Deserialization Bug

La vulnerabilidad ocurre cuando una aplicación realiza un técnica utilizada para transferir estructuras de datos sobre la red y entre equipos de cómputo, conocida como "serialización".

Al no llevar a cabo una revisión de las entradas permitidas, conocida como deserialización, un atacante aprovecha para insertar un "objeto" malicioso que a su vez es ejecutado en la memoria del servidor donde vive la aplicación, lo cual le permite desde ejecutar cualquier comando hasta tal vez tomar el control remoto del servidor.

A esta debilidad no se le ha dado la criticidad que merece, por lo cual es importante revisar el detalle y determinar si hay afectación y las posibles medidas de remediación. Hay exploits disponibles, lo cual hace imprescindible tomar medidas en el corto plazo. Te dejo ligas para obtener más información:

http://www.darkreading.com/informationweek-home/why-the-java-deserialization-bug-is-a-big-deal/d/d-id/1323237

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#thevulnerability

http://www.securityweek.com/remote-code-execution-flaw-found-java-app-servers

http://www.contrastsecurity.com/security-influencers/java-serialization-vulnerability-threatens-millions-of-applications

https://dzone.com/articles/point-of-viewwhy-the-java-serialization-vulnerabil

Reflexiones sobre la intrusión a Hacking Team

Les comparto mi artículo que trata el tema de la intrusión a Hacking Team, espero sea de su agrado.

Cómo Detectar Correos Fraudulentos ("Phishing")

¿Qué es el "phishing"? Sin irnos a las definiciones formales, se refiere al envío de un correo electrónico fraudulento que aparentemente viene de alguien o de alguna organización, para crear confianza en quien lo reciba y así decida abrirlo y seguir las indicaciones que ahí se solicitan. Quien lo manda desea normalmente que el usuario abra un archivo adjunto o bien, visite un sitio de internet. 

¿Para qué querría lograrlo? Porque el archivo adjunto es un virus, o porque el sitio es malicioso e intentará comprometer al sistema que lo visite. Una vez infectado el equipo, los objetivos serán de diversa naturaleza como por ejemplo robar información (tal vez de la banca en línea) o secuestrar  los archivos y fotos para pedir "rescate" por ellos si es que se desean de vuelta. 

Cualquiera de nosotros puede ser el receptor de uno de estos correos; de hecho la mayoría se envían indiscriminadamente a miles de cuentas de correo con el objetivo de que un porcentaje (aunque sea pequeño) de los receptores se conviertan en víctimas al infectarse su sistema de cómputo. 

Si bien un antivirus instalado y actualizado podría ser de ayuda al evitar algunas de estas infecciones, su protección para nada es infalible (sobre todo al tratarse de virus hecho en casa: México) y no está de más saber detectarlos para borrarlos y hacer caso omiso de los mismos. A continuación algunas de las características de este tipo de correos fraudulentos tipo "phishing" que nos puede ayudar a detectarlo "manualmente": 

1.- Tienen faltas de ortografía. Por lo general, los atacantes no tienen el cuidado o la disciplina para cuidar su ortografía, por lo que terminan redactando un mensaje con varios errores a lo largo del mismo. Esto contrasta con correos legítimamente enviados por una organización que por lo general están bien escritos. 

2.- No están personalizados. Los correos "phishing", al no ser legítimos, no están personalizados. No conocen mi terminación de la tarjeta de crédito. Tampoco mi RFC o la cuenta de mi recibo de luz o agua. Son mensajes genéricos que aplican a cualquiera, y esa es precisamente la idea.  

3.- Cuentan con argumentos para abrir el archivo adjunto o visitar un sitio web. Los mensajes sostendrán que mi cuenta bancaria tiene un adeudo no reconocido o bien, que la cuenta está a punto de vencer. También pueden apelar a la codicia humana y asegurar que hay un premio o dinero de por medio y que hay más información en el archivo adjunto. O que existe un reporte de crédito que debo de abrir, o bien, que es de importancia vital que visite una liga web porque si no cancelarán mi cuenta del banco o de la propia cuenta de correo, por ejemplo. 

No mencionan un número telefónico a donde pueda llamar porque eso no es lo que desea el atacante. Así es que habrá cien argumentos que intentarán asustar, sorprender o poner en duda al usuario para maximizar las probabilidades de que haga lo que el mensaje desea: abrir un adjunto (con virus) o visitar un sitio web (malicioso). Cabe mencionar que no es raro que los argumentos presentados por el defraudador no tengan sentido o carezcan de congruencia; y no es raro recibir estos mensajes de bancos o instituciones de las cuales ni clientes somos. 

4.- Liga falsa. Ya que estamos hablando de visitar sitios fraudulentos, es importante mencionar un truco muy usado por quien envía "phishing". No está para saberlo, pero cuando uno recibe un correo es probable que lo reciba en cierto formato que permite escribir un sitio web www.revistamasseguridad.com dentro del mensaje, pero que al hacer click sobre él, realmente nos dirija a www.maligno.com. 

La solución: antes de hacer click, simplemente es importante pasar el puntero del ratón sobre la liga para que se abra una pequeña ventana automáticamente y que revelará el verdadero sitio de la liga. Así es que si la liga dice www.banco.com pero pasando el puntero encima de ella realmente se nos informa que se trata del sitio sospechoso  www.superbowlarknet.com; es suficiente para declarar a un correo como fraudulento. 

5.- Formato, logotipo y colores diferentes a los mensajes legítimos. Los correos fraudulentos pueden tener logotipos de la empresa de donde aparenta venir que se ven "raros", o bien usar colores diferentes a los normalmente usados, imágenes francamente piratas y en un formato que no es el habitual. Quisiera aclarar que en este aspecto varios de los defraudadores han progresado y ya muchos tienen el cuidado de enviar correos que son prácticamente idénticos a los verdaderos, para no levantar sospechas entre la potencial víctima. Por lo tanto no porque el correo se vea legítimo significa que realmente lo es. 

6.- Información personal solicitada. Es posible que el mensaje fraudulento solicite información personal. RFC, contraseñas, nombres de usuario, números de tarjeta de crédito, domicilio u otros datos similares. Sobra decir que instituciones serias no van a requerir este tipo de información sensible vía correo. 

Y ya casi para concluir, ya que he enlistado algunas de las características de este tipo de correos, quisiera agregar que también son usados como una vía de acceso a redes y sistemas corporativos, es decir, para cuestiones todavía más serias de robo de datos empresariales. Esto es porque cuando un usuario dentro de una organización se infecta por seguir las instrucciones del mensaje fraudulento, de ahí lo atacantes comprometen otros sistemas de la corporación hasta llegar a servidores con información crítica. Así es que no solamente son para robar contraseñas de la banca en línea de un usuario en casa. 

¿Finalmente, qué hacer ante la sospecha de un correo tipo "phishing"? Ante la duda, llamar a la organización de donde supuestamente viene el correo para validar la información y lo que se pide. O bien, ingresar al sitio solicitado pero sin hacer click sobre la liga que ofrece el correo, sino uno mismo abrir un navegador y escribir el sitio; al menos así estaremos seguros de estar yendo a la liga legítima. Si estamos bastante seguros de que se trata de un engaño, hacer caso omiso del mensaje e ignorarlo. Y en ningún caso realizar lo que solicita un mensaje y  enviar información personal vía correo.

Listas blancas, imprescindibles en su arsenal de seguridad

Les comparto mi artículo que TechTarget me hizo el favor de publicar. Trata de lo importante que son las listas blancas para la protección contra código malicioso en un corporativo. Herramienta imprescindible.

http://searchdatacenter.techtarget.com/es/opinion/Listas-blancas-imprescindibles-en-su-arsenal-de-seguridad

Ni Blanco ni Negro

Mi profesor de economía de la preparatoria mencionó una frase que he recordado hasta el día de hoy. "En las personas, no hay blancos o negros, solo diferentes tonalidades de gris". Él se refería a que en su opinión, las personas no son 100% honestas u honradas, y tampoco 100% malignas y diabólicas, sino que hay tonalidades de grises y cada persona tiende a estar de un gris más blanco, o un gris oscuro. 

Podemos o no estar de acuerdo con esta aseveración, pero esta analogía me vino a le mente un día que en una reunión estábamos discutiendo sobre el grado de seguridad que debería de tener un sistema conectado a una red crítica. 

En las computadoras y redes también hay diferentes tonalidades de grises. Solamente resta decidir que tan gris-blanco o gris-negro se desea que sea. Por ejemplo, si está conectada a internet, oscurecerá más. 

Si tiene habilitado los puertos USB por donde se le puede conectar cualquier dispositivo, será un poco más oscuro ese gris. Si no se le aplican parches o es muy poco frecuente, más oscuridad. Y así podemos ir enlistando una serie de características que si se le añaden, su seguridad será más negra cada vez. 

Claro que una seguridad ennegrecida puede significar mayor funcionalidad, es decir, que el sistema sea más fácil de usar y presenta menos "incomodidades" que tiene que "sufrir" el usuario. Por ejemplo, permitimos que un sistema pueda recibir USB y es un grado más inseguro (este medio es uno de los preferidos por el código malicioso para propagarse) pero lo hace más funcional porque nos resulta sencillo trasladar información usando un dispositivo USB. 

Que una computadora tenga antivirus, se parche y actualice con frecuencia, impida recibir dispositivos de almacenamiento tipo USB y que carezca de internet hará que ese sistema sea gris claro, cada vez más blanco.  

Si bien un sistema continuará teniendo cierto grado de tonalidad gris, aquí la pregunta sería que tan gris-blanco deseamos que sea. Y cada vez que incrementa un tono más blanco, hay más seguridad, pero será menos fácil de usar "normalmente". El sistema se puede hacer de un tono gris muy blanco, pero dejará de ser funcional. 

A esto le llamamos el "apetito de riesgo". Es decir, cuánto riesgo deseamos aceptar y que el sistema todavía cumpla con el objetivo que deseamos perseguir en la compañía. Y ese será el balance adecuado entre seguridad y funcionalidad. 

Así es que hay dos enfoques de donde se puede parir. 

Te puedo entregar un equipo desprotegido y le voy añadiendo seguridad y en cada paso me dices si sigue siendo funcional para ti. Hasta llegar al balance adecuado. O al revés, partimos de un equipo bastante seguro y me dices si te sirve, y a partir de ahí le iremos quitando controles de seguridad. 

Claro está, para hacer esto, es importante entender el riesgo informático para decidir de una manera informada hasta dónde llega el apetito al riesgo, es decir, cuánto riesgo deseo aceptar.  

Un día me encontré a un vecino. Me dijo que había subido la barda de su jardín, había puesto nuevas chapas de seguridad e instalado un par de cámaras alrededor de su casa. Me preguntó que si eso era suficiente. Odio las respuestas del tipo "depende", pero depende de varios factores (dónde vive, a qué se dedica, quiénes son sus posibles adversarios, etc.). 

Así es que es una pregunta que requiere un análisis para ser respondida, porque hay que definir cuánto es suficiente y dónde parar. El apetito al riesgo, pues. Lo mismo sucede con los equipos de cómputo, se les puede poner más y más seguridad y llegará un punto en que es o demasiado costoso o poco funcional para cumplir con lo que se desea hacer con el mismo. 

La seguridad tiene un costo (y no me refiero solamente al económico), y es importante decidir hasta dónde queremos empujar esa seguridad con tal de estar protegidos.

Secuestro de Información

Todos hemos escuchado de los virus que infectan a las computadoras. Sin embargo muchos no tendrán muy claras las consecuencias de tener un equipo infectado. Tal vez hayan escuchado que los virus extraen nuestra información o que cambian la apariencia o uso de un sistema, y tienen razón. Sin embargo para las personas, estas son consecuencias no tan importantes y por lo tanto descuidan la seguridad de su equipo. Total, ante una infección, ya se darán el tiempo para desinfectarla y todo volverá a la normalidad.

Y de entre los virus que infectan computadoras, tal vez haya un tipo del que seguramente todos sí que lo encontrarán peligroso y con consecuencias muy palpables para el usuario. Y me refiero a los llamados “ransomware” o infecciones que secuestran archivos de la computadora. La manera de operar de este tipo de código malicioso es que cifra los archivos que están en la computadora, por ejemplo los documentos de Office. Al cifrarlos, lo que hace es volverlos ininteligibles, salvo que se tenga la llave para descifrarlos y que se puedan volver a ver. Y la llave para hacer esto está en poder de los maleantes.

Un virus famoso de este tipo fue CryptoLocker pero ya no está en operación, pero otros han ocupado su lugar, como por ejemplo CryptoWall. A estos virus los controlan varios atacantes quienes crean y administran estos códigos maliciosos y se encargan de infectar sistemas de cómputo Windows. Una vez que este virus llega a la computadora, su objetivo en primera instancia es el de cifrar los archivos de trabajo del usuario, por ejemplo ese reporte en Word o esa hoja de cálculo en Excel con información de las ventas del último trimestre, así como fotos o videos. Cuando el usuario trata de ver alguno de estos archivos, se dará cuenta de que no puede abrirlos por ningún medio. Pronto empezará a notar que todos sus archivos de trabajo, fotos y videos siguen estando ahí pero no es posible abrirlos.

 

Y es cuando un mensaje se abre en la pantalla informando que los archivos fueron “protegidos” con un cifrado fuerte y avisa que ni intentemos recuperar los archivos porque no es posible hacerlo. Y tiene razón. Cuando un programa (malicioso o no) cifra información de una manera adecuada y siguiendo “las mejores prácticas”, no es posible ver la información en su forma original. De hecho el cifrar algo es usado por “los buenos” para proteger información, por ejemplo la corporativa, o también en la red para interactuar con sitios protegidos como la banca en línea.

 

Pero este virus aprovecha esta técnica (la de cifrar) para cumplir con sus objetivos maliciosos. Y aquí viene la peor parte: el mensaje en la pantalla pide dinero para proporcionar la llave que finalmente descifrará la información para el usuario y que con esto vuelva a ver y usar sus documentos, fotos y videos.

Claramente, los creadores de este tipo de virus que secuestran información tienen el objetivo en mente de ganar dinero al momento en que las víctimas pagan el rescate de sus archivos. Tal vez no todos paguen el rescate, pero hay una cantidad importante de gente que sí lo hará con tal de volver a la normalidad. Los maleantes dan cierto tiempo a la víctima para pagar, de otra manera el rescate se incrementa. Hay un par de casos donde la víctima pidió más tiempo sin que se incrementara el costo, y se lo concedieron, pero normalmente cumplirán sus amenazas.

Otros usuarios intentan no pagar y recuperar sus archivos con guías, herramientas o programas disponibles en internet. Sin embargo varios de estos virus están bien diseñados y desarrollados por lo que es virtualmente imposible recuperar la información a menos que se pague para obtener la llave que dará libertad a los archivos. El pago se hace normalmente en moneda virtual (por ejemplo bitcoin) y se cree que los maleantes están ubicados en Rusia.

Por lo tanto y en conclusión, si antes no era una gran preocupación infectarse por un virus, espero haber ejemplificado una de varias amenazas reales que en serio afecta al usuario de una computadora. Es frustrante descubrir que las fotos de la familia, los videos de esos viajes y los documentos donde guardamos información valiosa de pronto ya no los podemos ver ni utilizar. Por lo tanto, es importante seguir algunas reglas básicas para reducir el riesgo y evitar esta (y otras) infecciones, por ejemplo:

·        Mantener actualizado el sistema operativo y sus aplicaciones con los últimos parches de seguridad.

·        Instalar un antivirus y configurarlo para que se actualice diariamente.

·        Respaldar la información periódicamente para poderla recuperar.

Cuatro obstáculos para lograr tus propósitos de seguridad

TechTarget me hizo el favor de publicar el siguiente artículo.

¿Desconectarse de internet durante un DDoS?

Les comparto mi artículo que publicó TechTarget:

http://searchdatacenter.techtarget.com/es/opinion/Desconectarse-de-internet-durante-un-DDoS