Archivo de la etiqueta: Internet Explorer

20 de Junio: resumen de la situación de #OpPetrol

A pesar de que se estimó que alrededor de 1000 sitios web, 35000 credenciales de email y aproximadamente 100000 cuentas de Facebook se verían comprometidas desde el anuncio de #OpPetrol el mes pasado, la participación de hackers y la sofistificación total de dichas amenazas, hoy, a día 20 de Junio, día crítico y clave para esta operación, demuestra que ha habido más «ruido» que acciones reales. Esto indica, una vez más, que ha habido más miedo ocasionado por las amenazas previas anunciadas por el propio grupo Anonymous que los efectos que sus anunciados de ataque han ocasionado en la realidad, como ha ocurrido en otras ocasiones…
Sigue leyendo

Autenticación basada en dos factores: importante consideración…

Las pasadas semanas hemos visto como sitios web muy conocidos han reforzado el mecanismo de autenticación de sus usuarios. Han empezado a implementar el conocido «two factor authentication». Es una forma basada en utilizad dos pasos para llevar acabo la autenticación. El primer sitio web en empezar a utilizar esta nueva metodología fue Twitter, seguido de Evernote y Linkedin.

Para los usuarios de estos sitios web, esto representa una mejora en su seguridad, dado que ahora ya no solo tienen que utilizar una contraseña (fácilmente capturable por hackers), sino que se añade una nueva barrera en el proceso de acceso. Se incorpora la necesidad de tener que incluir un código cuando nos vamos a autenticar. Este código es recibido en el teléfono móvil del usuario. Pero, desafortunadamente, todavía, a pesar de haber mejorado la seguridad incluyendo este segundo factor de autenticación, hay posibilidad de que este código sea interceptado. Si en el teléfono móvil donde se recibe el código de autenticación hay un malware con capacidad de capturar datos, esta cadena podría ser robada.
Sigue leyendo

STOP RANSOMWARE

Hemos estado hablando sobre el Ransomware durante unos cuantos meses y ahora queremos compartir una iniciativa en la que Trend Micro ha participado y en la que se reconoce nuestro esfuerzo en cuanto a la detección y análisis de este malware. Stop Ransomware es una organización francesa creada para ayudar a crear protección frente a este malware. Nuestro Investigador de Amenazas Bob McArdle ha estado trabajando con esta organización durante bastante tiempo y finalmente se ha conseguido crear un site web que ayude a educar, detectar y proteger a la gente frente a esta amenaza. TrendLabs, nuestros laboratorios de análisis, desinfección y tratamiento de amenazas, colaboró activamente en este proyecto.Trend Micro es el único fabricante de seguridad que ha ayudado al FBI en USA para luchar contra el Ransomware.

Agradecemos a Bob McArdle y a TrenLabs el esfuerzo y dedicación que han aportado para que esta iniciativa sea exitosa.

El enlace al sitio web: http://stopransomware.fr/world/

El enlace a la web de Trend Micro en la que se habla sobre ransomware: http://about-threats.trendmicro.com/definition/ransomware/

ransomware

El crecimiento de los ataques dirigidos demuestra la madurez del malware

Los productos de Seguridad han ido siguiendo una trayectoria: primero se diseñaban soluciones a medida y poco a poco estas herramientas fueron estandarizándose hasta llegar a ser producidas en masa y para cualquier cliente.

Esta evolución no es muy diferente a la que ha ido siguiendo y sigue el malware. La primera vez, el cibercriminal escribía su propio código malicioso o programa. Y después, desde la creación de un kit de infección a otras herramientas más complejas, los cibercriminales han ido industrializando la creación de programas maliciosos, creándose, de forma sencilla, ataques que cumplieran con el objetivo que ellos querían alcanzar. De forma incremental, los atacantes están combinando la facilidad de crear ataques masivos con la capacidad de conseguir que ese malware afecte a distintos grupos de destinatarios de forma personalizada.

Estos “ataques dirigidos en masa” se benefician principalmente de malware creado para afectar a entidades particulares, entre cuyas características están la facilidad para burlar las defensas y engañar a las víctimas. Además, este malware no es muy complicado de crear, como contaron investigadores de Adobe a los asistentes a la recientemente creada conferencia  “Hack in the Box” en Amsterdam. Con la eficiente creación de malware, los autores hacen que el efecto dañino de estas amenazas sea más efectivo.

Las técnicas utilizadas y el código han alcanzado un nivel donde el proceso de creación de un ataque específico para una víctima se hace muy sencillo. Si un ataque de suficiente calidad, contiene partes personalizables/intercambiables para afectar a varias víctimas, entonces ya podemos afirmar que contamos con un ataque dirigido en masa.

Los fabricantes de seguridad saben que cuanta más información se disponga de la red del cliente, más fácil será la creación de técnicas de protección para dicha empresa u organización. Pero la personalización del malware, según se está comprobando, es muy rápida e incluso personalizaciones muy básicas basadas en polimorfismo pueden causar problemas para estas redes de usuarios.

La personalización del malware va mucho más allá. Adobe, por ejemplo, ha encontrado ficheros Flash o PDF con componentes intercambiables que permiten ser personalizados (cambiando el contenido el documento para utilizar distintos exploits).

No es un secreto el afirmar que el malware está rompiendo las defensas, echando por tierra estrategias de seguridad, incluyendo el uso de tecnología de protección en tiempo real.

La ingeniería social es otro aspecto del malware que ha sufrido grandes cambios debido a la personalización. La combinación de la agregación de datos con técnicas de márketing online puede resultar en la creación de mensajes que utilicen suficiente información personal para convencer y engañar a muchos usuarios.

Esta es la intersección de spearphishing y mass-spam-phishing. El email recibido por la gente es personalizado por las víctimas de un modo automático. Las empresas deben aleccionar y entrenar a sus usuarios para evitar estos problemas. Todos los usuarios deberían ser formados para aprender a reconocer la mayor parte de los mensajes fraudulentos. Este entrenamiento y formación es la mejor manera de luchar contra estas amenazas.

En muchos casos los ataques dirigidos en masa pueden deberse a bugs, a veces en distintos productos, que están forzando a los desarrolladores de software a colaborar para comprender mejor la cadena de vulnerabilidades y conseguir parchear sus aplicaciones para tapar esos “agujeros de seguridad” de un modo más rápido y eficaz.

Para más información, acceder aquí.

Spear-Phising

Cinco preguntas a plantearnos a la hora de elegir un Servicio de prevención de amenazas

Hoy, el panorama de las amenazas evoluciona de tal manera, que las empresas y orgnismos se plantean elegir medidas «inteligentes» que consigan protegerles de la forma más óptima. La «Inteligencia frente a las amenazas» es la clave, pero es importante elegir una solución adaptada a nuestros requisitos y que encaje con la protección que necesitamos. Son de sobra conocidas las amenazas y ataques que se han sucedido en estos últimos meses (véanse estos ejemplos de malware procedente de China, estos otros de ataques rusos o estos de amenazas latinoamericanas). Teniendo en cuenta estos precedentes, sobra decir que implementar una solución de prevención de amenazas es crítico para cualquier compañía u organismo que intereactúe con Internet en su negocio.

Cada fabricante de seguridad implementa su «servicio de prevención inteligente» de una manera diferente. Alguno de ellos aplican medidas de seguridad muy superficiales, mientras otros profundizan más en el análisis e incluso incluyen reporting, auditoría y funcionalidades que ayudan a la empresa a poder tener conocimiento detallado de qué está pasando en cuanto a seguridad en su entorno.

Para hacer una buena elección de un servicio de protección inteligente óptimo, nada mejor que consultar a los profesionales en la materia. Lance James, director de inteligencia de Vigilant, da recomendaciones para ayudarnos.

Este experto de seguridad, como la mayoría de los expertos de seguridad, recomienda que las empresas utilicen múltiples servicios, no solo uno. Pero dados los tiempos en los que estamos, económicamente hablando, esto se hace harto difícil. Tenemos que ser selectivos y aquí están cinco preguntas clave que debemos hacernos antes de elegir un servicio de protección inteligente.

1. ¿De cuántas fuentes recoge el servicio de protección inteligente las muestras?
Es importante que las amenazas estén clasificadas como tal por más de una fuente para evitar falsos positivos. En el caso de Trend Micro, los ficheros, IPs, URLs, Dominios, aplicaciones móviles, comunicaciones de red, servidores C&C, herramientas de exploits, vulnerabilidades etc, son evaluadas por múltiples fuentes (procedentes de alianzas con clientes, laboratorios de test, compartir con laboratorios de terceros, Proveedores de servicios, fabricantes de hosting, fabricantes de sistemas operativos y aplicaciones, portales públicos etc. Así, nos aseguramos que las amenazas identificadas son realmente maliciosas y no generamos falsas alarmas.

2. ¿Con qué frecuencia es el servicio de inteligencia actualizado? Este es un punto muy importante a considerar. El servicio de inteligencia de Trend Micro se actualiza constantemente con nueva información, pero, dependiendo de los datos, actualizamos en rangos de tiempos distintos (en tiempo real, por horas, diariamente etc). En resumen: la actualización de cada tipo de protección debe evaluarse a nivel particular para optimizar la seguridad y el consumo de recursos. Hacemos investigación de datos sospechoso para asegurarnos de que el tráfico es malicioso y hacer las correlaciones necesarias para asegurarnos de identificar cualquier componente asociado con la amenaza.

 3. ¿Cómo se evalúan las amenazas?  Algunos servicios de inteligencia simplemente envían los datos que recolectan sin establecer ránkings o evaluarlos. Otros ofrecen rankings sencillos (diferenciando entre críticos o importantes, por ejemplo), a la hora de medir las vulnerabilidades. En algunos casos las amenazas necesitan que se les asigne un score utilizando un sistema de rangos en función de su capacidad de infección. Algunos servicios correlacionan los datos de distintas fuentes con un sistema de rankings. En Trend Micro, nuestro servicio de protección frente a amenazas se basa en scores de reputación, así que podemos dar rankings a las amenazas. Esto incluye reputación web, email o aplicaciones móviles.El servicio de Reputación de Ficheros es todavía basado en firmas, pero tenemos tecnología en el backend que establece rangos en metadatos (Codename Census). Nuestra solución Deep Discovery, con Threat Connect, además, genera reports detallados para permitir que el cliente tome sus decisiones acertadamente.

4. ¿Cómo se da formato a los datos? Cuando la información sobre amenazas procede de fuentes diferentes, es muy importante saber interpretar y gestionar esta información. Este es un proceso detallado y que requiere de conocimientos avanzados para interpretar adecuadamente los datos.  Un buen servicio de protección inteligente, proporcionará un modo de normalizar la información y de presentarla en un formato que pueda ser reportada de forma consistente durante un determinado periodo de tiempo. En Trend Micro, a pesar de que recogemos datos de fuentes diferentes y en distintos formatos, las salidas de resultados son consistentes. Además, estamos trabajando continuamente en este área para seguir mejorando. Los productos de Trend Micro recogen la información de amenazas de Smart Protection Network, nuestra red de protección inteligente, y la utilizamos para detectar amenazas en nuestros clientes. Nuestra estrategia Custom Defense, adapta los resultados de los análisis a las consolas de los productos, según convenga.

5. ¿Pueden los datos de amenazas ser correlacionados con la postura que la empresa adopta en cuanto a seguridad? Es de máxima importancia que nuestro servicio de seguridad se adapte a la filosofía o política de seguridad corporativa a todos los niveles: tanto a nivel político como de herramientas que la empresa utilice. Es decir, que tenemos que integrar nuestra infraestructura al servicio de protección inteligente y para ello, el proveedor del servicio debe ser flexible. Esto es lo que consigue la estrategia Custom Defense de Trend Micro: aplicar una protección adaptada y flexible para cada empresa/organismo para conseguir que la seguridad que se aplique sea la que se requiere.

Con este artículo queremos concienciar a los usuarios de lo importante que es el disponer de un servicio de protección frente a amenazas que se adapte al panorama actual del malware; pero que, a la vez, se tenga en cuenta que hay que elegir un servicio de seguridad eficaz y potente.

Para leer más sobre este tema, acceda aquí