Malware afecta a cajeros automáticos

Fuente: Security by Default (20/03/2009)

Una de 'crimen organizado' para empezar el fin de semana, por lo visto DieBold, empresa fabricante de Cajeros Automáticos basados en software Windows que, entre sus clientes se encuentran (cito textualmente de una nota de prensa) :

Caja Madrid, BBVA, Banco Santander, Caixa Penedés, CAM, Caixa Galicia y Caixa Nova

ha sido victima de un sabotaje en sus sistemas mediante la introducción de Malware para capturar datos bancarios. Según se puede leer en la noticia original, la gente de Sophos ha detectado un troyano (llamado Troj/Skimmer-A) en los sistemas Windows que suministra este fabricante.

No queda ni de lejos claro como ha podido llegar ese troyano a los equipos, pero todo parece apuntar a un ataque desde dentro

La 'buena noticia' es que el troyano ha sido programado únicamente para capturar transacciones Rusas, Ukranianas y de EEUU.

Mas información en el post de Dancho Danchev, y en el blog de Sophos

Verisign: Como protegerse de los ataques man-in-the-middle

Fuente Diario Ti

A medida que surgen nuevas modalidades de ataques man-in-the-middle, el proveedor de SSL ofrece sugerencias de prevención a los usuarios finales y a las empresas.

Debido al nuevo tipo de ataque man-in-the-middle (MITM) revelado en la conferencia Black Hat D.C., VeriSign ofrece consejos sencillos que los usuarios finales y las empresas pueden utilizar para acabar en forma efectiva con las amenazas en línea.

El ataque mencionado es la última versión de MITM, en el cual el usuario sufre un engaño y es llevado al sitio web incorrecto. Las técnicas más comunes para engañar a los visitantes incluyen correos electrónicos de phishing, sitios inalámbricos falsos y, más recientemente, el ataque a servidores DNS no seguros. Utiliza un servidor fraudulento para interceptar las comunicaciones entre el navegador del usuario y un sitio web legítimo, y luego funciona como proxy, capturando información confidencial por HTTP (no HTTPS) entre el navegador y el servidor fraudulento.

Lo que hace que este ataque sea diferente de los ataques MITM anteriores es que el sitio fraudulento intenta aprovechar señales visuales falsas, reemplazando el ícono favorito del sitio fraudulento por un ícono del candado, que tradicionalmente se identifica como una señal visual de sitio protegido con SSL. Sin embargo, si bien este ardid puede reproducir el candado, no puede recrear el indicador HTTPS legítimo o el color verde aún más evidente de la barra de direcciones en los navegadores web de alta seguridad, en los que el sitio está protegido con un Certificado EV SSL (Extended Validation Secure Socket Layer).

VeriSign ofrece a los usuarios finales y a las empresas los siguientes consejos:

Usuarios finales:
- Los ataques man-in-the-middle y de phishing que se encuentran en la actualidad se pueden combatir a través de los Certificados EV SSL y prestando atención cuando falta el brillo o color verde. Los Certificados EV SSL confirman en forma definitiva la identidad de la organización que posee el sitio web. Los criminales informáticos no tienen acceso a los Certificados EV SSL de los sitios que falsifican y, por lo tanto, no pueden imitar el color verde que muestra que un sitio web autenticado es seguro.
- Descargue la última versión de los navegadores web de alta seguridad, como Internet Explorer 7 o versión superior, FireFox 3 o versión superior, Google Chrome, Safari u Opera.
- Aproveche los dispositivos de autenticación como los tokens y otras formas de autenticación con dos factores para cuentas confidenciales.
- Trate los correos electrónicos que reciba de remitentes desconocidos con un alto grado de escepticismo y no haga clic en enlaces para obtener acceso a sitios seguros (escriba la dirección del sitio en el navegador).

Empresas:
- Coloque el Certificado SSL EV en su página de inicio y en cualquier otra página donde se realice una transacción segura.
- No ofrezca logins en páginas que todavía no están en una sesión SSL.
- Ofrezca autenticación con dos factores a los clientes como una forma opcional de agregar otro nivel de seguridad cuando se obtiene acceso a las cuentas.
- No incluya enlaces en los correos electrónicos que envíe a clientes y pídales que descarguen la última versión de sus navegadores de su preferencia.
“Aunque los criminales informáticos estuvieron utilizando Certificados SSL de autenticación baja en los ataques tipo phishing y man-in-the-middle durante años, la presentación en la conferencia de seguridad Black Hat es un buen recordatorio para que los usuarios finales estén alertas cuando realizan transacciones en línea", dijo Tim Callan, vicepresidente de marketing de producto de VeriSign. “Las amenazas de seguridad se presentan de muchas maneras, y estar un paso adelante requiere capacitación por parte de los usuarios finales y un enfoque de seguridad completa y en capas por parte de los sitios web para garantizar que los usuarios tengan una experiencia segura".

Mandiant Highlighter: Análisis forense de logs

Fuente: Sergio Hernando

... Se trata de una sencillísima aplicación para resaltar y localizar cadenas de búsqueda en ficheros (logs, especialmente), así como representar gráficamente las cadenas para facilitar la búsqueda y localización de las mismas. En procesos de análisis forense es frecuente, además de efectuar procesado masivo y completo de registros, inspeccionar logs en busca de patrones determinados y concretos. Desde grep hasta el bloc de notas he visto de todo, y a la hora de efectuar estas tareas, como podéis imaginar, cada maestrillo tiene su librillo.

Informe Deloitte 2008 sobre seguridad bancaria

Fuente: Kriptopolis

La empresa Deloitte ha publicado un interesante informe [PDF] de 42 páginas titulado "Informe Anual de Seguridad en Instituciones Financieras", que, a pesar del tamaño en páginas, es ameno y parco en texto.

Está lleno de información interesante; por ejemplo, en la página 28, se remarcan y recuadran las siguientes amenazas: pérdida de información sobre clientes y privacidad, phising/pharming, uso inapropiado de datos y ciberterrorismo. Además, se añaden otras amenazas que son muy evidentes para los usuarios de informática, como los ataques de virus/gusanos, o el efecto de de redes zombie...

En la página 30 del informe se nos revela algo que también se intuye con facilidad: "La principal fuente de ataques externos hacia las entidades financieras son virus y gusanos, correo basura y programas de spyware". Creo que no es necesario que aparezca en este informe, para que seamos conscientes de que esta afirmación es una realidad casi omnipresente. En relación con el phising, el informe también destaca algo muy preocupante. Sigue produciéndose con la misma frecuencia que en años anteriores. Otro dato que aparece en la página 30, es que las conductas inapropiadas de los empleados, favorecen un 11% de los ataques externos a las entidades, algo que no es poco y que no deja de llamar la atención, si tenemos en cuenta el tipo de información que se maneja.

En la página 31 se nos señala que la principal fuente de ataques internos son los virus y los gusanos. Asimismo, se destaca que las pérdidas de privacidad de la información, así como las fugas de activos de información, han experimentado un ascenso en los últimos tiempos, algo que no deja de ser curioso.

Entre las medidas de seguridad utilizadas por los bancos, que se muestran de forma gráfica en la página 33, podemos ver que casi todos ellos usan antivirus y cortafuegos y que un elevado porcentaje añaden además, sistemas de filtrado de spam o de contenidos web y sistemas de identificación de intrusos. Sin embargo, menos del 50% de las empresas financieras, usan sistemas de gestión de vulnerabilidades, sistemas anti phising, de detección o prevención del fraude, herramientas de detección de amenazas, sistemas de provisionamiento de usuarios o biometría.

No deja de ser curioso, que siendo el phising/pharming una de las amenazas más importantes para las entidades y para los fondos de los usuarios y que se ha materializado en el 2008 con la intensidad que en años anteriores, menos de un 40% de las entidades estudiadas disponen de medios para su detección o prevención.

De lo anterior saco tres conclusiones:

a) Gran parte de estos problemas son fruto del monopolio tecnológico que nos invade, tanto como fuente de problemas externos, como de problemas internos. Está claro que la protección genética no existe en el mercado informático mundial y cuando aparece una vulnerabilidad, o exploit, en la plataforma mayoritaria, son vulnerables el 99% de los ordenadores de todo el mundo. Por otra parte, la inseguridad de los sistemas de los ciudadanos tiene un peso importante en la inseguridad global, lo que es complicado de solventar en el momento actual.

b) Todavía hay que avanzar mucho para lograr unos niveles adecuados de seguridad, para ello hace falta inversión y especialistas.

c) Muchas de las necesidades de seguridad que se muestran como necesarias, o incluso indispensables, se podrían desplegar de forma eficaz y económica mediante el uso de software libre. Siempre será mejor usar software libre, que no poner nada, o esperar a tener los fondos necesarios para afrontar los problemas de seguridad mediante sistemas privativos, que se han de desplegar con elevado coste, en miles de sistemas. El software libre permite elevar los mínimos de las políticas de seguridad sin necesidad de gastarse grandes cantidades de dinero en el despliegue de las soluciones.

En la página 36 encontramos algo que nos puede dar una pista sobre el motivo por el que todavía están así de mal las cosas:

"Obstáculos a la seguridad. La escasez de recursos y de profesionales especializados en seguridad son los principales impedimentos a la hora de desarrollar una estrategia eficiente de seguridad. En este sentido, la principal causa por la que fallan los proyectos de seguridad es la carencia de recursos, y el error humano es el motivo principal de los fallos de los sistemas."

Yo añadiría además, que el monopolio tecnológico, la actitud de los usuarios frente a la seguridad y las decisiones de las direcciones tecnológicas de las corporaciones, tienen mucho que ver con el problema.

Como he dicho, es un interesante informe, del que se pueden sacar muchas conclusiones útiles.

Seguridad: Protección de las Contraseñas

El mes pasado su publicó una entrada que hablaba sobre la gestión y generación de contraseñas complejas. Una vez más recordaremos que las contraseñas es el único medio de protección, siempre que no se utilicen métodos de autenticación fuerte (tarjetas, tokens USB, etc.), para acceder a la información privada.

Es por esto que siempre se incide en utilizar contraseñas complejas a la vez que fáciles de recordar. Pero esto se complica cuando hay que gestionar varias cuentas de correo electrónico, aplicaciones, etc. Y seguimos el consejo de "no escribir las contraseñas".

Llegado este punto, bien se tiene una memoria fabulosa o bien se terminan utilizando contraseñas sencillas y cortas que sean fáciles de recordar. Y por tanto débiles y susceptibles a ataques de diccionario.

Por lo que incluso grandes gurús como Bruce Schneier recomiendan escribir las contraseñas. De hecho, pone el ejemplo de escribir las contraseñas en un papel y guardarlo en la cartera en vez de pegarlo en el monitor o debajo del teclado.

... the idea is that corporations that are saying "Do not write down your passwords" are inherently forcing people to choose passwords that are easily guessable or prone to dictionary attack; that is to say, by refusing to allow people to write them down, they're having to choose bad passwords. And that's worse than writing them down. The point that Bruce makes, which I think is a very good one, is that, write down your passwords on a small piece of paper and put them where you put your other private pieces of paper, which is to say, in your wallet...

(Security Now! Episode 4)

Una solución a este problema es almacenar las contraseñas en un fichero de texto cifrado, pero ya existen aplicaciones en el mercado (de uso comercial y gratuito) que se encargan de almacenar las contraseñas de modo seguro y algunas de estas aplicaciones también son capaces de generar contraseñas complejas, entre otras:

• PasswordSafe, OpenSource.
  
• AnyPassword, Comercial y Free.
  
• KeePass, OpenSource.

De este modo, se podrán utilizar contraseñas complejas y que no hace falta memorizar. Basta con memorizar una contraseña compleja para proteger esta base de datos de contraseñas.

[Protección casera] Antivirus gratuitos, a veces "lo barato, no sale caro"

Cada vez que uno adquiere un servicio, un producto, etc. hay un refrán que dice "lo barato, sale caro". Esto no siempre es así, como puede ser el caso de los antivirus. Numerosos expertos coinciden en que los antivirus gratuitos no se encuentran en desventajas frente a los antivirus gratuitos.

La organización SRI International (organización sin ánimo de lucro) ha realizado un análisis sobre la eficacia de los antivirus en la detección de malware. Como resultado, se ha podido observar que algunos antivirus gratuitos se encuentran dentro de los más eficaces (como AntiVir, AVG, BitDefender, etc.).

Los resultados de este análisis se han obtenido de www.virustotal.com. La prueba consistía en, durante 24h, someter al antivirus a la detección de nuevo malware obtenido de internet.

Fuente: CCN-CERT

El 66% de las pymes con menos de 50 empleados admite que desconoce la existencia de la Ley de Protección de Datos

Un punto de información ayudará a las pymes a evitar multas de hasta 600.000 euros. El 66% de las empresas desconoce la existencia de la Ley de Protección de Datos.

El 66% de las pymes con menos de 50 empleados admite que desconoce la existencia de la Ley de Protección de Datos. Según la Cámara tinerfeña, es fácil cometer errores sancionables, ya que no informar debidamente en la recogida de datos o incumplir los deberes de secreto y confidencialidad puede conllevar una sanción de hasta 60.000 euros.

A pesar de que el 71% de la población afirma que le preocupa lo que se haga con sus datos, un 66 por de las pymes con menos de 50 empleados reconoce que desconoce "por completo" la existencia de la Ley Orgánica de Protección de Datos (LOPD). Ante este déficit de información, la Cámara de Comercio de Santa Cruz de Tenerife ha puesto en marcha el Punto de Información sobre Protección de Datos (PIPD) con el objetivo de asesorar a todas las empresas del alcance de la normativa, así como de las importantes sanciones que acarrea su incumplimiento.
La LOPD, que cuenta con su nuevo Reglamento desde el pasado mes de abril, exige a todas las empresas la obligación de obtener el consentimiento de las personas físicas para tratar sus datos y también obliga a todas las pymes y entidades a registrar sus ficheros en el registro Oficial de la Agencia de Protección de Datos.

Según el Departamento de Servicios Jurídicos de la Cámara de Comercio, es relativamente fácil incurrir errores susceptibles de sanción ya que el hecho de no informar debidamente en la recogida de datos, o incumplir los deberes de secreto y confidencialidad, como tirar sin seguridad un curriculum vitae a la basura, puede conllevar una sanción de hasta 60.000 euros. Faltas graves, como no contar con el consentimiento de los titulares para tratar sus datos o ceder los datos a otras entidades sin permiso pueden suponer multas de entre 300.000 y 600.000 euros.
Concretamente en el primer semestre de 2008, las sanciones a entidades privadas siguen centrándose en su mayoría en la calidad de los datos y el consentimiento de los afectados. El 37,5% de las mismas se debió al abandono de documentación en la vía pública, el 12,5 por ciento por compartir en programas P2P (emule) archivos con datos personales y otro 12,5 por ciento a la publicación de datos personales en páginas web sin las debidas medidas de seguridad, dejándolos accesibles a terceros no autorizados, según revela la Agencia Española de Protección de Datos.

Además, según alerta Noemí Brito, responsable del Punto de Información sobre Protección de Datos de la Cámara de Comercio (PIPD), la falta o desconocimiento de los procedimientos de seguridad de la información es un riesgo real, que puede causar importantes pérdidas a cualquier empresa. “La inversión en seguridad de la información es vital para toda empresa, ya que si desapareciera, se alterase o se divulgase, afectaría muy negativamente a cualquier actividad que desarrollemos”, apunta Brito.

En este sentido, desde el PIPD, abogados especialistas en Telecomunicaciones facilitarán toda la información necesaria sobre cómo llevar a la práctica las nuevas medidas de seguridad que exige la LOPD y su renovado Reglamento de desarrollo. Además, a partir de enero, en el PIPD, las empresas podrán obtener la Guía del Responsable de Ficheros que ha elaborado el Consejo Superior de Cámaras junto a la Agencia Española de Protección de Datos.

Sanciones económicas
Sólo el año pasado, la Agencia Española de Protección de Datos finalizó más de 1.260 investigaciones de casos que fueron objeto de resolución, casi todos ellos relacionados con empresas privadas, que en su conjunto recibieron sanciones por un valor total de 19,6 millones de euros, frente a los 24,4 de 2006. Unos datos que son mucho menos alarmantes en el caso de Canarias, donde en 2007 se llevaron a cabo 50 investigaciones, de las que sólo 6 acabaron en sanción económica, lo que sitúa las Islas en el puesto número 10 del ránking de las comunidades autónomas que más denuncias registraron.
La mayoría de las denuncias recibidas e investigadas por la Agencia Española de Protección de Datos están relacionadas con las telecomunicaciones y las entidades financieras, que sólo el año pasado sumaron 290 y 248 casos respectivamente, de un total de 1.263. En cuanto a los motivos de la denuncia, muchos de los casos se deben a que la empresa insertó indebidamente los datos de sus clientes en ficheros de morosidad, o bien contrató servicios de forma fraudulenta, muy habitual en telefonía e Internet.
Aún con el riesgo de sufrir importantes multas, según el Inteco, alrededor del 80 por ciento de las pymes de España incumplen la LOPD y eso a pesar de que el 96% de ellas maneja ficheros que contienen datos que deben protegerse.

Fuente: CRYPTEX