Archivo de la etiqueta: Opinión

ATAQUES DIRIGIDOS: A qué nos enfrentamos realmente…

La mayor parte de las cosas que nuestra industria ha aprendido sobre los ataques dirigidos, ha sido después de haberse experimentado problemas.  Nuestras investigaciones nos han revelado lo poco familiarizados que estamos con la “batalla” a la que nos estamos enfrentando, y cómo esa falta de familiaridad ha provocado que la industria sea incapaz de comprender qué se necesita para lidiar contra esos ataques. Pero, ¿a qué se debe esto? ¿Acaso los atacantes tienen la “sartén por el mango”?. La respuesta es, desafortunadamente, que sí.
Sigue leyendo

CONSEJOS DE TREND MICRO PARA EL DÍA DE SAN VALENTÍN

Siempre nos hace mucha ilusión recibir tarjetas de felicitación por correo electrónico, regalos etc en el día de San Valentín. Es una costumbre graciosa y divertida. Pero cuando recibimos un mensaje que contiene un enlace que nos lleva a comprar un producto que no existe o visitar un sitio web infectado por malware, la situación ya no resulta agradable.
Sigue leyendo

¿Por qué no funcionan las recompensas por informar sobre ciberdelincuentes?

Artículo original de Rik Ferguson (Director of Security Research & Communication, Trend Micro)

Imagen utilizada bajo la licencia de Creative Commons de vídeos L2F1 de Flickr.

Se han ofrecido recompensas por proporcionar información que permita arrestar a los creadores/operadores de malware de alto perfil durante algún tiempo. ¿Han tenido éxito estas iniciativas? ¿Qué factores las condicionan?

El programa de recompensas por capturar creadores de virus de Microsoft, Microsoft Anti-Virus Reward, existe desde finales de 2003. En el marco de esta iniciativa se han ofrecido gratificaciones por capturar a los creadores de Sasser, Sobig, Blaster, Conficker y ahora también de Rustock, por nombrar algunos de alto perfil. Microsoft es quien pone el dinero de la recompensa, pero son las leyes las que determinan si los candidatos cumplen los criterios necesarios para obtenerla en función de las detenciones y las condenas.

Pese a las recompensas ofrecidas, el número de casos que no obtienen respuesta supera al número de casos que sí la obtienen. En 2005, dos personas compartieron una recompensa de 250.000 $ por ofrecer información que permitió condenar a Sven Jaschan, el creador del gusano Sasser. Sin embargo, los éxitos han sido escasos, todavía no se han producido arrestos relacionados con Sobig y, lo que es más importante, la recompensa por informar sobre el creador o los creadores de Conficker sigue sin ser reclamada. Microsoft no es la única fuente que ofrece una tentadora recompensa en efectivo. En 2004, SCO ofreció otros 250.000 $ por el arresto y condena del autor o autores de MyDoom, que también continúan sin reclamarse.

Probablemente, existen algunas razones para este éxito limitado: los delincuentes operan en línea bajo seudónimos y suelen ser muy herméticos en lo referente a sus identidades reales. Si bien las recompensas normalmente permiten obtener información valiosa en los delitos que se producen en el “mundo real”, hay que reconocer que, en estos casos, las posibilidades de que existan testigos presenciales son mucho mayores. En el “mundo en línea”, el razonamiento debe ser que la mayoría de los testigos, de algún modo, también están involucrados. En los casos de perfiles altos, la recompensa de 250.000 $ (o incluso 500.000 $ si se ofrecen dos recompensas) puede resultar muy baja en comparación con los ingresos que las bandas de delincuentes organizadas pueden obtener llevando el negocio de la forma habitual. Quizás exista un extraño tipo de confianza que también desempeñe un papel importante. El mundo clandestino en línea, como cualquier otra empresa de Internet más legítima, se basa en un alto grado de confianza y credibilidad. Si alguien se desmarca y reclama una recompensa de 250.000 $ nunca más podrá volver a participar en el mundo de la delincuencia en línea. Tal y como ellos dicen, sería un movimiento que limitaría una carrera… Si le pide a una persona que abandone su carrera, aunque esta sea ilegal, seguramente las recompensas deberán ser bastante más altas.

No subestime al tipo duro pequeño ni el poder de los ecologistas y, tal y como me dijo mi amigo Julio Canto de Virustotal en Twitter, “probablemente el foco central del problema son los individuos que todavía encuentran interesantes los 250.000. :) Incluso un pez pequeño puede causar problemas“.

Protección de entornos SCADA

por Presales Team Iberia

El software utilizado en los entornos SCADA se ha visto sometido a escrutinio recientemente, ya que se ha publicado un código de ataque que aprovechaba las vulnerabilidades graves de programas muy utilizados.

Aparentemente, se vieron afectados programas comercializados por Siemens, Iconics, 7-Technologies, Datac y Control Microsystems. En algunos casos, los errores se podían utilizar para ejecutar el código remotamente cuando se instala el llamado software de control de supervisión y adquisición de datos en equipos conectados a Internet. El código fue publicado por dos organizaciones independientes. La información publicada incluye un código de ataque a prueba de concepto para al menos 34 vulnerabilidades en programas SCADA.

Encontrará información más detallada en este artículo de The Register.

Actualmente, SCADA hace referencia a cualquier sistema de control, de modo que abarca desde centrales nucleares hasta una máquina que cose un logotipo en un par de zapatillas deportivas. Si este sistema se desquebraja, pude suponer una amenaza para la seguridad nacional o simplemente afectar a una línea de facturación. La protección de las redes SCADA debe reflejar las condiciones reales en las que se utiliza.

Las redes SCADA abarcan un abanico de sectores que han disfrutado tradicionalmente de una segmentación relativa porque el software para el control de procedimientos era hermético, estaba patentado y no estaba conectado a Internet.

Pero últimamente, esta situación ha cambiado. Estos sectores (como el sector de la fabricación, combustible y gas, procesamiento de aguas, etc.) utilizan actualmente plataformas de software no personalizadas (p. ej., MS Windows) y plataformas de gestión diseñadas y creadas por proveedores específicos (p. ej., Siemens, Johnson Controls, etc.).

Cabe añadir que, actualmente, el nuevo hardware diseñado para estos entornos suele incluir puertos Ethernet y, en algunos casos, los dispositivos son incluso inalámbricos. Estas características son perfectas para las estrategias de optimización empresarial y para las grandes instalaciones. Sin embargo, es necesario valorar seriamente las consecuencias que tendría la activación o el acceso a estas funciones en entornos de importancia fundamental.

Vale la pena recordar que los hackers suelen tener como objetivo las plataformas más comunes. Proteger la plataforma es esencial; no obstante, en los entornos SCADA acostumbra a ser difícil o imposible aplicar los parches necesarios, ya que son programas heredados (como Windows 2000) o porque ya no existe ningún parche.

Podrá encontrar una buena introducción y presentación de los sistemas SCADA Wikipedia.

Recomendaciones de políticas y procedimientos para ayudar a proteger los entornos SCADA:

Crear una zona segura entre redes: debe valorarse con detenimiento si es imprescindible conectar infraestructuras básicas con otras redes o Internet. La mejor manera de garantizar la seguridad de estas infraestructuras es asegurarse de que hay una separación física entre las redes.

Garantizar la aplicación de las mejores prácticas de seguridad: resulta esencial deshabilitar el acceso USB u otros y asegurar que los mecanismos de seguridad física son los adecuados.

Tratar cada entorno SCADA como si fuera único: el sistema SCADA abarca múltiples sectores: algunos relacionados con infraestructuras básicas y otros con procesos de fabricación. El reconocimiento de este entorno individualizado es esencial a la hora de planificar e implementar la seguridad de la red.

Soluciones y recomendaciones tecnológicas de Trend Micro:
Muy a menudo, y debido a la forma en que se implementan y utilizan las redes SCADA, es imposible implementar las medidas de seguridad tradicionales, como un antivirus, en dispositivos o sistemas. La tecnología de Trend Micro ofrece un amplio abanico de opciones, que se describen a continuación.

Deep Security es compatible con una amplia gama de sistemas operativos. Presenta unos requisitos de memoria mínimos que permiten proteger y blindar los sistemas especializados SCADA que no son compatibles con la seguridad convencional para puestos de trabajo.

  • Inspección profunda de paquetes: examina todo el tráfico entrante y saliente en busca de desviaciones del protocolo, infracciones de políticas o contenido con signos de ataque.
  • Detección y prevención de intrusiones: protege frente a los ataques conocidos y de día cero mediante el blindaje de las vulnerabilidades conocidas a fin de evitar que sean atacadas.
  • Protección rápida: protege automáticamente frente a las vulnerabilidades descubiertas recientemente en cuestión de horas gracias a la aplicación de la protección en miles de servidores en solo unos minutos y sin tener que reiniciar el sistema.

Threat Management Services ofrece inspección del tráfico de red capaz de detectar la infiltración del malware en cualquier dispositivo del sistema. Si se detecta actividad de malware proveniente de un sistema SCADA, Threat Management Services alerta al personal de seguridad para que tome las medidas necesarias.

Resumen de las amenazas de 2010: los kits de herramientas dominaron la escena

por Presales Team Iberia

Según los investigadores de amenazas de Trend Micro, el año 2010 fue «El año de los kits de herramientas» debido a los usuarios que pretendían convertirse en ciberdelincuentes y que consiguieron perpetrar ataques quedando impunes y con relativa facilidad gracias a los kits de herramientas y a los programas informáticos comercializados. Los kits de herramientas proliferaron durante todo el año en sitios de redes sociales de masas como Twitter.

“Aunque los kits de herramientas siempre han formado parte de la ciberdelincuencia clandestina, fue en 2010 cuando florecieron y pasaron a tener una mayor presencia en el panorama de amenazas”, según se afirma en el informe resumido de amenazas en 2010 publicado por Trend Micro.

Haga clic aquí para obtener el informe detallado, una lectura obligada para usted y sus clientes.