Archivo mensual: Enero 2018

Foro Económico Mundial: Ciber ataques se encuentran entre los 3 mayores riesgos para la sociedad moderna

Junto con los desastres naturales y el clima extremo; de esta forma el Foro Económico Mundial calificó a los ciber ataques, esto le otorga un nivel de riesgo incluso mayor que el terrorismo.
Un reporte advierte que el ransomware, el hacking al Internet de las Cosas (IoT) y los ataques industriales pueden ocasionar los mismos problemas que las otras causas descritas.
Uno de los mayores riesgos para las Naciones y su relación con Internet y los servicios conectados es el daño potencial a raíz de los ciber ataques, según un reporte desde el Foro Económico Mundial (WEF).
La amenaza de ciber ataques se encuentra sólo detrás de eventos de clima extremos y desastres naturales en términos de eventualmente causar un trastorno en los próximos 5 años, de acuerdo al Global Risks Report 2018 del Foro Económico Mundial. El WEF es un organismo internacional que reúne lideres políticos, económicos, académicos entre otros para ayudar a formar una agenda global.
El reporte destaca al ransomware en particular como ciber amenaza, indicando que el 64% de todos los correos de phishing enviados durante el 2017 contenían malware encriptador.
El Global Risks Report 2018 cita 2 grandes eventos como ejemplos del daño y alteración que pueden causar: el ataque de WannaCry, el cual afectó a más de 300.000 computadores en 150 países e impactó infraestructura a escala global (NHS de Reino Unido, Telefónica, LATAM, Dirección de transito en Australia, entre varios) y Petya, el cual causó pérdidas sobre los 300 millones de dólares a un gran número de organizaciones.
Sin embargo, esto es relativamente un bajo nivel comparado con lo que los ciber delincuentes podrían realizar a un nivel industrial o de infraestructura crítica.
“En el peor escenario, los atacantes pueden gatillar un quiebre en los sistemas que mantienen a la sociedad funcionando”, advierte el reporte.
El reporte del año anterior advirtió acerca del riesgo potencial de los dispositivos del Internet de las Cosas (IoT). Un año mas tarde y luego de varios incidentes de seguridad relacionados con IoT nada se ha hecho para minimizar esta amenaza, así los hackers cada vez mas ponen su atención en estos dispositivos como una puerta de acceso a las redes.
Los ciber criminales han aumentado exponencialmente la cantidad de objetivos posibles, debido al uso de que los servicios en la nube continuan creciendo y se espera que el IoT se expanda desde un estimado de 8 mil millones de dispositivos en 2017 a 20 mil millones en 2020, lo que implicaría que un ataque que hoy se denominaría a gran escala sea posteriormente considerado normal.
La mayoría de los ataques en sistemas críticos y estratégicos aún tendrían que ser más efectivos, pero el WEF indica que el creciente numero de intentos de ataque sugiere que el riesgo esta aumentando, especialmente cuando la arquitectura interconectada de los sistemas actualmente en el mundo indica que los ataques pueden causar golpes irreversibles a nuestro sistema social.
Mientras el reporte indica que el ciber riesgo está en aumento, indica cuánto hay que implementar para proteger a las organizaciones, y a la sociedad como un todo, de un ataque.
Las fricciones geopolíticas contribuyen a un aumento en la escala y la sofisticación de os ciber ataques. Al mismo tiempo la exposición a estos ataques aumentan a medida que las empresas dependen mas y mas de la tecnología. Se debiese asegurar la continuidad y resiliencia al cubrir la brecha económica y posibles pérdidas de igual forma que con una catástrofe natural.
Hacia el futuro, el reporte advierte sobre la posibilidad de guerra sin reglas si un conflicto entre estados llegase a escalar impredeciblemente debido a la falta de reglas de ciber guerra, lo que puede llevar a malos cálculos y un manto de incertidumbre lo que llevaría a daños hacia objetivos no intencionales.

Phishing Netflix… ¡cuidado! (curso de como reconocer phishing y no caer en el intento)

Piense en las últimas historias de brechas de seguridad: F**KWIT, KRACK, ransomware, malware sin archivo, Intel… existen muchos candidatos a la historia con mayor atención.
Sin embargo, los ataques de phishing rara vez tienen una atención tan intensa, posiblemente sea por su gran variedad y cantidad.
De alguna manera el phishing se ha transformado en un problema asumido en el cual mucha gente espera que esto exista, sea víctima, aprenda y lo supere.
Aún así, el phishing es un gran negocio para los ciber delincuentes, tan solo la semana pasada SophosLabs interceptó ataques de phishing que abusaban de la imagen de varias instituciones financieras: eBay, PayPal, VISA, AMEX, Bank of America, Chase, HSBC, y otros, muchos otros.
Proteger su marca contra el abuso de los impostores suena, tristemente, tan bueno como imposible, especialmente si su marca es bien conocida y ampliamente publicitada.
Cada vez que envía un correo, publica un articulo en un blog o escribe un comunicado de relaciones públicas, o sube una imagen a su sitio, está entregando material para que estos ciber criminales copien y peguen en sus propias creaciones.
Los ataques de phishing buscan principalmente “pescar” información que sólo los usuarios debiesen saber, como por ejemplo:
Nombres de usuario y contraseñas para cuentas válidas.
Números de tarjetas de credito, fechas de expiración y códigos CVV.
Información personal que normalmente usted no entregaría.
Robo de la marca Netflix
La semana pasada, una campaña de phishing que afectó la marca Netflix sobresalió en las noticias.
Aún cuando podamos detectar los “phishes” a lo lejos, siempre es válido recordarnos cada cierto tiempo lo que podría salir mal una vez que uno comete un error y le entrega el click a estos ataques.
Así es como podríamos hacer un tour guiado tomando como referencia este caso, ya que nos engaña para obtener nuestros datos de inicio de sesión, datos de tarjeta de crédito, foto de perfil e identificación.

Aqui hay un truco simple, en la linea del asunto aparenta ser de Netflix pero los criminales escribieron la “x” como la letra griega “chi”, entonces “Netflix” se transforma en “Netfli𝛘”.
Recuerde: nunca de click en links de “actualice su cuenta” que vienen en correos, ya que no se puede saber a simple vista a donde realmente llevan.
Mantenga un registro de sus sitios favoritos en los cuales inicia sesión e ingrese directamente en ellos, de este modo evita trucos como este:

Note que este sitio (falso) tiene el candado que indica una conexión segura HTTPS, lo que podría convencer bastante… PERO un candado no significa que uno automáticamente debe confiar en el sitio.
En este caso hackearon un sitio que efectivamente tiene un certificado HTTPS válido, luego subieron sus paginas de phishing para que parezcan con mayor credibilidad.
Por una parte, el sitio es “seguro”, pues efectivamente pertenece a la compañía a la que el certificado menciona; por otra parte, no es seguro en absoluto debido a que está mostrando contenido malicioso.

Una vez de que ya tienen el nombre de usuario y contraseña, solicitan los detalles de la tarjeta de crédito.

Este phishing contiene una falta de gramática (en inglés) que debería ser una luz de alerta, luego de esto nos solicitan verificar los datos en un sitio de verificación de VISA, el cual también es falso.

Después los criminales quieren reasegurar su botín y solicitan una foto de la identificación y cara:

Luego de todo este proceso lo redireccionan a la pagina REAL de Netflix para continuar con un la sesión normal.
Repasando:
Nunca haga click en un link de inicio de sesión incluido en un correo no esperado.
Revise el candado HTTPS, el nombre del sitio al que apunta, si no hay candado HTTPS, olvídese de seguir en ese sitio.
Jamas ignore detalles como faltas de ortografía y gramática, sirven para delatar delincuentes que muchas veces ni siquiera hablan el idioma con el que pretenden estafar.
Guarde su identificación de forma segura, si se le solicita una selfie con algún carnet, sospeche y salga de ese sitio.
Como regla general: ante la duda… abstente!

Malware MaMi – macOS

Un nuevo malware que afecta a macOS (antes conocido como OSX) principalmente modifica los DNS del sistema afectado.
Este malware denominado como OSX/MaMi se caracteriza por la modificación de los DNS para que apunten a servidores controlados por los criminales presuntamente creadores de este malware, y la instalación de un certificado raíz.
De esta forma al intentar buscar una dirección, la respuesta de donde se encuentra ese servidor la da el DNS maligno en vez del de Google. Con esto se aseguran que una gran cantidad de personas puedan ver sus paginas de phishing sin sospechar mayormente de que se trata de una estafa.
Con la instalación del certificado consiguen que las páginas malignas que ellos preparan no levan sospechas en los navegadores al existir un certificado para estos sitios falsos.
Además permite que la comunicación entre el usuario y otro servicio sea fácilmente “espiable” por un ataque del tipo MitM (Man-in-the-Middle u hombre-en-el-medio) y así robar información como por ejemplo credenciales de correo, bancarias, privadas, etc…
Como si fuera poco lo ya indicado, este malware incluye funciones como ejecución de código remoto, descarga de archivo, control de mouse, etc. Por lo que se presume que su principal función es el espionaje.
Pero como no todo es catastrófico, los usuarios de Sophos ya se encuentran cubiertos ante esta amenaza. Cabe mencionar que Sophos fue elegido como uno de los mejores Anti Virus para Mac por la prestigiosa revisa especializada MacWorld, siendo el único AV gratuito de este listado.

Vulnerabilidad en todos los procesadores Intel, que hacer.

Diversos fabricantes han publicado parches e información de seguridad con la finalidad de mitigar estas vulnerabilidades, por lo que como proveedor de servicios de seguridad les hacemos llegar.
Esta semana se dio a conocer una vulnerabilidad en la arquitectura de todos los procesadores Intel, en resumen es un problema en el cual es posible acceder a sectores de memoria donde se guarda información del núcleo del Sistema Operativo.
Una falla fundamental en el diseño de los procesadores Intel está forzando el rediseño de los núcleos de Linux y Windows para evitar esta falla de seguridad a nivel de chip.
Programadores están en máxima capacidad para potenciar el núcleo de código abierto en el sistema de memoria virtual de Linux. Mientras se espera que Microsoft introduzca los cambios necesarios en sus Sistemas Operativos Windows el próximo martes de parchado.
Se estima que estas actualizaciones afecten el desempeño de los procesadores Intel. Estos efectos aún están bajo medición aunque se estima un impacto entre el 5% y el 30% en el desempeño.
La solución es básicamente separar la memoria del núcleo completamente de los procesos del usuario usando Kernel Page Table Isolation (KPTI), lo que recientemente fue posible revelar mediante un ataque denominado Forcefully Unmap Complete Kernel With Interrupt Trampolines (o F**KWIT) en el núcleo de Linux.
Cuando un programa necesita realizar cualquier acción como escribir un archivo o abrir una conexión de red, pasa el control temporalmente al procesador para que el núcleo realice la tarea. para realizar esta transición del usuario al núcleo y de vuelta lo mas rápida y eficientemente posible, el núcleo se presenta en todos los espacios de memoria virtual de los procesos, aún cuando no sea visible para los programas. Luego cuando se necesita el núcleo, el programa realiza una llamada al sistema, el procesador cambia al modo de núcleo y lo accede. Cuando está realizado, la CPU es indicada a volver al modo de usuario para re-entrar al proceso, mientras en el modo de usuario el código del núcleo y sus datos permanecen fuera de vista pero presentes en las tablas de paginación del proceso.
Los parches KPTI mueven el núcleo a una dirección completamente diferente a los procesos del usuario, de forma que no sea visible en absoluto. Con esto se pretende evitar que código maligno vulnere la protección mediante Kernel Adress Space Layout Randomization (KASLR). Este mecanismo de defensa usado por varios Sistemas Operativos para alojar componentes del núcleo en ubicaciones aleatorias en la memoria virtual.
Esto parece una buena solución, pero, los procesadores modernos realizan “ejecución especulativa”, al ejecutar una instrucción la CPU intenta predecir cual será la próxima instrucción que debe ejecutar, la prueba y si es válida la realiza. Hay una falta de seguridad en esta ejecución especulativa que al combinarse con lo anteriormente explicado permitiría eventualmente que un proceso a nivel de usuario pueda acceder directamente a instrucciones del núcleo y procesador, lo cual es peligroso.
¿Como afecta esto a usuarios Sophos?
El 3 de enero del presente año, Microsoft liberó un aviso de seguridad el cual incluye actualizaciones de emergencia para el problema, esto incluye contactar al fabricante de su Anti Virus para comfirmar que es compatible con el parche y a la vez definir una llave específica en el registro de Windows.
Sophos ha finalizado las pruebas de compatibilidad con la isntalación de este parche y con la modificaciáon del registro de Windows, confirmando de que no existen problemas de compatibilidad.
Sophos comenzará a agregar de forma automática la llave de registro a los siguientes productos de Sophos Endpoint y Server desde el 5 de enero de 2018:
Sophos Central Endpoints/Servers

Sophos Enterprise Console Endpoints/Servers

Preview subscriptionRecommended subscription

Sophos Endpoint StandaloneSophos Virtual Enviroment (SVE)UTM Managed EndpointsSophos Home

Los clientes que deseen aplicar el parche de inmediato, antes de que la actualización de Sophos lo realice automáticamente, pueden realizarlo de forma manual tal como se indica en el articulo de Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002.
Alternativamente es posible descargar y aplicar el parche sin la llave de registro.
Tome nota de que Microsoft indica que “además podría ser necesario instalar actualizaciones de firmware desde el fabricante de su dispositivo para protección adicional. Revise con el fabricante de su dispositivo para actualizaciones relevantes”. Para mayor información lea el artículo de Microsoft https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Sophos recomienda que realice pruebas antes de aplicar actualizaciones de firmware en ambientes productivos.
Además Sophos se encuentra evaluando el impacto en sus productos como XG Firewall, UTM y otros appliances que ejecutan Linux y contienen procesadores Intel para asegurarse de que están debidamente protegidos antes esta vulnerabilidad.
Parches e información de otros fabricantes/proveedores:
https://support.f5.com/csp/article/K91229003