El Hack a la OPM: Indicios de una invasión mediante herramientas de administración remota

A raíz de la invasión a la OPM, donde los reportes sugieren que millones de registros de habilitación de seguridad se dirigieron directamente a unidades de inteligencia chinas, vamos a hablar acerca de herramientas de administración remota (RAT). Estas herramientas son de uso común en este tipo de ataques, así que vamos a caminar a través de una metodología común para la identificación de las RAT desconocidas.

En el sentido más amplio, las RAT se utilizan para acceder y controlar computadoras de forma remota. Los administradores de sistema a menudo utilizan estas herramientas para el bien, pero los hackers de sombrero negro desarrollan RAT especializadas que infectan, se esconden y actúan como puertas traseras.

La invasión a la OPM: qué se está haciendo correctamente

El día 4 de junio la oficina de la prensa federal de los Estados Unidos anunció una fuga “masiva” de datos del personal federal estadunidense, hospedados en la Oficina de Administración de Personal (OPM, según su sigla en inglés) dentro del Departamento de Seguridad Nacional de los Estados Unidos. Siguiendo a una fuga anterior descubierta en marzo de 2014, se dice que esta fuga ha expuesto la información personal de hasta 4 millones de empleados del estado. El Washington Post reportó que los oficiales estadunidenses sospechan que el gobierno chino esté por detrás del ataque, que representa “la segunda invasión extranjera significativa a redes del gobierno de los Estados Unidos en meses recientes”.

Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 2

Por T. Grey

En la primera parte de este artículo de nuestro blog, cubrimos las razones de alto nivel y los casos de uso por los cuales las alertas y los parches pueden no ser suficientes para proteger a su organización de amenazas externas de malware y del mal uso interno de las computadoras. En esta segunda parte, veremos un ejemplo de cómo EnCase Cybersecurity puede ayudar a las organizaciones a encontrar amenazas desconocidas aplicando una visibilidad a nivel forense de los sistemas mediante una interfaz amigable a un auditor de TI.

Las Auditorías con EnCase pueden ser tan oportunas como lo necesite su equipo de seguridad. Las auditorías pueden ser programadas de forma independiente de acuerdo a la superficie de riesgo percibida por la organización, se pueden crear colas para conseguir resultados inmediatos o se pueden integrar como parte de un plan de respuesta a incidentes con alertas de otras herramientas de seguridad de TI.

La organización de este ejemplo tiene muchos sistemas Windows para los empleados y una mezcla de servidores Windows y Linux. Además, esta organización no conseguirá hacer la transición de algunos de sus servidores con Windows 2003 antes de la finalización del ciclo de vida del sistema operativo, agendada por Microsoft para el 15 de julio de 2015.

Introducción a la búsqueda proactiva de amenazas de TI desconocidas – Parte 1

Por T. Grey

Seamos honestos, muchas organizaciones no tienen el conocimiento ni la capacitación necesaria para encontrar e identificar amenazas de malware que no están en la base de datos de malware de nuestras herramientas de seguridad de TI. Esperamos la aparición de parches y alertas utilizando las herramientas que ya tenemos, esperando tener el presupuesto suficiente para que podamos permitirnos herramientas avanzadas que analicen el comportamiento en la red en tiempo real y tener suficiente hardware para que estas herramientas no ralenticen demasiado la red para los usuarios.

La realidad es que hasta las organizaciones que poseen un grande presupuesto de seguridad de TI no están encontrando las amenazas de forma oportuna. Una parte del problema es que la mayoría de las herramientas tiene que reconocer si un archivo es malicioso para tomar medidas en su contra. Puede tomar días, semanas o incluso meses hasta que las herramientas de seguridad actualicen sus bases de datos en contra de las nuevas amenazas. En caso de un malware especializado que no ha sido utilizado en ninguna otra organización o que sea el resultado de un ataque de personal interno, una amenaza podría nunca ser identificada generalmente como maliciosa. Las organizaciones también pueden tener sistemas operativos anticuados que ya no sean parcheados pero que no pueden ser actualizados hasta un ciclo presupuestario futuro.

Visión General de la Integración con EnCase: EnCase & Splunk

Una de las características más poderosas de EnCase Cybersecurity es la habilidad de integrar a EnCase con otras herramientas de seguridad. Las capacidades de respuesta basadas en el contexto de EnCase Cybersecurity, al emparejarse con la tecnología de detección y correlación de eventos de seguridad de su elección, entrega un factor multiplicador a su habilidad de acercarse tanto como sea posible a un evento relacionado a la seguridad de la información. Mediante una arquitectura basada en un bus de servicio, EnCase Cybersecurity puede ser configurado para entregar automáticamente una visión completa y sin obstrucciones de los dispositivos en el momento en que se recibe una alerta para facilitar una variedad de necesidades de la seguridad de la información.

Para entregar un flujo de trabajo de seguridad completo desde la detección hasta la respuesta, EnCase Cybersecurity se integra con los proveedores líderes de tecnologías de detección de amenazas y de sistemas de administración de la información y de eventos de seguridad (SIEM), como HP ArcsSight, IBM Q1 Labs, FireEye, Sourcefire y otros. Cuando se hace uso de estas integraciones, EnCase Cybersecurity entrega tanto a pequeños equipos de seguridad TI como a grandes centros de operaciones de seguridad la validación y los detalles que necesitan de los hosts afectados prácticamente en tiempo real para entender completamente la naturaleza y el alcance de cualquier incidente, así como también permitir una rápida remediación.

Diferencias entre las soluciones EnCase y los DLP

En este artículo de nuestro blog hablaremos sobre puntos que diferencian a las soluciones EnCase de las herramientas para prevención de pérdida de datos, comúnmente conocidos por su abreviatura en inglés DLP. Para esto, nombraremos algunas de las dificultades presentadas durante el flujo de trabajo en DLP y luego mostraremos un cuadro en el que veremos cómo distintas funcionalidades esenciales para la protección de dispositivos finales están representadas en las soluciones EnCase y en los DLP más comunes del mercado.

Webinar: Identificando indicadores de mal uso informático y de fraude

Aprenda los desafíos al proteger a su organización contra el mal uso informático y el fraude, y cómo puede investigar y defenderse de las vulnerabilidades más críticas.

Dar a los empleados de su organización las herramientas que necesitan para cumplir sus tareas diarias puede traer riesgos, ya que los empleados pueden accidentalmente tener acceso a datos privados o confidenciales, o utilizar aplicaciones no autorizadas para efectuar acciones no relacionadas con el negocio, ver material inapropiado o cometer fraude u otros actos inmorales. 

Únase a nosotros este 12 de febrero: durante nuestro webinar de 45 minutos “Identificando indicadores de mal uso informático y de fraude”, discutiremos los desafíos que los auditores de TI y los oficiales de seguridad enfrentan al proteger a sus organizaciones contra el mal uso y el comprometimiento de los sistemas internos.

CryptoWall 2.0, cuando los ciberatacantes le “protegen” sus datos

Existe una nueva amenaza sobre los datos, similar a CryptoLocker pero más sofisticada, que desde algunos meses está arrastrándose en los dispositivos con sistema operativo Windows. Este ransomware entra en una computadora mediante correos electrónicos con phishing, archivos PDF maliciosos o mediante enlaces a sitios web comprometidos. Una vez ha sido ejecutado en el sistema, el malware ejecuta su versión apropiada de 32 o 64 bits, dependiendo del sistema instalado en la computadora para usar un método particular a cada sistema para aprovechar una vulnerabilidad de Windows. Luego encripta los archivos doc, jpg, pdf, ppt, xls y otros del usuario y exige un pago a cambio de la clave para descifrar y restaurar los datos del usuario.

Perdiendo la capacidad de elegir: Botnets en Latinoamérica

¿Qué es una Botnet? ¿Cuál es su objetivo? ¿Se propaga también en Latinoamérica? ¿Cual son las más difundidas? ¿Cómo defenderse?

Aunque los zombis de Hollywood no son todavía una amenaza para la humanidad, existen otros tipos de zombis mucho más peligrosos para las compañías caminando entre nosotros. En los últimos años, una de las armas más eficaces utilizada por los ciberatacantes ha sido la “zombificación” de computadoras para crear botnets. Esto es tan cierto en Latinoamérica como en el resto del mundo. La amenaza de un “apocalipsis zombi” para las computadoras de nuestras empresas crece cada día, obligándonos a tomar las medidas necesarias para evitar la infección.

Cortando el “Machete”: Nuevo Malware dirigido a Latinoamérica

Existe un nuevo contrincante en el campo de combate al malware, y utiliza el nombre de “Machete”. Machete es un malware desarrollado en Latinoamérica aparentemente para el robo de información relacionada a entidades gubernamentales de nuestra región. Sabemos que Machete fue desarrollado en Latinoamérica por el uso de español en el código del malware y por la ubicación de la mayoría de sus víctimas reportadas.

Machete inició su campaña de ataques dirigidos en el año 2010 y en 2012 mejoró su infraestructura. Este malware ha afectado mayormente a víctimas en Ecuador y Venezuela, pero otros países de Latinoamérica también han sido enfocados en los ataques, además de algunas víctimas afectadas en países lejanos como Rusia y hasta Malasia. Entre los afectados se han reportado organizaciones militares y de inteligencia, embajadas y otras agencias gubernamentales. De las casi 800 infecciones encontradas en organizaciones del mundo, más de 700 fueron organizaciones de Latinoamérica.

Detección de Esquemas de Fraude con EnCase®

Como ya saben los profesionales en detección de fraudes, el fraude es un organismo en constante evolución. Como un virus, el fraude evoluciona y muta en búsqueda de debilidades en los sistemas de detecciónestablecidos.  Una vez encontradas, estas debilidades son aprovechadas rápidamente para luegocambiar el patrón de acción del fraude, de forma que se asegure un ingreso continuo para el estafador o  grupo organizado. Los métodos de detección que funcionan hoy día no tienen el funcionamiento garantizado mañana. 

El fraude transaccional se enfoca en actividades específicas en las cuentas y en la exploración de las debilidades de herramientas y sistemas. La detección del fraude transaccional depende de la identificación de un grupo de indicadores de actividad que cumplan las siguientes características:

-          

      - Se aprovechan de debilidades en los sistemas que permiten que ocurran actividades que están fuera de las políticas establecidas para su rol designado dentro de la organización financiera. 

-        - Se aprovechan de la falta de controles o auditorías entre distintos sistemas

-        - Proveen beneficios a sus perpetradores, a sus familias, colegas u otras personas allegadas

La detección del fraude transaccional normalmente involucra una función de alerta en tiempo real o  una función de contabilidad post mortem  y está destinada a sistemas o herramientas específicas así como a las actividades específicas de un usuario del sistema. 

EnCase Para Sistemas Linux: Auditoria Para Identificar Artefactos de Internet

Para nadie es un secreto el alcance que está logrando en el mundo el uso del Sistema Operativo GNU/Linux. Grandes y pequeñas organizaciones lo están implementando cada día con mayor fuerza. Esto se debe a que es mucho más rápido y estable que otros sistemas operativos. Pero también es un sistema operativo que es idóneo para realizar auditorías o investigaciones dentro de las organizaciones a través de red. Esto con el fin de monitorear entre otros temas a qué páginas de internet están accediendo los empleados.

 A continuación se realizará un ejemplo de una auditoría realizada a computadores con sistema operativo Linux. Realizada  a través de la herramienta EnCase Enterprise que permite realizar este procedimiento a través de red, sin interrumpir la labor diaria del empleado. Y así identificar los archivos o directorios que almacenan la información de la navegación en internet.

Vicepresidente de Symantec: El Antivirus “Ha Muerto”

¿Cuán efectivos son los programas antivirus para proteger sus sistemas? Al parecer no mucho, si nos guiamos por la opinión de Brian Dye, Vicepresidente de Symantec. El alto ejecutivo de la empresa declaró en una reciente entrevista al periódico Wall Street Journal que la industria del antivirus “ha muerto”. 

Symantec, la primera compañía en comercializar soluciones antivirus hace más de 20 años y reconocida mundialmente por su programa Norton AntiVirus, ha decidido aplicar un nuevo enfoque al combate al crimen cibernético. Symantec ahora comenzará a enfocarse en minimizar los daños causados por las intrusiones, en identificar los atacantesy en reconocer la forma en que los ataques funcionan. En lugar de combatir a las amenazas con programas de antivirus, que efectivamente solo pueden encontrar amenazas previamente reconocidas en sus listas negras, este nuevo enfoque trata de no solo borrar software malicioso previamente reconocido, sino también en entender el proceso de acción del malware para minimizar el daño que ocasiona y entender cómo es que el daño fue ocasionado, permitiendo corregir la falla y evitando que algún otro malware que actúe de forma similarpueda producir daño. 

Entendiendo el Cumplimiento de Estándar PCI DSS V3 con EnCase® – Parte III

La intención de esta serie de publicaciones de blog es ayudar a organizaciones a entender los estándares de la versión 3 de PCI DSS. Explicar cómo EnCase puede reducir la complejidad de el cumplimiento de normas PCI y finalmente ayudar con la medición de riesgo bajo estándares al igual que reducir el tiempo mientras se mejoran los resultados de la ejecución de los requerimientos. 

En las primeras dos publicaciones de esta serie, comenzamos nuestra vista general con cómo EnCase puede asistir en análisis de primera persona o de terceros relacionado a los Estándares de Seguridad de Datos de la Industria Pagos por Tarjeta de Crédito (PCI DSS) citando directamente del estándar mismo. En esta última publicación, echaremos un vistazo a qué tipos de datos de cuenta del titular de la tarjeta EnCase eDiscovery combinado con EnCase Enterprise puede ayudar a encontrar para luego terminar nuestro vistazo estándar por estándar.

Entendiendo el Cumplimiento de Estándar PCI DSS V3 con EnCase® – Parte II

En la primera publicación, de esta serie de tres partes, hemos trabajado los básicos del Estándar de PCI DSS V3, por sus siglas en inglés). En esta segunda publicación, veremos cómo EnCase® Analytics combinado con EnCase® Cybersecurity y EnCase® eDiscovery pueden ayudar a organizaciones que procesan datos de cuenta, proveedores de servicio y revendedores de software/desarrolladores que realizan auditorías de primera parte para asegurar que su software de procesamiento de tarjetas cumpla con PCI DSS. Recuerda que EnCase® Enterprise es incluido con EnCase® Analytics, EnCase® Cybersecurity, y EnCase® eDiscovery.

Entonces, veamos el primer set de porciones de los estándares de cumplimiento en los que  EnCase® puedes ayudar con esta variedad de organizaciones. Nuevamente veremos los requerimientos específicos enfocándonos “estándar por estándar”.

Evitando Fuga de Datos en Terminales POS con EnCase®

El comprometimiento de la seguridad de los terminales POS se ha convertido en una amenaza emergente en las organizaciones. Este problema ha sido evidenciado en muchos casos de alto perfil en los cuales personas inescrupulosas han comprometido terminales POS para robar la información de las tarjetas de créditos de los clientes de una organización. 

Guidance Software, el líder mundial en investigaciones digitales, anunció el día 20 de marzo que la familia de software de seguridad EnCase® ahora tiene soporte para terminales de puntos de venta (POS, según su sigla en inglés). 

El segundo mayor caso de fuga de datos en la historia de Estados Unidos fue causado por una infección de terminales POS. Durante noviembre y diciembre del año pasado, la cadena de comercios estadounidense Target sufrió un ataque en sus terminales POS que ocasionó la fuga de información de al menos 40 millones de números de tarjetas de crédito. 40 mil terminales POS de la empresa fueron infectados con un malware que al parecer utilizaba credenciales de acceso autorizadas y que generó un archivo de más de 11 gigabytes almacenado en un servidor de la compañía hasta ser enviado finalmente a Rusia

Entendiendo el Cumplimiento de Estándar PCI DSS V3 con EnCase® – Parte I

Hemos producido previamente una serie de tres publicaciones en el blog en el que hemos descrito cómo EnCase® puede reducir los costos y las necesidades de recursos de cumplimiento interno PCI-DSS V2 (http://recorriendo-los-caminos-de-encase.blogspot.com/2013/09/ahora-que-entendiendo-el-cumplimiento.html). A finales de 2013, el cuerpo de las normas PCI publicó la versión 3 de las normas de PCI, que es una actualización de las normas PCI V2.

Las nuevas normas tienen un montón de atención en las áreas que EnCase® tiene capacidades muy fuertes. Entre otras, estas normas actualizadas requieren que las organizaciones llevan a cabo auditorías para las conexiones remotas, los permisos de archivos y servicios. Esperamos que usted considere EnCase® para asegurar el cumplimiento de las normas PCI actualizados para auditar a las normas, así como datos confidenciales de los usuarios que han sido almacenados en los registros, correos electrónicos, SharePoint o la nube.

Porque Las Ciber Defensas Basadas En Firma Están Destinadas A Fallar

Nunca verá una alerta de su herramienta de información de seguridad y administrador de eventos (SIEM, por sus siglas en inglés) pasar por un día de “cero ataques”. No hay firma alguna en su lista negra del malware que fue hecha a medida para su organización y colonizado de manera secreta en su servidor de mail hace un mes. No hay indicador, no hay coincidencia de patrón, no hay alerta.

¿Por qué es este el caso? Porque el malware está en constante cambio y porque las mentes sofisticadas y dedicadas bajo estos “sombreros negros” están trabajando noche y día para diseñar una brecha de datos específico para cada organización que decide invadir. Cuando le golpea, será la primera vez que aquella firma ha sido vista.

Esta es la razón por la cual algunas agencias de investigación nacional y líderes de seguridad informática corporativa están llamando a los equipos de seguridad a comenzar a operar bajo la asunción de que ya se encuentran comprometidos. De hecho, la próxima gran amenaza puede que venga de dentro de su organización, usando credenciales válidas y filtradas. En esta nueva realidad, incluso los enfoques de defensa del perímetro más robusto llegan a pelear apenas media batalla.

Una Perspectiva Legal en el Framework de Ciberseguridad NIST

La publicación lanzada el día de ayer del Framework final de Ciberseguridad NIST es una llamada de acción para las compañías que manejan infraestructuras críticas en los Estados Unidos. Con el eje central del Framework cambiando mínimamente, en comparación con las versiones previas, se hace un llamado a una amplia gama de compañías desde finanzas y cuidados de salud hasta energéticas y de tecnologías de la información, a estar preparadas para adoptar y probar que sus prácticas de ciberseguridad son consistentes con las prácticas subrayadas. La diferencia primordial del borrador preliminar es una revisión a su sección de privacidad, puesto que los críticos sintieron que el borrador preliminar de la sección de privacidad sería tan costosa y prescriptiva para disuadir la adopción masiva del Framework, que hasta el momento, es todavía voluntario.

El Framework de Ciberseguridad NIST: “¿Comercialmente razonable?”

Al pasar el tiempo, con los incentivos federales ofrecidos y las industrias aceptando y cumpliendo con el Framework, es más que seguro que el sector privado se mudará hacia el modelo de ciberseguridad NIST mediante la ley de responsabilidad común. Algunos especialistas en privacidad de datos ya están especulando que el Framework posiblemente se convierta en un estándar para lo que se considera “comercialmente razonable” para corporaciones que tienen escrutinio de los reguladores o estén relacionados en un litigio relacionado a brecha de datos.

EnCase Ayuda en la Detección de Corrupción

En la actualidad, un tema común en países latinoamericanos y países en vías de desarrollo de todo el mundo es el índice de corrupción elevado que existe en ellos. Las personas cometiendo este tipo de actos criminales buscan ya sea perjudicar una organización, institución o entidad sacando algún provecho (económico en muchos casos) de los mismos para beneficios propios o encomendados por terceros.

La corrupción no es un tema que debe ser tomado de manera leve, desafortunadamente en muchas ocasiones es tratada de esta manera, el ejemplo más claro, son los análisis superficiales que se realizan como respuesta a una alerta en las organizaciones. Las personas que cometen el delito de corrupción generalmente utilizan las mismas tecnologías que usan de manera diaria para comunicarse, comentar, llevar registros de lo que van haciendo, realizar doble contabilidad en algunas ocasiones, entre otros. Es por ésta razón que los laboratorios de informática forense, en su gran mayoría del estado, reciben bastantes casos en los que utilizan dispositivos de almacenamiento digital (USB, discos duros, medios ópticos, tarjetas flash, etc) para acciones de corrupción.