Cochino Conficker ¿?
Si Conficker no se creo ayer, pero sigue siendo tan constante en nuestros equipos.
Les dejo esta información que aparte de documentar ofrece una solución a este malware.
El riesgo de exposición a la amenaza Win32/Conficker es debido a una vulnerabilidad de los sistemas operativos de Microsoft (Microsoft creó un parche para esta vulnerabilidad en Octubre de 2008) Para ayudar a evitar la infección causada por las vulnerabilidades de los sistemas operativos de Microsoft, asegúrese de que su equipo se encuentre siempre actualizado con la última actualización de Microsoft Windows. Puede encontrar las últimas actualizaciones en: http://update.microsoft.com/
Previniendo la infección
Si no desea descargar todas las actualizaciones de Windows pero quiere asegurarse al menos la protección de la amenaza Win32/Conficker, descargue los siguientes parches de los siguientes Boletines de Seguridad de Windows:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.msp
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Pasos de limpieza
Si encuentra o ha encontrado el malware Win32/Conficker, una versión completamente actualizada de un producto de seguridad ESET podrá eliminar la infección. Hay que recalcar que basta con un solo equipo en la red que no cuente con la actualización MS08-067 para mantener los ataques del Gusano Conficker en la red.
Importante! Para evitar reinfectar el sistema operativo, este debe estar actualizado el Sistema Operativo utilizando los links detallados más arriba.
Si no posee un producto de seguridad ESET instalado, usted puede descargar y ejecutar una herramienta de limpieza independiente:
http://download.eset.com/special/EConfickerRemover.exe
Para verificar que esta herramienta de limpieza ha eliminado la amenaza Conficker, ejecute nuevamente el limpiador y luego realice un análisis del equipo con su producto de seguridad ESET.
Luego de ejecutar exitosamente la herramienta de limpieza de ESET recomendamos que lea el siguiente artículo informativo de Microsoft sobre los parches de seguridad importantes y cambios de grupo recomendados.
NOTA: Si la herramienta de limpieza de ESET no remueve al Conficker en su totalidad el siguiente artículo de Microsoft contiene instrucciones sobre la eliminación manual de Conficker.
http://support.microsoft.com/kb/962007
Para obtener la máxima protección contra futuras amenazas asegúrese de que su sistema operativo se encuentre protegido de acuerdo a las recomendaciones de Microsoft y que su producto de seguridad ESET se encuentre actualizado.
Para encontrar más información sobre cómo protegerse del gusano Conficker por favor diríjase al artículo Gusano Conficker: parchee inmediatamente del Blog de ESET y este pendiente de nuestras noticias constantes de Seguridad Informática en nuestro blog:
http://blogs.eset-la.com/laboratorio/2008/11/29/gusano-conficker-parchee-inmediatamente/
30 Junio 2011
Instituciones mexicanas en la mira de Hacktivistas
A través de un comunicado distribuido en diversos blogs e incluso en el blog de Anonymous Hispano se anuncia la operación #opMexico, la cual tiene como objetivo el sitio del PRI, PAN y PRD.
El comunicado indica que estos tres partidos son el objetivo principal debido a la corrupción con la que manejan la política en México.
De acuerdo con el documento publicado en el portal PiratePad la operación se realizaría el 1 de julio, es decir, dos días antes de las elecciones del Estado de México, situación que podría generar mayor atención sobre el ataque.
A través de su cuenta de Twitter, Anonymous Central lanzó una invitación global para que sus miembros se unan al embate.
Un par de minutos después del tuit publicado por Anonymous Central, el mensaje se esparció por toda la red siendo publicado incluso por Anonymous Croacia.
De esta manera, lo que parecía ser una operación regional se ha tornado en un proyecto global del grupo hacktivista, situación que debería de poner en alerta máxima a los responsables de la seguridad del portal de la organización.
Las convocatorias fueron lanzadas, las armas fueron facilitadas, los ideales están siendo compartidos, y la “ciberguerra está comenzando”?. Es importante mencionar que esta nueva experiencia de combate no destaca el conocimiento superior informático en los participantes si no lo ideales “hacktivistas” que comparten.
Es este nuevo “activismo” del siglo XXI, que contrario a congestionar calles o avenidas con marchas, se manifiesta con ataques de Denegación de Servicios (DDoS) y filtraciones de datos sensibles, es esta lucha por “ideales anónimos” que está poniendo en jaque a los más poderosos gobiernos del planeta y que completamente está haciendo una revolución en lo que a Seguridad en TI corresponde.
Las preguntas se están realizando, es esto real, estamos preparados para esta “ciberguerra”, están los gobiernos preparados para esta “revolución”, son validos estos “ideales” dejando de lado la cuestión legal que involucra un ataque de esta magnitud de las cual sabemos, dudamos y desconocemos de las consecuencias legales en nuestro país, es México una víctima fácil, esperemos que todo este movimiento haga eco en las instituciones del todo el mundo y se comience con la creación de diversos movimientos que generen un verdadera cultura en seguridad informática.
Guía para controlar un ataque de Denegación de Servicio
Los ataques de negación de servicio distribuida (DDoS) ocurren cuando “hackers” toman el control de múltiples computadoras remotas o “zombies” o bien el escenario que actualmente se vive un grupo “anónimo de Hackers” se pone de acuerdo se organiza y lanza una ola de paquetes de datos de red hacia un sistema. Los ataques de negación de servicio distribuida (DDoS) pueden sobrecargar la red rápidamente, apagando los servicios de comercio electrónico y otras aplicaciones importantes.
¿Qué es un ataque DDoS?
Un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible este se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios.
Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual se lleva a cabo generando un gran flujo de información desde varios puntos de conexión.
Por consecuencia, un ataque DDoS bien planeado puede costar dinero—potencialmente mucho dinero. Aún cuando el ataque no impacte directamente el estado de ganancias de una empresa u organismo, puede sacudir la confianza en la seguridad de estas. Los clientes, los usuarios pensarán dos veces antes de utilizar servicios o adquirir productos, conduciendo a pérdidas de ingresos, ganancias y de confianza.
Perpetrados cada vez más por cibercriminales bien organizados—con fines de extorsionar con dinero a las organizaciones vulnerables— marcar deliberadamente quien es quien en la seguridad informática — Hacer notar que las empresas privadas o de gobierno no están preparadas para estas contingencias — los ataques DDoS pueden ocurrir en cualquier momento sin previa advertencia. Desafortunadamente, el identificar, aislar y mitigar un ataque DDoS es un desafío ya que los paquetes de datos ilegítimos no se pueden distinguir de aquellos que sí lo son, haciendo muy difícil su detección.
A pesar de su antigüedad, los ataques de denegación de servicio siguen vigentes, y es uno de los riesgos que las organizaciones deben considerar al momento de diseñar una estrategia de seguridad de la información. ¿Cómo controlar un ataque de denegación de servicio? Sobre este tema, el CERT Publico una guía , titulada DDoS incident response (respuesta ante un incidente de DDoS).
La guía considera seis pasos en el proceso de responder a un ataque de denegación de servicio. El primero de ellos, es:
Etapa de preparación: Para una correcta gestión de la seguridad, es necesario estar preparados, y es en esta etapa donde se recomienda, entre otras cosas, contar con un adecuado mapa de la red y conocimiento de la infraestructura, definir las personas a contactar ante la identificación del ataque y crear los procedimientos adecuados. Aunque sea redundante, estar preparados.
Etapa de identificación: detectar el ataque, determinar el alcance del mismo y, no menos importante, involucrar a las partes involucradas. ¿Cuánto tarda el gerente de una empresa en enterarse de este incidente? Aunque muchas veces las comunicaciones suelen realizarse luego de haber controlado la situación, es recomendable involucrar a las personas correctas en esta etapa, donde luego será necesario hacer un análisis de la situación, y del ataque en particular.
Etapa de contención: Consiste en trabajar sobre los dispositivos de red, para lograr que el tráfico malicioso no afecte el funcionamiento del servicio, ya sea bloqueando o redirigiendo los paquetes del ataque, o bien buscando nuevos canales de comunicación entre el servicio y sus usuarios.
Etapa de remediación: aún controlada la situación, es necesario detener el ataque de denegación de servicio. Cuánto más rápido se llegue a esta etapa, menor será el impacto (especialmente económico) del ataque. En esta etapa, es probable que se deba involucrar el proveedor de ISP, por lo que es recomendable saber cuál es el procedimiento para ello (primera etapa). El documento del CERT también aconseja, en caso de tener suficiente información, considerar involucrar a las fuerzas de seguridad en función de lo que determinen los departamentos legales de la empresa.
Etapa de recuperación: consiste en volver el servicio al estado original. Si se realizaron direcciones de tráfico o cambios en las configuraciones durante el ataque, una vez que este ha terminado es necesario volver todo al estado original. Es importante estar seguro al momento de estar estos pasos, ya que si no se hicieron las etapas anteriores cuidadosamente, es probable que vuelvan a aparecer falencias en el servicio.
Finalmente, la última etapa consiste en el post-ataque, es donde se debe analizar lo ocurrido y, entre otras acciones, se debe:
Documentar los detalles del incidente.
Discutir lecciones aprendidas y verificar si se pudiera haber evitado o controlado mejor el incidente.
Volver a la etapa uno y prepararse mejor en caso de una nueva ocurrencia del ataque.
Es una realidad: la mayoría de los lectores que tengan alguna responsabilidad sobre la seguridad de una red, no estarán trabajando en una organización que reciba cotidianamente ataques de denegación de servicio. Más bien, podríamos decir que suelen ser excepcionales, y aquí radica un aspecto fundamental: ¿estamos preparados para enfrentar ataques no frecuentes? Independientemente de cuándo ocurran, es en ese momento donde las empresas suelen arrepentirse de no estar listas para enfrentar la situación, por lo que, si está a su alcance, les recomiendo descargar la guía y dedicarle unas horas a la etapa número uno: prepararse. Como también indica el propio documento, recuerden, si se encuentran ante este ataque contra su organización, “siga los pasos de la guía, tome nota y no entre en pánico”.
DIRIGIÉNDOSE AL SECTOR SALUD
Conforme las organizaciones de cuidados de la salud migran del flujo de trabajo actual basado en papel hacia los servicios de cuidados de la salud digitalmente conectados, los hospitales, clínicas médicas y otras organizaciones relacionadas necesitarán protegerse a ellas mismas y a sus pacientes de ataques DDoS. Estos ataques pueden dañar la capacidad de impartir cuidados a los pacientes evitando que los profesionales de la medicina transfieran expedientes médicos o accedan a ellos, que obtengan resultados de los laboratorios o accedan a información médica. Los ataques DDoS también pueden interrumpir la facturación y las reclamaciones de seguros.
DIRIGIÉNDOSE A LOS SERVICIOS FINANCIEROS
Es importante que las instituciones financieras a salvaguarden su activo más valioso—la confianza de sus clientes. Las instituciones financieras deberán buscar soluciones que respondan a los mandatos de cumplimiento de regulaciones y que proteja sus activos digitales. Los proveedores de servicios que ofrecen dichas soluciones deben proteger sus activos digitales de ataques DDoS y mantener funcionando sus servicios a pesar de los mejores intentos por parte de hackers y extorsionadores para tirarlos.
DIRIGIÉNDOSE A LAS EMPRESAS MANUFACTURERAS
Más allá del piso de manufactura, los fabricantes han implantado aplicaciones de negocios por Internet para comunicarse en forma más eficiente con sus proveedores, operaciones subcontratadas, clientes y asociados. Los fabricantes utilizan sus redes para visualizar la cadena de valor de manufactura completa, ya sea que todos los participantes pertenezcan o no a la empresa, permitiéndoles cambiar el enfoque de simplemente reducir costos a mejorar el valor para sus clientes. Los sistemas de planificación de recursos empresariales (ERP) y de administración de la cadena de abastecimiento (SCM) basados en Internet simplifican la conexión con otras organizaciones así como con los procesos de negocios internos. La capacidad de operación expandida de estas aplicaciones y sistemas crea una necesidad de contar con soluciones administradas de protección
Cuáles son las implicaciones desde el punto de vista Seguridad TI de la facturación electrónica?
Una de la implicaciones y tal vez la más recurrente en este tipo de tramites es La fuga de información y esta es una problemática que no es ninguna novedad para la industria de la seguridad de la información ya que a menudo ocurren casos que aquejan especialmente a las organizaciones, aunque también puede afectar a cualquier individuo en su ámbito personal. La pérdida de información puede ser un inconveniente muy grave para una empresa en caso de no implementar controles para que no suceda una fuga y se deben tener en cuenta medidas en el caso desafortunado de que así ocurra.
Privacidad y la Confidencialidad en las Empresas.
La confidencialidad se refiere a la característica que implica que la información sea accedida solamente por los usuarios autorizados. Por su parte, la privacidad habla más bien de una garantía de confianza respecto a la propia información y su uso, diferenciándose de lo público y de lo secreto.
Por tanto, la fuga de información es lo que ocurre cuando algún dato o activo de información que tenga valor para una organización, pasa a manos ajenas, perdiendo la cualidad de confidencialidad que le fue asignada. Esto se puede ver representado, por ejemplo, en documentos que pasan a ser accesibles por personas no autorizadas, o también por cualquier dato secreto que alguien interno le facilite a un externo sin pasar por un medio digital.
- Se puede Filtrar toda la información de sus clientes (cartera, comportamiento comercial, dirección y datos )
Estos son los conceptos necesarios para entender en mayor profundidad la fuga de información, las cuales involucran la clasificación básica del problema:
Por su naturaleza (técnica o humana)
La naturaleza del problema
En principio, es posible separar el tema en dos grandes ramas, la primera relacionada con la tecnología, y la segunda con las personas. Esta clasificación obedece a un aspecto fundamental de la información, que es su medio de propagación (sistemas o personas) y el lugar donde se almacena (dispositivos de almacenamiento o la memoria de cada individuo).
Aspectos técnicos
Desde el punto de vista técnico el problema radica en la dificultad de administrar y gestionar la enorme cantidad de datos que procesan las organizaciones. En este sentido, teniendo en cuenta que cada nivel de usuarios deberá acceder a distintos archivos y datos, y que estos además viajarán por las redes y se almacenarán en distintas ubicaciones dentro y fuera del centro de cómputo; la complejidad de la situación aumenta exponencialmente. Esta diversidad de posibles ubicaciones de los datos hace que lo que se deba proteger no esté centralizado y se requieran medidas y tratamientos diferentes para cada caso. Por supuesto que todos los componentes tecnológicos forman parte de este aspecto, desde el hardware hasta el software y las redes.
Además en ocasiones puede darse una fuga no intencional, por deberse a un error técnico que hace que quede expuesta determinada información, ya sea en Internet o dentro de las empresas. También es necesario particularizar el caso de la omisión, en el cual una falla de configuración podría derivar en resultados similares a los antes dichos, pero con asignación de responsabilidades más clara.
Para enfrentar los problemas derivados del aspecto técnico aparecieron mecanismos, conocidos con distintas siglas, entre las que se encuentran: Data Loss Prevention (DLP), Data Leak Prevention (DLP), Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) y Information Protection and Control (IPC). Todos estos mecanismos tienen como objetivo el monitoreo y control de los datos digitales que circulan en una infraestructura tecnológica, ya sea por medio de filtrado de contenidos web, por aplicación de políticas en el uso de determinados datos previamente identificados como sensibles, o por el bloqueo de la conexión de dispositivos no marcados como confiables.
Ahora bien otra de las implicaciones relacionadas con el temas es la pérdida de información, sin una correcta planificación e implementación de medidas de seguridad, podría requerir de una alta inversión en tiempo e incluso dinero para su recuperación, y eso siempre y cuando sea posible ya que no siempre lo es, o por lo menos no totalmente. En un entorno empresarial esto es aún más grave ya que la disponibilidad de la información es fundamental para el correcto desarrollo de su actividad diaria.
Volumen de datos almacenados en las empresas
La probabilidad de pérdida de información se incrementa cuanto menor tamaño tiene la empresa, dado que los porcentajes de pérdida suben en el caso de las empresas con menos de 10 empleados.
El sistema más utilizado, en general, es la copia automatizada, seguida de la manual. Es de destacarse que los comercios con menos de 10 trabajadores, no tienen ningún sistema de seguridad.
Con respecto a las empresas que realizan copias de seguridad con frecuencia, de un 100 por ciento de las empresas , el respaldo diario lo hacen un 69 por ciento de ellas, el respaldo semanal un 9 por ciento de los casos y mensual en un 19 por ciento. Las empresas que más espacian sus copias tienen mayor riesgo de pérdida de información.
Finalmente señalaremos que la primera causa que todas las empresas alegan con respecto a la periodicidad con la que se están realizan sus respaldo es por la falta de tiempo.
Otros motivos son:
- Que no lo necesitan.
- Que tienen un volumen de datos insuficiente.
Lo que viene a demostrar un desconocimiento del peligro que supone esa pérdida de datos o bajo nivel de seguridad.
De qué manera se pueden mitigar los riesgos de seguridad TI inherentes a la FE?
Algunas formas de evitar las principales causas de fuga y pérdida de información, principalmente en el ámbito corporativo son, conocer el valor de la propia información. Realizar un análisis de riesgos y un estudio de valuación de activos para poder determinar un plan de acción adecuado que permita evitar posibles filtraciones.
Concientizar y disuadir a todos los involucrados se debe diseñar una estrategia de concientización sobre la responsabilidad en el manejo de la información y sus posibles consecuencias laborales y legales, del mismo modo se debe considerar la aplicación del modelo de defensa en capas a fin de que las distintas medidas que se toman cubran todos los aspectos del acceso a la información (físico, técnico y administrativo) y así evitar centralizar las soluciones o promover puntos únicos de falla. Ligado a esto se deben incluir herramientas tecnológicas, en ámbitos corporativos se debe contar de ser posible con una solución técnica de protección, por medio de hardware, software, o combinación de ambos, tanto a nivel de redes como de equipos (servidores y estaciones de trabajo). Es importante seguir los estándares. Alinearse con estándares internacionales de gestión de la seguridad permite disminuir el riesgo de que puedan ocurrir incidentes, así como también de que el negocio se vea afectado por un determinado evento de filtración. Siempre mantener políticas y procedimientos claros, relacionado con el punto anterior, se debe tener una clara definición y comunicación de las políticas de seguridad y acuerdos de confidencialidad, aceptados y firmados por todos los usuarios. Esto minimiza potenciales fugas de información, al contar con un consentimiento firmado del usuario para no realizar ciertas acciones. Se recomiendan realizar procedimientos seguros de contratación y despido. En estos dos momentos se conecta o desconecta una nueva pieza externa con el motor de la organización de la empresa, por lo que este punto debe tenerse en cuenta de manera muy particular, controlando especialmente los accesos y registros de los usuarios en sus primeros o últimos momentos de trabajo. Se deben seguir procesos de eliminación segura de datos. Es fundamental que los datos que se desean eliminar sean efectivamente eliminados, y los medios de almacenamiento adecuadamente tratados antes de ser reutilizados. Es muy importante conocer al personal. Se recomienda tener presente que en las organizaciones puede haber personas conflictivas o disconformes, que podrían ser foco de cierto tipo de problemas relacionados con la confidencialidad. Si bien puede ser difícil detectar estos casos, el hecho de conocer bien al propio personal ayuda a entender la situación general en que se encuentra una empresa y los posibles riesgos. Aceptar y entender la realidad. Es necesario hacer lo posible para comprender que se deben tomar medidas concretas y definir un plan realista. No se pueden controlar absolutamente todas las acciones de todas las personas en todo momento, por lo que siempre habrá un margen de error que quedará abierto, y que deberá intentar reducirse al mínimo a medida que pasa el tiempo.
Panorama actual de seguridad TI en Pymes.
Los ataques informáticos aumentan fuertemente día con día, y las pequeñas y medianas empresas no están exentas de este riesgo. Perder información clave para el negocio puede incluso llevar a una PyME a la quiebra.
Ataques de códigos maliciosos como Virus, Troyanos y Spam, acciones directas como el robo de un disco duro, USB, PC, Bases de Datos con información vital para el dueño, o simplemente, un desperfecto en un equipo o bien un incendio, inundación o terremoto. Estas situaciones pueden generar muchas pérdidas para una compañía de cualquier tamaño, grande o pequeña, pero en el caso de estas últimas pueden transformarse en verdaderas amenazas para la vida de la empresa, orillándola incluso a la posibilidad de cerrar el negocio.
Y es que la seguridad informática se ha transformado en un requerimiento básico para las empresas modernas, en especial porque el acceso a las tecnologías es cada vez mayor para las compañías Mexicanas, haciendo que la seguridad sea un asunto crucial para las empresas de todos los tamaños y mercados.
Las compañías independientemente de su tamaño, giro, país de origen y cultura organizacional deben implementar controles de seguridad para mitigar los riesgos a los que se expone la información sensible de la organización.
Todas las empresas tienen información estratégica que es vital para el funcionamiento del negocio y para su desarrollo, por lo que aunque las amenazas parezcan un riesgo remoto son una realidad que puede afectar no solo al buen funcionamiento de esta, sino también a su existencia.
En ese sentido la seguridad se transforma en un gran pilar para todas las compañías. Se ha visto que las amenazas aumentan cada vez más y que mientras las empresas toman mayores resguardos, las personas siguen siendo el eslabón débil de la cadena de seguridad gracias a la poca cultura informática que actualmente nos rodea. Por eso es fundamental que los usuarios estén alerta ante posibles ataques para protegerse a sí mismos y a sus datos, así como también para cuidar la información estratégica de sus compañías.
Los usuarios son muy descuidados y excesivamente curiosos, por lo que no toman en cuenta los controles de seguridad y descuidan los procedimientos en el manejo de la información, ignorando las advertencias. Esto los hace ser blancos fáciles para ataques cuyo fin es mayoritariamente robar información para obtener beneficios económicos. Por eso, el ejecutivo debe considerar que una política de seguridad de cualquier empresa, independientemente de su tamaño, debe considerar no sólo las herramientas tecnológicas adecuadas para proteger los sistemas, sino también una mayor concientización hacia las personas para desconfiar y ser cautelosas respecto a correos electrónicos desconocidos y otras amenazas que circulan a través de Internet.
