El Hack a la OPM: Indicios de una invasión mediante herramientas de administración remota

A raíz de la invasión a la OPM, donde los reportes sugieren que millones de registros de habilitación de seguridad se dirigieron directamente a unidades de inteligencia chinas, vamos a hablar acerca de herramientas de administración remota (RAT). Estas herramientas son de uso común en este tipo de ataques, así que vamos a caminar a través de una metodología común para la identificación de las RAT desconocidas.

En el sentido más amplio, las RAT se utilizan para acceder y controlar computadoras de forma remota. Los administradores de sistema a menudo utilizan estas herramientas para el bien, pero los hackers de sombrero negro desarrollan RAT especializadas que infectan, se esconden y actúan como puertas traseras.

La invasión a la OPM: qué se está haciendo correctamente

El día 4 de junio la oficina de la prensa federal de los Estados Unidos anunció una fuga “masiva” de datos del personal federal estadunidense, hospedados en la Oficina de Administración de Personal (OPM, según su sigla en inglés) dentro del Departamento de Seguridad Nacional de los Estados Unidos. Siguiendo a una fuga anterior descubierta en marzo de 2014, se dice que esta fuga ha expuesto la información personal de hasta 4 millones de empleados del estado. El Washington Post reportó que los oficiales estadunidenses sospechan que el gobierno chino esté por detrás del ataque, que representa “la segunda invasión extranjera significativa a redes del gobierno de los Estados Unidos en meses recientes”.

Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 2

Por T. Grey

En la primera parte de este artículo de nuestro blog, cubrimos las razones de alto nivel y los casos de uso por los cuales las alertas y los parches pueden no ser suficientes para proteger a su organización de amenazas externas de malware y del mal uso interno de las computadoras. En esta segunda parte, veremos un ejemplo de cómo EnCase Cybersecurity puede ayudar a las organizaciones a encontrar amenazas desconocidas aplicando una visibilidad a nivel forense de los sistemas mediante una interfaz amigable a un auditor de TI.

Las Auditorías con EnCase pueden ser tan oportunas como lo necesite su equipo de seguridad. Las auditorías pueden ser programadas de forma independiente de acuerdo a la superficie de riesgo percibida por la organización, se pueden crear colas para conseguir resultados inmediatos o se pueden integrar como parte de un plan de respuesta a incidentes con alertas de otras herramientas de seguridad de TI.

La organización de este ejemplo tiene muchos sistemas Windows para los empleados y una mezcla de servidores Windows y Linux. Además, esta organización no conseguirá hacer la transición de algunos de sus servidores con Windows 2003 antes de la finalización del ciclo de vida del sistema operativo, agendada por Microsoft para el 15 de julio de 2015.

Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 1

Por T. Grey

Seamos honestos, muchas organizaciones no tienen el conocimiento ni la capacitación necesaria para encontrar e identificar amenazas de malware que no están en la base de datos de malware de nuestras herramientas de seguridad de TI. Esperamos la aparición de parches y alertas utilizando las herramientas que ya tenemos, esperando tener el presupuesto suficiente para que podamos permitirnos herramientas avanzadas que analicen el comportamiento en la red en tiempo real y tener suficiente hardware para que estas herramientas no ralenticen demasiado la red para los usuarios.

La realidad es que hasta las organizaciones que poseen un grande presupuesto de seguridad de TI no están encontrando las amenazas de forma oportuna. Una parte del problema es que la mayoría de las herramientas tiene que reconocer si un archivo es malicioso para tomar medidas en su contra. Puede tomar días, semanas o incluso meses hasta que las herramientas de seguridad actualicen sus bases de datos en contra de las nuevas amenazas. En caso de un malware especializado que no ha sido utilizado en ninguna otra organización o que sea el resultado de un ataque de personal interno, una amenaza podría nunca ser identificada generalmente como maliciosa. Las organizaciones también pueden tener sistemas operativos anticuados que ya no sean parcheados pero que no pueden ser actualizados hasta un ciclo presupuestario futuro.

2015: La lucha contra ataques adaptables requiere defensas adaptables con respuesta automatizada

Los atacantes están en constante búsqueda de nuevas vulnerabilidades para explotar tecnologías adaptables a gran escala o en búsqueda de malware que se utilice, cree y modifique solo lo suficiente para eludir los métodos de detección conocidos para propagarse a través de la red corporativa. El mismo malware o la misma vulnerabilidad raramente son utilizados después su descubrimiento público. La identificación y la venta de nuevas vulnerabilidades son negocios de altos ingresos, así como la venta de “kits de malware” que pueden ser personalizados y utilizados como armas contra organizaciones desprevenidas. El cibercrimen es un negocio en alto crecimiento, los protagonistas están cada vez más organizados y sus métodos de ataques son cada vez más elaborados.

¿Qué hemos aprendido de los ciberataques del 2014?

En Guidance Software tenemos el honor de entrenar y trabajar junto a equipos de seguridad de la información en numerosas corporaciones globales y agencias gubernamentales. Esto nos proporciona una ventaja ideal para aprender e incorporar la más grande inteligencia sobre los métodos de ataque y las mejores prácticas en respuesta a incidentes. Por esta razón, podemos ofrecerles una mirada a lo que hemos observado durante el aluvión de ciberataques ocurridos en este año.

Dónde invertir recursos en esta era de ataques de alto perfil  

En nuestra opinión, el impacto más grande que ha tenido el gran número de intrusiones famosas se encuentra en el crecimiento en la conciencia, tanto pública como corporativa, de estos ataques y de las dificultades presentes en asegurar los activos de una compañía. Esta concientización pone mayor presión y mayores demandas sobre aquellos que están en la primera línea de la batalla por la seguridad.

Webinar: Evite que Sus Dispositivos se Conviertan en Zombis

Los zombis están por todas partes, ¿estará protegida su red?

Los hackers, los sindicatos del crimen y las naciones hostiles están apuntando a millones de dispositivos en todo el mundo con la intención de convertirlos en botnets. El costo para las organizaciones puede ser enorme debido al tiempo de inactividad ocasionado, a la pérdida de productividad y al daño a la reputación de la organización.

Además, los equipos de seguridad están gastando cantidades sin precedentes de tiempo, dinero, tecnología y energía en la construcción y ejecución de estrategias de “defensa en profundidad”, y es fundamental que lo hagan. El problema es que muchos ataques de “dia-cero” son irreconocibles para las herramientas basadas en firmas, y ataques que empiezan focalizándose sobre el perímetro humano, como el phishing, esquivan completamente a los sistemas de prevención. El Informe Sobre Investigaciones de Brechas en los Datos 2014 de Verizon reporta que se necesita un promedio de solo seis intentos de phishing para alcanzar un 85 por ciento de probabilidad de lograr una entrada exitosa. Los atacantes están pasando por alto estos mecanismos de defensa perimetral con una regularidad alarmante, obteniendo de ese modo un acceso a datos valiosos en las redes de dispositivos. Cuando se trata de proteger estos dispositivos, los productos de antivirus siguen desempeñando un papel vital, pero un enfoque basado en firmas ya no es adecuado para protegerlos de amenazas desconocidas.

Auditando Proactivamente Archivos Eliminados de Dropbox Usando EnCase® Cybersecurity

por T. Grey

Organizaciones grandes y pequeñas han reconocido tanto los beneficios como los riesgos que trae usar Dropbox, una aplicación basada en la nube. Mientras que los beneficios de aplicaciones de compartimiento de archivos basados en la nube como Dropbox son obvios para muchos usuarios, quizás los riegos no son particularmente claros en relación a la protección de información confidencial. Algo que complica aún más este problema es que la inspección visual de una cuenta de Dropbox o de sus carpetas (usando Windows) generalmente no detallará qué documentos fueron subidos a Dropbox que luego han sido eliminados.

Este artículo detallará cómo las organizaciones pueden auditar proactivamente usando EnCase Cybersecurity en busca de documentos que han sido subidos a Dropbox y que posteriormente han sido eliminados. Las organizaciones podrán identificar los documentos específicos, entender la fecha de eliminación y medir la superficie del riesgo mediante una vista preliminar de los archivos eliminados. Los usuarios de Encase posteriormente podrán generar fácilmente reportes en PDF, RTF y HTML que detallan a cada uno de estos documentos.

Veamos qué tan fácil es el proceso de auditoría…

Detección de Esquemas de Fraude con EnCase®

Como ya saben los profesionales en detección de fraudes, el fraude es un organismo en constante evolución. Como un virus, el fraude evoluciona y muta en búsqueda de debilidades en los sistemas de detecciónestablecidos.  Una vez encontradas, estas debilidades son aprovechadas rápidamente para luegocambiar el patrón de acción del fraude, de forma que se asegure un ingreso continuo para el estafador o  grupo organizado. Los métodos de detección que funcionan hoy día no tienen el funcionamiento garantizado mañana. 

El fraude transaccional se enfoca en actividades específicas en las cuentas y en la exploración de las debilidades de herramientas y sistemas. La detección del fraude transaccional depende de la identificación de un grupo de indicadores de actividad que cumplan las siguientes características:

-          

      - Se aprovechan de debilidades en los sistemas que permiten que ocurran actividades que están fuera de las políticas establecidas para su rol designado dentro de la organización financiera. 

-        - Se aprovechan de la falta de controles o auditorías entre distintos sistemas

-        - Proveen beneficios a sus perpetradores, a sus familias, colegas u otras personas allegadas

La detección del fraude transaccional normalmente involucra una función de alerta en tiempo real o  una función de contabilidad post mortem  y está destinada a sistemas o herramientas específicas así como a las actividades específicas de un usuario del sistema. 

Vicepresidente de Symantec: El Antivirus “Ha Muerto”

¿Cuán efectivos son los programas antivirus para proteger sus sistemas? Al parecer no mucho, si nos guiamos por la opinión de Brian Dye, Vicepresidente de Symantec. El alto ejecutivo de la empresa declaró en una reciente entrevista al periódico Wall Street Journal que la industria del antivirus “ha muerto”. 

Symantec, la primera compañía en comercializar soluciones antivirus hace más de 20 años y reconocida mundialmente por su programa Norton AntiVirus, ha decidido aplicar un nuevo enfoque al combate al crimen cibernético. Symantec ahora comenzará a enfocarse en minimizar los daños causados por las intrusiones, en identificar los atacantesy en reconocer la forma en que los ataques funcionan. En lugar de combatir a las amenazas con programas de antivirus, que efectivamente solo pueden encontrar amenazas previamente reconocidas en sus listas negras, este nuevo enfoque trata de no solo borrar software malicioso previamente reconocido, sino también en entender el proceso de acción del malware para minimizar el daño que ocasiona y entender cómo es que el daño fue ocasionado, permitiendo corregir la falla y evitando que algún otro malware que actúe de forma similarpueda producir daño. 

Hackeos a ATMs: Detectando Ataques Que Inician Con Una Credencial de Acceso Válido

Hay un nuevo hack en la ciudad y el Servicio Secreto de los Estados Unidos le llama “Operación Ilimitada”. Con el foco en ATMs de bancos pequeños o medianos, los hackers usan credenciales robadas para entrar al panel de sistema de administración remota del ATM y así cambiar el límite de extracción de dinero a “ilimitado”. Posteriormente usan las tarjetas de débito robadas para extraer la mayor cantidad de dinero posible, a veces más de lo que las víctimas tienen en sus cuentas.

Quiten la tecnología de este escenario y es un lío al estilo “Oceans Eleven”. Llaves son robadas, bombas de humo son lanzadas, cajas fuertes son quebradas y los chicos malos se fugan con bolsas grandes de dinero. Así es como se ve en ciber – términos:

·         Un ataque exitoso de phishing orientado coloca malware en la estación de trabajo de un empleado. ¡Sistema atacado!

·         El hacker monitorea la estación de trabajo/dispositivo para ver cómo es que se logea normalmente el administrador al panel de administración remota del sistema de ATMs del banco

·         El hacker usa un ataque DDoS para distraer la seguridad del banco mientras se logea al panel de administración del ATM

·         El hacker remueve los límites de extracción para algunas cuentas de ATM y/o cuentas de banco

·         El ATM se mantiene sin compromisos: los límites son controlados mediante una consola de administración legítima.

Como escribió Jason en su blog post sobre Hacks RDP, “… es una amenaza basada netamente en el acceso: sin malware, sin exploit de por medio. Ningún sistema de detección de malware podría identificar estas amenazas porque usaron credenciales de acceso válidas.” Sin embargo, los análisis de dispositivos podrían detectar el malware corriendo en la estación de trabajo comprometida si el banco tomase este enfoque:

·         Auditar las estaciones de trabajo de los empleados y crear lineamientos base para comportamiento y procesos “normales” para cada uno

·         Realizar escaneos regulares para ver si alguno está corriendo un proceso que no esté en la lista blanca o tenga conexiones remotas sospechosas, quizás basados en la geografía o el IP remoto o dominio

·         Realizar búsquedas/cazas regulares de anomalías

EnCase Analytics fue creado para detectar actividad inusual como esta en la era de compromiso asumido. Puede aprender más acerca de esto aquí. ¿Comentarios? Las discusiones son bienvenidas en la sección de Comentarios más abajo.

Alfred Chung es el Encargado de Productos de EnCase Analytics en Guidance Software, si desea ver el artículo en inglés haga clic aquí.

RELACIONADOS

Evitando Fuga de Datos en Terminales POS con EnCase®

Porque Las Ciber Defensas Basadas En Firma Están Destinadas A Fallar

Art Coviello en el RSA: Es Hora de que Todos Tomemos Parte en las Amenazas Cibernéticas y Privacida

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase

Porque Las Ciber Defensas Basadas En Firma Están Destinadas A Fallar

Nunca verá una alerta de su herramienta de información de seguridad y administrador de eventos (SIEM, por sus siglas en inglés) pasar por un día de “cero ataques”. No hay firma alguna en su lista negra del malware que fue hecha a medida para su organización y colonizado de manera secreta en su servidor de mail hace un mes. No hay indicador, no hay coincidencia de patrón, no hay alerta.

¿Por qué es este el caso? Porque el malware está en constante cambio y porque las mentes sofisticadas y dedicadas bajo estos “sombreros negros” están trabajando noche y día para diseñar una brecha de datos específico para cada organización que decide invadir. Cuando le golpea, será la primera vez que aquella firma ha sido vista.

Esta es la razón por la cual algunas agencias de investigación nacional y líderes de seguridad informática corporativa están llamando a los equipos de seguridad a comenzar a operar bajo la asunción de que ya se encuentran comprometidos. De hecho, la próxima gran amenaza puede que venga de dentro de su organización, usando credenciales válidas y filtradas. En esta nueva realidad, incluso los enfoques de defensa del perímetro más robusto llegan a pelear apenas media batalla.

Art Coviello en el RSA: Es Hora de que Todos Tomemos Parte en las Amenazas Cibernéticas y Privacidad

El jefe de RSA, Art Coviello, tuvo mucho que cubrir en una conferencia fundamental del RSA esta semana. De hecho, el tuvo tanto para decir que desechó su discurso rutinario y fue directamente al grano: el involucramiento de su organización con la NSA, la urgencia de un panorama de ciber amenazas y cómo todos deberíamos estar haciendo mucho, mucho más para colaborar como una comunidad de seguridad.

Coviello comenzó la charla con el primer problema directo al negar alegaciones que su empresa tomó 10 millones de la NSA para crear una “puerta trasera” dentro de su software e hizo énfasis en que sus proyectos conjuntos jamás fueron secretos. El dice que, como otras organizaciones comerciales que trabajan con el gobierno, la RSA usó el algoritmo de encriptación (defectuoso) que nombraron de manera que llegue a cumplir sus requerimientos de certificación, luego lo quitaron cuando la NIST dijo que debían. También pasó unos minutos discutiendo la dualidad de la naturaleza de la NSA, la diferencia entre sus dos motivos de recopilamiento de inteligencia (ofensa) y la seguridad de la información (defensa), reiterando el llamado para dividirlas en dos agencias distintas.

Una Perspectiva Legal en el Framework de Ciberseguridad NIST

La publicación lanzada el día de ayer del Framework final de Ciberseguridad NIST es una llamada de acción para las compañías que manejan infraestructuras críticas en los Estados Unidos. Con el eje central del Framework cambiando mínimamente, en comparación con las versiones previas, se hace un llamado a una amplia gama de compañías desde finanzas y cuidados de salud hasta energéticas y de tecnologías de la información, a estar preparadas para adoptar y probar que sus prácticas de ciberseguridad son consistentes con las prácticas subrayadas. La diferencia primordial del borrador preliminar es una revisión a su sección de privacidad, puesto que los críticos sintieron que el borrador preliminar de la sección de privacidad sería tan costosa y prescriptiva para disuadir la adopción masiva del Framework, que hasta el momento, es todavía voluntario.

El Framework de Ciberseguridad NIST: “¿Comercialmente razonable?”

Al pasar el tiempo, con los incentivos federales ofrecidos y las industrias aceptando y cumpliendo con el Framework, es más que seguro que el sector privado se mudará hacia el modelo de ciberseguridad NIST mediante la ley de responsabilidad común. Algunos especialistas en privacidad de datos ya están especulando que el Framework posiblemente se convierta en un estándar para lo que se considera “comercialmente razonable” para corporaciones que tienen escrutinio de los reguladores o estén relacionados en un litigio relacionado a brecha de datos.

Perspectivas sobre Riesgos: Argentina, en la Lucha para Proteger sus Datos

Hace ya algún tiempo nuestros datos privados se han ido convirtiendo en algo que debemos cuidar con recelo, puesto que esta información es bastante íntima y, al mismo tiempo, es información que puede ocasionarnos daño si cae en manos equivocadas. Es por ello que el foco de atención ha estado en la creación de nuevas leyes y formas de protección que nos den la seguridad necesaria para que nunca tengamos que encontrarnos en una situación como ésta. Uno de los países que ha estado activo en este sector es Argentina, con la Ley 25.326, Ley de Protección de los Datos Personales, promulgada por primera vez el año 2000. En esta publicación les explicaremos los puntos que creemos son los más relevantes sobre esta nueva ley y cómo nos beneficia de primera mano.