22/10/2014

El cibercrimen supone un gasto de U$S 12,7 millones a las empresas

HP y el Instituto Ponemon han presentado Estudio del Coste de Cibercrimen 2014 (infografía), en el que se pone de manifiesto, que los ciberdelitos han supuesto un promedio de 12,7millones de dólares para las organizaciones, aumentando un 96 % respecto al primer informe que ambas instituciones elaboraron hace cinco años.

De los 17 sectores incluidos en el estudio, todos han afirmado haber sido víctimas de la ciberdelincuencia, con el volumen anual más alto por cada organización estadounidense en las industrias de Energía, Servicios Públicos y Defensa. Del estudio se desprende que la ciberdelincuencia es común e intrusiva. Las organizaciones han experimentado durante este año un aumento del 176 % en el número de ciberataques con un promedio de éxito de 138 ataques a la semana en comparación a los 50 ataques a la semana de 2010.

El promedio de tiempo para resolver un ataque cibernético es de 45 días, mientras que el coste medio incurrido durante este período asciende a 1.593.627 dólares, lo que representa un aumento del 40% frente al coste medio estimado de 1.035.769 dólares del año pasado para un período de 32 días.

Sobre una base anual, las cuentas por robo de información suponen el 40 % de los costes externos totales (un 2 % menos que hace cinco años), mientras que los costes asociados a la interrupción del negocio o las cuentas de pérdida de productividad son el 38% de los costes externos (7 % más que hace cinco años). Por su parte, el despliegue de soluciones de inteligencia de seguridad ha mitigado el impacto de los ciberdelitos con un promedio de ahorro este año de 5,3 millones de dólares, lo que ha supuesto un 32% más respecto al ahorro del año pasado.

Fuente: Muy Seguridad

MyDiamo: cifrado y control de acceso en bases de datos MySQL y MariaDB

Utilizando la herramienta MyDiamo una solución de cifrado que se integra a la perfección con MySQL y MariaDB, dando a los usuarios funciones completas de seguridad en base de datos. La funcionalidad de cifrado por sí sola no es suficiente para proteger los datos confidenciales, por eso es importante la gestión de los controles de acceso y los privilegios que permiten a los usuarios cifrar o descifrar datos. Con MyDiamo no sólo se pueden implementar funciones de cifrado, sino también: el control de acceso, gestión de privilegios de cifrado/descifrado y funciones de auditoría de sus mecanismos de seguridad.

La implementación de este tipo de seguridad obviamente afecta al rendimiento de la base de datos. Según la pruebas del equipo de desarrollo MyDiamo la degradación del rendimiento de la base de datos después del cifrado es de un 7%. Una perdida de rendimiento asumible en comparando el incremento en seguridad que experimenta después del cifrado. 

Características de MyDiamo

  • Trabaja en los sistemas operativos: Linux y Windows.
  • Ofrece cifrado a nivel de columna utilizando algoritmos de cifrado estándar de confianza como: AES (128 bits), TDES (168 bits), Blowfish (128 bits) y RC4. El Cifrado a nivel de la columna proporciona cifrado de seguridad sensible al contexto. Además, dado que MyDiamo opera paralelo al motor DBMS proporciona cifrado transparente de modo que los desarrolladores pueden hacer uso de la codificación sin modificaciones excesivas.
  • También proporciona cifrado de una vía, o la función hash con clave, que es la forma más segura de proteger los datos de autenticación. MyDiamo puede admitir el cifrado parcial, lo que permite la indexación sin degradación del rendimiento, incluso después del cifrado.
  • Proporciona funciones de control de acceso de los usuarios que trabajan con columnas cifradas (por cada dirección IP y usuario).
  • Funciones de auditoría para las columnas cifradas que incluye: registro de accesos denegados, registro de acceso y registro de consultas.
Fuente: Gurú de Informática

Webcast sobre PCI DSS v3.0 (22/10)

Este evento ha finalizado y ya se puede ver Webcast sobre PCI DSS v3.0.

A partir del próximo enero 2015 empieza a utilizarse PCI DSS v3.0 estándar aunque algunos de los cambios serán solo buenas prácticas hasta junio de 2015 donde pasaran a ser requerimientos de PCI.

Esta presentación incluye una introducción a PCI DSS y remarca los principales cambios que nos trae la v3.0.

El webcast estara a cargo de Mateo Martinez quien es Especialista en Seguridad de la Información y Desarrollo de Software además de Asesor de Emprendimientos tecnológicos. Posee las certificaciones CISSP, ITIL, ISO 27001 Lead Implementer y es Auditor PCI QSA, con amplia experiencia en consultoría de sistemas y seguridad.

Ya se encuentra el video en línea: http://segu.info/ypci

Cristian de la Redacción de Segu-Info

MasterCard prueba prototipo de tarjeta con sensor de huella dactilar

MasterCard está probando una tarjeta de pagos móviles sin contacto con un lector de huellas dactilares integrado, cuyo uso puede autorizar pagos elevados sin necesidad de introducir un código PIN. La compañía ha presentado el prototipo en Londres junto a la empresa Zwipe, una compañía noruega que desarrolló la tecnología de reconocimiento por huella dactilar.

La tarjeta, que contiene el sensor de huellas y seguridad de datos en la tarjeta, no necesita un lector de datos externo. También lleva un chip EMV (usado en las tarjetas de pago europeas en lugar de la banda mangnética para incrementar la seguridad) y una aplicación para permitir los pagos sin contacto. El prototipo presentado es más grande que una tarjeta normal porque incorpora una batería, aunque Zwipe ha dicho que está trabajando para eliminar la batería y hacer estas tarjetas tan finas como las normales.

La tarjeta no tiene limite para los pagos sin contacto, mientras que otros tipos de tarjetas de pago solo pueden ser usados para cantidades de hasta 20 o 25 dólares y necesitan un lector e introducir un PIN en algún momento. El banco noruego Sparebanken ya ha probado la tarjeta y planea ofrecer este servicio biométrico en todas sus tarjetas.

MasterCard quiere eliminar la necesidad de introducir códigos PIN en los pagos, y la biometría pueda ayudar a ello. Apple también está trabajando en estos modelos de tecnología, permitiendo los pagos sin contacto con el nuevo iPhone 6, 6 plus o el iPhone 5S, al vincular las tarjetas MasterCard de la mayoría de los bancos americanos a su teléfono para hacer pagos sin contacto.

Fuente: CIOAL

21/10/2014

China intercepta comunicaciones de iCloud y Hotmail mediante certificados autofirmados

Ya hemos hablado muchas veces del Gran Firewall que usa el gobierno de la República Popular China para analizar e interceptar las comunicaciones. Cualquier mecanismo de evasión en el pasado ha sido bloqueado, como por ejemplo comunicaciones vía sistemas VPN o HTTPs. De hecho, no sentaron demasiado bien cosas como el uso de HTTPs para todas las conexiones a las tiendas de apps, aunque por desgracia la implementación de Apple no sea perfecta y cargue contenido vía HTTP abriendo la puerta a los ataques de SSL Strip.

Ahora, desde Ars Technica podemos ver que el gobierno está utilizando certificados firmados por ellos mismos para el dominio de Apple iCloud, lo que les permitiría acceder a los usuarios y contraseñas de cualquier usuario que se conecte a ellos aceptando la alerta de la conexión. Una vez que tengan el control de las credenciales, todos los servicios asociados, como por ejemplo backups, servicios de localización o almacenamiento de documentos quedarán bajo supervisión del gobierno. Si viajas a China, ten mucho cuidado con dónde te conectas que ya ves cómo las gastan.

GreatFire.org, un grupo que monitorea la censura del firewall del gobierno chino, informa que China está utilizando el sistema como parte de un ataque MitM a los usuarios del servicio de Apple iCloud dentro del país. Los ataques se producen a medida que Apple comienza el lanzamiento oficial del iPhone 6 y 6 Plus en la parte continental de China.

A continuación se pueden ver algunos de los datos:
Acciones similares ya habían sido reportadas en Hotmail en su servidor login.live.com, Yahoo (II), GitHub y Google (II).

Fuente: Aeguridad Apple y Arstechnica

Ataques a iCloud con certificados falsos

Apple ha confirmado ataques reales a iCloud después de publicarse una información que aseguraba que el ejecutivo chino había lanzado ataques masivos de phishing contra Apple y Microsoft.

Los ataques no comprometieron los servidores ni afectaron las conexiones del servicio de almacenamiento en nube, iCloud, aseguran desde Apple, aunque confirman los ataques:
"Somos conscientes de ataques intermitentes de una red organizada a través de certificados inseguros para obtener información de usuarios, y tomamos esto muy seriamente"
Apple explica que los ataques son "contra personas que intentan iniciar sesión en iCloud" y que las últimas versiones de iOS y OS X no deberían verse afectadas por estos secuestros en el navegador.

Apple no ha mencionado si los ataques a iCloud provienen desde China, cuando todavía resuena el escándalo de la publicación de imágenes comprometidas de un centenar de famosos del cine y la música, tras un hackeo al servicio de almacenamiento aprovechando una vulnerabilidad del sistema de almacenamiento en nube de Apple.

CVE-2014-4114: detalles sobre la campaña en PowerPoint de #BlackEnergy y #Sandworm

En la conferencia de Virus Bulletin que se llevó a cabo el mes pasado en Seattle, hablamos sobre cómo evolucionó el troyano BlackEnergy o Sandworm para convertirse en una herramienta maliciosa utilizada por el espionaje en Ucrania y Polonia.
 En nuestra última publicación sobre este tema, mencionamos los siguientes vectores de propagación de malware utilizados en las campañas de BlackEnergy de este año:
  • Documentos de Microsoft Word que contienen exploits, por ejemplo, la vulnerabilidad CVE-2014-1761
  • Archivos ejecutables con un ícono de Microsoft Word, para inducir a la víctima a abrir los archivos
  • Aprovechamiento de vulnerabilidades de Java
  • Instalación mediante el software de control remoto Team Viewer
  • Documentos de Microsoft PowerPoint que contienen la vulnerabilidad CVE-2014-4114 
En esta publicación, damos información adicional sobre el último caso: cómo un archivo creado especialmente para mostrar una presentación de diapositivas en PowerPoint (.PPSX) llevó a la ejecución del dropper BlackEnergy.

Contenido completo en fuente original We Live Security

Anonabox, el mini-router para acceder a TOR es un engaño

Recientemente se había creado una campaña de Kickstarter para Anonabox, un "interesante" router-hardware con software de código abierto que redirige automáticamente todo el tráfico mediante Ethernet o Wifi a través de la red TOR, ocultando la dirección IP del usuario y evitando la censura.

No es el primer proyecto que intenta integrar TOR directamente en un router y de acuerdo con la campaña de Kickstarter, la Anonabox ha pasado por cuatro años de desarrollo y cuatro generaciones de hardware pero por todo  

Pero, el creador de Anonabox hizo un anuncio en reddit y se descubrió rápidamente que todo el proyecto era un router con firmware reflasheado y que se encuentra en AliExpress. Ese router se vende por U$S20 y el Anonabox se ofertaba a U$S51. El "nuevo firmware" era básicamente una instalación estándar OpenWRT con algunos cambios en los archivos de configuración e incluso se entrega con una contraseña de "root" por defecto.

Por todo esto y algunos otros puntos, el proyecto fue suspendido de KickStarter.


Fuente: Hack A Day

20/10/2014

Curso en línea sobre ciberseguridad en sistemas de control y de automatización industrial

El Instituto Nacional de Tecnología de la Comunicación, INTECO, ha desarrollado un curso sobre ciberseguridad en sistemas de control y de automatización industrial, que se ofrecerá gratuitamente bajo la filosofía MOOC (Massive Open Online Courses), es decir, en línea, de forma masiva, y abierto a todo el mundo.
Esta iniciativa es uno de los resultados de las medidas definidas dentro del Plan de Confianza en el Ámbito Digital para España que pretende construir un ecosistema de captación y generación de talento en torno a INTECO, en colaboración con las universidades y el sector privado y buscando siempre la acción complementaria de las iniciativas que otros agentes están desarrollando para la capacitación de profesionales.

El curso está orientado principalmente a profesionales de Tecnologías de la Información (TI) con conocimientos de nivel medio en gestión de la seguridad de TI, análisis de vulnerabilidades y soluciones de seguridad.

Ha sido desarrollado en colaboración con S21sec, Logitek y Tecnalia, empresas de referencia internacional en el ámbito de seguridad en sistemas de automatización y control y punteras en el ámbito de los propios sistemas de automatización y control y las soluciones de seguridad existentes, así como en la Smart Grid, Además, gracias a la contribución del Centro de Ciberseguridad Industrial, se ha contado con la colaboración de profesionales de la talla de Ayman Al-Issa, Patrick Miller o Rubén Santamarta.

Contiene siete unidades didácticas que abordan el estudio de conceptos fundamentales de los sistemas de automatización y control industrial y de infraestructuras, y en particular de las redes eléctricas inteligentes, incluyendo PLCs, RTUs, sistemas SCADA, MES, BATCH entre otros, así como de los aspectos fundamentales de ciberseguridad que les afectan. Se cubren aspectos como vulnerabilidades, amenazas, riesgos, técnicas de ataque, así como las principales buenas prácticas, principios de defensa e iniciativas de seguridad existentes en la actualidad. Este curso gratuito de formación como profesional de seguridad industrial estará disponible tanto en español como en inglés. INTECO abrirá los contenidos el día 27 de octubre con un plazo de inscripción que finalizará el 3 de noviembre.

Fuente: Muy Seguridad

Condenados por RAE.ES: ser 'hacker' es ser un delincuente

La noticia de esta mañana es que la palabra hacker entró en el diccionario de la Real Academia Española.

Según se lee en el boletín de prensa de RAE.es [PDF] y en la nueva entrada del diccionario:
hacker.(Voz ingl.).m. y f.Inform. pirata informático.
y luego se aclara la explicación de pirata informático [4] tambien en rae.es:
Pirata informático. Traducción recomendada para la voz inglesa hacker, ‘persona con grandes habilidades en el manejo de ordenadores, que utiliza sus conocimientos para acceder ilegalmente a sistemas o redes ajenos’: "Un pirata informático logró jaquear los sistemas de seguridad" (Clarín@ [Arg.] 19.6.05).
Lamentablemente parece haberse impuesto, por el uso periodístico, la connotación delictiva de esta palabra. Pese a los esfuerzos de los especialistas del mundo del hacking, cada vez que son convocados por el periodismo, para explicar que un hacker es un especialista con determinadas habilidades en sistemas informáticos que permiten encontrar fallas de seguridad, y que quien hace abuso y comete delitos con estos conocimientos, es sencillamente un delincuente, atacante o pirata informático.

Supongo que en adelante, para no ser confundido con un delincuente, los especialistas en la materia tendrán que usar otro término cuando se presenten de modo de no ser confundidos con un delincuente, y denominarse, por ejemplo, con alguno de estos términos o descripciones:
  • hacker ético
  • especialista en seguridad informática
  • especialista en pruebas de penetración y vulnerabilidades
  • especialista en ingeniería reversa de software orientado a la seguridad
Chema Alonso ha iniciado una campaña en Change para que se cambie el significado de este término.
Raúl de la Redacción de Segu-Info