EXalli

Seguridad

malwareEn fechas recientes McAfee publicó su Informe sobre amenazas del cuarto trimestre de 2011, el cual revela que el malware sobrepasó el cálculo estimado de la empresa de 75 millones de muestras únicas de malware del año pasado. Aunque la aparición de malware nuevo disminuyó el cuarto trimestre, el malware móvil siguió creciendo y registró su año con mayor movimiento a la fecha.

“El panorama de amenazas continuó evolucionando en 2011 y vimos un cambio significativo en la motivación para los ataques cibernéticos”, señaló Vincent Weafer, vicepresidente senior de McAfee Labs. “Conforme pasa el tiempo, vemos cómo ninguna organización, plataforma ni dispositivo es inmune a las amenazas cada vez más sofisticadas y dirigidas. Globalmente, conducimos cada vez más nuestros negocios y asuntos personales a través de dispositivos móviles y esto está creando nuevos riesgos de seguridad y desafíos respecto de cómo protegemos nuestros datos comerciales y personales.” 

Malware

El crecimiento general de malware basado en PC, de hecho, declinó durante el cuarto trimestre de 2011 y es significativamente inferior comparado con el mismo trimestre de 2010. El número acumulativo de muestras únicas de malware en la recopilación supera la marca de 75 millones. En total, tanto 2011 como el cuarto trimestre fueron los períodos con mayor movimiento de malware móvil que McAfee haya visto hasta ahora, con Android firmemente fijo como el mayor blanco para escritores de malware móvil.

Dentro de los factores que contribuyeron al alza de malware, tenemos los rootkits, o malware sigiloso. Aunque los rootkits son algunas de las clasificaciones más sofisticadas de malware, diseñados para evadir la detección y “vivir” en un sistema durante un período prolongado, mostraron una leve declinación en el cuarto trimestre. Los antivirus falsos decayeron considerablemente a partir del tercer trimestre, mientras que el malware de ejecución automática y los troyanos que roban contraseñas mostraron leves disminuciones. En un claro contraste con el segundo trimestre de 2011, el malware de Mac OS ha permanecido en niveles muy bajos los últimos dos trimestres.

Amenazas Web

En el tercer trimestre, McAfee Labs registró un promedio de 6.500 nuevos sitios defectuosos por día; esta cifra se disparó a 9.300 sitios el cuarto trimestre. Aproximadamente una de cada 400 URL era maliciosa en promedio y, a sus niveles más altos, aproximadamente una de cada 200 URL. Esto eleva el total de URL maliciosas activas a más de 700.000.

La vasta mayoría de nuevos sitios maliciosos se ubica en Estados Unidos, seguido por los Países Bajos, Canadá, Corea del Sur y Alemania. En general, Norteamérica alberga la mayor cantidad de servidores con contenido malicioso, más del 73 por ciento, seguida por Europa-Oriente Medio con más del 17 por ciento y Asia Pacífico con un 7 por ciento.

Spam
A fines de 2011, el spam global alcanzó su punto más bajo en años, sobre todo en áreas como Reino Unido, Brasil, Argentina y Corea del Sur. A pesar de la disminución en niveles globales, McAfee Labs descubrió que el spearphishing y el spam actuales son altamente sofisticados.

En general, el crecimiento de botnets mostró un alza en noviembre y diciembre después de caer desde agosto, donde Brasil, Colombia, India, España y Estados Unidos experimentaron aumentos significativos. Alemania, Indonesia y Rusia disminuyeron. De los botnets, Cutwail continúa su reinado, mientras que Lethic ha observado un declive uniforme desde el último trimestre. Grum mostró un retorno importante después de una disminución prolongada, donde sobrepasó a Bobax y Lethic hacia fines del cuarto trimestre.

Filtraciones de datos

El número de informes de filtraciones de datos mediante piratería, malware, fraude y personas dentro de la organización mostró un crecimiento a más del doble desde 2009, según provacyrights.org, con más de 40 filtraciones informadas de manera pública solo este trimestre. La principal amenaza de red este trimestre provino de vulnerabilidades en las llamadas remotas de procedimiento remoto de Microsoft Windows. Esto seguido de cerca por ataques de scripting intersitios e inyección de SQL. Estos ataques remotos se pueden iniciar en blancos seleccionados en todo el mundo.

Para acceder al Informe de McAfee sobre amenazas: cuatro trimestre de 2011, visite http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2011.pdf

 

hackerLa firma rusa desarrolladorade software de seguridad, Kaspersky Lab, anunció lo que sus expertos consideran serán las amenazas informáticas más relevantes para el 2102.

Leer más: Kaspersky pronostica amenazas para 2012

En días pasados, AENOR México organizo el foro sobre la Ley de Identidad desde la ISO/IEC 2000 e ISO/IEC 27001 impartido por Manuel Ballester, catedrático y socio director de Consultoría Española AUREN. La charla, organizada en las oficinas de la representación comercial de España en México, tuvo por objeto explicar a empresas mexicanas cómo al implantar sistemas de gestión de protección de la información se puede cumplir cabalmente con la Ley de Protección de Datos Personales en Posesión de los Particulares, aprobada el año pasado por el Cngreso de la Unión. El ponente expuso la manera en que este tipo de ley se implantó en España, donde, en un principio los empresarios veían como un castigo la normatividad para recabar y emplear los datos personales de consumidores o clientes potenciales, sin embargo Ballester explicó que una vez adoptada la ley, se convirtió en una gran posibilidad para las empresas españolas para hacer negocios con otros países de la Unión Europea que también aplican dicha norma.

En palabras del catedrático, el cumplir con la norma generó un círculo de confianza gracias al cual se eliminaron trámites innecesarios pues las dependencias de los distintos países de la Unión dejaron de solicitar datos personales al ciudadano, sabiendo que éstos ya fueron levantados de manera confiable y son administrados de manera eficiente en su país de origen, por lo que basta comprobar la identidad mediante un carnet para que el ciudadano obtenga servicios o transite de un país a otro.

¿Qué propone el uso de las normas internacionales ISO/IEC 2000 e ISO/IEC 27001?

Cabe señalar las siguientes definiciones de términos: ISO (Organización Internacional de Normalización) e IEC (Comisión Electromecánica Internacional)

  • ISO/IEC 2000: establece diversos “Modelos de Gestión en el Servicio”. Por lo cual, propone una reingeniería de procesos a fin de que la organización funcione eficientemente y se obtengan mejoras continuas durante su ejecución.

  • ISO/IEC 27001: establece “Sistemas de Gestión de Seguridad de la Información (SGSI)” Esta norma internacional adopta un enfoque aplicado por procesos para la creación, implementación revisión y mantenimiento y mejora de una organización desde sus (SGSI)

¿Qué fortalezas empresariales brinda la aplicación de la ISO/IEC 2000 e ISO/IEC 27001?

De acuerdo con Ballester, el hecho de que las empresas u organizaciones posean sistemas de gestión de seguridad será una fortaleza en el manejo de procesos de datos internos y externos pues permitirá:

- La actualización periódica a las bases de datos (nombres, direcciones, edades, estado civil, etc.)

- El respaldo y la protección a las bases de datos

- La agilización de procesos de archivos de datos

- Garantía de conservación por al menos 5 años a las bases de datos

- La aplicación de las cláusulas legales vigentes en materia de privacidad

- Comprometerse a cumplir con la privacidad y el derecho a no divulgar los datos confidenciales de clientes o empleados

- Obtener satisfacción empresarial dentro y fuera de ella

Por ello, resulta de suma importancia que la organización lleve a cabo frecuentemente controles y depuración en sus bases de datos.

Se recomienda que tanto empresas como ciudadanos en general adopten una cultura voluntaria de cambio, para acudir de manera oportuna a actualizar sus datos personales tanto a instituciones bancarias, hospitalarias, educativas, hacendarias, en casos como:

Cambio de dirección, cambio de empleo, altas o bajas en Hacienda, deudas crediticias, nacimiento de nuevos integrantes en la familia o bien fallecimientos a las instancias correspondientes para depurar bases de datos.

mcafeeMillones de datos circulan día a día por la Red y por ello es de vital importancia para las empresas resguardar la información que es importante para su funcionamiento y desempeño.

De acuerdo a McAfee el cibercrimen se ha disparado en los últimos 3 años y las bases de datos de las compañías se han vuelto el blanco principal de los hackers. Esta información confidencial es muy importante para que las empresas lleven a cabo sus planes de negocio y el hecho de que estos datos sean extraídos de manera ilegal y lleguen a manos ajenas repercute de manera negativa en su funcionamiento.

Ante este problema McAfee anunció una solución global de seguridad para bases de datos enfocado en la iniciativa Security Connected (Conectado a la Seguridad) que protege las bases de datos críticas del negocio sin afectar desempeño ni disponibilidad. Esto implica reguardar los activos de datos más importantes de la compañía, desde el servidor hasta la red y la base de datos misma.

Los negocios almacenan sus datos más críticos y sensibles en bases de datos, y con frecuencia forman parte de aplicaciones para misión crítica, los gestores de la base de datos a menudo crean configuraciones “oro” cerradas optimizadas en cuanto a rendimiento y disponibilidad. Se niegan a alterar estas configuraciones optimizadas para agregar software de seguridad en la máquina ya que temen una degradación del rendimiento o la posibilidad de tiempo fuera de operación.

De acuerdo a un comunicado de McAfee, en una encuesta reciente realizada por Evalueserve

Detalla que uno de los mayores retos es proteger las bases de datos en la infraestructura IT, lo que explica el porqué para muchos clientes el nivel de protección de la base de datos no satisface el nivel de criticidad de los datos.

El enfoque de McAfee a la seguridad de las bases de datos es :

· Búsqueda y evaluación automazada: buscar y recabar todas las bases de datos en la red, hacer un invetanrio y determinar si hay parches o hay rastros de vulnerabilidad a través de Gestión de Vulnerabilidad para Bases de Datos McAfee.

· Protección global: Controlar el tráfico a las bases de datos con un cortafuegos de la red

Permitiendo que solamente los usuarios y las aplicaciones pertinentes tengan acceso a las bases de datos. Además, McAfee asegura que el ambiente del servidor, ya sea físico o virtual, esté protegido óptimamente sin afectar los resultados de la base de datos.

· Gestión y supervisión: rastrear los cambios que presénten las bases de datos y proteger la información más valiosas y sensible utilizando McAfee Database Activity Monitoring (DAM), (Supervisión de la Actividad de la Base de Datos McAfee) .

bushehr1Stuxnet parece ser el primer virus diseñado para atacar instalaciones de infraestructura crítica y sistemas Siemens, como estaciones de energía, plantas de agua y otras unidades industriales.

Ha infectado ya más de 100,000 sistemas de control industrial en Paquistán, Indonesia, India y quizás el 60% en Irán, por lo que se especula que el objetivo del ataque eran infraestructuras de alto valor en ese país, incluyendo las centrales nucleares de Bushehr o de Natanz.

Eric Byres, experto programador en mantenimiento y reparación de sistemas Siemens, declaró a las revista Wired que escribir este software podría haber requerido meses o incluso años de trabajo.

¿Qué es Stuxnet?

Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, y capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados.

Worm.Win32.Stuxnet fue descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad de Bielorrusia. Parte de sus componentes están fechadas en junio de 2009 y algunos otros elementos compilados el 3 de febrero de este año.

¿Cómo funciona?siemens

Ataca equipos con Windows, empleando cuatro vulnerabilidades de día cero de esta plataforma. Su objetivo son sistemas que emplean los programas de control industrial (SCADA) WinCC/PCS 7 de Siemens.

La diseminación inicial se hace mediante unidades de memoria USB infectadas, para luego aprovechar otros agujeros y contaminar otras computadoras con WinCC conectados en red. Una vez penetrado el sistema, emplea las contraseñas por defecto para obtener el control, por lo cual Siemens aconseja no cambiar las contraseñas originales porque esto podría tener impacto en el funcionamiento de la planta.

Una vez dentro, el virus busca el software de control industrial desarrollado por Siemens (PLC o programmable logic controller), que suele encontrarse en tuberías, plantas nucleares, compañías de servicios y fábricas.

Se sabe que la producción de sistemas PLC constituye el principal sustento de Siemens, al que se le considera el principal fabricante de dichos sistemas.

En cuanto el gusano infecta a una de estas computadoras, reprograma el PCL para dar nuevas instrucciones a las máquinas industriales que controla, enciende y apaga monitores, supervisa la temperatura y prende los sistemas de enfriamiento si un indicador registra alta temperatura.

Firmado con certificado válido

Stuxnet es extrañamente grande, pues ocupa medio megabyte y está escrito en distintos lenguajes de programación, incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo.

Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Tiene capacidad de actualización mediante P2P, lo que permite su puesta al día incluso después de que el servidor remoto de control haya sido desactivado.

Todas estas capacidades habrían requerido un equipo completo de programadores de distintas disciplinas, y la verificación en sistemas reales de que el malware no bloquearía los PLCs.

El troyano bautizado como Stuxnet tiene como característica que los drivers que usaba como rootkit estaban firmados digitalmente por la empresa china Realtek; esto significa que solo Realtek podía ser responsable de ese código, excepto que su clave privada haya sido comprometida de alguna forma, lo cual no se ha confirmado.

Microsoft trabajó con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek también).

Ante este "contratiempo", los atacantes reaccionaron firmando su troyano de nuevo con un certificado válido pero ahora de la firma taiwanesa JMicron, dedicada también a crear controladores.

Según Pierre-Marc Bureau de ESET, la única relación entre esas dos compañías es que comparten oficinas en Taiwán. Esto abre las puertas a todo tipo de suposiciones: que un atacante se introducirse físicamente en el edificio y aprovechó algún error gracias a la ingeniería social, o que se ha realizado un ataque dirigido a ambas compañías, o simplemente han comprado los certificados robados a un tercero.

¿Sabotaje?

El código preocupa por su alta complejidad, pues utiliza muchas técnicas nuevas y desconocidas hasta ahora. Se trata de un proyecto muy grande, bien planeado y con un importante financiamiento. No es un hacker común, pues considerando los recursos, podría tratarse de un sabotaje de Estado.

Cabe recordar que pese a las resoluciones sancionadoras de la ONU, Irán prevé la construcción de 10 plantas nucleares, argumentando que son de enriquecimiento de uranio, mientras que gran parte de la comunidad internacional, encabezada por Estados Unidos, Israel, Francia, Alemania y Reino Unido acusan al régimen iraní de ocultar un programa clandestino de aplicaciones bélicas.

Página 4 de 4