Category Archives: seguridad de la Información

Ransomware

Tipo de malware (software malicioso) que tiene como objetivo impedir el acceso a un sistema o a un conjunto de archivos, ya sea por bloqueo de credenciales por “cifrado”  no autorizado.

Una vez que se ha perpetrado el ataque, al propietario del sistema -o de los archivos; se le exige una suma de dinero (rescate) por restituir los permisos.

El rescate se paga comúnmente en bitcoins. Algunos atacantes piden rescate no solo para restituir el acceso sino también para no divulgar el contenido de los archivos.

¿Cómo protegerse del malware?
  1. Clasifique sus archivos
  2. Cifre los archivos sensibles o de alto valor personal o para la organización.
  3. Desarrolle un adecuado modelo de copias de respaldo.
  4. Utilice equipos dedicados para almacenar y trabajar con archivos de alto valor para la organización. En dichos equipos como mínimo:
    • Evite conectarse a sitios no autorizados.
    • Impida el acceso físico de personal no autorizado.
    • No instale aplicativos de dudosa procedencia.
    • Mantenga actualizados los aplicativos y el software antivirus
    • Proteja los puertos (físicos y lógicos)
    • Habilite el firewall.
    • absténgase de abrir correos o archivos cuyo destinatario no sea confiable y cuyo contenido no tenga que ver con procesos de trabajo (cadenas de oración, imágenes religiosas, archivos ejecutables, presentaciones de autosuperación, etc).

GISEPROI – Grupo de Investigación en Sistemas Empresariales y Protección de la Información

Universidad Distrital Francisco José de Caldas

Estados de Madurez de un SGSI

Implementar un sistema de Gestión de Seguridad de la Información (SGSI) no es una cuestión de cumplimiento normativo, es un proceso de transformación de la cultura organizacional en aras de convertir a la información en un activo valioso para la empresa.

En el siguiente enlace se presenta una matriz básica para poder determinar el estado de madurez de los SGSI dentro de una organización atendiendo a un conjunto simple de evidencias:

Matriz de Estado de Madurez de los SGSI

GISEPROI

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

AtomBombing una técnica para inyección de código en Windows

Investigadores de EnSilo han publicado un vector de ataque que aprovecha vulnerabilidades en las tablas Atom de los sistemas operativos Windows.

Esta técnica es particularmente importante debido a que puede generar un ataque de inyección de código en virtualmente todos las versiones de Windows, incluyendo la versión 10. Los pormenores del informe se encuentran en:

http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions

Mientras que los aspectos técnicos en:

https://breakingmalware.com/injection-techniques/atombombing-brand-new-code-injection-for-windows/

(Este último sitio trata de bloquear accesos no anónimos así que se recomienda usar Tor o un navegador similar)

Noticias rápidas GISEPROI – Grupo de investigación en Sistemas Empresariales y Protección de la Información

Universidad Distrital Francisco José de Caldas

Mega ataques DDOS utilizando dispositivos IoT

Usualmente los sistemas de seguridad se rompen por la parte más frágil. Y dado la inocente (irresponsable??) visión con la que la industria ha encarado el diseño de dispositivos para el Internet de las Cosas (IoT), era inevitable que los especialistas de seguridad pusieran su vista sobre ellos y empezaran a encontrar sus enormes fallos.

Estos últimos meses, un grupo de personas han logrado “infectar” una enorme cantidad de dispositivos para orquestar un “mega” Ataque de Denegación de Servicio Distribuido (DDoS) cuyo objetivo era directamente al core mismo de Internet: los servidores DNS.

Evidentemente este ataque ha sido solo un llamado de atención, quizás una jugada estratégica para que el mundo empiece a invertir recursos suficientes para encarar los riesgos que supone el crecimiento de la IoT. Un ataque mayor (incluyendo otros objetivos) podría haber causado un colapso en la red mundial de comunicaciones con pérdidas incalculables.

Un dato particularmente interesante es que Colombia se encuentra entre los principales países cuyos dispositivos están infectados y participan activamente en la perpetración de los ataques.

Figure 1 – Global Distribution of gafgyt Bots (Source: Level 3 Threat Research Labs)

Figura: Distribución Global de bots. Colombia se encuentra entre los países con mayor cantidad

Fuente: Level 3 Threat Research Labs

Información básica:

https://es.wikipedia.org/wiki/Mirai_(malware)

https://es.wikipedia.org/wiki/Sistema_de_nombres_de_dominio

https://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio

https://es.wikipedia.org/wiki/Internet_de_las_cosas

Más información del ataque:

https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

https://www.flashpoint-intel.com/attack-of-things/

Noticias rápidas – GISEPROI Grupo de Investigación en Sistemas Empresariales y Protección de la Información

Universidad Distrital Francisco José de Caldas

Definición del día: RootKit

Aplicación, o conjunto de aplicaciones, que una vez instalada permite acceder a funcionalidades del sistema reservadas solo para administradores. Usualmente los rootkits se instalan de manera automática y tienen la capacidad de “ocultar” su presencia al manipular deliberadamente los archivos ( o programas) de registro de procesos del sistema operativo.

Una vez instalado y en ejecución, el rootkit puede ser utilizado para:

  • enviar datos del usuario ( y de su actividad) de manera fraudulenta,
  • facilitar la instalación de malware y ocultar su ejecución,
  • tomar posesión del sistema.

Si bien la mayoría de rootkits son  instalados para fines ilegales, existen algunos programas legítimos que tienen un comportamiento similar.

Más información introductoria

[1] http://www.pandasecurity.com/homeusers/security-info/types-malware/rootkit

[2] Stevenson, L y Altholz, N. Rootkits For Dummies. Wiley.

Filtración de datos de Yahoo

En días pasados yahoo develó la filtración de datos personales de más de 500 millones de abonados ocurrida en el año 2014. Esto es solo un ejemplo de la cortina de hierro que se cierne sobre las pérdidas de información en grandes multinacionales, empresas bancarias y entidades del gobierno. En las MiPyMEs ni siquiera hablar.

Según The Guardian[1], los investigadores de la empresa presumen que hayan sido hackers pagados por el estado los que hayan realizado el robo[2].

Referencias

[1] https://www.theguardian.com/technology/2016/sep/22/yahoo-hack-data-state-sponsored

[2] https://www.ft.com/content/266aa154-8165-11e6-8e50-8ec15fb462f4

NSA Toolkit y sus implicaciones

Cada día crece el impacto de la pérdida de confidencialidad de NSA. Ahora se sabe que las herramientas estaban disponibles hace más de cinco años para los empleados de la agencia. Independiente de la posible colaboración que las multinacionales pudiesen tener, surge de nuevo el interrogante acerca de las flagrantes violaciones a los derechos civiles y constitucionales por parte del gobierno. En Colombia ya se han tenido casos similares que son tomados como problemas políticos para ocultar el verdadero papel en la sistemática violación de libertades individuales.

NSA Hacker Toolkit

Recientemente la compañía cisco presentó un reporte de vulnerabilidad en varias versiones del sistema operativo que viene en sus dispositivos de red:

Vulnerabilidad en sistema operativo CISCO

Además de las implicaciones de tal vulnerabilidad, es importante anotar que esta fue descubierta gracias a las herramientas publicadas por el grupo The Shadow Brokers (quizás relacionado con Equation Group, las cuales probablemente pertenecen al conjunto de herramientas utilizadas por la agencia NSA.

Es importante para todos los administradores de red estar pendientes de los parches que ofrezca la empresa cisco y también estar al tanto del desarrollo de “nuevas” vulnerabilidades que irán apareciendo del uso de las herramientas liberadas.

GISEPROI

Grupo de Investigación en Sistemas Empresariales y Protección de Información de la Universidad Distrital francisco José de Caldas.

Alianzas estratégicas:

Investigación:
GEIPER – Semillero de Investigación en Percepción remota
GITEM – Grupo de Investigación en Telemedicina

Industria:
Grupo de Investigación y Desarrollo de Tecnologías de la Información Zeety S.A.S

Academia:
Corporación Politécnica Nacional de Colombia