Monthly Archives: March 2009

Conficker: primero de abril, el día que todo ardío

Posted on by
Reply

Casi es primero de abril y me despido de Uds para siempre porque, al parecer dentro de unas pocas horas, todo lo que conocemos como Internet… desaparecerá en manos de Conficker.

Lo dije en nuestro Boletín 130 (punto 2).

DAMOS PENA y LÁSTIMA, somos INCONSCIENTES, IRRESPONSABLES y NEGLIGENTES.

… por eso seguimos pensando que el primero de abril se termina el mundo en manos de un gusano. Unas pocas líneas de código han demostrado que no hemos aprendido nada en 20 años.

Cristian de la Redacción de Segu-Info

View post:
Conficker: primero de abril, el día que todo ardío |

Antivirus en el mundo real

Posted on by
Reply

Hemos repetido en más de una ocasión que no se debe utilizar VirusTotal para hacer evaluaciones o comparativas de antivirus. Entre otras razones porque las versiones utilizadas en VirusTotal (commandline) no son las mismas que las que instala el usuario final (escritorio), y estas últimas pueden tener funcionalidades añadidas que no se encuentran en las versiones de línea de comando (monitorización del comportamiento y otras capas de defensa).

Otra razón importante es que se debe reproducir el entorno real donde se pueden producir las infecciones. Error que todas las evaluaciones suelen cometer, ya sean comparativas de revistas, de la VirusBulletin, o de cualquier otro que se dedique a este tipo de evaluaciones.

En mi opinión, para no hacerlas tan mal (incluido las que yo he venido haciendo hasta la fecha), habría que reproducir tanto el entorno, como el vector de infección, así como completar la evolución de la amenaza, y hacerlas continuas en el tiempo.

El entorno parece claro que debe ser un ordenador real con el antivirus que puede comprar el usuario actualizado e instalado por defecto. El vector de infección debe ser el/los que se haya utilizado para propagar la muestra (no, no responde igual un antivirus si un ejecutable le llega por email, por web, o se copia en una carpeta). Además de ejecutar la muestra a través del vector de infección, habría que completar la evolución de la amenaza (un antivirus puede fallar al detectar un downloader, pero puede que detecte el ejecutable que éste intente descargar, o un antivirus puede fallar al detectar un troyano pero puede impedir que éste realice la acción para la que estaba diseñado, etc).

Go here to read the rest:
Antivirus en el mundo real |

Seguridad y alineación con el negocio

Posted on by
Reply

Por Enrique Polanco (Adjunto al Consejero Delegado y director de Seguridad Corporativa del Grupo Prisa)

No es momento de ir cada uno por su lado. Nunca lo es dentro de una empresa, y ahora mucho menos. La seguridad no puede ahogar al negocio, y éste no puede avanzar dejando atrás unos riesgos que podrían lastrarlo o dar al traste con sus aspiraciones en cualquier momento. Ambos deben ir juntos y alineados.

Al hilo del cierre de presupuestos de 2008, comentábamos la importancia que los gastos en seguridad global podrían tener respecto al previsible aumento de los riesgos derivados de la tan cacareada crisis que, a la postre, parece estar resultando más dura de lo que preveíamos.

Contenido completo en CXO Community

Read the original here:
Seguridad y alineación con el negocio |

¿Es la Seguridad un Desastre?

Posted on by
Reply

Después de el largo rato que me ha costado leer la crítica (PDF, Powerpoint) de Marcus J. Ranum, una persona con una larga e impresionante experiencia y sobre todo, imposible de contenerse a comentar las cosas que opina, me temo que lamentablemente tengo que estar de acuerdo con todo lo que expone, que basicamente se resume en la separación existente entre la Dirección de una empresa y la realidad de la Seguridad a la hora de analizar todos los riesgos cuando nos embarcamos en un nuevo proyecto.

Ranum pone como ejemplo la estrategia de la NASA (os recomiendo leer esta historia de Feynman, (con más detalle aquí) porque a muchos de vosotros os sonará vivir situaciones parecidas) y la separación que existe entre las expectativas de la Dirección y la realidad del asunto, o lo que es peor, entre el mundo de ciencia-ficción que se crea con la ayuda de las personas técnicas y su mensaje distorsionado, y la grave realidad que vivimos.

El problema a menudo reside en que la comunicación del mensaje no se hace con firmeza hacia arriba, con lo que para la Dirección es relativamente sencillo eludir cualquier tipo de comentario negativo que desaconseje el proyecto en cuestión (creo que, parece que, …), con lo que ya no hace falta buscar un “comprador” para tu idea, sino que simplemente no hay razones claras y concisas que propongan la cancelación del proyecto. También es verdad que cuando sí que existen esas razones, es común buscar otro grupo al que le ilusione la idea para lanzarnos al ruedo (Ranum pone el ejemplo de que por ejemplo a Seguridad le parece mal, pero si se lo comenta a Marketing, le parece fabuloso).

Y aquí es donde entra en juego el Análisis de Riesgos, puesto que muchas veces se aceptan (no se eliminan o se mitigan) riesgos que son absolutamente innecesarios: poner el servidor donde guardo mis documentos confidenciales accesible por Internet es totalmente innecesario aunque luego ponga cortafuegos, IPS o todo lo que yo quiera. Muchas veces este riesgo va a ser aceptado por la Dirección, pero en el caso de desastre (en este caso robo de información), ¿quién va a responsabilizarse? Muchas veces el Análisis de Riesgos juega ese papel de “demonio” a la hora de intentar proteger nuestros activos: aceptar los riesgos no es tan bonito como parece.

La sensación es que es imposible ya reaccionar y que muchas de las decisiones que se tomaron en el pasado (incluso en la época de los 80) ya son imposibles de cambiar (y Ranum, de hecho, piensa así), pero en mi opinión, hay un atisbo de luz y puede que realmente no lleguen a ocurrir todas las desgracias que comenta, gracias principalmente a dos factores: la convergencia de Seguridad física y de la información, y el peso que gradualmente va ganando las decisiones en materia de Seguridad (ojo, por supuesto que sólo en muy pocos ámbitos). La incógnita que nos queda por despejar es saber si esas persona que están ganando peso en sus decisiones, a) tienen el sentido común necesario para no cometer los mismos errores, b) se rodea y confia en las personas que tiene a su alrededor para analizar con detalle todos los riesgos asociados.
Muchas veces decimos que el tiempo lo dirá, aunque en este caso ya lo estamos viendo, y por ahora lo que vemos es un futuro incierto con un pequeño atisbo de esperanza.

Autor: David Barroso
Fuente: S21sec e-crime

Read the original:
¿Es la Seguridad un Desastre? |

All your emails belong to me (Todos tus correos me pertenecen)

Posted on by
Reply

Hace tiempo comentábamos uno de los problemas de utilizar cuentas de correo tipo webmail. Pues bien, 4 meses después, se ha descubierto una vulnerabilidad que afecta a la mayor parte de los webmails de ISPs europeos con el problema que comentamos.

Más de 40 millones de cuentas de correo pudieron verse comprometidas por esta vulnerabilidad ya corregida.

El peligro de esta vulnerabilidad era crítico debido a tres factores:

  • facilidad de llevarlo a cabo
  • la víctima en ningún momento era consciente de que sus correos estaban siendo redirigidos
  • la gran difusión y uso de webmails

El atacante sólo necesitaba enviar un correo a su víctima con una petición HTTP especialmente modificada y tan pronto como la víctima abría el correo (sin ningúna otra acción) la característica de reenvío se configuraba automáticamente con el destino elegido.

Esta vulnerabilidad estaba basada en los tan conocidos e infravalorados ataques XSS y CSRF.(versión en castellano)

Video demostrativo.

Autor: Emilio Casbas
Fuente: S21sec

Read the rest here:
All your emails belong to me (Todos tus correos me pertenecen) |