Hablando de TI

Etiqueta: ataque

  • I Wanna Cry: ¿el comienzo del fin?

    I Wanna Cry: ¿el comienzo del fin?

    Una vulnerabilidad de Windows, utilizada en gran escala ha dado pie a un incidente muy importante de secuestro de PCs en todo el mundo usando el malware Wanna Cry. El ataque da para todo, desde la sospecha que se usa una herramienta filtrada de la NSA, en adelante

     

    Hoy no es el comienzo del Apocalipsis informático, pero si puede tratarse de uno de los ensayos más profundos para estar listos para ese día. Un ransomware, capaz de replicarse sólo –al menos dentro de una red local de máquinas Windows—ha causado daños en redes de hospitales y empresas en el Reino Unido, España –incluyendo los Call Center de MoviStar y el del Banco BBVA— y hasta la empresa norteamericana de envíos FEDEX, y varias docenas de empresas en docenas de países más. Un mapa publicado por Forbes y elaborado por el sitio web malwaretech.com muestra como al medio día ya el ataque se había esparcido por todos los continentes habitados, en mayor o menor manera, con varios focos en América Latina, al punto que el Ministerio TIC de Colombia, MinTIC, ya respondió con sendo comunicado.

    Por primera vez un malware de ransomware logra replicarse de manera tan efectiva, supuestamente gracias al uso de una herramienta filtrada por los hackers desde nada más y nada menos que la NSA –la Agencia de Seguridad de los Estados Unidos. La herramienta usada, podría ser la llamada “eternal blue” y aprovecha una vulnerabilidad que –créalo o no—fue parchada recientemente por Microsoft, pero que muchos gobiernos y grandes corporaciones NO HABIAN APLICADO. Razón de más para que mañana mismo haya docenas de vacantes de CIOs y Gerentes de sistemas en todo el mundo.

    El malware en cuestión es conocido como Wanna Cry y cifra el disco duro de la máquina, colocando extensiones .WNCRY y deja un archivo PleaseReadMe.txt  con las instrucciones para pagar el rescate que ha sido entre US$300 y US$600 según reportes. Por supuesto el pago se realiza en Bitcoins, imposibles de rastrear.

    El gran diferenciador de este ataque es el uso del protocolo SMB que comunica máquinas Windows dentro de un entorno y permite pasar por alto ciertas consideraciones de seguridad. Se teme que el ataque haya sido realizado en dos fases, una primera fase de ingeniería social para lograr entrar a la red y una segunda fase de replicación automática aprovechando las fallas en el SMB.

    Les dejo esta interesante nota sobre el porqué del recrudecimiento de los ataques de Ransomware.

     

    Apocalipsis cibernético: la madre de todas las batallas

    Por Gabriel Izquierdo – CEO de BTR Consulting

    Itconnect.lat

     

     

    Dice la biblia en el Apocalipsis, “y vi en la mano derecha del que estaba sentado en el trono un libro escrito por dentro y por fuera, sellado con siete sellos”.

    Quizás sea la descripción más cercana al ransomware que podamos encontrar en la biblia, lo cual resulta paradójico, por lo viejo y por lo actual.

     

    Hagamos un poco de historia

    El ransomware, es un tipo de ataque considerado de la “vieja escuela”, que surge con los “bloqueadores” y con el correr del tiempo se potenció con el cifrado.

    Este malware que bloqueaba el acceso al sistema operativo o a un navegador era considerado como muy rentable y los ciberdelincuentes del siglo pasado lo usaban con asiduidad. Los expertos en seguridad en conjunto con los organismos policiales aceptaron el reto y resolvieron el problema rápidamente.

    Encontraron una solución inteligente y golpearon el negocio de los ciberdelincuentes desde el corazón de los sistemas de pago.

    Cuando la regulación de los pagos electrónicos fue actualizada, la ciberdelincuencia quedó expuesta aumentando el riesgo y ahogando el negocio de los criminales.

     

    Evolución Cibercriminal

    Hace poco más de un lustro, en 2009 para ser exacto, la evolución tecnológica fue un factor clave para el cambio de escenario.

    Nace el Bitcoin, se vuelve permeable en todo el planeta y gana la confianza entre los ciberdelincuentes.

    La moneda cifrada es, a la vez, un activo digital y un sistema de pago imposible de rastrear o regular. El amor entre los ciberdelincuentes y la criptomoneda fue instantáneo, a primera vista.

    Esta nueva perspectiva permitía redoblar la apuesta: en lugar de bloquear el acceso, fueron por la información sensible, comenzaron a cifrar los archivos de los discos rígidos de las víctimas.

    En lugar de atacar archivos que podían ser fácilmente restaurados, optaron por atacar archivos únicos de los usuarios, que detentan un valor personal que el usuario mejor que nadie es capaz de valorar. A partir de allí, el mundo de la seguridad informática cambió para siempre.

     

    Amanecer en el Apocalipsis

    La osadía del mundo cibercriminal crece de forma exponencial, día a día se corren los límites e internamente, todos esperábamos el día en el que lanzaran la madre de todas las bombas lógicas.

    El día ha llegado, en la mañana de hoy comenzaron a llegar noticias de España, sobre un ataque masivo a Telefónica de España, luego se sumaban BBVA, Santander, Vodafone, y avanzado el medio día en Argentina comenzaron a llegar noticias sobre hospitales en el Reino Unido, Universidades de Italia, empresas de Rusia y luego informes confidenciales que llegaban a nuestros escritorios, daban cuenta de ataques ocurridos en América Latina.

    Nuestro análisis apunta a que el vector de ataque ha podido ser algún tipo de spam con un adjunto que alguno de los usuarios ejecutó dentro de la intranet empresarial.

     

    Haciendo Drill Down en el Exploit

    A partir de ahí el exploit aprovechó la vulnerabilidad no parcheada de Microsoft para instalar el ransomware y para propagarse por la red a la velocidad de la luz, agregando la extensión .WNCRY a todos los archivos infectados.

    En paralelo crea un archivo PleaseReadMe.txt en donde explica como efectuar el pago.

    El vector utilizado es Wanna Decrypt0r 2.0 y según pudimos recabar en foros de la Dark Web que explotaron la vulnerabilidad MS17-010 usando EternalBlue, una de las herramientas que pertenecía supuestamente a la NSA y fue liberada por el grupo malicioso Shadow Brokers.

    Cabe recordar que en marzo fue liberado el parche para la vulnerabilidad MS17-010 pero en compañías con sistemas heredados de Windows XP y Windows2003 servers, no cuentan con parches para reparar el problema.

    Esto explica la rápida propagación que tuvo el caso, una mezcla de desidia que llevó a algunas empresas a abandonar las buenas prácticas que tanto pregonamos, día tras día, y la elasticidad de los sistemas, que no es infinita

  • Ciberataques causando daños físicos: la realidad a la que tendremos que acostumbrarnos

    Ciberataques causando daños físicos: la realidad a la que tendremos que acostumbrarnos

    Un ciberataque reciente causó daño físico a una acerería en Alemania, y parece demostrar que de ahora en adelante este tipo de ataques, con daño físico como resultado, serán cada vez más comunes

    hacking-acereraUn ataque cibernético causó daños en una acerería en Alemania, según se vio en un reporte liberado a finales del año pasado. No se trata del primero en su estilo –basta con recordar a Stuxnet, desarrollado por los gobiernos de USA e Israel para afectar las fabricas enriquecedoras de uranio en Iran—y estuvo basado en el mismo principio: la manipulación de un sistema de control interno, que no cuenta con ningún tipo de protección avanzada contra la intromisión.

    El ataque fue realizado de manera bastante tradicional al parecer: envío de correos electrónicos infectados a personal de la fábrica, para buscar que estos abrieran los correos desde PCs conectadas a la red interna, desde donde avanzaron para controlar los sistemas internos de producción. El daño al parecer provino de el malfuncionamiento de los sistemas, que causaron que algunos componentes trabajaran fuera de sus límites de seguridad.

    Y es que desde el descubrimiento de Stuxnet expertos han alertado sobre la vulnerabilidad de los sistemas de control industriales y al estar siendo usados en compañías de servicios públicos, es de temer un ataque de estilo terrorista sobre dichas empresas. Igualmente los ataques podrían ser utilizados por empresarios sin ética, para perjudicar a su competencia, o lograr un bajo precio para adquirir alguna compañía.

    Este es el panorama aterrador al que nos enfrentamos, y el ataque en Alemania sólo parece ser el anunció de una época –temible y terrible—que puede estar por suceder.

    Las empresas deben empezar a re-pensar sus sistemas industriales, aislarlos del resto de su red interna, y tener en cuenta que los ataques internos son tanto o más peligrosos que los que provienen desde afuera, ya que los delincuentes utilizan los mismos mecanismos de ingeniería social que están tan de moda en el resto de la red.

    Aunque en el caso de la acerería alemana no queda claro si la intención de los atacantes fue causar daño físico, o si esto fue un efecto derivado del ataque a la red, ataques como el realizado contra la empresa Sony, del que algunos gobiernos culpan a Corea del Norte, podrían fácilmente buscar causar este daño de manera intencionada, y podrían llegar a causar daños enormes, no sólo a las empresas sino también a usuarios finales. Recuerdo que en mis tiempos de Universidad un grupo de estudiantes de Ingeniería de la computación quedamos sorprendidos, al darnos cuenta de que si con un sencillo programa intercambiamos el valor de dos registros en Windows podíamos quemar un monitor. Es entonces de temer que un ataque como el sufrido por Sony, pueda en un futuro llegar a afectar miles o millones de consolas o TVs en todo el mundo, causando daño al patrimonio de millones de usuarios.

    Ante la realidad creciente de la Internet de las cosas, solo queda pensar en que ojalá los protocolos sean diseñados de manera robusta, para evitar que este desde estas páginas hablandodeti, querido lector, y de tus dispositivos que fueron dañados por unas pocas mentes desequilibradas.

  • 158 millones de personas afectadas con el ataque navideño a redes de Xbox y PSN

    158 millones de personas afectadas con el ataque navideño a redes de Xbox y PSN

    ataque-xbox-psn

    Sony y Microsoft sufrieron importantes ataques en sus plataformas de juegos en línea, justo en el día de Navidad

    Los ataques sufridos por ambas empresas lograron sacar de línea los servicios que ofrecen a los cientos de millones de suscriptores, 110 en la red de Sony y 48 millones en la red de Microsoft. Para el día de hoy Microsoft anunció que sus servicios ya se encontraban operativos, aunque hay versiones contradictorias de usuarios en la Internet, mientras que Sony aún estaba enferentando el problema.

    El grupo de hackers conocidos como Lizard Squad –el Escuadrón Lagarto—se atribuyó el ataque. Este grupo se había atribuido con anterioridad otros ataques contra la plataforma de Sony, aunque no hay evidencia sólida que permita saber si en realidad se trata del mismo grupo.

    Este ataque ha tenido como resultado el que los millones de suscriptores de ambas plataformas no pudieran conectarse a los servidores centrales de cada plataforma para empezar o continuar partidas en línea, acceder a puntajes o incluso descargar actualizaciones.

    Algunos expertos señalan que este ataque parece más sencillo que ataques anteriores, y que podría tratarse de ataques DDoS (Denegación de servicio) que son más simples, pero bastante complicados de resolver. Een este tipo de ataques se usan miles de máquinas alrededor de la Internet, generalmente capturadas por malware y que forman enormes ejercitos de “zombies” y que a una señal del control maestro, comienzan a enviar sencillos mensajes contra direcciones IP específicas (las de los servidores) causando una gran congestión. La forma de evitarlos no pasa entonces por localizar y apagar cada una de las máquinas atacantes, algo virtualmente imposible, sino más bien por soluciones de enrutamiento de tráfico y filtrado, que requieren la colaboración de muchos proveedores de acceso a la Internet.

    Sony no es la primera vez que está en los titulares por asuntos relacionados con hackers en los últimos días. Primero sufrió un ataque a sus servidores donde se supone se perdieron una gran cantidad de datos. Después, justo antes del estreno de la película titulada “The Interview” la empresa recibió gran cantidad de amenazas de posibles ataques al punto de suspender su estreno. La película tiene una trama basada en un complot para asesinar al líder de Corea del Norte, Kim Jongun, y las amenazas se supone provinieron de piratas informáticos ubicados en ese país.

    Lamentablemente, me ha tocado estar de nuevo hablandodeti Sony, y también de ti Microsoft, por culpa de los ataques de hackers, algo que lamentablemente se incrementará más en este 2015 que aún ni siquiera comienza.

  • La brecha de Target, también puede estar afectando a Latinoamérica

    La brecha de Target, también puede estar afectando a Latinoamérica

    target
    ¿Estás dentro de los afortunados que pudieron ir a aprovechar las oferta del días despues de Acción de Gracias de este año? Pues si es así tus datos –y los de tus tarjetas de crédito—pueden estar comprometidos.

    La gran cadena de almacenes identificada irónicamente como ¿Target –que significa “blanco” u “objetivo de un ataque”—fue víctima de lo que quizás sea el segundo mayor ataque y robo de datos financieros que haya sufrido una tienda jamás en la historia, con un estimado de 40 millones de personas afectadas –aunque en algunos medios se lee que pueden ser hasta 70 millones. El ataque más grande comprometió más de 90 millones de registros, en las tiendas TJ Max, en diciembre de 2006.

    El ataque afectó a personas que realizaron compras en dichas tiendas en todos los Estados Unidos desde el 27 de Noviembre hasta la primera quincena de diciembre. El procedimiento utilizado no ha sido dado a conocer, pero ya otros grandes almacenes, como Neimann-Marcus, han empezado a aceptar que también fueron afectados.

    Algunas de las razones para este fraude masivo son responsabilidades de la industria financiera incluyendo la reticencia de la banca a aceptar el uso de chips en las tarjetas de crédito y débito, en lugar de las bandas magnéticas. Obviamente otras razones pasan por las políticas de seguridad de los datos dentro de las empresas como Target.

    Entre los propósitos de enmienda de Target, la tercera cadena de ventas a l detal de US, está el promover entonces el uso de tarjetas con chip, y combinar esto con el uso de contraseñas numericas o PINs –Personal Identification Numbers– uno de los métodos más económicos y seguros de la industria.

    Las leyes federales hacen que las perdidas por parte de los compradores sean mínimas, limitándose en muchos casos a sólo US$50 en las tarjetas de crédito, pero pueden llegar hasta US$500 en las tarjetas de débito, dependiendo del banco y de la empresa. Mientras tanto la banca trabaja apresurada cambiando tarjetas que creen fueron comprometidas, e implementando medidas restrictivas al gasto en tarjetas de crédito y débito que incluyen limitaciones a los retiros en cajeros automáticos, a los gastos en el exterior y más.

    Una vez que esto esté más avanzado, quizás los delincuentes empiecen a buscar otras formas de utilizar los números de tarjetas obtenidos, incluyendo el seleccionar los números extranjeros, para usarlos en mercados extranjeros. Quizás hasta se animen a aplicar el mismo método de ataque que usaron en
    Target, en cadenas de tiendas locales.

    Por eso te digo querido lector, que si estuviste en los EUA aprovechando las ofertas de Acción de Gracias,entonces estoy hablandodeti ya que puedes estar en la mira de los ciber-delincuentes que perpetraron estos ataques, y más te vale hablar con tu banco y averiguar que medidas se pueden tomar al respecto.

  • Android Market: el gran problema de Google (¡se busca empresa de seguridad en venta!)

    Android Market: el gran problema de Google (¡se busca empresa de seguridad en venta!)

    Google debe estar a estas horas pensando en comprar una empresa de seguridad. No ha sido una buena semana para Android –iOS con el iPhone 4S volvió a desplazarlo como sistema más popular– y Google depende mucho del sistema operativo.

    Sin duda que se trata de un gran sistema –también iOS lo es—y el hecho de que sea más abierto que el de Apple pareciera darle ventaja. Pero ellos ya han tenido que enfrentar algunos problemas por su “apertura”, como la llamada fragmentación. De a poco lo han ido cerrando –y la mayoría de los fabricantes de teléfonos lo ha aceptado de buena gana—y obligan a los fabricantes a personalizar sus teléfonos en el hardware, o con aplicaciones, pero no con capas sobre el sitema operstivo.

    El Market de Android, por su parte, era la respuesta de Google a la realidad que Apple creó: la venta de aplicaciones debe ser en línea. LA queja más frecuente que escucharon de los desarrolladores –pero no se preocuparon de oír los consumidores—era lo dificil que resultaba publicar un programa y la tajada leonina del 30% de las ganancias que Apple les cobraba. Y Google, una empresa llena de geeks, hizo una tienda que los geeks vieron como buena. Pero Google evaluó mal la satisfacción d elos clientes de Apple: ellos estaban contentos por que las aplicaciones eran buenas, baratas y seguras. Lo único que Google vio es que las apps debían ser baratas.

    Hoy día, ante el segundo gran incidente de malware en la tienda Android, Google debe estar reflexionando seriamente. Es cierto que hay miles de aplicaciones en la tienda de Android, pero igualmente cierto es que la mayoría son bastante sencillas, mal terminadas e inestables. Claro, uno generalmente baja las mejores, las más populares, y asume que el resto es así. Mientras muchos acusan a Apple de puritana por prohibir aplicaciones de contenido sexual, en Android Market –la tienda libre—los hackers aprovechan esto continuamente para ofrecer aplicaciones con malware. Las tiendas paralelas son otra forma de atacar al sistema, y ya hoy día tienda como la de Samsung o Amazon, cobran cada vez más importancia en el mundo Android.

    Google al abrir el Android Market hizo bien, ya que fomentó el desarrollo, pero está pagando el costo de una excesiva libertad. Por eso creo que en este momento deben estar reflexionando como cerrar más el Market, sin que eso signifique una desbandada de desarrolladores para otras tiendas. En este momento deben estar tomando medidas para mejorar el proceso de prueba antes de publicar aplicaciones, para que no se les vuelvan a colar aplicaciones maliciosas –esta vez fueron 13 y pueden haber infectado hasta 5 millones de usuarios, según Symantec—y sin duda reforzarán la unidad encargada de verificar el código. Y no luce descabellado que aprovechando el efectivo que tienen, vayan detrás de alguna empresa de seguridad y la unan a su empresa, tal como hizo Intel hace no mucho.

    Que malo Android, que al hablar de problemas de seguridad tengamos que estar hablandodeti hoy. Espero que pronto se mejore este proceso, por que Android me parece un gran sistema operativo.

  • Lo qué Sony necesita hacer (IMHO)

    Lo qué Sony necesita hacer (IMHO)

    La situación de la empresa nipona es desesperada. Sony, que otrora enfrento a todos los rivales de fabricación de electrónica y salió bien librada, enfrenta a un gigante invisible que la golpea sin cesar. Ya se pierden de cuenta los ataques a Sony en este año, y aún nadie termina de contabilizar las perdidas que esto produce.

    Sony, empresa conocida por contar con prácticas corporativas muy afinadas, enfrenta a un colectivo intangible. Los tribunales y las demandas poco sirven para enfrentar esta amenaza. Productos de gran calidad y tecnología de punta en los dispositivos, poco pueden hacer por la marca. Una guerra de precios no tiene sentido. Las armas corporativas, no tienen lugar en esta lucha.

    Sony debería ante todo modificar su sistema de protección intelectual. Redituar a costa de los juegos vendidos para PS3 y del sistema en línea es posible, si se deja de lado el estricto celo de propiedad intelectual que los ha llevado a cerrar sus plataformas. Permitir que Linux corra en sus consolas PS3 no ocasiona un daño tan grande como el que enfrenta actualmente. Después debe cuidarse de actuar ante individuos, en especial hackers, como lo haría contra las corporaciones. Demandas multimillonarias, amenazas de cárcel y persecución a los que quiebren sus sistemas de seguridad, genera una solidaridad automática de todos los hackers, incluyendo los que lo hacen sólo por divertirse.

    Es más, Sony debería ir un poco más allá y liberar sus interfaces para la generación de juegos, y permitir que cualquiera genere juegos para el PS3 y las otras plataformas. De hecho, si voltea hacia Apple y su AppSotre, podría tener una buena idea de como convertir en rentable, ese gesto de buena voluntad.

    Por último, pero no menos importante, Sony debería contratar a los mejores “white hackers” disponibles, esos muchachos que abandonaron las andanzas de hackers y ahora ayudan a empresas, o los que siempre quebraron la seguridad de sistemas, sólo para demostrar que se podía, pero nunca cometieron delitos. Ellos son los únicos que podrían desarrollar sistemas de protección eficientes. Si yo fuera sony, ya tendría en la vista a más de una docena de ellos.

    Sólo así Sony, lograrás que la gente esté hablandodeti sólo cosas buenas, lograrás que el ecosistema crezca, los hackers te dejen tranquila y hasta sacarás dinero de todo esto. Al fin y al cabo…¿quién no quiere tener un equipo Sony en casa, ya sea un PS3, un PSP, un TV, una laptop o un equipo de sonido?