5 mar. 2021

Nuevos estándares y guías de Seguridad y Privacidad de NIST 2021

En 2020, el NIST dio prioridad a ayudar a las personas y a las organizaciones para moverse a un entorno más en línea y más seguro. A medida que el NIST mira hacia la "nueva normalidad", planea aprovechar las lecciones aprendidas durante la pandemia y ser aún más estratégicos para anticipar y abordar los muchos desafíos que tenemos por delante. Por eso NIST propone:

  • Aumentar la atención en la gestión de los riesgos de ciberseguridad como parte integral del riesgo empresarial
  • Prestar más atención a la intersección entre la ciberseguridad y la privacidad
  • Hacer hincapié en la ciberseguridad de los sistemas frente a los componentes y trabajar en estándares transversales.

Para garantizar el cumplimiento de tales objetivos, presenta y pone a evaluación global las siguientes herramientas de gestión publicadas o a publicar durante 2021:

  • Buscan comentarios públicos sobre el Cybersecurity Framework (CSF): cómo se está utilizando y cómo podría mejorarse. Ya no se verá el CSF de forma aislada. NIST querrá saber cómo podemos combinar mejor el CSF con el Privacy Framework (PF), el Risk Management Framework (RMF) y los enfoques de gestión de riesgos de la cadena de suministro, así como con la gestión de riesgos empresariales (ERM).
  • También emitirán marcos de trabajo para los servicios de posicionamiento, navegación y cronometraje, sistemas electorales y el sector marítimo (borrador). Pronto propondremos una revisión de las Supply Chain Risk Management Practices for Federal Information Systems and Organizations (SP 800-161). Ese es un documento clave de gestión de riesgos de la cadena de suministro (C-SCRM) en el que se confía en gran medida en los sectores público y privado.
  • También trabajan en requisitos Enhanced Security Requirements for Protecting Controlled Unclassified Information un suplemento de NIST SP 800-171 y una nueva revisión de la NIST SP 800-53A, que proporciona procedimientos para evaluar la seguridad y controles de privacidad.
  • También se actualizará la guía Security Guide for Interconnecting information Technology Systems (SP 800-47), que agrega un énfasis muy necesario en la protección de la información intercambiada entre organizaciones y la base de riesgo para las decisiones de intercambio de información.
  • Ya han publicado una guía de inicio rápido para el cada vez más popular Marco de privacidad del NIST. Nominalmente para pequeñas y medianas empresas, esta guía puede ayudar a cualquier organización con recursos limitados a poner en marcha un programa de privacidad basado en riesgos o mejorar uno existente.
  • También han lanzado un paso a paso muy necesario, aportado por las partes interesadas, entre la Ley de Privacidad del Consumidor de California (CCPA) y el Marco de Privacidad.
  • El fortalecimiento de los estándares criptográficos y la validación ha sido durante mucho tiempo un pilar de los esfuerzos de seguridad del NIST, y 2021 no será diferente. Al examinar nuevos enfoques de cifrado y protección de datos que protegerán del ataque de una computadora cuántica, la "ronda de selección" de la competencia del NIST ayudará a la agencia a decidir sobre el pequeño subconjunto de algoritmos presentados que formarán el núcleo del primer estándar de criptografía post-cuántica. El NIST se acercará más a lanzar el estándar inicial para la criptografía resistente a ataques cuánticos, que se dará a conocer en 2022. Antes de eso, muy probablemente este año, el NIST seleccionará a los ganadores en una competencia para solicitar, evaluar y estandarizar algoritmos criptográficos ligeros adecuados para su uso en entornos restringidos donde el rendimiento de los estándares criptográficos NIST actuales no es aceptable.
  • La concientización, capacitación, la educación en ciberseguridad y el desarrollo de la fuerza laboral son más críticos que nunca. La Iniciativa Nacional para la Educación en Ciberseguridad (NICE) liderada por el NIST este año enfatiza la importancia de las "competencias" como una forma de describir las habilidades de ciberseguridad y para comunicarse entre empleadores y estudiantes.
  • A lo largo del año, se esperan más detalles sobre el programa sobre métricas y medidas de ciberseguridad. El objetivo es apoyar el desarrollo de medidas técnicas para determinar el efecto de los riesgos y las respuestas de seguridad en los objetivos de una organización. Entre otras cosas, NIST publicará una versión actualizada de la Performance Measurement Guide for Information Security (SP 800-55 Revision 1) y continuará aumentando la identificación y asignación de métricas en la base de datos nacional de vulnerabilidades (NVD).
  • La gestión de identidades y accesos subyace en gran parte de lo que está sucediendo en ciberseguridad en este momento. Se está trabajando sobre FIPS 201 (el estándar detrás de la tarjeta PIV y las credenciales PIV derivadas) y esperan producir una revisión final este año. Esa "Revisión 3" ampliará el conjunto de credenciales PIV y permitirá la verificación de identidad supervisada remotamente y señalará a la federación como el medio para la interoperabilidad entre organizaciones.
  • Existe una necesidad urgente de demostrar la viabilidad comercial y práctica de IPv6. El NIST trabaja en proporcionar un enfoque, herramientas y métodos para implementar IPv6, comenzando desde un IPv6 en modo de doble-pila y terminando con un IPv6 sólo-red.
  • También se redoblan los esfuerzos de ciberseguridad 5G y Zero Trust de NCCoE. Se buscar trabajar en código abierto que aproveche los estándares de ciberseguridad y las prácticas recomendadas para mostrar las sólidas funciones de seguridad de 5G en una infraestructura de nube confiable. En el proyecto Zero Trust se busca construir una arquitectura de ejemplo que demuestre una implementación práctica de conceptos y principios de "confianza cero" utilizando productos disponibles comercialmente.
  • El esfuerzo DevSecOps recibió apoyo de las partes interesadas y ahora se busca integrar la seguridad en la planificación y los procesos de DevOps y a crear una guía práctica.
  • Los dispositivos de IoT son cada vez más integrales de los sistemas de información. Existen cuatro documentos publicados en diciembre, con el objetivo de garantizar que los dispositivos de IoT estén integrados en los controles de seguridad y privacidad de los sistemas de información. Los documentos ayudan a abordar los mandatos de la Ley de mejora de la ciberseguridad de IoT de 2020 promulgada recientemente en EE.UU. y ayudará a garantizar que el gobierno y los fabricantes de dispositivos de IoT estén en la misma página.

Fuente: NIST

4 mar. 2021

Bitsquatting y Bit flipping: cambiar un bit en el nombre de dominio para secuestrarlo

Un investigador pudo realizar un "bitsquatting" del dominio windows[.]com de Microsoft creando variaciones del mismo, los cuales podrían utilizarse para "ciberocuparlo".

Esta técnica difiere de los casos en los que los dominios de typosquatting se utilizan para actividades de phishing en que no requiere ninguna acción por parte de la víctima. Esto se debe a la naturaleza de un concepto conocido como "cambio de bits", lo que significa que los adversarios pueden aprovechar esta táctica para realizar ataques automatizados y recopilar tráfico real.

¿Qué son bitsquatting y bit flipping?

En el mundo de la informática, todo se almacena en bits (ceros y unos) en la memoria detrás de escena. Esto también se aplica a los dominios. Por ejemplo, windows.com se convierte en 01110111... en la memoria volátil del dispositivo. Sin embargo, ¿qué pasa si uno de estos bits se cambia automáticamente debido a una llamarada solar, rayos cósmicos o un error de hardware? Uno de los "ceros" se podría convertir en "uno" y viceversa.



Según el ingeniero de seguridad y bloguero Remy, esta es una posibilidad real:

"Ahora digamos que la computadora se está calentando demasiado, está ocurriendo una llamarada solar o cae un rayo (algo muy real). Durante el cambio de bits, el dominio 'windows.com' cambia a uno diferente en la memoria "¡Oh, no! ¡Ahora el valor almacenado en la memoria es 'whndows.com' en lugar del correcto. Cuando llegue el momento de hacer una conexión con ese dominio, ¿qué sucede?. Si el dominio existe, se resuelve".

Al ver que eran posibles varias de estas permutaciones de windows.com, Remy elaboró una lista de dominios "cambiados". El investigador notó que de los 32 nombres de dominio válidos que eran permutaciones de 1 bitflip de windows.com, 14 no estaban registrados por nadie y estaban disponibles.

"Este es un caso bastante extraño, ya que por lo general son comprados por una empresa como Microsoft para evitar su uso para intentos de phishing. Así que los compré. Todos ellos. Por ~ U$S 126", dijo Remy.

Los dominios bits ocupados por Remy incluyen: El término bitquatting implica dominios de cybersquatting, que son ligeras variaciones de los dominios legítimos (normalmente con una diferencia de 1 bit).

Puede parecer razonable descartar este concepto como una preocupación teórica, pero los investigadores han observado previamente una tasa de éxito decente de bitsquatting attacks. En un artículo de Black Hat de 2011, titulado "Bit-squatting DNS Hijacking without Exploitation", el investigador Artem Dinaburg observó que cuando ocupó 31 variaciones de ocupación de bits de ocho dominios legítimos de varias organizaciones, recibió un promedio de 3.434 solicitudes diarias de DNS, de lo contrario, se habrían dirigido a los servidores DNS para los dominios legítimos.

Del mismo modo, tan pronto como Remy ocupó los dominios antes mencionados y configuró sumideros para registrar cualquier tráfico, el investigador notó un aumento en el tráfico legítimo. Además del tráfico destinado a windows.com, el investigador también pudo capturar el tráfico UDP destinado al servidor de tiempo de Microsoft, time.windows.com, y el tráfico TCP destinado a llegar a los servicios de Microsoft, como Windows Push Notification Services (WNS) y SkyDrive (nombre anterior de OneDrive).

"No debería sorprendernos que el servicio NTP que se ejecuta en todas las máquinas con Windows en todo el mundo con una configuración predeterminada usando time.windows.com generó la mayor cantidad de tráfico". "También tengo mucho tráfico para otros sitios", continuó Remy en su publicación de blog.

El hecho de que los ataques de bitquatting sigan siendo prácticos, como lo ve Remy, es problemático, ya que un resultado exitoso por parte de un actor malintencionado podría crear muchos problemas de seguridad para las aplicaciones.

Sin embargo, además del tráfico de bits cambiados, el investigador también vio una gran cantidad de consultas provenientes de usuarios que escribían mal los nombres de dominio. Aunque algunas de estas consultas eran casos claros de tráfico de ocupación de bits, el investigador se sorprendió al ver que parte del tráfico provenía de dominios mal escritos por los usuarios finales.

Si bien es poco probable que tanta gente cambie sus servidores de tiempo a un windows.com mal escrito, Remy admite que no existe una forma verificable de demostrar que el tráfico se originó a partir de bitsquatting.

"Desafortunadamente, debido a la naturaleza de la ocupación de bits, no existe efectivamente ninguna forma de probar que no se trataba de errores ortográficos. La única información disponible para la investigación es la que se envía con la solicitud (como el encabezado de referencia y otros encabezados)". Remy le dijo a BleepingComputer en una entrevista por correo electrónico.

Sin embargo, investigaciones anteriores de la firma de ciberseguridad Bishop Fox, que han tenido en cuenta la probabilidad de ocurrencia del tráfico bitsquatting y del tráfico entrante por errores ortográficos, han demostrado el éxito de este tipo de ataques.

El problema no es exclusivo de una empresa en particular o del dominio windows.com. "Había jugado con la idea durante varios años, pero windows.com fue el primer ejemplo que pude identificar de forma decente, debido a su uso en NTP. Los nombres de dominio válidos que eran bitflips de time.apple.com se investigaron junto con time.windows.com, pero descubrí que todos los dominios ya estaban reservados", dijo Remy. Sin embargo, el investigador no confirmó si Apple es la propietaria de todos esos dominios.

Posibles soluciones al problema de la ocupación de bits

El investigador ofreció algunas soluciones que tanto los administradores de dominio como las empresas de hardware podrían adoptar para protegerse contra la ocupación de bits. "En el aspecto preventivo, los dispositivos como computadoras o teléfonos inteligentes pueden emplear el uso de memoria ECC que protege contra la corrupción de datos no detectados en la memoria. Esto ayudaría a prevenir que ocurran en primer lugar".

Por supuesto, la forma más sencilla de prevenir ataques de bitquatting es intentar tomar variaciones de bitflip de los propios nombres de dominio y registrarlos. "Las empresas pueden identificar y reservar fácilmente dominios que probablemente se usarían con ataques de phishing, bitquatting y homográficos de IDN".

Fuente: BC

#LastPass "cuida tus contraseñas", utiliza 7 rastreadores y solicita 36 permisos en Android

Un investigador de seguridad detectó siete rastreadores integrados en LastPass y recomienda cambiar de gestor de contraseñas. Según recoge The Register, el informe de Mike Kuketz, elaborado en base a datos de Exodus Privacy, indica que LastPass cuenta con cuatro rastreadores de Google, que se encargan del análisis e informes de fallas; uno de Segment, que "recopila datos para equipos de marketing" y otros de AppsFlyer y MixPanel. La aplicación tiene 7 rastreadores y solicita 36 permisos en Android.


Kuketz dice que ha analizado la información que transmiten los rastreadores integrados en LastPass. En ese sentido, asegura que envían datos sobre el teléfono, como la marca y el modelo, así como también información sobre si el usuario tiene o no habilitada la función de autenticación biométrica. El alemán sostiene que la integración de código de terceros en un gestor de contraseñas da lugar a potenciales vulnerabilidades de seguridad.

La discusión sobre los rastreadores en LastPass llega en un mal momento. A principios de este mes, la compañía (que es propiedad de LogMeIn) detuvo la proposición de admitir un solo tipo de dispositivo, y muchos usuarios han dicho que dejarían de utilizarlo.

Exodus Privacy compara la cantidad de rastreadores integrados en algunos de los gestores de contraseñas más populares. RoboForm y Dashlane tienen cuatro, el gratuito y de código abierto Bitwarden tiene dos, 1Password y KeePass no tiene ninguno. De acuerdo a estos datos, LastPass, con siete rastreadores, queda a la cabeza del listado.

"Si realmente usa LastPass, le recomiendo cambiar el administrador de contraseñas. Hay soluciones que no envían datos de forma permanente a terceros y registran el comportamiento de los usuarios", dice el investigador de seguridad alemán.

Un portavoz de LastPass le ha dicho a The Register, que "a través de los rastreadores no se pueden pasar datos confidenciales de identificación personal del usuario o actividad de la bóveda". Además, han especificado su uso: "Estos rastreadores recopilan datos estadísticos agregados limitados sobre cómo se usa LastPass, que se utilizan para ayudarnos a mejorar y optimizar el producto".

LastPass ha afirmado que todos los usuarios, independientemente del navegador o dispositivo que utilicen, pueden optar por no participar en los análisis de datos. Si deseas desactivarlos, puedes encontrar la opción correspondiente en Configuración de la cuenta> Mostrar configuración avanzada> Privacidad.

Fuente: HiperTextual

Facebook: realidad aumentada, privacidad reducida

Por

Los planes de Facebook me preocupan. Me preocupan mucho, y cada día me hacen pensar que la red social de Mark Zuckerberg ha perdido el norte por completo, y que el concepto de la privacidad que manejan poco o nada tiene que ver con lo que podemos considerar razonable. Y ya lo he dicho en muchas ocasiones, no tengo nada en contra de la red social per se, no me mueve una animadversión personal ni mucho menos, pero es que con no pocas de sus actuaciones e intenciones, demuestran un poco más que su hambre por los datos personales no conoce fin.

Y es que, según podemos leer en BuzzFeedNews, Facebook está considerando el reconocimiento facial para sus próximas gafas de realidad aumentada, un elemento más de sus planes para el mercado del hardware. ¿Y qué es lo único que se lo podría impedir? Las leyes que velan, precisamente, por la protección de la privacidad. Unas leyes que, con un poco de suerte, servirán de salvaguarda para evitar que los planes de Facebook a este respecto se puedan convertir en una realidad, y que cualquier persona con este dispositivo pueda ir identificando a las personas con las que se cruza por la calle.

Durante una reunión programada para toda la empresa, Andrew Bosworth, vicepresidente de realidad aumentada y virtual de Facebook, dijo a los empleados que la empresa está evaluando si tiene o no la capacidad legal para ofrecer reconocimiento facial en las gafas de realidad aumentada que, según, según algunas informaciones, llegarán al mercado a finales de este año. No se ha decidido nada, dijo, y señaló que las leyes estatales actuales pueden hacer imposible que Facebook ofrezca a las personas la posibilidad de buscar a otras personas basándose en imágenes de su rostro.

Al valorar los planes de Facebook a este respecto, no podemos olvidar que la red social cuenta con uno de los repositorios más grandes de Internet de fotos asociadas a nombres y cuentas de usuario del servicio. Una imágenes que, combinadas con la inteligencia artificial, permitieron a la compañía desarrollar en 2014 DeepFace, el sistema que emplea de manera regular desde 2015 para identificar a las personas que aparecen en las fotografías subidas por los usuarios a la red social. Una tecnología que, podemos deducir fácilmente, se trasladaría a las gafas que Facebook está diseñando en colaboración con Ray-Ban.

Si bien Bosworth afirmó entender las preocupaciones de privacidad sobre el reconocimiento facial, esto no le impidió ser criticó con las legislaciones que prohíben que las empresas privadas recopilen y almacenen datos biométricos como escaneos faciales sin el consentimiento de las personas. Leyes que, según afirmó, en algunos casos tienen más de una década y que, en su opinión, se han quedado obsoletas, y no tienen aplicación en el contexto tecnológico actual.

La argumentación del directivo de Facebook señala que el reconocimiento facial como herramienta en las gafas de realidad aumentada puede ser de gran ayuda para personas con discapacidad visual, además de actuar como un antídoto para la mala memoria, al recordarnos el nombre de las personas con las que estamos interactuando en un momento determinado, si es que no lo recordamos en ese momento. «Oportunidades perdidas«, lo califica.

En su conversación con los empleados, Bosworth afirmó en varias ocasiones ser consciente de la importancia de preservar la privacidad, e insistió en que la aproximación de Facebook a este modelo debería ser respetuosa con la misma. Además, lo planteó como un debate que debería desarrollarse durante los próximos meses, en el que sopesar pros, contras, y los hipotéticos modelos que permitan casar las potenciales utilidades de esta tecnología con el respeto a la privacidad. Algo que, al menos a priori, parece increíblemente complejo.

Me sabe mal decir esto porque, repito, no hablo con acritud, pero Facebook ha protagonizado muchos, demasiados titulares a lo largo de los años en los que, sea por por unas razones o por otras, la privacidad de sus usuarios se ha visto expuesta. Desde intentar comprar datos bancarios de sus usuarios hasta exponer los datos de los mismos por fallos de seguridad, cualquier persona que conozca la historia de Facebook sabe que la privacidad no está, ni mucho menos, entre sus virtudes. Más bien es su eterna asignatura pendiente.

Así, pensar que unas gafas diseñadas por Facebook y conectadas a Facebook pueden ir reconociendo a personas en espacios públicos y privados, es decir, que podemos ser geoposicionados una y mil veces aún si no empleamos la app de la red social en nuestros dispositivos y, sobre todo, no queremos ser geoposicionados, me parece aterrador, y confío en que ningún marco legal a lo largo y ancho del mundo permita el despliegue de una tecnología de ese tipo. En parte, porque quizá no quiera ser reconocido por todo el mundo, y en otra parte, porque tampoco quiero que Facebook pueda saber dónde estoy sin mi consentimiento.

Fuente: Muy Computer

3 mar. 2021

Immunity Canvas 7.26 filtrado y exploits de Spectre publicados

El investigador de seguridad Julien Voisin encontró los dos exploits Spectre operativos de Linux y Windows en la plataforma de análisis de malware VirusTotal.

Spectre fue revelada como un error de hardware en enero de 2018 por investigadores de Google Project Zero. Si se explota con éxito en sistemas vulnerables, los atacantes pueden utilizarlo para robar datos confidenciales, incluidas contraseñas, documentos y cualquier otro dato disponible en la memoria privilegiada. Los ataques de canal lateral de Spectre (CVE-2017-5753) impactan en muchos modelos de procesadores modernos con soporte para ejecución especulativa y predicción de rama hecha por Intel, AMD y ARM y también afecta a los principales sistemas operativos, incluidos Windows, Linux, macOS, Android y ChromeOS.

Los usuarios sin privilegios pueden usar estos exploits para volcar hashes LM/NT en sistemas Windows y el archivo Linux /etc/shadow de la memoria del kernel de los dispositivos de destino. El exploit también permite descargar tickets de Kerberos que se pueden usar con PsExec para la escalada de privilegios local y el movimiento lateral en sistemas Windows.

Immunity Canvas 7.26 filtrado

Los exploits in-the-wild vinculados se cargaron en VirusTotal el mes pasado como parte de un paquete más grande, un instalador Immunity Canvas 7.26 para Windows y Linux.

Una versión de CANVAS 7.26 se ha filtrado y comercializado en línea desde al menos diciembre de 2020, según el cofundador de Hacker House, Matthew Hickey. La herramienta de prueba de penetración CANVAS incluye cientos de exploits, un sistema de explotación automatizado y también viene con un marco de desarrollo de exploits para crear exploits personalizados.

La compañía InmunityInc, creadora de CANVAS, anució que proporciona acceso a los exploits operativos de Spectre (Windows y Linux) meses después de que se revelara la vulnerabilidad.

Si bien los proveedores de sistemas operativos y CPU han lanzado mitigaciones de software y firmware para los productos afectados desde que se reveló Spectre, los usuarios que no han actualizado sus sistemas aún están expuestos a estos ataques. Aquellos que ejecutan versiones antiguas (PC de la era de 2015 con Haswell o procesadores Intel más antiguos) son probablemente los más expuestos a los ataques de Spectre.

Microsoft explicó que los usuarios son más propensos a omitir la aplicación de mitigaciones debido a una disminución más notable en el rendimiento del sistema después del parche.

Como dijo Voisin, los exploits no funcionan si la máquina en la que se ejecuta ejecuta una versión parcheada de Linux o Windows. Además, incluso si un atacante tuviera en sus manos cualquiera de los dos exploits, con solo ejecutarlos no se obtendrá ningún resultado, ya que ambos deben ejecutarse con los argumentos correctos.

Sin embargo, aunque no pueden usarse inmediatamente en ataques por sí mismos, un atacante decidido puede resolverlo con suficiente esfuerzo.

Fuente: BC

Vulnerabilidades críticas en Exchange Server on-premise (PARCHEA YA!)

Microsoft ha publicado una actualización urgente y fuera de ciclo para Exchange Server (on-premise) en respuesta a que se han detectado ataques activos por un actor de amenazas sofisticado. Como se espera que los exploits sean públicos, se insta a las organizaciones a aplicar el parche de forma urgente, en particular a las que están directamente expuestas a Internet. Exchange Online no se ve afectado.

Las vulnerabilidades afectan a Microsoft Exchange Server versiones: 2010, 2013, 2016 y 2019. Microsoft Exchange Server 2010 también recibirá el parche a pesar de que está fuera de soporte. CISA ya ha publicado una alerta al respecto.

Las actualizaciones cubren cuatro vulnerabilidades graves (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065) que combinadas permiten acceso completo al servidor. En enero habían sido reportados por la empresa Volexity y resultan bastante sencillos de aprovechar si el Exchange está expuesto directamente a Internet. Incluso, la empresa publicó videos con detalles.

Estos fallos están siendo explotados por un grupo chino denominado Hafnium y, a través de los 0-Day ahora conocidos, es posible insertar una shell remota en el servidor y controlarlo.

Hafnium ha comprometido previamente a las víctimas mediante la explotación de vulnerabilidades en servidores con acceso a Internet y ha utilizado frameworks legítimos de código abierto, como Covenant. Una vez que han obtenido acceso a una red normalmente extrae datos a sitios de intercambio de archivos como MEGA.

La firma ESET dijo que también encontró evidencia de que CVE-2021-26855 está siendo explotado activamente por varios grupos de ciberespionaje, incluidos LuckyMouse, Tick y Calypso, que se encuentran en servidores de ataque. en EE.UU., Europa, Asia y Oriente Medio.

¿Cómo puedo saber si mis servidores ya se han visto comprometidos?

La información sobre indicadores de compromiso (IOC), como qué buscar y cómo encontrar pruebas de una explotación exitosa (si sucedió), se puede encontrar en HAFNIUM Targeting Exchange Servers.

El equipo de investigación de seguridad de Microsoft Defender ha hecho una publicación relacionada llamada Defendiendo servidores Exchange que ayuda a comprender algunas prácticas generales sobre la detección de actividad maliciosa y mejorar la postura de seguridad.

Para obtener un inventario del estado de nivel de actualización de los servidores Exchange locales, se puede utilizar este script desde GitHub (utilizar la última versión), el cual indica si hay algún tipo de atraso en las actualizaciones de Exchange Server locales. El script no es compatible con Exchange Server 2010.

Si bien esas actualizaciones de seguridad no se aplican a Exchange Online / Office 365, se deben aplicar estas actualizaciones de seguridad en el Exchange Server local, incluso si se usa solo con fines de administración.

Ya existen las reglas de YARA para la detección temprana.

Fuente: Microsoft | Volexity

2 mar. 2021

#MyHeritage / #DeepNostalgia, ¿ángel o demonio de la privacidad?

Los kits de pruebas de ADN, como los de 23andMe, Ancestry.com and MyHeritage, prometen br indar información sobre la genealogía del consumidor y, en algunos casos, información sobre las enfermedades a las que es más susceptible. También piden mucha confianza sobre el manejo de la información del ADN; confianza que, de alguna manera, es posible que no se gane.

Más de 25 millones de personas se han realizado pruebas genéticas en todo el mundo y MyHeritage se encuentra entre los actores más importantes en el uso (¿y abuso?) de las tecnologías de análisis de ADN, Inteligencia Artificial y DeepFace.

Esta compañía, de origen Israelí, está siendo adquirida por una firma de capital privado de EE.UU. por U$S 600 millones. En 2018, MyHeritage ya sufrió una importante fuga de datos que luego se encontraron a la venta en la DeepWeb, entre un amplio juego de cuentas robadas a otros servicios.

El servicio de genealogía MyHeritage utiliza medios sintéticos creados mediante IA como una herramienta para manipular emociones reales y capturar datos del usuario. Acaba de lanzar una nueva función, llamada "nostalgia profunda", que permite a los usuarios subir una foto de una (o varias) persona/s para ver sus caras individuales animadas mediante un algoritmo.

La función de animación facial está impulsada por la compañía israelí D-ID, que comenzó a desarrollar tecnología para des-identificar caras digitalmente con el objetivo de proteger imágenes y videos para que no sean identificables por algoritmos de reconocimiento facial.

La tecnología de animación facial en sí misma ya es lo suficientemente impresionante, si dejas de lado la ética de alentar a las personas a desear "hacer volver" a sus parientes perdidos y ayudar a una empresa privada a realizar una venta de pruebas de ADN, con todas sus consideraciones de privacidad.

La atracción al estilo Black Mirror, de ver a parientes perdidos, o personas famosas de otra época, lleva a una aproximación sintética de la vida, ojos giratorios, rostros inclinados como si se preguntaran por qué están atrapados dentro de este inútil marco de fotos digital, la aplicación ha dado lugar a un flujo inexorable de acciones sociales desde que se dio a conocer en una conferencia de historia.

La estrategia de marketing viral impulsado por la empresa no es complicado: apuntan directamente al corazón y a las emociones para obtener datos que puedan usarse para impulsar suscripciones para sus otros servicios (pagos), como vender pruebas de ADN, que es su principal actividad.

El servicio de "animación de foto" es gratis pero no se puede ver el resultado hasta que se entrega al menos un correo electrónico, las fotos que desean animar, los datos de la tarjeta de crédito y se aceptan sus TyC y su política de privacidad.

El Consejo de Consumidores de Noruega opina que MyHeritage se está tomando libertades ilícitamente excesivas con los datos confidenciales de las personas. El Consejo opina que MyHeritage infringe tanto la Ley de Control de Mercadeo de Noruega como la legislación de privacidad de Noruega. Se destaca que el caso es especialmente grave, ya que se refiere al material genético de los seres humanos. Cuanto más sensibles sean los datos, más estricto será el marco legislativo.

Afirma que MyHeritage, entre otras cosas, pide a sus clientes que firmen un contrato incomprensible: el contrato es del tamaño de un libro, con más de 200 páginas y está repleto de términos que requieren experiencia médica y legal para interpretarlos. Además, se otorgan oportunidades ilimitadas para cambiar los términos y condiciones después de que los haya aceptado. También son reservados con respecto a lo que harán con esta información extremadamente íntima y a quién pueden revelarla. Tampoco garantizan la calidad de los resultados de las pruebas.

Más tarde, también la Asociación de Consumidores de Suecia ha presentado quejas sobre MyHeritage a las autoridades nacionales.

Fuente: TechCrunch

Exitosa campaña de Open Resolvers IPv4 [LACNIC]

El CSIRT de LACNIC, en conjunto con el CSIRT CEDIA, llevó adelante la campaña "DNS open resolvers con IPv4" [PDF], con el objetivo de identificar a los servidores abiertos de los asociados de LACNIC y de forma proactiva recomendar la corrección de su configuración.

El proyecto tuvo un resultado "exitoso", según las conclusiones de sus realizadores, ya que se logró disminuir un gran número de servidores DNS abiertos al mundo, que involucraban recursos de asociados de LACNIC (ver gráfico 1).

La investigación consistió en detectar servidores abiertos IPv4 en las direcciones IP administradas por LACNIC y ayudar a las organizaciones a configurarlos de forma correcta para evitar posibles errores o acciones maliciosas y disruptivas, ya que los mismos pueden ser utilizados para atacar otros sistemas e inclusive llevar a cabo ataques de denegación de servicios.

Tras detectar los servidores abiertos de diferentes organizaciones en la región, los expertos de LACNIC y CEDIA organizaron y enviaron avisos por tres vías diferentes: correo electrónico, contacto directo con el responsable del rango y a través del módulo de seguridad de MiLACNIC. Los avisos contenían las sugerencias de solución del problema.

En la siguiente gráfica se puede comparar el porcentaje de éxito de la operación según el canal de comunicación utilizado. Los responsables del proyecto consideraron una respuesta exitosa cuando el servidor dejó de responder a la consulta realizada.

Como se observa, el correo electrónico resultó el canal más efectivo. "En esta misma línea, se concluye que existen muchas casillas técnicas o de abuso a las que no se pueden enviar reportes por diferentes razones. Es necesario que las organizaciones mantengan estas casillas funcionales y actualizadas para que se les pueda reportar sobre los incidentes de seguridad que pueden surgir", advierte el trabajo del CSIRT de LACNIC y el CSIRT CEDIA.

Efectiva. A lo largo del proyecto, los expertos de LACNIC y CEDIA fueron constatando la evolución de la cantidad de servidores Open Resolvers abiertos al mundo, observando una disminución (gráfica 3).

El CSIRT de LACNIC recomienda a sus asociados que antes de poner en producción un servidor y de conectarlo a Internet, se realice un análisis de su seguridad y un chequeo de su configuración. En ese sentido, el CSIRT de LACNIC tiene a disposición una serie de pasos para ayudar a resolver esas dificultades que se pueden ver aquí

Fuente: LACNIC News

1 mar. 2021

SolarWinds culpa a un pasante por utilizar la contraseña "solarwinds123"

A medida que los investigadores de ciberseguridad continúan reconstruyendo el extenso ataque a la cadena de suministro de SolarWinds, los altos ejecutivos de la firma de servicios de software con sede en Texas culparon a un pasante por un error crítico de contraseña que pasó desapercibido durante varios años.

Originalmente se creía que dicha contraseña "solarwinds123" era de acceso público a través de un repositorio de GitHub desde el 17 de junio de 2018, antes de que se solucionara la configuración incorrecta el 22 de noviembre de 2019.

Pero en una audiencia ante los Comités de Supervisión y Reforma y Seguridad Nacional de la Cámara de Representantes en SolarWinds el viernes, el director ejecutivo Sudhakar Ramakrishna testificó que la contraseña había estado en uso ya en 2017.

Si bien una investigación preliminar sobre el ataque reveló que los operadores detrás de la campaña de espionaje lograron comprometer la construcción de software y la infraestructura de firma de código de la plataforma SolarWinds Orion ya en octubre de 2019 para entregar la puerta trasera Sunburst, los esfuerzos de respuesta a incidentes de Crowdstrike apuntaron a una línea de tiempo revisada que estableció la primera violación de la red SolarWinds el 4 de septiembre de 2019.

Hasta la fecha, al menos nueve agencias gubernamentales y 100 empresas del sector privado han sido violadas en lo que se describe como una de las operaciones más sofisticadas y mejor planificadas que involucró inyectar el implante malicioso en la plataforma de software Orion con el objetivo de comprometer a sus clientes.

"Un error que cometió un interno"

"Tengo una contraseña más segura que 'solarwinds123' para evitar que mis hijos vean demasiado YouTube en su iPad", dijo la representante Katie Porter de California. "Se suponía que usted y su empresa estaban impidiendo que los rusos leyeran los correos electrónicos del Departamento de Defensa".

"Creo que fue una contraseña que usó un pasante en uno de sus servidores en 2017, que se informó a nuestro equipo de seguridad y se eliminó de inmediato", dijo Ramakrishna en respuesta a Porter.

El ex director ejecutivo Kevin Thompson se hizo eco de la declaración de Ramakrishna durante el testimonio. "Eso se relacionó con un error que cometió un pasante, y violaron nuestras políticas de contraseñas y publicaron esa contraseña en su propia cuenta privada de GitHub. Tan pronto como fue identificado y puesto en conocimiento de mi equipo de seguridad, lo retiraron".

El investigador de seguridad Vinoth Kumar reveló en diciembre que notificó a la compañía sobre un repositorio de GitHub de acceso público que estaba filtrando las credenciales FTP del sitio web de descarga de la compañía, agregando que un delincuente informático podría usar las credenciales para cargar un ejecutable malicioso y agregarlo a un Actualización de SolarWinds.

En las semanas posteriores a la revelación, SolarWinds recibió una demanda colectiva en enero de 2021 que alegaba que la compañía no reveló que "desde mediados de 2020, los productos de monitoreo SolarWinds Orion tenían una vulnerabilidad que permitía a los delincuentes informáticos comprometer el servidor en el que el los productos se ejecutaron, y que el servidor de actualización de SolarWinds tenía una contraseña de fácil acceso de 'solarwinds123', como resultado de lo cual la empresa sufriría un daño significativo en la reputación".

Se cree que hasta 18.000 clientes de SolarWinds han recibido la actualización de Orion troyanizada, aunque el actor de amenazas detrás de la operación eligió cuidadosamente sus objetivos, optando por escalar los ataques solo en un puñado de casos mediante la implementación del malware Teardrop basado en la información acumulada durante un reconocimiento inicial. del entorno objetivo para cuentas y activos de alto valor.

Además de infiltrarse en las redes de Microsoft, FireEye, Malwarebytes, CrowdStrike y Mimecast, se dice que los atacantes también utilizaron SolarWinds como punto de partida para penetrar en la Administración Nacional de Aeronáutica y del Espacio (NSA) y la Administración Federal de Aviación (FAA). , según el Washington Post.

Las otras siete agencias violadas son los Departamentos de Estado, Justicia, Comercio, Seguridad Nacional, Energía, Tesoro y los Institutos Nacionales de Salud.

"Además de esta estimación, hemos identificado más víctimas del gobierno y del sector privado en otros países, y creemos que es muy probable que queden otras víctimas aún no identificadas, quizás especialmente en regiones donde la migración a la nube no está tan avanzada como parece. está en los Estados Unidos", dijo el presidente de Microsoft, Brad Smith, durante la audiencia.

El grupo de amenazas, supuestamente de origen ruso, está siendo rastreado bajo diferentes apodos, incluidos UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) y Dark Halo (Volexity).

"Los atacantes lanzaron el ataque desde el interior de Estados Unidos, lo que dificultó aún más que el gobierno de Estados Unidos observe su actividad", dijo la asesora adjunta de Seguridad Nacional Anne Neuberger en una sesión informativa en la Casa Blanca el mes pasado. "Este es un actor sofisticado que hizo todo lo posible para ocultar sus huellas. Creemos que les tomó meses planificar y ejecutar este compromiso".

Adopción de un enfoque "seguro por diseño"

Al comparar el ciberataque de SolarWinds con una "serie de invasiones a hogares a gran escala", Smith instó a la necesidad de fortalecer las cadenas de suministro de software y hardware del sector tecnológico y promover un intercambio más amplio de inteligencia de amenazas para respuestas en tiempo real durante tales incidentes.

A tal efecto, Microsoft tiene consultas CodeQL de código abierto que se utilizan para buscar la actividad de Solorigate, que, según dice, podría ser utilizada por otras organizaciones para analizar su código fuente a escala y verificar indicadores de compromiso (IoC) y patrones de codificación asociados con el ataque. .

En un desarrollo relacionado, los investigadores de ciberseguridad que hablaron con The Wall Street Journal revelaron que los presuntos delincuentes informáticos rusos utilizaron los centros de datos de computación en la nube de Amazon para montar una parte clave de la campaña, arrojando nueva luz sobre el alcance de los ataques y las tácticas empleadas por el grupo. El gigante tecnológico, sin embargo, hasta ahora no ha hecho públicos sus conocimientos sobre la actividad.

SolarWinds, por su parte, dijo que está implementando el conocimiento obtenido del incidente para evolucionar hacia una empresa que es "segura por diseño" y que está implementando protección adicional contra amenazas y software de búsqueda de amenazas en todos sus terminales de red, incluidas medidas para salvaguardar sus entornos de desarrollo.

Fuente: THN

Conexión entre grupos de cibercrimen: servicios, distribución y monetización

Los informes de ciberseguridad a menudo hablan de los actores de amenazas y sus operaciones de malware y hacking como eventos independientes, pero, en realidad, el ecosistema de ciberdelincuencia es mucho más pequeño y mucho más interconectado de lo que la gente común podría darse cuenta.

Los grupos de delincuentes informáticos a menudo tienen cadenas de suministro complejas, como empresas de software reales, y regularmente desarrollan relaciones con el resto del ecosistema de delitos para adquirir acceso a tecnología esencial que permite sus operaciones o maximiza sus ganancias.

En su Informe de amenaza global 2021, publicado por la firma de seguridad CrowdStrike resumió, por primera vez, algunas de las conexiones que existen actualmente en la clandestinidad del ciberdelito entre varios operadores de delitos electrónicos.

Según la empresa, estas tecnologías de terceros se pueden clasificar en tres categorías: servicios, distribución y monetización.

Desglosando cada uno, la categoría de SERVICIOS generalmente incluye:

  • Agentes de acceso (brokers): actores que violan las redes corporativas y venden el acceso a la red interna de una empresa a otras bandas.
  • Herramientas de ataque DDoS: también conocidas como DDoS por contrato, estos grupos brindan acceso a paneles basados ​​en la web desde donde cualquiera puede lanzar un ataque DDoS contra un objetivo.
  • Anonimato y cifrado: actores que venden acceso a redes proxy y VPN privadas, para que los delincuentes informáticos puedan disfrazar su ubicación y el origen de sus ataques.
  • Kits de phishing: actores que crean y mantienen kits de phishing, herramientas basadas en web que se utilizan para automatizar los ataques de phishing y la recopilación de credenciales robadas a las víctimas.
  • Hardware a la venta: actores que venden hardware a medida, como skimmers de cajeros automáticos, dispositivos de rastreo de redes y más.
  • Ransomware y Ransomware-as-a-Service (RaaS): estos grupos venden acceso a variantes de ransomware o un panel basado en la web donde otras bandas pueden crear su propio ransomware personalizado.
  • Crime-as-a-Service: similar a RaaS, pero estos grupos brindan acceso a troyanos bancarios u otras formas de malware.
  • Loaders: también conocidos como "instaladores de bots", son actores que ya infectaron computadoras, teléfonos inteligentes y servidores con su propio malware y ofrecen "cargar / instalar" el malware de otro grupo en el mismo sistema, para que el otro grupo pueda monetizarlo. a través de ransomware, troyanos bancarios, ladrones de información, etc.
  • Verificadores y servicios antivirus: estos son portales web privados donde los desarrolladores de malware pueden cargar sus muestras y hacer que las prueben con los motores de los sistemas antivirus modernos sin temor a que la detección del malware se comparta con el fabricante del antivirus.
  • Servicios de empaque de malware: son herramientas basadas en la web o en el escritorio que los desarrolladores de malware utilizan para codificar el código de sus variantes de malware y dificultar la detección por parte del software antivirus.
  • Servicios de prueba de tarjetas de crédito / débito: estas son herramientas que los delincuentes informáticos utilizan para probar si los números de tarjetas de pago que adquirieron están en un formato válido y si la tarjeta es (todavía) válida.
  • Kits de WebInject: son herramientas especializadas, generalmente utilizadas junto con troyanos bancarios, para permitir que una banda de troyanos bancarios inserte un código malicioso en el navegador de una víctima mientras visita un sitio de banca electrónica (o cualquier otro).
  • Hospedaje e infraestructura: también conocidos como proveedores de hospedaje a prueba de balas (Bulletproof Hosting), su nombre es evidente ya que brindan una infraestructura de hospedaje web privada diseñada específicamente para bandas criminales.
  • Reclutamiento con fines delictivos: son grupos especializados que reclutan, sobornan o engañan a ciudadanos normales para que participen en una operación de ciberdelito (por ejemplo, alguien que viaja a los EE.UU. en un intento de sobornar a un empleado de Tesla para que ejecute una herramienta maliciosa dentro de la empresa la red).

Por otro lado, los servicios de DISTRIBUCIÓN incluyen los siguientes:

  • Grupos que ejecutan campañas de spam en redes sociales o aplicaciones de mensajería instantánea.
  • Grupos especializados en distribución de correo no deseado.
  • Grupos que desarrollan y venden kits de explotación.
  • Grupos que compran tráfico de sitios hackeados y lo distribuyen a páginas web maliciosas que suelen alojar kits de explotación, estafas de soporte técnico, estafas financieras, kits de phishing y otros.

En cuanto a los servicios de MONETIZACIÓN, esta categoría generalmente incluye:

  • Servicios de mula: grupos que ofrecen presentarse físicamente y retirar dinero de cajeros automáticos hackeados, recibir dinero en sus cuentas bancarias y redirigirlo a los delincuentes, su servicio de fraude de reenvío o lavado de dinero preferido.
  • Blanqueo de dinero: grupos que a menudo operan redes de empresas fantasmas a través de las cuales mueven fondos de cuentas bancarias hackeadas, retiros de efectivo en cajeros automáticos o robos de criptomonedas. Algunos servicios de lavado de dinero también operan en la web oscura como servicios de mezcla de Bitcoin (mixing).
  • Redes de fraude de reenvío: grupos que toman fondos robados, compran productos reales, envían los productos a otro país. Los productos, generalmente artículos de lujo como automóviles, productos electrónicos o joyas, se revenden y se convierten en moneda fiduciaria limpia que se transfiere a los delincuentes informáticos que contrataron sus servicios.
  • Dumps de tiendas: grupos que venden datos de empresas hackeadas a través de sitios web especializados y canales de redes sociales.
  • Pagos de rescates y extorsión: grupos especializados en extorsionar a las víctimas y que pueden ser contratados por otras pandillas en posesión de datos robados.
  • Recopilación y venta de información de tarjetas de pago: también conocidas como tiendas de tarjetas, suelen ser foros donde los grupos de delitos informáticos van a vender datos de tarjetas de pago robadas.
  • Servicios de criptomonedas: una forma de lavado de dinero, estos servicios ofrecen "mezclar" fondos robados y ayudar a los delincuentes informáticos a perder el rastro de los fondos robados.
  • Fraude electrónico: como su nombre lo indica, grupos que se especializan en realizar fraude electrónico, como las estafas BEC.

Hacer un seguimiento de todas las conexiones entre los grupos y sus proveedores y quién trabaja con quién es casi imposible hoy en día debido al amplio uso de canales de comunicación cifrados entre las partes.

Sin embargo, en el ámbito de los ataques de malware, se pueden observar algunos signos de cooperación por la forma en que el malware pasa de los atacantes a los hosts infectados.

Aunque estas conexiones nunca se pueden verificar por completo, también es bastante obvio que cuando el malware Emotet está descargando el malware TrickBot, las dos bandas están cooperando como parte de un mecanismo de "carga" proporcionado por el equipo Emotet para la banda TrickBot.

La compañía usa su propia nomenclatura para los grupos de delitos electrónicos, por lo que algunos nombres de grupos pueden sonar diferentes a los que hemos visto antes. Sin embargo, CrowdStrike también proporciona un índice interactivo para que cualquiera pueda aprender más sobre cada grupo y vincularlo a los nombres utilizados por otras empresas.

Lo que muestra el gráfico anterior es que los facilitadores juegan un papel tan importante en las intrusiones cibernéticas como los grupos que ejecutan la intrusión. Como señaló Chainalysis en un informe separado el mes pasado, las agencias de aplicación de la ley tienen más probabilidades de lograr mejores resultados en la interrupción de las operaciones de ciberdelincuencia cuando se dirigen a estos proveedores de servicios compartidos, ya que podrían terminar interrumpiendo las actividades de múltiples grupos de ciberdelincuencia a la vez.

Además, también hay otros beneficios. Por ejemplo, si bien las bandas de delincuencia cibernética de primer nivel a menudo tienen seguridad operativa de primer nivel (OpSec) y no revelan ningún detalle sobre sus operaciones, dirigirse a los habilitadores de nivel inferior, que no siempre protegen sus identidades, podría proporcionar a las agencias de aplicación de la ley con datos que podrían ayudarlos a desenmascarar y localizar a los grupos más grandes.

Fuente: ZDNet