LATEST ARTICLES

octubre 25th 2016

Más y mejor seguridad para poder vivir en un mundo del internet de las cosas

Número de lecturas: 565
{lang: 'es-419'}

La final del Cyber Grand Challenge, una competencia de tecnología

La visión del llamado internet de las cosas —darle a todo tipo de cosas físicas una transformación digital— ha estado adelantada a la realidad por años, pero esa brecha se está cerrando rápidamente.

Hoy en día, el rango de cosas que se computarizan y se conectan a redes es sorprendente, y va desde relojes, dispositivos y ropa, hasta automóviles, motores de reacción y equipamiento de fábrica. Incluso las carreteras y campos agrícolas se están actualizando con sensores digitales. En los últimos dos años, el número de dispositivos del ‘internet de las cosas’ en el mundo ha aumentado cerca del 70 por ciento hasta alcanzar la cifra de 6,4 mil millones, según Gartner, una firma de investigación. Para 2020, la firma predice que la población del internet de las cosas alcanzará los 20,8 mil millones.

El pronóstico optimista es que el internet de las cosas será una tecnología que ayudará a que la gente y los sistemas físicos del mundo —la atención médica, la producción de alimentos, el transporte, el consumo de energía— sean más inteligentes y eficientes.

¿Cuál es el pronóstico pesimista? Los hackers tendrán más que hackear. Además, los consumidores acostumbrados a añadir herramientas de seguridad a susCOMPUTADORAS y celulares podrían tener que adoptar precauciones similares con electrodomésticos conectados a internet.

“Si cada vez queremos poner tecnologías de red a más cosas, también debemos encontrar una manera de hacerlas más seguras”, dijo Michael Walker, un gestor de programas y experto en seguridad computacional de la sección de investigación avanzada del Pentágono. “Es un desafío para la civilización”.

Para ayudar a abordar ese desafío, Walker y la Agencia de Proyectos de Investigación de Defensa Avanzada (DARPA, por su sigla en inglés) crearon un concurso con millones de dólares como premio, llamado Cyber Grand Challenge. Para ganar, los concursantes debían crear sistemas automatizados de defensa digital que pudieran identificar y solucionar vulnerabilidades de software por sí mismos… básicamente, robots centinelas para la seguridad digital.

Un recordatorio de la necesidad de seguridad aumentada llegó hace unas semanas, después de la competencia patrocinada por DARPA, que se llevó a cabo en agosto. Investigadores de Level 3 Communications, una empresa de telecomunicaciones, dijeron que habían detectado varias cepas de programas malignos que lanzaban ataques en sitios web desde dispositivos afectados.

Los investigadores de Level 3, que trabajan con Flashpoint, una firma de gestión de riesgos en internet, halló que hasta un millón de dispositivos —principalmente cámaras de seguridad y videograbadoras— habían sido utilizadas por los así llamados ataques botnet. Dijeron que se trataba de “un cambio drástico” hacia utilizar dispositivos del internet de las cosas como huéspedes de ataques en vez de huéspedes tradicionales, como centros computacionales de información pirateados y enrutadores deCOMPUTADORAS en hogares.

La semana pasada, investigadores de Akamai Technologies, una empresa de entrega de contenido web, reportó otra violación de seguridad. Detectaron hackers que estaban al mando de hasta dos millones de dispositivos, incluyendo puntos wifi y antenas de satélite con el fin de probar si los nombres de usuario y contraseñas robados podían utilizarse para obtener acceso a sitios web.

El Cyber Grand Challenge se anunció en 2013, y las rondas clasificatorias comenzaron en 2014. Al principio, más de 100 equipos competían. A través de una serie de rondas eliminatorias, los competidores fueron ubicados en siete equipos que participaron en las finales en agosto en Las Vegas. Los tres equipos ganadores reunieron un total de 3,75 millones de dólares del premio.

Con el concurso de seguridad computacional, DARPA aprovechó una táctica que funcionó en el pasado. La agencia organizó un concurso similar que sirvió para arrancar el desarrollo de vehículos autónomos en 2005. Al vehículo autónomo del equipo ganador le tomó casi siete horas completar el trayecto de 212 kilómetros, a una pésima velocidad de menos de 32 kilómetros por hora.

Aun así, el concurso de 2005 demostró que era posible crear vehículos autónomos; eliminó dudas arraigadas y estimuló tanto la inversión como la investigación que llevó a la comercialización de la tecnología de los vehículos autónomos.

“Estamos en ese mismo momento con la ciberdefensa autónoma”, dijo Walker. El concurso, de acuerdo con los líderes de los tres equipos ganadores, fue un logro técnico, pero también arrojó luz sobre cómo la automatización de las máquinas y la pericia humana podrían combinarse de manera más eficiente en la seguridad computacional.

Para la prueba de DARPA, el código de ataque era nuevo, creado para el evento. En el concurso los equipos participaron como ofensa y defensa. No hubo interferencia humana durante la competencia. El software actuaba por sí mismo para encontrar y aprovechar fallas en el software de los oponentes,BUSCAR redes para detectar ataques entrantes y escribir códigos para reforzar su defensa.

Los ganadores lograron integrar distintas técnicas de software, de maneras novedosas, en “sistemas de ciberseguridad” automatizada. El concurso se llevó a cabo en un ambiente computacional aislado en vez de en internet abierto.

Los científicos están de acuerdo con que se necesita hacer más trabajo de desarrollo para que la tecnología se utilice de manera general en redes comerciales y el internet abierto. “Sin embargo, esta fue una demostración de que la ciberdefensa automatizada tiene la madurez suficiente y está llegando”, dijo David Melski, capitán del equipo que obtuvo el segundo lugar, cuyos miembros provenían de la Universidad de Virginia y una joven empresa surgida en la Universidad Cornell, GrammaTech, donde Melski dirige las investigaciones.

 Fuente:
nytimes.com
octubre 20th 2016

GTD simple con Recordatorios de Apple

Número de lecturas: 980
{lang: 'es-419'}

Ya os comenté en un artículo anterior que la productividad está de moda. Existen infinidad de aplicaciones que te pueden ayudar a ello. Pero no es menos cierto que no hace falta gastarse un montón de euros en aplicaciones, ni mucho menos. Con papel y lápiz puedes usar la metodología GTD, pero puedes comenzar a usarla de forma gratuita si eres usuario de productos Apple. Aprovéchate de la aplicación Recordatorios de iOS y macOS.

Si bien Recordatorios es una aplicación bastante sencilla para gestionar tareas y listas, nos ofrece una serie de características interesantes de manera gratuita:

  • Sincronización de todos nuestros dispositivos Apple través de iCloud.
  • Tareas basadas en la localización.
  • Compartir las listas y las tareas con otras personas, sean compañeros de trabajo o nuestra pareja.
  • Repetición de tareas/recordatorios.

En general, la gestión de nuestras tareas, nuestras obligaciones y compromisos, en la vida es algo más que el uso de recordatorios.

Configuración de recordatorios para GTD

Esta configuración no te llevará más de 10 o 15 minutos. Pero una cosa sí he de decirte, conviene que antes te hayas leído el libro Getting Things Done de David Allen. Si te interesa mi opinión, te digo que la lectura de ese libro no es algo opcional si realmente te interesa conocer y hacer GTD. Otro libro que a mí me ha gustado mucho y que siempre recomiendo es Productividad personal: Aprende a liberarte del estrés con GTD de José Miguel Bolívar.

Pero vayamos al lio. Abre tu aplicación de Recordatorios, ya sea en macOS o en iOS, y comienza a crear las listas. Ya sabes que si estás en Mac solo has de pulsar ?L, y si estás en iOS el icono +. De este modo crearemos las listas que necesitemos. Yo te recomiendo comenzar con una serie de listas GTD estándar, que son estas:

  • Bandeja de entrada: En esta lista recopilaremos todas nuestras tareas, las que nos lleguen por mail, teléfono, etc. Aquí es donde cae todo.
  • Proyectos/Resultados deseados: Esta lista contendrá todos nuestros proyectos. Te recuerdo que en la definición de GTD, todo lo que necesita de más de 2 acciones para ser completado es un protector, un conjunto de tareas.
  • Próximas acciones: Aquí es donde se capturan las acciones siguientes, las tareas que necesitas completar para llegar al resultado deseado.
  • @En espera: Esta lista comienza con @, eso es porque es un contexto. Esto es muy importante, ya que muchas tarea se las delegamos a otras personas, o simplemente las ponemos en modo de espera porque no podemos hacer nada con ella de momento, hasta que ocurra algo: que nos llame el taller para recoger el coche, esperar que nos llegue un paquete de Amazon, o que un compañero nos envié un documento.
  • Algún día / Tal vez: En esta lista guardaremos acciones o proyectos (conjunto de acciones), que o bien no tenemos nada claros aun, o que no deseamos realizar de momento. Más adelante, en las revisiones, valoraremos si nos ponemos con ellas o no.
  • Recordatorios: Cierto es que la mayoría de la gente no usa esta lista, pero a veces viene muy bien para establecer recordatorios de tareas futuras que nos quedan lejos en el tiempo. Por ejemplo los vencimientos de los seguros, pagos de impuestos, etc. Es un modo muy cómodo de que la función de recordatorios nos avise de cuando ponernos con ellas.

Creo que esta es una configuración básica, pero muy eficaz. A través del servicio de iCloud que nos facilita Apple, tendremos siempre nuestras listas y tareas sincronizadas en todos nuestros dispositivos. Incluso si estamos trabajando en un ordenador con Windows, podremos acceder a iCloud.com y gestionar desde allí nuestros flujos de trabajo para ir completando tareas.

Ya os dije al principio del artículo que para poner en practica GTD no era necesario mucho. Ahora bien, si tras probar este sistema ves que te va bien y comienzas a necesitar más funcionalidad o comodidades, quizás sea el momento oportuno para pasarte a aplicaciones más avanzadas como Things o Omnifocus. Mi consejo es que primero te pongas a trabajar, que veas que realmente te interesa esta metodología GTD, y cuando llegues al límite, dar el siguiente paso adquiriendo una aplicación que te costará el dinero. Puedes ir directamente a por ella, claro que sí, pero en ese caso estarás suponiendo que llegarás a ese límite de tu gestión, y lo mismo te aburres, te quedas a medio camino y habrás malgastado tu dinero. Elige libremente.

Mis recomendaciones

Otro consejo que me gustaría darte, creo que es el que te dará cualquier persona que trabaje con GTD, es que una de las partes más importante de todo este sistema es la revisión, que es la que te permite mantener el sistema ordenado y fiable. Así que tómate al menos una hora a la semana para revisar tu bandeja de entrada, tus listas, tus calendarios y los resultados a los que quieres llegar (proyectos).

Por último, recordarte que la aplicación Recordatorios te permite realizar búsquedas básicas, por lo que puedes filtrar tareas etiquetadas. Así que, por ejemplo, si has decidido en tu revisión del final del día, ponerte mañana a primera hora con tres tareas, etiquétalas con #hoy, y después tan solo tendrás que filtrar por ellas y realizarlas. ¿Sencillo verdad?

Como ves, los recordatorios pueden ayudarte a comenzar en el mundo del GTD, así que no le des más vueltas, léete alguno de los dos libros que te he recomendado, te explicarán y aclararán muchas cosas, y comienza a gestionar tu vida de una forma eficaz.

Fuente:

medium.com/@primiumcm

octubre 13th 2016

24 Horas en la vida de mi router doméstico

Número de lecturas: 2280
{lang: 'es-419'}

¿Estamos preparados para vivir en un mundo donde cualquier dispositivo conectado está expuesto a ciberataques?Esta es la frase con la que comencé mi última ponencia en las jornadas de Ciberseguridad QurtubaCON16 (y con la que comenzaré en las Jornadas de Ciberseguridad y Derecho en HoneyCON16 el próximo 11 de Noviembre en Guadalajara). Mi intención es que los asistentes saquen sus propias conclusiones sobre el nivel de riesgo que todos asumimos cada vez que conectamos nuestros dispositivos a Internet.

¿Te has preguntado alguna vez que ocurre en tu router doméstico y que amenazas le acechan en el mismo momento en que pulsas el botón de encendido?. En este artículo pretendo realizar un análisis de los eventos de seguridad y ataques recibidos en mi propio router doméstico de un famoso ISP español.  Así podrás tomar conciencia del nivel de exposición al que están sometidos estos dispositivos que permiten conectar nuestra vida a la red de redes.  Y pongo en el punto de mira a nuestros routers porque muchas veces no le prestamos la atención que merecen y en ocasiones los tenemos encendidos 24x7x365. Los dejamos expuestos de forma permanente, sin ser conscientes de que en ocasiones los paneles de administración están expuestos hacia Internet con credenciales por defecto o débiles, que tienen expuestos determinados puertos sin nuestro conocimiento que pueden ser atacados, que son vulnerables a determinados ataques o que presentan distintos fallos de seguridad que no han sido parcheadas ni por nuestro proveedor de Internet ni por el fabricante del dispositivo. Te recomiendo que visites la web http://routersecurity.org/ en el apartado Router Bugs y Security Checklist sobre vulnerabilidades detectadas en los últimos años y recomendaciones de seguridad.

Durante estos últimos años se han producido noticias acerca de vulnerabilidades en routers distribuidos en España que ponen de manifiesto la gravedad del asunto:

 

¿Qué ocurriría si un atacante consiguiera acceder a la configuración DNS de tu router y modificarla? No solamente podrías perder tu privacidad (ya que el atacante podría monitorizar tu navegación en Internet) sino que además podrían suplantar por ejemplo la web de tu banco o la de tu compañía a fin de obtener tus credenciales. Eso es solo un ejemplo de lo que podría ocurrir y que se describe en el siguiente gráfico:

En muchos casos, los ataques recibidos son automatizados y por tanto si tu router está dentro del rango de red objetivo que el atacante o dispositivo vulnerado escanea serás una víctima potencial. Aquí no vale la excusa “quien me va a atacar a mi si yo no soy nadie”. Solo es necesario que estés en su rango de ataque. No es necesario que el ataque esté dirigido exclusívamente a ti. Cuanto mayor sea el número de víctimas potenciales mayor será el porcentaje de éxito.

Para la recolección de eventos de seguridad y ataques, hago uso de un sensor hacia el cual redirijo todo el tráfico que va dirigido hacia mi IP pública que corresponde con mi router doméstico y monitorizo toda la actividad entrante producida en todo el rango TCP y UDP. También monitorizo los paquetes ICMP. Considero como sospechoso todo el tráfico dirigido hacia mi IP y monitorizo cualquier intento de conexión a cualquier puerto TCP.

No consideraré ataque la recepción de paquetes SYN a un determinado puerto, sino el acceso por fuerza bruta a determinados servicios expuestos en el sensor tales como SSH, Telnet, RDP o FTP, la ejecución y descarga de muestras de malware o determinados comportamientos anómalos en los servicios.

Hay que tener en cuenta que una dirección IP de un posible atacante por si sola no es un dato relevante, ya que se pueden utilizar diferentes técnicas para ocultar la IP real del origen o incluso el atacante puede usar un dispositivo ya vulnerado para realizar su ataque a través de él. En ningún momento he difundido mi dirección IP para recibir ataques.

La recolección de datos se produjo entre el miércoles 6 de Octubre a las 18:00 y el jueves 7 de Octubre hasta las 18:00. 24 horas.

Una vez agotado el tiempo de recolección de información, los datos obtenidos son los que voy a presentar a continuación.

En 24 horas se produjeron un total de 20.070 eventos hacia mi router doméstico, de los cuales 4678 puedo considerarlos como ataques. Se han registrado un total de 92 países distintos desde los cuales he recibido conexiones a un total de 349 puertos diferentes.

Más de la mitad de los eventos son recibidos desde Asia. Entre los puertos que han recibido más conexiones destacamos el servicio SSH, Telnet, 443, 2323, RPD, VNC, 8080 entre otros. Si yo en ningún momento he difundido que tengo esos servicios expuestos, tendríamos que preguntarnos que están buscando y por que llegan hasta mi. Eso solamente lo podemos saber si realizamos un análisis de todo lo que se ha producido.

Entre los orígenes de los eventos es normal encontrarnos últimamente a Vietnam en el top. La respuesta a esto es respondida en el artículo http://securityaffairs.co/wordpress/52015/hacking/mirai-botnet.html y es debido a la gran cantidad de dispositivos IOT infectados con Mirai y que tienen entre sus objetivos rangos de IPs españolas.

Sensor recogiendo información de eventos desde Vietnam

Dispositivos detectados por Shodan pertenecientes a Mirai

El gráfico general referido a ataques (no a todos los eventos) de las 24 horas quedaría de la siguiente manera (País origen, ASN, IP y puerto):

Algunos países destacados por el número de ataques realizados (ASN, IPs y Puerto):

La mayor parte de los ataques recibidos tienen origen Europeo y Asiático. También hemos recibido una pequeña parte de ataques desde España.

Analizando algunas de las IPs que han atacado mi router podemos encontrar los siguientes paneles de administración Web que corresponden a cámaras y routers:

Algunos de ellos no necesitan credenciales para su acceso y otros tienen credenciales por defecto. Todos ellos han visitado mi router (o quizás algún equipo que está detrás de esa red), se han conectado a mis puertos señuelo, han descargado muestras de malware, han intentado incluirme en su botnet, me han usado de pasarela para realizar ataques, entre otras actividades.

Se han descargado varias muestras de malware, entre ellas Mirai:

Pero no ha sido el único malware que han intentado descargar. Puedes ver a continuación la una demostración de la gran cantidad de descargas mediante wget que han intentado realizar:

Una vez observados todos los datos, no deberías preguntarte si tu router doméstico será atacado o no. Pregúntate cuando. Con todo lo expuesto anteriormente creo que ya eres consciente de que más tarde o más temprano te llegará tu turno. Y espero que para entonces no tengas tu panel expuesto en Internet, o que tus credenciales sean demasiado débiles o por defecto, o que no hayas parcheado tú, el fabricante o el proveedor del servicio las posibles vulnerabilidades del router o que no hayas expuesto más servicios de los necesarios. Quizás ya hayas sido atacado y todavía no lo sepas.

Si no tienes en cuenta estos consejos, quizás sea tu dirección IP la que aparezca en la siguiente lista de dispositivos vulnerados de cualquiera de mis sensores en las próximas 24 horas.

Saludos a todos.

Fr4n

Twitter: @0fjrm0

Fuente:

fwhibbit.es

octubre 11th 2016

Ransomware: Nuevo foco de ataques

Número de lecturas: 1510
{lang: 'es-419'}

Para ir directo al grano, el ransomware ha aumentado 200% desde enero de 2015 y por supuesto que se va a acrecentar aún más en 2017, es un negocio deDINERO RÁPIDO y pocas, muy pocas empresas están preparadas para hacerle frente.

Negocio rentable

La campaña de Ransomware en solo en el primer semestre 2016 generó ganancias de alrededor de 94 millones de dólares para los atacantes en USA y Canada principalmente, es más que suficiente motivación para que cada vez más hackers se enfoquen en este tipo de ataques y planifiquen nuevos objetivos: Hospitales, manufactura, colegios, ONGs, federaciones, entre muchos otros, no podemos decir “este sector no es de interés” es cuestión de tiempo para que encuentren una vía lucrativa para cada sector, en el caso de México, son muchas las medianas y pequeñas empresas, así como entes de gobierno federal estadal que han sufrido estos ataques y a todos los toman desprevenidos, y a pesar que se han realizado grandes esfuerzos para contrarrestarlo, aun quedan puntos débiles por donde vuelven a ser atacados.

¿Cómo me preparo?

Prevención es el mejor enfoque contra el ransomware, hay que cambiar el paradigma, “dejar de correr detrás de la cola”, las soluciones actuales han agregado más capas de seguridad (mayor complejidad) a la arquitectura tecnológica, estas capas se han definido:

  1. Antivirusy antimalware, esta capa no resuelve el ransonware, no está diseñada para detectar malware avanzado, el antivirus trabaja sobre “lo bueno conocido y lo malo conocido” pero y ¿Qué pasa con lo desconocido?
  2. Para lo desconocido se ha agregado otra capa, una con capacidad de consultar y compartir con otros entes (BD de malware en la nube por ejemplo), a ver si alguien en el mundo ya ha sido afectado e identificado para compartir esta información. ¿Qué pasa si nadie lo ha identificado?
  3. Para ello se ha incluido una tercera capa “Sandbox” hardware dedicado en sitio o en la nube con la capacidad de ejecutar el archivo desconocido, interactuar con él para detectar comportamiento anormal o hurgar dentro de su código enBUSCA de “alguna pieza de código malicioso conocido” esto también es conocido como análisis dinámico y análisis estático, pero ¿Cuánto tarda este proceso? Que hago mientras esto ocurre? Si el archivo desconocido es benigno o propietario. ¿Cuándo lo puedo ejecutar? Si el ataque es enfocado con técnicas evasivas y avanzadas como segmentar el código en varias piezas ¿Cómo un sandbox lo puede detectar?
  4. En vista de que tendremos que tener el “paciente cero” o la primera infección para efectivamente saber que un código es malicioso, luego debemos removerlo de todos los dispositivos donde se encuentre, para ello se agrega otra capa conocida como EDR “Endpoint Detection and Response”. finalmente debemos analizar el origen y volver al punto 3 para nuevo análisis.

Hemos descrito 4 capas de seguridad para el endpoint que implican costos adicionales de licenciamiento para atacar la problemática del malware avanzado (sin mencionar las listas blancas, DLP, cifrado, que apunta a otros casos de uso como el robo de información) con técnicas de detección. Cuando la solución puede ser simple en el enfoque, aunque no tan obvio en la implantación.

Y ahora ¿Quién puede ayudarnos?

Como comenté anteriormente, la prevención vuelve a la palestra como una solución mucho más efectiva contra el malware avanzado que la detección. Ahora bien, como toda estrategia debemos siempre involucrar a los tres pilares de toda organización: Personas, procesos y tecnología. Un plan de conciencia en seguridad para incrementar el nivel de sensibilidad en seguridad de las personas, procesos vivos, ágiles y efectivos que aumente la inteligencia organizacional y por último (y mi enfoque) la tecnología correcta, insisto el antivirus convencional no es la solución contra el malware avanzado, si alguien está recomendando algún antivirus a su cliente para resolver este punto, sugiero reevalúe y amplíe su propuesta.

De nuevo, la tecnología correcta, dos conceptos: Inteligencia artificial e Inteligencia de máquina oCOMPUTACIÓN cognitiva, ya existe en el mercado una solución que trabaja en base a Inteligencia artificial y computación cognitiva cuyos resultados han sido asombrosos contra el malware avanzado, las estadísticas de detección son superiores versus las soluciones de endpoint protection tradicionales, incluyendo las cuatro (4) capas antes mencionadas, no se trata de una moda, o de algo pasajero, en los próximos años empresas de seguridad que no apliquen algoritmos de Inteligencia Artificial en la lucha contra el malware avanzado se quedarán rezagadas, la inteligencia artificial no es nueva, lo novedoso es su aplicación contra la prevención de malware avanzado, estos algoritmos aprenden luego de analizar cientos de millones de muestras de malware de todo tipo y logran definir modelos matemáticos, estos modelos son aplicados a los archivos nuevos o desconocidos dando como resultado un nivel de riesgo del archivo y en base a este riesgo se toman acciones.

Recomendación

Aplicar un enfoque holístico en la estrategia de prevención: Personas, procesos y tecnología, seleccionar la tecnología correcta que use Inteligencia artificial e inteligencia de máquina, esto nos permitirá ganar tiempo y tener una barrera efectiva mientras las personas y los procesos se equilibran.

En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a las amenazas de malware avanzado, que es y será el principal reto a resolver por todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.

Fuente:

blog.adv-ic.com