El primer Security Operation Center comercial a nivel Bolivia tiene como objetivo brindar un valor agregado colaborando en hacer simple y organizada tareas de Monitoreo de Eventos y Gestión en Seguridad de la Información. Este servicio no necesariamente este casado a una marca o línea de producto, al contrario, es el complemento justo y necesario a dichas marcas y/o líneas de productos. En ese sentido desde ya más de 2 años tenemos los Servicios Gestionados y Monitoreo de Seguridad (SGMS) totalmente funcional y en todo este tiempo hemos logrado contar con la confianza de 5 clientes de gran envergadura a nivel nacional.

La semana pasada se ha iniciado una serie de eventos a nivel nacional visitando las principales ciudades de Bolivia (La Paz, Sucre, Cbba y Santa Cruz) comunicando las virtudes y características de los Servicios Gestionados y Monitoreo de Seguridad como un servicio innovador e integrador pensado para empresas que están convencidos que su activo más importante es su información digital. Así mismo, con los asistentes se profundiza en un pilar importante a la hora de hablar de Seguridad de la Información, dicho pilar tarta sobre la forma de organizar nuestro tiempo para cumplir y proyectar objetivos enfocados a Seguridad Informática.

En los eventos ya realizados el punto que más se ha destacado entre los asistentes es el hecho de que es el primer servicio de este tipo en Bolivia y que a diferencia de los Security Operation Center de otros países, el nuestro plantea trabajar en Seguridad de la Información desde dos enfoques, Inseguridad y Seguridad, es decir, evidenciar (eventos) su nivel de Inseguridad realizando trabajos de relevamiento y análisis y al resultado de lo dicho anteriormente adaptarle controles (normas) que coadyuven a proyectar y gestionar planes de mejora

Por increíble que parezca la guerra entre EE.UU e Iran ha comenzado a raíz de virus Stuxnet, pero no la guerra como se la entiende habitualmente con su cortejo de bombas y muertos, con sangre y lágrimas, sino a golpe de virus informáticos. La enfermedad se extiende entonces sin dejar cadáveres humanos. Mahmud Alyaee, secretario general de los servidores informáticos industriales de Irán, incluidos los que sirven para el control de las instalaciones nucleares, confirmó el 25 de septiembre que 30.000 computadoras instaladas en complejos industriales fueron infectadas con el virus Stuxnet al punto de volverlas inoperantes. El 16 de junio la compañía de seguridad informática VirusBlokAda descubrió un ejemplar de código malicioso bastante particular debido a las siguientes características:

(1)   La falla reside en la posibilidad de ejecución de código con el solo hecho de ver iconos de “acceso directo” por lo que el usuario, con solo abrir una carpeta que contenga accesos directos (una compartida en la red, una memoria USB o hasta una página web), puede ejecutar sin darse cuenta el código malicioso.

(2)   Malware firmado digitalmente: Existen dos variantes del malware que usan certificados digitales de empresas legítimas (Realtek Semiconductor y JMicron Technology). Lo anterior podría hacer pensar al usuario, erróneamente, que el malware es software válido perteneciente a alguna de las dos empresas mencionadas.

(3)   Afecta casi todas las versiones de Windows: Según el descripción publicada por CVE, la vulnerabilidad afecta Windows XP SP3, Server 2003 SP2, Vista SP1 y SP2, Server 2008 SP2 y R2, y Windows 7. Desde luego en la lista no se encuentra Windows XP SP2 debido a que el soporte fue descontinuado por Microsoft.

(4)   Ojo, en el listado de sistemas vulnerables no se incluye Windows 2000 ni Windows XP SP2. No es porque sean seguros, sino porque se terminó el soporte y simplemente no van a liberar los respectivos parches.

(5)   Como consecuencia de lo anterior, conocidas familias de malware han aparecido empleando como vector de ataque la vulnerabilidad utilizada inicialmente por Stuxnet. Ejemplos de esto son el Zombie Infection Pack, el virus polimórfico Sality hasta el famoso troyano bancario Zeus.

Es de esta forma que un código malicioso diseñado con un objetivo y un alcance limitado se convierte en una amenaza de talla mundial del estilo Conficker. Si no quiere ser infectado por todas las variantes de malware que existen y muy seguramente aparecerán en un  futuro, que se aprovechan de esta vulnerabilidad de Windows, instale el parche que Microsoft publicó: MS10-046.

Microsoft recomienda actualizar el parche crítico y desactivar los accesos directos y auto ejecución http://support.microsoft.com/kb/2286198

Trend Micro detecta el virus con los siguientes nombres WORM_STUXNET.A, RTKT_STUXNET.A, LNK_STUXNET.A,WORM_STUXNET.SM, TROJ_STUXNET.DX

Stuxnet fue fabricado aparentemente para atacar el sistema de supervisión, control y adquisición de datos de Siemens llamado SCADA, un sistema que muchas empresas utilizan para manejar reservas de agua, plantas de energía, perforaciones petroleras y otros servicios industriales. Stuxnet que tuvo sus inicios en India, Indonesia y Pakistán, Irán está en Bolivia y para evitar ser infectados debemos contar con nuestros sistemas operativos actualizados.

Fuentes:

http://america.infobae.com/notas/10264-La-guerra-contra-Iran-ha-comenzado

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx

http://blog.trendmicro.com/usb-worm-exploits-windows-shortcut-vulnerability/

http://www.fayerwayer.com/2010/09/virus-stuxnet-muta-y-arrasa-en-iran/

http://www.bbc.co.uk/mundo/noticias/2010/09/100929_1442_stuxnet_virus_gusano_china_dc.shtml

Android está de moda, el Sistema Operativo para dispositivos móviles impulsado por Google ya lleva varios códigos maliciosos que se han propagado a causa de vulnerabilidades en Adobe Flash, iTune. A pesar de que vulnerabilidades de tercero complican la seguridad de Andriod, el kernel del Sistema Operativo es el más cotizado por cibercriminales. Todo empezó en agosto del 2009 cuando se supo que en Rusia un troyano tenia por tarea enviar SMS indiscriminadamente a números con tarificación especial. Hace unos días se dio a conocer que una aplicación troyanizada estaba disponible en Android market, se trata de una aplicación disfrazada del juego de la víbora (Tap Snake). Este troyano que puede obtener información sobre nuestra ubicación geográfica usando tecnología GPS. Es decir, nos pueden hacer un seguimiento de la ubicación física del teléfono móvil.

Una vez instalado el juego, éste se registra en una aplicación Web en Google (App Engine) donde cada 15 minutos enviará los datos de la posición GPS a dicha aplicación. El atacante necesita instalar una aplicación GPS Spy en el cliente para poder espiar a la víctima.

Es muy fácil darnos cuenta si hemos sido víctima de este troyano, ¿cómo?...por las solicitudes que nos pide la aplicación como ser: ¿Desea acceder a la ubicación?, ¿Desea acceder a internet?. Otro síntoma clave es que parpadea el icono del satélite GPS cuando abrimos el juego. Un usuario experimentado, se podría dar cuenta de que se trata de una aplicación maliciosa, pero ¿un usuario corriente?. Lo cierto es que Andriod está en el ojo de la tormenta y mientras siga así los usuarios comunes seguirán a expensas de tener graves problemas a causa de malware mal intencionado.

Fuentes:

http://blog.segu-info.com.ar/2010/09/estudio-troyano-tap-snake-de-android.html#axzz111UyJwLb

http://www.hispasec.com/laboratorio/Troyano_android_tab_snake.pdf

http://gpsdatapoints.appspot.com/addPoint

http://www.adobe.com/support/security/advisories/apsa10-03.html

Cyveillance es una compañía consultora ha publicado un informe en el que se concluye algo que los porcentajes de detección de los antivirus son bajos. Cyveillance afirma que muchas marcas de AV detectan por firmas el 19% del malware "fresco" mientras que pasado un mes, sube al 61.7%. Trend Micro entre otras marcas de AV, sostiene que este estudio está incompleto y que se presta a malas interpretaciones.

En agosto del presente año, Cyveillance recopiló 1.708 binarios reconocidos como malware por al menos tres antivirus de los 13 contemplados en el estudio. Estos binarios eran archivos recolectados en los tres últimos días por la empresa con sus propios métodos. Analizó los archivos cada 6 horas durante 30 días con los 13 motores. La media de detección iba desde el 19% del día 1, hasta el 61.7% el día 30.

Las siguientes puntualizaciones han sido realizada en base a nuestra experiencia con el objetivo de visualizar hasta qué punto es cierto lo afirmado por Cyveillance.

(1)   El hecho de que tres motores detecten un binario no es definitivo para concluir que deba ser reconocido por las demás firmas de AV..

(2)   Aunque el informe no especifica explícitamente que se haya realizado el estudio de esta forma, todo apunta a que así se ha hecho

(3)   Hace más de 1 año que casi todas las marcas de AV usan nuevas tecnologías. Trend Micro es pionero en hablar de tecnología “in the cloud”, es decir tecnología  basada en heurística, reputación de archivos, de URLs, de dominios que están reforzando a la detección de malware basada en firmas.

(4)   No es posible hoy en día evaluar la capacidad de un producto sólo por una de sus funciones. Si se quiere evaluar la calidad y cantidad de firmas, se debe ser consciente de que eso es sólo una parte del producto.

(5)   ¿Son 1.708 binarios suficientes? No sabemos la naturaleza de los binarios. Por ejemplo, sabemos que las marcas de AV tienen serios problemas para detectar los "rogueware" (falsos antivirus). Pueden pasar semanas hasta que algún motor los detecta por firmas.

(6)   Un laboratorio de antivirus puede recibir cada día más de mil nuevas muestras de malware para las que no disponen de firma de detección específica. Con todas sus ventajas e inconvenientes, solo las muestras muy relevantes o nuevas pasan a ser analizadas manualmente. Tras 30 días, la media suba del 19 a algo más del 61% de detección por firmas, es incluso un buen trabajo.

(7)   Gran parte de contar con una buena protección es producto de tener políticas de seguridad proactivas (parchado automático, revisión de logs, campañas para crear conciencia en los usuarios finales, análisis de navegación, etc)

(8)   Es cierto que el usuario medio suele ser víctima del marketing de las casas antivirus, y creen que la suite les salvará de todo mal. Slogans como "Protección total" o "Blindaje del sistema" calan en el usuario que concluye que realmente es lo único que necesita.

(9)   Estadísticas como la de Cyveillance, puede ayudar a desterrar esa idea aunque, por otro lado, también pueden llegar a polarizan la opinión: "¿A pesar del dinero invertido en la solución antimalware, no estoy protegido por completo?" o "Las soluciones antimalware no sirven para nada". Ninguna de las dos posiciones es adecuada.

(10) Las soluciones antivirus son imprescindibles, pero es necesario combinarlas con un soporte tanto local como desde fabrica.

Fuente:

http://www.cyveillance.com/web/forms/request_thanks.asp?fileName=/web/docs/WP_MalwareDetectionRates.pdf

http://seguinfo.wordpress.com/category/informes

La virtualización ha revolucionado la forma de visualizar, administrar y proteger un data center. Si bien, el hecho de que podamos correr múltiples sistemas operativos virtuales independientes sobre un único servidor físico,

Para todos aquellos dudaban de la ingeniería social como un método efectivo les presento a dos nuevas familias de malware que combina la ingeniería social con técnicas ya conocidas tales como worms, troyanos entre otros.

Desde inicio de agosto hasta la fecha se ha generado mucha información en cuanto a vulnerabilidades se refiere, conozca las noticas más relevantes relacionados a seguridad:

Todos los días tropezamos con problemas o tareas que de cierta forma significan un reto para cada uno de nosotros, un gran porcentaje de dichas tareas son técnicas y como tal solo nos queda buscar herramientas que nos ayuden a lograr nuestro objetivo.

El navegador Internet Explorer de Microsoft ha registrado numerosas brechas de seguridad que ha animado a muchas empresas, e incluso gobiernos, a no recomendarlo. Ahora es Firefox el que sirve de vía de entrada a un virus tipo Botnet llamado Zeus.