Por ahora, se dirá que la Ingeniería Social (Social Engineering) son aquellas conductas y técnicas
utilizadas para conseguir información de las personas. Es una disciplina que consiste básicamente
en sacarle datos a otra persona sin que esta se de cuenta de que está revelando "información
sensible" y que normalmente no lo haría.
A nivel informático, generalmente se usa para conseguir nombres de acceso y contraseñas. Para
usar esta disciplina no hay que ser un experto en sistemas, ni requiere muchos conocimientos,
simplemente hay que saber a quién dirigir el “ataque” y bastante astucia.
Es un arte... el arte de conseguir algo que nos interesa de otra persona por medio de habilidades
sociales (manipulación).
Estas conductas o técnicas que usan estas personas (también llamados Ingenieros Sociales) son
tan estudiadas que para alguien que no está embebido en temas de seguridad, son altamente
efectivas, y es por eso que la Ingeniería Social es tan preocupante.
Las técnicas utilizadas pueden consistir en mensajes de texto cortos por celulares (SMS), correos
electrónicos, llamados telefónicos, cartas, incluso personalmente acreditando credenciales falsas
(a veces no es necesario, sólo basta una conversación con mucha convicción haciéndose pasar
por otra persona). El objeto de todas estas técnicas, como antes se menciona, es el robar
información valiosa sin que la víctima pueda darse cuenta de lo que está revelando, y así utilizar
dicha información para su propio beneficio.
La ingeniería social, hoy quizá la técnica más divulgada para propagar algún mal, consiste en la
utilización de debilidades en los usuarios, utilizando su desconocimiento o miedo, entre otros
factores, para aprovecharse de su ingenuidad. Si bien el término de Ingeniería Social es bastante novedoso en el ámbito informático, en el mundo cotidiano es tan antiguo como la comunicación misma. Hoy, nos han manipulado empleando técnicas de Ingeniería Social en algún momento de nuestras vidas sin habernos dado cuenta. La cantidad de ejemplos son incontables.
Estas técnicas consisten en engaños, actuaciones, acciones estudiadas para lograr que otra
persona le brinde amablemente acceso a valiosa información u objeto de interés, utilizando una
gran astucia y mucha paciencia.
En materia de seguridad informática, estas técnicas son utilizadas para muchos fines específicos,
algunos ejemplos sencillos son:
· El usuario recibe un correo con un título que atrae su atención, o la dirección del
destinatario le suena familiar, y esto lo lleva a abrir el archivo adjunto del correo, el cual
podría tratarse de un gusano, troyano o algún malware no identificado por su antivirus
actualizado, ni por la heurística empleada por el mismo.
· El usuario es llevado a confiar información necesaria para que el atacante realice una
acción fraudulenta con los datos obtenidos. Este es el caso del phishing, cuando el usuario
entrega información al delincuente creyendo que lo hace a una entidad de confianza
(Tema analizado más adelante).
· El usuario es atraído por un falso anuncio de infección en un sitio web de seguridad
informática, donde se aconseja descargar una aplicación antispyware que detecta un
supuesto malware, para el que sólo ofrece solución si se compra una licencia.
· Los formularios que un usuario tiene que completar al momento de crear una nueva casilla
de correo, con valiosa información tales como ingresos anuales promedio, gustos y hobby,
edad y otros datos personales con los que fácilmente luego pueden hacerles “ofertas a
medida”.
· La voz agradable de una mujer o en caso contrario la voz de un hombre, que pertenece al
soporte técnico de la empresa del usuario, que le solicita telefónicamente información para
resolver un inconveniente detectado en la red.
· El llamado de un usuario al Administrador del Sistemas que necesita que le blanqueen su
clave, porque la cambió durante el transcurso del día y no la recuerda. A simple vista esto
no parece algo fuera de lo común, pero si el llamado propiamente dicho no es efectuado
por el usuario quien dice ser, sino por un Ingeniero Social, la información personal sería
entregada al atacante por el mismo Administrador del Sistema. Con esta astucia y un
Administrador desprevenido o desinformado, este método es completamente viable.
Aún las más grandes empresas que invierten millones de dólares al año en la seguridad de sus
datos, fueron víctimas de estos ataques de Ingeniería Social. De una forma más específica, un excelente ejemplo donde se muestra la imaginación de los “Ingenieros Sociales”, es la auditoria a la que fue sometida en junio de este año, una empresa estadounidense que se dedica a conceder créditos, siendo el objetivo el de mostrar la inseguridad de las memorias USB.
La empresa tomó 20 memorias USB de muestra, les pusieron archivos de varios tipos, incluyendo un troyano que una vez ejecutado en cualquier computadora comenzaría a enviar información a los servidores de la empresa auditora, y los fueron dejando «olvidados» en el estacionamiento, zonas de fumadores y otros sitios de la empresa bajo auditoria.
De las veinte memorias, quince fueron encontradas por empleados de la empresa en cuestión, y
las quince terminaron por ser enchufadas en computadoras conectados a la red de la compañía,
que en seguida empezaron a enviar datos a la empresa Auditora que les permitieron entrar en sus sistemas sin ningún problema, Con todo esto, es fácil deducir que aún con la mejor tecnología, los mejores profesionales a cargo de los datos de su empresa, no hay forma alguna de protegerse contra la Ingeniería Social, ya que tampoco hay usuarios ni expertos a salvo de estos ataques. La Ingeniería Social, siempre existió, nunca pasa de moda, día a día se perfecciona, no va a morir nunca, y tiene un limite.... la Imaginación Humana.
“La Seguridad muchas veces es una mera Ilusión. Una compañía puede tener la mejor tecnología,
firewalls, sistemas de detección de intrusos, dispositivos de autentificación avanzados como
tarjetas biométricas, etc y creen que están asegurados 100%. Viven una Ilusión. Sólo se necesita
un llamado telefónico y listo. Ya son vulnerables a un ataque. La Seguridad no es un producto, es
un Proceso. En este caso no se trata de una educación estrictamente técnica, sino más bien una capacitación social que alerte a la persona cuando está por ser blanco de este tipo de ataque. Si el Ingeniero Social tiene la experiencia suficiente, puede engañar fácilmente a un usuario en beneficio propio, pero si este usuario conoce estas tretas no podrá ser engañado. Además, la educación de los usuarios suele ser una importante técnica de disuasión.
Con todo lo dicho hasta ahora hay una conclusión que salta a los ojos de cualquier lector, y es que
el ser humano es el eslabón más débil de cualquier sistema. Los encargados del mismo pueden
haber tenido en cuenta hasta los más ínfimos detalles en el armado de la red (hablando en materia de seguridad informática) y aún así siempre es un usuario quien está frente a una computadora, tomando decisiones y haciendo uso del sistema. Los diseñadores pueden haber tenido en cuenta todos los patrones de seguridad al momento de diseñar el sistema y aún así será siempre un humano quien manipule en algún momento los datos.
Por ende, es el ser humano el objetivo y el medio para acceder al sistema, entonces es de alta
importancia la capacitación para cada usuario con acceso al sistema, y que internalicen que todos
somos un eslabón más en la cadena de la seguridad de los datos de la empresa.
www.globaldll.com
sábado, 26 de septiembre de 2009
martes, 15 de septiembre de 2009
muchos ataques informáticos no se pueden prevenir simplemente protegiendo el perímetro. Cuando el enemigo no es un hacker, sino, alguien de adentro.
Esta historia pone de manifiesto que muchos ataques informáticos no se pueden prevenir simplemente protegiendo el perímetro. Cuando el enemigo no es un hacker adolescente ni un ladrón diestro en la informática, sino, alguien de dentro (un empleado descontento, un trabajador resentido que acaban de despedir) Con frecuencia la gente de dentro puede suponer una amenaza mayor que los atacantes que aparecen en los periódicos. Mientras que la mayoría de los controles de seguridad tienen como objetivo la protección del perímetro contra atacantes externos, es la gente de la propia organización la que puede acceder al equipo físico y electrónico, el cableado, las salas de telecomunicaciones, las estaciones de trabajo y los enchufes de las redes. Además, también saben quién maneja la información confidencial en la organización y en qué sistemas informáticos se almacena, además de saber cómo sortear las comprobaciones implementadas para reducir los robos y los fraudes Entre los controles de seguridad más relevantes que pueden ser efectivos para prevenir y detectar los abusos de personal interno, se
encuentran los siguientes:
Responsabilidad. Hay dos prácticas comunes que suscitan preocupación en este campo. Por un lado, el uso de las llamadas cuentas basadas en privilegios, es decir, compartidas por múltiples usuarios; y, por otro, la práctica de compartir información de cuentas o contraseñas para permitir el acceso cuando un empleado no está en la oficina o no está disponible. Ambas prácticas crean un entorno en el que es perfectamente posible negar la responsabilidad ante un problema serio. Sencillamente, no se debe fomentar que se comparta la información de cuentas de usuario o, mejor todavía, debe prohibirse por completo. Esta medida incluye el no permitir a un trabajador que utilice la estación de trabajo de otro cuando para ello sea necesario iniciar una
sesión.
Entornos abundantes en objetivos para ataques. En la mayoría de negocios, un atacante que pueda encontrar la forma de entrar en las áreas de trabajo del centro puede fácilmente encontrar la forma de acceder a los sistemas. Pocos trabajadores cierran los ordenadores cuando salen del área de trabajo o utilizan contraseñas para el salvapantallas o para el inicio. Una persona malintencionada sólo necesita unos segundos para instalar furtivamente software de vigilancia en una estación de trabajo que no esté protegida. En un banco, el personal de caja siempre cierra el cajón del dinero antes de salir. Es una pena que sea tan poco frecuente encontrar este hábito en otros tipos de organizaciones. Piense en la posibilidad de implementar una norma que exija el
uso de contraseñas para los salvapantallas u otros programas para cerrar electrónicamente la máquina. Asegúrese de que el departamento de informática obliga al cumplimiento de esta norma mediante la gestión de la configuración.
Administración de las contraseñas. Tengo una amiga que ha entrado a trabajar recientemente en una de las 50 mejores empresas, según la revista Fortune, y resulta que utiliza un patrón predecible para asignar contraseñas de acceso desde fuera a la intranet basada en la Web. Consiste en el nombre del usuario seguido de un número aleatorio de tres dígitos. Esta contraseña se crea al contratar a la persona y el usuario ya no puede cambiarla jamás. De este modo, cualquier empleado puede escribir un sencillo script para averiguar una contraseña en no más de 1000 intentos, es cuestión de segundos.
Las contraseñas de los empleados, independientemente de que las cree la compañía o las elijan los usuarios, no deben seguir un patrón que sea fácil de predecir.
Acceso físico. Un empleado que entienda del tema y esté familiarizado con la red de la compañía puede fácilmente utilizar su
acceso físico para comprometer los sistemas cuando no tenga nadie alrededor. Durante un tiempo trabajé para la GTE de California, la compañía de telecomunicaciones. Tener acceso físico al edificio era como tener las llaves del reino, todo estaba abierto. Cualquiera podía ir a la estación de trabajo del cubículo o de la oficina de otro empleado y acceder a sistemas privados. Si los empleados protegieran correctamente sus escritorios, estaciones de trabajo, portátiles y PDA utilizando contraseñas de la BIOS seguras y cerrando las sesiones, el empleado malicioso necesitaría más tiempo para conseguir sus objetivos. Forme a sus empleados para que sepan enfrentarse con confianza
a personas cuando no estén seguros de su identidad, especialmente en áreas restringidas. Utilice controles de seguridad física como son las cámaras y/o los sistemas de acceso mediante placas de identificación para controlar la entrada, la vigilancia y el movimiento dentro del edificio.
Medite sobre la posibilidad de revisar periódicamente los registros de entradas y salidas físicas para identificar pautas inusuales de comportamiento, en especial, cuando ocurran incidentes.
Cubículos "muertos" y otros puntos de acceso. Si se deja un cubículo vacío cuando un empleado deja la compañía o se traslada a unlugar diferente, alguien de la propia empresa podría conectase a través de los enchufes activos de la red de ese cubículo para sondear la red al
tiempo que protege su identidad. O peor, con frecuencia se deja la estación de trabajo en el cubículo, conectada a la red, preparada para que cualquiera la pueda utilizar, incluido un empleado malicioso (o cualquier visitante no autorizado que descubra el cubículo abandonado).
Otros puntos de acceso de lugares como salas de conferencias también pueden ofrecer fácilmente acceso a quien esté dispuesto a causar daños. Piense en deshabilitar todos los enchufes de red que no se utilicen para evitar accesos anónimos o no autorizados. Asegúrese de que los
sistemas informáticos de los cubículos vacíos están protegidos contra accesos no autorizados.
Personal cesado. Todo empleado al que se haya entregado la carta de despido debe considerarse como un riesgo potencial. Se debe vigilar por si accediera a información comercial privada, especialmente por si copiara o descarga grandes cantidades de datos. Con cualquiera de
esas unidades flash USB minúsculas tan fáciles de conseguir ahora y que tienen capacidad de un gigabyte, o más, de datos, en cuestión de minutos se pueden guardar grandes cantidades de información confidencial y salir por la puerta. Debería ser práctica habitual restringir el acceso de un empleado antes de notificarle el cese, el descenso o un traslado no deseado. Además, piense en vigilar el uso que hace el empleado de su ordenador para saber si hay actividades no autorizadas o potencialmente dañinas.
Instalación de hardware no autorizado. Un empleado malicioso puede acceder fácilmente al cubículo de un compañero e instalar un componente de hardware o software registradores de tecleo {keystroke loggers) para capturar contraseñas y otra información privada. También aquí las unidades flash facilitan el robo de datos. Debemos reconocer que una norma de seguridad que prohiba la introducción de componentes de hardware sin previa autorización por escrito, aunque esté justificada en algunas circunstancias, es difícil de controlar. En algunas situaciones, el sentido común dicta que elaborar medidas de precaución para la seguridad es una pérdida de tiempo. En
una escuela militar, por ejemplo, uno no espera que entre los estudiantes haya muchos buscando la más mínima oportunidad para engañar o desafiar las reglas. En una escuela primaria, tampoco se espera que los niños de diez años tengan más conocimientos sobre seguridad informática
que el gurú de la tecnología que ocupa el cargo.
Moraleja: si está a cargo de la seguridad de la información en un
colegio, grupo de trabajo, empresa o cualquier otra identidad, debe contar
con que algunos adversarios malintencionados, incluidas personas de la
misma organización, están buscando una pequeña grieta en la pared, el
punto más débil de la cadena de seguridad para romper la red. No espere
que todo el mundo vaya a respetar las reglas. Tome medidas rentables
para evitar las potenciales intrusiones, pero no olvide seguir buscando
algo que haya podido pasar por alto. Hay quien cuenta con sus descuidos.
Tomado del Arte de la Intrusion escrito por el Ex Hacker Kevin Mitnick
www.globaldll.com
encuentran los siguientes:
Responsabilidad. Hay dos prácticas comunes que suscitan preocupación en este campo. Por un lado, el uso de las llamadas cuentas basadas en privilegios, es decir, compartidas por múltiples usuarios; y, por otro, la práctica de compartir información de cuentas o contraseñas para permitir el acceso cuando un empleado no está en la oficina o no está disponible. Ambas prácticas crean un entorno en el que es perfectamente posible negar la responsabilidad ante un problema serio. Sencillamente, no se debe fomentar que se comparta la información de cuentas de usuario o, mejor todavía, debe prohibirse por completo. Esta medida incluye el no permitir a un trabajador que utilice la estación de trabajo de otro cuando para ello sea necesario iniciar una
sesión.
Entornos abundantes en objetivos para ataques. En la mayoría de negocios, un atacante que pueda encontrar la forma de entrar en las áreas de trabajo del centro puede fácilmente encontrar la forma de acceder a los sistemas. Pocos trabajadores cierran los ordenadores cuando salen del área de trabajo o utilizan contraseñas para el salvapantallas o para el inicio. Una persona malintencionada sólo necesita unos segundos para instalar furtivamente software de vigilancia en una estación de trabajo que no esté protegida. En un banco, el personal de caja siempre cierra el cajón del dinero antes de salir. Es una pena que sea tan poco frecuente encontrar este hábito en otros tipos de organizaciones. Piense en la posibilidad de implementar una norma que exija el
uso de contraseñas para los salvapantallas u otros programas para cerrar electrónicamente la máquina. Asegúrese de que el departamento de informática obliga al cumplimiento de esta norma mediante la gestión de la configuración.
Administración de las contraseñas. Tengo una amiga que ha entrado a trabajar recientemente en una de las 50 mejores empresas, según la revista Fortune, y resulta que utiliza un patrón predecible para asignar contraseñas de acceso desde fuera a la intranet basada en la Web. Consiste en el nombre del usuario seguido de un número aleatorio de tres dígitos. Esta contraseña se crea al contratar a la persona y el usuario ya no puede cambiarla jamás. De este modo, cualquier empleado puede escribir un sencillo script para averiguar una contraseña en no más de 1000 intentos, es cuestión de segundos.
Las contraseñas de los empleados, independientemente de que las cree la compañía o las elijan los usuarios, no deben seguir un patrón que sea fácil de predecir.
Acceso físico. Un empleado que entienda del tema y esté familiarizado con la red de la compañía puede fácilmente utilizar su
acceso físico para comprometer los sistemas cuando no tenga nadie alrededor. Durante un tiempo trabajé para la GTE de California, la compañía de telecomunicaciones. Tener acceso físico al edificio era como tener las llaves del reino, todo estaba abierto. Cualquiera podía ir a la estación de trabajo del cubículo o de la oficina de otro empleado y acceder a sistemas privados. Si los empleados protegieran correctamente sus escritorios, estaciones de trabajo, portátiles y PDA utilizando contraseñas de la BIOS seguras y cerrando las sesiones, el empleado malicioso necesitaría más tiempo para conseguir sus objetivos. Forme a sus empleados para que sepan enfrentarse con confianza
a personas cuando no estén seguros de su identidad, especialmente en áreas restringidas. Utilice controles de seguridad física como son las cámaras y/o los sistemas de acceso mediante placas de identificación para controlar la entrada, la vigilancia y el movimiento dentro del edificio.
Medite sobre la posibilidad de revisar periódicamente los registros de entradas y salidas físicas para identificar pautas inusuales de comportamiento, en especial, cuando ocurran incidentes.
Cubículos "muertos" y otros puntos de acceso. Si se deja un cubículo vacío cuando un empleado deja la compañía o se traslada a unlugar diferente, alguien de la propia empresa podría conectase a través de los enchufes activos de la red de ese cubículo para sondear la red al
tiempo que protege su identidad. O peor, con frecuencia se deja la estación de trabajo en el cubículo, conectada a la red, preparada para que cualquiera la pueda utilizar, incluido un empleado malicioso (o cualquier visitante no autorizado que descubra el cubículo abandonado).
Otros puntos de acceso de lugares como salas de conferencias también pueden ofrecer fácilmente acceso a quien esté dispuesto a causar daños. Piense en deshabilitar todos los enchufes de red que no se utilicen para evitar accesos anónimos o no autorizados. Asegúrese de que los
sistemas informáticos de los cubículos vacíos están protegidos contra accesos no autorizados.
Personal cesado. Todo empleado al que se haya entregado la carta de despido debe considerarse como un riesgo potencial. Se debe vigilar por si accediera a información comercial privada, especialmente por si copiara o descarga grandes cantidades de datos. Con cualquiera de
esas unidades flash USB minúsculas tan fáciles de conseguir ahora y que tienen capacidad de un gigabyte, o más, de datos, en cuestión de minutos se pueden guardar grandes cantidades de información confidencial y salir por la puerta. Debería ser práctica habitual restringir el acceso de un empleado antes de notificarle el cese, el descenso o un traslado no deseado. Además, piense en vigilar el uso que hace el empleado de su ordenador para saber si hay actividades no autorizadas o potencialmente dañinas.
Instalación de hardware no autorizado. Un empleado malicioso puede acceder fácilmente al cubículo de un compañero e instalar un componente de hardware o software registradores de tecleo {keystroke loggers) para capturar contraseñas y otra información privada. También aquí las unidades flash facilitan el robo de datos. Debemos reconocer que una norma de seguridad que prohiba la introducción de componentes de hardware sin previa autorización por escrito, aunque esté justificada en algunas circunstancias, es difícil de controlar. En algunas situaciones, el sentido común dicta que elaborar medidas de precaución para la seguridad es una pérdida de tiempo. En
una escuela militar, por ejemplo, uno no espera que entre los estudiantes haya muchos buscando la más mínima oportunidad para engañar o desafiar las reglas. En una escuela primaria, tampoco se espera que los niños de diez años tengan más conocimientos sobre seguridad informática
que el gurú de la tecnología que ocupa el cargo.
Moraleja: si está a cargo de la seguridad de la información en un
colegio, grupo de trabajo, empresa o cualquier otra identidad, debe contar
con que algunos adversarios malintencionados, incluidas personas de la
misma organización, están buscando una pequeña grieta en la pared, el
punto más débil de la cadena de seguridad para romper la red. No espere
que todo el mundo vaya a respetar las reglas. Tome medidas rentables
para evitar las potenciales intrusiones, pero no olvide seguir buscando
algo que haya podido pasar por alto. Hay quien cuenta con sus descuidos.
Tomado del Arte de la Intrusion escrito por el Ex Hacker Kevin Mitnick
www.globaldll.com
Borran datos de 100,000 sitios web tras un ataque informatico de vulnerabilidad de dia cero
Al parecer una vulnerabilidad de día cero en el software HyperVM / Kloxo versión 2.0.7992 de la compañía india LxLabs, ha sido explotada para vulnerar cientos de cuentas VPS y miles de sitios Web, causando en la mayoría de casos una pérdida total de datos.
Dicha vulnerabilidad del software HyperVM / Kloxo ha podido ser la puerta de entrada para un ataque informático que ha ocasionado el borrado total de datos de 100.000 servidores web virtuales operados por la empresa VAserv Ltd, con base en el Reino Unido, y sus subsidiarias CheapVPS y FSCKVP.
El domingo 7 de junio en la noche comenzó en WebHostingTalk uno de los temas más espeluznantes, que se hayan seguido, con hasta el momento más de 1.700 respuestas y 83.000 visualizaciones.
El tema en cuestión comenzaba como un reporte “habitual” de no disponibilidad de un proveedor de hosting, por parte de uno de sus clientes. Pero poco después se puso en evidencia que el asunto era mayúsculo, pues al parecer a través de una vulnerabilidad de HyperVM / Kloxo, el software de administración o panel de control para las tecnologías de virtualización OpenVZ y Xen, desarrollado por LxLabs, con base en la India, había sido explotada para lograr acceso a cientos de cuentas VPS.
Los atacantes, tras conseguir el control total de los servidores, ejecutaron al parecer el comando “rm -rf” para provocar un borrado recursivo de todos los archivos, lo que habría provocado inclusive la eliminación de los back-ups. Una de los responsables del ataque llegó a publicar en WebHostingTalk parte de la información de cómo logró acceso y la forma en la que actuó posteriormente. Dicho mensaje ya ha sido eliminado por la administración del sitio.
El dueño de la empresa LxLabs, K. T. Ligesh, de 32 años, se suicidó horas después del suceso.
En el sitio de LxLabs mencionan al menos una de las vulnerabilidades, pero ante la desaparición del señor Ligesh, la incertidumbre no ha hecho más que crecer.
El propietario de VAserv Ltd, Rus Foster, manifestó públicamente haber llegado al límite de su capacidad física y emocional, cediendo las operaciones de su compañía a la también empresa británica BlueSquare Data Group.
Mayor información en: www.theregister.co.uk/2009/06/08/webhost_atack
Unos hackers (mejor dicho crackers) realizaron un ataque masivo a unas 100.000 webs aprovechando una vulnerabilidad de día cero en la versión 2.0.7992 del software HyperVM / Kloxo de la compañía india LxLabs. El ataque borró todos esos servidores web virtuales operados por la compañía Varserv, que tiene su base en el Reino Unido. Esta compañía tenía dos subsidiarias, CheapVPS y FSCKVP, que fueron atacadas de una manera tan insistente que acabaron aniquiladas y puestas off-line. La cosa no acabó aquí porque, al parecer, los ataques también borraron los backups de estos servidores virtuales. Por si esto fuera poco, a raíz de este suceso, el dueño de LxLabs, K.T Ligesh, de 32 años de edad, se quitó la vida horas después de estos hechos. Uno de los responsables publicó en WebHostingTalk parte de la información sobre el proceso de ataque seguido y sus actuaciones posteriores, pero los administradores de este sitio eliminaron las entradas correspondientes.
mayor informacion en: http://www.barrapunto.com/
www.globaldll.com
Dicha vulnerabilidad del software HyperVM / Kloxo ha podido ser la puerta de entrada para un ataque informático que ha ocasionado el borrado total de datos de 100.000 servidores web virtuales operados por la empresa VAserv Ltd, con base en el Reino Unido, y sus subsidiarias CheapVPS y FSCKVP.
El domingo 7 de junio en la noche comenzó en WebHostingTalk uno de los temas más espeluznantes, que se hayan seguido, con hasta el momento más de 1.700 respuestas y 83.000 visualizaciones.
El tema en cuestión comenzaba como un reporte “habitual” de no disponibilidad de un proveedor de hosting, por parte de uno de sus clientes. Pero poco después se puso en evidencia que el asunto era mayúsculo, pues al parecer a través de una vulnerabilidad de HyperVM / Kloxo, el software de administración o panel de control para las tecnologías de virtualización OpenVZ y Xen, desarrollado por LxLabs, con base en la India, había sido explotada para lograr acceso a cientos de cuentas VPS.
Los atacantes, tras conseguir el control total de los servidores, ejecutaron al parecer el comando “rm -rf” para provocar un borrado recursivo de todos los archivos, lo que habría provocado inclusive la eliminación de los back-ups. Una de los responsables del ataque llegó a publicar en WebHostingTalk parte de la información de cómo logró acceso y la forma en la que actuó posteriormente. Dicho mensaje ya ha sido eliminado por la administración del sitio.
El dueño de la empresa LxLabs, K. T. Ligesh, de 32 años, se suicidó horas después del suceso.
En el sitio de LxLabs mencionan al menos una de las vulnerabilidades, pero ante la desaparición del señor Ligesh, la incertidumbre no ha hecho más que crecer.
El propietario de VAserv Ltd, Rus Foster, manifestó públicamente haber llegado al límite de su capacidad física y emocional, cediendo las operaciones de su compañía a la también empresa británica BlueSquare Data Group.
Mayor información en: www.theregister.co.uk/2009/06/08/webhost_atack
Unos hackers (mejor dicho crackers) realizaron un ataque masivo a unas 100.000 webs aprovechando una vulnerabilidad de día cero en la versión 2.0.7992 del software HyperVM / Kloxo de la compañía india LxLabs. El ataque borró todos esos servidores web virtuales operados por la compañía Varserv, que tiene su base en el Reino Unido. Esta compañía tenía dos subsidiarias, CheapVPS y FSCKVP, que fueron atacadas de una manera tan insistente que acabaron aniquiladas y puestas off-line. La cosa no acabó aquí porque, al parecer, los ataques también borraron los backups de estos servidores virtuales. Por si esto fuera poco, a raíz de este suceso, el dueño de LxLabs, K.T Ligesh, de 32 años de edad, se quitó la vida horas después de estos hechos. Uno de los responsables publicó en WebHostingTalk parte de la información sobre el proceso de ataque seguido y sus actuaciones posteriores, pero los administradores de este sitio eliminaron las entradas correspondientes.
mayor informacion en: http://www.barrapunto.com/
www.globaldll.com
viernes, 11 de septiembre de 2009
LA SEGURIDAD DE LA INFORMACION UTILIZANDO ACTUALIZACIONES Y PARCHES A LOS SISTEMAS OPERATIVOS
Mantenerse informado de todas las ultimas versiones de sistemas operativos y aplicaciones de sus proveedores, es crucial mantenerse alerta de las novedades e instalar todos los parches o soluciones orientados a la seguridad. Con el fin de garantizar que estas medidas se adopten de manera organizada y cuidadosa, todas las compañias deberian desarrollar e implementar un programa de gestion de parches dirgido a alertar al personal correspondiente siempre que se lance un nuevo parche para los productosque la compañia utiliza, en particular, para el software del sistema operativo, pero también el software y el firmware de aplicaciones.
Cuando salga un nuevo parche, debera instalarse tan pronto como sea posible; inmediatamente.
Numeroso sistemas se ven comprometidos por la falta de gestión de los parches. Una vez que se revela una vulnerabilidad al público, el agujero de seguridad aumenta considerablemente hasta que el fabricante lance un parche que solucione ese problema y los clientes lo instalen adecuadamente.
En la empresa, la instalación de los parches debe tener una alta prioridad: es necesario que haya un proceso formal de gestión de los parches para reducir el agujero de seguridad.
Pero ni siquiera basta con estar atento a la instalacion de parches. Las intrusiones a empresas se consguieron a través de exploits de "dia cero", intrusiones basadas en vulnerabilidades que nadie, fuera de un grupo muy reducido de hackers y atacantes a sistemas conoce. El "dia cero" es el dia en que explotan por primera vez la vulnerabilidad y, por tanto, el dia en que el fabricante y la comunidad de seguridad la advierte por primera vez.
Siempre que existe la posibilidad de que un exploits de dia cero ponga en riesgo la seguridad de informacion, todas las empresas y organizaciones que utilizan el producto defectuoso son vulnerables hasta que se saca un parche o una solución.
Mi opinion personal deberia realizarze una solucion de seguridad perimetral en profundidad.
Debemos de tener en cuenta de que nuestro sistemas de acceso público, seran vulnerables a ataques de dia cero en cualquier momento. Si un hacker descubre de alguna vulnerabilidad de un servidor Web o de correo, los sistemas de la empresa de la red interna seguiran protegidos por otra capa de seguridad.
Las empresas pueden adoptar otras normas efectiva, vigilando que la red o los hosts individuales no registren actividades inusuales o sospechosa. Un atacante suele realizar acciones concretas despues de haber superado las medidas de seguridad del sistema, como por ejemplo intentar hacerse con las contraseñas cifradas o de texto plano, instalar una puerta trasera o modificar los archivos de configuración para debilitar la seguridad, o modificar el sistema, las aplicaciones o los archivos de registro. Un proceso que vigile estos típicos comportamientos de los hackers y que alerte al personal correspondiente puede servir de gran ayuda para controlar los daños.
www.globaldll.com
Cuando salga un nuevo parche, debera instalarse tan pronto como sea posible; inmediatamente.
Numeroso sistemas se ven comprometidos por la falta de gestión de los parches. Una vez que se revela una vulnerabilidad al público, el agujero de seguridad aumenta considerablemente hasta que el fabricante lance un parche que solucione ese problema y los clientes lo instalen adecuadamente.
En la empresa, la instalación de los parches debe tener una alta prioridad: es necesario que haya un proceso formal de gestión de los parches para reducir el agujero de seguridad.
Pero ni siquiera basta con estar atento a la instalacion de parches. Las intrusiones a empresas se consguieron a través de exploits de "dia cero", intrusiones basadas en vulnerabilidades que nadie, fuera de un grupo muy reducido de hackers y atacantes a sistemas conoce. El "dia cero" es el dia en que explotan por primera vez la vulnerabilidad y, por tanto, el dia en que el fabricante y la comunidad de seguridad la advierte por primera vez.
Siempre que existe la posibilidad de que un exploits de dia cero ponga en riesgo la seguridad de informacion, todas las empresas y organizaciones que utilizan el producto defectuoso son vulnerables hasta que se saca un parche o una solución.
Mi opinion personal deberia realizarze una solucion de seguridad perimetral en profundidad.
Debemos de tener en cuenta de que nuestro sistemas de acceso público, seran vulnerables a ataques de dia cero en cualquier momento. Si un hacker descubre de alguna vulnerabilidad de un servidor Web o de correo, los sistemas de la empresa de la red interna seguiran protegidos por otra capa de seguridad.
Las empresas pueden adoptar otras normas efectiva, vigilando que la red o los hosts individuales no registren actividades inusuales o sospechosa. Un atacante suele realizar acciones concretas despues de haber superado las medidas de seguridad del sistema, como por ejemplo intentar hacerse con las contraseñas cifradas o de texto plano, instalar una puerta trasera o modificar los archivos de configuración para debilitar la seguridad, o modificar el sistema, las aplicaciones o los archivos de registro. Un proceso que vigile estos típicos comportamientos de los hackers y que alerte al personal correspondiente puede servir de gran ayuda para controlar los daños.
www.globaldll.com
Suscribirse a:
Entradas (Atom)
