10 simplificaciones sobre seguridad defensiva o ofensiva (y II)

Por lo general somos malos realizando evaluación de riesgos de forma realista, y los modelos de seguridad son sesgados. La causa a menudo es la simplificación excesiva. En la primera parte se analizaron los supuestos defensivos y ahora se continúa con los supuestos ofensivos.

Simplificaciones ofensivas

6. Seguridad por oscuridad no tienen ningún valor
Este es uno de los más perniciosos supuestos en el lado ofensivo, defendidos por aquellos especializados en encontrar defectos explotables y realizar penetration test. Utilizando un argumento ad absurdum, si la seguridad por oscuridad no tiene valor, no tendría sentido actualizar el software vulnerable. Cuesta tiempo y presupuesto encontrar defectos en el software y evidencia de esto es el hecho de que veamos mucho más explotación de vulnerabilidades conocidas que desconocidas. Si pudieramos eliminar todas las vulnerabilidades conocidas de un solo golpe, de manera que la única oportunidad de explotar un fallo sea a través de los 0-day, los ataques exitosos caerían inmediatamente.

7. Una vulnerabilidad simple = Toda su base nos pertenece
Un portavoz de la industria defendió esta posición recientemente en una lista de correo electrónico, diciendo que cuando un atacante accede a la seguridad de un software toma control de todo el sistema. Si la seguridad de sus activos críticos depende de la inexistencia de defectos en los extremos de la red, esta suposición podría ser verdad. Pero los ataques del mundo real tienen que funcionar en diversas fases de la cadena y el objetivo de la seguridad actual debería ser prevenir o detectar ataques en varios puntos de la cadena. Algunas organizaciones incluso pueden permitir estos ataques y aprovecharlos como trampas (honeypots) par observarlos y registrarlos.

8. La universalidad de las técnicas de ataque
Cuando se presenta una nueva técnica de ataque, el defecto se discute como si siempre tuviera una amplia aplicabilidad a pesar de que sólo se ha demostrado en un contexto particular. La posibilidad de que la técnica funcione sólo en algunas circunstancias muy limitadas, contra un software o sistemas en particular, es a menudo pasado por alto. El peligro surge cuando los defensores gastan recursos innecesarios en las defensas (innecesarias) contra este tipo de ataques.

9. Los seres humanos hacen imposible la seguridad
Es un lugar común decir que "los seres humanos son el eslabón más débil de la seguridad". Si bien ciertamente parece que los errores cometidos por los seres humanos son la causa principal de la mayoría de las brechas de seguridad de una organización, en la mayoría de los casos, estos errores son posibles gracias a procesos violados, falta de supervisión y de auditoría suficiente, o por no poner los controles adecuados que permitan mitigar las vulnerabilidades a aquellos usuarios finales ignorantes de la seguridad.

10. La educación del usuario es un fracaso
Muchas organizaciones tratan de frustrar los ataques, tales como correos electrónicos de phishing, educando a los usuarios para reconocer y evitar este tipo de mensajes falsos. La evidencia hasta ahora sugiere que este enfoque en la práctica casi no tiene valor. Sin embargo, si en lugar de tratar de evitar los ataques de esta manera, se les pide a los usuarios que reporten los mensajes sospechosos a un admnistrador, la práctica puede ser muy valiosa.
En el primer caso, si uno de cada 10 empleados cae en el engaño, la seguridad de la organización será comprometida. En el segundo caso, si uno de cada 10 empleados informa del phishing, el ataque puede ser detectado y frustrado, convirtiendo al usuario final en un sensor efectivo.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Vulnerabilidad crítica en Oracle Java 6 y 7 (Parchea!)

Una vulnerabilidad clasificada como crítica fue encontrada en Oracle Java hasta 6 Update 45 y 7 Update 21.

Una función desconocida del componente Networking es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad relacionada a escalamiento de privilegios.

La vulnerabilidad se dió a conocer y fue solucionada ayer como parte de las 40 actualizaciones de Oracle Java SE Critical Patch Update Advisory – Junio 2013. La vulnerabilidad fue identificada como CVE-2013-2451 y resulta difícil de explotar porque el ataque sólo se debe hacer localmente aunque la explotación no necesita ninguna autentificación específica. No se conocen los detalles técnicos y por ahora no hay ningún exploit disponible.

El mejor modo sugerido para mitigar el problema es actualizar a la última versión Java 7 Update 25-

Fuente: SCIP

Seguir leyendo »

Ciberseguridad sin atacar la privacidad

La privacidad y la confianza entre estados son los únicos pilares que pueden sustentar una estrategia creíble de ciberseguridad. Así lo defiende el Supervisor Europeo de Protección de Datos (SEPD), que alerta sobre las deficiencias de la estrategia de la UE en esta materia, y llama la atención para que la seguridad informática no se convierta en una excusa para controlar ilimitadamente la información personal de los ciudadanos.

El Supervisor Europeo de Protección de Datos (SEPD), organismo que se encarga de la protección de datos personales en la Unión Europea, acaba de publicar su valoración sobre la Estrategia de Seguridad Cibernética de la Unión Europea. El SEPD asegura que, el esfuerzo común por reforzar los principios de protección de datos y la política de seguridad informática, es una muy buena noticia, aunque "la estrategia no es clara en cuanto a cómo se aplicarán estos principios en la práctica para garantizar la seguridad de las personas, empresas, gobiernos y organizaciones".

El 7 de febrero de 2013, la Comisión y la Alta Representante de la Unión Europea para Asuntos Exteriores y Política de Seguridad, remitieron al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones un informe sobre la estrategia de Seguridad Cibernética de la UE para crear un ciberespacio abierto, seguro y protegido. Ese mismo día, la Comisión adoptó una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a las medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en toda la Unión y la envió al SEPD.

El máximo organismo responsable de la supervisión y protección de los datos personales de los ciudadanos europeos acaba de publicar su valoración . «No hay seguridad sin intimidad, así que estoy encantado de que la estrategia de la UE reconozca que no se trata de colocar enfrentadas la vida privada de la seguridad cibernética, sino más bien de que la privacidad y la protección de datos sean los principios que guíen la seguridad informática. Sin embargo, la estrategia no refleja la forma en que se llevará a cabo. Reconocemos que la seguridad cibernética debe abordarse a nivel internacional, a través de normas y cooperación internacionales. No obstante, si la UE quiere cooperar con otros países, incluyendo los EE.UU., debe ser necesariamente sobre la base de la confianza mutua y el respeto de los derechos fundamentales, requisitos que en la actualidad parecen comprometidos», ha asegurado Peter Hustinx, Supervisor Europeo de Protección de Datos.

Para el SEPD, las medidas para garantizar la seguridad cibernética pueden requerir el análisis de algunos datos personales de los ciudadanos, por ejemplo, las direcciones IP consultadas por algún individuo específico. Sin embargo, la seguridad informática debe garantizar la protección de los derechos de privacidad y protección de datos, es decir que el tratamiento de estos datos sea proporcionado, necesario y lícito y aseguran los expertos, en la estrategia no se explica cómo se van a compaginar.

En la valoración del SEPD se subraya la ausencia de mención en la estrategia de las entidades nacionales de protección de datos (APD) y su posible colaboración con agencias a nivel europeo (Europol, ENISA,...). Según el Supervisor, las entidades nacionales juegan un papel determinante en garantizar la seguridad en el tratamiento de datos personales y en hacer cumplir las reglas que se aplican a las personas y las organizaciones de los países de la UE y deben servir de enlace con las agencias europeas.

El Supervisor Europeo de Protección de Datos es una autoridad de control independiente dedicada a la protección de los datos personales y de la intimidad y a la promoción de buenas prácticas en las instituciones y órganos de la UE. Lo hace a través de la supervisión de datos personales de la administración de la UE, el asesoramiento sobre políticas y leyes que afectan a la privacidad y la cooperación con las autoridades análogas para garantizar una protección de datos consistente.

En la UE rige el Reglamento (CE) n º 45/2001 sobre protección de datos, que se basa en dos principios fundamentales:

• El responsable del tratamiento de datos debe respetar una serie de obligaciones pero la más importante, sin duda, es que los datos personales sólo pueden ser procesados por una razón específica y legítima que debe indicarse en el momento en que se recogen la información.
• La persona cuyos datos se tratan - el interesado - disfruta de una serie de derechos exigibles entre los que se encuentra, por ejemplo, el derecho a ser informado sobre el proceso y el derecho a corregir los datos.

Dentro del reglamento se especifica claramente a qué se refiere cada término.

Cuando se habla de información personal o datos, se refiere a toda información sobre una persona física identificada o identificable. Los ejemplos incluyen nombres, fechas de nacimiento, fotografías, direcciones de correo electrónico y números de teléfono. Otros detalles, como los datos de salud, los datos de tráfico, el uso del teléfono, correo electrónico o Internet también se consideran datos de carácter personal.

Al hablar de privacidad, el SEPD se refiere al derecho de toda persona a estar solo y al control de la información acerca de esa persona. El derecho a la intimidad o vida privada está consagrado en la Declaración Universal de los Derechos Humanos (artículo 12), el Convenio Europeo de Derechos Humanos (artículo 8) y la Carta Europea de Derechos Fundamentales (artículo 7). La Carta también contiene un derecho explícito a la protección de datos personales (artículo 8).

Por Privacidad se refiere a buscar la intimidad y protección de datos a través del diseño y la arquitectura de sistemas y tecnologías de la información y la comunicación, con el fin de facilitar el cumplimiento de los principios de privacidad y protección de datos.

La Limitación de la finalidad defiende que la información personal puede ser recopilada con fines determinados, explícitos y legítimos. Una vez que se obtiene, no se puede procesar posteriormente de manera incompatible con dichos fines. El principio está diseñado para proteger a las personas, al limitar el uso de su información a efectos predefinidos, excepto bajo condiciones estrictas y con las debidas garantías.

Si estos mecanismos fallan, puede provocarse la Violación de los datos, es decir, que los datos personales en poder de un organismo (generalmente un proveedor de telecomunicaciones) son accidental o deliberadamente perdidos, robados, destruidos, cambiados, consultados o revelados.

Fuente: Europa Press

Seguir leyendo »

(ISC)2 presenta CCFP, nueva certificación en informática forense

(ISC)2, la mayor agrupación sin ánimo de lucro del mundo profesional de Seguridad de la Información, con administradores CISSP y CSSLP, anuncia el lanzamiento de una nueva certificación: Certified Cyber Forensics Professional (CCFP), como el primer estándar global que acredita los conocimientos y experiencia de los profesionales especializados en evidencias electrónicas e informática forense.

En principio, esta certificación estará disponible en Estados Unidos y en Corea del Sur desde el próximo 25 de septiembre. La certificación CCFP abarca las disciplinas de Digital Forensics y Seguridad de la Información y refleja las prácticas y técnicas internacionalmente aceptadas y los principios éticos requeridos en esta materia.

CCFP se convertirá en una acreditación sobre los conocimientos y experiencia en análisis digital forense de los profesionales y las organizaciones que los contratan. Con el transcurso del tiempo, según se generalice su adopción, estas siglas se asociarán con la calidad de los equipos avanzados en esta disciplina, que aumentarán su credibilidad de cara a futuros contratos y oportunidades de negocio.

Fuente: Red Seguridad

Seguir leyendo »

10 simplificaciones sobre seguridad defensiva o ofensiva (I)

Por lo general somos malos realizando evaluación de riesgos de forma realista, y los modelos de seguridad son sesgados. La causa a menudo es la simplificación excesiva. Antes de comenzar cualquier análisis, vale la pena pensar si los siguientes supuestos defensivos y ofensivos son válidos, según ha publicado Bit9 recientemente.

Simplificaciones defensivas

1. Los atacantes tienen recursos infinitos
Este es un mantra tantas veces escuchado y que "conducen a la locura." Si los atacantes tienen recursos infinitos y son omnipresentes, no hay grieta en la cual ya no hayan infiltrado. Este pensamiento daría lugar al derrotismo y nos lleva a gastar muchos recursos contra ataques poco probables o completamente irreal. Los recursos de los atacantes son finitos y es absolutamente necesario aprovechar este hecho.

2. El control de seguridad "X" hará que mi organización sea segua
Los controles no proporcionan seguridad. Proporcionan herramientas a través de las cuales las brechas de seguridad pueden ser más fácilmente abordables. Los seres humanos son la causa de la mayoría de las brechas de seguridad, pero los seres humanos también son la mejor arma que tenemos para hacer frente a estas deficiencias. Todos los controles se pueden implementar bien o mal, pueden ser suficiente o insuficiente monitoreados y ser interpretados correctamente o incorrectamente. Los seres humanos hacen la diferencia.

3. La seguridad es un objetivo a alcanzar
La seguridad no es un objetivo a alcanzar. La seguridad es mejor considerarla como una serie infinita de bifurcaciones, una serie sin fin de opciones a considerar, que se pueden ir abordando de manera incremental solucionando o causando nuevas brechas de seguridad. La seguridad se trata de tomar decisiones correctas con más frecuencia que las incorrectas.

4. La seguridad puede ser "agregada"

La seguridad es una consideración fundamental en los sistemas de información. Agregar capas de seguridad en la parte superior de sistemas que son fundamentalmente inseguros es condenar todo el sistema al fracaso. Un corolario importante es el que da Dan Geer en sus charlas y es que aunque se unan dos sistemas seguros, esto puede resultar en un nuevo sistema inseguro. Obviamente, al juntar un sistema inseguro y un sistema seguro es más probable que resulte un sistema inseguro.

5. Mi organización no está en riesgo

Esta es la hipótesis más peligrosa de todas. Si bien los atacantes no tienen recursos infinitos y no son omnipresentes, son sofisticados y tienen muy buenas capacidades y recursos. Si su organización tiene algo que sería de valor para un atacante (y la mayoría lo tiene), es mucho más seguro asumir que usted está en riesgo de pasar por alto el riesgo.

Continua en la segunda parte

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Grid de Energía de EE.UU. bajo ataque

Un informe reciente de los congresistas Edward Markey (demócrata por Massachusetts) y Henry Waxman (demócrata por California) hace referencia a más de una docena de compañías de servicios públicos que reconocieron que están experimentando ataques cibernéticos diarios y persistentes sobre sus redes de energía (APT). Aunque estadísticamente similar a las empresas de otros sectores, hay una mayor preocupación debido a que un ataque cibernético en el sector de la energía EE.UU. tiene el potencial de ser económicamente devastador y conducir a la pérdida de vidas.

Las normas de cumplimiento de North American Electric Reliability Corporation (NERC) prohiben conectar redes críticas de cara a los consumidores o en redes administrativas pero el crecimiento de este tipo de conexiones no deja de crecer y las organizaciones se comenzaron a dar cuenta que el cumplimiento de una regulación no es igual a tener seguridad realmente implementada. El cumplimiento es un gran motivo para comenzar a hablar seguridad, pero las organizaciones tienen que ir más allá.

Por ejemplo:

• ¿Existe la necesidad de estar conectado a Internet para recibir las actualizaciones antivirus?
• Si no están conectados a Internet ¿estos sistemas están realmente protegidos?
• Si están conectados a Internet, ¿están protegidos contra otros ataques en línea?

Una tubería, por ejemplo, tiene una variedad de puntos de control a los cuales potencialmente se puede acceder de forma remota o manual. La posibilidad de ataque al sector de energía de EE.UU, corromper un proceso de refinación, detener un taladro o causar un apagón existe. Lo único que falta es la motivación necesaria.

La arquitectura de red y hardware detrás de gran parte de la infraestructura energética se desarrolló antes de que ataques cibernéticos sofisticados sean una realidad. No es una simple cuestión de tirar unos cuantos millones de dólares para que los problemas desaparezcan. Son necesarios grandes cambios y no todos son de naturaleza tecnológica. La cultura de seguridad tiene que cambiar.

El temor es que se necesitará un evento catastrófico para impulsar la adopción generalizada de soluciones de seguridad más eficaces

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Cuarenta actualizaciones para Java (parchea!)

Oracle lanzará mañana martes un conjunto de parches para Java SE para corregir 40 vulnerabilidades de seguridad. Treinta y siete de estas debilidades podrían ser explotadas sin necesidad de tener un nombre de usuario o contraseña.

Los productos afectados incluyen Java SE, JDK (Java Development Kit), JRE (Java Runtime Environment) y la plataforma de desarrollo de cliente enriquecido JavaFX.

Oracle ha sido criticado en los últimos meses por la seguridad en Java después de una serie de vulnerabilidades de alto perfil y este conjunto de modificaciones de Java aparece después de que Oracle publicó 128 parches para su base de datos, middleware y aplicaciones en abril. Al parecer Oracle ha comenzado a cumplir sus planes de mejora, anunciado hace unos días.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Rootkits basados en BIOS

Todo lo descrito aquí se basa en un proyecto que concluyó a principios de 2011, que fue originalmente iniciado varios años antes. Mientras Wesley Wineberg asistía a la CanSecWest en 2009, Anibal Sacco y Alfredo Ortega de Core Security hicieron una presentación sobre "Persistent BIOS Infection" [PDF] en la que demostraron cómo era posible que parchear el BIOS para hacer algunas cosas desagradables e impresionantes. Su reportaje en Phrack está aquí. Un año más tarde Wineberg tenía que hacer un proyecto a largo plazo así que decidió volver a la carga sobre las BIOS y poner en práctica algunos trucos.

En los últimos años han cambiado muchas cosas en el mundo del PC BIOS. Ahora los estándades dicen que el firmware y el BIOS debe ser firmado y la arquitectura UEFI cambio la forma en que las BIOS eran diseñadas tradicionalmente. La primera evidencia de malware que en realidad infectaba BIOS vino de la mano Webroot con "Mebromi" y de manera bastante similar a la mostrada por Wineberg.

Medidas de seguridad sencillas como el firmado de las actualizaciones de BIOS evitarían fácilmente este tipo de ataques y ya se han hecho algunas investigaciones al respecto, como la presentación de "Attacking Intel BIOS" [PDF] de Rafal Wojtczuk y Alexander Tereshkin.
Así que vale la pena señalar que nada de lo que aquí se describe está diseñado para presentar nuevas vulnerabilidades, sino que es una prueba de concepto que puede ser fácilmente probada y modificada.

El objetivo original del proyecto BIOS Based Rootkits fue determinar si los ataques y malware basados ​​en BIOS era factible y ser capaz de verlos funcionando, a pesar de las nuevas tecnologías están haciendo este tipo de ataques menos relevante.

Si no quieres leer todo el informe y sólo quieres probar los resultados, haz clic aquí para leer las instrucciones y/o ver el video.

Cristian de la Redaacción de Segu-Info

Seguir leyendo »

Seguridad en dispositivos médicos: un asunto pendiente

No podemos negar que los avances médicos experimentados en las últimas décadas han tenido una conexión directa con el, cada vez más extendido, uso de la tecnología en los tratamientos y prevención de enfermedades. Desde hace años venimos usando todo tipo de dispositivos como marcapasos, órganos artificiales y prótesis de todo tipo, algo que ha mejorado notablemente nuestra calidad de vida y que abre todo un mundo de posibilidades según avanza la tecnología.

Hoy en día no es extraño ver prótesis que reaccionan a los estímulos nerviosos del paciente y que incluso permiten controlar dispositivos mecánicos con la mente o recuperar parcialmente la visión a personas ciegas. Este es un campo donde cada año vemos avances importantes y que seguro que nos depara aún muchas sorpresas.

No obstante, si no se tienen en cuenta algunos factores, este uso de la tecnología en el sector médico puede incluir una serie de riesgos que hasta ahora no habrían sido contemplados. Es por ello que la Administración de Alimentos y Medicamentos (FDA) de los Estados Unidos ha lanzado un aviso donde indica que muchos de los dispositivos médicos usados a diario como desfibriladores, pantallas de monitorización de pacientes y dispositivos de anestesia contienen vulnerabilidades a la hora de acceder a ellos que podrían ser aprovechados por un atacante.

Este tipo de vulnerabilidades afectan a unos 300 dispositivos médicos de aproximadamente 40 fabricantes según dos informes que han sido publicados simultáneamente tanto por la FDA como por el Equipo de Respuesta de los Sistemas de Control Industrial (ICS-CERT).

Las agencias estadounidenses FDA (que regula productos farmacéuticos y alimenticios, entre otros) e ICS-CERT (relacionada con la seguridad de sistemas de control industriales y respuesta a incidentes) emitieron comunicados que afirman la presencia de una vulnerabilidad en alrededor de 300 dispositivos médicos, y cerca de 40 fabricantes distintos. La vulnerabilidad, causa principal del alerta ICS-ALERT-13-164-01, consiste en que gran parte de los dispositivos analizados poseen contraseñas por defecto embebidas en el código del controlador del dispositivo. Esto implica que, si bien puede establecerse una nueva contraseña que solamente sea conocida por personal autorizado, un tercero con conocimiento de las contraseñas por defecto podría lograr acceso privilegiado al dispositivo y poner en riesgo su funcionamiento y la integridad física del paciente. Si a esto se le suma otros puntos débiles como la comunicación en texto plano, la falta de autenticación, firmwares sin firma digital y una programación demasiado sencilla, se entiende la necesidad de emitir un alerta para instar a los fabricantes a mejorar estas características cuanto antes.

"Esta vulnerabilidad podría ser aprovechada para cambiar parámetros críticos o modificar el firmware de los dispositivos. ICS-CERT y FDA no tienen consciencia de que esta vulnerabilidad haya sido explotada ni de que algún paciente haya sufrido daños por este tipo de vulnerabilidades".

Bueno, en la vida real puede que aún no tengamos conocimiento de ataques a ese tipo de dispositivos con la finalidad de causar daño a un paciente, pero las series de ficción ya se han encargado de hacerlos realidad. No tenemos más que echar un ojo a alguna de las series recientes de más éxito como Homeland y veremos cómo alguno de sus guionistas ya ha contemplado la posibilidad de un ataque a distancia y hacer que un marcapasos deje de funcionar (ojo, para quien no haya visto la segunda temporada hay un spoiler de los gordos).

Obviamente, en la práctica no resulta tan sencillo como conocer el número de serie del dispositivo que se desea atacar (y menos realizarlo a través de Internet desde miles de kilómetros de distancia). No obstante, existen precedentes como el que comentamos hace unos meses en este mismo blog, donde un investigador consiguió demostrar cómo podía alterar el funcionamiento de varios marcapasos en un área en concreto.

Tanto FDA como ICS-CERT se encuentran trabajando directamente con los fabricantes de estos dispositivos médicos para mitigar la amenaza. Esta vulnerabilidad afecta a la mayoría de fabricantes de estos dispositivos, según informe de Ars Technica. ICS-CERT sugirió que los hospitales "deberían tomar medidas para limitar el acceso a los dispositivos solamente a usuarios de confianza, especialmente en aquellos dispositivos encargados de mantener con vida a los pacientes o que puedan ser conectados directamente a la red de un hospital".

Lo que está claro es que los avances tecnológicos aplicados a la medicina deberían contemplar entre sus características básicas la seguridad a la hora de acceder a ellos, evitando así accesos malintencionados que podrían poner en riesgo la vida del paciente.

Fuente: Protegerse

Seguir leyendo »

España: detenido un joven que grabó más de 160 vídeos de menores por la webcam

La policía ha detenido a un joven colombiano de 22 años acusado de grabar por la webcam más de 160 vídeos de contenido pedófilo tras haber contactado en los últimos meses a través de una red social con más de 900 niños, muchos de los cuales fueron grabados sin saberlo. Entre las víctimas de sus vídeos hay menores ingresados en centros de acogida de Castilla-La Mancha o bien de familias desestructuradas a los que ofrecía drogas y alcohol para ganarse su confianza y tener contactos sexuales con ellos.

La investigación se inició cuando la directora de un centro de menores puso en conocimiento de los policías que dos de los chicos internados podrían estar siendo utilizados por un adulto para dedicarse al menudeo de droga. Así, comunicó a los agentes que varios adolescentes se ausentaban en ocasiones del centro y al regresar presentaban un aspecto físico deteriorado con síntomas de haber consumido alcohol y sustancias estupefacientes.

Seguir leyendo »

Seguir leyendo »