jueves, 29 de junio de 2017

Seguridad en tiempos de ataques




Hay temas que mantienen en vilo a la sociedad, y uno de ellos hoy es la seguridad de la información debido a los ataques a gran escala que vienen sucediendo a nivel mundial, ya que nadie se encuentra excluido porque trascienden cualquier tipo de frontera física y lógica.
Cualquier producto tecnológico, previo a lanzarlo al mercado, es testeado por gran cantidad de herramientas automáticas y manuales que posibilitan descartar vulnerabilidades conocidas y/o reportadas. Pero dichas pruebas no garantizan la inmunidad absoluta a posibles intrusiones o situaciones indeseadas por parte de terceros.
La Seguridad de la Información es un tema crucial tanto para organismos gubernamentales como para empresas, que requieren la concientización de usuarios y responsables de ellas, con el fin de estar cubierto día a día a posibles ataques.

La única acción que garantiza obtener niveles de indicadores altos es la gestión SI amparada en normativas vigentes basadas en las buenas prácticas, la constante inversión en investigación de nuevos paradigmas de intrusión y la implementación de parches que día a día los fabricantes publican para reparar bugs en sus funcionamientos.

lunes, 22 de mayo de 2017

Wikileaks, la nueva amenaza de los Viernes.



Como nos tiene acostumbrados Wikileaks, que divulga contenidos controversiales desde hace más de una década, recientemente publicó material altamente valioso en materia de Hacking. Luego de apoderarse de herramientas que la CIA utilizaría para poder llevar a cabo investigaciones, sistemáticamente todos los viernes publica su funcionamiento, comportamiento, y facilita fuentes donde los usuarios podrían descargar los script o código para utilizarlas.
Esto pone en vilo la seguridad de la información del mundo diariamente, partiendo que el sitio tiene gran concurrencia internacional, y que las herramientas pueden ser utilizadas por usuarios de poca experiencia y llegar a generar daños inmensurables.
Las diferentes organizaciones a nivel mundial comenzaron a sufrir ataques cibernéticos debido a dichas publicaciones desde hace un tiempo y a gran escala. Se teme que continúe esta modalidad de divulgación, y mayor cantidad de voluntarios anónimos colaboren para el desarrollo de los ataques.
Entonces, los días viernes - que finaliza nuestra semana laboral - se convirtieron en días cruciales para nuestros activos de la información y de mayor actividad maliciosa.

jueves, 18 de mayo de 2017

Internet Day, reflejo de la Seguridad.

Los días lunes 15 y martes 16 de mayo se llevó acabo el ¨Internet Day¨, evento organizado por diferentes cámaras del sector, en el Auditorio Buenos Aires donde tuvo como eje principal las redes de transporte de datos del país, las regulaciones de Gobierno en materia de comunicación e internet y las diferentes tecnologías que se involucran para la conectividad.

Asistieron múltiples proveedores de internet de Capital y del interior del país, donde el negocio es más próspero para empresarios emergentes o aquellos que vienen de la televisión por cable, debido a la estructura que ya tienen desplegada en en sus ciudades.

El último panel que se encontraba en la agenda, fiel reflejo de la realidad, fue el afectado a materia de seguridad, enfrentando a muy pocos asistentes y con pocos stands en pie. Estos sucesos ponen en evidencia la poca atención o poca información de los usuarios para resguardar sus activos de manera proactiva y la tendencia de hacerlo reactivamente por la gran cantidad de consultas recibidas luego del ataque a gran escala sucedido.

La seguridad debe ser considerada igual que una baranda para bajar una escalera, no debe entorpecer el recorrido, pero aporta un grado de tranquilidad muy importante al momento de subir o bajar.

Ulises Ohyama
Líder de Proyecto en Khutech.

miércoles, 17 de mayo de 2017

WannaCry, el día después.


La noticia llega como siempre en estos casos, al más puro estilo de los primeros minutos de las películas-catástrofe de Hollywood, tan abruptamente que hasta cuesta creerla. Un ciberataque masivo sobre la red interna de Telefónica de España, y después Vodafone, Capgemini, BBVA, y las noticias siguen. Todo el sistema de salud británico y hasta la Renault de Francia caen víctimas del WannaCry  la infección llega incluso a este lado del mundo.
Las redes sociales explotan mostrando capturas de pantallas en las que se insta a los usuarios a no encender sus equipos. Otros tweets aparecen con la temible pantalla roja del WannaCry pidiendo U$S 300 por equipo en bitcoins para devolver a la víctima del secuestro, es decir: los archivos; y mostrando dos dramáticos contadores en cuenta regresiva indicando que al tercer día de no pagar el rescate transforma los U$S 300 en U$S 600, y al séptimo destruye los archivos.
Se crean mapas de ataques en tiempo real para que se pueda ver gráficamente la magnitud del desastre.
Equipos de ciberanalistas de todo el mundo corren desesperados tratando de entender qué pasa.
Otros, excelentes profesionales reconocidos en todo el mundo, pero tan desesperados por la magnitud del problema, se apuran en twittear un no muy profesional “yo no tengo nada que ver” al más puro estilo “yo no fui” de Bart Simpson.
En cuestión de horas WannaCry se adueña del cibermundo, 150 países, más de 200 mil equipos y la infección no se detiene. Expertos en ingeniería inversa de malware tratan de desentrañar el gusano con el reloj en contra. Hasta llegan a descubrir algunas de las billeteras de bitcoins a las cuales se deben pagar los rescates. De pronto, un milagro, el gusano tiene un botón de autodestrucción (kill switch) que permite desactivarlo, y con un gasto de U$S 10 para registrar un dominio de Internet, la propagación se detiene… por ahora.

La amenaza no terminó aún, los archivos siguen encriptados; sin embargo, podemos detenernos unos instantes, parar de correr, de seguir segundo a segundo las noticias en Twitter, de salir a vender desesperadamente soluciones mágicas aprovechando el momento y pensar.
¿Cómo empezó la infección? ¿cuál es el paciente cero? y ¿cómo se propaga?

WannaCry o Wcry no es nuevo. Apareció allá por el 11 de abril de este año por lo que ya se sabía de su existencia. Esta es, sin embargo, una nueva variante interesante porque utiliza varias vulnerabilidades de CIFS (protocolo para compartir archivos de Microsoft) CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146 y CVE-2017-0148 y cuyo parche fue publicado el 14-mar-2017; es decir hace dos meses.
Como la vulnerabilidad es de CIFS (puerto 445/TCP) sólo puede afectar equipos de redes internas ya que ningún equipo conectado a Internet debería tener el puerto 445 abierto. Ninguno…? Es muy interesante hacer esta búsqueda en Shodan y comprobar que en este momento en el mundo hay 1,5 millones de equipos con este puerto abierto hacia Internet.
Sin embargo, en empresas con la magnitud de las atacadas, estos puertos deberían estar cerrados. ¿Cómo fueron infectadas entonces? Como siempre en estos casos, por técnicas de Phishing. Usarios internos que reciben emails que parecen ser válidos, o con ofertas atractivas de pasajes, soluciones para problemas médicos o material erótico; abren esos emails y caen en la trampa. No importa la magnitud de la compañía, el tamaño de la red, los millones de dólares o euros que se destinen a seguridad, un sólo usuario que abre un email que no debiera y el malware ingresa a la red interna de la compañía.

¿Qué fue lo que pasó entonces? ¿dónde se falló?
En lo mismo que falla siempre el ser humano, en lo mismo que fallaron los troyanos en el año 1200 A.C. cuando aceptaron el regalo griego, en la falta de conciencia sobre el potencial peligro y la excesiva confianza. Es cierto que existen vulnerabilidades técnicas que permiten que esto ocurra, pero sin la ayuda humana, estas vulnerabilidades no hubieran tenido el efecto que tuvieron.

Todo proceso de gestión de seguridad tiene un pilar básico sobre el que se construye la seguridad de cualquier organización: la concientización del personal. A mi modo de ver, los puntos de falla fueron dos y muy claros:

La concientización de los administradores. Por un lado, el parche MS17-010 está disponible desde el 14 de marzo de 2017. Las máquinas infectadas… las 200 mil… evidentemente no tenían el parche aplicado, teniendo en cuenta que ya pasaron dos meses de su liberación. Por otro lado, que un ransomware ingrese a un equipo y encripte los archivos con una cuenta regresiva es una variante melodramática a una falla común que es que un disco se rompa y se pierdan todos los datos dentro de éste. Desde que existen los sistemas informáticos hay una medida para mitigar este problema cuando ocurre, se denomina backup.

La concientización de los usuarios. La velocidad de aparición de la oferta online es tan abrumadoramente veloz que los usuarios no expertos no llegan a asimilar qué es válido y qué no. Hace falta sólo un usuario que tome la decisión equivocada y haga click donde no debió para que caiga presa del Phishing.


Desarrollamos la tecnología para que nos solucione muchos aspectos de nuestra vida. Hoy en día los negocios y nuestras vidas mismas no podrían concebirse sin estas tecnologías. Pero su potencia viene necesariamente de la mano de una serie de nuevos peligros que para poder evitarlos debemos ser conscientes de su existencia, estar preparados para manejarlos y actuar en consecuencia en tiempo y forma.


Carlos Benitez, Fundador y CEO de Khutech.

lunes, 1 de febrero de 2016

Static Source Code Security Analyzers comparison

Hoy en día, la seguridad en aplicaciones es fundamental para las organizaciones. El software se encuentra en todos lados, como en las compras electrónicas,  pago de facturas o servicios, transferencias de dinero, manejo y control de la televisión, cierre de puertas electrónicas, en operaciones médicas a pacientes, etc. y los ataques informáticos están creciendo en número y complejidad.
Paralelamente, los nuevos enfoques ágiles de desarrollo de software demandan tiempos de evaluación de las aplicaciones más cortos e iterativos. Es por esto que, el desafío actual se centra en cómo evitar o reducir las vulnerabilidades en las primeras etapas del SDLC (Software Development Life Cycle) de manera de producir software más seguro.  Como OWASP describe “La revisión de código es probablemente la única y más efectiva técnica para identificar fallas de seguridad”. Además las revisiones de código pretenden, como aconseja uno de los principios fundamentales de seguridad, reducir la superficie de ataques.
Existen varias herramientas de escaneo automático que buscan y localizan fallas de seguridad en el código fuente de las aplicaciones software. El propósito de este artículo fue evaluar algunas herramientas conocidas de análisis de código fuente, con el fin de analizar el grado de precisión y comparar resultados. Este estudio fue realizado usando un set de pruebas público (Juliet Test Cases), desarrollado por la US American National Security Agency (NSA),  que contiene debilidades de seguridad intencionales.
Los resultados mostraron, principalmente, que las herramientas analizadas con los casos de test elegidos alcanzaron menos del 50% de lo que debería detectar una herramienta ideal o perfecta (es decir, aquella que detecte un 100% de los Positivos Válidos con 0% de Falsos Positivos). Esto hace que sea altamente recomendable, en una revisión estática de código fuente, la combinación de herramientas de análisis automático (open source y comerciales) con revisiones manuales de código, que verifiquen los resultados automáticos y profundicen el análisis.

El análisis completo puede ser verse en el siguiente artículo: 

lunes, 23 de junio de 2014

WebSocket


Dentro de las crecientes innovaciones tecnológicas en el ámbito web de los últimos años existe una que marca un antes y un después en relación al paradigma que venía planteando el protocolo HTTP. La llegada del protocolo HTML5 trajo muchas ventajas tanto para desarrolladores como para usuarios, sin embargo también trajo nuevos problemas de seguridad.

martes, 10 de junio de 2014

Nueva Alianza de Khutech


Durante el mes de mayo Khu Technologies cerro un nuevo acuerdo de representación comercial en Colombia a través de la empresa GAPPS quién se convirtió en un nuevo socio estratégico en una región donde las demandas de Análisis y Gestión de Riesgo crecen mes a mes.

La región conformada por Colombia, Ecuador y Perú registran interesantes niveles de crecimiento económico en los últimos 3 años  y las empresas han empezado un proceso de incorporación de la Gestión del Riesgo como una forma de cumplimentar los controles que han regulado sus gobiernos.