Symantec: dejen de usar pcAnywhere ya mismo
Symantec ha admitido que los documentos de proyecto de versiones actuales de su programa pcAnywhere fueron robados en el año 2006 y que todos los usuario están en riesgo de ataque y deben "desconectarlo".
Eso incluye a los usuarios de tanto la version actual como iteraciones anteriores asi como también el que está en incluido en Altiris y el paquete pcAnywhere Thin Host incluido en productos de backup y de seguridad.
El robo salió a la luz cuando un grupo de hackers indio que se autodenominan Lords of Dharmaraja amenazó con publicar el código fuente.
Un supuesto portavoz de la pandilla, que se hace llamar "Yama Tough," publicó en PasteBin código de versiones 2006 del Norton AntiVirus de Symantec y subsecuentemente escribió en Google+ sobre la brecha de seguridad.
Originalmente no estaba claro si la brecha del código fuente era relevante para las instalaciones al día de los productos antivirus de Symantec.
La confusión se disipó, mostrando que el peligro para usuarios de productos actuales es muy real.
Symantec reveló la noticia en un documento [PDF] publicado el miércoles, junto con un boletín de advertencia en su sitio web.
La investigación de Symantec hasta ahora no ha encontrado un aumento en el riesgo de exposición de los clientes que usen alguno de sus productos en particular, con la destacada excepción de pcAnywhere, que permite comunicaciones directas PC a PC.
Aquí está lo que la firma de seguridad tenía que decir respecto de los riesgos específicos de pcAnywhere, parafraseando lo que dice su documento:
Symantec recomienda en el documento que los clientes deshabiliten el producto hasta que la compañía pueda liberar un conjunto de actualizaciones para tratar los riesgos de la actual vulnerabilidad.
Una de las primeras preguntas que vienen a la mente, por supuesto, es si Symantec recién ahora está dándose cuenta de la fuga de código del 2006 o si la compañía los supo por seis años y solo ahora admite que fueron hackeados.
Pienso que podemos estar seguros de asumir que una compañía del tamaño y la reputación de Symantec rehuiría de tal tipo de comportamiento irresponsable de cualquier forma. Vender intencionalmente programas de seguridad con fugas de código sería un suicidio profesional y éticamente imperdonable.
Solo traje el tema porque, bueno, la pregunta apareció en mi cabeza cuando en las últimas dos semanas supe sobre el robo de 2006. Se que no estoy solo, ya que nuestros lectores han considerado la misma pregunta en las secciones de comentarios.
No, me siento confiado que Symantec es inocente de ocultar la brecha, en particular dado lo disponibles que están siendo con los riesgos y los resultados de la investigación.
Entonces, ¿a quién debemos apuntar el dedo acusador?
No es para tener un marketing promocional, pero no puedo hablar mejor de lo que hizo Paul Duckling de Sophos cuando escribió que no apuntaba su dedo a la perseguida Symantec sino a los criminales que perpetraron el crimen:
Traducción: Raúl Batista - Segu-Info
Autor: Lisa Vaas
Fuente: Naked Security - Sophos
Eso incluye a los usuarios de tanto la version actual como iteraciones anteriores asi como también el que está en incluido en Altiris y el paquete pcAnywhere Thin Host incluido en productos de backup y de seguridad.
El robo salió a la luz cuando un grupo de hackers indio que se autodenominan Lords of Dharmaraja amenazó con publicar el código fuente.
Un supuesto portavoz de la pandilla, que se hace llamar "Yama Tough," publicó en PasteBin código de versiones 2006 del Norton AntiVirus de Symantec y subsecuentemente escribió en Google+ sobre la brecha de seguridad.
Originalmente no estaba claro si la brecha del código fuente era relevante para las instalaciones al día de los productos antivirus de Symantec.
La confusión se disipó, mostrando que el peligro para usuarios de productos actuales es muy real.
Symantec reveló la noticia en un documento [PDF] publicado el miércoles, junto con un boletín de advertencia en su sitio web.
La investigación de Symantec hasta ahora no ha encontrado un aumento en el riesgo de exposición de los clientes que usen alguno de sus productos en particular, con la destacada excepción de pcAnywhere, que permite comunicaciones directas PC a PC.
Aquí está lo que la firma de seguridad tenía que decir respecto de los riesgos específicos de pcAnywhere, parafraseando lo que dice su documento:
El portavoz de la compañía Cris Paden le dijo a Reuters que Symantec tiene menos de 50.000 clientes que usan la versión de pcAnywhere, la cual, informó Reuters, aun estaba en venta en su sitio web por u$s100 y u$s 200 el miércoles por la mañana.
- Los elementos de codificación y cifrado dentro de pcAnywhere son vulnerables, haciendo a los usuarios susceptibles de ataque 'man-in-the-middle', dependiendo de la configuración y uso del producto. Si ocurre un ataque 'man-in-the-middle', el usuario maliciosos podría robar datos de la sesión o las credenciales.
- Un riego secundario: Si un usuario malicioso obtiene la llave criptográfica, podría lanzar sesiones de control remoto no autorizadas y con ello acceder a sistemas e información sensible.
- Si la llave criptográfica en si está usando credenciales de Active Directory, también es posible para el atacante perpetrar otras actividades maliciosas en la red.
- En un ambiente de pcAnywhere interno, si se coloca un sniffer de red en la red interna del cliente y el atacante tiene acceso a los detalles del cifrado, el tráfico de pcAnywhere podrí ser interceptado y decodificado. Esto implica que un cliente o tiene un atacante interno malicioso que plantó un sniffer de red o que una botnet desconocida opera en su entorno. Como siempre, se recomiendan las mejores prácticas para mitigar este riesgo.
- Ya que pcAnywhere intercambia credenciales de login de usuario, existe el riesgo que un sniffer de red o una botnet pudiera interceptar este intercambio de información, aunque aún sería dificultoso interpretar la información aún si el código fuente de pcAnywhere es liberado.
- Para entorno con usuarios remotos, este intercambio de credenciales introduce un nivel adicional de exposición a los ataques externos.
Symantec recomienda en el documento que los clientes deshabiliten el producto hasta que la compañía pueda liberar un conjunto de actualizaciones para tratar los riesgos de la actual vulnerabilidad.
Una de las primeras preguntas que vienen a la mente, por supuesto, es si Symantec recién ahora está dándose cuenta de la fuga de código del 2006 o si la compañía los supo por seis años y solo ahora admite que fueron hackeados.
Pienso que podemos estar seguros de asumir que una compañía del tamaño y la reputación de Symantec rehuiría de tal tipo de comportamiento irresponsable de cualquier forma. Vender intencionalmente programas de seguridad con fugas de código sería un suicidio profesional y éticamente imperdonable.
Solo traje el tema porque, bueno, la pregunta apareció en mi cabeza cuando en las últimas dos semanas supe sobre el robo de 2006. Se que no estoy solo, ya que nuestros lectores han considerado la misma pregunta en las secciones de comentarios.
No, me siento confiado que Symantec es inocente de ocultar la brecha, en particular dado lo disponibles que están siendo con los riesgos y los resultados de la investigación.
Entonces, ¿a quién debemos apuntar el dedo acusador?
No es para tener un marketing promocional, pero no puedo hablar mejor de lo que hizo Paul Duckling de Sophos cuando escribió que no apuntaba su dedo a la perseguida Symantec sino a los criminales que perpetraron el crimen:
Si, estoy señalando con el dedo a los ladrones. No a "los hackers," a los ladrones. Eso es lo que son. Esto es un ciber-crimen. Symantec es la víctima.Buena suerte en la limpieza de este inmerecido desastre, clientes de Smantec y pcAnywhere, y buena suerte con el conjunto de parches.
Traducción: Raúl Batista - Segu-Info
Autor: Lisa Vaas
Fuente: Naked Security - Sophos
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!