros de seguridad es qué va a pasar el primer día de abril con la versión "C" del gusano Conficker (Downadup) que está programado para cambiar su operación en ese día. La respuesta rápida es que si uno tiene el parche MS08-067 y un antivirus, no le pasará nada y es poco probable que “pase algo en Internet”. Para el resto que ya está infectado con la variante “C”, sólo cambiará su manera de funcionar y no se esperan mayores impactos en Internet. La empresa F-Secure creó un FAQ bastante bueno sobre la relación de la fecha primero de abril y el Conficker; a continuación traduzco algunas preguntas/respuestas de ese FAQ que definitivamente no pueden dejar de leer.

 

P: Escuché que algo realmente malo va a pasar en Internet el 1 de abril. ¿Pasará?

R: No, no realmente.

 

P: En serio, el gusano Conficker va a hacer algo malo el uno de abril, cierto?

R: El gusano Conficker (Downadup) va a cambiar su operación un poco, pero es poco probable que cause algo visible el uno de abril.

 

P: Entonces, qué va a hacer el uno de abril?

R: Hasta ahora, el Conficker ha estado obteniendo datos de 250 dominios diferentes cada día para bajar y ejecutar un programa de actualización. El uno de abril, la última versión de Conficker va a empezar a buscar 500 de 50,000 posibles dominios cada día para hacer lo mismo.

 

P: ¿La última versión? ¿Hay diferentes versiones?

R: Sí, y la última versión no es la más común. La mayoría de las máquinas infectadas están infectadas con la variante B, que empezó a distribuirse en enero. Con la variante B, no pasa nada el uno de abril.

 

P: Entonces, debo de mantener apagada mi PC el uno de abril?

R: No. Deberías de asegurarte que está limpia antes del uno de abril.

 

P: Estoy confundido. ¿Cómo pueden saber de antemano que va a haber un ataque global de virus el primero de abril?

¡Debe de haber una conspiración!

R: Sí, estás confundido. No va a haber un "ataque global de virus". Las máquinas que ya están infectadas puede que hagan algo el uno de abril. Lo sabemos porque hemos llevado a cabo una ingeniería inversa al código y vimos qué es lo que está programado para hacer.

 

jueves, 26 de marzo de 2009

Otra más de un código secuestrador.

Primero te engaña y bajas un programa que aparenta ser una actualización de software. Luego cifra tus datos (DOC, PDF, etc.) sin que te des cuenta. Posteriormente cuando intentas abrirlos te sale un mensaje que están corruptos y que debes bajar una herramienta para recuperarlos. Lo bajas. Recupera uno de los archivos para que veas que es “derecho” y luego te dice que para el resto necesitas pagar la “herramienta” que cuesta $50 USD. Jamás te percatas de que todo esto es obra de un código que secuestra tus datos y que realmente estás pagando un rescate por ellos…el usuario piensa que pagó por una herramienta legítima. Innovador.

miércoles, 25 de marzo de 2009

Symbian predomina

Según Gartner, Symbian predomina en los celulares. Por cuestiones de costo/beneficio, un atacante eficiente seleccionará a Symbian como el sistema operativo al cual debe de dirigir sus esfuerzos/ataques. Lo mismo que con Microsoft.

 

According to Gartner’s final 2008 “Worldwide: Smartphone Sales to End Users by Operating System” stats, reigning mobile OS champ, Symbian, remains on top of the world with a whopping 52.4% majority market share.”

http://www.mobilecrunch.com/2009/03/13/symbian-remains-most-dominate-mobile-os-in-the-world/

 

Más despidos, más ataques?

No es un secreto que actualmente están despidiendo a miles de empleados no sólo en México, sino en el mundo. Incluyendo a personal de TI. Personas con conocimiento técnico valioso no sólo de las TI, sino de las estructuras tecnológicas internas de las organizaciones. Si estas personas no encuentran trabajo, podrían explotar su conocimiento de "otras" formas?

 

Mi predicción es que la tentación será grande para que estas personas se inicien en actividades criminales ya sea explotando el conocimiento que tienen de su ex-organización o simplemente explotando sus habilidades en las tecnologías para sacar provecho y sobrevivir. Esto en consecuencia será materia prima de primera para las organizaciones criminales que se verán beneficiadas al conseguir personal capacitado, responsable y trabajador con un enfoque y visión muy particular que tiene un empleado de una empresa.

 

Para apoyar mi predicción, he aquí una noticia que precisamente habla de que en China, debido a la situación adversa global, se está convirtiendo en una "fábrica" de malware. Es decir, más que una predicción, ya sea un hecho que este fenómeno ha iniciado ya y que sólo se agravará con el tiempo. Más despidos, más gente de TI desempleada, más amenazas, más intrusiones/ataques.

 

Difícil situación: por un lado las empresas quieren recortar personal; por otro lado están soltando a personas que "saben demasiado" como para dejarlas sin sueldo y con familias que mantener, convirtiéndose en candidatas idóneas para pasarse al lado oscuro de las TI. ¿Cuál es el balance correcto? ¿Qué se debe de hacer? Más preguntas que respuestas.

 

Tres debilidades en OpenSSL

A saber: OpenSSL tiene tres debilidades (CVE-2009-0590, CVE-2009-0591, CVE-2009-0789) con diferentes impactos. A parchar si es necesario.
Referencia: http://www.openssl.org/news/secadv_20090325.txt

martes, 24 de marzo de 2009

Votaciones para podcasts y blogs de seguridad.


En el sitio SocialSecurityAwards.com se está llevando a cabo una votación internacional para mejor podcasts y blogs de seguridad; esto en el marco de la conferencia RSA en San Francisco. Yo voté por el mío: www.seguridaddescifrada.blogspot.com. Ustedes pueden votar por sus favoritos.

Sin trabajo. El culpable: Twitter.

Ok, el culpable no es Twitter sino el uso que se le dio. Al parecer un fulano estaba en el proceso de entrar a una plaza de un empleador y escribió en su Twitter:

 

"Cisco just offered me a job! Now I have to weigh the utility of a fatty paycheck against the daily commute to San Jose and hating the work."

 

No fue contratado. Mala jugada escribir que odiaba el trabajo…y para su mala suerte alguien que no debía leerlo lo leyó: http://www.msnbc.msn.com/id/29796962/

 

Ponen de rodillas a navegadores.

Internet Explorer, Firefox y Safari totalmente parchados fueron hackeados; en cuestión de horas encontraron debilidades no descubiertas hasta ahora (es decir, nuevas). Esto en el marco de la conferencia de seguridad CanSecWest que se llevó a cabo la semana pasada en Canadá (http://cansecwest.com).

 

El reto que forma parte de esta conferencia se trató de ver quién podía encontrar primero una nueva debilidad en estos navegadores. Por ejemplo, a Charlie Miller le llevó segundos aplicar su debilidad y demostrar que podía tomar control de una MacBook. FireFox e IE también cayeron finalmente. Los detalles de las debilidades no se comentaron ya que se les dará tiempo a los fabricantes para que emitan un parche (así son las reglas del reto).

 

¿Qué demuestra este reto? Más que demostrar, confirma lo que ya sabemos. Que si alguien con el conocimiento y el tiempo suficiente desea encontrar una debilidad en la aplicación más usada en un equipo (el navegador) o en otras aplicaciones, simplemente lo logrará. No importa que esté totalmente parchado, no importa si es la última versión…simplemente de que se puede, se puede: http://tinyurl.com/cmq5y4.

 

Como siempre, la recomendación es contar con controles preventivos como un firewall personal y/o "cajas de arena" como Sandboxie. Y un control que verifique las comunicaciones que salen de una organización hacia Internet.


miércoles, 18 de marzo de 2009

Cajeros automáticos infectados.

En estos momentos no recuerdo haber leído de un caso práctico de código malicioso para cajeros automáticos. Sí había leído uno que otro artículo que hablaba de la posibilidad de que en la realidad un cajero pudiera ser infectado. Hoy en día, Sophos tiene evidencia de la creación del troyano "Troj/Skimer-A" para cajeros.

 

La información de cómo funciona exactamente este troyano no me queda del todo clara. Sin embargo, hay evidencia de que el fabricante de cajeros Diebold reportó algunos incidentes "aislados" de que en cajeros rusos se puso un troyano que robaba información de las tarjetas y sus respectivos PIN. Lo interesante es que este troyano se debe de introducir manualmente en los cajeros, lo que significa que se altera un cajero en operación o que se altera desde su fabricación o instalación: http://blogs.csoonline.com/diebold_says_hackers_put_trojan_on_russian_atms.

 

Una vez plantado el troyano, éste empieza a copiar la información de las tarjetas introducidas y al parecer imprime la información robada a voluntad del atacante, o la información copiada es presentada en una interfaz alterna del cajero donde el atacante obtiene estos datos (o tal vez el troyano usa ambas opciones).

 

Es importante mencionar que estos cajeros marca Diebold ejecutan una versión de Windows. También cabe mencionar que  los atacantes deben de regresar al cajero en algún momento para obtener la información robada. Sobra decir que para un usuario sería prácticamente imposible saber que un cajero está infectado y que se está robando la información, obviamente porque uno no tiene el control del sistema (cajero) y dadas las múltiples interfaces de estos aparatos y el hecho de que confiamos en ellos y en los Bancos que lo instalaron, pues es un ataque que pasa inadvertido.

 

Por ahí hay investigaciones que han propuesto "mejoras" en los ataques efectuados contra cajeros, siendo la más importante el hecho de que la información robada por el troyano sea enviada vía SMS por un dispositivo escondido en el cajero; esto soluciona el problema de ser capturado evitando regresar a buscar la información robada y soluciona la desconfianza que puede haber entre los involucrados en el robo (por ejemplo, los que instalan el troyano en el cajero pueden ser contratados por el atacante principal con la ventaja de que este último no se expone).

 

En fin, todo un tema este asunto del robo directo en cajeros usando código malicioso. Aquí en México supongo que esto es muy "high-tech" y resulta mucho más fácil robar con arma en mano dada la inseguridad que vivimos. Así es que más que preocuparse por troyanos, mejor tener otras precauciones como usar cajeros de supermercados y a plena luz del día.

 

miércoles, 11 de marzo de 2009

Recomendaciones del Government Accountability Office en EUA

Un estudio del Government Accountability Office en EUA arroja 12 recomendaciones para mejorar los esfuerzos de la "ciber-seguridad" en ese país. De estas 12 recomendaciones comento a continuación algunas que bien pueden aplicar a una empresa:

 

"Develop a national strategy that clearly articulates strategic objectives, goals, and priorities".

Para una empresa, podríamos traducir esto como tener un sistema de gestión de seguridad de la información (SGSI), junto con una misión y visión.

 

"Establish White House responsibility and accountability for leading and overseeing national cybersecurity policy".

La alta dirección es quien debe de impulsar y apoyar la protección de la información, teniendo en claro qué área tendrá el liderazgo en cuestiones de seguridad y que por cierto le deberá de reportar directamente a la alta dirección.

 

"Establish a governance structure for strategy implementation".

Básicamente, tener un Gobierno de Seguridad de la Información (o como dice ISACA: Information Security Governance).

 

"Focus more actions on prioritizing assets, assessing vulnerabilities, and reducing vulnerabilities than on developing additional plans".

Análisis y mitigación de riesgos.

 

"Place greater emphasis on cybersecurity research and development".

No todo es operación, hay que estar enterados de tendencias, nuevas amenazas y productos de protección...en pocas palabras, estar al día.

 

"Increase the cadre of cybersecurity professionals".

¿Tenemos un área de seguridad de la información? ¿Están capacitados? ¿Son suficientes?

 

"Make the federal government a model for cybersecurity".

Buscar que en el ramo de nuestra empresa (sector salud, industrial, etc.) seamos líderes en cuestiones de seguridad de la información...¿por qué no?

 

Si desean tener acceso a todas las recomendaciones vayan a: http://www.gao.gov/highlights/d09432thigh.pdf

lunes, 9 de marzo de 2009

Lecciones de la renuncia en el National Cybersecurity Center.

Rod Beckstrom dirigía el National Cybersecurity Center de EUA. ¿Alguien había oído hablar de Rod o de su "Centro Nacional de Ciber-Seguridad"? Si la respuesta es no, eviten sentir culpa. Lo cierto es que al parecer hay un desorden para dirigir y encabezar la seguridad en los EUA...algo parecido podría pasar a nivel empresa?

 

No deseo meterme mucho en los orígenes de este Centro Nacional, pero sí a las razones que Rod expuso para dejar el cargo: el señor se fue al parecer por una lucha de poder con la NSA y también al poco personal a su cargo, así como fondos insuficientes. Este Centro Nacional debería de haber encabezado una coordinación de las políticas gubernamentales de ciber-seguridad...en pocas palabras, ver que todas las agencias "jalaran parejo" en su esfuerzo para proteger la información digital. ¿Qué tanto de esto podría suceder a nivel de una empresa?

 

a).- Sin cabeza. Me parece que EUA carece de una cabeza que coordine los diferentes esfuerzos en materia de seguridad y que establezca un rumbo claro de qué se desea lograr y cómo; o lo que es lo mismo: cada quien jala para donde cree que debe de ir. Igualmente una empresa requiere de dirección (una cabeza) en cuestiones de gestión y administración de seguridad de la información. Aquí supuestamente Rod era la cabeza pero al parecer nadie lo seguía.

 

b).- Reglas poco claras. Si mañana se adquiere una solución de cifrado de correo, quién la pone en marcha y administra: seguridad o el área de Exchange? Si las reglas son poco claras, esta decisión se prolongará y se hará sin bases. EUA tiene el problema de que varias agencias y departamentos gubernamentales tienen "pedacitos" de la seguridad de ese país y cuando ponen un Centro Nacional de Ciber-Seguridad nadie le hace caso. ¿Quién debe de encabezar y dirigir estos esfuerzos? Con reglas poco claras, ahí tendremos a la NSA, FBI y DHS peleando por el “hueso”.

 

c).- Poco apoyo. Una y otra vez nos repiten que se requiere el apoyo de la alta dirección para impulsar la protección de la información. El señor Rod vivió en carne propia el hecho de tener poco apoyo de las altas esferas, volviendo sus tareas más que difíciles de cumplir. El poco apoyo fue una de las causas de su renuncia y por lo cual otras áreas acabaron con Rod.

 

d).- Presupuesto. Un área sin dinero es un área con "poderes" muy limitados. Rod no tenía casi personal y carecía de fondos suficientes. Si no le das dinero al área de seguridad para gestión, para contratar personal y comprar herramientas entonces no se obtendrán los resultados esperados.

 

¿Alguna otra lección que debamos aprender del señor Beckstrom? Tal vez haya más leyendo la noticia completa: http://online.wsj.com/article/SB123638468860758145.html

 

viernes, 6 de marzo de 2009

Especificaciones del helicóptero presidencial en P2P

¿Son importantes las especificaciones del helicóptero "Marine One" del presidente de los EUA? Tal vez para el ciudadano común no, y no sé si alguien pueda aprovechar de alguna manera esta información. Pero por simple precaución, no creo que estas especificaciones de diseño deban de andar "volando" por un red P2P, cortesía de un empleado "desconocedor".

 

El empleado trabaja (¿trabajaba?) para un contratista militar y "se le hizo fácil" instalar un programa P2P (¿para bajar música o películas ilegales?) y sin saberlo, compartió carpetas importantes de su disco duro desde donde se extrajeron las especificaciones y al parecer pudieron ir a parar hasta Irán.

 

¿Por qué un contratista tiene este tipo de información en un ambiente tan descuidado? ¿Por qué se le permitió a su programa de P2P salir siquiera de la empresa a Internet? ¿No deberían de estar estos puertos cerrados en el firewall perimetral? ¿Un usuario es administrador de su equipo y puede instalar cualquier cosa?

 

Hasta el estándar 27001 (que unos dicen es light para ambientes militares) establece que se deben de evaluar los riesgos asociados por “tercerizar” el trabajo. Mi pregunta para ustedes es: permiten P2P en sus empresas?

 

jueves, 5 de marzo de 2009

El regreso de L0phtCrack.

Los que alguna vez hicimos algún curso de hackeo ético o que por curiosidad hayamos estado probando herramientas de seguridad, seguramente habremos usado alguna versión de L0phtCrack. Era una herramienta bastante interesante para "romper" contraseñas de Windows capturadas en un archivo o vía red. Una empresa de seguridad la adquirió hace unos años y la dejó en el olvido. Ahora todo indica que está de regreso.

 

Los creadores originales de L0phtCrack la han recuperado, la han mejorado y agregado nuevas funciones y podría estar a la venta próximamente...seguramente en http://l0phtcrack.com/ se podrá encontrar más información al respecto.

 

Me llamó la atención esta noticia ya que como mencioné, llegó a ser "La" herramienta para romper contraseñas de Windows (o al menos de las mejores), inclusive no falta quien guarde por ahí una versión "viejita" del software y lo siga usando en demostraciones o para seguir "recuperando" contraseñas de Windows.

 

La aplicación siempre sugirió ser una herramienta de seguridad, aunque la verdad sea dicha, fue muy usada por todo tipo de personas y no siempre para la recuperación de contraseñas olvidadas. Habrá que ver cómo funciona la nueva versión y si vale la pena comprarla.