SEGURIDAD

BOTNETS

Una botnet es una red compuesta por varios dispositivos IoT infectados con malware conectados a internet que son controlados remotamente por medio de comandos (C&C). El propósito de una botnet es la generación de ataques a gran escala, como son, ataques distribuidos de denegación de servicio DDoS, ataques a aplicaciones web para robo de información, ataques de validación de credenciales para pirateo de cuentas.

La infección de los equipos se da por medio de drive by downloads y email. El primer de los casos el atacante explota la vulnerabilidad de un sitio web para redirigir al usuario a un sitio web controlado por los delincuentes en el cual se descarga el código bot e instala en el equipo. El segundo método es por medio de correo spam con archivos adjuntos infectados o vínculos al sitio web donde se almacena el código malicioso.

Para evitar la infección de una maquina con botnet se recomienda los usuarios acceder a sitios de confianza y desconfiar de cualquier archivo o link de redirección no esperado o sospechoso.

SEGURIDAD

RANSONMWARE

Termino que se hizo conocido hace algún tiempo por las grandes afectaciones que genero a organizaciones y usuarios en general. El ransomware es un software malicioso cuyo objetivo es secuestrar la información del equipo o equipos con el fin de cobrar una suma de dinero real o virtual por la liberación de la información. El software encripta la información y bloquea la pantalla del ordenador mostrando un mensaje en pantalla donde se suministra al usuario la información de pago.

La infección por ransomware generalmente se presenta por acción del usuario al visitar un sitio web infectado con este malware, por la descarga de algún archivo adjunto infectado en un correo electrónico, o por propagación en una red que ya se encuentra infectada con ransomware.

Para prevenir este tipo de ataques se recomiendan las siguientes acciones:

  • Capacitación del personal para evitar que sea víctima del ransomware.
  • Mantener actualizados los sistemas operativos instalados en los ordenadores.
  • Activar la protección del firewall
  • Instalación de un antivirus con módulo de antiransomware.
SEGURIDAD

INGENIERÍA SOCIAL

La ingeniería social es el conjunto de técnicas o estrategias sociales utilizadas de forma premeditada por un usuario para obtener algún tipo de ventaja respecto a otro u otros.

Algunos pasos o técnicas que se pueden utilizar en la ingeniería social son:

  • Recolección de información: Donde a través de la urgencia, la reciprocidad, la autoridad y/o la consistencia consiguen patrones e información confidencial para iniciar los ataques.
  • Desarrollo de la relación: Validación de la relación con la victima para conocer cuál sería el porcentaje de éxito del ataque.
  • Explotación de la relación: En esta fase se aprovechan las relaciones construidas para conseguir accesos, claves, ejecución de archivos maliciosos, exposición de información confidencial o inyección de malware.
  • Ejecución para lograr el objetivo: Ya en esta fase se logra el ataque sin levantar sospechas en la víctima para dejar la puerta abierta para futuros ataques.

Para evitar ser víctima de ataques de ingeniería social algunas acciones necesarias son:

  • Tener precaución con los correos electrónicos que provengan de direcciones conocidas con información sospechosa, por lo general se utilizan buzones conocidos para suplantar la identidad y pasar desapercibida.
  •  Evitar utilizar un punto único de falla, como la misma clave en los sistemas o el mismo correo de recuperación de clave.
  • No entregar información bancaria por teléfono, tener precaución en las llamadas que ofrezcan ofertas fabulosas
SEGURIDAD

SNIFFER

Un sniffer es una aplicación especializada para el análisis de redes informáticas, que permite capturar y estudiar los paquetes que se envían y reciben por la red. Desde un sniffer es posible saber, por ejemplo, el remitente de la información, el destinatario de la misma, el servidor que se ocupa del proceso y el tipo de paquete de datos que se está transmitiendo. Un sniffer se puede instalar en cualquier equipo de la red local, puede estar oculto o no. Un sniffer también puede ser un dispositivo físico, como por ejemplo un router, que se conecta en la red LAN.

Es difícil detectar un sniffer malicioso instalado secretamente en un equipo o en la red, ya que su comportamiento no corresponde a un malware, y un antivirus típico no podría detectarlo. Existen aplicaciones tipo anti-spyware, que son programas capaces de encontrar sniffers como por ejemplo Reimage, Malwarebytes.

El tipo de uso que se le puede dar a un sniffer es muy variado, y el resultado depende de la intensión del usuario que ejecute el análisis. Por ejemplo, con un sniffer es posible monitorear y administrar todo lo que ocurre dentro de la red LAN que se haya organizado en una empresa específica, también se pueden hacer auditorías completas de las redes, comprobar el tráfico que entra y sale de la empresa y monitorizar en base a ello el comportamiento del mismo. Con un sniffer también es posible atacar las redes de una empresa, comprobando por ejemplo cuáles son las vulnerabilidades que existen en las mismas. Con un sniffer también se puede robar información sensible transmitida a través de la red (interceptar chats, correos electrónicos, información no encriptada enviada en formularios de páginas web, etc). Un sniffer no interfiere con la operación de la red LAN, ni busca infectar el sistema con ningún tipo de malware. El uso malintencionado de una aplicación de este tipo se centra en violar la privacidad de la red y conocer su estructura.

Un sniffer de uso muy extendido, tanto en sistemas operativos Linux y Windows, es Wireshark. Este es un analizador de trafico de red open-source, su uso principal es el análisis de tráfico, y es muy útil en el análisis de las comunicaciones y para la resolución de problemas de red. Tiene una amplia gama de filtros que facilitan la definición de criterios de búsqueda para los más de 1100 protocolos soportados actualmente, cuenta con una interfaz sencilla que permite interpretar fácilmente los resultados de un análisis.

Wireshark_screenshot.png

SEGURIDAD

HACKING Y SEGURIDAD EN VEHÍCULOS

El uso de internet y de tecnología en los objetos de uso diario (IoT) también se ve reflejado en los automóviles, por ejemplo, incorporando funciones de encendido desde teléfonos inteligentes, de auto-parqueo o de geolocalización. Pero el uso de las tecnologías de la información en los automóviles incrementa las vulnerabilidades informáticas a las que está expuesto un vehículo, por ejemplo:

Las llaves: Las llaves de los vehículos ahora son chips electrónicos con códigos que pueden ser descifrados, por ejemplo, mediante una técnica llamada chip slicing, la cual consiste en analizar mediante un microscopio a los pequeños transistores que lo conforman, para así interferir con el algoritmo que programa el funcionamiento de la llave.

El motor: El motor de la mayoría de los vehículos incorpora el ECU (Unidades de Control Electrónico) y desde este dispositivo se controlan los aspectos funcionales del auto, incluyendo aceleración, frenado, dirección y bocina. A dicho dispositivo se le puede implementar un software que envía instrucciones a la computadora de la red del vehículo y reemplaza los comandos de los controladores reales de la unidad, alterando la funcionalidad del automóvil.

El tablero: En un tablero digital de un vehículo se pueden modificar los índices de combustible o velocidad. Interviniendo las redes inalámbricas del vehículo, es posible intervenir la radio, tocar la bocina, activar y desactivar limpiaparabrisas, controlar el aire acondicionado etc.

Estas son algunas marcas de automóviles y sus respectivas vulnerabilidades:

BMW X3: Es posible acceder al sistema BMW Connected Drive y sus conexiones Bluetooth y Wi-fi, permitiendo controlar las funciones del vehículo desde cualquier dispositivo móvil o computador, como por ejemplo conducción semiautomática, estacionamiento, ejecución de aplicaciones del tablero, etc.

Chrysler 300: El sistema de infoentretenimiento Uconnect permite acceso al control de funcionalidades del vehículo, como ejecución de aplicaciones, control de la navegación y geolocalización, administración de las comunicaciones a través del manos libres, control de voz con Siri,etc .

Land Rover Range Rover Evoque: Tiene implementado un sistema de infoentretenimiento InControl, que controla elementos multimedia, navegación y geolocalización. Adicionalmente tiene acceso sin llave, conexión Wi-Fi o Bluetooth.

Toyota Prius 2010: Cuenta con varios elementos inseguros: vulnerabilidad de la radio, conexión de Bluetooth, acceso sin llave, conectividad con el teléfono móvil y sistema Safety Connect, el cual mantiene conectado y geolocalizado el vehículo permanentemente.

Infiniti Q50: Cuenta con sistema de infoentretenimiento, la radio y demás componentes electrónicos están conectados con la dirección, el motor y los frenos. Un ataque al sistema de infoentretenimiento podría permitir el control de funciones principales del vehiculo.

Jeep Cherokee: Los frenos, el motor y la dirección son los elementos más expuestos en este modelo. El sistema Uconnect puede permitir interceptar la radio del Cherokee, e incluso apagar el motor del automóvil.

Cadillac Escalade 2015: El sistema OnStar, incluido en multitud de vehículos de General Motors, al conectarse mediante una red inalámbrica puede permitir la captura de comandos enviados desde un teléfono inteligente, permitiendo así posibles violaciones de privacidad o robo de información.

SEGURIDAD

HACKING A MARCA PASOS

Barnaby Jack fue un hacker, programador y experto en seguridad informática. Entre sus trabajos más notables se encuentran la explotación de diversos dispositivos médicos, incluidos marcapasos y bombas de insulina. En el momento de su muerte, en 2013, era el Director de Embedded Device Security en IOActive, una empresa de seguridad informática con sede en Seattle y Londres.

Uno de sus trabajos más importantes, y en el cual muchos los consideran pionero, se relaciona con hacking a marcapasos, y esto se da principalmente porque muchos de estos dispositivos médicos disponen de conexiones inalámbricas que les permiten intercambiar información con los equipos de hospitales y médicos. El objetivo de permitir este tipo de conexiones, e permitir la configuración y ajustes del dispositivo, así como el control y monitoreo del paciente por parte de su médico.

Ya en el año 2008, un equipo de investigadores del Centro Arquímedes para la Seguridad de Dispositivos Médicos de la Universidad de Michigan había realizado demostraciones de hackeo a marcapasos cuando el portador del dispositivo estaba muy cerca, pero en 2013 Barnaby iba a explicar como realizar ese tipo de ataques a través de comunicación inalámbrica a distancias superiores a 15 metros, cosa que no pudo realizar porque falleció justo antes del congreso Blackhat donde participaría como conferencista.

En el año 2017, La firma de seguridad WhiteScope publicó un informe en el que detalla cerca de 8.000 vulnerabilidades de seguridad digital que encontraron en marcapasos de uso común. Los principales hallazgos de seguridad analizados en dicho informe se centran en que muchos de estos dispositivos utilizan componentes o se apoyan en servicios (incluyendo aspectos de conectividad y software) prestados por terceros. El estudio demostró que existe la posibilidad de intervenir el programador de un marcapasos, alterando su funcionamiento y pudiendo incluso causar una falla cardiaca al paciente.

INGENIERÍA Y SERVICIOS IT, SEGURIDAD

NORMA ISO/IEC 27017 – CONTROLES DE SEGURIDAD PARA SERVICIOS CLOUD

NORMA ISO/IEC 27017 – CONTROLES DE SEGURIDAD PARA SERVICIOS CLOUD. Tecnología de la información – Técnicas de seguridad – Código de prácticas para los controles de seguridad de la información en base a la norma ISO/IEC 27002 para los servicios en la nube.

Utilizada conjuntamente con la familia de normas ISO 27001, la norma ISO/IEC 27017 proporciona controles para proveedores y clientes de servicios en la nube. A diferencia de muchas otras normas relacionadas con la tecnología, ISO/IEC 27017 aclara las funciones y responsabilidades de ambas partes para ayudar a que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un sistema de gestión de la información certificado.

La norma proporciona una guía con 37 controles en la nube basados en ISO/IEC 27002, pero también ofrece siete nuevos controles cloud que tratan los siguientes puntos:

  • Quién es responsable de lo que ocurre entre el proveedor del servicio cloud y el cliente cloud
  • La eliminación/devolución de activos cuando un contrato se resuelve
  • Protección y separación del entorno virtual del cliente
  • Configuración de una máquina virtual
  • Operaciones y procedimientos administrativos relacionados con el entorno cloud
  • Seguimiento de la actividad de clientes en la nube
  • Alineación del entorno de la red virtual y cloud

https://www.isotools.org/2017/03/16/iso-27017-controles-seguridad-servicios-la-nube/