¿Es FIDO el instrumento futuro para probar nuestra identidad?

¿Es FIDO el instrumento futuro para probar nuestra identidad?

¿Es FIDO el instrumento futuro para probar nuestra identidad?

Publicado: 17 de octubre de 2018 por 

FIDO, abreviatura de Fast IDentity Online, es un consorcio de la industria iniciado en 2013 para abordar la falta de interoperabilidad entre los dispositivos de autenticación fuerte y los problemas que enfrentan los usuarios al crear y recordar múltiples nombres de usuario y contraseñas. Entre los fundadores se encontraban aquellos que trabajan en el sector financiero, fabricantes de dispositivos y proveedores de soluciones de autenticación.

¿Qué es FIDO?

De acuerdo con el  sitio web de FIDO Alliance , FIDO es un conjunto de estándares abiertos y escalables que permiten experiencias de autenticación de usuarios más simples y seguras en muchos sitios web y servicios móviles.

FIDO se propuso hacer que los dispositivos de autenticación sean más fáciles de usar y corregir los conflictos entre dispositivos de diferentes proveedores. Su objetivo es proporcionar un conjunto de especificaciones para toda la gama de técnicas de autenticación. Estas especificaciones deben proporcionar un estándar para toda la industria, lo que conduce a una mejor compatibilidad y una mayor facilidad de uso.

Iniciar sesión

Actualmente, hay una variedad de opciones para que los usuarios inicien sesión en sus servicios y dispositivos. Hemos discutido los conceptos básicos de la autenticación de dos factores (2FA) en el pasado, y casi todos están de acuerdo en que no es práctico recordar 27 o más contraseñas  y nombres de usuario para cuentas individuales, ni tampoco es seguro reutilizar las contraseñas a través de varias cuentas. Entonces, ¿cuáles son nuestras opciones para iniciar sesión?

Los más comunes se dividen en estas categorías:

  • La combinación clásica de nombre de usuario y contraseña.
  • Conocer un código PIN o TAN (retiros en cajeros automáticos, transferencias de dinero)
  • Tener acceso a una cuenta de correo electrónico (cuando los códigos de verificación se envían por correo) o dispositivo móvil (códigos de texto)
  • Preguntas secretas (a menudo mal vistas, ya que a veces son fáciles de adivinar o de obtener mediante phishing)
  • Llaves físicas (lectores de tarjetas, llaves USB)
  • Biometría (lectores de huellas digitales, escáneres de iris, reconocimiento de voz)
  • Dispositivos móviles que pueden escanear códigos de barras o códigos QR y calcular un código de inicio de sesión para un solo uso (Authy, Google Authenticator)
  • Ya inicié sesión en una cuenta verificada (por ejemplo, inicio de sesión de Facebook)

Problemas y soluciones

A medida que FIDO busca estandarizar los protocolos de autenticación para la amplia gama de opciones de inicio de sesión enumeradas anteriormente, deben identificar las técnicas que son problemáticas desde el punto de vista de la seguridad y buscar soluciones.

Uno de los problemas con muchas de las opciones de inicio de sesión es el uso de secretos compartidos, lo que significa que tanto el usuario como el software que comprueba el inicio de sesión deben conocer las respuestas correctas. Es posible que pueda guardar un secreto, pero se podría engañar a su software para que entregue toda su información a los atacantes. En forma regular, logran violar la seguridad de los sitios o servicios y obtener una multitud de credenciales de inicio de sesión.

Una solución para este problema es usar criptografía asimétrica. Básicamente, un usuario crea dos claves diferentes, una privada y una pública. Cuando un usuario prueba que tiene la clave privada respondiendo a un desafío, el servicio o el sitio web pueden verificar la respuesta que el usuario proporcionó al desafío mediante el uso de la clave pública, que el usuario proporcionó al sitio web o al servicio cuando se registró. . Como un apretón de manos, el servidor le hace al usuario una pregunta basada en la clave pública que solo el titular de la clave privada puede responder. Pero la respuesta no da la clave privada real.

El desafío se crea especialmente para ese intento de inicio de sesión, por lo que la respuesta no se puede utilizar para otro inicio de sesión con el mismo servicio o un servicio diferente. De esta manera, el usuario es el único que puede responder al desafío y el único que tiene acceso a ambas claves.

Ventajas y desventajas

Las ventajas de usar criptografía asimétrica son claras:

  • Es fácil de usar sin tener que recordar una contraseña.
  • El cifrado asimétrico fuerte no puede ser forzado brutalmente, a diferencia de las contraseñas débiles.
  • La misma combinación de teclas puede usarse para múltiples inicios de sesión (no debe confundirse con la pregunta de desafío, que se genera de forma única para cada intento de inicio de sesión).
  • Es imposible robar de sitios web y servicios, incluso usando  ataques Man-in-the-Middle , porque la clave privada nunca se envía a través de Internet.

Un importante contratiempo podría ser si el usuario alguna vez le diera su clave privada a un tercero, por ejemplo, porque la perdió o porque fue víctima de un ataque de phishing que solicitó directamente la clave privada. En tal caso, el uso de este método en una multitud de sitios y servicios significa que el usuario tiene una gran cantidad de problemas: cada servicio con el que inició sesión usando este combo podría verse comprometido.

¿Qué tiene que ver FIDO con esto?

La Alianza FIDO aloja el estándar de autenticación abierta FIDO2 , que permite una autenticación sólida y sin contraseña basada en criptografía de clave pública utilizando dispositivos de hardware como claves de seguridad, teléfonos móviles y otros dispositivos integrados. Lo hace utilizando tanto la especificación de autenticación web W3C (API WebAuthn) como el protocolo de autenticación de cliente (CTAP), un protocolo utilizado para la comunicación entre un cliente (el navegador) o una plataforma (el sistema operativo) y un autenticador externo, es decir , la clave de seguridad del hardware.

Con estas capacidades, la clave de seguridad del hardware puede reemplazar las credenciales débiles y estáticas del nombre de usuario y la contraseña con credenciales sólidas de clave pública / privada respaldadas por hardware.

Debido a que FIDO2 es un estándar abierto, el dispositivo de seguridad puede diseñarse para el hardware existente, como teléfonos o computadoras, y para muchas modalidades de autenticación. Además, se puede usar para diferentes métodos de comunicación, como USB, Bluetooth y Near Field Communication (NFC), lo que permite que la autenticación sin contacto se realice de forma segura desde muchos sistemas y dispositivos.

FIDO2 se puede mejorar aún más para las organizaciones que requieren un mayor nivel de seguridad, ya que admite el uso de un dispositivo de autenticación de hardware con un PIN, biométrico o gesto para obtener protección adicional.

Demostrando tu identidad en el futuro.

Donde FIDO ha permitido a la industria dar pasos hacia un método más seguro de autenticación en línea, aún está lejos de ser el estándar que se propone ser. El uso actual de FIDO se limita a aplicaciones y organizaciones de alto nivel.

Y a pesar de que los navegadores y sistemas operativos han comenzado a desarrollar soporte integrado para FIDO2, aún no están listos para el mercado. Además, una nueva certificación de Universal Server para servidores que opera con todos los tipos de autenticadores FIDO (FIDO UAF, FIDO U2F, WebAuthn y CTAP) está en camino. E incluso cuando esas etapas estén completas, los sitios web y los servicios que requieren un método de autenticación seguro probablemente necesiten algo de convicción para comenzar a usar este nuevo formato. Y, finalmente, solo una vez que los primeros adoptantes se hayan adaptado a la tecnología y cantado sus elogios, el uso más general seguirá su ejemplo.

Alternativas

El uso de claves asimétricas es el método más lógico y seguro para probar su identidad en este momento, pero muy bien podría ser reemplazado por una tecnología de cadena de bloques . Dada la tasa de desarrollo de la tecnología blockchain, especialmente en comparación con los avances relativamente lentos realizados en FIDO, este es un escenario probable. Y no ayuda que los estándares de la competencia se creen como el PCI-DSS, en lugar de agrupar los esfuerzos para crear un estándar que abarque todo.

El único estándar para gobernarlos a todos será probablemente el que tenga la mayor aplicabilidad. Ser capaz de iniciar sesión en cualquier lugar sin la molestia de las contraseñas casi parece demasiado bueno para ser cierto, pero las respuestas están ahí fuera. Con suerte, con la aplicación del mejor estándar, veremos un futuro con menos brechas y más tranquilidad.

Operaciones de información en Twitter: nuevos datos publicados sobre manipulación de elecciones

Operaciones de información en Twitter: nuevos datos publicados sobre manipulación de elecciones

Operaciones de información en Twitter: nuevos datos publicados sobre manipulación de elecciones

Publicado: 18 de octubre de 2018 por 
Última actualización: 17 de octubre de 2018

En abril, hablamos sobre la gran cantidad de opciones disponibles para los piratas informáticos rusos y otros que lanzan campañas de ingeniería social, ya sea en redes sociales o mediante ataques inteligentes lanzados a través de amenazas persistentes avanzadas . Parte de esa información fue publicada por Twitter en ese momento en relación con la manipulación / interferencia de las elecciones por parte de las llamadas “granjas de trolls rusos”, en concreto, la IRA (Agencia de Investigación de Internet).

Algunas de las cifras involucradas ya eran impresionantes: 3.841 cuentas estaban vinculadas al IRA y se enviaron alrededor de 1,6 millones de notificaciones a las personas que habían interactuado con estas cuentas de alguna manera. A finales de 2018, Twitter ha publicado aún más datos relacionados con esta campaña en particular.

Por ejemplo, ahora hay 770 cuentas adicionales (potencialmente de Irán) para sentarse junto a las 3,841 originales de Rusia. Eso incluye “10 millones de Tweets y 2 millones de imágenes, GIF, videos y transmisiones de periscopio”. Algunas de las cuentas más antiguas se remontan a 2009.

Todo esto se ha colocado en un portal de “Elecciones Integridad” por Twitter para que los investigadores lo investiguen más a fondo. Eso es 1.24GB de información de Tweet y 296GB de datos de medios en 302 archivos para el IRA, y 168MB de información de Tweet y 65.7GB de medios en 52 archivos para lo que se conoce   como “Irán”.

DFRLab es una de las organizaciones a las que se les ha dado acceso a los datos conanticipación, y la historia se ha roto recientemente en otros lugares, así que espere muchas actualizaciones y desarrollos en los próximos días. Como lo expresa Ben Nimmo:

Eran sobre el gobierno local primero 

– tenía múltiples objetivos 

– Comunidades activistas específicas dirigidas 

Apolítico 

– oportunista 

– evolucionó 

– no siempre de alto impacto

La línea de tiempo de los Tweets es fascinante, al igual que los hábitos de publicación de los grupos rusos e iraníes . Por ejemplo, algunas cuentas individuales desarrollaron una ” personalidad ” , mientras que otras solo intentaron crear historias falsas . Ese hilo va a crecer y crecer, por lo que es posible que desee marcarlo como referencia para facilitar su consulta.

Mientras tanto, DFRLab publicará más detalladamente una serie de blogs de Medium sobre sus hallazgos. El primero ya está disponible , y cubre siete conclusiones clave de la investigación realizada hasta el momento.

Cualquier duda que pueda tener sobre la probabilidad de que se realicen campañas de trolls profesionales a gran escala a largo plazo debería haber sido eliminada. No hay duda: esta es realmente una “ operación de influencia de pleno derecho ”, y plantea muchas preguntas sobre lo que se pone en la esfera social, y (lo que es más importante) qué hacemos con él una vez visto junto con una respuesta de la plataforma en sí.

Ya hemos visto cómo se utilizaron los anuncios rusos de Facebook para tratar de dividir la opinión en el período previo a las elecciones de 2016 en EE. UU., Y está claro que no se escatimaron gastos ni se ignoró ninguna plataforma importante en la búsqueda del público en general. Todos deben intensificar su juego, desde las personas que, sin saberlo, vuelven a publicar las operaciones de ingeniería social aprobadas por el estado a las plataformas que utilizamos a diario y que tienen la capacidad de hacer algo al respecto.

Cómo construir tu propia cámara de seguridad activada por movimiento

Cómo construir tu propia cámara de seguridad activada por movimiento

Cómo construir tu propia cámara de seguridad activada por movimiento

Publicado: 16 de octubre de 2018 por 
Última actualización: 15 de octubre de 2018

Fabricantes de atencion! ¿Está buscando un proyecto desafiante que no solo haga afilar sus engranajes sino que lo ayude a mantenerse seguro mientras viaja? Bienvenido al tutorial de construir tu propia cámara de seguridad.

El ímpetu para este proyecto se originó en los eventos que tuvieron lugar en el Defcon 26 , donde el personal de seguridad del hotel inspeccionó las salas de los asistentes sin identificarse adecuadamente.

Brecha excesiva. Violación de sus derechos. Violación de su privacidad. Estos son siempre buenos motivadores. Toda la historia está bien cubierta aquí .

Por lo tanto, nuestro objetivo es construir una cámara de seguridad activada por movimiento que podamos usar para monitorear nuestras propias habitaciones de hotel, hogares u otros lugares. Vamos a empezar.

Escogiendo el hardware

Si bien existe un hardware ya hecho que satisfaría mis necesidades, como demostró una búsqueda rápida en la web, necesitaría evaluar la postura de seguridad de cada uno de estos productos. Mientras que yo mismo puedo construir una seguridad satisfactoria en el hardware.

Una selección de cámaras espías portátiles disponibles en el mercado.

La construcción de un dispositivo de este tipo debería ser posible con software de código abierto y componentes comerciales. Esto debería ser fácil, ¿verdad?

Después de una rápida búsqueda en mi compartimiento de piezas de repuesto, encontré un Rasberry Pi de primera generación .

Rasberry Pi Classic

Después de una cuidadosa consideración, elegí que el video capturado y las fotos se guardaran localmente. Este dispositivo se implementará en la red más hostil de la historia, después de todo. Podría conectarlo a la red del hotel, o intentarlo y proporcionarle conectividad celular mediante el uso de algo como un módem celular global nova.

Decidí no hacerlo: mejor empezar poco a poco y limitar el alcance del proyecto. Siempre puedo agregar esta funcionalidad más tarde, y el uso de un módem celular no es una garantía de que el tráfico de la red no se alterará ni interceptará.

Después de algunas investigaciones, confirmé que la última versión de Rasbian (el sistema operativo oficial Rasberry Pi) todavía es compatible con el Rasberry Pi original. La excavación adicional produjo 16 gb y 32 gb de tarjetas SD. Ambos serían adecuados para la tarea. Comencé realizando una instalación nueva del sistema operativo Rasbian para confirmar que todo está bien con este Rasberry Pi. Han pasado algunos años y había olvidado exactamente por qué había sido desuso.

Descargué la última versión de Rasbian aquí .

Software y herramientas

Luego extraje el archivo 2018-06-27-raspbian-stretch.img del archivo raspbian-2018-06-29 / 2018-06-27-raspbian-stretch.zip, y utilicé Etcher  para copiarlo en dicha tarjeta SD.

Etcher es un programa que facilita la escritura de imágenes en tarjetas SD.

Después de insertar la tarjeta SD en el RPI y de conectarle un teclado y un monitor, jugué un rato con ella. Una vez que estuve satisfecho de que, aparte de ser un poco viejo, todo funcionaba, agregué algunos disipadores de calor, ya que es una actualización barata. Preveo el dispositivo funcionando durante varios días seguidos.

Un kit de disipador de calor simple disponible para el Rasberry Pi.

También aproveché la oportunidad para verificar el modelo exacto de Rasberry Pi que tenía. Esto se logró con el comando: cat / proc / device-tree / model

El resultado fue: Rasberry Pi Model b rev. 2

También desenterré una webcam USB barata que ya tenía. El plan era usar eso para reciclar el hardware antiguo y evitar costos adicionales. (Más adelante, por qué esto no fue una buena idea para este proyecto en particular). La cámara web que tenía pateando era un Logitech LZ241DV. Investigué la compatibilidad en https://elinux.org/RPi_USB_Webcams . No mostró mucha promesa.

Una búsqueda rápida de cntrl + F en la página donde se enumeran las cámaras web compatibles con Rasberry Pi y se escribe el modelo de la cámara Logitech. Cero hits.

Elegir un sistema operativo

Durante mi investigación para este proyecto, rápidamente se hizo evidente que el sistema operativo más adecuado para este proyecto no es, de hecho, Rasbian, sino motioneyeOS .

motionEyeOS es, según su wiki de github, una distribución de Linux que convierte una computadora de una sola placa en un sistema de videovigilancia.

MotioneyeOS no solo se adapta específicamente a nuestra tarea, sino que tiene una versión compilada específica de Rasberry Pi. Me descargué las versiones apropiadas para el hardware que tengo en la mano .

Instalé motioneyeOS en una tarjeta SD diferente, conecté la cámara USB, conecté un cable de red y la conecté a una red de prueba que tengo en el laboratorio.

Para conectarse al motioneyeOS Rasberry Pi, puede usar un navegador en cualquier máquina en la misma red y simplemente escribir la dirección IP del motioneyeOS Rasberry Pi en el navegador. Luego, será recibido con una interfaz de administración basada en web.

Diagrama simple que muestra la topología del motioneyeOS Rasberry Pi en relación con la máquina utilizada para configurarlo a través de la interfaz web.

Una vez que se arrancó Rasberry Pi por completo, ejecuté un rápido escaneo de Nmap de la red en una máquina que también reside en la misma red: nmap -sP 192.168.3.0/24

Ejemplo del comando nmap en bash para determinar la dirección IP de motioneyeOS

Es mejor realizar este escaneo de nmap antes y después de encender el Rasberry Pi. La nueva dirección mostrada por nmap será la instancia de motioneyeOS.

NB: ¡Esta dirección IP puede cambiar entre reinicios!

La interfaz basada en web para motioneyeOS, que muestra el video distorsionado de la cámara USB

Si conecta un monitor a la Raspberry Pi con motioneyeOS, también mostrará su IP cuando se le solicite. Como podemos ver, la cámara web USB no quiere reproducir el video correctamente. Investigué en la web durante un tiempo e intenté enrutar la cámara web USB a través de un concentrador con alimentación. (Esta fue una de las posibles soluciones que encontré en línea). Todo fue en vano.

En este punto, de ser exhaustivo, también descargado la Frambuesa Pi 3 imagen para motioneyeOS.

Lo coloqué en una tarjeta micro SD de 32 gb, retiré temporalmente mi proyecto de emulación de juegos retro y probé la cámara web USB en una Raspberry Pi 3 actual y conocida. Lo bueno de esto es que la restauración de ese proyecto solo requerirá el intercambio de mi tarjeta micro SD original.)

Mismos resultados

Así que la cámara web no va a funcionar sin algún problema serio. Después de pensarlo un poco más, elegí comprar la cámara específica de la Raspberry Pi. Si voy a tener que comprar una cámara de algún tipo, lo mejor es hacer una específica para la Rasberry Pi en primer lugar.

Me decidí por la Raspberry Pi Camera Module V2-8 Megapixel, 1080p. Hay versiones con poca luz de estas cámaras, pero quiero una mayor calidad de imagen.

Solución de problemas

Y aquí es donde se ensucia. El módulo que vino en el correo era defectuoso desde el principio o lo descargué con electricidad estática desde el principio.

Pasé horas reinstalando Rasbian en el Rasberry Pi original, desconectando y volviendo a conectar el conector de cinta en ambos extremos. Desconecté el módulo de la cámara de la mini placa hija y lo volví a colocar. Reinstalado motioneyeOS, desconectando y volviendo a conectar la cinta nuevamente. Repitió todo el proceso con Rasberry Pi 3, tanto en Rasbian como en motioneyeOS.

Esto confirmó que el módulo de la cámara estaba muerto al llegar (DOA). Nada de lo que hice dio éxito. Lo mejor que pude lograr fue la confirmación de la línea de comandos de que la cámara estaba presente. La interfaz web de motioneyeOS siempre se quejaba de que la cámara no se podía inicializar.

Decidí pedir un módulo de cámara diferente. Me decidí por el Keyestudio Camera Module 5MP REV 1.3 para Raspberry Pi. Es específico de Rasberry Pi, pero es una marca diferente a mi primer intento.

Esto resolvió todos los problemas, y me encontré con éxito en el primer intento de arranque del clásico Rasberry Pi con MotioneyeOS.

Captura de video exitosa!

Para tener acceso a todas las funciones y configuraciones de motioneyeOS, debe iniciar sesión como “admin”.

El nombre de usuario y la contraseña deben cambiarse a algo que no sea el predeterminado cuando lo implemente en su habitación de hotel.

También deshabilité el servidor FTP, el servidor Samba y el servidor SSH. Quiero reducir la superficie de ataque para este dispositivo tanto como sea posible. Puedo recuperar el material de archivo deseado directamente desde la tarjeta micro SD o volver a habilitar SSH después.

Si DHCP está habilitado y el cable de red está desconectado, la máquina iniciará un bucle mientras intenta renovar una dirección IP.

En la configuración avanzada, también puede habilitar la notificación de movimiento. Aquí es donde usted permitiría que las acciones se llevaran a cabo si se detectara una moción. Aquí también es donde se configuraría el módem celular nova mencionado anteriormente.

El producto final

Así que ahí lo tienen. Después de algunos esfuerzos, tenemos una cámara de seguridad activada por movimiento, construida con componentes comerciales y software de código abierto.

[IMAGEN]

¿Qué lecciones aprendimos?

  • No asuma que el hardware que tiene está funcionando. Se fue en la pila de chatarra por una razón. Por ejemplo, no pude reciclar la cámara web USB.
  • Las tarjetas de memoria micro SD son pequeñas y se extravían fácilmente. (¡Perdí uno durante este experimento!)
  • Las tarjetas SD pueden fallar. Usé el formateador de tarjetas de memoria SD de https://www.sdcard.org para confirmarlo.
  • Incluso el nuevo hardware puede ser defectuoso. Tenía una cámara Rasberry Pi defectuosa. Falló justo fuera de la caja. Esto me obligó a hacer mucho trabajo de detective y probar todo el hardware.
  • Esto terminó siendo un poco más caro que un producto comercial comercial. Sin embargo, fue una gran experiencia de aprendizaje.

¿Qué queda por hacer?

Necesito crear un buen estuche para mi cámara de seguridad Frankenstein, porque la electricidad estática es una preocupación definitiva aquí. La electrónica expuesta no es algo bueno. Además, el personal de seguridad, si realmente visita su habitación, puede estar alarmado al ver una gran cantidad de componentes y cables sobre un escritorio.

Hay varios artículos en la web que describen cómo construir e implementar motioneyeOS en un Rasberry Pi. Siempre encuentro que nunca te dan la historia completa. Los fallos, tanto en las configuraciones de hardware como de software, son una oportunidad para aprender.

El Informe de Tácticas y Técnicas contra el Ciberdelito de Malwarebytes Laboratorios, muestra un cambio hacia los objetivos comerciales en el tercer trimestre

El Informe de Tácticas y Técnicas contra el Ciberdelito de Malwarebytes Labs (CTNT) muestra un cambio hacia los objetivos comerciales en el tercer trimestre

El Informe de Tácticas y Técnicas contra el Ciberdelito de Malwarebytes Labs (CTNT) muestra un cambio hacia los objetivos comerciales en el tercer trimestre

Publicado: 15 de octubre de 2018 por 
Última actualización: 14 de octubre de 2018

Una vez más, es esa época del año: es el momento para el Informe trimestral de técnicas y tácticas de ciberdelito de Malwarebytes Labs . Correa en sus cinturones de seguridad, amigos, porque el tercer trimestre de 2018 fue un viaje bastante salvaje.

Después de los dos primeros trimestres adormecidos, los cibercriminales sacudieron las telarañas y aceleraron sus motores en el tercer trimestre de 2018. Con cryptominers y kits de exploits madurando, ransomware incrementando ataques constantes y sofisticados, y troyanos bancarios experimentando un renacimiento, estamos teniendo un diablo de una temporada. Los vectores de ataque eran los más creativos, y los más difíciles de remediar, especialmente para las empresas.

De hecho, las empresas vieron mucha más acción este trimestre que los consumidores: sus detecciones totales aumentaron un 55 por ciento, mientras que las detecciones de los consumidores aumentaron solo un 4 por ciento trimestre a trimestre. Parece que los actores de amenazas están buscando más por su dinero, y los objetivos de negocios están volviendo más valiosos por sus esfuerzos. Los troyanos bancarios y el ransomware, tradicionalmente dirigidos tanto a empresas como a consumidores, se inclinaron mucho más hacia sus objetivos comerciales en este trimestre. Incluso el malware que generalmente favorece a los consumidores, como cryptominers y adware, parece haberse convertido en una presa más profesional.

Sin embargo, los consumidores no salieron ilesos de la Q3. Vieron una gran cantidad de acciones fraudulentas este trimestre, especialmente la técnica de sexploitation siempre clásica, pero esta vez se produjo un giro: los estafadores utilizaron información de identificación personal (PII) obsoleta que probablemente fue sacada de las violaciones de los antiguos para asustar a los usuarios. Y a pesar de que los malos no eran buenos, nosotros en Malwarebytes tuvimos un día de campo derribando a un grupo de ellos.

Entonces, ¿cómo sacamos nuestras conclusiones para este informe? Como lo hemos hecho en los últimos informes trimestrales, combinamos la información y las estadísticas recopiladas desde julio hasta septiembre de 2018 de nuestros equipos de Inteligencia, Investigación y Ciencia de Datos con telemetría de nuestros productos de consumo y de negocios, que se implementan en millones de máquinas .

Si desea obtener más información sobre los desarrollos clave del delito cibernético del último trimestre, incluidas las amenazas más recientes, los métodos de ataque más recientes, las estafas notables y las predicciones sobre las tendencias de delito cibernético del cuarto trimestre, consulte el Informecompleto de técnicas y tácticas de ciberdelito de Malwarebytes Labs .

Evite estas estafas de la serie de televisión Doctor Who

Evite estas estafas de Doctor Who Series 11

Evite estas estafas de Doctor Who Series 11

Publicado: 8 de octubre de 2018 por 

La nueva temporada de Doctor Who finalmente llegó a las pantallas de televisión de todo el mundo, y hemos empezado a ver los primeros signos de spam y otras tonterías variadas en línea.

Una serie de cuentas de YouTube que afirman ofrecer la nueva serie están haciendo las rondas, todas las cuales generalmente llevan al mismo destino final: un sitio que afirma ofrecer membresía gratuita, pero deja algunas tarifas reales enterradas en los términos y condiciones si Probablemente quiera acceder al contenido prometido.

Si vas en busca de transmisiones de Doctor Who en este momento, es probable que veas un montón de resultados similares a los que aparecen a continuación, publicados desde varias cuentas. Aquí hay algunos episodios publicitarios 1 de la última serie:

Resultados de la búsqueda

Click para agrandar

Aquí hay uno que hace lo mismo, pero con Peter Capaldi en la foto de promoción en su lugar, y puedo dejarlos en libertad, ya que es Peter Capaldi.

más resultados de búsqueda

Click para agrandar

Todos afirman ofrecer la próxima Serie 11 (incluso las que usan imágenes de series anteriores), pero incluso desde el principio, los videos deberían hacerte un poco cauteloso.

Para empezar, no hay clips de vista previa del contenido. En su lugar, los videos aparecen un abrir y cerrar de ojos y te perderás la foto promocional de Doctor Who que se reemplaza de inmediato por el contenido de carga aleatoria.

video spam

Click para agrandar

Que al azar Bueno, es todo, desde lo que suena como la música pop y los videojuegos de mediados del 2000 hasta extraños gráficos giratorios y luces pulsantes. Esencialmente, absolutamente nada que ver con Doctor Who y todo que ver con una hora sólida de cortar y pegar basura en un intento por evadir la detección de derechos de autor de YouTube y / o eliminar la duración del video. Incluso Love & Monsters no se alargó tanto.

mas spam

Click para agrandar

Dependiendo de la cuenta de spam de YouTube desde la que empieces, recibirás un enlace directo a uno de los supuestos portales de contenido de Doctor Who o un enlace de Bit (puntual) para un segundo sitio que dice hacer lo mismo.

A partir de ahí, terminará en uno de una serie de sitios web de identikit, que ofrecen más destellos del nuevo Doctor con un botón de reproducción ahora. Aquí hay uno:

página de destino de spam

Click para agrandar

De donde sea que venga, haga clic en el cuadro “Crear cuenta gratuita” haciendo clic en los botones Continuar. La imagen que se muestra a continuación es del otro sitio, bestv (punto) en línea, en la misma etapa del proceso. También puede ser el mismo sitio web.

registrarse chapoteo

Click para agrandar

Tenga en cuenta que aunque “Crear una cuenta gratuita” es prominente, dice al margen que puede “Probar este servicio gratis”. Mucha gente puede asumir que aquí no hay costo, pero probar un servicio de forma gratuita generalmente implica cobra en la línea, quizás al tener que actualizar una cuenta para poder acceder a cualquier cosa que valga la pena de forma remota.

Hemos visto muchos sitios web que se parecen a nuestro destino final a lo largo de los años; muchos afirman ofrecer libros, juegos, videos y más gratis. Sin embargo, busque los nombres de los sitios en línea, y a menudo encontrará usuarios descontentos que se quejan de que después de unirse, simplemente se les dieron listas de sitios de descarga de terceros para probar, o enlaces a contenido pirateado como este autor afirma en el comentario superior, o (ocasionalmente) ni siquiera eso.

Este, llamado “Basilplay”, sigue un formato de diseño similar para la plantilla, si no otra cosa, con salpicaduras liberales de la palabra “gratis” en todo el lugar. “Juegos, libros, películas y más, gratis e ilimitado”. “Regístrate gratis”. “Crea una cuenta gratuita para acceder a descargas y transmisiones ilimitadas”.

página de destino

Click para agrandar

Todo eso suena muy, bien, gratis. ¿No es así?

Sin embargo, si se comprueban los inevitables T&C, las cosas se vuelven un poco confusas. Afirman que hay una cuenta “estándar” que no cuesta dinero (todavía quieren cierta información de pago al momento de la inscripción) y una cuenta “premium”, que brinda acceso completo al contenido que dicen ofrecer. . No hay nada en el sitio que muestre los detalles de lo que obtienes en comparación con lo que no obtienes por el pago, por lo que efectivamente te estás registrando sin la menor idea de qué hay al otro lado.

condiciones

Click para agrandar

La suscripción de suscripción premium, según los Términos y Condiciones, es de $ 89.95 al mes. No tanto Doctor Who, como Doctor Whoo-boy. Por ese tipo de dinero también me gustaría saber quién dijo “El silencio caerá” en la TARDIS.

más términos

Click para agrandar

Algunas de las páginas de destino parecen estar rotando los sitios, por lo que podría terminar en Basilplay, o podría materializarse en un sitio similar ubicado en otro lugar:

Sitios similares

Click para agrandar

Curiosamente, volvimos a visitar el sitio de Basilplay mientras armábamos este blog, y parece que ha adquirido una regeneración al estilo del Señor del Tiempo:

modernizar

Click para agrandar

No estoy seguro de adónde ha ido Doctor Who serie 11, pero no creo que veamos referencias humorísticas para revertir la polaridad del flujo de neutrones en un sitio de repente todo sobre videojuegos, ¿verdad?

Doctor Who hace tiempo que se ha convertido en una marca global en este momento y, francamente, nunca ha sido tan fácil encontrarla en una gran cantidad de canales legales tradicionales, incluida la compra de DVD, la transmisión por secuencias o simplemente verla en vivo. De hecho, realmente podría meterse en el ritmo de las cosas y del Timeshift , lo que parece muy apropiado.

De cualquier forma que lo haga, no necesita molestarse con los videos spam de YouTube, los portales de clics o las páginas de aterrizaje que ofrecen libros y programas de televisión un día, sino que se centran en los videojuegos al día siguiente.

Ahora que la nueva serie está en funcionamiento, puede esperar muchas más travesuras similares a las anteriores en muchos rincones de Internet. Como siempre, si parece demasiado bueno para ser verdad, hazte un favor y salta de nuevo al TARDIS. Una grieta en el tiempo es lo suficientemente mala, pero una grieta en su saldo bancario es aún peor. 

6 maneras de mantenerse al día con la ciberseguridad sin volverte loco

6 maneras de mantenerse al día con la ciberseguridad sin volverte loco

6 maneras de mantenerse al día con la ciberseguridad sin volverte loco

Publicado: 11 de octubre de 2018 por 
Última actualización: 10 de octubre de 2018

A medida que nos sumergimos de lleno en el Mes Nacional de Concientización sobre  la Seguridad Cibernética , parece adecuado discutir formas de estar al tanto de los avances en la ciberseguridad moderna y la privacidad. ¿Cuál es la mejor manera de estar protegido? ¿Cómo puedes determinar si algo es una estafa? ¿Qué gran compañía ha sido violada ahora?

El tema de la seguridad se encuentra en gran medida en muchas industrias, blogs y canales de noticias, simplemente debido a la situación actual. Parece que todos los días nos enteramos de una nueva brecha importante de datos, que afecta a miles, si no a millones, de personas. Desde minoristas como Target hasta sitios de redes sociales como Facebook hasta agencias de crédito más importantes como Equifax,ninguna es segura.

La naturaleza incontrolada de los ataques, junto con el ciclo de noticias 24/7, hace que sea absolutamente abrumador mantenerse al día con toda la información de ciberseguridad lanzada hacia nosotros. El lanzamiento generalizado de nuevos ataques, violaciones de datos, fallas en los sistemas y uso de malware ha llevado a muchos a una sensación de fatiga por la seguridad . Básicamente, todos estamos en un punto en el que estamos hartos de escucharlo, y francamente estamos decepcionados con muchas compañías e individuos que continuamente no protegen los datos de los que son responsables.

Fatiga o no, no debemos ignorar colectivamente lo que está sucediendo en el mundo de la ciberseguridad en este momento. Todos tenemos el deber de no solo protegernos a nosotros mismos, sino también a nuestras comunidades, países y el mundo manteniéndonos al tanto. Puede contribuir manteniendo su conocimiento actualizado y empleando algunas estrategias simples para capturar la buena información y eliminar la mala.

1. Seguir a los profesionales de la seguridad y personas influyentes.

Vivimos en la era de la información, donde el conocimiento es digital, se registra y transmite para la posteridad, se almacena en servidores gigantes y está disponible a la entrada de un término de búsqueda. Puede adquirir nueva información y ampliar su conocimiento de diversas maneras, de acuerdo con sus métodos preferidos.

Por ejemplo, puede obtener información de fuentes más tradicionales, como  sitios web de noticias y blogs de expertos en seguridad , pero también puede recurrir a las redes sociales, asistir a seminarios web y conferencias, o comunicarse directamente con alguien bien versado en este campo.

Incluso podría plantearlo en el enfriador de agua de la oficina o conversando con los padres en la escuela de su hijo: la ciberseguridad está cubierta tanto en los medios de comunicación ahora que se ha convertido en el forraje de las conversaciones habituales. Muchos discutirán alegremente más que el último incumplimiento, posiblemente elaborando un debate sobre qué solución de seguridad es la mejor o ofreciendo formas en las que puede protegerse de un ataque .

Independientemente de lo que elija, querrá seguir a algunos de los mejores profesionales de seguridad para obtener la mejor orientación. Algunos de mis favoritos incluyen:

2. Navegar por temas de redes sociales relacionados con la seguridad.

La mayoría de las redes sociales son excelentes recursos para desenterrar contenido adicional, como noticias (reales), videos, opiniones y otras publicaciones. Además, son el hogar de un tesoro de información complementaria sobre eventos locales, nacionales y mundiales, oportunidades profesionales, las principales empresas de ciberseguridad y más. Por supuesto, las redes sociales no son el único lugar del que querrá obtener información, pero puede servir como complemento de algunos de los otros canales en esta lista.

Twitter es especialmente útil si sabes qué tendencias y hashtags buscar, así como a quién seguir . Le permite ver discusiones sobre eventos actuales en tiempo real para que pueda estar justo allí, en el momento, cuando las cosas se desarrollan.

Las listas de Twitter también son excelentes para crear un canal de contenido. Puede especificar qué proveedores de seguridad, influenciadores y desarrolladores le gustaría estar en su lista (o listas), y filtrar los Tweets en consecuencia. Las listas tienen el beneficio adicional de eliminar el ruido que no es pertinente para un grupo en particular; puede enfocarse en un solo tema o comunidad.

3. Asistir a eventos en vivo.

Lo creas o no, hay un gran mercado para eventos de ciberseguridad en persona y en vivo. Esto incluye mucho más que conferencias o “contras”. También puede asistir a conferencias, debates, talleres, eventos de redes, cursos educativos o reuniones patrocinadas.

Los eventos basados ​​en la Web presentan otra gran avenida, como los seminarios web y las llamadas de conferencia de la comunidad en línea. Algunos de los mejores oradores de ciberseguridad en vivoasistirán a tales eventos o se les pedirá que participen, y es lógico que pueda aprender mucho de cualquiera de ellos.

Entonces, ¿cómo encontrar tales eventos? Tienes que mantenerte pulsado cuándo, dónde y qué sucede a tu alrededor. Los periódicos locales son excelentes recursos para los listados de eventos. Y, por supuesto, siempre hay Google de confianza. Afortunadamente, algunos de los otros canales mencionados en este artículo también lo ayudarán a mantenerse informado.

4. Revisar las alertas de vulnerabilidad y riesgo.

Uno no puede exagerar la necesidad de permanecer al tanto de las vulnerabilidades de seguridad descubiertas en tecnologías nuevas y antiguas, especialmente para los propietarios de negocios. Los navegadores web, aplicaciones, software, sistemas operativos y una variedad de herramientas personales o profesionales que usa pueden haber sido comprometidos o atacados.

Debe hacer un hábito de verificar las alertas de vulnerabilidad y los sitios de asesoramiento para garantizar la protección de sus datos personales y corporativos. Aquí hay una lista rápida:

Si el control regular de estas fuentes resulta abrumador, otro enfoque sería simplemente mantener sus programas actualizados en todo momento para que no haya ninguna posibilidad de que un ciberdelincuente pueda explotar la vulnerabilidad y acceder a su máquina.

5. Escuchar un podcast

Todos llevamos vidas ocupadas, tal vez no tenga tiempo para leer artículo tras artículo. Pero, ¿qué pasa con el tiempo que pasas conduciendo, caminando o viajando? Los podcasts llenan muy bien este tiempo, ya que puedes escucharlos en movimiento y realizar múltiples tareas mientras lo haces.

Los podcasts se pueden encontrar, y escuchar, a través de una variedad de canales, incluidas aplicaciones multimedia, bibliotecas de música como iTunes o Spotify, Amazon o incluso YouTube.

6. Personaliza tus propias alertas en tiempo real.

Al utilizar una herramienta como IFTTT, que significa Si esto es así, puede configurar alertas personalizadas para todo lo relacionado con la ciberseguridad.

El subreddit r / netsec , por ejemplo, es uno de los foros más populares para noticias e información sobre ciberseguridad. Puede configurar IFTTT para que le envíe notificaciones automáticas o correos electrónicos cuando algo gana popularidad en el subreddit. Los titulares aparecerán en la barra de tareas de su dispositivo móvil, lo que le permitirá evaluar si la historia vale su tiempo o no.

El ejemplo de r / netsec es solo uno de muchos, por supuesto. Puede configurar cualquier sitio de confianza o foro de la comunidad para que le envíe alertas a través de fuentes RSS como mejor le parezca.

Solo sigue consumiendo

Si desea permanecer lo más cerca posible de la seguridad cibernética, siga consumiendo contenido, ya sea leyendo, escuchando, hablando, viendo videos o asistiendo a eventos en vivo. Comprenda que a medida que aprende, la industria continuará evolucionando, por lo que mantenerse al tanto de los desarrollos de ciberseguridad significa adaptarse a un panorama en constante cambio. Lamentablemente, ya no es suficiente echar un vistazo a un artículo y llamarlo un día.

Si bien, comprensiblemente, no tendrá el tiempo ni la inclinación para invertir cada hora de vigilia en sus actividades de ciberseguridad, puede permanecer informado sin perder la cabeza al curar y agilizar la información en línea y recurrir a fuentes en las que confía. Hay muchas maneras de volverte loco. Aprender más sobre la ciberseguridad no debería ser uno de ellos.

Cuando la detección y respuesta de punto final (EDR) no es suficiente

Cuando la detección y respuesta de punto final (EDR) no es suficiente

Cuando la detección y respuesta de punto final (EDR) no es suficiente

Publicado: 9 de octubre de 2018 por 
Última actualización: 8 de octubre de 2018

A medida que los ciberdelincuentes continúan validando la realidad de que ningún control de seguridad basado en la prevención detendrá todas las amenazas cada vez, las compañías se están expandiendo más allá de los enfoques de solo prevención y están cerrando la brecha con las soluciones de detección y respuesta de puntos finales.

Pero al considerar esta estrategia, una pregunta urgente es: ¿Qué tan grande es la brecha? Si la seguridad de la prevención no es 100% efectiva, ¿cuán efectiva es? Una percepción popular de las empresas es que la seguridad de la prevención es aproximadamente un 98 por ciento efectiva, con solo un 2 por ciento de las amenazas que pasan. Sin embargo, la realidad es mucho peor.

Debido a que nuestro producto se utiliza con mayor frecuencia para la reparación de malware en puntos finales de negocios, contamos con una amplia telemetría en esta brecha en la que las tecnologías de protección de puntos finales actuales no logran mantener a las organizaciones seguras. Nuestros datos muestran que el software actual del proveedor de la plataforma de protección de puntos finales es aproximadamente un 40 por ciento efectivo, basado en los puntos finales que usan Malwarebytes para la limpieza. Eso significa que se descubrió que el 60 por ciento de esos puntos finales albergan amenazas ocultas, incluidos troyanos, puertas traseras y rootkits.

Enmarcar el tamaño de la brecha es importante porque ayuda a las organizaciones a priorizar las capacidades que necesitan en su solución de detección y respuesta de puntos finales (EDR), es decir, remediación automática y completa.

Hasta hace poco, las organizaciones han recurrido a EDR para obtener una mayor visibilidad de lo que está sucediendo en los puntos finales. Si bien es útil e importante, la visibilidad no proporciona una solución de éxito para una reparación rápida y efectiva. Los equipos de respuesta a incidentes (IR) aún enfrentan desafíos cuando administran múltiples plataformas, persiguen alertas falsas y manejan manualmente el proceso de remediación.

La falta de visibilidad y la rápida remediación de amenazas conducen a largos tiempos de permanencia de la infección. De hecho, según los equipos de IR entrevistados para la encuesta de respuesta a incidentes SANS 2017, el 28 por ciento informa que el tiempo desde la detección hasta la remediación es de 6 a 24 horas. El panorama es mucho más sombrío en el Informe de Investigaciones de Incumplimiento de Datos de Verizon de 2018 , donde más del 70 por ciento de las organizaciones se vieron conformadas por una brecha en cuestión de minutos, pero el descubrimiento de esa brecha tomó meses  para el 60 por ciento de los encuestados. Un 30 por ciento adicional tardó días en contener una violación después del descubrimiento y un 10 por ciento aún sólido tomó meses adicionales para controlar su brecha.

Además de tiempo de permanencia, la propia reparación manual es, a menudo con un proceso de re-imagen prolongada para los equipos de IR, que consume muchos recursos y mucha pérdida de productividad de los empleados, por no mencionar la tediosa reinstalación de aplicaciones de usuario final y la personalización de configuraciones personales.

Hay una manera mejor

Las rupturas son inevitables, y el verdadero tamaño de la brecha de prevención es mucho más grande de lo que muchos creen. Como tal, las capacidades de remediación son esenciales para las organizaciones de hoy. Para cerrar realmente la brecha y remediar las amenazas ocultas, la parte de “respuesta” de las soluciones EDR debe ir más allá de la alerta para corregir realmente el punto final.

Y eso es lo que pretendemos hacer con Malwarebytes Endpoint Protection and Response. Al utilizar un único agente unificado para brindar protección, detección y respuesta de puntos finales, nuestra solución alivia eficazmente los desafíos de la experiencia y elimina la brecha de resolución. Nuestro producto consta de tres componentes clave:

1. Prevenir

Malwarebytes Endpoint Protection and Response utiliza un enfoque de siete capas, Multi-Vector Protection (MVP), que incluye técnicas de detección tanto estáticas como dinámicas , para buscar una amplia gama de amenazas emitidas a través de diferentes vectores de ataque.

2. Detectar

Nuestra solución proporciona monitoreo y visibilidad de los puntos finales utilizando la detección de anomalías de aprendizaje automático combinada con una puntuación agresiva de detección de anomalías, que se integra con nuestra detonación de la caja de arena en la nube.

3. responder

Malwarebytes va más allá de alertar y, de hecho, soluciona el problema con una remediación completa e incluso un retroceso para las infecciones de ransomware. Nuestra respuesta rápida y efectiva incluye la eliminación completa de infecciones y artefactos, todo con un impacto mínimo para el usuario final.

El resultado son capacidades de protección avanzadas más capacidades de EDR, empaquetadas no solo con visibilidad de las amenazas, sino también con la capacidad de remediar rápidamente esas amenazas y corregir los puntos finales.

Malwarebytes no es como otras compañías de seguridad. Con remediación en nuestro ADN, hacemos todo lo que está a nuestro alcance para detener los ataques antes de que ocurran, pero nunca asumimos que los cibercriminales no encontrarán la manera de hacerlo. Es por eso que nos hemos centrado en ser los mejores en encontrar y eliminar amenazas conocidas y desconocidas.

Obtenga más información sobre cómo remediar amenazas con Malwarebytes Endpoint Protection and Response .

Malware sin archivo: obtener información sobre esta amenaza insidiosa Parte 1

Malware sin archivo: obtener información sobre esta amenaza insidiosa

Malware sin archivo: obtener información sobre esta amenaza insidiosa

Publicado: 29 de agosto de 2018 por 
Última actualización: 5 de octubre de 2018

Tradicionalmente, los ataques de malware, como siempre los hemos conocido, son archivos escritos en disco de una forma u otra que requieren ejecución para llevar a cabo su alcance malicioso. El malware sin archivo, por otra parte, está destinado a ser residente de la memoria, idealmente sin dejar rastro después de su ejecución. La carga maliciosa existe de forma dinámica y pura en la memoria RAM, lo que significa que nunca se escribe nada directamente en el HD.

El objetivo de todo esto para el atacante es hacer difícil la investigación forense posterior a la infección. Además, esta forma de ataque hace que sea casi imposible que las firmas antivirus activen una detección. En algunos casos específicos, al igual que con SamSam , la única forma de recuperar una muestra para analizar sería atrapar el ataque en vivo. Este es uno de los mayores desafíos cuando se trata de malware sin archivos.

Malware sin archivo: la serie

En esta serie de artículos, analizaremos en profundidad los detalles técnicos de todos los tipos de malware sin archivos y sus ataques relacionados. Cubriremos una breve descripción de los problemas y las características generales del malware sin archivos, sentando las bases para el análisis técnico en profundidad específico de varias muestras que emplean métodos sin archivos. Finalmente, terminaremos con algunas condiciones y ataques teóricos sin archivos.

Evolución de los ataques sin archivo.

Antes de continuar, sería beneficioso echar un vistazo a un artículo que escribimos hace un par de años, que cubre los aspectos básicos de los ataques sin archivo.

Ahora, los ataques sin archivos no son necesariamente algo nuevo, ya que vimos el malware residente en la memoria en la naturaleza hace más de 15 años. Un ejemplo es el Lehigh Virus , en el que “llena una parte no utilizada del código del archivo del host en su espacio de pila, sin causar un aumento en el tamaño del host. Puede infectar otro archivo COMMAND.COM si se inserta un disco DOS mientras el virus está en la memoria “.

Sin embargo, a medida que pasa el tiempo, las técnicas y herramientas utilizadas para llevar a cabo estos ataques son cada vez más avanzadas. De hecho, esta evolución es lo que ha hecho que el malware sin archivos reciba mucha atención entre los expertos en seguridad en los últimos años.

La progresión a lo largo de los años ha sido interesante:

  • Como se mencionó con Lehigh, el infector de virus en realidad contenía el código malicioso y la carga útil que se ejecuta en la memoria.
  • Avanzando en el tiempo, un malware como Poweliks  usó una Runkey “NULL” (que hace que el contenido sea invisible) en el registro para ejecutar JavaScript y usó PowerShell para ejecutar un script codificado oculto en otras partes del registro. Esencialmente, la carga útil se almacenó en el registro, recuperando, decodificando y ejecutando solo durante el tiempo de ejecución.
  • Los kits de exploits de hoy en día, como Magnitude EK , pueden transmitir la carga útil y ejecutarse sin dejarla caer en el disco primero.
  • Malware como DNSMessenger  recupera el script malicioso de PowerShell de un servidor C2.
  • SamSam  escribe una carga útil de malware cifrada en el disco, y solo se desencripta cuando el atacante ejecuta manualmente un script que alimenta la contraseña de descifrado.

El problema con el malware sin archivos.

Cuando un equipo de SOC o un ingeniero de seguridad interno supervisa la red de una empresa y recibe una alerta de actividad sospechosa durante la búsqueda de amenazas, solo pueden esperar que exista un malware tradicional basado en archivos. ¿Por qué? Es mucho más fácil para ellos poder rastrear qué daño se ha hecho, así como el alcance del ataque.

Tener rastros de un malware basado en archivos en la red le da al equipo de SOC un punto de partida definitivo para revisar. Estos archivos permiten a los ingenieros rastrear los orígenes del malware y, por lo general, dan una idea clara de cómo se violó la red. Ya sea a través del correo electrónico vinculado a una descarga malintencionada o al compromiso del sitio web, tener el historial de archivos proporciona una línea de tiempo clara que hace que el trabajo sea mucho más fácil. Aún más, tener el binario permite a los equipos de SOC analizar el código y ver exactamente qué sucedió, y qué sistemas y datos fueron seleccionados.

Me gusta hacer la comparación de malware sin archivos con un ataque manual que un pirata informático podría realizar si obtiene acceso directo a una máquina remota. El malware sin archivos es, en muchos sentidos, idéntico al enfoque de piratería manual, pero en lugar de tener que rastrear a la víctima remota, el malware sin archivos se puede ejecutar automáticamente. En muchos casos, el malware sin archivos utiliza exactamente las mismas herramientas que utiliza el pirata informático.

Por ejemplo, un ataque que usa la ejecución del script de PowerShell usa herramientas integradas de Windows para realizar actividades maliciosas. Dado que las herramientas como PowerShell suelen estar en la lista blanca (ya que se utilizan a diario para actividades no maliciosas), tanto los atacantes manuales como el malware sin archivos tienen una herramienta gratuita a su disposición para llevar a cabo el ataque. Esto hace que la actividad maliciosa sea mucho más difícil de rastrear para un equipo SOC. No hay ningún archivo para rastrear la historia de. El ingeniero de seguridad ahora debe mirar otros artefactos y eventos registrados para intentar llegar a una conclusión. Ya sea un ataque sin archivo o una violación manual, deja al ingeniero de seguridad con el mismo problema.

Mitigación

Ahora, hay maneras de ayudar a combatir esto. Sigo llamándolo un problema porque el manejo y la prevención de este tipo de ataques son un proceso continuo. La diferencia entre el uso benigno de PowerShell y el uso malicioso a veces puede ser mínima. Un ojo no entrenado puede mirar la ejecución y la actividad de PowerShell y no darse cuenta de que es malicioso en absoluto.

Alternativamente, ocurre exactamente lo contrario. El observador puede mirar un registro de actividad benigno y pensar que es sospechoso. El hecho de que discernir entre estas dos condiciones sea difícil incluso para los expertos en seguridad es la razón por la cual este problema es increíblemente difícil de resolver con la tecnología moderna. Estos tipos de ataques crean un escenario donde la solución no es una ciencia exacta. Es un problema que está en curso y se siguen realizando avances.

Como mencioné antes, algunos de estos ataques crean un escenario de “vivir fuera de la tierra” en el sentido de que aprovechan las herramientas integradas de Windows. Debido a esto, un método para evitar este ataque sería identificar la amenaza en su punto de entrega, antes de que entre en el sistema.

Déjame elaborar un poco. En el ejemplo de la explotación sin archivos / en el navegador, es importante primero intentar y bloquear el ataque antes de que comience. Es por esto que Malwarebytes desarrolló tecnología como la mitigación de explotaciones en sus programas de software . Supervisar la memoria y examinar la cadena de ejecución es un gran primer paso para poder bloquear genéricamente estos ataques. Nuestra tecnología de mitigación de explotaciones ha demostrado históricamente ser efectiva contra este tipo de ataque. Sin embargo, incluso si el código puede infectar el sistema, una buena solución de protección de punto final puede identificar la actividad anómala, rastrear el código oculto y eliminarlo del sistema, lo que interrumpirá la capacidad del malware para reiniciarse después del reinicio.

Como expliqué, la lucha continúa, por lo que una gran parte de asegurarse de que estas amenazas no puedan causar daño es también responsabilidad del equipo de SOC. La aplicación de parches y la habilitación del registro y el control de acceso son una precaución necesaria. El mantenimiento a veces puede hacer toda la diferencia como la primera y última línea de defensa. Esto también ayudará a acelerar el tiempo de reacción en caso de un compromiso.

Series futuras: tipos sin archivos y semi-sin archivos.

El enfoque del resto de esta serie será cubrir los tipos de malware sin archivos y los ataques de los últimos cinco años. Las técnicas utilizadas en este grupo son las más comunes y proporcionan una mejor preparación y un conocimiento útil al tratar con futuros ataques de malware sin archivos.

Además, veremos no solo el malware sin archivos, sino también algunos ataques sin archivos. Por ejemplo,  Kovter usa caracteres no ASCII para crear claves de registro ilegibles que contienen JavaScript confuso. En este caso, el script malicioso técnicamente existe en el disco como claves de registro, sin embargo, no es un archivo en el disco en el sentido tradicional.

SamSam  es otro tipo de malware que considero casi sin archivos, ya que después de obtener los archivos involucrados en el ataque, todavía no tiene suficiente información para analizar la carga útil. Si bien hay algunos archivos en el disco, como los cargadores y las cargas útiles cifradas, la carga útil es inaccesible a menos que intercepte el script que inició toda la cadena de eventos.

Sintonice la segunda parte de esta serie, en la que cubriremos los detalles técnicos de las diversas tácticas y técnicas utilizadas en los ataques sin archivos de la actualidad a través de algunas demostraciones personalizadas.

LoJack el Malware para ordenadores utilizados para atacar organismos gubernamentales europeos.

LoJack para ordenadores utilizados para atacar organismos gubernamentales europeos.

LoJack para ordenadores utilizados para atacar organismos gubernamentales europeos.

Publicado: 4 de octubre de 2018 por 
Última actualización: 3 de octubre de 2018

Los investigadores de seguridad han detectado la primera instancia conocida de un kit de arranque UEFI que se utiliza en campañas dirigidas contra entidades gubernamentales en Europa Central y Oriental. El ataque se enfoca en computadoras habilitadas para UFEI y se basa en un mecanismo de persistencia que ha sido robado de un software legítimo, pero a menudo cuestionado , llamado Computrace que viene de forma predeterminada en muchos sistemas informáticos.

Este agente Computrace de Absolute Software es un servicio diseñado para recuperar computadoras perdidas o robadas, cuya tecnología subyacente se basa en el Sistema de recuperación de vehículos robados LoJack . En 2005, Absolute Software obtuvo la licencia del nombre LoJack y la tecnología de seguimiento posterior para ayudar en los esfuerzos de recuperación de las computadoras robadas. Después de las negociaciones con los fabricantes, el agente Computrace de Absolute Software, o LoJack para computadoras, ahora viene precargado en una gran cantidad de máquinas.

El software Computrace utiliza un método novedoso para mantener la persistencia en las computadoras. Esta metodología permite que el código permanezca a través de una reinstalación del sistema operativo o el reemplazo del disco duro. El software hace esto al integrarse estrechamente en las operaciones de bajo nivel que se almacenan en los módulos de memoria flash SPI ubicados en la placa base física de la computadora. Estos módulos de memoria se encuentran donde se almacenan los recursos pertinentes del sistema, como los procedimientos de BIOS y UFEI.

Un  informe de Eset  detalla cómo las versiones troyanas del agente Computrace se han comprometido para permitir a los atacantes la capacidad de ejecutar código arbitrario en máquinas vulnerables. Este código se puede almacenar dentro de los módulos flash SPI, lo que impide la detección fácil de muchas soluciones de seguridad. Esta capacidad de ejecución de código, junto con las capacidades de persistencia y seguimiento del software Computrace, crea una combinación extremadamente efectiva que es difícil de detectar o remediar. Eset está llamando a esta amenaza el malware LoJax.

A partir de este escrito, el uso de esta metodología de ataque particular parece tener un alcance limitado. La investigación indica que el propósito de este nuevo vector de ataque ha sido instalar el troyano de acceso remoto XAgent , que otros en la industria de la seguridad han vinculado al grupo de hacking ruso que tiene muchos nombres, entre ellos: APT28, Fancy Bear y Sednit.

La ejecución exitosa de la carga útil de malware depende de un sistema informático que se haya configurado para deshabilitar las protecciones de arranque seguro que vienen de serie en las computadoras Windows más nuevas.

El arranque seguro es una función de seguridad de las computadoras habilitadas con UFEI, y requiere una firma digital legítima antes de que el sistema pueda ejecutar cualquier código almacenado en el módulo de memoria flash SPI. Esta es una limitación actual del malware LoJax, ya que el código no tiene una firma digital. Esto evita la ejecución de código en entornos donde el inicio seguro está habilitado, como Windows 8 y Windows 10.

Los usuarios de Linux u otros sistemas operativos no compatibles no tendrán las protecciones integradas de arranque seguro debido a la incompatibilidad con esos dispositivos. Los usuarios que deben desactivar dichas protecciones para poder utilizar el software necesario o deseado deberán permanecer diligentes.

Aunque actualmente su alcance es limitado, anticipamos ver este vector de ataque empleado por otras familias de malware y atacantes en el futuro.

Trae tu propia seguridad (BYOS): ¿buena idea o no?

Trae tu propia seguridad (BYOS): ¿buena idea o no?

Trae tu propia seguridad (BYOS): ¿buena idea o no?

Publicado: 2 de octubre de 2018 por 
Última actualización: 3 de octubre de 2018

Hemos hablado sobre el concepto de Bring Your Own Device, o BYOD,  en el blog anterior. BYOD es una política popular por la cual los empleados pueden traer dispositivos de propiedad personal, como computadoras portátiles, tabletas o teléfonos inteligentes, para trabajar y usarlos para acceder a datos y aplicaciones. Ayuda a reducir costos y puede aumentar la productividad, pero trae consigo muchas preocupaciones e implicaciones de seguridad.

Similar en teoría a BYOD es BYOS, o Traiga su propia seguridad. Este método permite a los empleados elegir qué solución de seguridad les gustaría ejecutar en sus dispositivos. ¿Es esta teoría una evolución natural de BYOD o conlleva más preocupaciones? ¿Importan esas preocupaciones si el dispositivo que se sumergirá en la red de la empresa tiene instalado su propio software de seguridad?

Preocupaciones de BYOS

Las diferencias en el software de seguridad que se ejecuta en los sistemas corporativos y los dispositivos BYOS pueden causarle un dolor de cabeza a su departamento de TI, especialmente si dichos dispositivos tienen acceso a los recursos de la empresa, como las unidades compartidas. ¿Hay algún conflicto entre el software en los dispositivos y las soluciones de seguridad que se ejecutan en el entorno corporativo ? Ciertamente es posible.

Podría haber brechas entre los programas de seguridad de los dispositivos y los sistemas corporativos que los atacantes podrían aprovechar. De hecho, agregar software de seguridad a una configuración existente no siempre mejora la seguridad, especialmente si son del mismo tipo, como dos grandes conjuntos de antivirus o dos herramientas de remediación gratuitas. Peor aún, podrías terminar más débil que antes.

Además, los conceptos erróneos pueden llevar a los propietarios de dispositivos a una falsa sensación de seguridad. Por ejemplo, algunos pueden creer que están protegidos por el firewall de la compañía tan pronto como se conectan al Wi-Fi corporativo, o incluso tan pronto como entran por la puerta. ¿Pero es eso cierto?

Veamos algunos escenarios que involucran tanto a BYOD como a BYOS, sus ventajas y desventajas, y las implicaciones de seguridad que conlleva cada escenario.

Los escenarios

Para comenzar a saltar a los siguientes escenarios, primero establezcamos el escenario presentando cuatro formas posibles en que se podría implementar la política de BYOS, ya sea que los dispositivos sean de propiedad personal o sean emitidos por la organización. Incluyen:

  • El empleado es propietario del dispositivo y tiene instalado su propio software de seguridad.
  • El empleado recibe un dispositivo de la empresa que también puede usar para fines personales. Puede elegir e instalar cualquier software de seguridad que desee.
  • El empleado es el propietario del dispositivo, pero para que se le permita usarlo para asuntos de la empresa, debe instalar el software de seguridad que elija la empresa.
  • La compañía emite un dispositivo que viene con su elección de software de seguridad instalado.

Antes de que hablemos de estos escenarios uno por uno, primero establezcamos una cosa por adelantado: un empleado que ejecute un software de seguridad que no eligió, ni está familiarizado con él, es probablemente una mala idea. A menos que se trate de un producto basado en la nube que pueda administrarse desde una ubicación central, el empleado debe recibir cierta capacitación sobre cómo utilizar la solución de manera óptima. No hay seguridad más fuerte para los lugares de trabajo que la conciencia del usuario. De hecho, nosotros lo haríamos , y lo haríamos, sin importar el escenario.

Escenario 1: Todo sobre el usuario

En el primer escenario, en el que el empleado utiliza su propio dispositivo y software de seguridad, podría decir que es bueno para la empresa mantenerse al margen y confiar en sus usuarios. Sin embargo, cuando se trata de cuestiones de seguridad para datos de propiedad exclusiva, nunca es una buena idea dejar que todo vuele al viento.

Es fácil decir que sería un problema para el empleado si algo le pasara a los datos en su dispositivo, pero ¿para qué serviría la compañía? La información ya estaría disponible, y la pérdida de datos, puntos finales, productividad y reputación costaría mucho más que un solo salario.

En cuanto al empleado: ¿Se daría cuenta de la filtración si la empresa no tuviera control sobre su dispositivo en primer lugar? Probablemente no. La compañía podría ser capaz de rastrear la infección hasta su dispositivo, pero ¿después de cuánto tiempo? ¿Durante cuánto tiempo permanecieron y se propagaron los programas maliciosos de robo de información en la red? ¿Qué tipo de secretos expondrá a quienes estén dispuestos a pagar el mejor precio en el mercado negro?

Este escenario sería la peor idea de BYOS si no fuera por …

Escenario 2: Un escenario raro

En este escenario, la organización emite un dispositivo a su empleado, pero espera que ella elija su propio programa de seguridad.

Este es un escenario raro por una buena razón. Quizás el propio departamento de TI de una empresa podría hacer que sus empleados prueben diferentes proveedores. Tal vez un usuario solo haga llamadas telefónicas o escriba documentos en su dispositivo, y no necesite Internet para hacer su trabajo. Sin embargo, en cualquier otro caso, tendría que tener una organización de confianza y una fuerza laboral extremadamente inteligente.

De lo contrario, los empleados pueden optar por la opción más barata si necesitan gastar su propio dinero o, en su lugar, utilizar una versión gratuita y limitada. O, si facturan a la empresa, pueden simplemente tomar el único nombre que saben sin investigar si es un buen ajuste para el dispositivo o el usuario. La única otra explicación es que la compañía se preocupa tan poco por la seguridad de sus dispositivos y redes, que están dispuestos a tirarles dinero.

Escenario 3: Sobre todo pro, un poco con

Esta situación requiere que el empleado seleccione el dispositivo, pero la compañía prescriba la configuración de seguridad.

En este caso, la empleada puede comprar o recibir un reembolso por el dispositivo que le gusta con la advertencia de que debe instalar un software de seguridad que cumpla con las pautas corporativas. Este es principalmente un escenario en el que todos ganan, ya que la empleada puede usar el dispositivo que ella prefiere, pero la compañía puede estar segura de que el dispositivo es seguro y de uso seguro en el entorno corporativo. En una situación ideal, el dispositivo puede incluso ser monitoreado por el SIEMcorporativo o la consola en la nube.

Una nota en este escenario: si bien es una configuración ideal para dispositivos suplementarios o empleados remotos, puede que no tenga más sentido para las máquinas primarias de los usuarios. Esto se debe a que la administración de una flota de diferentes dispositivos con diferentes sistemas operativos podría ser tediosa para los equipos de TI, incluso con los mismos protocolos de seguridad seguidos.

gestión de la nube

Escenario 4: La elección de la empresa.

El cuarto escenario, donde la compañía decide sobre el dispositivo y el software de seguridad, es la solución más fácil para las organizaciones, pero definitivamente no es BYOD ni BYOS. Esto suena más como lo que un trabajador de la sede central espera recibir del departamento de TI el primer día de empleo.

Aunque es más fácil de controlar, también es costoso, ya sea que la compañía ofrezca una sola computadora portátil o un teléfono inteligente suplementario. En este caso, las empresas deben estar preparadas para defenderse contra las amenazas encontradas por los empleados que realizan un trabajo legítimo u ocasionalmente usan el dispositivo por motivos personales, como compras en línea o redes sociales. Las compañías esencialmente deben tratar esto más o menos como cuando un empleado ocasionalmente lleva un portátil de la empresa a casa para hacer algún trabajo.

Instalación de software de seguridad en una máquina corporativa.

Un escenario completamente diferente es aquel en el que ningún dispositivo externo desempeña un papel. En cambio, los empleados aportan su propia seguridad al entorno laboral. Esto sucede a veces: las personas instalan su software de seguridad preferido en las computadoras de su trabajo por iniciativa propia. Por ejemplo, nuestra telemetría nos dice que nuestro producto gratuito de remediación para el consumidor se descarga y se ejecuta en muchas máquinas corporativas, que se utiliza para limpiar el malware que se ha escapado de las grietas de la configuración de seguridad oficial de su lugar de trabajo.

Lo que no podemos ver en nuestra telemetría es si esto lo hacen los propios usuarios o alguien del equipo de TI como un método improvisado para tratar una infección. Aunque el uso de un producto de consumo gratuito en un entorno empresarial es técnicamente contra las reglas, no representa un riesgo directo para la seguridad. Sin embargo, plantea una pregunta para el departamento de TI de la empresa, a quién le gustaría saber qué amenaza logró sortear su red y cómo.

En cualquier caso, existe una diferencia entre los empleados que instalan herramientas de reparación gratuitas solo con fines de limpieza y los que instalan una protección activa y de pago por encima de la seguridad de la red. En este último caso, la seguridad activa del punto final entra en conflicto con el software de red activo que controla el entorno corporativo. Como dos perros peleando por un hueso, y nadie gana, porque el hueso (malware) se escapa.

Consideraciones importantes

La forma más segura y eficiente de implementar la seguridad en el lugar de trabajo tanto para la empresa como para sus empleados es crear una política corporativa . Cuando se trata de decidir sobre una política de seguridad de BYOD, hay algunos puntos que al menos deben considerarse. Incluyen:

  • ¿Qué sistemas operativos permitirá? No todos los programas pueden cubrir todos los sistemas operativos, y si desea optar por la uniformidad o la administración central, este es un tema importante.
  • ¿Qué software permitirás? Y si va a utilizar restricciones, ¿usará una lista negra o una lista blanca?
  • ¿Qué tan detallado desea que sea su política de seguridad? ¿Le va a dar a sus empleados un resumen general o realmente va a profundizar en detalles como los requisitos mínimos para contraseñas o cómo identificar correos electrónicos de phishing?
  • ¿Desea poder monitorear dispositivos que se encuentran en la configuración de BYOD desde su consola de administración central? ¿Y eso requiere que los dispositivos cumplan ciertas especificaciones?
  • ¿Qué pasa con los dispositivos cuando el empleado abandona la empresa? O mejor aún, ¿qué sucede con la información, el software y otros datos relacionados con la compañía en el dispositivo?

Mejores prácticas

La lista de las mejores prácticas para convertir cualquier traer su propia configuración de seguridad en un esfuerzo exitoso y seguro se parece mucho a la lista de las directrices de seguridad, pero queremos repetir el consejo de todos modos:

  • Capacite a su personal sobre higiene básica de computadoras, como evitar fraudes de soporte técnico, evitar enlaces a fuentes desconocidas y nunca abrir archivos adjuntos de correos electrónicos sospechosos. Además, asegúrese de que saben qué hacer y qué no hacer en caso de una infracción.
  • Cree una política justa que se haya comunicado claramente para que los empleados entiendan qué es aceptable y cuáles podrían ser las consecuencias si no cumplen.
  • Cifre el almacenamiento de archivos y las comunicaciones para disminuir las posibilidades de que información o datos vitales caigan en las manos equivocadas.
  • Asegurar actualizaciones de software oportunas para todos. ¿Cuál es el uso de un administrador del sistema que se apresura a verificar, verificar e instalar actualizaciones cuando hay algunos dispositivos en itinerancia con algunos parches detrás?
  • Use una VPN para las comunicaciones fuera del sitio para descartar los ataques ocultos y los  ataques de intermediarios .

La mayoría de los escenarios BYOS y BYOD tienen ventajas y desventajas; sin embargo, si el equipo de TI de la empresa y la fuerza laboral están preparados, muchas de estas situaciones tienen una buena oportunidad de trabajar en el mejor interés de todos los involucrados.

La conciencia de las posibles implicaciones es siempre un buen punto de partida. La vigilancia es la mejor mitad de la seguridad.