Rootkits para smart-phones

February 26th, 2010 | Posted by in Uncategorized - (0 Comments)

Los peligros del malware en los smart-phones es un tema del que ya advertíamos hace tiempo en este blog, desde los comienzos de este malware a como iba evolucionando o como los dispositivos móviles tipo blackberry pueden ser punto de intrusión en las redes corporativas.

En este post queremos volver a tratar el peligro del malware en los smart-phones ya que este es una realidad actual. Los smart-phones cada vez son más populares y las ventas de estos dispositivos crecen mes a mes. Por otro lado, cuentan con hardware que en algunas ocasiones es superior al de algunos equipos domésticos (Nexus One cuenta con un procesador a 1GHz y 512 MB de memoria RAM) y están dotados con sistemas operativos que, en complejidad, podrían ser comparables a los de un equipo de sobremesa.
Esta complejidad de los sistemas operativos de los smart-phones, junto con la disponibilidad de gran cantidad de aplicaciones incluyendo navegadores web de propósito general, acceso a internet a través de redes wifi y 3G, etc. hace que la vulnerabilidad de los dispositivos también aumente.

En un artículo presentado ayer en el workshop HotMobile se exponía una serie de pruebas de concepto de infección con rootkits a un dispositivo móvil de forma que no eran detectables por software antivirus. En estas pruebas se conseguía controlar el teléfono para capturar conversaciones a través del micrófono del móvil, interceptar llamadas hechas a determinados números de teléfono, transmitir las coordenadas GPS de la posición del usuario o agotar rápidamente la batería. También se demostraba como el control de las acciones maliciosas se podía hacer mediante eventos de la agenda (como por ejemplo grabar una conversación de una reunión) o recibiendo órdenes desde otro dispositivo mediante mensajes sms que quedan ocultos al usuario final. La prueba de concepto fue realizada sobre el sistema operativo Openmoko, pero en principio puede ser adaptado a otros sistemas operativos.

Por otra parte, el dispositivo era infectado directamente instalando los rootkits correspondientes, pero, dado que la descarga de aplicaciones para dispositivos móviles (sobre todo juegos) es un mercado en auge la infección de smart-phones mediante aplicaciones troyanizadas es un hecho más que factible.

Guzmán Santafé
S21sec labs

Fuente: S21Sec

Un ‘Robin Hood virtual’ letón pone en jaque a bancos y empresas estatales

February 25th, 2010 | Posted by in Uncategorized - (0 Comments)
  • Ha robado información comprometedora de diversas entidades.
  • La está publicando poco a poco en Twitter.
  • A pesar de sus delitos, se ha ganado el favor de los ciudadanos.

Se ha apodado a sí mismo Neo, como el
protagonista de Matrix al que dio vida Keanu Reeves. Se trata de un hacker que ha
robado datos turbios de bancos y empresas estatales de la
República de Letonia y que el pueblo está empezando a denominar “Robin
Hood virtual”.

El hacker ha robado datos de directivos de bancos del país,
así como de altos cargos de empresas gestionadas por el Gobierno, en un
momento en el que la crisis se ceba con Letonia. Los datos incluyen las
cuentas de gestores de bancos letones. En ellos se refleja que no
emprendieron los recortes de salario que habían prometido
después de que el Estado concediera ayudas para salvar a las entidades.

Además, el hacker anónimo se ha hecho con cuentas de
empresas estatales que concedían bonus a sus directivos
mientras que públicamente solicitaban ayudas al Gobierno. Por el
momento, está publicando datos con cuentagotas a través de Twitter.

Una presentadora de la televisión estatal letona, Ilze Nagla, explicó
a la BBC que el hacker se ha ganado el favor de los ciudadanos,
que le empiezan a ver como un “moderno y virtual Robin Hood”.
“Por un lado, desde luego que ha robado datos confidenciales… y de
hecho ha cometido un crimen. Pero al mismo tiempo hay un valor para el
público en el sentido de que ahora mucha información se está revelando y
todo el sistema se está volviendo un poco más transparente”, añadió la
presentadora.

El gobierno letón y la policía están investigando el caso. Las
primeras sospechas indican que el hacker podría estar
establecido en Reino Unido.

Fuente: 20minutos.es

Intel también sería víctima de Aurora

February 25th, 2010 | Posted by in Uncategorized - (0 Comments)

La fabricante número uno de procesadores afrontó un ataque “sofisticado” de hackers en enero, casi al mismo tiempo que el sufrido por Google (Operación Aurora). Intel dijo que no había una relación clara entre los dos sucesos

“La única conexión es el tiempo”, dijo el portavoz de Intel, Chuck Mulloy, quien declinó de desarrollar más aspectos sobre el tema.

La compañía primero publicó los ataques e indicó la similitud de fechas con el ataque sobre Google en su declaración anual ante la Comisión de Valores de Estados Unidos, el organismo que regula los mercados financieros de ese país.

Mulloy añadió que los hackers intentaron obtener acceso no-autorizado a los sistemas de Intel en forma “muy regular.”

Consultado sobre si Intel había hablado o trabajado con Google en el asunto, Mulloy respondió: “Nuestros muchachos de seguridad trabajan en forma estrecha y colaborativa en toda la industria”.

Un portavoz de Google dijo que la firma no comentaría si Intel fue una de las casi 20 firmas que había mencionado, sin identificar, entre las víctimas de ataques similares originados en China.

El Wall Street Journal ha dicho que alrededor de 30 compañías fueron atacadas.

El ataque fue sólo uno de los varios intentos regulares por entrar a sus sistemas de computación, dijo Intel en la declaración regulatoria bajo un título sobre potencial robo o uso indebido de propiedad intelectual de la compañía.

Intel no dijo quién estaba detrás de los ataques, desde dónde se originaron ni si se había tomado información y cuál.

Fuente: Infobae

Reporte del Estado de la Seguridad Empresarial

February 25th, 2010 | Posted by in 460 - (0 Comments)

75% de las organizaciones que participaron en el estudio ha sufrido un ataque en el que han perdido en promedio US$ 2 millones anualmente.

Symantec Corporation publicó los resultados globales de su Reporte sobre el Estado de Seguridad Empresarial 2010 (GlobalAmérica Latina). El estudio encontró que 42% de las organizaciones califican a la seguridad como principal prioridad. Esto no es una sorpresa si tomamos en cuenta que el 75% de las organizaciones sufrieron ataques cibernéticos en los últimos 12 meses, los cuales, costaron a las empresas en promedio US$2 millones al año.

Asimismo, las organizaciones informaron que la seguridad empresarial es cada vez más difícil (ver video), debido a factores como la escasez de personal, las nuevas iniciativas de TI que intensifican los problemas de seguridad y problemas de cumplimiento de las normas de TI. El estudio se basa en una encuesta realizada en enero de este año a 2.100 CIOs (Chief Technology Officer), CISOs, encargados de seguridad informática y administradores de TI de 27 países, incluidos Argentina, Brasil, Colombia y México.

Francis deSouza, Vicepresidente Senior de Seguridad Empresarial de Symantec manifestó que “proteger la información hoy es más complejo que nunca. Al poner en marcha un plan de seguridad que proteja la infraestructura y la información, que exija el cumplimiento de políticas de TI y administre los sistemas de manera más eficiente, las empresas pueden aumentar su ventaja competitiva en el actual mundo conectado por la información”.

Entre los aspectos destacados del estudio se encuentran:

La seguridad es de gran interés para las empresas en todo el mundo. 42% de las empresas calificaron los riegos cibernéticos como sus principales preocupaciones, más que los desastres naturales, el terrorismo y el crimen tradicional combinado. Como reflejo de esa percepción, TI se centra fuertemente en la seguridad empresarial. En promedio, las áreas de tecnología asignan a 120 empleados para la seguridad y el cumplimiento de sus políticas. Las empresas calificaron a “mejorar la administración de riesgos empresariales de TI” como un objetivo importante para el 2010 y el 84% la calificaron como muy/absolutamente importante. Casi todas las empresas encuestadas (94%) prevén cambios de seguridad en el 2010 y casi la mitad (48%) espera grandes cambios.

Las empresas están experimentando ataques frecuentes. En los últimos 12 meses, 75% de las empresas experimentaron ataques cibernéticos y 36% calificaron los ataques como muy/altamente efectivos. Lo que es peor, el 29% de las empresas informó que los ataques han aumentado en los últimos 12 meses.

Todas las empresas (100%) experimentaron pérdidas cibernéticas en el 2009. Las tres pérdidas más denunciadas fueron el robo de la propiedad intelectual, el robo de información de las tarjetas de crédito de clientes u otra información financiera y el robo de información de identificación personal de sus clientes. Estas pérdidas se traducen en costos monetarios en el 92% de las ocasiones. Los tres costos principales fueron productividad, ingresos y pérdida de confianza del cliente. Las empresas informaron que habían gastado un promedio de US$ 2 millones anuales para combatir los ataques cibernéticos.

La seguridad empresarial es cada vez más compleja debido a varios factores. En primer lugar, la escasez del personal de seguridad empresarial, donde las zonas más afectadas son la seguridad de la red (44%), seguridad de endpoints (44%) y seguridad de la mensajería (39%). En segundo lugar, las empresas han emprendido nuevas iniciativas que hacen más difícil proporcionar seguridad. Las iniciativas que TI calificó como la más problemáticas desde el punto de vista de la seguridad son la infraestructura como servicio, la plataforma como servicio, la virtualización de servidores, la virtualización de endpoints y el software como servicio. Por último, el cumplimiento de normas de TI también es una tarea enorme. La empresa típica está explorando 19 estándares marcos de referencia de TI independientes y actualmente están empleando ocho de ellos. Los estándares principales son ISO, HIPAA, Sarbanes-Oxley, CIS, PCI e ITIL.

“El Banco Comercial Abu Dhabi es un buen ejemplo de una organización que ha establecido una estrategia de seguridad efectiva con énfasis en solucionar los problemas de forma proactiva. La empresa tiene un conjunto completo de soluciones de productos y servicios que proporciona protección 24 horas, monitoreo y respuesta a las amenazas, todo por un precio fijo anual. Este enfoque es más rentable que proteger una red después de que se ha puesto en peligro”, agregó de Souza.

Recomendaciones
Las organizaciones necesitan proteger su infraestructura al asegurar sus endpoints, mensajería y entornos Web. Además, son prioridades la protección de servidores internos críticos y la implementación de funcionalidades para realizar copias de respaldo y recuperar datos. Las organizaciones también necesitan la visibilidad y la inteligencia de seguridad para responder rápidamente a las amenazas.

Los administradores de TI necesitan proteger la información proactivamente, adoptando un enfoque centrado en la información para proteger la información y las interacciones. Adoptar un enfoque consciente del contenido para proteger la información es clave para saber donde reside la información confidencial, quién tiene acceso a ella y cómo llega o sale de la organización.

Las organizaciones deben desarrollar y aplicar las políticas de TI y automatizar sus procesos de cumplimiento de normas. Al dar prioridad a los riesgos y definir políticas que abarcan todas las ubicaciones, los clientes pueden aplicar políticas mediante la automatización integrada y flujo de trabajo, y no sólo identificar amenazas sino corregir incidentes cuando ocurren o anticiparlos antes de que se produzcan.

Las organizaciones necesitan administrar sistemas. Para ello pueden implementar entornos operativos seguros, la distribución y cumplimiento de los niveles de parches, la automatización de procesos para optimizar la eficiencia, el monitoreo y la presentación de informes sobre el estado del sistema.

Fuente: InfoWeek

Esquema Nacional de Seguridad: ¡MAGERIT reconocida!

February 25th, 2010 | Posted by in 453 - (0 Comments)

El pasado 18 de enero, nuestro compañero y “alma mater” de este Blog,
el ínclito Manuel Benet, nos sorprendió con una nueva entrada que
titulaba “MAGERIT:
¿Sí, o no?“, donde transcribía el artículo 13 del aún por entonces
no publicado Esquema Nacional de Seguridad (ENS), y sometía la cuestión a
una encuesta informal.

Para los que no conozcan el tema, en España, especialmente en las
Administraciones Públicas, tenemos un referente indiscutible en el
ámbito de la Seguridad de la Información cuando nos planteamos la
metodología de análisis y gestión de los riesgos a seguir: MAGERIT,
actualmente en su versión 2.0 y elaborada por el Consejo Superior de
Administración Electrónica (CSAE), órgano del Ministerio de
Administraciones Públicas encargado de la preparación, elaboración,
desarrollo y aplicación de la política informática del Gobierno Español.

Por otro lado, el Esquema Nacional de Seguridad (ENS), Real
Decreto 3/2010 de 8 de enero (BOE de 29 de enero), tiene por
objetivo establecer la política de seguridad en la utilización de medios
electrónicos, y está constituido por principios básicos y requisitos
mínimos que permitan una protección adecuada de la información en el
ámbito de acceso electrónico de los ciudadanos a los Servicios Públicos.

Volviendo al tema en cuestión, en el área de consultoría de S2 Grupo
teníamos nuestro pequeño debate acerca de porqué en el ENS no se
aconsejaba directamente el uso de MAGERIT, ni se mentaba implícitamente.

Contenido completo en Security Art Work