Tuesday, May 31, 2011

RSA SecureID en problemas | Lockheed Martin exposed



El Viernes 27 de Mayo del 2011, se dió la noticia de que una empresa que ofrece servicio de seguridad al pentágono fue vulnerada en la creación de los tokens utilizados para acceder a la red interna por parte de los usuarios desde otra parte que no fuese su lugar de trabajo. Las primera noticias no apuntaron a la compañía que sufrió el incidente de forma directa, pero Reuters publicó que la empresa que sufrió tal incidente fue Lockheed Martin, compañía contratista de seguridad y proveedor de maquiniaria para la milicia estadounidense fabricando aviones para el Pentágono.

En el mes de Marzo, RSA dió a conocer que sufrió de una violación de datos, y que esto podía provocar problemas de seguridad en sus productos. Ante esto, algunos de los clientes y usuarios tomaron medidas para fortalecer su seguridad para evitar posibles fallas en sus sistemas, o bien, el robo de información. El algoritmo RSA es ya muy conocido, pero no por ello implica que sea fácil de vulnerar, pues se puede tener una llave pero no el candado que abre. De tal forma que, quien haya obtenido la llave, logró encontrar el candado que abría. Esto es comentado en el blog de Robert Cringely. Pero no sólo se necesita la llave, sino candados con los cuales probar, así el ataque perpetrado tendría que ser por fuerza bruta.

El ataque que sufrió en Marzo RSA, consistió primero que nada en el uso de Ingeniería Social, combinándose con spamming, resultando en phishing. Se enviaron correos a personas de la empresa, de las cuales una [cuya identidad se conserva en el anonimato] accedió al correo y descargó un archivo con una hoja de cálculo, cuyo nombre sugería contener información de reclutamiento. Dicho archivo contenía un exploit que atacaba un 0-day contra Adobe Flash, el atacante podía instalar lo que quisiera en la máquina, y en este caso se instaló Poison Ivy RAT [Remote Administration Tool]. Al tener acceso remoto a un equipo se pudo acceder a la red después de una escalada de privilegios. Se recopiló información para ser descargada posteriormente. La información que se obtuvo fue acerca de SecureID, pero se desconoce si los hackers obtuvieron información de cómo generar los tokens, lo cual sugiere el vector inicial del ataque perpetrado contra Lockheed Martin.

Lo que ocurrió con Lockheed Martin, es que ofrecía el servicio de autenticación doble con SecureIDs de RSA para acceder a las redes corporativas. Dicho acceso tuvo que ser bloqueado el Domingo anterior a la publicación de la brecha de seguridad, y se informó a los usuarios que el servicio estaría suspendido durante una semana; y que se reestablecerían las contraseñas y tokens para acceder.

De cualquier forma, existen varias proposiciones de lo que pudo o puede ocurrir a partir de las brechas de seguridad.


  • Se sugiere que cerca de 100mil usuarios se ven afectados por tal incidente, pues al parecer la información que se vió afectada fue con respecto a la administración o usuarios con privilegios.


  • A pesar de ello, RSA ha estipulado que los hackers que lograron romper la seguridad, aún necesitan más información para poder obtener algo importante; pues necesitan los nombres de usuario y contraseñas, independientemente del token que han obtenido y han podido utilizar.


  • Ante la situación que se ha presentado, nace la posibilidad de que el ataque sea producto de ciberespionaje. Lo cual no habría que descartar, ya que Stuxnet mostró la capacidad de la gente preparada [hackers] para poder irrumpir en sistemas informáticos de alta seguridad, por lo cual cabe recordar el principio del eslabón más débil.



No se sabe que información fue la que se extrajo de Lockheed Martin, si es que se obtuvo alguna. En caso de que fuese así, la información puede ser de sistemas de armamento en desarrollo, así como equipo utilizado por la milicia en algunas operaciones. A esto, el Pentágono ha declarado que el número de llaves electrónicas de seguridad RSA en uso es limitado, reservándose de mencionar la cantidad por razones de seguridad.

Mucha de la información que se ha recopilado con respecto al incidente ha sido manejada de forma anónima por oficiales en la industria militar. Si bien, el alcance de los daños puede ser especulativo, las opiniones y narraciones que han sido publicadas dan una idea general de lo que puede representar dicho ataque.

Las medidas que ha tomado Lockheed Martin, tienen que ver con el aseguramiento de su información, de tal manera que si se detecta algún comportamiento anómalo que provenga del exterior de la red, la contramedida será el cierre de todos los sectores de la red para evitar infiltraciones.

Apenas el Domingo 29 de Mayo se publicó que siguen las acciones de reestablecimiento de contraseñas para el acceso de los usuarios. Algunas de las acciones que se decidieron tomar son la suspensión del uso de la red privada virtual de la compañía, el cambio de contraseñas, mejorar los tokens de acceso SecureID e incluir un nuevo nivel de seguridad para el acceso remoto. Y un día antes, el 28 de Mayo, Jennifer Whitlow [vocera de Lockheed Martin] aseveró en un correo electrónico que los datos de clientes, empleados y programas no fueron comprometidos.

Lo que sigue es encontrar el origen del ataque, así como a los responsables, y lo importante es el tiempo que esto pueda llevar antes de que un ataque parecido vuelva a repetirse en alguna otra institución. Ya que se sugiere que hay información que sí ha sido obtenida, sospechando quizás de espionaje militar por parte de China y Rusia, y una de las premisas que sugiere dicha conclusión es que han desarrollado rápidamente aviones o jets militares sigilosos, es decir, no detectables por radares; sugiriendo que hayan tomado modelos en base a información obtenida de los Estados Unidos de América. Lockheed Martin no afirma dicha suposición, pues aceptan que la compañía es un objetivo frecuente de adversarios al rededor del mundo.

Referencias:
The Register
Cringely blog
New York Times
Reuters - 26/05/11
Reuters - 27/05/11 [1]
Reuters - 27/05/11 [2]
Reuters - 28/05/11
Reuters - 29/05/11
Reuters - 30/05/11
UK Reuters
Allthingsd.com [RSA hacked info]
Publicado por n|<n0\\/n en 15:10 0 comentarios Etiquetas: , , , , ,

Saturday, May 28, 2011

Skype de vuelta | Solving an incident



El Jueves 26 de Mayo de este año, Skype ha sufrido una falla en brindar el servicio de comunicación a sus usuarios. La falla provocó que los usuarios no pudieran conectarse a sus cuentas. Pero su equipo de respuesta ante incidentes encontró una solución a dicho problema, publicando los pasos a seguir según el sistema operativo sobre el que se ejecutara la aplicación.

Dicha falla se produjo para una baja cantidad de usuarios, según publicó Peter Parkes [el coordinador del blog]. De igual forma informó que los afectados podían ser usuarios de GNU/Linux, Mac OS o Windows; quedando exentos aquéllos que se conectaran desde otro dispositivo con algún otro sistema operativo.

Básicamente la solución es encontrar un archivo con el nombre shared.xml, y borrarlo. Después, iniciar de nuevo la aplicación, y el archivo se volverá a crear, al parecer con la información correcta para poder establecer la conexión.

De cualquier forma, el Viernes 27 de Mayo, se ha liberado una versión actualizada para Mac OS X, que sustituye el proceso de eliminación del archivo shared.xml, por lo cual, aquéllos usuario que lo eliminaron manualmente ya no requieren de descargar e instalar la versión actualizada. Para los usuarios de Windows, también se ha dado la instrucción o recomendación de descargar la última versión de Skype.

Referencias:
Zdnet UK
Skype blog - Peter Parkes
Skype blog [Windows]- Jennfer Caukin
Skype blog [Mac OS X]- Jennfer Caukin
Zdnet - 26/05/11
Skype blog [Solución manual]
Publicado por n|<n0\\/n en 00:42 0 comentarios Etiquetas: , , ,

Thursday, February 24, 2011

Actualización en contra de XSS | Microsoft update against 0 day and XSS



Microsoft ha publicado 1 de Febrero de 2011 su actualización como cada primer Martes de mes. En esta ocasión dos parches que destacan son sobre el navegador Internet Explorer, y sobre la posibilidad de obtener información a través de MHTML.

Desde el 29 de Noviembre del 2010 existe una vulnerabilidad de tipo 0 day en el navegador Internet Explorer. Dicha vulnerabilidad es explotada a través de CSS, que permite la obtención de información de la víctima. Microsoft ha recomendado que se requiere la instalación y configuración de EMET2.0 Toolkit. Dicha vulnerabilidad fue publicada en el advisory 24488013, y la vulnerabilidad tiene asociado el CVE-2010-3971.

La vulnerabilidad sobre MHTML [Mime HTML] la publicó Microsoft en el advisory 2501698. MHTML permite indicar que el archivo contiene diferentes tipos de recursos externos como imágenes o animaciones y además código html, esto en en el mismo archivo. Dicha vulnerabilidad afecta a cualquier versión de Windows, por lo cual todos los sistemas operativos Windows que no estén actualizados o no cuenten con las medidas necesarias son afectados.

Dicha vulnerabilidad permite a atacantes remotos extraer información de la computadora, incialmente información del navegador como cookies o el historial de páginas visitadas. Se ha calificado como un ataque parecido a un XSS [Cross Site Scripting]. De igual forma, puede convencer al usuario de instalar código malicioso.

Cabe destacar que para poder perpetuarse dicho ataque, de alguna u otra forma el atacante debe de persuadir a su víctima para que dé click sobre un enlace que envíe a un sitio con el código a ejecutarse.

Microsoft como primera forma de evitar ser víctima de dicho ataque, ha indicado dos principales formas de mitigar el ataque:

1. De forma predeterminada Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2, tienen habilitada una navegación de modo seguro por lo cual no permitiría a los usuarios acceder a dichas páginas.2. Las versiones de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo con código HTML en la sona de sitios restringidos, desactivando scripts y controles ActiveX.

A pesar de ello, las víctimas se ven expuestas en el escenario de un ataque basado en la Web, ya que el atacante puede convencer a la víctima de acceder al sitio que contiene el código MHTML a través del navegador. A esto, las medidas que se debían de tomar eran las de proteger la PC y el navegador Internet Explorer, a través del firewall, actualizaciones de software, instalación de antivirus, y colocar la configuración de seguridad de navegación en el nivel más alto, teniendo acceso sólo a los sitios en los que se confía. Esta segunda vulnerabilidad fue asociada al CVE-2011-0096.

Es una actualización necesaria en todos los sistemas operativos Windows para evitar cualquiera de estos dos tipos de ataques, y no se debe de pasar por alto pues nunca se es completamente seguro de que se accesa a sitios seguros, con técnicas de ataque como el phishing, pharming, y los ahora ya tan comunes scams.

Referencias:
Qualys - Advisory
Qualys - IE 0 day
Technet blog
Advisory 2501696
Advisroy 2501696 specifications
Advisory 2488013
SearcSecurity
Publicado por n|<n0\\/n en 01:25 0 comentarios

Thursday, February 3, 2011

Algo más que spams en Facebook | Spam calling Malware



Una forma nueva de aplicar Ingeniería Social ha aparecido en las redes sociales. En donde todo comienza por un spam y termina en la ejecución de código malicioso almacenado en un servidor al cual el usuario desconoce estar conectándose.

Los spammers han decidido tomar ventaja de la forma en la que los usuarios de Facebook seleccionan a sus amigos. Esto cuando algunos usuarios aceptan de forma indiscriminada a contactos que no conocen, o aceptando contactos que son conocidos por amigos a los que previamente han añadido a su cuenta de Facebook.

Es sabido que obtener una cuenta de correo no es tan complicado hoy en día, y no es necesario proveer datos reales para obtenerlo, y que a través de esas cuentas uno se puede registrar en la mayoría de las redes sociales, sino es que en todas. Esto es lo primero que aprovechan los atacantes y spammers. Además de ello, realizar búsqueda de imágenes en Internet es muy sencillo, y al descargarlas hay varios sitios web que nos ofrecen el almacén de imágenes, y en general cualquier tipo de archivos.

Los atacantes lo primero que hacen es crear una cuenta en Facebook con una cuenta de correo creada con datos falsos, la imagen que ponen en su perfil suele ser de una adolescente o joven atractiva, que pudo haber sido descargada de Internet. Después de ello, localizan a aquellos usuarios que suelen aceptar amigos sólo por popularidad o por incrementar el número de amigos que tienen. Las personas más populares suelen tener más de 2.5 mil amigos. Contacta a las personas que son más populares, y al ser aceptados como amigos los marca [tag] en la imagen de su perfil, de tal forma que las víctimas visitan su perfil al ver que en sus actualizaciones han sido marcados [tagged] en una imagen. Pero además de ello incluye una dirección URL en la cual pueden ver el perfil del atacante oculto, persuadiendo a las víctimas. Lo que la víctima no sabe es que dicha URL puede estar oculta, de tal forma que al dar click sobre ella es redireccionada a otro servidor en el cual se almacena código malicioso que será descargado por la víctima. Pero como lo común es que los usuarios den click sobre la foto, los marca directamente sobre la foto para convencerlos de visitar el sitio que dice ser su perfil. Imagen tomadas de www.zdnet.com


Para evitar ser víctima de estos ataques, es importante evitar aceptar como amigos a personas que son desconocidas, así como evitar dar click sobre URL's de personas que no son conocidas, y que aparentemente serán conocidas a través de Facebook [Recordemos que las redes sociales, en especial Fabceook, su principal objetivo es mantener conectadas a las personas que se conocen pero que por una u otra razón no tiene contacto directo]. El código malicioso que se llegue a descargar puede robar información personal de la víctima o inclusive hacerlo miembro de alguna botnet.

Referencias:
Zdnet
Publicado por n|<n0\\/n en 16:08 0 comentarios Etiquetas: , , ,

Friday, January 28, 2011

5 miembros de Anonymous capturados | Anons get caught



La policía de Lóndres a detenido a 5 presuntos atacantes miembros de Anonymous en sus respectivas casas. Dos son menores de edad [15 y 16 años] y tres jóvenes de 19, 20 y 26 años de edad, y fueron aprehendidos a las 7 A.M. La policía metropolitana, ha informado en un boletín que son parte de la investigación que se comenzó a realizar a finales del año pasado con respecto al grupo Anonymous, perseguidos por actos criminales por sus ataques DDoS en contra de varias empresas. Tambien han mencionado que la investigación está siendo llevada en conjunto con agencias internacionales en Europa y Estados Unidos.

Los detenidos están siendo investigados para ver su relación con el grupo de hacktivistas Anonymous, que han estado realizando ataques Distribuidos de Denegación de Servicio a diferentes sitios que no han apoyado la causa de Wikileaks, entre los más conocidos los sitios de Mastercard y PayPal. A los detenidos se les condenará con una multa de £5mil y 10 años de prisión en caso de ser declarados culpables por actos de violación estipulados en el Acta 1990 de Mal uso de computadoras [Computer Misuse Act 1990].

Anonymous tras recibir la noticia, no se ha quedado atrás y ha liberado un comunicado dirigido al gobierno de Reino Unido. En él declaran el apoyo que brindará toda la comunidad a los 5 arrestados, y que es como declararle la guerra a Anonymous, una ideología. También plantean el mal uso del término hacking y DDoS con respecto a las actividades que han realizado, pues ellos no han realizado hackeo a los servidores de las empresas atacadas.

Los ataques que han realizado son como una protesta más, en donde la infraestructura de sus oponentes es bloqueada, y en este caso Anonymous no ve la diferencia entre una infraestructura física o en el ciberespacio. Declaran que la condena a la que los arrestados serán sometidos no es justa, ya que los ataques DDoS no dejan secuelas en la infraestructura de las empresas.

"The Jester" aceptó haber realizado ataques del mismo tipo en contra de Wikileaks, pero nadie a mencionado realizar una investigación en contra de él, o las personas que han realizado dichos ataques en contra de Wikileaks. Exigen justicia, pues mencionan que el arresto de los 5 anons es más por cuestiones políticas que de justicia.

De igual forma, Anonymous se ha sumado a la protesta en Egipto y Tunisia por el bloqueo a ciertos sitios sociales de Internet, atacando varios sitios gubernamentales de dichos lugares.

Referencias:
Guardian
Metropolitan Police of UK
BBC
SCMagazine
Anonymous Press Release
Publicado por n|<n0\\/n en 00:58 0 comentarios Etiquetas: , , , , ,

Spam a la baja | Decreasing spam



El reporte de inteligencia de Symantec de amenazas que fue liberado el Martes 25 de Enero del 2011 ha arrojado una reducción del 3.1% del spam detectado de Diciembre a Enero 2011, porcentaje que no había reducido desde Marzo del 2009. A la fecha se considera que del total de tráfico de correo el 78.6% es spam comparado con el porcentaje anterior que era de 83.9%.

También reportan que las botnets Xarvester, Rustock y Lethic dejaron de realizar spam en Diciembre, lo cuál ha sido un factor importante ya que la botnet Rustock sola generaba cerca de la mitad del spam que estaba en circulación.

Spamit estableció una nueva política en su programa farmaceútico, de tal forma que los anuncios de medicinas y drogas a través del correo se han visto reducidos.

Estos datos aparentemente son positivos, pero se espera que el aumento de spam se dé durante los próximos meses, una vez que las empresas que no tienen el servicio de envío de Spamming consigan quién les ofrezca dicho servicio para poner de nuevo en circulación toda clase de spam en los correos.

Referencias:
InformationWeek
Publicado por n|<n0\\/n en 00:56 0 comentarios Etiquetas: , ,

Thursday, January 27, 2011

Mark Zuckerberg:"Let the hacking begin"|Zuckerberg Pwned?



El 25 de Enero del 2011, en la página personal de Mark Zuckerberg, creador de Facebook, apareció un mensaje en su "Muro" [mejor conocido como "Wall"] que decía:

"Permitamos que el hacking comience: Si facebook necesita dinero, en vez de ir a los bancos, ¿por qué no Facebook permite a sus usuarios invertir en Facebook de una manera social? Por qué no transformar Facebook en un "negocio social" como Muhammad Yunus ganador del Premio Nobel lo describió? http://bit.ly/fs6rT3 ¿Ustedes que piensan? #hackercup2011"


Su mensaje se mostraba un tanto torpe, pero a pesar de ello 1,803 personas lograron marcar el comentario como que les gustaba, y recibió cerca de 500 comentarios.Aparentemente no lo escribió Zuckerberg, ya que no hubo un anuncio con respecto a lo sucedido. Aunado a ello, la página personal de Mark Zuckerberg fue cerrada durante un día aproximadamente, de tal forma que más personas no podrían ver lo que se encontraba en su "Wall".De cualquier forma, no se ha confirmado que la cuenta de Zuckerberg haya sido hackeada. Los dos indicativos de que pudo haber sido un hackerson la alusión que se hace a #hackercup2011 [concurso de hackers realizado por Facebook cada año] y que el mensaje escrito no era muy claro y presentaba errores ortográficos ["price" cuando debía ser "prize"]Además de ello, la página fue retirada.


Las fuentes disponibles en la red, no se atreven a confirmar un ataque, pero tampoco descartan la posibilidad de que haya sido Zuckerberg quien haya realizado dicha publicación. La noticia inicialmente parece hber surgido en TechCrunch el 25 de Enero del 2011 cerca de las 5 de la madrugada, y las diversas fuentes apuntan y declaran sobre dicha publicación. Lo que es un hecho, es que la página estuvo fuera de línea, y quizás Facebook dará respuestas a lo ocurrido en un momento dado. Actualmente la página de Zuckerberg no muestra el mensaje con respecto a al "Social Business".

Referencias:
TechCrunch
Technolog
Zdnet
Publicado por n|<n0\\/n en 05:05 0 comentarios Etiquetas: , , , ,

Jailbreakers establecen contacto con Microsoft | No courts



Microsoft ha establecido una discusión con los jailbreakers del Windows Phone 7, que crearon una aplicación llamada ChevronWP7 que lograba desbloquear los dispositivos Windows Phone 7 para poder hacer uso de aplicaciones específicas para la plataforma [homebrew] de terceros, es decir, daba la capacidad de instalar programas que originalmente no se podrían instalar.

En el mes de Noviembre del 2010 dicha aplicación fue liberado por lo jailbreakers, que aprovecha una vulnerabilidad que permite registrarse como desarrollador autorizado para la plataforma del dispositivo, siendo que esos registros sólo son escritos por Microsoft, y cuyo costo es de USD$99 al año por ser avalado para poder publicar aplicaciones para Windows Phone 7.

Microsoft ha anunciado que publicará una actualización para evitar que se siga abusando de la vulnerabilidad, por lo cual la aplicación desarrollada por el equipo ChevronWP7 ya no será útil, pero a la vez ha expresado su interés por seguir con el desarrollo y soporte de las aplicaciones homebrew [específicas para el dispositivo].

La noticia fue confirmado por los miembros del equipoco ChevronWP7 al publicar en su blog una ligera idea de lo ocurrido en las reuniones establecidas con Microsoft, pues de forma voluntaria acordaron un acuerdo de no divulgación [Non-Disclosure Agreement - NDA], afirman. Además de mencionar que estarán trabajando con Microsoft para que las aplicaciones homebrew puedan ser soportadas por el dispositivo después de la actualización que removerá el bug.

Microsoft ha decidido establecer una relación distinta con los jailbreakers a diferencia de algunas otras empresas. George Hotz, el hacker que realizó el jailbreak al iPhone de Apple y al Playstation 3 de Sony, comentó en su sitio que quizás es una forma más apropiada de lidiar con los jailbreakers. Pues Apple y Sony están dispuestos a pasar tiempo en las cortes culpando a los jailbreakers por realizar uso inapropiados de sus productos.

La noticia no quedó ahí, ya que en su blog publicó en forma de broma que compraría un Windows Phone 7 y comenzaría a ver que puede hacer para llamar la atención de Microsoft. Y con esa publicación, logró captar la atención, ya que el Director de Experiencia de Desarrolladores para el Windows Phone, Brandon Watson, a través de Twitter.com ha intentado contactarle ofreciéndole un Windows Phone para que comience a desarrollar en conjunto con ellos.


Referencias:
Winrumors
ChevronWP7
Wired
Winrumors Brandon Watson
Publicado por n|<n0\\/n en 03:52 0 comentarios Etiquetas: , , , , ,

Tuesday, January 25, 2011

Nuevo Director Global de Seguridad en Apple | Rumor: Apple hires a Military Grade Chief



Recientemente ha surgido la noticia de que Apple ha contratado a un experto en seguridad informática graduado de la Academia Naval de los Estados Unidos [US Naval Academy] con maestría en Ingeniería en Sistemas y Guerra de la Información [Information Warfare and System Engineering] de la Escuela de Naval de Posgrados, y que ha sido analista de vulnerabilidades globales en redes de la Agencia Nacional de Seguridad [National Security Agency - NSA], y Oficial de la Armada Especial Criptológica de la Marina de Guerra; su nombre es David Rice.

Con tanto renombre, Apple ha decidido no realizar comentarios respecto a la contratación. De igual forma, Rice no ha comentado al respecto de su contratación. Además de los puestos que ha ocupado Rice, ha publicado en el año 2007 el libro llamado "Geekonomics", libro que habla acerca del impacto económico de la inseguridad en el software.

No sería sorpresa que la noticia fuese cierta, pues en el 2010 Apple contrato a la Jefa de Seguridad de Mozilla (Window Snyder) como su Administradora de Productos de Seguridad, y en el 2009 contrató al pionero del proyecto One Laptop Per Child (Ivan Krstić) para trabajar en el núcleo de seguridad de Mac OS X. Y a su grupo de trabajo también se unió el pionero de cifrado de software PGP (Jon Callas).

Hay mucho que esperar de la nueva familia de productos de Apple, ya que con la nueva oleada de ataques que están por venir a productos muy comercializados y de uso general, como son el iPhone y el iPad, Apple necesitará reforzar la seguridad de sus sistema operativo, así como asegurar la información de sus clientes de la mejor manera.

La noticia no ha sido confirmada pero se ha esparcido por la factibilidad de ser cierta. Sólo habrá que esperar que dicen Apple y David Rice en los próximos meses, ya que se rumora que comenzaría a trabajar para Apple en el mes de Marzo. Apple siempre buscando innovar, ahora con un nuevo miembro en su equipo de trabajo de seguridad.

A pesar de que no se ha confirmado algo hasta el momento, de ser cierto, beneficiaría a Apple y a la gama de productos que ofrece, ya que la popularidad de sus dispositivos va en escalada, y cada vez más gente comienza a creer de nuevo en Apple por la calidad de sus productos. A la vez, sería un nuevo gran reto para todos aquellos hacker que gozan de dispositivos aparentemente tienen una seguridad infranqueable.

Referencias:
AllThingsD
The Inquirer
Publicado por n|<n0\\/n en 08:19 0 comentarios Etiquetas: , , ,

Hacking targets: Apple & Android | Future attacks


La popularidad de los dispositivos móbiles con capacidad de conectarse a Internet e instalación de aplicaciones de diferentes usos, provoca que los atacantes cambien sus formas de ganar acceso a la información.

La seguridad que se está implementando en los dispositivos de escritorio ha ido aumentando, con diversas aplicaciones y herramientas, además del incremento de la capacidad de procesamiento y almacenamiento en dichos dispositivos.

Las aplicaciones que están en línea no son del todo confiables, ya que un atacante puede publicar una aplicación que contenga código malicioso como un troyano o un spyware, incluso subir rogueware que el usuario cree inofensivo y adecuado para ayudar a sus tareas cotidianas. La penetración a los dispositivos por parte del malware también tiene com aliado al "jailbreak" que muchos usuarios hacen a sus dispositivos con el fin de utilizar aplicaciones que no están a la venta en los sitios autorizados, y así incrementar las opciones de descargas para sus equipos.

En cuanto a Android, al ser una arquitectura abierta lo convierte en un software más llamativo para los atacantes, ya que pueden encontrar vulnerabilidades directamente en el código y hacer uso de ellas, tal como pueden ser los "0 days", que en el momento no tienen un parche o una solución y son desconocidos por muchos usuarios, incluso por las empresas.

Henry Stern, investigador de seguridad de Cisco, comenta que dada la capacidad que se les está brindando a los dispositivos móviles, pronto serán como una PC, ya que la cantidad de software disponible aumenta conforme pasa el tiempo, pero a la vez esto provoca que existan más hoyos de seguridad en los dispositivos, obligando a que se tome en cuenta el asegurar los equipos con urgencia.

Algunas han tomado medidas al respecto, generalmenta para los dispositivos que se les asignan a los usuarios, algunas asignan personal para administrar el servidor empresarial de BlackBerry [BlackBerry Enterprise Sever - BES]. El otro mecanismo que las empresas han tenido que configurar e implementar es el de prevención de pérdida/fuga de datos [Data Loss/Leak Prevention - DLP], para el monitoreo del uso de datos de los usuarios que poseen los dispositivos móviles. Pero hay que tomar en cuenta que esto no aniquila el problema en su totalidad, ya que el usuario es libre de adquirir otro dispositivo móvil para uso personal, el cuál no será regulado por estos mecanismos.

Lo que convierte a estos dispositivos en presas fáciles es la euforia que ha surgido por las aplicaciones y la adquisición de dichos equipos con tantas capacidades, esto ha provocado que los errores en las aplicaciones sean muy parecidos a los primeros fallos que tuvieron los pioneros en la programación de la web, esto se comentó en la SecTor2010 por investigadores de seguridad, y dichas fallas van desde la fuga de información hasta la escalada de privilegios en los equipos.

Tanto Google con Android, como Apple con iOS, deberán poner atención a la seguridad que ofrecen en sus respectivos sistemas operativos, y tomar en cuenta que la competencia que tienen ambos también implica que el usuario pueda confiar en su producto.

Referencias:
SearchSecurity Mobile Devices
SearchSecurity SecTor2010
CISCO annual report 2010
Publicado por n|<n0\\/n en 02:22 0 comentarios Etiquetas: , , , , , , ,
Subscribe to: Posts (Atom)