Nuevas amenazas eluden la validación de la firma digital

noviembre 27, 2013 § Deja un comentario

McAfee Labs ha publicado McAfee Labs Threats Report: Third Quarter 2013, su informe de amenazas correspondiente al tercer trimestre de 2013, que encontró nuevos esfuerzos por eludir la validación de la firma digital en aplicaciones para dispositivos basados ​​en Android. Los laboratorios de McAfee han identificado una nueva familia de malware para móviles que permite evitar la validación con firma digital de aplicaciones en dispositivos Android, lo que ha contribuido a que el malware se haya incrementado un 30% en Android. Al mismo tiempo, el malware tradicional con firma digital creció un 50% hasta alcanzar más de 1,5 millones de muestras. Menos sorprendente, pero por ello no menos peligroso fue el incremento del spam en un 125%.

Según Vincent Weafer, senior vicepresidente de McAfee Labs, “los esfuerzos para eludir la validación de códigos en dispositivos móviles y requisar por completo los PCs, representan intentos para eludir mecanismos de confianza sobre los que se basan nuestros ecosistemas digitales. La industria debería poner más interés en asegurar la integridad y la confianza de su infraestructura digital, dado que estas tecnologías se están cada vez más presentes en todos los aspectos de nuestras vidas.”

Durante el tercer trimestre McAfee también detectó varios incidentes relacionados con Bitcoin, para actividades ilícitas como la compra de drogas, armas y otras mercancías ilegales en sitios web como Silk Road. La creciente presencia de malware Bitcoin reforzó la popularidad de la moneda virtual.

Vincent Weafer continua afirmando que, “a medida que estas monedas se integran más en nuestro sistema financiero global, la seguridad y la estabilidad requieren iniciativas que aprovechan tanto los controles monetarios del sistema financiero como la supervisión, los controles técnicos y los sistemas de defensa que nuestro propio sector ofrece.”

El equipo de McAfee Labs ha detectado las siguientes tendencias gracias a la utilización de su tecnología GTI, McAfee Global Threat Intelligence:

  • Malware firmado digitalmente. Estas muestras de malware se han incrementado un 50%, hasta alcanzar más de 1,5 millones de nuevas muestras. Los laboratorios de McAfee también has descubierto los 50 certificados top utilizados para verificar pagos maliciosos. Esta amenaza creciente plantea la necesidad de validación de certificados digitales con un mecanismo fiable.
  • Nuevas familias de malware para móviles. Los investigadores de McAfee Labs una nueva familia de malware para Android, Exploit/MasterKey.A, la cual permite evitar la validación de firma digital para aplicaciones, un componente clave en los procesos de seguridad para Android. Los investigadores también encontraron un nuevo tipo de malware para Android que una vez instalado descarga una segunda carga sin el conocimiento del usuario.
  • Monedas virtuales. Los cibercriminales utilizan las nuevas monedas virtuales tanto para ejecutar transacciones ilegales como para realizar blanqueo de dinero, lo que permite unos niveles de actividad criminal nunca vistos. Estas transacciones pueden ejecutarse de forma anónima, lo que permite a los cibercriminales ofrecer productos y servicios ilegales en transacciones que normalmente serían transparentes para la policía. McAfee Labs también ha detectado el desarrollo de malware Bitcoin para infectar sistemas, minar su capacidad de proceso y producir Bitcoins para transacciones comerciales. Para más información de este tema puede leer el informe de McAfee Labs titulado “Virtual Laundry: The Use of Digital Currencies in Cybercrime.”
  • Android malware. Cerca de 700.000 nuevas muestras de malware para Android aparecieron durante este trimestre, de manera que los ataques a este sistema operativo se incrementó más de un 30%. A pesar de las nuevas medidas de seguridad de Google, McAfee Labs cree que esta plataforma seguirá siendo la preferida por los cibercriminales dado el gran número de potenciales víctimas.
  • Aumento en el Spam. El volumen de spam global aumentó un 125% en el tercer trimestre de 2013. Los investigadores de los laboratorios McAfee Labs creen que este aumento ha sido impulsado por firmas de marketing legítimas comprando y utilizando listas de emailing que proceden de fuentes de menor reputación.

Cada trimestre, el equipo de los laboratorios McAfee Labs de 500 investigadores multidisciplinares en 30 países siguen la gama completa de amenazas en tiempo real, identificando aplicación de vulnerabilidades, analizando y correlacionando los riesgos, y posibilitando remedio instantáneo para proteger empresas y usuarios.

Fuente: DiarioTI

Anuncios

Si su red estuviera bajo ataque ¿usted lo sabría?

noviembre 4, 2013 § Deja un comentario

A medida que las amenazas evolucionan y la efectividad de la seguridad web basada en firmas disminuye, es necesarios que los departamentos de TI tengan un rol más importante y activo en la seguridad web. Para luchar contra los delincuentes informáticos actuales, los gerentes de TI necesitan tener información sobre las amenazas avanzadas y mejorar su capacidad de respuesta a las amenazas que las defensas más actuales no detectan.

El Informe de amenazas de 2013 de Websense [PDF] revela una tendencia preocupante: la web se tornó significativamente más maliciosa en 2012, como vector de ataque y también como elemento de apoyo principal de otras trayectorias de ataque (por ej., redes sociales, dispositivos móviles, correo electrónico). Websense registró un aumento de cerca de seis veces más en el total de sitios maliciosos, 85% de los cuales fueron encontraron en hosts web legítimos que habían sido comprometidos. Más alarmante fue la información brindada por los ejecutivos de seguridad que comunicaron que la mayoría de las amenazas eludieron sus controles tradicionales, y expresaron que no se sienten preparados para hacer frente a las amenazas emergentes como el phishing dirigido.

Cristian de la Redacción de Segu-Info

CEOs no conocen origen y alcance de amenazas de seguridad informática

septiembre 3, 2013 § Deja un comentario

Un estudio presentado por Core Security [PDF] encontró que los directores generales de las compañías poseen una escasa o nula comunicación con los responsables del área de seguridad informática. Esta situación, según informes de los analistas, le cuesta a las organizaciones más de US$30 mil millones al año a nivel global.

Según la encuesta realizada a 100 CEOs y 100 CISOs/especialistas en seguridad, más del 36% de los directores generales señaló que los responsables del área de seguridad informática (CISO por su siglas en inglés) nunca les reportan sobre el estado de seguridad de la infraestructura de TI, en comparación con un 27% que informó recibir actualizaciones de ellos con cierta regularidad.

Los CISOs apuntan directamente a la fuerza de trabajo como su principal preocupación para la seguridad basándose en la baja de educación y agilidad de los empleados, lo que representa la amenaza mayor para la infraestructura de TI de las compañías.

Los CEOs creen que los ataques externos de phishing representan la mayor amenaza para las organizaciones y que las empresas cuentan con tiempo y recursos suficientes para capacitar y educar a sus empleados para mitigar los peligros potenciales.

“Estos resultados deberían ser una llamada de atención para todas las organizaciones para que exijan una mejor alineación entre los ejecutivos responsables de la protección de los activos más importantes. La idea que existan opiniones tan diversas sobre las amenazas cruciales que enfrentan las organizaciones, al menos, desalentador”, señala Patricia Foye, vicepresidenta senior de marketing de Core Security.

Más del 60% de los CISOs aseguran estar preocupados por las violaciones que sufren en sus sistemas de TI, aunque también fue sorprendente que sólo un poco más de la mitad haya probado poner en riesgo a sus propias redes para verificar la eficacia de su seguridad. En contraste, sólo el 15% de los CEOs estaban tensos sobre los ataques a sus redes.

Sin embargo, y a pesar de su confianza, el 65% de los directores generales admitió no tener los datos necesarios para interpretar cómo las amenazas a la seguridad se traducen en riesgos potenciales para el negocio en general.

¿Qué queda? Es importante que los directores generales comiencen a consolidar una alianza estratégica como los responsables de los departamentos de TI y de seguridad informática para poder delinear objetivos en conjunto que beneficien a la organización.

Fuente: CIOAL

Análisis de ciberataques de troyanos bancarios del mundo

julio 23, 2013 § Deja un comentario

El número de incidencias mundiales detectadas se multiplica por tres en el primer semestre del año
Los ataques se diversifican y van más allá del sector bancario

S21sec ha realizado un estudio de la actividad sobre malware bancario durante los seis primeros meses del año [PDF] que ha dejado dos conclusiones rotundas: España ocupa el segundo lugar, después de EE.UU. entre los países que reciben más ciberataques y el número de incidencias detectadas se ha triplicado.

Esta información ha sido recabada por el equipo de inteligencia, ecrime y fraude de S21sec y por tecnologías propias como la Plataforma de análisis y detección automática de malware de S21sec, capaz de analizar 40.000 troyanos al día de forma ininterrumpida. Los datos sitúan a España en el segundo puesto mundial en el número de ciberataques recibidos, sólo superado por Estados Unidos, que por volumen económico y de población es lógico que encabece esta lista. A primera vista, el hecho de que España sea el segundo país más atacado con más de un 20% de los ataques recibidos del mundo puede resultar contradictorio, tanto por el número de habitantes, como por la renta per cápita o el grado de penetración de Internet, pero S21sec apunta que “probablemente se deba a varias razones, como el gran uso que se hace de la banca online en nuestro país con respecto al número de internautas, y a la escasa concienciación de los usuarios”.

En general, la mayoría de los países en los que se alojan los servidores de control que reciben datos capturados no se corresponden con los países atacados. Los países que albergan dichos servidores son principalmente los Países del Este, seguidos de lejos por China. A esto hay que añadir que los ciberdelincuentes han optado por ampliar sus miras y dispersar geográficamente sus ataques. La tecnología de análisis, detección y monitorización de S21sec los han detectado en casi 100 países, lo que refuerza la idea de que determinados países presentan cierta saturación y los delincuentes buscan explorar nuevos nichos geográficos libres de competencia.

Incremento de la creación de malware

Esta diversificación no sólo se ha producido a nivel estatal, sino que también se está experimentando a nivel sectorial, una tendencia preocupante que se une al incremento en el número de muestras únicas de malware bancario detectados por S21sec, que se han triplicado en el primer semestre de 2013.

En este sentido, expertos de S21sec apuntan que “a pesar del relativo estancamiento que se produjo en 2012, parece que los creadores de malware han decidido recuperar el tiempo perdido, y en este semestre hemos detectado y analizado más de 2 millones de troyanos y cerca de 135.000 muestras de malware bancario”. Esto implica una mayor necesidad de protección tanto por parte de los usuarios como de las empresas, para los que disponer de servicios adecuados resulta esencial para evitar mayores peligros.

Se diversifican los ataques

Como suele ser habitual, el sector económico más afectado por el malware sigue siendo el de la banca online, con un 84% de los casos detectados, ya que su monetización es prácticamente inmediata. Eso sí, S21sec ha observado una clara irrupción en otros segmentos, con un 16% de los incidentes, como las aseguradoras, las redes sociales, las empresas de juego online o las de hosting, por citar sólo algunos de ellos.

Esta nueva tendencia se debe a que el sector financiero es un mercado muy maduro y las entidades que lo forman han implementado numerosas medidas que dificultan la actuación de los cibercriminales, que además han proliferado de tal modo que hay demasiados competidores para los mismos objetivos. “Parece claro que se están decantando por explorar nuevos mercados. Que lo hagan por uno u otro dependerá de su habilidad para conjugar cuatro variables: facilidad para cometer fraude, facilidad de monetización, riesgo asumido y posibilidad de automatizar el ataque para que resulte rentable”, resumen desde S21sec.

Tipos de malware

Los laboratorios de S21sec también han detectado cuáles son los tipos de malware más utilizados durante el primer semestre del año. El veterano ZeuS y su variante Citadel han sido los preferidos por los ciberdelincuentes, mientras que ICE IX y Cridex parecen enfocarse a mercados minoritarios.

También cabe señalar que se confirma el descenso de SpyEye hasta quedar reducido a unas cifras casi anecdóticas. “Este cambio de tendencia se debe a la ausencia de soporte y nuevos desarrollos, que ha empujado a la comunidad de usuarios de este temido troyano a sustituirlo por Citadel”, aseguran los especialistas de ecrime de S21sec.

Finalmente, otro detalle que ha hecho saltar las alarmas ha sido la filtración del código fuente del troyano Carberp, de modo que ya es posible encontrarlo en ciertos foros. Este hecho es análogo a la filtración del código fuente de ZeuS en 2011, con lo que abre las puertas a que delincuentes con menos conocimientos técnicos sean capaces de operar sus propias botnets de Carberb. Y eso no es todo, pueden llegar a aparecer variantes implementando otras funcionalidades al igual que con el citado ZeuS y su ramificación en ICE IX y Citadel.

Fuente: S21SEC

Cybersecurity Compliance: taxonomía de un nuevo escenario

julio 5, 2013 § Deja un comentario

Por Adolfo Hernández es gerente de Gobierno, Riesgos y Cumplimiento en Ecix Group; Carmen Alberca, consultora de la misma área del grupo.

En este escenario de inestabilidad geopolítica, ¿están las compañías preparadas para afrontar la repercusión económica de un ciberataque? ¿Podrán hacer frente al potencial marco normativo que está por aparecer en cuanto a regulación del ciberespacio y lucha contra el cibercrimen?

El ciberespacio, ese nuevo escenario de confrontación, que se une al resto de escenarios operativos tradicionales, espacio, tierra, mar y aire, está expuesto a multitud de amenazas debido a:

  • La carencia de límites en una sociedad interconectada social, económica y tecnológicamente.
  • La inexistencia de marcos legales y jurisdiccionales comunes.
  • La proliferación de acuerdos y convenios interregionales heterogéneos.
  • La aparición de multitud de actores estatales y no estatales.
  • Al anonimato que proporciona el ciberespacio.

Esta situación que enfrentamos pone de manifiesto la elevada dificultad de, ante un ciberataque, llevar a cabo una investigación garantista jurídicamente y proceder con la atribución de los hechos que están comprometiendo la seguridad de gobiernos, empresas privadas y ciudadanos.

El cibercrimen, una amenaza real, incremental y consolidada, supone un riesgo real para las empresas españolas, potenciada por una serie de factores subyacentes que actúan como catalizadores:

  • Flexibilidad en los mecanismos de identificación digitales y anonimato disociativo en la red de redes.
  • Aprendizaje criminal por ingeniería social y libre acceso a la información pública.
  • Presión socioeconómica creciente, favoreciendo la criminalidad.
  • Acceso virtual a un número prácticamente ilimitado de víctimas interconectadas (cerca de 1.700 M de usuarios).

Contenido completo en fuente original Red Seguridad

Informe: "Detección de APTs"

mayo 21, 2013 § Deja un comentario

El informe Advanced Persistent Threats (Amenazas Persistentes y Avanzadas) [PDF] pretende recomendar a profesionales de seguridad una serie de medidas a llevar a cabo de cara a detectar si estamos siendo víctimas de un ataque dirigido.

En los últimos 4 años el número de amenazas cibernéticas se ha multiplicado de manera exponencial produciéndose además un cambio en la naturaleza de las mismas; se ha pasado de amenazas conocidas, puntuales y dispersas, a amenazas de gran sofisticación, persistentes, y con objetivos muy concretos, surgiendo una nueva categoría de amenazas en el mundo del cibercrimen, las APTs.

Cuando hablamos de ataques de APT nos referimos a organización, premeditación, persistencia, sofisticación y novedad. No hay que olvidar que este tipo de amenazas están suficientemente financiadas cómo para mantener su campaña de ataques durante un periodo largo de tiempo, y disponer de los recursos necesarios para conseguir su fin. Es posible incluso que, en caso de ser detectados, los cibercriminales tengan un plan de contingencia que les permita reorganizarse y atacar de nuevo.

La detección de estos ataques presenta una extrema dificultad. Muchos utilizan firmas de ataque único y novedoso, capaces de evadir los sistemas de defensa tradicionales, usando canales encubiertos y utilizando técnicas de ocultación durante largos periodos de tiempo. En definitiva, las APT, a día de hoy, constituyen uno de los peligros mas importantes y de mayor expansión a los que se enfrentan los profesionales de seguridad, y son difícilmente evitables para la mayoría de las organizaciones. Por esta razón, la principal cuestión que se ha de plantear en el panorama actual frente a este tipo de amenazas es cómo detectarlas.

Es fundamental proporcionar a los profesionales de seguridad y administradores de sistemas y redes el conocimiento necesario sobre cómo detectar una APT en sus infraestructuras tecnológicas. Con objeto de concienciar sobre la importancia de una detección precoz ante una amenaza de este tipo, CSIRT-CV e INTECO-CERT han colaborado en la elaboración de un informe titulado “Detección de APTs” que tiene, entre otros, los siguientes objetivos:

  • Constatar la importancia e implicación que tienen las APT en la seguridad nacional.
  • Evidenciar el funcionamiento detallado de algunos casos conocidos de este tipo de ataques.
  • Detallar cuales son las vías de infección más utilizadas para llevar a cabo un ataque de estas características.
  • Establecer una serie de pasos básicos a seguir y consideraciones que se deben tener en cuenta a la hora de detectar en nuestra organización una intrusión de estas características.

Fuente: INTECO-CERT

Las 10 grandes amenazas de seguridad en las bases de datos

mayo 15, 2013 § 1 comentario

El 96% de los datos sustraídos durante 2012 provenían de bases de datos, según un informe de Verizon (Data Breach). Además, durante el año pasado, 242 millones de registros resultaron potencialmente comprometidos, indica la Open Security Foundation. Se trata de dos preocupantes datos que la compañía Imperva, especializada en seguridad, recuerda en un informe que ha elaborado sobre las diez principales amenazas que existen contra las bases de datos y en el que se pone de manifiesto que éstas son el objetivo prioritario para hackers e insiders maliciosos.

En el informe asevera que esto es así debido a que las bases de datos representan el corazón de cualquier organización, ya que almacenan registros de clientes y otros datos confidenciales del negocio. Y afirma además que esta vulnerabilidad de las bases de datos mejoraría si no hubiera la actual falta de inversión en soluciones de seguridad adecuadas para protegerlas. Y es que, como señala IDC, menos del 5% de los 27.000 millones de dólares invertidos en 2011 en productos de seguridad se destinaron a la salvaguarda de los centros de datos.

Éste es, según Imperva, el top 10 en amenazas en el entorno de bases de datos:

  1. Privilegios excesivos e inutilizados. Cuando a alguien se le otorgan privilegios de base de datos que exceden los requerimientos de su puesto de trabajo se crea un riesgo innecesario. Los mecanismos de control de privilegios de los roles de trabajo han de ser bien definidos o mantenidos.
  2. Abuso de Privilegios. Los usuarios pueden llegar a abusar de los privilegios legítimos de bases de datos para fines no autorizados, por ejemplo, sustraer información confidencial. Una vez que los registros de información alcanzan una máquina cliente, los datos se exponen a diversos escenarios de violación.
  3. Inyección por SQL. Un ataque de este tipo puede dar acceso a alguien y sin ningún tipo de restricción a una base de datos completa e incluso copiar o modificar la información.
  4. Malware y spear phising. Se trata de una técnica combinada que usan los cibercriminales, hackers patrocinados por estados o espías para penetrar en las organizaciones y robar sus datos confidenciales.
  5. Auditorías débiles. No recopilar registros de auditoría detallados puede llegar a representar un riesgo muy serio para la organización en muchos niveles.
  6. Exposición de los medios de almacenamiento para backup. Éstos están a menudo desprotegidos, por lo que numerosas violaciones de seguridad han conllevado el robo de discos y de cintas. Además, el no auditar y monitorizar las actividades de acceso de bajo nivel por parte de los administradores sobre la información confidencial puede poner en riesgo los datos.
  7. Explotación de vulnerabilidades y bases de datos mal configuradas. Los atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques contra las empresas.
  8. Datos sensibles mal gestionados. Los datos sensibles en las bases de datos estarán expuestos a amenazas si no se aplican los controles y permisos necesarios.
  9. Denegación de servicio (DoS). En este tipo de ataque se le niega el acceso a las aplicaciones de red o datos a los usuarios previstos. Las motivaciones suelen ser fraudes de extorsión en el que un atacante remoto repetidamente atacará los servidores hasta que la víctima cumpla con sus exigencias.
  10. Limitado conocimiento y experiencia en seguridad y educación. Muchas firmas están mal equipadas para lidiar con una brecha de seguridad por la falta de conocimientos técnicos para poner en práctica controles de seguridad, políticas y capacitación.

Para la firma de seguridad, la clave para evitar estas amenazas es una defensa multicapa que permita localizar y evaluar dónde se ubican las vulnerabilidades en la base de datos y en qué sitio residen los datos críticos; gestionar los derechos de usuario para identificar derechos excesivos sobre los datos sensibles; hacer monitorización y bloqueo para proteger las bases de datos de ataques, pérdida de datos y robo; realizar auditorías y proteger los datos. 

Fuente: TicBeat

¿Dónde estoy?

Actualmente estás explorando la categoría amenazas en Seguridad Informática.