Seguridad Informática

Anonymous comparte Código para atacar el FBI

2012-01-20T11:26:00.011-03:00

Desde el momento que el FBI bloqueo el sitio de MegaUpload, se lanzó una batalla contra el FBI. Anoche, Anonymous, usando como vía de comunicación los seguidores de Twitter (una de las maneras para llegar a sus seguidores), lanzó la operacion Megaupload. De esta manera publicaban sitios que permtía atacar desde diferentes puntos de planeta al sitio del FBI (http://www.fbi.gov/) para producir una DoS, o códigos que podrían ser bajados y ejecutados con el fin de sumar tráfico para intentar producir la DoS al sitio.
Se entiende por DoS, Deny of Service o Denegación de Servicio, al envío masivo de paquetes de cierto tamaño, para que los servidores que deben responder ante una inquietud, colapsen
Para llevarlo más al lenguaje humano, hagan de cuenta, que Ustedes están en la plaza principal de su ciudad, hablando con un amigo, de pronto, 500 personas quieren hablar contigo al mismo tiempo generando miles de preguntas. ¿cómo se sentirían?. Imaginen un servidor Web o con ciertos servicios publicando los mismos a Internet.
Está tecnica es similar a un software que se bajaba en las Pc al comienzo del año 2000, que era un protector de pantalla, en donde se bajaba porciones de sonido cosmico y mientras el protector de pantalla funcionaba, analizaba si no existía conversaciones de extraterrestres.
Para los expertos de seguridad, que quieran analizar los códigos que se generan, les dejo alguno sitios de interes. Los mismo son referenciados para su análisis y no con el fin de sumarse a la causa.

Sitio de ataque : http://www.turbytoy.com.ar/admin/archivos/hive.html
En este sitio, a la derecha podrán observar hasta las cantidad de personas que se han sumado a la ejecución del DoS de este sitio.

Ejemplo de código del site: http://pastebin.com/Gh2Jrd2D

Si prueban el código, recomendamos usarlo en un ambiente aislado para su análisis. Recomendamos no usar los mismos, recuerden que si no conocen de técnicas de spoofing o enmascaramiento, pueden ser detectados, y estas prácticas no son legales.

Actualmente, siguen compartiendo sitios y código para que sea usado contra el sitio del FBI.Estaremos actualizando los estados de seguridad.
Hasta la próxima.

Microsoft Security Update Guide, Second Edition

2012-01-18T21:04:00.002-03:00

Esta segunda edición de la Guía de actualización de seguridad de Microsoft incluye contenido adicional que describe cómo Microsoft realiza pruebas de actualizaciones de seguridad antes de su lanzamiento, el asesoramiento y la orientación revisadas en las pruebas de cambios en su propio entorno, y una sección ampliada y actualizada de recursos.
El Objetivo de Microsoft con la guía es ayudar a los profesionales de TI gestionar el riesgo de la organización y desarrollar un mecanismo repetible, la implementación efectiva de las actualizaciones de seguridad.
En la Guía, se encuentra un glosario de términos convenientes, una visión general del proceso de Boletín de seguridad de Microsoft, y una revisión de la etapa por etapa, de Microsoft las actualizaciones de seguridad.
La guía está organizada de acuerdo a las siguientes etapas del proceso de actualización de seguridad:
- Etapa 1, de recepción de seguridad de Microsoft lanzamiento de Comunicaciones,
- Etapa 2, evaluar el riesgo,
- Etapa 3, Evaluación de mitigación,
- Etapa 4, la línea de tiempo Implementación de la actualización estándar o urgente,
- Etapa 5, el Monitor de sistemas, y, la etapa en curso, Watch. Cada sección se describe el propósito y el objetivo de esta etapa, así como los resultados previstos se espera que al finalizar la etapa.

Esta guía está disponible desde este sitio.

Hasta la próxima.

Microsoft SDL - Security Development Lifecycle

2012-01-18T20:04:00.004-03:00

Introducción.
El ciclo de vida de desarrollo de seguridad (SDL) es un proceso de control de seguridad orientado al desarrollo de software. Siendo una iniciativa corporativa y una directiva obligatoria desde el año 2004, SDL ha desempeñado un papel muy importante en la integración de la seguridad y de la privacidad en el software y la cultura de Microsoft. Con un enfoque tanto holístico como práctico, SDL tiene como objetivo reducir el número y la gravedad de las vulnerabilidades en el software.

¿Por qué usar SDL?
Es una manera de evitar problemas de seguridad en el desarrollo, como:
- Anticipando Fallas en el Código: esas fallas que se detectan en la ejecución de la aplicación.
- Atacantes atacan todo el código: proteger todo el desarrollo, no solo un componente. Los intrusos atacan todo el software y buscan fallas.
- No enfocarse en “hacerlo bien la próxima vez”: clásica excusa para dejar las mejoras en próximas etapas.
- Remover código viejo: el software se modifica y no hay un proceso de mejora que permita borrar código que ya no forma parte en la nueva versión.
- Eliminar funciones antiguas: mejoradas por otras.
- Reemplazar protocolos viejos
- Problemas de perfomance: permite mejorar el desarrollo, haciéndolo mas perfomante.
- Reconocer que el código fallará y reducir la superficie de ataque.

Conceptos Básicos
El proceso SDL de Microsoft se basa en tres conceptos básicos: formación, mejora continua de los procesos y responsabilidad. La formación continua de los roles técnicos dentro de un grupo de desarrollo de software es fundamental. Si se invierte de manera apropiada en la transferencia de los conocimientos, las organizaciones podrán responder adecuadamente a los cambios que sufren las tecnologías y las amenazas. Dado que los riesgos para la seguridad no son estáticos, SDL destaca especialmente la importancia de comprender la causa y el efecto de las vulnerabilidades de seguridad y requiere una evaluación periódica de los procesos de SDL y la introducción de cambios como respuesta a los avances tecnológicos o las nuevas amenazas. Se recopilan datos para evaluar la eficacia de la formación, se usan métricas de procesos para documentar su conformidad y métricas posteriores al lanzamiento ayudan a definir los futuros cambios. Por último, SDL requiere el archivado de todos los datos necesarios para realizar el mantenimiento de una aplicación en caso de que surjan problemas. Si lo combinan con detallados planes de comunicación y de respuesta en materia de seguridad, las organizaciones podrán orientar de manera concisa y contundente a todas las partes implicadas.

El modelo de optimización de SDL está estructurado en torno a cinco áreas de capacidades que, en líneas generales, se corresponden con las fases del ciclo de vida de desarrollo de software:
1)Formación, directivas y capacidades organizativas
2) Requisitos y diseño
3) Implementación
4) Comprobación
5) Lanzamiento y respuesta

¿Donde aplicar SDL?
Es de vital importancia definir claramente las expectativas de una organización con respecto a los tipos de proyectos que se van a someter a los controles impuestos por el proceso SDL de Microsoft. Por experiencia, se recomienda someter a SDL las aplicaciones con una o varias de las siguientes características:
- Aplicaciones implementadas en un entorno empresarial
- Aplicaciones que procesan información de identificación personal (PII) u otro tipo de información confidencial
- Aplicaciones que se comunican frecuentemente a través de Internet u otras redes
Teniendo en cuenta la propagación de las tecnologías informáticas y la evolución del entorno de amenazas, quizás sea más fácil identificar los proyectos de desarrollo de aplicaciones que no estén sujetos a los controles de seguridad como los de SDL.

Actividades de seguridad simplificadas de SDL
En términos sencillos, el proceso SDL de Microsoft es un conjunto de actividades de seguridad obligatorias, que se presentan en el orden en que deben llevarse a cabo y se agrupan por cada una de las fases de un ciclo de vida de desarrollo de software tradicional. Muchas de las actividades descritas aportarían ciertos beneficios en materia de seguridad si se implementaran de manera independiente. Sin embargo, la experiencia en Microsoft demuestra que las actividades de seguridad realizadas como parte de un proceso de desarrollo de software aportan mayores beneficios que las actividades implementadas de manera poco sistemática o de modo ad hoc.

Actividades de Seguridad Obligatorias
Los diferentes procedimientos están encuadrados en diferentes actividades, como las veremos a continuación.

Formación - Seguridad Básica
Procedimiento 1 de SDL: requisitos de formación
Todos los miembros de un equipo de desarrollo de software deben recibir una formación apropiada con el fin de mantenerse al corriente de los conceptos básicos y últimas tendencias en el ámbito de la seguridad y privacidad. Las personas con roles técnicos (desarrolladores, evaluadores y administradores de programas) que están directamente implicadas en el desarrollo de programas de software deben asistir como mínimo una vez al año a una clase de formación en materia de seguridad.

Primera fase: requisitos
Procedimiento 2 de SDL: requisitos de seguridad
La necesidad de considerar la seguridad y la privacidad "desde el primer instante" es un aspecto fundamental del desarrollo de un sistema seguro. La fase de planificación inicial es el momento más apropiado para definir los requisitos de fiabilidad de un proyecto de software.

Procedimiento 3 de SDL: umbrales de calidad y límites de errores
Se usan umbrales de calidad y límites de errores para establecer niveles mínimos aceptables de calidad en materia de seguridad y privacidad. Al definir estos criterios al comienzo de un proyecto, se comprenderán mejor los riesgos asociados a los problemas de seguridad y los equipos podrán identificar y corregir los errores de seguridad durante el desarrollo.

Procedimiento 4 de SDL: evaluación de los riesgos de seguridad y privacidad
Las evaluaciones de los riesgos de seguridad (SRA) y de privacidad (PRA) son procesos obligatorios que identifican los aspectos funcionales del software que requieren una revisión exhaustiva. Dichas evaluaciones deben incluir la siguiente información:
1. (Seguridad) Partes del proyecto que van a requerir modelos de riesgos antes del lanzamiento.
2. (Seguridad) Las partes del proyecto que van a requerir revisiones del diseño de seguridad antes del lanzamiento.
3.(Seguridad) Partes del proyecto (si procede) que van a requerir pruebas de penetración por parte de un grupo externo al equipo de proyecto y acordado mutuamente.
4. (Seguridad) Requisitos de análisis o de pruebas adicionales que el asesor de seguridad considera necesarios para mitigar los riesgos de seguridad.
5. (Seguridad) Ámbito específico de los requisitos en materia de pruebas de exploración de vulnerabilidades mediante datos aleatorios.
6. (Privacidad) ¿Cuál es el nivel de impacto sobre la privacidad?

Segunda fase: diseño
Procedimiento 5 de SDL: requisitos de diseño
El momento más oportuno para influir en la fiabilidad del diseño de un proyecto es la etapa inicial de su ciclo de vida. Es muy importante que se estudien detenidamente las cuestiones de seguridad y de privacidad durante la fase de desarrollo. La mitigación de los problemas de seguridad y de privacidad es mucho menos costosa si se realiza en la etapa inicial del ciclo de vida de un proyecto. Los equipos de proyecto deben evitar abordar deprisa y corriendo las características de seguridad y de privacidad y las mitigaciones cerca del final del desarrollo de un proyecto.
Además, es de suma importancia que los equipos de proyecto entiendan la diferencia entre "características seguras" y "características de seguridad". Es perfectamente posible que se implementen características de seguridad que, en realidad, son inseguras. Las características seguras se definen como características cuya funcionalidad está debidamente diseñada con respecto a la seguridad, incluida una rigurosa validación de todos los datos antes de su procesamiento o una implementación criptográficamente robusta de bibliotecas para los servicios de cifrado. El término características de seguridad describe la funcionalidad de un programa que tiene implicaciones para la seguridad, como la autenticación Kerberos o un firewall.

Procedimiento 6 de SDL: reducción de la superficie de ataques
La reducción de la superficie de ataques está estrechamente relacionada con los modelos de riesgos, si bien aborda los problemas de seguridad desde una perspectiva ligeramente diferente. La reducción de la superficie de ataques es una forma de reducir el riesgo dando a los atacantes menos oportunidades para aprovechar un posible punto débil o una posible vulnerabilidad. Para reducir la superficie de ataques, se cierra o se restringe el acceso a los servicios del sistema, se aplica el principio de privilegios mínimos o se usan en la medida de lo posible defensas por capas.

Procedimiento 7 de SDL: modelos de riesgos
Los modelos de riesgos se usan en entornos donde existe un riesgo significativo para la seguridad. Este procedimiento permite a los equipos de desarrollo considerar, documentar y describir de manera estructurada las implicaciones para la seguridad de los diseños en el marco de su entorno operativo previsto. Los modelos de riesgos también permiten estudiar los problemas de seguridad en el nivel de los componentes o aplicaciones. La creación de un modelo de riesgos es un trabajo de equipo que implica a los administradores de programas o proyectos, desarrolladores y evaluadores; además, es la principal tarea de análisis de seguridad que se realiza en la fase de diseño del software.

El método preferido para generar modelos de riesgos es la herramienta de creación de modelos de riesgos de SDL. Esta herramienta se basa en la taxonomía de la clasificación de amenazas según el método STRIDE.

Tercera fase: implementación
Procedimiento 8 de SDL: usar herramientas aprobadas
Todos los equipos de desarrollo deben definir y publicar una lista de las herramientas aprobadas y de las comprobaciones de seguridad asociadas, como las advertencias y las opciones del compilador o del vinculador. Esta lista la debe aprobar el asesor de seguridad del equipo de proyecto. En términos generales, los equipos de desarrollo deben procurar usar la versión más reciente de las herramientas aprobadas a fin de aprovechar las nuevas protecciones y funciones de análisis de seguridad.

Procedimiento 9 de SDL: prohibir funciones no seguras
Un gran número de las funciones y API de uso común no son seguras de cara al actual entorno de amenazas. Los equipos de proyecto deben analizar todas las funciones y API que se van a usar con un proyecto de desarrollo de software y prohibir las que consideran inseguras. Una vez determinada la lista de funciones prohibidas, los equipos de proyecto deben usar archivos de encabezado (por ejemplo, banned.h y strsafe.h), compiladores más recientes o herramientas de análisis de código para comprobar si hay funciones prohibidas en el código (incluido código heredado si procede) y reemplazarlas por alternativas más seguras.

Procedimiento 10 de SDL: análisis estático
Los equipos de proyecto deben realizar un análisis estático del código fuente. Este tipo de análisis permite revisar el código de seguridad de forma escalable y contribuye a asegurar que se observan las directivas de codificación segura. En general, por sí solo, el análisis de código estático no puede reemplazar una revisión de código manual. El equipo de seguridad y los asesores de seguridad deben ser conscientes de las ventajas y desventajas de las herramientas de análisis estático y deben estar preparados para ampliar dichas herramientas con otras o con la revisión humana, según procede.

Cuarta fase: comprobación
Procedimiento 11 de SDL: análisis dinámico de los programas
Es necesario comprobar los programas de software en tiempo de ejecución para asegurar que su funcionalidad sea acorde con el diseño. Esta tarea de comprobación debe especificar las herramientas que supervisan el comportamiento de las aplicaciones para detectar si la memoria está dañada, si hay problemas con los privilegios de los usuarios u otro tipo de problemas de seguridad críticos. El proceso SDL usa herramientas en tiempo de ejecución como AppVerifier, junto con otras técnicas como pruebas de exploración de vulnerabilidades mediante datos aleatorios, para lograr los niveles de cobertura deseados de las pruebas de seguridad.

Procedimiento 12 de SDL: pruebas de exploración de vulnerabilidades mediante datos aleatorios
Este tipo de pruebas es una forma especializada de análisis dinámico que se usa para provocar errores en los programas introduciendo deliberadamente datos aleatorios o de formato incorrecto en una aplicación. Esta estrategia se deriva del uso previsto de la aplicación y de sus especificaciones funcionales y de diseño. Es posible que el asesor de seguridad requiera un número adicional de estas pruebas o amplíe su ámbito o duración.

Procedimiento 13 de SDL: revisión de los modelos de riesgos y de la superficie de ataques
En muchas ocasiones, una aplicación se desvía de manera significativa de las especificaciones funcionales y de diseño creadas durante las fases de requisitos y de diseño de un proyecto de desarrollo de software. Por ello, es muy importante que se revisen los modelos de riesgos y la medición de la superficie de ataques de una aplicación una vez completado su código. De este modo, se asegura que se toman en consideración los cambios de diseño o de implementación realizados en el sistema y que se revisan y se mitigan los nuevos vectores de ataque creados como resultado de los cambios.

Quinta fase: lanzamiento
Procedimiento 14 de SDL: plan de respuesta a incidentes
Cada lanzamiento de software sujeto a los requisitos de SDL debe incluir un plan de respuesta a incidentes. Incluso los programas sin vulnerabilidades conocidas en el momento de su lanzamiento pueden estar expuestos a nuevas amenazas. El plan de respuesta a incidentes debe incluir:
- Un equipo de ingeniería sostenida identificado o, si el equipo es demasiado reducido para tener recursos de ingeniería sostenida, un plan de respuesta a emergencias en el que se identifica el personal de ingeniería, marketing, comunicaciones y administración que representa el primer punto de contacto en caso de una emergencia de seguridad.

- Contactos con capacidad para tomar decisiones y disponibilidad las 24 horas del día y los 7 días de la semana.

- Planes de servicios de seguridad para código heredado de otros grupos dentro de la organización.

- Planes de servicios de seguridad para código de terceros bajo licencia, incluidos nombres de archivo, versiones, código fuente, datos de contacto de terceros y permiso contractual para realizar cambios (si procede).

Procedimiento 15 de SDL: revisión de seguridad final
La revisión de seguridad final es una inspección deliberada de todas las actividades de seguridad realizadas con una aplicación de software antes de su lanzamiento. Esta revisión la lleva a cabo el asesor de seguridad con ayuda del personal de desarrollo habitual y de los responsables de los equipos de seguridad y de privacidad. La revisión de seguridad final no consiste en "penetrar y parchear", ni tampoco en realizar las actividades de seguridad que se han omitido o se han olvidado. Suele consistir en un estudio de los modelos de riesgos, las solicitudes de excepciones, los resultados de las herramientas y el rendimiento teniendo en cuenta los umbrales de calidad y los límites de errores previamente determinados

Procedimiento 16 de SDL: lanzamiento o archivado
Las versiones RTM (Release To Manufacturing) y RTW (Release To Web) dependen de la finalización del proceso SDL. El asesor de seguridad asignado a la versión debe certificar (mediante la revisión de seguridad final y otros datos) que el equipo de proyecto ha cumplido los requisitos de seguridad. De manera similar, para todos los productos que tienen al menos un componente con el nivel de impacto en la privacidad P1, el asesor de privacidad del proyecto debe certificar que el equipo de proyecto ha cumplido los requisitos de privacidad para que se pueda enviar el software.

Herramientas recomendadas

−SDL Threat Modeling Tool version 3.1.8

http://www.microsoft.com/download/en/details.aspx?id=2955

−Anti-Cross Site Scripting (Anti-XSS) Library

http://msdn.microsoft.com/en-us/security/aa973814

−AppVerifier

http://www.microsoft.com/download/en/details.aspx?id=20028

Bibliografía

Microsoft Security Development Lifecycle Tools
http://www.microsoft.com/security/sdl/adopt/tools.aspx

El ciclo de vida de desarrollo de seguridad de Trustworthy Computing
http://msdn.microsoft.com/es-es/library/ms995349.aspx#EXAA

Microsoft Security Development Lifecycle (SDL) for Line-of-Business Applications
http://msdn.microsoft.com/en-us/library/dd831975.aspx

Fuente: Microsoft. Basado en la Guía "
Implementación simplificada del proceso SDL de Microsoft"

Ley S.O.P.A.

2012-01-18T12:53:00.003-03:00

¿Qué es la Ley S.O.P.A?
El Stop Online Piracy Act (Ley de cese a la piratería en línea) también conocida como Ley H.R. 3261; es un proyecto de Ley del representante Lamar S. Smith, y un grupo de copatrocinadores bipartidario formado inicialmente por 12 miembros. El proyecto de ley extiende las competencias del Departamento de Justicia de los Estados Unidos y amplía las capacidades de los propietarios de derechos intelectuales para combatir el tráfico online de contenidos y productos protegidos, ya sea por derechos de autor o de propiedad intelectual.

¿Qué contenidos son afectados?
Entre estos se pueden contar por ejemplo música, películas, libros, obras artísticas y productos copiados o falsificados que no tributan las correspondientes tasas a los propietarios de sus derechos de autoría o invención.

¿Cuál es su alcance?
El proyecto de ley originalmente propuesto permite que tanto el Departamento de Justicia de los Estados Unidos, como los propietarios de derechos intelectuales, puedan obtener órdenes judiciales contra aquellos sitios de internet que permitan o faciliten la violación de los derechos de autor. Dependiendo de quién sea el que solicite la orden judicial, las acciones previstas contra el sitio web podrían incluir:
1) Restricción al acceso a empresas que brindan un servicio de facilitación de pago tales como Paypal o que ofrecen dinero a cambio de colocar publicidad online.
2) Restricción en los buscadores que vinculan con tales sitios.
3) Requerimiento a los proveedores de internet, para que bloqueen el acceso a tales sitios.

¿Penalidades?
El proyecto de ley convierte en un crimen al la difusión de contenido no autorizado o protegidos por copyright, y prevé una pena máxima de cinco años de prisión por cada diez piezas musicales o películas descargadas dentro de los seis meses desde su estreno. El proyecto además brinda inmunidad a todos aquellos proveedores de Internet que voluntariamente lleven a cabo acciones contra tales sitios haciendo además responsable al sitio web infractor de cualquier daño producido al titular de los derechos, incluso sin tener que demostrarlo.

Hay un video en español muy claro, donde explica más sobre la Ley, para accederlo visite este sitio.

Hasta la próxima

Fuente: wikipedia

Actualizaciones plataforma Microsoft - ENERO 2012

2012-01-10T21:32:00.002-03:00

Empezamos el año con nuevas actualizaciones para la plataforma Microsoft. El boletín publicado en el día de la fecha contiene siete actualizaciones:

1) MS12-004: Vulnerabilidades en Windows Media podrían permitir la ejecución remota de código (2636391) Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo multimedia especialmente diseñado. Un atacante que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
Si bien esta actualización figura como crítica, en los servidores que no se usen archivos de multimedia puede ser desestimado.
CLASIFICACION: CRITICO

2) MS12-001: Una vulnerabilidad en el kernel de Windows podría permitir la omisión de característica de seguridad (2644615) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir a un atacante omitir la característica de seguridad de SafeSEH en una aplicación de software. Un atacante podría usar otras vulnerabilidades para aprovechar el controlador de excepciones estructuradas para ejecutar código arbitrario. Solo las aplicaciones de software que se compilaron con Microsoft Visual C++ .NET 2003 se pueden usar para aprovechar esta vulnerabilidad.
CLASIFICACION: IMPORTANTE

3) MS12-002: Una vulnerabilidad en Empaquetador de objetos podría permitir la ejecución remota de código (2603381) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo legítimo con un objeto empaquetado insertado que se encuentre en el mismo directorio de red que un archivo ejecutable especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION: IMPORTANTE

4) MS12-003: Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2646524) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008. Todas las ediciones compatibles de Windows 7 y Windows Server 2008 R2 no están afectadas por esta vulnerabilidad.
CLASIFICACION: IMPORTANTE

5) MS12-005: Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código (2584146) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado con una aplicación ClickOnce insertada malintencionada. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION: IMPORTANTE

6) MS12-006: Una vulnerabilidad en SSL/TLS podría permitir la divulgación de información (2643584) Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en SSL 3.0 y TLS 1.0. Esta vulnerabilidad afecta al protocolo y no es específica del sistema operativo Windows. La vulnerabilidad podría permitir la divulgación de información si un atacante intercepta tráfico web cifrado que se sirva desde un sistema afectado. TLS 1.1, TLS 1.2 y todos los conjuntos de programas de cifrado que no usan el modo CBC no están afectados.
CLASIFICACION: IMPORTANTE

7) MS12-007: Una vulnerabilidad en la biblioteca AntiXSS podría permitir la divulgación de información 2607664) Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la biblioteca antiscripts de sitios de Microsoft (AntiXSS). La vulnerabilidad podría permitir la divulgación de información si un atacante pasa un script malintencionado a un sitio web con la función de saneamiento de la biblioteca AntiXSS. Las consecuencias de la divulgación de dicha información dependen de la naturaleza de la propia información.
CLASIFICACION: IMPORTANTE

Les recordamos que se realizará un Webcast con las explicaciones de las actualizaciones publicadas en este boletín, para asistir al mismo, visite este sitio.

Para los clientes de ambientes corporativos, recomendamos:

1) Implemente el servicio de WSUS, el mismo le permitirá verificar las actualizaciones y hacer un despligue ordenado del mismo.
2) Revise los documentos técnicos en aquellas actualizaciones que puedan impactar en servidores que poseen aplicaciones de tercero. Se recomienda implementar las actualizaciones previamente en un escenario de prueba.
3) Mantenga la plataforma actualizada, es la mejor manera de prevenir problemas de seguridad.

Hasta la próxima.

Fuente: Microsoft.

WebCast Actualizaciones de Seguridad de Enero 2012

2012-01-10T09:14:00.002-03:00

En el día de hoy, Microsoft publicará el boletín de seguridad correspondiente al mes de Enero, para aquellos que quieran interiorizarse más sobre estas actualizaciones, en el día de mañana, se realizará un Webcast ampliando los contenidos del boletín.
Para suscribirse al Webcast, visitar esta url.

En la próxima publicación, estaremos dando a conocer las actualizaciones de este mes.

Hasta la próxima!

Adiós a Internet Explorer 6

2012-01-09T19:52:00.003-03:00

En varios países de Latinoamérica, muchos de los usuarios de los S.O Ms Windows, aún hoy siguen usando el navegador Internet Explorer 6.0, sobre todo en ambientes corporativos. Esta versión aún perdura, por varias razones:

1) Es la versión que traía consigo el S.O XP y no se procedió actualizarlo.
2) Compatible con sitios Web desarrollados en algunas tecnologías que si bien son compatibles con Internet Explorer 7.0 o posteriores, pero no se desean tocar líneas de código o bien hacer ajustes en algunos de los parámetros de los nuevos navegadores. Muchos de esos parámetros pueden ser desplegados por políticas de Active Directory, reduciendo la carga administrativa en las redes.
3) No se actualizan los S.O. XP por contar con muy bajo recursos de memoria.

Tarde o temprano, deberán actualizar la versión de Internet Explorer que nació en el 2001, sobre todo si desean aprovechar las opciones de seguridad que protegen el ordenador al momento de navegar por Internet.
En Microsoft, se ha desarrollado un plan, que por el momento estará vigente en Australia y Brasil, que permitirá al Ms Windows Update realizar la actualización dle IE 6.0 a la versión IE 8.
La versión de IE 8.0 además de poseer ventajas importantes para el ambiente del desarrollo, posee elementos que permiten ofrecer al usuario una navegación segura.

Dentro de algunas de las ventajas de seguridad del IE 8.0, encontramos:

1) Resaltado del dominio: a medida que el usuario navega por Internet, podrá observar que el nombre de DNS del sitio que está visitando está en negrita. El usuario podrá verificar la dirección del sitio que visita y de esta manera no ser engañado, por ejemplo, por sitios de phising.

2) Filtro SmartScreen: ayuda al usuario a protegerse contra los ataques de suplantación de identidad (phishing) en línea, sitios web simulados o sitios fraudulentos. También analizará las descargas y le avisará al usuario de un posible malware (software malintencionado).

3) El filtro de scripts de sitios (XSS): evita ataques de sitios fraudulentos que podrían intentar robar su información personal y financiera (ataques de phising).

4) Navegación InPrivate: el usuario lo puede usar para visitar la web sin guardar datos relacionados, como cookies, históricos de sitios visitados y archivos temporales de Internet.

5) Filtrado ActiveX: bloquea los controles ActiveX para todos los sitios y permite que, después, usted pueda volver a activarlos sólo para los sitios en los que confía.

6) Notificaciones: advierten si la configuración de seguridad se encuentra por debajo de los niveles recomendados, si bien en versiones anteriores esto estaba disponible, recomendamos siempre tenerlo activo.

El plan establecido, involucra a Internet Explorer 8 que sustituirá automáticamente a IE7 e IE6 en Ms Windows XP que tengan instalado el Service Pack 3 (recordemos que esta es la versión actualmente soportada por Microsoft), mientras que los usuarios de Ms Windows Vista SP2 y Ms Windows 7 recibirán Internet Explorer 9. Por otro lado, recordamos que Ms Windows XP no tiene soporte para IE9, por lo cual quedarán con IE 8.0

Lo cierto es que la actualización es necesaria, sobre todo si queremos mantener los parámetros de seguridad. Para aquellos que aún no saben que impacto puede provocar esta actualización en la compañía, sugerimos:

1) Armar un ambiente de prueba con XP, Vista y Windows 7 (seleccionar el S.O más representativo de la organización) y actualizar el IE a la version IE 8.0
2) Realizar pruebas de acceso a la Intranet y aplicativos Web.
3) Verificar comportamiento en la navegación a Internet y realizar los ajustes necesarios.
4) Verificar el funcionamiento con la opción o modo de "Vista de Compatibilidad".
5) Documentar los ajustes y verificar un despliegue por GPO o políticas de Active Directory.
6) Confeccionar un plan de actualización.

Si requiere de Guías para implementar IE 9 adecuadamente les recomiendo visitar estos sitios:

1) Guía de implementación de Windows® Internet Explorer®, presione AQUI.
2) Kit de administración de Internet Explorer 9, presione AQUI.
3) Internet Explorer 9 Overview, presiona AQUI.

IE 6.0 se nos vá, a ponerse en marcha...
Hasta la próxima.

Fuente : Microsoft

Boletín de seguridad de Microsoft MS11-100 - Crítica

2012-01-09T19:40:00.002-03:00

Estimados, hemos comenzado el año con las actualizaciones. A fin del 2011, mas precisamente el 29/12 Microsoft publicó un boletín crítico fuera del período regular de actualizaciones.
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y tres vulnerabilidades de las que se ha informado de forma privada en Microsoft .NET Framework.
La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante no autenticado envía una solicitud web especialmente diseñada al sitio de destino. Un atacante que consiguiera aprovechar esta vulnerabilidad podría realizar cualquier acción en el contexto de una cuenta existente en el sitio ASP.NET, incluida la ejecución de comandos arbitrarios. Para aprovechar esta vulnerabilidad, el atacante debe poder registrar una cuenta en el sitio ASP.NET y debe conocer un nombre de usuario existente.
Esta actualización de seguridad se considera crítica para Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 Service Pack 1, Microsoft .NET Framework 3.5.1 y Microsoft .NET Framework 4 en todas las ediciones compatibles de Microsoft Windows.
Para más información sobre dicho boletín, visitar el artículo aquí.

Hasta la próxima.

Fuente: Microsoft

Actualizaciones Zona Horarias

2011-12-15T19:55:00.003-03:00

El día de hoy (15/12/2011) se publicó el boletín 2633952, que hace referencia a la actualización de las zonas horarias para los diferentes S.O Microsoft. Esta actualización sustituye y reemplaza actualización 2570791 (http://support.microsoft.com/KB/2570791) , que se lanzó en agosto de 2011.

Importante
Antes de aplicar la actualización que se describe en este artículo, tenga en cuenta los posibles problemas que pueden afectar a Microsoft Outlook. Para obtener más información acerca de estos problemas, verlo en Microsoft Knowledge Base: 931667 (http://support.microsoft.com/kb/931667) Cómo abordar los cambios de zona horaria con la herramienta de actualización de datos de zona horaria para Microsoft Office Outlook .

Si está ejecutando Microsoft Exchange Server en un entorno de tecnología de información (IT), debe tomar medidas adicionales para garantizar el correcto funcionamiento de Exchange Server. Para obtener más información acerca de la actualización del horario de verano (DST) de Exchange, verlo en Microsoft Knowledge Base: 941018 (http://support.microsoft.com/kb/941018) Cómo abordar el horario de verano con la herramienta de actualizar calendario de Exchange.

Las actualizaciones acumulativas de zonas horarias sólo contienen datos que han cambiado para una región específica o que se ha agregado para mantener la paridad con otras versiones de sistema operativo. Por lo tanto, si se elimina una clave de la zona horaria, algunos de los valores originales no se restaura después de aplicar la actualización acumulativa de zonas.No se recomienda que elimine las claves del Registro relacionadas con las zonas horarias. En un equipo que tenga claves de zona horaria incompletas, restaure primero las claves de zona horaria desde una copia de seguridad buena conocida.

Las actualizaciones pueden ser bajadas accediendo a este boletín aqui.

Lea atentamente el boletín y verifique las KB que se recomiendan, ya que puede provocar desfasajes en el servidor de correo y dispositivos móviles.

Hasta la próxima.
Saludos

Fuente: Microsoft

Actualizaciones plataforma Microsoft - DICIEMBRE 2011

2011-12-15T19:43:00.004-03:00

Este mes, para terminar un año intenso, Microsoft publicó los siguientes boletines de seguridad. Recomendamos aplicar las mismas, por que incluyen la protección del gusano DUQU.

Ellos son:

1) MS11-087: Una vulnerabilidad en los controladores en modo kernel de Windows podría permitir la ejecución remota de código (2639417) Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un documento especialmente diseñado o visita una página web malintencionada que inserta archivos de fuentes TrueType.

2) MS11-090: Actualización de seguridad acumulativa de bits de interrupción de ActiveX (2618451) Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el software de Microsoft. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada que use un comportamiento binario específico en Internet Explorer. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. Esta actualización también incluye bits de interrupción para cuatro controles ActiveX de terceros.

3) MS11-092: Una vulnerabilidad en Windows Media podría permitir la ejecución remota de código (2648048) Esta actualización de seguridad resuelve una vulnerabilidad en Reproductor de Windows Media y Windows Media Center de la que se ha informado de forma privada. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de grabación de vídeo digital de Microsoft (.dvr-ms) especialmente diseñado. En todos los casos, no se puede obligar al usuario a que abra el archivo; para que el ataque se lleve a cabo, se debe convencer al usuario de que lo abra.

4) MS11-088: Una vulnerabilidad en Microsoft Office IME (chino) podría permitir la elevación de privilegios (2652016) Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office IME (chino). La vulnerabilidad podría permitir la elevación de privilegios si un usuario con la sesión iniciada realizara acciones específicas en un sistema donde esté instalada una versión afectada del editor de métodos de entrada (IME) de Microsoft Pinyin (MSPY) para chino simplificado. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos administrativos. Solo las implementaciones de Microsoft Pinyin IME 2010 están afectadas por esta vulnerabilidad. Otras versiones de IME de chino simplificado y otras implementaciones de IME no están afectadas.

5) MS11-089 : Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código (2590602) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Word especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

6) MS11-091: Vulnerabilidades en Microsoft Publisher podrían permitir la ejecución remota de código (2607702) Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y tres vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades más graves podrían permitir la ejecución remota de código si un usuario abre un archivo de Publisher especialmente diseñado. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control total de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

7) MS11-093: Una vulnerabilidad en OLE podría permitir la ejecución remota de código (2624667) Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en todas las ediciones compatibles de Windows XP y Windows Server 2003. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no están afectados por la vulnerabilidad.

8) MS11-094: Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (2639142) Esta actualización de seguridad resuelve dosvulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de PowerPoint especialmente diseñado. Un atacante que aprovechara cualquiera de las vulnerabilidades podría lograr el control total de un sistema afectado. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

9) MS11-095: Una vulnerabilidad en Active Directory podría permitir la ejecución remota de código (2640045) Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Active Directory, Active Directory Application Mode (ADAM) y servicio de directorio ligero de Active Directory (AD LDS). La vulnerabilidad podría permitir la ejecución remota de código si un atacante inicia sesión en un dominio de Active Directory y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, el atacante primero debe adquirir las credenciales para iniciar sesión en un directorio de Active Directory.

10) MS11-096: Una vulnerabilidad en Microsoft Excel podría permitir la ejecución remota de código (2640241) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. La instalación y configuración de Validación de documento de Office (OFV) para prevenir la apertura de archivos sospechosos bloquea las vías de ataque para aprovechar las vulnerabilidades descritas en CVE-2011-3403.

11) MS11-097: Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2620712) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada para enviar un mensaje de evento de dispositivo a un proceso de mayor integridad. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

12) MS11-098: Una vulnerabilidad en el kernel de Windows podría permitir la elevación de privilegios (2633171) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada para aprovechar la vulnerabilidad. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Los usuarios anónimos o los usuarios remotos no pueden aprovechar esta vulnerabilidad.

13) MS11-099: Actualización de seguridad acumulativa para Internet Explorer (2618444 ) Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La vulnerabilidad más grave podría permitir la ejecución remota de código si un usuario abre un archivo de lenguaje de marcado de hipertexto (HTML) legítimo que se encuentre en el mismo directorio que un archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado.

Se recomienda aplicar los mismos en su plataforma, ya que resuelven problemas de seguridad, en donde la ausencia de muchos de ellos pueden provocar la ejecución remota de código malicioso.

Hasta la próxima.

Saludos

PD: Fuente Microsoft.

Actualizaciones plataforma Microsoft - NOVIEMBRE 2011

2011-12-15T19:37:00.003-03:00

Buenas, los boletines de este mes fueron cuatri únicamente:

1) MS11-083: Una vulnerabilidad en TCP/IP podría permitir la ejecución remota de código (2588516) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante envía un flujo continuo de paquetes UDP especialmente diseñados a un puerto cerrado en un sistema de destino.

2) MS11-085: Una vulnerabilidad en Windows Mail y Windows Meeting Space podría permitir la ejecución remota de código (2620704) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo legítimo (como un archivo .eml o .wcinv) que se encuentre en el mismo directorio de red que un archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado. Después, al abrir el archivo legítimo, Windows Mail o Windows Meeting Space podría intentar cargar el archivo DLL y ejecutar el código que contenga. Para que un ataque tenga éxito, un usuario debe visitar una ubicación de sistema de archivos o recurso compartido WebDAV remoto que no sea de confianza y abrir un archivo legítimo (como un arc .eml o .wcinv) de dicha ubicación que será cargado por una aplicación vulnerable.

3) MS11-086: Una vulnerabilidad en Active Directory podría permitir la elevación de privilegios (2630837) Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Active Directory, Active Directory Application Mode (ADAM) y servicio de directorio ligero de Active Directory (AD LDS). La vulnerabilidad podría permitir la elevación de privilegios si Active Directory se configura para usar LDAP sobre SSL (LDAPS) y un atacante adquiere un certificado revocado que está asociado a una cuenta de dominio válida y, a continuación, usa dicho certificado para autenticarse en el dominio de Active Directory. De forma predeterminada, Active Directory no está configurado para usar LDAP sobre SSL.

4) MS11-084: Una vulnerabilidad en los controladores del modo kernel de Windows podría permitir la denegación de servicio (2617657) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un usuario abre un archivo de fuente TrueType especialmente diseñado como datos adjuntos de correo electrónico o navega a una ubicación de recurso de red o WebDAV que contenga un archivo de fuente TrueType especialmente diseñado. Para que se lleve a cabo un ataque, un usuario debe visitar la ubicación de sistema de archivo o recurso compartido WebDAV remoto que no sea de confianza que contenga el archivo de fuente TrueType especialmente diseñado o abra el archivo como datos adjuntos de correo electrónico. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a realizar estas acciones. Por lo tanto, tendría que atraerlos; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger.

Sabes como actualizar tu PC? Si no sabes, visita este sitio que te explica todo sobre Windows Update

Hasta la próxima.

Fuenta: Microsoft.

DUQU : Resolviendo vulnerabilidad de Word

2011-11-07T11:14:00.003-03:00

En las últimas semanas, el malware DUQU ha dado que hablar. Si bien no es un gusano que ocasione mayores problemas, se ha detectado que los equipos infectados intentan acceder a Internet para enviar información del equipo en donde esta alojado, además de abrir una puerta trasera. El equipo de Symantec ha detectado que el transporte de este código malicioso es mediante el uso de archivos de Word.
Microsoft hace unos días ha publicado un boletín (el Kb 2639658) en donde podrán encontrar como resolver el problema manualmente por ahora.
Si bien esta solución permite resolver parcialmente el problema, debe hacerse de manera manual bajando el Fix It. Pueden hacerlo desde AQUI.
Por otro lado recomendamos

1) Avisar a los usuarios que si reciben correos de personas desconocidad con archivos de Word, que no han sido solicitados, que no abran los mismos.
2) Mantener los equipos que poseen Ms Office actualizados, con los fixes y parches que recomienda Microsoft.
3) Mantener los S.O actualizados.
4) En los servidores que se ejecute el servicio de Terminal Server y poseen Ms Office, aplicar el artículo técnico KB 2639658.
5) Analizar el Dossier de Symantec y restringir conexiones en el proxy a las direcciones IP que figuran en el mismo.
6) Recomendar a los usuarios un manejo discrecional en el correo con archivos de Word, que para ello utilicen un file server o una Intrantet.
7) Mantener los antivirus actualizados.
8) Aplicar la KB 2639658 en la plataforma.
9) Revisar artículo anterior publicado en este blog sobre DUQU (Leer Aquí).

Seguramente subamos más información de este malware cuando esté disponible.
Hasta la próxima.

Evento de Seguridad en Perú

2011-11-02T22:27:00.009-03:00

Estimados
Los esperamos el día 14/11 en donde disertaremos sobre Seguridad en la Nube. El evento es organizado por Common Perú (http://www.commonperu.com/). A las 18:30 comenzaremos con la conferencia "Seguridad en la Nube".

Hasta la próxima

Stuxnet V 2.0 = DUQU

2011-10-19T23:56:00.004-03:00

Si recuerdan, en octubre del 2010, hicimos un artículo sobre un malware denominado Stuxnet (ver Aquí). Si bien el gusano no logró del todo su objetivo, hace unos días apareció un código malicioso que intenta reunir datos de la plataforma e información sobre los proveedores de sistemas de control industrial. El objetivo es recolectar dicha información para preparar nuevamente un ataque y lograr el objetivo (parar la planta o bien lograr un daño, recuerden que el objetivo original era parar las Centrales Nucleares de Irán).
El mismo ha sido denominado DUQU, debido a que genera archivos con prefijo "~DQ". El gusano no es dañino, ya que el objetivo es recolectar informacion de la plataforma.
Por el código y en base al comportamiento aseguran que los autores de DUQU son los mismos que elaboraron el malware Stuxnet o bien por desarrolladores que han accedido al código del mismo (Si recuerdan, Stuxnet está publicado en Internet y pueden bajar el código para analizar su comportamiento).

Cómo funciona?
Una vez infectado el sistema, por 36 días recolecta información y luego se remueve de la plataforma. Mientras está funcionando, utiliza los protocolos HTTP y HTTPS para conectarse con un servidor externo (alojado en la India, cuya dirección IP es la 206.183.111.97) y enviar la informacion recolectada.
Los atacantes utilizaron Duqu para instalar un software Infostealer (pariente del keylogger), que puede grabar las pulsaciones de teclado, y recopilar información del sistema. Los atacantes estaban en busca de activos de información que pueda ser utilizado en un ataque futuro. Según Symantec, en su dossier, detalla que encontró dos variantes, una de ellas fue recuperadas con binarios cuya fecha era el 1 de septiembre de 2011. La otra variante, con fecha del 17 de Octubre de 2011.

Según informa Symantec, el gusano consiste en un archivo de controlador, una DLL (que posee varios archivos incrustados), y un archivo de configuración. Estos archivos deben ser instalados por otro ejecutable (el instalador), que según Symantec aún no ha recuperado. El instalador registra el archivo del controlador como un servicio para que comience en la inicialización del sistema. El conductor entonces le inyecta la DLL principal en services.exe. A partir de aquí, el archivo DLL principal se inicia la extracción de otros componentes y estos componentes se inyectan en otros procesos.

Archivos
En las dos versiones se pueden identificar los archivos alojados en el equipo.

Primera Versión:
- jminet7.sys
-netp191.PNF
- 302 resource
- netp192.pnf

Segunda Versión:
-cmi4432.sys
-cmi4432.pnf
- 302 resource
- cmi4464.PNF

En ambos el InfoStealer está en [TEMP FILE NAME].

Recomendaciones
Para evitarlo, sugerimos, dentro de los equipos de la red industrial:

1) Habilitar un firewall en su ordenador.
2) Evitar accesos a Internet y uso de pendrives desde esos equipos.
3) Obtenga las últimas actualizaciones de equipo para todo el software instalado.
4) Mantenga el software antivirus actualizado tanto le sea posible
5) Limitar los privilegios de usuario en el equipo, para que no se pueda instalar las DLL.
6) Tenga cuidado al abrir archivos adjuntos y aceptar transferencias de archivos.
7) Tenga cuidado al hacer clic en enlaces a páginas web.
8) Evitar la descarga de software pirateado, sobre todo aquel que es utilizado en este tipo de redes.
9) Utilice contraseñas seguras.

Más información.
Para obtener información más detallada, les recomendamos bajar el dossier de Symantec para DUQU, puede hacerlo desde aquí.
Por otro lado Microsoft lo tiene identificado, si desea acceder a la Enciclopedia de malware de Microsoft para tener más detalle del gusano, visite este sitio.

Por último, recomendamos estar atentos, si bien esta variante solo recolecta información, pueden aparecer otras ya con fines malicioso por contar con parte de la informacion de vuestra infraestructura o bien con un patrón de desarrollo de la misma, ya que observamos en muchas compañías ausencias de seguridad en los equipos que están asociados a las plantas industriales. Ya no sirve más el "funciona, no se toca más".

Fuentes: Symantec y Microsoft.

Hasta la próxima!

Se viene el CODECAMP

2011-10-11T22:01:00.007-03:00

Buenas, se viene el evento más esperado, el CODECAMP!!!
CodeCamp es un evento que reune a Estudiantes, Profesionales y Empresas del área de Informática, realizado por diferentes miembros y empresas de la comunidad, y Universidades desde el año 2007.
Quien dirá tantas sesiones de Tecnología para vos!!.

No faltes, la cita es el 15 de Octubre en la Universidad Abierta Interamericana.

Cuál es mi sesión?
Yo los espero a las 11:50 con la sesión "Un usuario nuevo en la red, un dolor de cabeza (Administración de Identidades)"

Dónde es?
En la Universidad Abierta Interamericana, Av. San Juan 951 (Capital Federal).
Buenos Aires-Ciudad de Buenos Aires-Argentina.

No podes faltar!!!
Registrate AQUI

Actualizaciones plataforma Microsoft - OCTUBRE 2011

2011-10-11T21:52:00.004-03:00

Aquí estamos otro mes, presentando los boletines de seguridad de Octubre:

- MS11-078: Una vulnerabilidad en .NET Framework y Microsoft Silverlight podría permitir la ejecución remota de código (2604930): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft .NET Framework y Microsoft Silverlight. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP) o aplicaciones Silverlight. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. La vulnerabilidad también podría permitir la ejecución remota de código en un sistema de servidor que ejecute IIS si dicho servidor permite el procesamiento de páginas ASP.NET y un atacante consigue cargar una página ASP.NET especialmente diseñada en el servidor y la ejecuta, como puede ser el caso de un escenario de hospedaje web. Esta vulnerabilidad también la podrían usar aplicaciones Windows .NET para omitir las restricciones de seguridad de acceso del código (CAS).

- MS11-081: Actualización de seguridad acumulativa para Internet Explorer (2586448): Esta actualización de seguridad resuelve ocho vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

- MS11-075: Una vulnerabilidad en Microsoft Active Accessibility podría permitir la ejecución remota de código (2623699): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el componente Microsoft Active Accessibility. La vulnerabilidad podría permitir la ejecución remota de código si un atacante convence a un usuario de que abra un archivo legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado. Después, al abrir el archivo legítimo, el componente Microsoft Active Accessibility puede intentar cargar el archivo DLL y ejecutar el código que contiene. Para que un ataque tenga éxito, un usuario debe visitar una ubicación de sistema de archivos o recurso compartido WebDAV remoto que no sea de confianza y abrir un documento de dicha ubicación que será cargado por una aplicación vulnerable.

- MS11-076: Una vulnerabilidad en Windows Media Center podría permitir la ejecución remota de código (2604926): sta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Windows Media Center. La vulnerabilidad podría permitir la ejecución remota de código si un atacante convence a un usuario de que abra un archivo legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado. Después, al abrir el archivo legítimo, Windows Media Center podría intentar cargar el archivo DLL y ejecutar el código que contenga. Para que un ataque tenga éxito, un usuario debe visitar una ubicación de sistema de archivos o recurso compartido WebDAV remoto que no sea de confianza y abrir un archivo legítimo.

- MS11-077: Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la ejecución remota de código (2567053): Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un archivo de fuente especialmente diseñado (como un archivo .fon) en un recurso compartido de red, una ubicación UNC o WebDAV, o en datos adjuntos de correo electrónico. Para que un ataque remoto se lleve a cabo, el usuario debe visitar una ubicación de sistema de archivo o recurso compartido WebDAV remoto que no sea de confianza y abrir el archivo de fuente especialmente diseñado, o bien abrir el archivo como datos adjuntos de correo electrónico.

- MS11-079: Vulnerabilidades en Microsoft Forefront Unified Access Gateway podrían provocar la ejecución remota de código (2544641): Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada en Forefront Unified Access Gateway (UAG). La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visita un sitio web afectado mediante una URL especialmente diseñada. No obstante, el atacante no podría obligar a los usuarios a visitar un sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

- MS11-080: Una vulnerabilidad en el controlador de función auxiliar podría permitir la elevación de privilegios (2592799): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el controlador de función auxiliar de Microsoft Windows (AFD.SYS). La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema del usuario y ejecuta una aplicación especialmente diseñada. Para aprovechar la vulnerabilidad, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

- MS11-082: Vulnerabilidades en Host Integration Server podrían permitir la denegación de servicio (2607670): Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma pública en Host Integration Server. Las vulnerabilidades podrían permitir la denegación de servicio si un atacante remoto envía paquetes de red especialmente diseñados a un servidor Host Integration Server que escuche en el puerto UDP 1478 o en los puertos TCP 1477 y 1478. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos. En este caso, los puertos de Host Integration Server de salida deben bloquearse desde Internet.

Para más información o bajar alguna de las actualizaciones, visite ESTE SITIO.
Fuente: Microsoft Corp.

Hasta la próxima.

Si no ajustas las contraseñas, estas "Morto"- Gusano Morto

2011-09-26T22:48:00.006-03:00

Introducción
Hace unos días que estamos haciendo seguimiento al comportamiento de algunas alertas de los IPS (Intrusion Prevention Service) que poseen algunas compañías, que por cuestiones de negocio, han publicado los servicios de RDP (Remote Desktop Protocol) ha Internet.
Los IPS han evidenciado intentos de conexión masiva de direcciones IP (Internet Protocol) de diferentes lugares siendo muy masivos los intentos de conexión.
Analizando,los intentos de conexión, se corresponde al comportamiento de un nuevo gusano llamado Morto que ha comenzado a circular en Internet en los último días, que intenta infectar máquinas a través de RDP. El comportamiento del gusano se evidencia por que el mismo genera una gran cantidad de tráfico RDP de salida en redes que tienen las máquinas infectadas, y Morto es capaz de poner en peligro tanto a los servidores y estaciones de trabajo Windows que poseen este protocolo habilitado.

Escenarios WAN
Si el escenario es por la publicación a Internet del RDP, vamos a ver en los IPS una cantidad importante de intentos de conexión con direcciones de IP falsificadas (Spoofing). Una manera de mitigar este tipo de intentos de conexión es cambiando la configuración del escenario WAN:

1) No publicar el servicio de RDP, permitiendo el acceso al mismo mediante conexiones de VPN (IPSec, SSL o PPTP).
2) Ajustar y mantener actualizado su plataforma de IPS, con generación de alertas al referente de seguridad de la compañía.
3) Definir de donde pueden acceder al RDP.
4) Administrar usuarios con contraseñas complejas, definiendo horarios de acceso por parte del usuario.

Escenario LAN
Normalmente este tipo de protocolo, en la red LAN está diposnible tanto para acceder a un servidor como para tomar control remoto de una PC o Desktop. La manera de evitar un problema en la red es:

1) Ajustar muy bien los antimalware para que detecten y denieguen este tipo de conexiones masivas. Es importante que el software detecte el gusano en el desktop.
2) Configurar los firewall de los servidores, permitiendo que solo los equipos autorizados utilicen el puerto RDP, siempre que sea necesario por el desktop cliente. Esto significa, no permitir conexiones masivas de todas las PC de la red, es más bien, definir quienes deben acceder a este protocolo y permitir el acceso.
3) Utilizar una solución de NAC que permita mandar a cuarentena un equipo con comportamiento anómalo.
4) Utilizar contraseñas complejas en los usuarios que necesitan acceder a un servicio de Terminal Server.

Estadísticas y Comportamiento
Según el MMPC (Microsoft Malware Protection Center), el gusano ya está en mas de 87 paises y el sistema operativo más afectado es XP.También hemos descubierto que Morto intenta vulnerar la cuenta administrador mediante la fuerza bruta a conexiones RDP con su ataque de diccionario simple.
Inicialmente las pruebas de conectividad de la máquina afectada Internet, tratando de conectarse a una dirección IP 74.125.71.104. Si este intento no tiene éxito, entonces los reintentos a través de direcciones IP en la subred del ordenador afectado, y tratando de conectarse a las máquinas que se hayan empleado los siguientes nombres de usuario:

1
actuser
adm
admin
admin2
administrator
aspnet
backup
computer
console
david
guest
john
owner
root
server
sql
support
support_388945a0
sys
test2
test3
user
user1
user5

Es importante recordar que este malware no se aprovecha de una vulnerabilidad en Remote Desktop Protocol, sino que se basa en contraseñas débiles (se puede ver las contraseñas utilizadas por Morto en la enciclopedia de Microsoft). Si no lo ha hecho, verificar si estos nombres de usuario se están utilizando en su entorno y cambiar las contraseñas asociadas a las que son fuertes (y definitivamente no en la lista de contraseñas). Incluso los ordenadores que han sido limpiados de esta amenaza puede ser afectados si las contraseñas no se cambian y el equipo sigue sin protección.

Cuando el gusano detecta una clave (protocolo RDP permite el acceso), se conecta al sistema remoto y empieza el proceso de intento de reproducirse. El malware se compone de un instalador y una biblioteca de enlace dinámico (DLL). El archivo DLL tiene el mismo nombre que uno utilizado por el Regedit y contiene información de configuración cifrada para descargar y ejecutar al menos tres componentes adicionales.

Moraleja
El secreto es cumplir con las buenas prácticas. En este caso, la utilización de una buena contraseña (definimos buena contraseña cuando cumple con los niveles de fortaleza recomendados) fortalezerá el sistema.
Si tiene dudas si la contraseña que Usted utiliza es compleja o cumple con dicha característica, puede visitar este sitio y al transcribir la contraseña, le indicará el nivel de fortaleza.
Si no ajustas las contraseñas, estas "Morto".

Resumiendo
Este gusano lo que intenta es robar la contraseña de usuarios, utilizando el viejo y conocido sistema de Fuerza Bruta. No es una vulnerabilidad del protocolo RDP, es más bien, un mal seteo de las contraseñas de usuarios de la red. Ovbiamente, si Usted publica su RDP a Internet, los ajustes deben ser inmediatos, ya que allí un desconocido puede lograr el acceso a su red.

Hasta la próxima.
Fuente: Microsoft

Actualizaciones plataforma Microsoft - SEPTIEMBRE 2011

2011-09-18T20:53:00.003-03:00

Este mes contamos con los siguientes boletines:

1) MS11-070: Una vulnerabilidad en WINS podría permitir la elevación de privilegios (2571621)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Servicio de nombres Internet de Windows (WINS). La vulnerabilidad podría permitir la elevación de privilegios si un usuario recibe un paquete de réplica de WINS especialmente diseñado en un sistema afectado que ejecuta el servicio WINS. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

2) MS11-071: Una vulnerabilidad en los componentes de Windows podría permitir la ejecución remota de código (2570947)
Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de formato de texto enriquecido (.rtf), un archivo de texto (.txt) o un documento de Word (.doc) legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

3) MS11-072: Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (2587505)
Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. La instalación y configuración de Validación de documento de Office (OFV) para prevenir la apertura de archivos sospechosos bloquea las vías de ataque para aprovechar las vulnerabilidades descritas en CVE-2011-1986 y CVE-2011-1987.

4) MS11-073: Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2587634)
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Office Visio. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado o si un usuario abre un archivo de Office legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado. Un intruso que aprovechara cualquiera de las vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

5) MS11-074: Vulnerabilidades en Microsoft SharePoint podrían permitir la elevación de privilegios (2451858)
Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Microsoft SharePoint y Windows SharePoint Services. Las vulnerabilidades más graves podrían permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada o visita un sitio web especialmente diseñado. En las vulnerabilidades más graves, los usuarios de Internet Explorer 8 e Internet Explorer 9 que exploren un sitio de SharePoint en la zona Internet están menos expuestos porque, de forma predeterminada, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 contribuye a bloquear los ataques en la zona Internet. No obstante, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 no está habilitado de forma predeterminada en la zona Intranet.

Hasta la próxima.
Fuente: Microsoft

WINDOWS AZURE™ INTRODUCCIÓN A LA SEGURIDAD

2011-09-18T20:39:00.007-03:00

Información General
Windows Azure es una plataforma de informática en nube que ha sido diseñada para proporcionar un host escalable y confiable para aplicaciones de Windows en funcionamiento en la nube.

El entorno de nube por diseño proporciona escalabilidad, confiabilidad y disponibilidad –pero al mismo tiempo, también debe proporcionar garantías de que hospedar aplicaciones y guardar datos en la nube es seguro.

Dudas acerca de la seguridad, la privacidad, la confiabilidad y el control operacional encabezan la lista de barreras potenciales al uso de soluciones de informática en nube. Por consiguiente, Windows Azure usa una matriz de controles de seguridad y de directivas de privacidad para asegurar la máxima seguridad para datos y aplicaciones.

La seguridad es un sujeto multidimensional, que comprende la seguridad física, la seguridad de la red, la seguridad del host, la seguridad de las aplicaciones, y la seguridad de los datos. Para establecer una solución segura, se deben tener en cuenta todas estas dimensiones.

Así como el proveedor de nube es responsable de la máquina y del sistema operativo, también responde por la seguridad, lo cual significa que el proveedor de nube debe manejar los dominios de la seguridad física, la seguridad de la red y la seguridad del host.

Windows Azure es una plataforma PaaS, que se utiliza para el hospedaje de aplicaciones. Así, se libera al cliente de la necesidad de hacerle mantenimiento a la máquina, a la red y a l sistema operativo. El cliente es responsable únicamente de la aplicación.

Este documento describe cómo Windows Azure utiliza una amplia gama de controles de seguridad para cumplir con sus responsabilidades como un proveedor PaaS y para proporcionar tecnologías de seguridad que ayuden a sus clientes a asegurar sus aplicaciones y datos en la nube.

¿Qué es la seguridad?
La seguridad es la habilidad de proteger algo (por ejemplo, el software), de cualquier peligro o amenaza.

Es imposible lograr la seguridad total; solo se puede procurar hacer lo mejor posible para obtener una seguridad máxima. El aspecto más importante de la seguridad es que es un tema de todo o nada: si un dominio de seguridad permanence desprotegido, todos los controles de seguridad que se implementaron en otros dominios pierden valor.

En el campo del software, el problema de seguridad comúnmente se divide en los siguientes dominios:

• Seguridad física: Quién tiene acceso físico a los servidores? Quién puede implementar revisiones e instrumentos en los servidores? Si una persona no autorizada puede accede a los servidores e implementar instrumentos en él, esa persona es dueña y la seguridad ha fallado.
• Seguridad de red: Qué tan protegida está la comunicación entre el servidor y la aplicación? Si una persona no autorizada pude olfatear los datos o ejecutar un ataque de tipo “Man in the middle” o algún otro ataque de redes (como DDoS), esa persona se ha adueñado del servidor y la seguridad ha fallado.
• Seguridad de host: Qué tan protegido y actualizado está el sistema operativo? Revisiones de seguridad proporcionan una mitigación de riesgos para brechas a la seguridad descubiertas recientemente. Si el sistema operativo no es revisado con regularidad, aún es susceptible a este tipo de ataques. Qué tan aislado está el host? Un host puede tener influencia sobre otro? Si una persona no autorizada posee un host vecino y puede usarlo para ejercer influencia sobre un host, esa persona es dueña del servidor y la seguridad ha fallado. El host tiene funciones y/o instrumentos innecesarios que pueden ser utilizados por una persona no autorizada para montar un ataque? En la medida en que se instale un mayor número de funciones y herramientas en el host, asimismo se amplía la superficie expuesta a ataques.
• Seguridad de aplicaciones: Cómo maneja una aplicación los temas de Por seguridad? Sólo la aplicación conoce sus asuntos y los escenarios de uso; es por consiguiente la aplicación la que está al mando, y nadie debería tener la facultad de usar las capacidades legítimas de la aplicación para montar un ataque. Por ejemplo, si una persona no autorizada puede usar la aplicación para tener acceso a la base de datos, esa persona es dueña del servidor y la seguridad ha fallado.
• Seguridad de datos: ¿Qué tan bien protegidos están los datos de un acceso no autorizado? Los datos están cifrados? Qué tan aislada está la base de datos? Si una persona no autorizada puede tener acceso a los datos, esa persona es dueña del servidor y la seguridad ha fallado.
• Seguridad humana y organizacional: Las personas deben usar la aplicación; de lo contrario, la aplicación es inútil. Por consiguiente, por diseño, estas personas deben tener acceso a los datos y tener la posibilidad de ejecutar los escenarios de uso.
Si una persona no autorizada puede manipular a las personas para obtener acceso a los datos o para ejecutar escenarios de uso maliciosos, esa persona es dueña del servidor y la seguridad ha fallado. ISO 27002 (previamente 17799) es un ejemplo de estándar que maneja los aspectos humanos y organizacionales de seguridad de IT.

La Plataforma como un Modelo de seguridad de servicio
Las soluciones de informática en nube se pueden dividir en tres categorías principales:

Infraestructura como servicio (IaaS):
El proveedor de servicios proporciona máquinas virtuales que funcionan en un centro de datos compartido como un servicio. Los clientes instalan y ejecutan sus aplicaciones en estos equipos como si estuvieran ubicados en el centro de datos del cliente.

Plataforma como servicio (PaaS):
El proveedor de servicios proporciona un entorno en el que puede ejecutar aplicaciones.

Software como servicio (SaaS):
El proveedor de servicios proporciona una aplicación en funcionamiento en la nube que ejecuta las transacciones de negocios del cliente.

En el caso de software local tradicional, toda la responsabilidad recae sobre el dueño del software. En Infraestructura como servicio (IaaS), el proveedor es responsable por la infraestructura física, pero todo, desde el sistema operativo en adelante, está bajo la responsabilidad del dueño. En Plataforma como servicio (PaaS), el dueño es responsable únicamente de la aplicación. En Software como servicio (SaaS), el cliente únicamente usa la aplicación y no tiene ninguna responsabilidad. Ver la Figura 1.

Estas responsabilidades incluyen problemas de seguridad. En PaaS, el proveedor en nube tiene que proporcionar los controles de seguridad en todos los casos, incluyendo el dominio de las aplicaciones. La seguridad de aplicaciones representa la frontera entre la responsabilidad del cliente y la responsabilidad del proveedor.

Windows Azure es una clásica solución tipo PaaS. Este document describe cómo Microsoft cumple con sus obligaciones como proveedor PaaS.

Asegurar el Centro de datos
La seguridad física es el dominio más fundamental de la seguridad. Si el servidor en el que la aplicación se encuentra no está protegido físicamente, obviamente no está seguro.

Windows Azure se ejecuta en centros de datos distribuidos geográficamente, que comparten espacio y utilidades con otros Servicios de Microsoft en Línea. Los centros de data de Microsoft están asegurados “24/7” (veinticuatro horas al día, siete días a la semana), y emplean varias medidas para proteger las operaciones de fallas de energía, de intrusiones físicas y de interrupciones de la red. Estos centros de datos cumplen con estándares de la industria para la seguridad física y para la confiabilidad, y son manejados, supervisados y administrados por personal de operaciones de Microsoft.

Microsoft utiliza mecanismos de acceso estándares en la industria para proteger tanto la infraestructura física de Windows Azure como las instalaciones de los centros de datos. El acceso se limita a un muy reducido número de personal de operaciones y se autentica usando sistemas de acceso de última generación, con control biométrico.

La importancia del cumplimiento de los reglamentos ha aumentado dramáticamente con la proliferación de estándares globales tales como ISO 27001 y Safe Harbor, entre muchos otros. Certificaciones confiables de terceros proporciona un mecanismo bien establecido para demostrar la protección de los datos del cliente sin por ello conceder excesivo acceso a equipos de auditores independientes que podrían amenazar la integridad de la plataforma global.

Windows Azure opera en la infraestructura de Microsoft Global Foundation Services (GFS), partes de la cual están certificadas por ISO 27001. ISO 27001 es reconocido a nivel mundial como uno de los mejores estándares internacionales de manejo de seguridad de la información. Adicionalmente, Microsoft Corporation es signatario de Safe Harbor y está comprometido con cumplir con todas sus obligaciones bajo los reglamentos estipulados por el Safe Harbor Framework.

Aunque la responsabilidad del cumplimiento de las leyes, los reglamentos, y los requerimientos de la industria permanece como responsabilidad de los clientes de Windows Azure, Microsoft está comprometido a ayudar a sus clientes a lograr el cumplimiento con todos los otros estándares requeridos.

Para más información sobre la seguridad que proporciona Microsoft Global Foundation Services (GVS), por favor visite:

http://www.globalfoundationservices.com

Asegurar la red
El segundo dominio de seguridad que está bajo la responsabilidad del proveedor de nube es el de la red. Las redes de Windows Azure están diseñadas para mitigar el riesgo tanto de ataques que se originen del internet como de aquellos ataques provenientes del interior del centro de datos por nodos maliciosos implementados como roles de Azure.

Cada Rol de Azure se implementa en un equipo virtual separado (por ejemplo, un invitado VM), aislado del Internet y de otras partes de la infraestructura de Windows Azure con el uso de VLANS. Los VLANs dividen la red de tal manera que no es posible la comunicación entre VLANs sin pasar por un enrutador (router), lo cual previene que un nodo comprometido pueda falsificar tráfico por fuera de su VLAn excepto a otros nodos en su VLAN, además de que le prohíbe “escuchar” tráfico que no va desde o hacia su VLAN.

Hay tres VLANs en funcionamiento. Los Azure Role VMs se implementan al VLAN principal, mientras que los nodos de Fabric Controller (FC) responsables de implementar nuevos roles y de supervisar los nodos existentes funcionan en un VLAN separado. Un dispositivo VLAN contiene la red confiable y otros dispositivos de infraestructura. La comunicación es permitida del FC VLAN al VLAN principal, pero esta comunicación se debe iniciar desde el FC VLAN y no se podrá iniciar desde el VLAN principal. La comunicación también está bloqueada desde el VLAN al dispositivo VLAN. Esto asegura que aún si un nodo implementando código del cliente está comprometido, no podrá atacar nodos en el FC o en dispositivos VLAN.

La comunicación con el invitado VM se asegura usando tres capas o niveles de protección más: filtrado de paquetes, un firewall de IP tradicional, y comunicación segura.

Filtrado de paquetes
El hipervisor funciona directamente sobre el hardware y divide un nodo en un número variable de VMs. Cada nodo también tiene una máquina “raíz” virtual, que implementa el sistema operativo del host sobre sistemas controlados por hipervisores.

El hipervisor y la raíz del sistema operativo proporcionan filtros de paquetes para la red, que aseguran que invitados VMs no confiables no puedan generar tráfico de identidad suplantada, recibir tráfico no dirigido a ellos, dirigir tráfico hacia extremos de infraestructura protegidos, ni enviar o recibir tráfico de difusión inapropiado.

Firewalls de IP
En la definición de servicio es posible definir extremos para que Azure Roles los exponga. La definición del extremo contiene el protocolo y el puerto a ser utilizando, y así actúa como unas reglas de firewall simple para el invitado VM. Los extremos se pueden definir para aceptar conexiones del internet o de roles que pertenezcan a la misma aplicación. Conexiones entre instancias de Roles de diferentes aplicaciones se consideran conexiones de internet. El FC aprovisiona los VMs que estén implementando roles de Azure, y por consiguiente sabe cuáles direcciones de IP pertenecen a cuáles roles.

Para hacer respetar la política de firewall que permita la comunicación interna, sólo el FC puede configurar el Fabric Agent (FC) con la lista de las direcciones IP de los roles a ser usados por los filtros de paquete, lo cual solo permite la comunicación al interior de la aplicación para legitimar direcciones legítimas de IP.

Azure Connect permite emular un VLAN que contenga roles de Azure en servidores locales. Un escenario común es la creación de un recurso compartido de archivos en un rol de Azure o el uso de Escritorio remoto para supervisar el estado de un rol específico. Profesionales de IT pueden supervisar roles específicos al utilizar Escritorio remoto de la misma manera en que pueden manejar servidores locales. Instalar herramientas en el VM remoto también es un requerimiento común de IT, que se logra usando un recurso compartido de archivos y el VM del rol.

De manera predeterminada, todos estos protocolos están bloqueados por el firewall VM de invitado. Clientes deben fijar las reglas de firewall de manera explícita para permitir tal comunicación adentro del VM.
Comunicación segura
Existen distintos tipos de canales con los cuales los roles de Windows Azure se pueden proteger:

• De cliente a Rol: Los roles apoyan el enlace de SSL con el uso de un certificado, generado por el cliente, que se carga a la configuración en el portal.
• SMAPI: Service Management API (Administración de Servicios API) funciona sobre REST y se debe proteger con autenticación mutua SSL con el uso de un certificado autofirmado que se carga a la configuración de suscripción en el portal.
• Interna: Toda la comunicación entre componentes internos de Windows Azure está protegida con SSL. En la mayoría de casos, los certificados de SSL son autofirmados. Las excepciones son certificados para los controladores de fábrica y certificados para conexiones que se pueden acceder de fuera de la red de Windows Azure (tales como el Servicio de almacenamiento).
• Del rol a SQL Azure. El SQL Azure puede forzar el cifrado SSL con todas las conexiones del cliente, lo cual asegura los datos sobre de la transferencia.
• Cuando se define la conexión de cadena a SQL Azure, los programadores deben usar los parámetros de Encrypt=True y de TrustServerCertificate.

Asegurar el host
El tercer dominio de seguridad que está bajo la responsabilidad del proveedor de la nube es el de Host y el Sistema Operativo (OS).

La virtualización es una de las tecnologías impulsoras detrás de la habilidad de servicios de nube de rápidamente escalar o desescalar (scale up or down), según la necesidad. Sin embargo, sí requiere de una administración seria y reflexiva, ya que las barreras previamente “duras” entre sistemas se virtualizan y posiblemente se pueden exponer a nuevos ataques vectores.

En Windows Azure cada Rol se ejecuta dentro de su propia virtual machine (VM) o máquina virtual. Cada máquina virtual tiene 1, 2, 4 u 8 CPUs virtuales y se le asignan hasta 14 GM de memoria. Las VMs ejecutan una versión especial de Windows Server 2008 o de Windows Server 2008 R2 al que se le instala un servidor específico de OS software (IIS, .NET, framework, etc.), dependiendo del Rol. A la VM además se le da un número muy limitado de controladores de dispositivo.

No hay almacenamiento de larga duración en nodos individuales de programación. No se garantiza que datos escritos en los discos locales persistan a través de la instalación y desinstalación de las máquinas virtuales. Cualquier dato que requiera durabilidad debe almacenarse en los servicios de almacenamiento de Azure Storage.

Windows Azure utiliza su propio hipervisor, una capa o nivel de virtualización desarrollada por Microsoft y que se construye tomando en cuenta las lecciones aprendidas porHyper-V. Funciona directamente sobre el hardware y divide el nodo en un número variable de máquinas virtuales (VMs). Cada nodo también tiene una máquina virtual de “raíz”, que ejecuta el sistema operativo del host en sistemas controlados por hipervisor. Azure usa una versión desmontada o simple de Windows Server que incluye sólo aquellos componentes que son necesarias para hospedar VMs , como el agente Fabric Controller. Esto se hace tanto para mejorar rendimiento como para reducir la superficie expuesta a ataques.

Una barrera crítica es el aislamiento de la VM raíz de las VMs invitadas y las VMs invitadas una de otra. Esta barrera la maneja el hipervisor y el OS raíz. La pareja del hipervisor y el OS raíz pondera décadas de experiencia de Microsoft en temas de seguridad de sistema operativo, así como aprendizaje más reciente del Hyper-V de Microsoft, para proporcionar un fuerte aislamiento de VMs invitadas.

Windows Azure revisa el Hard Drive Virtual (VHD) que regularmente contiene el sistema operativo. El cliente puede sin embargo pedir usar una versión específica del sistema operativo si una o varias revisiones interfiere con la aplicación del cliente.

Los clientes esperan que sus aplicaciones estén protegidas de cambios no autorizados. El mecanismo principal de protección de la integridad para datos de clientes recae sobre el diseño de la VM en sí. Cada VM está conectada con tres VHDs locales:
• El D: la unidad de disco D contiene una de varias versiones del sistema operativo del invitado, seleccionable por parte del cliente, todas de las cuales se mantienen actualizadas con las revisiones respectivas.
• El E: la unidad de disco E contiene una imagen que construye el FC basado en el paquete que el cliente proporciona.
• El C: la unidad de disco C contiene información de configuración, archivos de paginación y otros tipos de almacenamiento.

Este diseño preserva estrictamente la integridad del sistema operativo subyacente y las aplicaciones del cliente.

Seguridad de Aplicaciones
La Seguridad de Aplicaciones representa la barrera entre las responsabilidades de seguridad del proveedor de nube PaaS y aquellas del cliente.

Las aplicaciones que se hospedan en entornos de nube se consideran aplicaciones web y por consiguiente deben cumplir con los reglamentos de mejores prácticas de seguridad de aplicaciones web.

El diseño y la implementación de aplicaciones web debe tomar en cuenta los siguientes temas.
• Validación de entrada: se deben validar todas las entradas que transgredan las barreras de la confianza.
Una buena validación puede mitigar un alto porcentaje de ataques presentes y futuros. Esta validación generalmente es simple y barata pero muy efectiva.
Existen dos estrategias principales que se usan para ejecutar la validación: la “Lista blanca” y la “Lista negra”. La validación de lista blanca define un patrón de entradas válidas; todas las entradas que siguen el patrón se permiten, mientras que otras entradas se rechazan. Cuando tales patrones no se pueden definir, en su lugar se puede crear una lista negra de entradas defectuosas. Si se detectan entradas defectuosas, éstas se rechazan.
• Autenticación: identifique el usuario. Casi todas las aplicaciones web necesitan saber quién origino la solicitud.
• Autorización: verifique los permisos concedidos al usuario y verifique que sólo las puedan ejecutar aquellas personas con los permisos relevantes. Si se solicita una operación y el usuario no tiene los permisos requeridos, se debe negar la solicitud.
• Administración de configuración: Proteja información confidencial que pueda aparecer en la configuración de la aplicación, tal como las cadenas de conexión o las reglas de negocio. La administración de cambios de aplicación (i.e., nuevas versiones) es un proceso de alto riesgo que se debe manejar con sumo cuidado.
• Información confidencial: identifique y asigne información confidencial a políticas de seguridad.
• Administración de sesiones: Proteja el estado (i.e., información almacenada a través de una sesión de una ejecución de proceso de negocio).
• Criptografía: Utilice algoritmos criptográficos confiables. Controle claves de cifrado.
• Manipulación de parámetros: proteja intercambio de parámetros entre distintos módulos de la aplicación (ej., parámetros de http intercambiados entre páginas web).
• Administración de excepciones: corrija y registre todas las excepciones. Las excepciones contienen información confidencial sobre la aplicación. Dicha información es crítica para cualquier persona que esté intentando montar un ataque, mientras que el usuario final generalmente no necesita esa información o no necesita ser expuesto a tal información.
• Auditoria y registro: identifique situaciones anormales comparándolas a estados normales de aplicación.
Si un problema surge, es importante rastrearlo, y sin auditoría y registro esto es imposible. Los administradores deben saber tan pronto como posible si algo anda mal y si la aplicación puede estar expuesta a algún tipo de ataque. Para que esto ocurra, las situaciones anormales deben ser identificables inmediatamente. La auditoría y el registro proporcionan la información de base para la evaluación del estado de la aplicación.

Más información sobre seguridad de aplicaciones web se puede encontrar en el Security Guide, en MSDN, el White Paper en Security Best Practices For Developing Windows Azure Applications, y en the Open Web Application Security Project.

Confianza parcial
Uno de los principios más básicos para escribir código seguro es “run with least privilege” (ejecutar con el privilegio mínimo). Hablando en términos prácticos, esto quiere decir que el código de la aplicación nunca debe tener más permisos de los que realmente necesita. Windows Azure por consiguiente proporciona dos niveles de directiva de seguridad de acceso al código (CAS) bajo los cuales los roles se pueden ejecutar: plena confianza y confianza parcial.

Bajo confianza parcial, las siguientes restricciones aplican:
• No se permiten llamadas a código nativo.
• No se permite acceso a bibliotecas y recursos nativos.
• No se permite acceso a Diagnósticos de Windows Azure via la Librería administrada por Windows Azure.
• El acceso a lectura de sistema de archivo se otorga para el directorio de aplicación y para almacenes locales nombrados. El Acceso de Escritura y el acceso Append sólo se otorga a almacenes locales nombrados.
• No se otorga permiso de acceso al registro.
• Acceso solamente a las variables de entorno TEMP y TMP.
• No se otorga permiso de acceso al Registro de eventos.

Confianza plena se requiere en los siguientes escenarios:

• Uso de FastCGI o de PHP
• Migración de servicios tradicionales web a la nube
• Invocación de roles y generación de subprocesos (nativos o administrados)
• Llamadas a bibliotecas nativas vía P/Invoke

Si no se requiere ninguno de los anteriores, es recomendable utilizar el nivel de confianza parcial de Windows Azure. Esta opción minimiza la superficie de ataque del rol en cuestión.

Security Development Lifecycle (Ciclo de vida del desarrollo de Seguridad)
El desarrollo seguro debe comenzar tan temprano como posible y debe continuar a través del ciclo de vida del software.

Los grupos de desarrollo internos de Microsoft usan el Security Development Lifecycle (SDL), que traduce “Ciclo de vida del desarrollo de seguridad”, para lograr la seguridad máxima para todos sus productos. El SDL se usa para lidiar sistemáticamente con las amenazas de seguridad que pueden estar inherentes en el producto de software. El SDL es un grupo de procesos y herramientas diseñado para minimizar el número y la severidad de las vulnerabilidades en productos de software. El SDL abarca educación de personal de desarrollo, procesos seguros de desarrollo, y la responsabilidad de individuos y de equipos de producto, todas las anteriores para la construcción constante de software más seguro cada vez.

El SDL trata amenazas de seguridad en todo el proceso de desarrollo por medios que incluyen la modelización de amenazas durante el proceso de diseño; la adhesión a las mejores prácticas de desarrollo y a los estándares de seguridad de código durante la codificación; y el requerimiento de varias herramientas para la evaluación y la comprobación antes de la implementación. Estos chequeos proactivos durante el desarrollo hacen que el software sea menos vulnerable a posibles amenazas después de su implementación, y el SDL proporciona una metodología estructurada y coherente para su aplicación. Estas metodologías, que reciben el apoyo de un comité ejecutivo de seguridad, han ayudado a Microsoft a desarrollar software más seguro.

Windows Azure en sí no es ninguna excepción, pues el programa integra en su totalidad los parámetros de SDL. Microsoft requiere que el SDL se cumpla para cualquier software desarrollado por Microsoft implementado en Windows Azure. Microsoft recomienda que las aplicaciones del cliente que se implementen en Windows Azure también se desarrollen de acuerdo al SDL.

Identidad
Tal como se describió anteriormente, la autenticación y la autorización son desafíos básicos que cualquier aplicación segura debe tratar. Ambos temas requieren que las aplicaciones procesen la identidad. Existen dos tipos básicos de administración de identidad: basada en roles y basada en notificaciones.

En la administración de identidad basada en roles, la aplicación está encargada. El usuario suministra sus credenciales, que la aplicación utiliza para a ejecutar la autenticación. La identidad del usuario luego se mapea a los grupos, y los permisos se otorgan de acuerdo a la membrecía de grupo. La autorización basada en roles es popular, y la mayoría de aplicaciones tradicionales la usan para manejar identidades. Típicas tecnologías de autorización basada en roles son Windows Identity (e.g., Domain Join; Kerberos), ASP.NET, proveedores de suscripciones, y SQL.

En la administración de identidad basada en notificaciones, en cambio, la autenticación se ejecuta por fuera de los límites de la aplicación. Las aplicaciones establecen relaciones de confianza con Security Token Services (STSs). Los usuarios se autentican usando un STS y reciben un token que contiene una recopilación de claims, o notificaciones (i.e., piezas de información sobre el usuario). El token se firma y opcionalmente se cifra usando la clave pública de la aplicación.

Cuando una aplicación recibe un token, el usuario ya ha sido autenticado; lo único que tiene que hacer es abrir el token y procesar la información contenida de acuerdo a sus necesidades. La identidad basada en notificaciones permite una federación sofisticada y escenarios de delegación. La confianza se puede establecer entre diferentes STSs: un cliente puede autenticar comprobando la identidad contra su STS local y enviar el token que recibe al STS de confianza de la aplicación. Este STS hará un mapeo de las notificaciones en el token recibido y las usará para crear un nuevo token, que se le proporcionará a la aplicación.

Típicas tecnologías de autorización basadas en notificaciones son ADFS 2.0, WIF y Azure AppFabric Access Control Service (ACS).

Windows Azure tiene compatibilidad tanto con autorización basada en roles como con la autorización basada en notificaciones.
La autorización basada en roles típicamente se usa en los siguientes escenarios:
• Migración a la nube de una aplicación existente que use autorización basada en roles.
• Escenarios simples en los que no se requieran ni federación y delegación
• Administración de identidad sencilla que pueda ser manejada por la aplicación.

La identidad basada en notificaciones es más sencilla y más ágil. Factoring authentication out of your applications presenta muchos beneficios para programadores, profesionales de IT y usuarios. Dicho de manera sencilla hay menos cuentas para que todos manejen, y la centralización de autenticación que resulta hace que sea más fácil hacer un upgrade a métodos más fuertes de autenticación a medida que estos aparecen, e incluso a federar la identidad con otras plataformas y organizaciones.

Construir un STS no es una tarea sencilla, pero afortunadamente Azure AppFabric (parte de la plataforma de Windows Azure) introduce un STS escalable, confiable y sencillo, que puede usarse tanto en la nube como en aplicaciones locales.

Seguridad de datos
Windows Azure proporciona una infraestructura de almacenamiento de manera paralela a sus servicios de hosting que ejecutan código. Tres principales infraestructuras de datos se suministran en la plataforma de Windows Azure: Windows Azure Storage, SQL Azure, y el caché de Azure AppFabric.

Los clientes únicamente estarán dispuestos a almacenar datos en la nube si están confiados de que la nube es segura y privada. Por eso no es sorprendente que todas las tecnologías de almacenamiento contienen una amplia gama de controles para la implementación de control de acceso a datos ni que dichas tecnologías cumplen con las políticas de GFS para la conservación de políticas de privacidad.

Control de acceso
Windows Azure Storage tiene un modelo simple de control de acceso. Cada suscripción a Windows Azure puede crear una o más Storage Accounts (Cuentas de almacenamiento). Cada Cuenta de almacenamiento tiene una única clave secreta que se usa para controlar el acceso a todos sus datos. La información almacenada en tablas y colas de Windows Azure es accesible únicamente por medio de la autenticación de Azure Storage con la presentación de la clave secreta.

En contraste, los Blobs tienen una política más sofisticada de acceso a datos. La información almacenada en blobs puede que deba ser accesible al público en general. Ejemplos comunes son archivos de medios, tales como imágenes y películas que deben ser directamente accesibles desde un explorador. Los contenedores o envases de blob por lo tanto pueden marcarse como “públicos”, lo cual permite acceso a todos sus blobs sin la necesidad de presentar una llave.

En un escenario más restringido, los blobs se pueden hacer accesibles por un período limitado de tiempo y con un grupo específico de permisos de accesos, sin la necesidad de una clave. En estos casos es posible crear una Shared Access Signature (SAS), o Firma de acceso compartido. Las SAS son direcciones URL de blob especiales que contienen información de acceso de datos tal como duración y permisos concedidos. Los URLs se firman con la clave de la cuenta de almacenamiento. Estos URLs se supone deben ser distribuidos únicamente a los usuarios que deben tener acceso. Solicitudes de blob utilizando el URL normal serán negadas, pero usando una SAS es posible acceder al blob durante un período predeterminado de tiempo.

Es posible restringir el escenario un poco más mediante la creación de una referencia de una SAS a una Container-Level Access Policy (Directiva de acceso de nivel de contenedor). Una directiva de acceso de nivel de contenedor se puede modificar o revocar en cualquier momento, lo cual proporciona mayor flexibilidad y control sobre los permisos otorgados.

Integridad, disponibilidad y confiabilidad de datos
La disponibilidad y la confiabilidad de los datos son preocupaciones principales de clientes con respecto al almacenamiento de datos en su nube. Los clientes deben estar seguros de que sus datos siempre estarán inmediatamente disponibles y que fallas de hardware nunca causaran una pérdida de sus datos.

Datos almacenados en todos los Servicios de almacenamiento de Windows Azure se replican en tres nodos físicamente separados en la misma región geográfica para facilitar alta disponibilidad y para minimizar el impacto de fallas de hardware.

Todas las operaciones de almacenamiento, incluyendo delete (eliminación), están diseñados para ser coherentes al instante. La ejecución exitosa de una operación de delete remueve todas las referencias al ítem de datos asociado, y no se puede volver a acceder vía las APIs de almacenamiento. Todas las copias del ítem de datos eliminado después se recopilan en la basura. Todos los bits físicos serán sobrescritos cuando el bloqueo de almacenamiento asociado sea reutilizado para almacenar otros datos

Windows Azure se ejecuta bajo las mismas políticas y principios de seguridad que gobiernan todos los centros de datos de Microsoft. Global Foundation Services (GFS) proporciona la infraestructura de la nube para estos servicios enfocándose en la adherencia a varios estándares regulatorios, estatutarios, y de industria. La política de eliminación es sólo un ejemplo de varias políticas de integridad y de privacidad con las cuales cumple la infraestructura de Azure.
Criptografía

El cifrado de datos en almacenamiento y en tránsito puede ser útil para clientes de Windows Azure para que se ajusten a las mejores prácticas para asegurar la confidencialidad y la integridad de los datos.

Actualmente no existe compatibilidad para cifrado nativo ni en Windows Azure Storage ni en SQL Azure. Datos en Windows Azure Storage se almacenan como texto no cifrado, y no existe una opción para cifrar los datos de otro modo que a través del desarrollo de un código propio de cifrado. El framework o marco de .Net proporciona la totalidad de API necesario para crear código para cifrar los datos del cliente. SQL Azure actualmente no tiene compatibilidad con la característica de Transparent Data Encryption disponible en el Servidor Microsoft SQL.

Para datos que se acceden solo por servicios hospedados por Windows Azure, ésta no es una preocupación principal. El cifrado de datos en un servicio hospedado requiere que todas las instancias del servicio tengan acceso a las claves de cifrado, y si un servicio escoge cifrar datos éstas llaves deben almacenarse en certificados mantenidos en el almacén de certificados de Windows Azure. Sin embargo, las políticas de seguridad que han implementado los centros de datos de Microsoft ayudan a asegurar que los atacantes no puedan obtener acceso físico a los equipos que estén implementando servicios de Azure o a los discos que implementan almacenamiento de Azure. En consecuencia, las políticas de destrucción de datos eliminan la posibilidad de que los datos se tornen accesibles de manera inadvertida, a otros suscriptores de Azure.

Por lo tanto, en la medida en que un servicio implemente un nivel apropiado de seguridad de transporte (es decir, SSL), la única manera viable en que un atacante podría obtener acceso a los datos sería si obtuviese o robase los detalles de Windows Live ID utilizados por la suscripción de Azure o el Certificado de Administración utilizado para administrar los servicios hospedados. Un atacante tal tendría en todo acceso al almacén de certificado y por consiguiente los medios de descifrar los datos, de tal manera que el cifrado en este escenario sería poco provechoso.

El cifrado es valioso si usted está accediendo a datos localizados en almacenamiento de Azure desde aplicaciones ejecutadas en computadores por fuera del entorno Azure, en lugar de ser ejecutadas desde servicios hospedados en Azure. En este escenario, usuarios diferentes que implementen estas aplicaciones pueden tener que mantener confidencialidad unos de otros. Usted puede cifrar datos al interior de una aplicación del cliente, por ejemplo, usando una clave privada de AES, conocida sólo por el usuario, que se genera en un equipo del cliente o en otro lugar dentro de la empresa. La carga cifrada luego se carga al almacenamiento de Azure. Los datos los puede descifrar únicamente el usuario proporcionando esta clave (que se puede almacenar en el perfil del usuario usando DPAPI). Otros usuarios pueden generar sus propias claves privadas, y estas claves no se deben revelar. Una aplicación del cliente, tal como un explorador web, que trate de leer los datos cifrados directamente de almacenamiento Azure sin proporcionar la clave apropiada no podrá descifrar los datos.

Conclusión
La seguridad es una de las principales preocupaciones de los clientes cuando están considerando hospedar aplicaciones en la nube.

Windows Azure es una clásica solución PaaS, y como tal se encarga de todos los dominios de seguridad bajo la responsabilidad del proveedor de nube. PaaS se usa para hospedar y ejecutar aplicaciones del cliente, y como tal no puede ser responsable por el código del cliente. Los clientes deben implementar las mejores prácticas de seguridad en sus propias aplicaciones. En conjunción con los atributos de seguridad que la infraestructura provee, es posible crear una ejecución de aplicaciones segura en la nube.

Algunos aspectos de soluciones de seguridad que el proveedor de nube provee son de hecho mejores que aquellos obtenibles en un entorno local. Por ejemplo, la seguridad física de los centros de datos de Windows Azure es probablemente mayor que la suya propia. La protección de red de Windows Azure, el Host Isolation (Aislamiento de host) y el endurecimiento del sistema operativo son todos más seguros que aquellos que se encuentran en el hospedaje tradicional. Por consiguiente, hospedar su aplicación en la nube probablemente mejora su seguridad.

Hasta la próxima

Fuente: Material de Microsoft para el MVA

Información General de Windows Azure Security

2011-09-18T20:12:00.014-03:00

Les adjunto el presente artículo, cuya autoría es de David Tesar y es propiedad de Microsoft y sirve como contenido para cursar la carreras del MVA (Microsoft Virtual Academy).

Información general
Las aplicaciones de nube se distribuyen por diseño. Asegurar la red externa que conecta la nube con la red interna adentro de la fábrica de Azure claramente es un componente crítico de seguridad de la plataforma. En el hospedaje tradicional, los clientes usan firewalls (servidores de seguridad) y otras configuraciones de red para proteger sus aplicaciones, sus datos y su infraestructura. Windows Azure cambia esa realidad porque en entornos de PaaS el cliente está escudado de casi toda la responsabilidad sobre la seguridad de red. Microsoft, como proveedor de nube, es responsable de la protección de la red sobre la cual se ejecuta la nube.

Los clientes que implementan sus datos y aplicaciones en Windows Azure deben estar seguros de que ataques de red tales como sniffing (olfateo) y ataques de tipo “man in the middle” están absolutamente mitigados dentro de los límites de la nube.

Este documento describe las medidas de seguridad empleadas por Windows Azure en la capa de redes.

Arquitectura de red
Windows Azure contiene cuatro tipos de nodos principales: nodos de Fabric Controller, nodos de cómputo, nodos de almacenamiento y nodos de infraestructura.

El Fabric Controller (FC) es el kernel del sistema operativo de Windows Azure. El FC automatiza casi todo, al aprovisionar, almacenar, enviar, supervisar y comandar las máquinas virtuales (VMs) y los servidores físicos que componen Azure. El FC está diseñado para satisfacer solicitudes y políticas de usuario y para optimizar y simplificar la implementación.

Aislamiento
El tejido de red de Windows Azure contiene tres diferentes redes aisladas:
• El VLAN principal – interconecta nodos de cliente no de confianza
• El VLAN FC – contiene FCs de confianza y sistemas de apoyo
• El VLAN de dispositivo – contiene red de confianza y otros dispositivos de infraestructura.

Los VLANs se utilizan para aislar los FCs, los nodos de cómputo y los demás dispositivos. Los VLANs dividen una red de tal manera que no es posible la comunicación entre VLANs sin que pasen por un enrutador, que previene que un nodo comprometido falsifique tráfico de fuera de su VLAN excepto a otros nodos en su VLAN, además de que se le impide eavesdropping (escuchar) el tráfico que no se origina en o se dirige a sus VLANs.

Se permite la comunicación del VLAN FC al VLAN principal, pero la comunicación no puede ser iniciada del VLAN principal al VLAN FC. La comunicación también está bloqueada del VLAN principal al dispositivo VLAN. Esto asegura que si un nodo que está implementando código del cliente está comprometido, no puede atacar nodos ni en el FC ni en VLANs de dispositivo.

La Figura 1 describe las diferentes redes aisladas implementadas en Windows Azure.
Figura 1

Aislamiento de Fabric Controllers
Como el orquestador principal de gran parte del tejido de Windows Azure, controles significativos están se han implementado para mitigar las amenazas a los FCs, especialmente de Fabric Agents (FA) potencialmente comprometidos dentro de las aplicaciones del cliente. Comunicación de FC a FA es unidireccional: el FA implementa un servicio protegido por SSL que se accede del FC y responde únicamente a solicitudes. El FA no puede iniciar conexiones al FC o a otros nodos internos privilegiados. El FC analiza (parses) fuertemente todas las respuestas como si fueran comunicaciones no confiables. Adicionalmente, los FCs y los dispositivos incapaces de implementar SSL están en VLANs separadas, que limitan la exposición de sus interfaces de autenticación a un nodo comprometido que hospeda VMs.

Administración remota de Fabric Controllers
Los Fabric Controllers tienen un API accesible al RPC que acepta comandos de SMAPI y de administradores de Windows Azure. Decisiones de nivel de política son exigidos por SMAPI en el nivel de la aplicación, que únicamente generará solicitudes concernientes a los recursos del cliente, basándose en la identidad autenticada del cliente. Los FCs hacen finer-grained Access-control decisions, como corresponde a su rol de facilidad de administración de aprovisionamiento central de bajo nivel. Las conexiones a FCs se hacen vía SSL, en el que el cliente se autentica con un certificado de cliente y la certificate fingerprint (huella de certificado) determina si un llamante tiene el nivel de acceso apropiado para hacer una solicitud determinada.

Mitigación de la Denegación de Servicio o DOS
Windows Azure tiene las conexiones más amplias al internet disponibles en la industria. Los conectores se distribuyen alrededor del globo terráqueo, y así es improbable que alguien pueda lograr producir suficiente tráfico malicioso para inundar estas conexiones y cortar a Azur de la red pública.

Si una aplicación individual es atacada, es posible spin girar temporalmente varias nuevas instancias de cálculo hasta que el ataque pase, lo cual típicamente es mitigación suficiente ya que la mayoría de ataques de denegación de servicio no duran mucho tiempo. Microsoft está considerando maneras de identificar tráfico malicioso y de no bloquearlo mientras entra el tejido Azure, pero este tipo de protección aún no ha sido implementada.

Ataques de denegación de servicio que se originen al interior del tejido son parcialmente manejados por la infraestructura. Windows Azure no detecta ni bloquea tráfico malicioso, pero sí se asegura de que todos los VMs en ejecución reciban los recursos por los que pagaron. Un VM malicioso implementado en el tejido no puede consumir recursos ilimitados y causar colapso a sus vecinos, efectivamente mitigando un ataque de denegación de acceso interno.

Arquitectura de Nodos Azure
Los roles de Windows Azure se ejecutan adentro de las máquinas virtuales (VMs) implementadas en los nodos del centro.

Entre muchas otras ventajas, la virtualización permite el aislamiento completo entre los distintos códigos de cliente. Al interior de Azure, cada nodo que se conecta a extremos adentro de Windows Azure se implementa con un servidor de seguridad (firewall) que previene que suplante (impersonating) direcciones IP. Cuando dos nodos están hablando adentro de Azure, no necesitan cifrado para garantizar la identidad del otro porque las direcciones de IP son comprobadas por la red misma.

Cada máquina virtual (VM) tiene 1, 2, 4 u 8 CPUs virtuales, y se le asignan hasta 14 GB de memoria. Las VMs ejecutan una versión especial de Windows Server 2008 o 2008 R2, con un servidor específico de software de operador de servicio instalado (IIS, .NET framework, etc.), dependiendo del rol de la VM. El sistema operativo tiene un número muy limitado de drivers de dispositivo.

Windows Firewall está habilitado en cada VM. Los únicos puertos abiertos y directamente direccionables (interna o externamente) en una VM de Windows Azure son aquellos explícitamente definidos en el archivo de Service Definition (Servicio de Definición file) configurado por el cliente.

El hipervisor se ejecuta directamente sobe el hardware y divide el nodo en un número variable de máquinas virtuales (VMs). El número de VMs implementado en cada nodo depende del número de CPUs que las VMs requieren. No hay ninguna situación en la que las VMs requieran más CPUs que las que realidad existan en el cuadro.

Cada nodo también tiene una máquina virtual de “raíz”, que ejecuta el sistema operativo de host en sistemas controlados por hipervisor. Azure usa una versión simplificada de Windows Server que incluyen únicamente aquellos componentes necesarios para hospedar VMs. Esto se hace tanto para mejorar el rendimiento como para reducir la superficie expuesta a ataques.

El hipervisor y el VM de raíz aseguran que todas las VMs obtengan una porción justa de los recursos disponibles. Esto previene una situación en la que un Rol malicioso consuma todos los recursos en el cuatro, poniendo a las otras VMs en un estado de colapso.

La Figura2 demuestra cómo el acceso de datos es filtrado por el VM de raíz y fluye a través de todo el hipervisor. Todo acceso a la red y al disco por parte de los VMs es mediado por el sistema operativo de raíz.

Figura 2

El conmutador de red virtual del hipervisor filtra todo el tráfico de y hacia las máquinas virtuales, y también previene ataques basados en sniffers contra otras VMS en el mismo host. Filtros adicionales están instalados para bloquear la difusión y el tráfico de multidifusión, con la excepción de lo que sea necesario para mantener las concesiones DHCP.

Filtrado de paquetes
El hipervisor y el sistema operativo de raíz proveen la red de filtros de paquete que aseguran que VMs no de confianza no puedan generar tráfico de identidad suplantada (spoofed traffick”) no directamente direccionado a ellos, yque no puedan dirigir tráfico a extremos protegidos de la infraestructura, y de que no puedan enviar o recibir tráfico de difusión inapropiada. Nodos de almacenamiento sólo ejecutan código y configuración provistos por Winsows Azure, y así el control de acceso se ajusta para permitir únicamente el acceso de cliente, de aplicación y de administración legítimos.

Acceso de clientes a las VMs se limita a través del filtrado de paquetes en equilibradores de carga y en la raíz del OS. En particular, la depuración remota, Servicios de Terminal remotos, y el acceso remoto los recursos compartidos de archivos no se permiten de manera predeterminada. Microsoft está haciendo planes para permitirle a sus clientes habilitar estos protocolos como una opción explícita in el futura.

Microsoft permite a sus clientes especificar si las conexiones de internet se aceptan (incluyendo instancias de rol de distintas aplicaciones) y de instancias de rol dentro de la misma aplicación. Las conexiones entre instancias de rol de distintas aplicaciones se consideran como reglas de conexiones y de conectividad al internet que son cumulativas; por ejemplo, si instancias de rol A y B pertenecen a distintas aplicaciones, la A únicamente puede abrir una conexión a la B si A puede abrir conexiones al internet y B puede aceptar conexiones al internet.

El FC traduce la lista de roles en una lista de instancias de rol, y de ahí a una lista de direcciones IP. Esta lista de direcciones IP la usa el FA para programar los filtros de paquete a sólo permitir comunicación al interior de la aplicación y hacia dichas direcciones IP. Esto les permite comunicarse con el internet y enviar tráfico a cualquier rol con visibilidad desde el internet a través de sus VIPs.

Firewalls (servidores de seguridad) incorporados
Comunicación con Windows Azure viaje a través de un número de firewalls (servidores de seguridad).

- Firewall de VM invitada:
Además de filtraje de paquetes mejorado, que bloque el tráfico no autorizado, Windows Firewall está habilitado en cada VM. Los únicos puertos abiertos y directamente direccionables (Interna o externa) de tráfico de red entrante en una VM de Windows Azure son extremos definidos explícitamente en el archivo de Definición de servicio. Este archivo define los extremos tanto externos como internos:
• Un extremo externo puede recibir tráfico entrante del internet.
• Un rol de web no puede tener más de un extremo HTTP y un extremos HTTPS. Un rol trabajador puede tener cualquier número de extremos de HTTP, HTTPS y TCP.
• Un extremo interno está disponible sólo para otras instancias de rol en funcionamiento dentro del servicio; no está disponible para clientes por fuera del servicio.
• Un rol web puede tener un único extremo interno HTTP. Un rol de trabajador puede tener cualquier número de extremos internos de http o de TCP.

Visual Studio proporciona un recuadro sencillo para definir las reglas de firewall de la VM invitada. Windows Azure Connect permite la comunicación entre VMs que estén ejecutando roles específicos. Si se hace un ensayo de ejecutar protocoles de comunicación común y simple, tal como el ping o el uso compartido de archivos, el ensayo fracasará, sin embargo, porque la solicitud está bloqueada por el firewall de la VM. Es posible crear reglas de firewall que habiliten la comunicación sobre protocolos requeridos al usar tareas de inicio o al conectarse a la instancia a través del escritorio remoto.

- Firewall de la VM host
Como se describió anteriormente, el firewall de la VM host habilita la comunicación únicamente con direcciones legítimas de IP adentro de la fábrica, y realiza filtraje de paquetes sobre todo el tráfico.

Es posible habilitar o desactivar la conexión de roles de Windows Azure haciendo clic en “Permitir otros servicios de Windows Azure acceder al servidor” en las configuraciones de reglas de firewall.

Firewall para clientes (client firewall)
Éste es el firewall que se ejecuta en la máquina de cliente o al frente de la red corporativa. En ocasiones se debe configurar para habilitar su comunicación con artefactos de Windows Azure. Un ejemplo común es SQL Azure.
SQL Azure utiliza el protocolo TDS (i.e., puerto 1433) en la exacta misma manera en que lo hace en bases de datos locales, así que tecnologías de acceso a datos como ADO.NET y EF lo pueden usar de manera transparente. Para comunicarse con SQL Azure, el firewall local debe estar configurado para permitir conexiones TCP salientes sobre el puerto TCP/1433 y a recibir tráfico que se origine en el puerto 1433.
Otro ejemplo común es el bus del servicio de AppFabric. Los canales TCP al AppFabric retransmiten el uso bidireccional del puerto TCP 828 y del puerto TCP 808 de salida. El firewall local debe estar configurado para permitir esto.

Windows Azure Connect
Windows Azure Connect es un servicio de Windows Azure que crea una red segura para roles de Windows Azure. Windows Azure Connects proporciona una sencilla interfaz de usuario para configurar conexiones, protegidas por IPsec, entre roles funcionando en Winsows Azure y en computadores o máquinas virtuales (VMs) en la red organizacional local. Luego de configurar estas conexiones, instancias de rol en Windows Azure usan direcciones de IP (IP addressing) como las de otros recursos locales en red, en lugar de tener que usar alguna forma de dirección IP virtual.

Windows Azure Connect crea una red virtual segura al conectar directamente todos los sistemas habilitados para la conexión, sean éstos instancias de rol de Windows Azure o servidores locales. Todo el tráfico Connect está asegurado de extremo a extremo por IPsec. El agente Connect de Windows Azure implementado en cada equipo local establece una política de IPsec que exige autenticación mutua basada en certificados para todas las comunicaciones entre sistemas habilitados para Connect. El IPsec también asegura que el tráfico se firme y se cifre para propósitos de integridad y confidencialidad, y exige que únicamente los sistemas en los roles y grupos de extremo apropiados puedan comunicarse con el host. Los certificados digitales son aprovisionados por el servicio de Windows Azure Connect en sí.

La Figura 3 muestra cómo Windows Azure Connect conecta roles de Azure en servidores no-locales.
Figura 3

SSL
La comunicación a través de un canal seguro se recomienda en escenarios de cliente-a-fábrica. Existen distintos canales SSL que se pueden establecer con Windows Azure:
• Clientes <-> Roles de web y trabajadores
• Clientes <-> Extremos de almacenamiento; SQL Azure; Caché de AppFabric
• Roles <-> Roles sobre extremos internos
• Roles <-> Extremos de almacenamiento; SQL Azure; Caché de AppFabric

En general, la comunicación adentro del centro de datos se considera segura, así que un cana extra de SSL para este propósito es innecesaria.
Canales SSL requiere de un certificado X.509 como su “cryptographic seed”, o criptografía base. Certificados X.509 contienen la clave pública y los metadatos utilizados para intercambiar claves criptográficas que cifran el tráfico, y para comprobar la integridad de los datos enviados a través del canal. Los certificados X.509 los puede manufacturar una autoridad de certificado (CA) de confianza, que pueden validarse a lo largo de su utilización. Esto asegura que el certificado contenga claves válidas y que en realidad pertenezca a la entidad a la cual está adscrito.

Con el uso del portal de administración, el programador puede cargar certificados X.509 a cada rol y a la suscripción general. Los certificados implementados a roles se usan para establecer canales SSL con el cliente. Los certificados implementados a la suscripción se usan para la administración API de Azure

El canal SSL que se usa para administración usa autenticación mutua. Tanto el cliente como Azure se autentican mutuamente con el uso del certificado de entidad del otro.

Autenticación mutua de SSL para tráfico de control interno
Todas las comunicaciones entre componentes internos de Windows Azure están protegidos con SSL. En la mayoría de los casos, los certificados de SSL se autofirman. Existen dos excepciones: los certificados para conexiones que se pueden acceder desde fuera de la red de Windows Azure (incluyendo el servicio de almacenamiento) y los fabric controllers (FC). Los FC tienen certificados expedidos por la Autoridad de certificados (CA) de Microsoft, que se encadena de regreso a una CA raíz de confianza. Esto permite que claves públicas de FC se puedan roll over con facilidad. Adicionalmente, las herramientas de programación de Microsoft utilizan las claves públicas FC para cifrar nuevas imágenes de aplicación suministradas por programadores para proteger todos los secretos incrustados.

Administración de certificados y de claves privadas
Para disminuir el riesgo de exponer los certificados y las claves privadas a programadores y administradores, éstas se instalan a través de un mecanismo separado del código que los utiliza. Los certificados y las claves privadas se cargan vía SMAPI o vía el Portal de Windows Azure como archivos de PKCS12(PFX) protegidos en tránsito por SSL. Estos archivos pueden estar protegidos por contraseña, pero si es el caso, la contraseña se debe incluir en el mismo mensaje. SMAPI quita la protección de contraseña si necesario y cifra el blob PKCS12 SMAPI en su totalidad usando la clave pública de SMAPI. El blob luego se almacena en el almacén secreto en el FC, con un corto nombre de certificado y la clave pública como metadatos.
Los datos de configuración asociados con cada rol especifican los certificados que deben hacerse disponibles para ese rol. Cuando se crea una instancia de rol en una VM, el FC recupera el certificado apropiado, descifra el blob PKCS12, lo re-cifra usando la llave pública de transporte del FA, y lo envía al FA en el nodo. El FA en el nodo lo envía al GA en la VM que está creando la instancia de rol, y después el GA lo descifra y lo instala en el almacén de certificado de sistema operativo con una bandera que indica que la clave privada puede ser utilizada pero no exportada. Después de la instalación, todas las copias temporales de certificados y claves se destruyen. Si se requiere la reinstalación, los certificados deben ser repackaged por el FC.

Seguridad WCF
WCF es la tecnología más común para la implementación de servicios Web utilizando el marco .NET. Es completamente compatible con Windows Azure. Los roles pueden estar expuestos a los clientes como servicios WCF y como ASP.NET aplicaciones web.
WCF cuenta con un modelo de seguridad poderoso y extensible. Puede establecer canales seguros (similares a SSL) y activar autenticación y autorización con el uso de casi cualquier tecnología relevante.

WCF también está estandarizada. Implementa los estándares de seguridad de WS-*, así que también es interoperable con las principales plataformas de servicio de web.

Windows Azure expone varios de sus artefactos, tales como AppFabric Cache y el Servicio de Control de acceso AppFabric, como servicios WCF. Cuando se utiliza el bus de servicio de AppFabric para interconectar aplicaciones o cuando se esté autenticando usuarios con AppFabric ACS, el modelo de seguridad WCF se usa para asegurar el canal.

Cuando se esté exponiendo un servicio de web WCF, usted tiene la libertad de escoger entre seguridad de mensaje WCF y seguridad de transporte WCF (es decir, SSL) para proteger su tráfico.

Conclusión
Las redes son un dominio de seguridad principal, pero es también uno de los dominios que está bajo la responsabilidad del proveedor de nube PaaS. Microsoft implementa seguridad de redes para proteger sus redes internas y para asegurar canales externos conectados a la nube. Redes seguras permiten a Microsoft logar el aislamiento entre distintos componentes de la nube y mitigar las amenazas que se originan de nodos maliciosos implementados hacia la nube Microsoft está comprometido con la protección de sus redes de ataques tanto internos como externos.

El modelo de seguridad WCF es plenamente compatible con Windows Azure y se puede usar en el esfuerzo conjunto de proteger la comunicación con su aplicación.
Aplicaciones en ejecución en la nube de Windows Azure por lo tanto gozan de la mejor protección de redes disponible en el mercado. Mover su aplicación a la nube probablemente fortalecerá su seguridad de redes a comparación con las alternativas locales comunes.

A continuación ponemos un video explicativo sobre Seguridad General de Window Azure.

Hasta la próxima.

Fuente: Microsoft.

IDENTIDAD EN LA NUBE

2011-09-18T19:46:00.009-03:00

Información general
La identidad es uno de los desafíos centrales que la mayoría de aplicaciones de nube deben enfrentar. Las aplicaciones de nube están distribuidas por diseño, pero todos los nodos deben ser compatibles con el mismo reconocimiento de identidad. Quién es el usuario? Qué permisos se deben otorgar?
Las preocupaciones de clientes sobre seguridad, privacidad y control operacional encabezan la lista de los límites potenciales al uso de soluciones de nube. Clientes que estén considerando cargar sus aplicaciones a la nube deben tener garantías de que el modelo de identidad que se implementa en la nube es coherente con sus requisitos y necesidades.
Hay distintas maneras de construir compatibilidad con identidad in una aplicación. El entorno de nube permite el uso de escenarios sofisticados tales como la colaboración, la mediación y el inicio de sesión único o “single sign-on” (SSO). En tales escenarios, la compatibilidad con identidad tradicional puede ser difícil de implementar.

Este artículo describe la infraestructura que la plataforma de Windows Azure proporciona y que ofrece Windows Azure Appfabric para permitir implementación de seguridad sencilla pero segura en estos escenarios.

Qué es identidad?
Antes de describer las tecnologías y la arquitectura de identidad es importante definer la identidad.

La definición de “identidad” del diccionario es:

Todo aquello que hace que una entidad sea definible y reconocible, en términos de posesión una serie de cualidades o características que la distingan de otras entidades.

Para los propósitos de aplicaciones software, esta definición se traduce en “la colección de información que describe una entidad para distinguirla de otras”.

La identidad es, entonces, una colección de información. Esa información puede tener un nombre, una fecha de nacimiento, una dirección, una identificación de empleo, un número de seguridad social (Social Security Number), etc. Es importante notar que las entidades (es decir, las personas), pueden usar información de identidad distinta en contextos distintos. Por ejemplo, la información de identidad personal de una persona (como se escribiría en Facebook), puede ser muy diferente de la información de identidad profesional (como se escribiría en Active Directory en la oficina).

Existen tres escenarios de uso principales que tienen que ver con la identidad:
Autenticación: El proceso de probar una identidad. Una entidad (usuario) usa credenciales (piezas relevantes de información) para comprobar su identidad ante la aplicación.
Autorización: El proceso de conceder permisos a una identidad y de implementar políticas que permitan a las entidades ejecutar tareas únicamente si han obtenido los permisos relevantes.
Consulta de identidad: El proceso de consultar o buscar información de identidad para el uso general de la aplicación.

Tecnologías de identidad
Existen muchas tecnologías diferentes para construir compatibilidad con identidad en las aplicaciones. Como se describirá a continuación, algunas tecnologías utilizan administración basada en roles, mientras que otras se basan en un enfoque basado en notificaciones.

Las tecnologías de identidad se pueden dividir en tres categorías principales:

Almacenes de identidad (Proveedores):
Estas tecnologías son responsables de almacenar un diccionario de información de identidades. Los almacenes de identidad manejan toda la información que describe a las entidades y sus relaciones con otras entidades en el dominio. El resultado es una serie complicada de información que debería en todo caso ser fácil de consultar con el uso de los interfaces del almacén de identidad. Ejemplos: Active Directory, ADFS, SQL.

Selectores de identidad:
Estas tecnologías son las responsables de seleccionar un almacén de identidad y un método de autenticación. Los usuarios se pueden registrar en uno o varios almacenes de identidad (ej., Windows Live ID, Facebook, etc.) Los protocolos de autenticación utilizan selectores de identidad para permitirles a los usuarios escoger el almacén de identidad ante el cual quieren recibir autenticación. Ejemplo: Cardspace 2.0

Marcos de autenticación y de autorización:
Estas tecnologías son las responsables de autenticar las solicitudes y de hacer respetar (enforce) las políticas de acceso. Esto incluye el proceso de comprobar credenciales cotejando la información de los almacenes de identidad, creando tokens de seguridad válidos que contengan la información requerida por la aplicación para identificar a la identidad y sus permisos , y de establecer “porteros” (gatekeepers) que otorguen permisos a solicitudes válidas y nieguen el acceso a solicitudes no autorizadas
Ejemplos: ASP.NET Forms authentication, Kerberos, WIF, OpenID
Windows Azure es compatible con estos tres tipos de tecnologías de identidad, lo que le permite a los clientes fácilmente migrar aplicaciones a la nube. Por ejemplo, es posible unirse al dominio de aplicaciones de la nube y usar Windows Identity basado en roles, o bien, también es posible usar ADFS 2.0 con ACS y autenticar con el uso de identidad basada en notificaciones.

Identidad basada en roles
La identidad basada en roles es el enfoque tradicional que usan las aplicaciones para la administración de identidad. Las entidades se dividen en grupos (roles) y los permisos se conceden de acuerdo a pertenencia en los grupos.

La identidad basada en roles es apropiada para escenarios sencillos: el usuario suministra sus credenciales (ej. un nombre de usuario y una contraseña); el marco de autenticación comprueba las credenciales en un almacén de identidades (ej. Base de datos SQL) y asigna el usuario a un grupo de roles y establece un contexto de seguridad en el que se ejecutará la aplicación (ej., Principal). La aplicación luego puede revisar de manera activa si el usuario en ejecución “IsInRole” antes de ejecutar operaciones sensibles permitidas únicamente a un grupo específico de miembros).

Los marcos de autenticación basada en roles generalmente proporcionan la infraestructura con la cual asignar grupos a permisos, y hacen cumplir y respetar la política de seguridad al permitir únicamente a aquellos usuarios a quienes se les concedieron los permisos requeridos, acceso a recursos confidenciales. Esto libera a la aplicación de tener que revisar activamente los permisos del usuario antes de cada acción.

La sencillez es una ventaja principal de la seguridad basada en roles. En algunos casos, sin embargo, estos escenarios sencillos simplemente fallan. Qué pasa si una aplicación necesita más información sobre el usuario que la que provee en un marco de autenticación? Qué pasa si los usuarios que maneja un socio necesitan acceso a la aplicación? Los marcos basados en roles no se diseñaron para la federación de identidades entre distintos proveedores de identidad.

- Implementación de identidad basada en roles en Azure
La mayoría de aplicaciones web hoy en día utilizan identidad basada en roles. La mayoría de usuarios, al considerar hospedar sus aplicaciones existentes en la nube, no aceptarían tener que cambiar su enfoque y tecnología de identidad. Por eso Windows Azure permite a los usuarios continuar el uso de su marco existente de identidad en la nube.
Cuando Kerberos (Windows Identity) se utiliza como el marco de autenticación, los roles en funcionamiento en la nube deben conectarse al Centro de distribución de Kerberos, o Kerberos Distribution Center (KDC). Sin embargo, el KDC y el controlador de dominio o domain controller (DC) nunca están expuestos a la web. Afortunadamente, Azure Connect permite establecer un VLN entre roles en ejecución en la nube y aquellos que están en los servidores locales. De esta manera, es posible establecer conexión entre Azure Roles y el controlador de dominio. Tales roles automáticamente se suscribirán al dominio y podrán usar sus identidades.
La aplicación ASP.NET introdujo proveedores de pertenencia, rol y perfil en el año 2005. Desde entonces, muchas aplicaciones web han usado su infraestructura sencilla pero ponderosa para administrar sus identidades. Las pertenencias definen a los usuarios, los roles asignan usuarios a grupos, y los perfiles guardan información arbitraria que pertenece a los usuarios.
ASP.NET define esquemas de bases de datos requeridos por los proveedores predeterminados. Este esquema se puede implementar como una base de datos separado o se puede combinar con la existente. En la configuración de la aplicación (ej. web.config), los proveedores se definen y se adjuntan a la base de datos mediante el uso de una cadena de conexión. Los proveedores usan ADO.NET para acceder los datos (TDS sobre puerto 1433). La conexión a SQL Azure es compatible con TDS, y así proporcionar una cadena de conexión a SQL Azure es completamente transparente para los proveedores. Una aplicación ASP.NET puede funcionar como un web rol y usar una base de datos implementada en SQL Azure para almacenar los datos del proveedor. Durante la migración de una aplicación a la nube, por lo tanto, todo lo que usted tiene que hacer es cargar la base de datos existente a SQL Azure y actualizar las cadenas de conexión. Si la información de identidad debe permanecer en las instalaciones locales (on-premises) es posible usar Azure Connect y apuntar cadenas de conexión al servidor que esté hospedando la base de datos.
El hecho de que todos los métodos de autenticación que son compatibles con ASP.NET (tales como autenticación Windows y autenticación de formas) aún son compatibles con Windows Azure remueve uno de los obstáculos más serios a la migración de aplicaciones.

Identidad basada en notificaciones
La administración de identidades es un nuevo enfoque del manejo de identidades. Fue diseñada para resolver algunos problemas y preocupaciones que despertó el enfoque de identidad basada en roles descritos anteriormente.
En el enfoque basado en notificaciones, un usuario presenta su identidad a la aplicación mediante el uso de un token que contiene una serie de claims o notificaciones. Una notificación podría ser el nombre del usuario; otra notificación podría ser una dirección de correo electrónico. La autenticación no la implementa la aplicación. Los usuarios autentican comprobando con un sistema externo de identidad conocido como un security token device (STS), que les proporciona tokens a los usuarios para que le entreguen a la aplicación. La aplicación puede después, de manera segura, usar la información que se encuentra en el token debido a la relación de confianza que se ha establecido entre el STS y la aplicación. Para cada solicitud que hace el usuario, el STS está configurado para darle a la aplicación todo lo que necesita saber acerca del usuario, además de la garantía criptográfica de que los datos de identidad recibidos en realidad proviene de una fuente de confianza.
Sacar la autenticación de las aplicaciones lleva a muchos beneficios para desarrolladores, profesionales de IT, y usuarios. Dicho de manera simple, hay menos cuentas de usuarios para que todas las personas manejen, y la centralización de autenticación que resulta hace que sea más fácil hacer un upgrade a métodos más fuertes de autenticación a medida que evolucionan, e incluso la identidad federada con otras plataformas y organizaciones.
En una solución basada en notificaciones, por lo tanto, la aplicación no necesita conectarse a ningún directorio de empresa en particular para buscar los detalles de la identidad de los usuarios. En cambio, la solicitud de los usuarios llega con todos los detalles de identificación que necesita la aplicación para hacer su trabajo. Para el momento en que llega el usuario con todas estas notificaciones, ya ha sido autenticado, y la aplicación puede seguir con sus asuntos sin preocuparse por administrar o buscar cuentas de usuario. El resultado es una aplicación más sencilla con menos código de infraestructura.
La unión con un nuevo asociado es sencilla en un escenario basado en notificaciones. La autenticación a través de un STS puede ser transitiva; si un socio tiene un STS que no es de confianza de la aplicación, pero se puede establecer la confianza entre este STS y otro STS que es de confianza de la aplicación, entonces los usuarios del asociado pueden proporcionar el STS de la aplicación con un token que han recibido de su propio proceso de autenticación, usando el token para adquirir otro token que después se puede utilizar para llamar a la aplicación.

- Escenario básico
El escenario básico identidad basada en notificaciones es relativamente sencillo.

Figura 1

La aplicación y el STS establecen una relación de confianza con el intercambio de claves criptográficas. (1).
La aplicación expone una política que define una lista de notificaciones que necesita y los STS de confianza que pueden producir dichas notificaciones.
Luego de recuperar esta política (2), el cliente contacta el STS (3), solicita las notificaciones requeridas por la aplicación. El STS autentica al usuario y le devuelve un token de seguridad que contiene todas las notificaciones.
El cliente luego hace la solicitud a la aplicación (4), enviando el token de seguridad con la solicitud del servicio. La aplicación valida el token y usa las notificaciones para hacerle una revisión al cliente y formular la respuesta.

- La Federación
Con el enfoque basado en notificaciones, la federación es sencilla de implementar porque la aplicación se desacopla de la administración de identidad y de los almacenes de identidad. Lo único que la aplicación necesita es un token de un STS de confianza; no necesita saber de qué manera el cliente suministró su identidad al STS y recibió el token. La federación es útil, por consiguiente, cuando una aplicación necesita proporcionar servicio a clientes que estén por fuera de su dominio natural. Esto podría surgir, por ejemplo, cuando un servicio interno disponible a los empleados de una compañía se extiende y debe servir a los empleados de un asociado también, cuyas identidades se administran por fuera de la compañía. Esta situación está ilustrada en la Figura 2.

Figura 2

En este ejemplo, la Administración de Contoso ha emitido órdenes administrativas al departamento de IT para permitir a los empleados de su asociado, Fabrikam, el uso de una aplicación que hasta el momento sólo ha estado disponible para empleados de Contoso. La política de servicio es muy sencilla: se presenta el token creada por el STS de Contoso, y se proveerá el servicio. Los empleados de Contoso pueden con facilidad recibir el token y usar el servicio, pero los empleados de Fabrikam no tienen la habilidad de usar el STS de Contoso. Por lo tanto, en lugar de incorporar una relación directa con el STS de Fabrikam a la aplicación, los empleados de Fabrikam pueden usar los tokens que han recibido del STS de Fabrikam para que el STS de Contoso les de un token basado en el hecho de que confía en el STS de Fabrikam.
Los empleados seran autenticados en el STS local de la organización (1), recibirán un token (2), y lo presentarán ante el STS de Contoso (3).
Cuando se ha establecido la confianza entre dos STS, las reglas de asignación de notificaciones se definieron. Usando estas reglas, el STS de Contoso asigna las notificaciones suministradas por el STS de Fabrikam y las utiliza para crear un token válido para la aplicación (4).
Luego de recibir el token producido por el STS de Contoso, los empleados de Fabrikam pueden enviarlo a al aplicación para recibir el servicio (5).

- Interoperabilidad
Los protocolos que ejecutan aplicaciones distribuidas deben estar estandarizadas para permitir la colaboración entre distintas tecnologías y plataformas. El grupo más popular de estándares relativas a servicios web se llama WS-*, y contiene estándares tales como WS- Security, WS-Federation y WS-Trust.
Es vital que el STS sea interoperable con todos los diferentes tipos de usuarios y usuarios de confianza que usarán sus servicios. Varios estándares de WS-* se usan en el escenario descrito anteriormente. La política se recupera usando http GET y la política en sí misma se estructura de acuerdo a las especificaciones de WS-Security, WS-Federation y WS-Trust. El STS expone los extremos que implementan la especificación de WS-Trust, que describe como hacer la solicitud y la recepción de tokens de seguridad. La mayoría de STS emiten tokens de SAML (Security Assertion Markup Language). SAML es un vocabulario XML reconocido por la industria que se puede usar para representar notificaciones de una manera interoperable.

SAML, con WS-Federation y WS-Trust standards, define todos los detalles alrededor de la autorización basada en notificaciones:
• Los escenarios de casos de autorización basada en notificaciones
• Los protocolos de comunicación
• Los jugadores y sus tareas en los protocolos
• La estructura de los metadatos expuestos por cada uno de los usuarios.

La adherencia a los estándares permite la comunicación con otros STS que estén en plataformas completamente distintas y permite inicio de sesión único en muchas aplicaciones, sin importar el tipo de plataforma.
El desarrollador se libra de tener que manejar todos los detalles de estándares de SAML y WS-*, porque WIF y ACS (descrito más adelante), hacen todo el trabajo pesado y proporcionan interfaces sencillas y modelos de objetos a ser usadas por el desarrollador.

- Escalabilidad y disponibilidad
El STS es un elemento principal en soluciones basadas en notificaciones. Si el STS está abajo (down) o no está disponible, los usuarios no podrán recibir tokens y por lo tanto no se les permitirá el uso de la aplicación. Adicionalmente, un STS individual probablemente se utilizará para servir a múltiples aplicaciones con distintas cargas de trabajo al mismo tiempo. Por esto, el STS debe estar diseñado para ser escalable y disponible en todo momento, y debería poder manejar picos impredecibles en la demanda. La nube es un entorno natural para hospedar este tipo de aplicación.
No es por lo tanto sorprendente que uno de los servicios proporcionado por la plataforma de Windows Azure es un STS. Este STS se llama Access Control Service (Servicio de Control de Acceso)

Access Control Service (ACS)
Windows Azure AppFabric Access Control Service (ACS) 2.0 es un servicio hospedado que proporciona autenticación federada y de autorización manejada por reglas basada en notificaciones para aplicaciones de Winddows Azure. Al desempeñar el rol de un recurso de STS que puede recibir notificaciones de usuarios externos y las transforma en notificaciones que la aplicación puede utilizar, ACS 2.0 les permite a los usuarios lograr una externalización real de las políticas de autorización, y de esta manera ofrece la oportunidad de desacoplar las aplicaciones para la mayoría de la lógica de autorización, al hospedar esa lógica (en la forma de reglas de transformación de notificaciones) en el ACS en sí.

ACS 2.0 les permite a los desarrolladores construir aplicaciones y servicios que acepten tanto identidades empresariales (a través de la integración con Active Directory Federation Services 2.0), y una amplia gama de identidades web (a través de la compatibilidad con identidades de Windows Live ID, OpenID, Google, Yahoo y Facebook) con el uso de un único código de base. ACS 2.0. proporciona compatibilidad con los formatos de token de SAML 1.1, SAML 2.) y Simple Web Token (SWT), y está plenamente integrado con el marco de Windows Identity Foundation (WIF).

Como se describió anteriormente, un STS es un servicio necesario para todas las aplicaciones basadas en notificaciones. Acces Control Service es un STS confiable, escalable y disponible que ofrece Azure para el uso de todas las aplicaciones basadas en notificaciones ejecutadas por clientes de Azure.
Access Control Service tiene un portal simple que es accesible desde el portal principal de Azure. Para crear un sTS, lo único que usted tiene que hacer es abrir un espacio de nombres en AppFabric y habilitar Access Control La configuración del STS consta de tres pasos principales:

Paso 1: Configurar proveedores de identidad.
Establezca la confianza con proveedores de identidad (STS) que emitirán tokens de entrada. Una vez establecida la confianza, el aCS puede procesar tokens que se originen de estos STS y asignar notificaciones de entrada a notificaciones de salida.
El ACS viene con una lisa de proveedores de identidad que ya son de la confianza de Azure, tales como Google, Yahoo y Windows Live ID. Usted puede seleccionar entre estos o establecer confianza con ACS y su propio ADFS 2.0 u otros STS predeterminados.

Paso 2: Establecer confianza con una aplicación de relying party (RP), o usuario de confianza.
En ACS, una aplicación de usuario de confianza es sólo una proyección de la aplicación al sistema. La RP define los URLs para la aplicación, la preferencia de formato de token, el tiempo de expiración del token, las opciones de firma del token, y las opciones de cifrado del token.

Paso 3: Definir reglas de asignación.
Defina las reglas de asignación que definen cómo ACS emitirá tokens a su aplicación de acuerdo a las notificaciones de entrada proporcionadas por los proveedores de identidad.

Después de la configuración, el portal proporciona una sección de Aplication Integration (Integración de la aplicación), que incluye toda la información necesaria para agregar una referencia STS (usando WIF) al ACS. Generalmente todo lo que usted necesita es el extremo de metadatos expuesto por el ACS.

Windows Identity Foundation
WIF es un marco para la implementación de aplicaciones para notificaciones. Puede ser utilizado en cualquier aplicación web, servicio web, aplicación de nube, o aplicación local.
WIF fue diseñada para facilitar la interacción con notificaciones al proporcionar un API simple y herramientas que unificarán y simplificarán aplicaciones para notificaciones. Está construido sobre el plumbing (la fontanería o las instalaciones sanitarias) de WCF y utiliza a cabalidad su sencillez y extensibilidad. WIF también implementa todos los estándares relacionados de
WS-* y SAML. WIF liberando al desarrollador de tener que manejar sus detalles. ,
WIF ofrece una variedad de otras posibilidades además: un API simple para administración de tokens y de notificaciones, una clase base para la construcción de un STS personalizado, ASP.NET HttpModules para procesamiento de tokens al interior del la canalización http de aplicaciones basadas en la red, y mucho más.
Con WIF, desarrollador está escudado de todo el trabajo pesado criptográfico requerido para implementar protocolos basados en notificaciones. WIF descifra el token de seguridad presentado por el cliente, valida su virma, valida cualquier clave de prueba, destruye el token en una serie de notificaciones, y los presenta al desarrollador a través de un modelo de objetos fácil de consumir.
WIF está plenamente integrado con Visual Studio 2010. Proporciona las herramientas necesarias para integrar compatibilidad con notificaciones en las aplicaciones web existentes a través de tan sólo unos pocos clics del mouse. WIF es la tecnología recomendada para integrar Azure AppFabric ACS en su aplicación.

Conclusión
Casi todas las aplicaciones deben manejar la identidad, que es un pilar principal en la aplicación de la seguridad. Windows Azure es compatible tanto con el enfoque de la identidad basada en notificaciones como con el enfoque la identidad basada en roles. La administración de la identidad no es un tema sencillo. La mayoría de los desarrolladores no son expertos en seguridad, y se sentirán incómodos al ser asignados las tareas de autenticar, autorizar, y personalizar experiencias para los usuarios.

La identidad basada en notificaciones saca la administración de la identidad fuera de los límites de la aplicación, liberando al desarrollador y al profesional IT de esa pesada carga de responsabilidad. Produce tokens que contienen información sobre el usuario en la forma de notificaciones. De estos tokens, la aplicación recibe toda la información que necesita sobre el usuario, y esta información se adjunta a la solicitud de servicio.
Crear un STS no es sencillo. Un STS debe ser escalable, confiable y disponible. Windows Azure APPFabric por eso ofrece una STS tal como un servicio: escalable, confianza y disponible por diseño, porque se ejecuta en una nube de Windows Azure.

Hasta la próxima.
Fuente: Microsoft.

Actualizaciones plataforma Microsoft - AGOSTO 2011

2011-09-18T19:36:00.003-03:00

Los boletines del mes de agosto son:

1) MS11-057: Actualización de seguridad acumulativa para Internet Explorer (2559049)
Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada y dos vulnerabilidades de las que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

2) MS11-058: Vulnerabilidades en el servidor DNS podrían permitir la ejecución remota de código (2562485)
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en el servidor DNS de Windows. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante registra un dominio, crea un registro NAPTR DNS y, a continuación, envía una consulta NAPTR especialmente diseñada al servidor DNS de destino. Los servidores que no tienen habilitado el rol DNS no están expuestos.

3) MS11-059: Una vulnerabilidad en Data Access Components podría permitir la ejecución remota de código (2560656)
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Excel legítimo (como un archivo .xlsx) que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

4) MS11-060: Vulnerabilidades en Microsoft Visio podrían permitir la ejecución remota de código (2560978)
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Visio. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

5) MS11-061: Una vulnerabilidad en Acceso web a Escritorio remoto podría permitir la elevación de privilegios (2546250)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Acceso web a Escritorio remoto. Se trata de una vulnerabilidad de scripts de sitios (XSS) que podría permitir la elevación de privilegios, lo que permitiría que un atacante ejecutar comandos arbitrarios en el sitio en el contexto del usuario atacado. El filtro XSS en Internet Explorer 8 e Internet Explorer 9 impide este ataque a sus usuarios al explorar un servidor de Acceso web a Escritorio remoto en la zona Internet. El filtro XSS en Internet Explorer 8 e Internet Explorer 9 no está habilitado de forma predeterminada en la zona Intranet.

6) MS11-062: Una vulnerabilidad en el controlador NDISTAPI de Servicio de acceso remoto podría permitir la elevación de privilegios (2566454)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en todas las ediciones compatibles de Windows XP y Windows Server 2003. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no están afectados por la vulnerabilidad.
La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada con la finalidad de aprovechar la vulnerabilidad y tomar el control completo sobre el sistema afectado. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

7) MS11-063:<em> Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2567680)Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada para enviar un mensaje de evento de dispositivo a un proceso de mayor integridad. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

8) MS11-064: Vulnerabilidades en la pila de TCP/IP podrían permitir la ejecución remota de código (2563894)
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la denegación de servicio si un atacante envía una secuencia de mensajes de protocolo de mensajes de control de Internet (ICMP) especialmente diseñados a un sistema de destino o envía una solicitud de dirección URL especialmente diseñada a un servidor que sirve contenido web y tiene habilitada la característica de calidad de servicio (QoS) basada en dirección URL.

9) MS11-065: Una vulnerabilidad en el protocolo de Escritorio remoto podría permitir la denegación de servicio (2570222)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el protocolo de Escritorio remoto. La vulnerabilidad podría permitir la denegación de servicio si un sistema afectado recibe una secuencia de paquetes RDP especialmente diseñados. Microsoft también ha recibido informes de ataques limitados y dirigidos que intentan aprovechar esta vulnerabilidad. De forma predeterminada, el protocolo de Escritorio remoto (RDP) no está habilitado en ningún sistema operativo Windows.

10) MS11-066: Una vulnerabilidad en el control de gráficos de Microsoft podría permitir la divulgación de información (2567943)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en los controles de gráficos de ASP.NET. La vulnerabilidad podría permitir la divulgación de información si un atacante envía una solicitud GET especialmente diseñada a un servidor afectado que hospede los controles de gráficos. Es importante mencionar que la vulnerabilidad no permitirá al atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría servir para recuperar información que se podría usar para poner en peligro el sistema afectado. Solo las aplicaciones web que usan el control de gráficos de Microsoft están afectadas por este problema. Las instalaciones predeterminadas de .NET Framework no están afectadas.

11) MS11-067: Una vulnerabilidad en Microsoft Report Viewer podría permitir la divulgación de información (2578230)Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Report Viewer. La vulnerabilidad podría permitir la divulgación de información si un usuario visita una página web especialmente diseñada. Sin embargo, el atacante no podría en ningún caso obligar al usuario a visitar el sitio web. Por lo tanto, tendría que atraerlo al sitio web; por lo general, convenciéndole para que haga clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve al usuario al sitio web vulnerable.

12) MS11-068: Una vulnerabilidad en el kernel de Windows podría permitir la denegación de servicio (2556532)
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un usuario obtiene acceso a un recurso compartido de red (o visita un sitio web que apunta a un recurso compartido de red) que contenga un archivo especialmente diseñado. Sin embargo, el atacante no podría en ningún caso obligar al usuario a tener acceso al recurso compartido de red o a visitar el sitio web. Por lo tanto, tendría que atraerlo; por lo general, convenciéndole para que haga clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger.

13) MS11-069: Una vulnerabilidad en .NET Framework podría permitir la divulgación de información (2567951)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft .NET Framework. La vulnerabilidad podría permitir la divulgación de información si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones del explorador XAML (XBAP). En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. Esta vulnerabilidad también la podrían usar aplicaciones Windows .NET para omitir las restricciones de seguridad de acceso del código (CAS).

Microsoft ofrece orientación para la detección y la implementación de las actualizaciones de seguridad. Dicha orientación contiene recomendaciones e información que pueden ayudar a los profesionales de TI a comprender el modo de usar varias herramientas para la detección y la implementación de las actualizaciones de seguridad. Para obtener más información, vea el artículo 961747 de Microsoft Knowledge Base .

Hasta la próxima.

Fuente: Microsoft.

Actualizaciones plataforma Microsoft - JULIO 2011

2011-09-18T19:32:00.004-03:00

En el mes de Julio, los boletines de seguridad son los siguientes:

1)MS11-053: Una vulnerabilidad en la pila Bluetooth podría permitir la ejecución remota de código (2566220)
Esta actualización de seguridad resuelve una vulnerabilidad en la pila Bluetooth de Windows de la que se ha informado de forma privada. La vulnerabilidad podría permitir la ejecución remota de código si un atacante enviara una serie de paquetes Bluetooth especialmente diseñados a un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Esta vulnerabilidad sólo afecta sistemas con la capacidad Bluetooth.

2) MS11-054: Vulnerabilidades en los controladores modo kernel de Windows podrían permitir la elevación de privilegios (2555917)
Esta actualización de seguridad resuelve 15 vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante ha iniciado sesión localmente y ha ejecutado una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de aprovechar estas vulnerabilidades.

3) MS11-056: Vulnerabilidades en el subsistema de tiempo de ejecución de cliente-servidor de Windows podrían permitir la elevación de privilegios (2507938)
Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada en el subsistema de tiempo de ejecución de cliente-servidor de Microsoft Windows (CSRSS). Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en el sistema de un usuario y ejecuta una aplicación especialmente diseñada. Para aprovechar las vulnerabilidades, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

4) MS11-055: Una vulnerabilidad en Microsoft Visio podría permitir la ejecución remota de código (2560847)
Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Microsoft Visio. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Visio legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

Hasta la próxima.

Actualizaciones plataforma Microsoft - JUNIO 2011

2011-09-18T19:14:00.007-03:00

Este mes contamos con los siguientes boletines:

1)MS11-038: Una vulnerabilidad en la automatización OLE podría permitir la ejecución remota de código (2476490)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la automatización de vinculación e incrustación de objetos (OLE) de Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio web que contiene una imagen WMF especialmente diseñada. No obstante, el atacante no podría en ningún caso obligar a los usuarios a visitar un sitio web. Por lo tanto, tendría que atraerlos a un sitio web malintencionado; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o una solicitud de Instant Messenger.

2) MS11-039 : Una vulnerabilidad en .NET Framework y Microsoft Silverlight podría permitir la ejecución remota de código (2514842)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft .NET Framework y Microsoft Silverlight. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP) o aplicaciones Silverlight. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. La vulnerabilidad también podría permitir la ejecución remota de código en un sistema de servidor que ejecute IIS si dicho servidor permite el procesamiento de páginas ASP.NET y un atacante consigue cargar una página ASP.NET especialmente diseñada en el servidor y la ejecuta, como puede ser el caso de un escenario de hospedaje web. Esta vulnerabilidad también la podrían usar aplicaciones Windows .NET para omitir las restricciones de seguridad de acceso del código (CAS).

3) MS11-040 : Una vulnerabilidad en el cliente firewall de Threat Management Gateway podría permitir la ejecución remota de código (2520426)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el cliente de Microsoft Forefront Threat Management Gateway (TMG) 2010, que anteriormente se denominaba Cliente firewall de Microsoft Forefront Threat Management Gateway. La vulnerabilidad podría permitir la ejecución remota de código si un atacante aprovecha un equipo cliente para realizar solicitudes específicas en un sistema donde se use el cliente firewall de TMG.

4) MS11-041: Una vulnerabilidad en los controladores en modo kernel de Windows podría permitir la ejecución remota de código (2525694)Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario obtiene acceso a un recurso compartido de red (o visita un sitio web que apunta a un recurso compartido de red) que contenga una fuente OpenType (OTF) especialmente diseñada. Sin embargo, el atacante no podría en ningún caso obligar al usuario a visitar el sitio web o tener acceso al recurso compartido de red. Por lo tanto, tendría que atraerlo al sitio web o al recurso compartido de red; por lo general, convenciéndole para que haga clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger.

5) MS11-042: Vulnerabilidades en el sistema de archivos distribuido podrían permitir la ejecución remota de código (2535512)
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado en el sistema de archivos distribuido (DFS) de Microsoft. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante envía una respuesta DFS especialmente diseñada a una solicitud DFS iniciada por el cliente. Un atacante que consiga aprovechar esta vulnerabilidad podría ejecutar código arbitrario y tomar el control completo de un sistema afectado. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

6) MS11-043: Una vulnerabilidad en el cliente SMB podría permitir la ejecución remota de código (2536276)
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante ha enviado una respuesta SMB especialmente diseñada a una solicitud SMB iniciada por el cliente. Para aprovechar la vulnerabilidad, un atacante debe convencer al usuario para que inicie una conexión SMB a un servidor SMB especialmente diseñado.

7) MS11-044: Una vulnerabilidad en .NET Framework podría permitir la ejecución remota de código (2538814)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Microsoft .NET Framework. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP). Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. La vulnerabilidad también podría permitir la ejecución remota de código en un sistema de servidor que ejecute IIS si dicho servidor permite el procesamiento de páginas ASP.NET y un atacante consigue cargar una página ASP.NET especialmente diseñada en el servidor y la ejecuta, como puede ser el caso de un escenario de hospedaje web. Esta vulnerabilidad también la podrían usar aplicaciones Windows .NET para omitir las restricciones de seguridad de acceso del código (CAS).

8) MS11-050: Actualización de seguridad acumulativa para Internet Explorer (2530548)
Esta actualización de seguridad resuelve once vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

9) MS11-052: Una vulnerabilidad en el lenguaje de marcado vectorial podría permitir la ejecución remota de código (2544521)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la implementación de Microsoft del lenguaje de marcado vectorial (VML). Esta actualización de seguridad se considera crítica para Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 en clientes Windows; y moderada para Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 en servidores Windows. Internet Explorer 9 no está afectado por la vulnerabilidad.
La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

10) MS11-037: Una vulnerabilidad en MHTML podría permitir la divulgación de información (2544893)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en el controlador de protocolo MHTML en Microsoft Windows. La vulnerabilidad podría permitir la divulgación de información si un usuario abre una dirección URL especialmente diseñada del sitio web de un atacante. Un atacante tendría que atraerlo al sitio web, por lo general, convenciéndole para que siga un vínculo de un mensaje de correo electrónico o de Instant Messenger.

11) MS11-045: Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (2537146)
Esta actualización de seguridad resuelve ocho vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. La instalación y configuración de Validación de documento de Office (OFV) para prevenir la apertura de archivos sospechosos bloquea las vías de ataque para aprovechar las vulnerabilidades descritas en CVE-2011-1272, CVE-2011-1273 y CVE-2011-1279. Microsoft Excel 2010 es el único afectado por la vulnerabilidad CVE-2011-1273 descrita en este boletín. La solución Microsoft Fix it automatizada, "Deshabilitar la edición en Vista protegida para Excel 2010", disponible en el artículo 2501584 de Microsoft Knowledge Base, bloquea las vías de ataque para aprovechar CVE-2011-1273.

12) MS11-046: Una vulnerabilidad en el controlador de función auxiliar podría permitir la elevación de privilegios (2503665)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en el controlador de función auxiliar (AFD) de Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema del usuario y ejecuta una aplicación especialmente diseñada. Para aprovechar la vulnerabilidad, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

13) MS11-047: Una vulnerabilidad en Hyper-V podría permitir la denegación de servicio (2525835)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Windows Server 2008 Hyper-V y en Windows Server 2008 R2 Hyper-V. La vulnerabilidad podría permitir la denegación de servicio si se envía un paquete especialmente diseñado a VMBus por parte de un usuario autenticado en una de las máquinas virtuales invitadas que hospeda el servidor Hyper-V. Para aprovechar esta vulnerabilidad, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de enviar contenido especialmente diseñado desde una máquina virtual invitada. Los usuarios anónimos o los usuarios remotos no pueden aprovechar esta vulnerabilidad.

14) MS11-048: Una vulnerabilidad en el servidor SMB podría permitir la denegación de servicio (2536275)
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante crea un paquete SMB especialmente diseñado y lo envía a un sistema afectado. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa que intentan aprovechar esta vulnerabilidad.

15) MS11-049: Una vulnerabilidad en el Editor XML de Microsoft podría permitir la divulgación de información (2543893)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el Editor XML de Microsoft. La vulnerabilidad podría permitir la divulgación de información si un usuario abre un archivo de detección de servicios web (.disco) en el software afectado que se enumera en este boletín. Es importante mencionar que la vulnerabilidad no permitirá al atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría servir para producir información útil que pudiera usarse para tratar de sacar más provecho del sistema afectado.

16) MS11-051: Una vulnerabilidad en Inscripción en web de Servicios de Certificate Server de Active Directory podría permitir la elevación de privilegios (2518295)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Inscripción en web de Servicios de Certificate Server de Active Directory. Se trata de una vulnerabilidad de scripts de sitios (XSS) que podría permitir la elevación de privilegios, lo que permitiría que un atacante ejecutar comandos arbitrarios en el sitio en el contexto del usuario atacado. Un atacante que aprovechara esta vulnerabilidad debería enviar un vínculo especialmente diseñado y convencer a un usuario para que hiciera clic en él. Sin embargo, el atacante no podría en ningún caso obligar al usuario a visitar el sitio web. Por lo tanto, tendría que atraerlo al sitio web; por lo general, convenciéndole para que haga clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve al usuario al sitio web vulnerable.

Para más detalle de este boletín, visitar el sitio de MS, presion AQUI.
Hasta la próxima

Fuente: Microsoft Corp.

Actualizaciones plataforma Microsoft - MAYO 2011

2011-09-18T19:08:00.005-03:00

Boletines publicados en el mes de Mayo:

1)MS11-035 : Una vulnerabilidad en WINS podría permitir la ejecución remota de código (2524426): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Servicio de nombres Internet de Windows (WINS). La vulnerabilidad podría permitir la ejecución remota de código si un usuario recibe un paquete de réplica de WINS especialmente diseñado en un sistema afectado que ejecuta el servicio WINS. De forma predeterminada, WINS no se instala en ningún sistema operativo afectado. Sólo los clientes que instalaron manualmente este componente están afectados por este problema.

2)MS11-036: Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (2545814): Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft PowerPoint. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de PowerPoint especialmente diseñado. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. La instalación y configuración de Validación de documento de Office (OFV) para prevenir la apertura de archivos sospechosos bloquea las vías de ataque para aprovechar las vulnerabilidades descritas en CVE-2011-1269 y CVE-2011-1270.

Hasta la próxima.

Run Web Camp CÓRDOBA

2011-05-07T10:12:00.002-03:00

Microsoft y el Grupo de Usuarios Microsoft le invitan a participar del evento de tecnologías Web que recorre el mundo: Paris, Caracas, Madrid, Los Ángeles, Kuala Lumpur, Toronto, Bangalore, Buenos Aires, Londres, Miami, Dallas, Banja Luka, Tampa, Nashville, Irvine, Minneapolis… y también Córdoba, Rosario, San Francisco, Resistencia, Jujuy, La Plata y más ciudades de Argentina que iremos anunciando, para que nuestros profesionales y estudiantes estén al día.

Con el apoyo del Departamento de Ingeniería de Sistemas de UTN Facultad Regional Córdoba.

Oradores : Daniel Laco (MVP), Eugenio Serrano (MVP), Enrique Dutra (MVP).

Fecha: Lunes, 16 de mayo de 2011

Lugar: Aula Magna UTN, Maestro M. Lopez esq. Cruz Roja Argentina Ciudad Universitaria - Córdoba Capital

Horario 17:00 a 22.00 Hs.

Agenda:

17:00 hs Acreditación.
17:30 Apertura del evento, presentación de los oradores, explicación del contenido de software que se entregará a los asistentes
17:40 Acceso a Datos y Modelado con Entity Framework - Daniel Laco
19:00 Intervalo
19:20 Seguridad en la nube. Gestión con BRS Datacenter. Demos con máquinas virtuales - Enrique Dutra
20.40 ASP.Net MVC. Un cambio de vista en MVC: Razor Syntax. Aplicaciones Ajax con MVC - Eugenio Serrano
22.00 Cierre

Evento gratuito, vacantes limitadas, inscripción previa obligatoria. Registrese AQUI

Los esperamos!!

UTM-1 Checkpoint - Recuperación del cluster luego de rotura de un nodo.

2011-05-07T09:13:00.007-03:00

Este artículo lo redacté, ya que no hay mucha información de como recuperar un cluster cuando un nodo se rompe o hay que reinstalarlo. El SK de la base de conocimiento de Checkpoint define como hay que hacerlo desde el Dashboard, pero en realidad, si quieren un proceso definido, deben seguir los pasos que describo en este artículo.

Por otro lado, el mismo aplica para escenarios con equipos UTM-1 con configuración de cluster, en donde un nodo posee el rol de activo y el otro pasivo.

Incidente

Si al poseer el cluster, uno de los nodos se rompe o requiere ser reinstalado, debe ser cuidadoso, ya que hay un solo nodo que provee los servicios a la compañía y cualquier error de configuración al momento de implementar el nodo adicional puede comprometer la configuración.
Se recomienda:

1) Ingresar por la consola Web (https://IPdelNODO:4434) al nodo activo y proceder a realizar una imágen del mismo. Esto opción solo disponible en los UTM-1, si poseen instalaciones abiertas (el equipamiento no es provisto por Checkpoint, es un servidor, realizar una imagen con software similar al Ghost). Esto permite que si surge cualquier inconveniente, pueden volver atrás.

2) Hacer un backup del S.O desde la misma consola Web y guardar la misma fuera del UTM-1. Usen la opción almacenar en la PC.

3) Verifiquen la versión del S.O y que actualizaciones posee el mismo (es lo que figura como HFA). Es sumamente importante que al momento de agregar nuevamente el nodo dos, los dos equipos tengan el mismo S.O y HFA.

4) Ingrese al Dashboard y verifique que nodo se ha roto. En el caso de ser el primario, verifique que el nodo actual este bien seteado como nodo primario, ya que el nodo que va a reparar, deberá agregarlo como secundario.

5) En el caso de no tener la documentación del equipo que va a reparar (Error, debe hacer un documento con la configuración mínima de cada equipo una vez que terminó la implementación!), en el Dashboard, si ingresa a la configuración del cluster, en la opción TOPOLOGIA, podrá verificar las direcciones IP que poseen ambos nodos. Por otro lado, tome nota del nombre del equipo, debe respetarse el nombre, incluyendo mayúsculas y minúsculas.

Reinstalación Nodo Secundario

Vamos a proceder a instalar o reinstalar el nodo afectado. Contando con la información y si ya ha dispuesto de los cables entre los equipos correctamente (no se olvide de poner el cable entre los equipos que sincronizan el SIC o internamente), avanzamos.

Al encender el equipo, una de las maneras rápidas de configurar el mismo, es via Web. Recuerde que de manera predeterminada, la dirección IP es 192.168.1.1, por lo cual, para acceder a la consola WEB, es https://192.168.1.1:4434. Si Usted en su red posee esa dirección IP asignada a otro recurso, aisle la boca que equipo que dice "INTERNAL" y en todo caso coloque un cable entre la boca "INTERNAL" del UTM-1 y una notebook o una PC hasta que halla terminado el proceso de configuración.

Los pasos son los siguientes

1) Abre la consola Web, se loguea como admin, usando admin como contraseña la primera vez.

2) Cambie la contraseña y recuerde la misma.

3) Le pedirá los datos de las placas de red, recuerde de colocar bien las direcciones IP y las submáscaras de red. Si la placa INTERNAL lleva otra dirección, modifiquela ahora, el dispositivo le mostrará una advertencia que la dirección IP 192.168.1.1 se mantendrá hasta finalizar la configuracioón.

4) Configure el enrutamiento. Si no lo recuerda, puede entrar al Nodo Principal y copiarlo de allí.

5) Configure los DNS. Si no lo recuerda, puede entrar al Nodo Principal y copiarlo de allí.

6) Defina el nombre del equipo, respete las mayúsculas y minúsculas tal cual poseía el equipo original. Si bien el certificado generado por la entidad emisora interna no hace distinción a mayúsculas o minúsculas, se evita problemas luego en el Dashboard.

7) Defina que es un equipo que pertenece al cluster, y defina el mismo como equipo secundario, como dice la pantalla. Este punto es muy importante.

8) Defina el SIC. Sirve mucho recordarlo y tenerlo de la documentación para evitar problemas posteriores. Este mismo número que ingresa allí, deberá transcribirlo en el Dashboard en la configuración del nodo agregado o reparado.
9) Se procede a darle el ok a la configuración y se empieza el proceso de configuración. El mismo demora unos 15 minutos aproximadamente. Luego de esto, REINICIE el equipo.

A tener en cuenta
Recomendaciones al momento de realizar el proceso de reparación del cluster

1) Si el equipo UTM-1 a instalar posee una versión anterior del S.O o HFA de la actual, realice los pasos anteriores. Si va a la herramienta SmartView Monitor observará que el nodo agregado tiene una flecha roja y dice "untrusted". Esto es por que aún no se ha agregado bien al cluster, por lo cual, ACTUALICE el S.O y el HFA y luego vamos a reconfigurar el Dashboard.
2) Si el equipo UTM-1 a instalar posee una versión superior del S.O o HFA actual, realice una actualización del equipo actual en producción (si actualiza el S.O genera una imágen automática, si es un HFA genere Usted la imagen). Si el S.O cambia (de un R65 pasa a R70) recuerde de tener la licencia a mano de ámbos equipos. En el caso de no contar con la licencia, deberá instalar usando un CD o DVD por USB la versión más vieja en el equipo nuevo (no se los recomiendo, ya que hoy el R65 no es soportado, vayan siempre por la última versión disponible del fabricante).

Pasos Finales
Listo, el S.O del nodo adicional está en linea, pero aún no tiene configuración o la réplica del cluster. Realizamos los siguientes pasos

1) Ir al Dashboard.
2) Ir a la configuración del cluster y seleccionar el nodo instalado.
3) Ir a la configuración del SIC y presionar el botón RESET. La configuración se borra y le permitirá escribir allí el mismo número que ingreso en la consola Web en el paso anterior.

4) Aplicar los cambios.
5) Instalar la política, verificando que se aplique en los dos nodos.
6) Una vez que se aplica la política, si va en el Dashboard a la opción del Management High Availability, le indicará que está sincronizando y que debe esperar. Este proceso de unos 10 minutos, lo que hace es copiar las reglas y contenidos o seteos del nodo 1 al nodo 2.
7) Una vez que observa en el Management HA que dice sincronizado, ya puede cambiar los roles de los nodos si lo desea o dejar los mismos en ese estado.
8) Verifique en el SmartView Monitor que ámbos nodos, poseen toda la configuración en verde. indicando que está todo correcto.
9) Puede ir a la consola del equipo adicional, ingresando por PuTTy, loguearse y verificar el estado del cluster con el comando cphaprob stat.
10) Agregue la licencia al nodo instalado, si no en 15 días el mismo se desactivará.

Una vez que se ha sincronizado, los dos nodos pasan a estar listos para los failover.
Hasta la próxima.

Córdoba - Implementando Seguridad en la Empresa con BRS y Forefront

2011-04-19T14:18:00.004-03:00

Gente:

En esta jornada se presentarán las soluciones que componen la estrategia BRS (Business Ready Security) y donde desplegar cada una de ellas para contar con un ambiente seguro. En ambiente virtual, se analizará la consolidacion de la información de las diferentes soluciones. Se observará la implementación de políticas y cumplimientos.
En esta sesión se analizará la problemática del malware y como establecer una protección integral en toda la empresa. Evento gratuito. Inscripción previa obligatoria.

Día : Mayo 02, 2011
Lugar: Aula Magna UTN, Maestro M. Lopez esq. Cruz Roja Argentina Ciudad Universitaria - Córdoba Capital

Inscribase AQUI.

Disertante: Enrique Dutra, posee más de 20 años de experiencia en organizaciones de soporte de IT.Especializado en seguridad y normalización en estándares COBIT, ISO 17799/27001, ISO 20000, MOF e ITIL, Auditor Lider ISO/IEC 27001:2005. Posee Certificaciones MCSE - MCDBA - MCP - MCT 2011. Distinguido como MVP en Seguridad Windows desde el año 2006, actualmente es MVP Enterprise Security.

Los esperamos!

Nuevo lanzamiento Rollup 3 para Exchange 2010 Sp1

2011-04-14T23:02:00.006-03:00

Gente
Este mes se realizó el relanzamiento del Rollup 3 para la versión de Ms Exchange 2010 SP1. Al instalar este paquete acumulativo de actualizaciones en un equipo que no está conectado a Internet, puede experimentar tiempos de instalación largo. Además, puede recibir el mensaje siguiente: "Creación de imágenes nativas de.NET de referencia." . Este problema se produce debido a las solicitudes de red para (http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl)

sitio Web. Para ello deshabilite Comprobación de revocación del certificado en el equipo.

La causa de este relanzamiento, es por que la versión original tenía ciertos problemas con equipos BlackBerry.

Para descargar la actualización, presione AQUI.

Para analizar mas detenidamente el boletín, visite ESTE sitio.

Hasta la próxima.

Fuente: Microsoft

Actualizaciones plataforma Microsoft - ABRIL 2011

2011-04-14T21:56:00.007-03:00

Este mes se publicaron los siguientes boletines de seguridad:

1) MS11-018, Actualización de seguridad acumulativa para Internet Explorer (2497640): Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. Esta actualización de seguridad se considera crítica para Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 en clientes Windows; y moderada para Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 en servidores Windows. Internet Explorer 9 no está afectado por las vulnerabilidades.

2) MS11-019, Vulnerabilidades en el cliente SMB podrían permitir la ejecución remota de código (2511455): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la ejecución remota de código si un atacante ha enviado una respuesta SMB especialmente diseñada a una solicitud SMB iniciada por el cliente. Para aprovechar estas vulnerabilidades, un atacante debe convencer al usuario para que inicie una conexión SMB a un servidor SMB especialmente diseñado.

3) MS11-020, Una vulnerabilidad en el servidor SMB podría permitir la ejecución remota de código (2508429): Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante crea un paquete SMB especialmente diseñado y lo envía a un sistema afectado. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa que intentan aprovechar estas vulnerabilidades.

4) MS11-027, Actualización de seguridad acumulativa de bits de interrupción de ActiveX (2508272): Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en el software de Microsoft. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada que ejecute un control ActiveX específico mediante Internet Explorer.

5) MS11-028, Una vulnerabilidad en .NET Framework podría permitir la ejecución remota de código (2484015): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Microsoft .NET Framework. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP). Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

6) MS11-029, Una vulnerabilidad en GDI+ podría permitir la ejecución remota de código (2489979): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows GDI+. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visualiza un archivo de imagen especialmente diseñado con el software afectado o explora un sitio web que incluya contenido especialmente diseñado. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

7) MS11- 030, Una vulnerabilidad en la resolución DNS podría permitir la ejecución remota de código (2509553): Esta actualización de seguridad resuelve una vulnerabilidad en la resolución DNS de la que se ha informado de forma privada. La vulnerabilidad podría permitir la ejecución remota de código si un atacante ha obtenido acceso a la red y ha creado un programa personalizado para enviar consultas de difusión LLMNR especialmente diseñadas a los sistemas de destino. Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos. En este caso, los puertos LLMNR deben bloquearse desde Internet.

8) MS11-031, Una vulnerabilidad en los motores de scripting de VBScript y JScript podría permitir la ejecución remota de código (2514666): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en los motores de scripts de JScript y VBScript. Esta vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio web especialmente diseñado. El atacante no podría obligar a los usuarios a visitar el sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

9)MS11-032, Una vulnerabilidad en el controlador de OpenType CFF (Compact Font Format) podría permitir la ejecución remota de código (2507618): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el controlador OpenType CFF (Compact Font Format). La vulnerabilidad podría permitir la ejecución remota de código si un usuario consulta el contenido representado en una fuente CFF especialmente diseñada. El atacante no podría en ningún caso obligar a los usuarios a ver el contenido especialmente diseñado. Por lo tanto, tendría que atraerlos a un sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

10) MS11-021, Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (2489279): Esta actualización de seguridad resuelve nueve vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

11) MS11-022, Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (2489283): Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Microsoft PowerPoint. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de PowerPoint especialmente diseñado. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local.

12) MS11-023, Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2489293): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado o si un usuario abre un archivo de Office legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión.

13) MS11-024, Una vulnerabilidad en Editor de portadas de fax de Windows podría permitir la ejecución remota de código (2527308): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de portada de fax especialmente diseñado (.cov) mediante Editor de portadas de fax de Windows. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

14) MS11-025, Una vulnerabilidad en la biblioteca Microsoft Foundation Class (MFC) podría permitir la ejecución remota de código (2500212): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en determinadas aplicaciones creadas con la biblioteca Microsoft Foundation Class (MFC). La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo legítimo asociado a una aplicación afectada y el archivo se encuentra en la misma carpeta de red que un archivo de biblioteca especialmente diseñado. Para que un ataque tenga éxito, un usuario debe visitar una ubicación de sistema de archivos o recurso compartido WebDAV remoto que no sea de confianza y abrir un documento de dicha ubicación que será cargado por la aplicación afectada.

15) MS11-026, Una vulnerabilidad en MHTML podría permitir la divulgación de información (2503658): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en el controlador de protocolo MHTML en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio web especialmente diseñado. En el caso de un ataque basado en web, un sitio web podría contener un vínculo especialmente diseñado destinado a aprovechar esta vulnerabilidad. Un atacante tendría que convencer a los usuarios de que visiten el sitio web y abrir el vínculo especialmente diseñado.

16) MS11-033, Una vulnerabilidad en los convertidores de texto de WordPad podría permitir la ejecución remota de código (2485663): Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no están afectadas por la vulnerabilidad.

17) MS11-034, Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (2506223): Esta actualización de seguridad resuelve treinta vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante ha iniciado sesión localmente y ha ejecutado una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de aprovechar estas vulnerabilidades. Los usuarios anónimos o los usuarios remotos no pueden aprovechar estas vulnerabilidades.

Para analizar mas detalladamente cada boletín les recomendamos que visiten el siguiente sitio web, presionando aquí.

Fuente: Microsoft.

RUN Web Camp 2011

2011-03-09T15:24:00.005-03:00

RUN Web Camp 2011: el evento que marca tu rumbo.

El RUN Web Camp es un evento gratuito dirigido a profesionales IT y desarrolladores, que se realizará en Buenos Aires. Se llevará a cabo los días 15, 16 y 17 de marzo, pero según seas un profesional IT o un desarrollador, vas a asistir a un track diferente. Te damos el detalle debajo.

Profesionales IT
El track para IT será los días 16 y 17 de marzo.

El miércoles 16 (día 1) la agenda va a estar dividida en presentaciones y en demos que ahondarán acerca de Virtualización y Nube Privada. Algunos de los oradores que estarán tratando estos temas son: Daniel Levi (Microsoft), Leandro Amore (Prisma), Chema Alonso (seguridad en IE9), Claudio Raimundi (Microsoft), Alejandro Ponicke (Dell) y varios más.
El jueves 17 (día 2) va a ser de laboratorio: se mostrará una demo en la cual podrás ver el armado de un cluster de Hyper-V para que luego, con tu laptop, puedas experimentar en las herramientas y darte el gusto de irrumpir en el laboratorio de Microsoft. Así que no olvides traer tu PC!

Desarrolladores
El track para desarrolladores será los días 15 y 16 de marzo.

El martes 15 (día 1) se van a dar varias charlas con temas como: ASP.NET MVC, HTML5 e IE9. Entre los oradores estarán Miguel Saez (Microsoft), Phil Haack (Microsoft), Drew Robbins (Microsoft) y muchos más.
El miércoles 16 (día 2) se realizarán sesiones asistidas de desarrollo durante las cuales contarás con la asistencia de los mejores para llevar a cabo tu proyecto web. Podés traer pensado tu proyecto para trabajarlo en equipo y al final del día podrás presentarlo! No olvides traer tu PC.

Recordá registrarte aquí para cada uno de los tracks. (http://www.microsoft.com/argentina/run/)
Te esperamos para conocerte!

Microsoft Arg.

Actualizaciones plataforma Microsoft - MARZO 2011

2011-03-09T11:16:00.004-03:00

En este mes se publicaron tres boletines de seguridad, a saber:

1)Vulnerabilidades en Windows Media podrían permitir la ejecución remota de código (2510030) - CRITICO - : Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en DirectShow y una vulnerabilidad de la que se ha informado de forma privada en Reproductor de Windows Media y Windows Media Center. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un archivo de grabación de vídeo digital de Microsoft (.dvr-ms) especialmente diseñado. En todos los casos, no se puede obligar al usuario a que abra el archivo; para que el ataque se lleve a cabo, se debe convencer al usuario de que lo abra.

2) Una vulnerabilidad en el cliente de Escritorio remoto podría permitir la ejecución remota de código (2508062) - IMPORTANTE - : Esta actualización de seguridad resuelve una vulnerabilidad en el cliente de Escritorio remoto de Windows de la que se ha informado de forma privada. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de configuración de Escritorio remoto (.rdp) legítimo que se encuentre en la misma carpeta de red que un archivo de biblioteca especialmente diseñado. Para que un ataque tenga éxito, un usuario debe visitar una ubicación de sistema de archivos o recurso compartido WebDAV remoto que no sea de confianza y abrir un documento de dicha ubicación que será cargado por una aplicación vulnerable.

3) Una vulnerabilidad en Microsoft Groove podría permitir la ejecución remota de código (2494047) - IMPORTANTE - : Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Microsoft Groove que podría permitir la ejecución remota de código si un usuario abre un archivo relacionado con Groove legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Con la publicación de los boletines de seguridad de marzo de 2011, este resumen del boletín reemplaza la notificación de avance de boletines publicada originalmente el 3 de marzo de 2011.
Para mayor información ingrese aquí al boletín.
Hasta la próxima.

Fuente: Microsoft.

Nos subimos a la nube.....(Parte III)

2011-03-08T11:40:00.015-03:00

En esta tercera entrega trataremos el problema del correo electrónico como transmisor de código malicioso y correo basura, por otro lado como BRS nos permite resolver este problema.

Problemática
Hoy observamos a nivel usuario y en las compañías, las siguientes dificultades:

1) Los usuarios desconocen las acciones maliciosas del malware: sobre todo cuando la misma viene de un correo electrónico de un conocido, por lo cual, confiando en el emisor, el malware puede infectar el ordenador y haciendo una nueva víctima.
2) Hay cada vez más víctimas de Phising: sigue siendo, hoy en día, la técnica más eficiente para robar datos a un usuario, dado el desconocimiento sobre el manejo de su entidad bancaria. El robo de identidad crece día a día.

Ejemplo de un mail con un caso de Phising (elija la imágen para ver en mas detalle)

3) Los usuarios abren correos con adjuntos, dejándose llevar por el asunto del correo electrónico: la ingenuidad y el desconocimiento hacen que los malware se aprovechen de los usuarios.
4) Los e-mail sirven de transporte para código maliciosos: siendo un medio eficaz, ya que de alguna manera llegan a un usuario, sea por un correo corporativo o correo personal, los códigos maliciosos llegan al puesto de trabajo del usuario y tratan de vulnerar el mismo.
5) El SPAM consume hasta un 20 % del horario laborar de un empleado para borrar e-mails basura: si los usuarios siguen comprando por la recepción de correo basura, los mismos seguirán llegando. El usuario al comenzar el día, pierde hasta media hora borrando aquellos correos que son spam.
6) Las compañías no protegen sus red a nivel de Gateway: la protección y la lucha contra el "virus" y el "gusano" sigue siendo a nivel de puesto de trabajo, y no se implementan soluciones a nivel de acceso a Internet, con lo cual reducirían mucho los intentos de ataque y por otro lado reducirían los tiempos administrativos sobre la plataforma.
Les sugiero ver un vídeo muy útil, que puede ser usado para concientizar a los usuarios finales o de la empresa, sobre el código malicioso a través del correo. Ver el vídeo aquí. (los videos están también en español).

Business Ready Security
Teniendo en cuenta la problemática de la seguridad Microsoft ha estado trabajando, para lograr la estrategia de Business Ready Security , en tres principios fundamentales.

1) Integrar y extender la seguridad en toda la empresa.
2) Ayudar a proteger a todas partes, el acceso en cualquier lugar.
3) Simplificar la experiencia de la seguridad, gestionar el cumplimiento.

Aplicando estos principios en la problemática del correo electrónico utilizando FOREFRONT PROTECTION 2010 FOR EXCHANGE SERVER, tendremos:

1) Integrar y extender la seguridad en toda la empresa.

a)Detección de malware con la utilización de múltiples motores de detección.Ejecución de hasta 5 motores de detección en diferentes combinaciones (Edge, Hub y Mailbox Srv). Dependiendo los escenarios, Usted puede escoger hasta cinco motores de detección de compañías líderes en seguridad del mercado. Esta técnica es una de las más eficiente en cuanto a soluciones de detección, ya que la solución posee un nivel alto de detección, dado que algún motor detectará el malware.

b)Solución avanzada de antispam incluyendo bloqueos de reputación IP, muy utilizado para evitar la conexión del spammer al servidor de correo electrónico. La validación ocurre en el handshake de tres vías - three way handshake - (pedido de conexión del cliente de correo al server de mail por el uso del puerto 25), donde el servidor de Forefront verificará si la dirección IP no corresponde a un spammer o si posee bien los registros DNS. En el caso de que esto ocurra, le negará al emisor la conexión al puerto 25, por lo tanto el spam nunca llega al servidor.

c)Bloqueo de adjuntos peligrosos. (exe, mp3, vbs, bat, com, etc).

d)Permite evitar la fuga de información, mediante filtros, es posible definir que tipo de adjuntos o contenidos pueden ser enviados por correo electrónico.

e)Elimina el único punto de falla en la detección, gracias a los motores simultáneos de la plataforma.

2) Ayudar a proteger a todas partes, el acceso en cualquier lugar.

a)Maximiza la detección sin comprometer la perfomance. El Administrador puede balancear seguridad con perfomance. Se recomienda utilizar guías preparadas por Microsoft como

- Capacity Planning Tool: Esta guía lo orientará en la adecuada planificación para el despligue y asignación de recursos acordes a las necesidades de la compañía. Es importante comprender los requerimientos de la solución en base a la infraestructura.

- Guía de Despligue: La guía lo ayudará a configurar adecuadamente la solución en base a su plataforma, muy recomendado.

b) Escaneo optimizado de los motores de antivirus. Escaneo a nivel de transporte y uso de tecnología VSAPI.

c) Uso de FOPE (Forefront OnLine Protection for Exchange), que permite definir estrategia con plataforma de seguridad en la nube. Esto nos permite configurar un escaneo en la nube del correo antes de llegar a nuestros servidores corporativos. Si a esto le sumamos Office 365, los buzones migrados a la nube, tendrán la protección necesaria y requerida por la compañía.

3) Simplificar la experiencia de la seguridad, gestionar el cumplimiento.

Por último, tendremos:

a)Una Consola con información estadísticas y niveles de detección, que nos permite comprender el estado actual de seguridad de la plataforma de correo electrónico.

b)Contar con actualizaciones eficientes de los motores o engines.

c)Herramientas para verificar el nivel de salud de la plataforma. Usted puede bajar desde la Web las Best Practices para Forefront Protection 2010 for Ms Exchange, y podrá verificar el correcto funcionamiento de la plataforma. Por otro lado el reporte le indicará si hay ajustes de configuración que deben ser optimizados.

Buenas Prácticas.

Les recomendamos seguir estos lineamientos para lograr una implementación saludable de FPE.

Ejecute las BPA para FPE. Recuerde que debe bajarlo de la Web, no viene incluído con la solución.
En base al equipamiento, defina los motores y análisis a realizar. Se recomienda utilizar el Perfomance Monitor para ver el comportamiento de los motores sobre ciertos análisis. Podrá encontrar recomendaciones en las guías de FPE.
Siga las recomendaciones de las Best Practices de Microsoft en cuanto a la implementación. Las guías de despliegue son aplicables a escenarios actuales o en donde se instalará FPE por primera vez.
Sea claro en las reglas. Definición de wildcards, recuerde que los filtros actúan en base a lo que Usted configura.
Defina el alcance del seguimiento de la información. Se recomienda en un proyecto de fuga de información, que la información sea clasificada a primera instancia y luego realice los ajustes en el FPE.
Verifique el correcto funcionamiento de los engines o motores.
Analice el impacto antes de realizar cambios.

Por donde Usted puede empezar

Si desea encarar un proyecto de FPE, puede aprender y conocer más sobre la solución de la siguiente manera:

Participar de una demostración de Forefront Protection 2010 for Ms Exchange, los invito a participar del Webcast, para ello regístrese aquí.
Accediendo a la carrera en la academia virtual de Microsoft, MVA, donde podrá cursar y adquirir los conocimientos sobre la plataforma Forefront. Para ello visite este sitio.
Bajando el escenario de BRS y probando la solución ya implementada, con guías de pruebas para verificar su funcionamiento. El escenario completo esta publicado aquí.

Hasta la próxima.

Vulnerability in Microsoft Malware Protection Engine Could Allow Elevation of Privilege

2011-03-08T10:47:00.004-03:00

El día 28 de febrero Microsoft publicó este boletín como un aviso de seguridad para advertir a los usuarios que utilizan Microsoft Malware Protection Engine únicamente. Este aviso sobre la actualización de seguridad, se corrige una vulnerabilidad que podría permitir la elevación de privilegios si el motor de protección contra malware de Microsoft explora un sistema después de que un atacante con credenciales de inicio de sesión válida ha creado una clave de registro especialmente diseñado.
Dado que el motor de protección contra malware de Microsoft es una parte de varios productos de Microsoft contra el software malicioso, la actualización del motor de protección contra malware de Microsoft se instala junto con las definiciones de malware actualizada de los productos afectados. Los administradores de las empresas deben seguir sus procesos internos establecidos para asegurar que la definición y actualizaciones del motor han sido aprobados en su software de administración de actualizaciones, y que los clientes poseen las actualizaciones.
Por lo general, no requiere ninguna acción de los administradores de las compañías o usuarios finales para instalar esta actualización, ya que el mecanismo integrado para la detección automática y el despliegue de esta actualización se aplicará la actualización en las próximas 48 horas. El tiempo exacto depende del software utilizado, conexión a Internet y configuración de la infraestructura.

Si bien es una actualización publicada fuera de término, su actualización ocurre como la del engine del motor de antimalware y su publicación es para mantener informado a los administradores de la ocurrencia de la misma. Los administradores de seguridad o responsables del motor del Microsoft Malware Protection deben velar por la actualización y despligue a los puestos de las firmas, con el fin de mantener la red saludable.

La vulnerabilidad ha sido documentada también en CVE, como CVE-2011-0037.

Hasta la próxima.

MCT 2011

2011-03-08T10:31:00.003-03:00

Buenas, con orgullo les comentó que este año hemos renovado la membresía de Trainer, cumpliendo ya 11 años como instructor oficial de Microsoft.

Microsoft Certified Trainer is Certified to Teach Courses Aligned with the Following Tracks

Database Administrator
Microsoft Certified Trainer
Systems Engineer

Hasta la próxima.

Guía de diseño de acceso para Forefront TMG

2011-03-08T10:22:00.005-03:00

Nos han pedido en los últimos meses como hacer una implementación correcta del TMG y como planificar los accesos tantos de los usuarios a Internet como de los servicios publicados por el mismo.
El año pasado Microsoft publicó una guía para planificar este diseño, por lo cual les recomiendo acceder y leer la misma. Lo interesante para muchos, es que esta guía ya está en español, a diferencia de otras, y le simplificará mucho el entendimiento a los administradores de seguridad.
Para acceder a la guía visite este sitio.

Espero que la misma sea de utilidad.
Hasta la próxima.

SP1 para Ms Windows 7 & Windows 2008 R2

2011-03-08T10:13:00.004-03:00

Estimados
Ya ha sido liberado el SP1 para Ms Windows 7 y Ms Windows 2008 R2. Para bajarlo pueden acceder a este sitio.
A su vez, les recomiendo una guía de despligue del mismo, en español, en donde podrán sacarse todas las dudas. La guía analiza 6 escenarios posibles de actualización. Evalúe los escenarios de implementación disponibles.

1) Escenario 1: instalación mediante Windows Update.
2) Escenario 2: instalación del paquete independiente mediante el archivo ejecutable de instalación.
3) Escenario 3: creación o actualización de una imagen personalizada.
4) Escenario 4: implementación con WSUS.
5) Escenario 5: implementación con Servicios de implementación de Windows.
6) Escenario 6: implementación con SMS, System Center Configuration Manager o System Center Essentials.

La guía se puede acceder desde este sitio.

Hasta la próxima.
Saludos

Windows 2008 R2 & Windows 7 SP1

2011-02-10T12:32:00.002-03:00

Microsoft anuncia liberación a fabricante de Windows Server 2008 R2 y Windows 7 SP1

Microsoft anuncia la liberación la versión Release to Manufacturing (RTM) de Windows Server 2008 R2 Service Pack 1 (SP1) y de Windows 7 SP1.

Dos nuevas funciones en Windows Server SP1, Dynamic Memory y RemoteFX, ofrecen capacidades sofisticadas de virtualización de escritorio. Dichas funciones aprovechan la completa funcionalidad de virtualización incluida en el sistema operativo Windows Server.

Nuestra primera innovación, Dynamic Memory, lleva la función Hyper-V de Windows Server a un nivel totalmente nuevo. Dynamic Memory te permite incrementar la densidad de la máquina virtual con los recursos que ya tienes, sin sacrificar el desempeño ni la escalabilidad. Durante nuestras pruebas de laboratorio —con Windows 7 SP1 como el sistema operativo invitado en una Infraestructura de Escritorio Virtual (VDI)—, hemos visto un aumento de 40% en la densidad de Windows Server 2008 R2 RTM y SP1. Dicho incremento se logró a través de Dynamic Memory.

Cabe señalar que este aumento en la densidad no se produjo a costa de la seguridad, como es el caso de otras ofertas en la industria. Dynamic Memory mantiene la seguridad de Windows 7 sin comprometer la densidad. Mi colega Jeff Woolsey explica a detalle este tema en el blog de virtualización.

Asimismo, se obtienen beneficios inmediatos desde el instante en que activas la máquina virtual. No tienes que esperar a que comiencen a operar los algoritmos de administración de memoria. Tampoco es necesario optimizar el hípervisor con ajustes personalizados de cargas de trabajo masivas para incrementar la densidad. Es una experiencia asombrosa para todas tus cargas de trabajo de virtualización.

La segunda función nueva, RemoteFX, es una tecnología innovadora que hemos demostrado en varios eventos. Es una tecnología emocionante que te permite virtualizar la Unidad de Procesamiento Gráfico (GPU) en el servidor, así como agregar medios multimedia de próxima generación y experiencias de usuario en 3D para VDI. RemoteFX también está permitiendo la entrada al mercado de nuestros dispositivos ultra delgados de bajo costo. Juntas, estas tecnologías reducirán el costo y el consumo energético de las terminales a unos cuantos vatios.

Los clientes ya han utilizado con éxito Dynamic Memory y RemoteFX en las primeras implementaciones. Los casos de estudio, tales como en el que nos asociamos con Sporton International, demuestran la manera en que RemoteFX y Dynamic Memory brindan un valor empresarial real cuando se utilizan juntas.

La versión Release to Manufacturing (RTM) de Windows Server 2008 R2 y Windows 7 SP1 se lanzó el día de ayer. Ambos estarán disponibles el 16 de febrero para los actuales clientes del programa de Licenciamiento por Volumen de Windows, así como para los subscriptores a Microsoft Developer Network (MSDN) y TechNet. El 22 de febrero, estarán disponibles para todos los clientes a través de Windows Update y también vendrán preinstaladas en los servidores nuevos.

Fuente: Windows Team Blog.

Actualizaciones plataforma Microsoft - FEBRERO 2011

2011-02-10T12:19:00.004-03:00

Este resumen del boletín enumera los boletines de seguridad publicados para febrero de 2011.

Los boletines "críticos" son:

* MS11-003: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cuatro nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 6,
7 y 8.

* MS11-006: Se trata de una actualización destinada a solucionar una vulnerabilidad en el procesamiento de gráficos del shell de Windows que podría provocar la ejecución remota de código si un usuario visualiza una imagen miniatura especialmente diseñada. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

* MS11-007: Actualización para corregir una vulnerabilidad en controlador Windows OpenType Compact Font Format (CFF) que podría permitir la ejecución remota de código si el usuario visualiza contenido con fuentes CFF especialmente manipuladas. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

Los boletines clasificados como "importantes" son:

* MS11-004: Actualización para corregir una vulnerabilidad en el servicio FTP de Microsoft Internet Information Services (IIS) que podría permitir la ejecución remota de código si un servidor ftp recibe un comando ftp específicamente creado. Afecta a Microsoft Windows Vista, Windows Server 2008 y Windows 7.

* MS11-005: Boletín destinado a corregir una vulnerabilidad de denegación de servicio en Active Directory bajo Windows Server 2003.

* MS11-008: Actualización que soluciona dos vulnerabilidades en Microsoft Visio que podrían permitir la denegación de servicio si un usuario abre un archivo de Visio especialmente diseñado.

* MS11-009: Actualización para corregir una vulnerabilidades en los motores de scripting de JScript y VBScript que podrían permitir la obtención de información sensible si un usuario accede a un sitio web especialmente creado. Afecta a Windows 7 y Windows Server 2008.

* MS11-010: Actualización destinada a solucionar una vulnerabilidad elevación de privilegios a través del subsistema de tiempo de ejecución de cliente-servidor de Windows (Client/Server Run-time Subsystem, CSRSS). Afecta a Windows XP y Windows Server 2003.

* MS11-011: Actualización para corregir dos vulnerabilidades de elevación de privilegios en el kernel de Windows. Afecta a Microsoft Windows XP, Vista y Windows Server 2003 y 2008.

* MS11-012: Actualización para corregir cinco vulnerabilidades de elevación de privilegios a través de los controladores en modo kernel de Windows. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, 7 y Windows Server 2008.

* MS11-013: Actualización para corregir dos vulnerabilidades en Windows relacionadas con Kerberos que podrían permitir la elevación de privilegios en Windows XP, Windows Server 2003, Windows 7 y Windows Server 2008.

* MS11-014 Boletín en el que se ofrece una actualización para evitar una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local (LSASS) que podría permitir la elevación de privilegios en Windows XP y Windows Server 2003.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Fuente: Hispasec http://www.hispasec.com.

Nos subimos a la nube.....(Parte II)

2011-02-06T15:24:00.004-03:00

Continuando la serie de artículos que comenzáramos en diciembre del año pasado, en esta segunda entrega, se analizará la Seguridad Integrada de una organización. Revisaremos como poseer una plataforma segura teniendo en cuenta todas las soluciones que componen el BRS (Business Ready Security).

Problemática
Hoy en día, la mayoría de las compañías, hacen foco en la lucha contra el malware en los puestos de trabajo. No podemos perder la visión holística de la organización, si hablamos de seguridad, debemos tener en cuenta los siguientes aspectos:

- distribución de los recursos tecnológicos de manera lógica y geográfica,
- acceso de los usuarios y proveedores via VPN u otro medio,
- tráfico entrante y saliente de correo, accesos web y ftp.
- acceso a la información por parte de los usuarios, proveedores y terceros esporádicos.
- permisos de acceso a los archivos, previa clasificación de la documentación(pública, privada, confidencial, etc).
- fuga de información.
- seguimiento de usuarios y consolidación de identidad.
- control de acceso de los servicios Web de los usuarios.
- tratamiento del correo electrónico.

Si se hace foco en un solo punto de todos los mencionados anteriormente, corremos el riesgo que sea explotada alguna vulnerabilidad y se nos presente un problema serio de seguridad en la compañía. La solución debe ser global, posible de auditar y que nos entregue en tiempo y forma el estado de seguridad de la compañía.

Business Ready Security
Teniendo en cuenta la problemática de la seguridad Microsoft ha estado trabajando, para lograr la estrategia de Business Ready Security , en tres principios fundamentales.

1) Integrar y extender la seguridad en toda la empresa.
2) Ayudar a proteger a todas partes, el acceso en cualquier lugar.
3) Simplificar la experiencia de la seguridad, gestionar el cumplimiento.

Analizaremos a continuación cada uno de los principios.

Integrar y extender la seguridad en toda la empresa
Las soluciones de Microsoft Identity and Security y con la ayuda de productos de la familia Forefront, se logra una protección sin fisuras de los sistemas de TI mediante la integración con la plataforma Windows, las aplicaciones y la infraestructura. La plataforma de Identidad y Seguridad apoya entornos heterogéneos, permitiendo a terceras parte compartir y utilizar las capacidades para ayudar a ofrecer un mayor valor en toda la organización.

Dentro de las soluciones encontraremos a:
1) Windows Identity Foundation ayuda a los desarrolladores .NET a crear aplicaciones para notificaciones que externalizar la autenticación de usuario de la aplicación, mejorando la productividad del desarrollador, mejorando la seguridad de las aplicaciones, y permitiendo la interoperabilidad.

2) Active Directory Federation Services 2.0 (antes conocido como "Geneva" Server) es un servicio de token de seguridad, permitiendo la gestion del acceso de usuario y que permite simplificar el inicio de sesión único (single sign-on).

3)Active Directory Rights Management Services (AD RMS) le ayuda a aumentar la estrategia de una organización de seguridad mediante la protección de información a través de políticas de uso persistentes, que permanecen con la información sin importar dónde la misma se mueve.

4) Servicios de Active Directory, proporciona los medios para gestionar las identidades y relaciones que conforman la red de su organización. Integrado con Windows Server 2008, Active Directory proporciona una funcionalidad de configurar y administrar de forma centralizada el usuario y configuración de la aplicación. Active Directory Domain Services (AD DS) almacena los datos centralizadamente y maneja la comunicación entre usuarios y dominios, incluidos los procesos de inicio de sesión de usuario, autenticación y las búsquedas.

5) Bitlocker & Bitlocker to go: nos permite cifrar los repositorios de datos y equipos o dispositivos moviles. Un dispositivo USB, hoy puede ser cifrado por políticas de AD.

Ayudar a proteger a todas partes, el acceso en cualquier lugar.
Microsoft Forefront ofrece soluciones integrales de extremo a extremo, tanto en las instalaciones y en la nube,ayudando a proteger prácticamente todo el mundo y permitiendo un acceso seguro desde cualquier lugar. Utilizando este principio integrado de protección, identidad, y productos de acceso, el administrador puede ayudar a proteger el entorno y gestionar el acceso a través de datos, usuarios y sistemas.
Este principio es holísitico, y dentro de las soluciones encontraremos a:

1) Forefront Endpoint Protection 2010, protegemos el Sistema Operativo de la compañía. Permite a las empresas alinear la seguridad y la gestión para mejorar la protección de puntos finales, reduciendo los costos operativos. Se basa en System Center Configuration Manager 2007 R2 y R3, lo que permite a los clientes utilizar su infraestructura existente de gestión de clientes para desplegar y gestionar la protección de punto final.

2) Forefront Protection 2010 for Exchange Server, proporciona una detección rápida y efectiva de malware y spam, bloqueando el contenido mediante el uso de una política, y se integra con Forefront Online Protection for Exchange para ofrecer los beneficios de defensa en profundidad. Con la nueva consola, se integra con los otros productos de la familia, logrando así contar con un estado real de la seguridad corporativa.

3) Forefront Online Protection for Exchange (FOPE), basado en el concepto de Cloud Computing, puede ayudar a simplificar la administración de sus entornos de mensajería. El modelo hosteado de servicios en línea no requiere instalación de hardware o software, reduce al mínimo la inversión inicial. Como uno de los servicios en línea de Microsoft, Forefront Online Protection for Exchange proporciona una capa de funciones de protección implementado a través de una red mundial de centros de datos seguros.

4) Forefront Protection 2010 for SharePoint, ayuda a evitar que los usuarios suban o descarguen los documentos que contienen malware, fuera de la política de contenido, o información sensible a las bibliotecas de SharePoint. Se combina varios anti-malware de motores de escaneo de los socios de seguridad referentes en la industria, con el archivo y filtrado de palabras clave para proporcionar una protección completa contra las amenazas más recientes.

5) Forefront Security for Office Communications Server, ofrece una protección rápida y efectiva contra el malware de mensajería instantánea basado en la inclusión de múltiples motores de escaneo de los socios de seguridad líderes en la industria. También puede ayudar a reducir la responsabilidad corporativa mediante el bloqueo de mensajes instantáneos que contienen contenido inapropiado.

6) Forefront Threat Management Gateway 2010 (TMG), permite a la organización el uso de servicios de internet de manera segura y productiva, un uso para los negocios sin preocuparse por el malware u otras amenazas. Proporciona múltiples capas de protección, con continua actualización que se integran en un sistema unificado, fácil de manejar y lo que reduce el costo y la complejidad de la seguridad Web.

7) Forefront Unified Access Gateway 2010 (UAG), ofrece acceso completo y remoto seguro a recursos corporativos para los empleados, socios y proveedores en ambos equipos (administrados y no administrados) y los dispositivos móviles. Utilizando una combinación de opciones de conectividad, que van desde VPN SSL a DirectAccess, así como la construcción en las configuraciones y políticas, UAG proporciona gestión centralizada y fácil de acceder a una oferta completa de la organización en cualquier lugar.

Simplificarla la experiencia de la seguridad, gestionar el cumplimiento.
Microsoft viene trabajando para proveer soluciones que permitan gestionar información de forma segura a través de varios usuarios, puntos finales y servidores al mismo tiempo que lograr el cumplimiento de políticas de seguridad. La protección de Microsoft Forefront con control de acceso y soluciones que permiten la gestión de identidades que se integran con los entornos existentes, logran una implementación más sencilla, se obtiene la información centralizada a través de múltiples sistemas, y la gestión de los usuarios y la información en una sola vista.

1) Forefront Identity Manager 2010, simplifica la gestión de la empresa a través de la identidad de los usuarios finales la capacidad de autoservicio y las herramientas de administrador para automatizar tareas.

2) Microsoft Forefront Protection Server Management Console (FPSMC), la consola de administración proporciona un interfaz gráfica fácil de usar para el descubrimiento de servidores, configuración de implementación, presentación de informes, gestión de cuarentena, actualización del motor con las nuevas definiciones y a su vez la integración con Forefront Online Protection for Exchange.

La seguridad corpotativa de extremo a extremo es posible, aquí faltan algunos puntos a tener en cuenta como

1) Política de Seguridad de la compañía.
2) Cumplimiento de leyes y normas requeridas por el negocio (ej, PCI, ISO, etc).
3) Esquema de alertas y monitoreo.
4) Definición de responsable de las soluciones.
5) Política de clasificación de la información.

Se mencionan los puntos anteriores, por que el despligue por si solo de la solución de BRS, sin tener en cuenta los puntos anteriores, puede producir fallas o no lograr obtener los resultado esperados. Se imaginan que una alerta es emitida y nadie es responsable de una acción ante esa alerta, puede provocar caída o daños del sistema.

Estos temas serán tratados en el Webcast del día 8 de febrero, si desean registrarse, visite este sitio.

Hasta la próxima.

Fuente: Microsoft.

Administrando Politicas de Active Directory

2011-01-24T15:20:00.007-03:00

Estimados.
Cómo sabemos, uno de los elementos fundamentales para desplegar políticas de seguridad de la plataforma Microsoft, son las políticas de Active Directory. En este caso vamos a recomendarles dos artículos escritos por el MVP Roberto Di Lello que les permitirá tener una noción de como funcionan.
En los artículos que redactaremos sobre BRS las estaremos mencionando e incluso utilizando en entornos de segurización, por ello es que es importante que lean bien estos artículos y tomen nota.

Los artículos son
ARTICULO 1: Como Administrar mejor nuestro Active Directory por medio de las Group Policies {Parte 1}
ARTICULO 2: Como Administrar mejor nuestro Active Directory por medio de las Group Policies {Parte 2}

Gracias Robert!

Fuente: Robert Di Lello, site www.radians.com.ar

Hasta la próxima.

Actualizaciones plataforma Microsoft - ENERO 2011

2011-01-12T15:09:00.005-03:00

Año nuevo... vulnerabilidad nueva...Empezamos este año con los boletines de seguridad de Microsoft del 2011. Esta vez sólo se han publicado dos alertas, siendo estas las siguientes:

1) MS11-002: Vulnerabilities in Microsoft Data Access Components Could Allow Remote Code Execution (2451910). Esta actualización de seguridad resuelve dos vulnerabilidades en Microsoft Data Access Components. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

2) MS11-003:Vulnerability in Windows Backup Manager Could Allow Remote Code Execution (2478935): Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en el Administrador de copia de seguridad de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo legítimo de Windows Backup Manager que se encuentra en el directorio de red igual que un archivo de biblioteca especialmente diseñado. Para que un ataque tenga éxito, el usuario debe visitar un lugar remoto no son de confianza del sistema de archivos o compartir WebDAV y abrir el archivo legítimo de ese lugar, que a su vez podría causar el Administrador de copia de seguridad de Windows para cargar el archivo de biblioteca especialmente diseñado.

Aún sigue pendiente resolver la vulnerabilidad publicada días atrás. Para más información sobre este boletín, visitar el sitio de Microsoft aquí.
Nos vemos en la próximo..
Saludos

Microsoft Security Advisory (2490606)

2011-01-05T12:49:00.007-03:00

Estimados
Buenas, empezamos con las notificaciones de boletines de seguridad del año. En este caso Microsoft está investigando nuevos informes públicos de una vulnerabilidad en la Windows Graphics Rendering Engine. Un atacante que aprovecharía esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad del usuario conectado.
Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
La vulnerabilidad también ha sido publicada en CVE, como CVE 2010-3970

Para mitigar esta vulnerabilidad, en el caso de un ataque basado en Web, el intruso podría alojar un sitio Web que contuviera una página Web que se utiliza para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y sitios web que aceptan u hospedan contenido proporcionado o anuncios podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. En todos los casos, sin embargo, un atacante no podría obligar a los usuarios a visitar estos sitios web. En su lugar, el atacante tendría que convencer a los usuarios a visitar el sitio Web, por ejemplo, incitarles a hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

Por eso les recomendamos ajustar los firewalls y plataformas con filtrado de contenido, para evitar sitios de phishing, de la misma manera los navegadores, ya que permitiría evitar esta vulnerabilidad.
Recuerden que IE 8 y IE 9, los filtros de antiphishing funcionan muy bien.
Para más información, les recomendamos visitar el sitio de Microsoft, presione aquí.
Hasta la próxima.

Fuente: Microsoft.

Webcast - Business Ready of Security para Todos.

2011-01-03T14:46:00.006-03:00

Estimados.
Tal como lo anticipábamos el año pasado en el artículo Nos subimos a la nube.....(Parte I), ya hemos agendado la serie de Webcast que acompañará a los artículos y demostraciones de cada uno de los items referenciados.
La serie estará compuesta por seis artículos, que contrendrán a su vez un Webcast en el cual se realizarán demostraciones en vivo sobre los escenarios. Al participar de las sesiones, podrán asimilar los conocimientos de la plataforma Business Ready of Security.
A continuación les dejo las fechas y un breve resumen de cada una de las sesiones:

1) Integrated Security - Seguridad integrada (Capa de BRS con plataforma Forefront).En esta sesión se analizará la problemática del malware y como establecer una protección integral en toda la empresa. Esta primera sesión, servirá como introducción a las soluciones que componen el BRS y donde desplegar cada una de ellas para contar con un ambiente seguro. En ambiente virtual, se analizará la consolidacion de la información de las diferentes soluciones. Se observará la implementación de políticas y cumplimientos. Para registrarse, visite este sitio.
Fecha: 08/02/2011

2) Webcast TechNet: Secure Messaging - Mensajería Segura (Forefront para Ms Exchange 2010)En esta sesión se analizará la protección antispam y anti-malware en los servicios de correo electrónico. Veremos paso a paso, cómo evitar fuga de información y metodologías de acceso al servicio del correo electrónico. Se realizará una demostración sobre un escenario virtual en vivo.Para registrarse, visite este sitio.
Fecha: 28/02/2011

3) Webcast TechNet: Secure Collaboration - Colaboración Segura (Forefront para SharePoint 2010)El intercambio de archivos u objetos de un portal deben ser seguros. En esta sesión se analizará la protección de malware y a su vez se demostrará cómo dos empresas pueden crear una relación de confianza con AD FS 2.0 para permitir la colaboración segura.Para registrarse, visite este sitio.
Fecha:10/03/2011

4) Webcast TechNet: Secure Endpoint- Seguro de punto final (Endpoint Forefront).En esta ocasión se cubrirá la protección del Desktop utilizando Forefront Threat Management Gateway (TMG) en combinación con Forefront Endpoint Protection (FEP) para proteger a los equipos cliente contra amenazas de Internet. Esto incluye tanto a los equipos cliente de la red interna, como a los equipos cliente que permanecen itinerantes en la Internet. En el escenario, el contenido malicioso proviene de las conexiones a sitios Web hackeados, al hacer click en enlaces en correos electrónicos, y abrir documentos desde discos USB. Para registrarse visite este sitio.
Fecha: 30/03/2011

5) Webcast TechNet: Identity and Access Management- Gestión de identidades y acceso (FIM 2010).Usted podrá ver en este Webcast, un análisis detallado de los aspectos básicos que conforman la solución de identidad y acceso de Microsoft. El componente clave es el centro de Active Directory (AD). El el laboratorio se analiza cómo la UAG, AD FS con AD utilizan SharePoint para permitir a los usuarios acceder a la información. Este anuncio se maneja con Forefront Identity Manager (FIM) de 2010. Para registrase visite este sitio.
Fecha: 13/04/2011

6) Webcast TechNet: Information Protection - Proteger la información (ADRSM).Asista a esta sesión y conozca más sobre la protección de la información, conozca las principales tecnologías que hacen posible un escenario de información segura. Los empleados que usan los diferentes clientes de correo electrónico, con sede en diferentes lugares, compartir la información empresarial crítica y confidencial mediante correo electrónico. Se analizarán los clientes de Exchange y cómo Forefront AD RMS pueden mitigar los riesgos, permitiendo a las organizaciones comunicarse de forma segura utilizando el correo electrónico. Para registrarse visite este sitio.
Fecha: 28/04/2011.

Los esperamos en linea y no dejen de visitar el blog, donde podrán contar con material sobre cada uno de los escenarios.
Hasta la próxima.

Microsoft Security Advisory (2488013)

2010-12-23T10:25:00.003-03:00

Vulnerability in Internet Explorer Could Allow Remote Code Execution

Microsoft está investigando nuevos informes públicos de una vulnerabilidad en todas las versiones de Internet Explorer. El principal impacto de la vulnerabilidad es la ejecución remota de código. Este nuevo boletín de seguridad contiene soluciones y mitigación de este problema.

La vulnerabilidad existe debido a la creación de la memoria sin inicializar durante una función de CSS en Internet Explorer. Es posible bajo determinadas condiciones para la memoria resulten ser aprovechados por un atacante mediante una página web especialmente diseñada para obtener la ejecución remota de código.

Mitigación
Tener habilitado el modo de protección (Protected Mode) en Internet Explorer en Windows Vista y sistemas operativos Windows posteriores ayuda a limitar el impacto de los exploits conocidos actualmente. Un atacante que aprovechara esta vulnerabilidad podría tener derechos muy limitados en el sistema.

De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Este es un factor atenuante para sitios web que no se han sumado a la zona de Internet Explorer de sitios de confianza. Véase también Gestión mejorada de Internet Explorer Configuración de seguridad.

Para más información visitar

1) Boletín de Seguridad de Microsoft (2488013)
2) CVE 2010-3971

Hasta la próxima.

Nos subimos a la nube.....(Parte I)

2010-12-18T20:51:00.011-03:00

Introducción
El objetivo de esta serie de artículos es analizar como con Microsoft BRS Solutions ( Microsoft Business Ready Security Solutions) podemos proteger la información sin importar donde esté, verificando como se accede a ella y a su vez protegemos la misma manteniento los objetivos de la Seguridad de la Información (Confidencialidad-Integridad-Disponibilidad). BRS Solutions, compuesto por la familia de soluciones Forefront nos ayudará con el objetivo, pero antes de que entremos a las problemáticas puntuales, tenemos que entender algunos conceptos.

La Nube
Si buscamos en BING, el concepto de Cloud Computing, vamos a encontrar varias definiciones comunes. Para el caso, vamos a utilizar una definición que me agradó de NIST, ya que es la más completa de todas, que la describe de la siguiente manera :

"...Cloud Computing es un modelo para permitir acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está compuesto por cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue..."

Características del modelo

1) On-demand self-service: Autoservicio por demanda,un usuario de recursos de la nube puede aprovisionar de manera unilateral capacidades de cómputo, tales como tiempo de servidor y almacenamiento en red, en la medida en que las requiera sin necesidad de interacción humana por parte del proveedor del servicio. Ejemplo de ello, cuando utilizan almacenamiento provisto por los Webmails, como el caso de SkyDrive de Hotmail.
2) Broad network access: Acceso amplio desde la red, las capacidades están disponibles sobre la red y se acceden a través de mecanismos estándares que promueven el uso desde plataformas clientes heterogéneas, tales como clientes delgados (Thin Client), clientes pesados (Pc) o cualquier dispositivo móbil con acceso a Internet compatible con los estándares. (ej. Windows Mobile, IPad, IPhone, etc).
3) Resource pooling : Conjunto de recursos, los recursos computacionales del proveedor se habilitan para servir a múltiples consumidores mediante un modelo “multi-tenant*”, con varios recursos físicos como virtuales asignados dinámicamente en base a la demanda. Existe un sentido de independencia de ubicación en cuanto a que el usuario no posee control o conocimiento sobre la ubicación exacta de los recursos que se le están proveyendo aunque puede estar en capacidad de especificar ubicación a un nivel de abstracción alto (ej. país, estado o centro de datos). Algunos ejemplos incluyen almacenamiento, procesamiento, memoria, ancho de banda y máquinas virtuales.
*El modelo Multi-Tenant se refiere a una arquitectura de software donde una única instancia del software se ejecuta en un servidor y al servicio de múltiples clientes.
4) Rapid elasticity: Rápida elasticidad, las capacidades pueden ser rápidamente y elásticamente aprovisionadas, en algunos casos automáticamente, para escalar hacia fuera rápidamente y también rápidamente liberadas para escalar hacia dentro también de manera rápida. Para el usuario, estas capacidades disponibles para aprovisionar a menudo aparecen como ilimitadas y pueden ser compradas en cualquier cantidad en cualquier momento.
5) Measured Service: Servicio medido, los sistemas en la nube controlan y optimizan automáticamente el uso de los recursos mediante una capacidad de medición a algún nivel de abstracción adecuado al tipo de servicio. (ej. almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de estos recursos puede ser monitoreado, controlado y reportado, proporcionando transparencia tanto para el proveedor como para el usuario por el servicio utilizado.

Modelos de Servicios

1) Cloud Software as a Service (SaaS): Software como un service, esta capacidad provee al usuario que utiliza las aplicaciones del proveedor una infraestructura de nube. Las aplicaciones son accesibles desde varios dispositivos clientes a través de una interfaz como un navegador. (ej. Web-mail).
2) Cloud Platform as a Service (PaaS): Plataforma como un servicio: Esta capacidad le permite al usuario desplegar en la infraestructura del proveedor aplicaciones creadas por el primero, incluso adquiridas, usando lenguajes de programación y herramientas del proveedor. El usuario no administrar o controlar la infraestructura subyacente incluyendo nube de red, servidores, sistemas operativos, o de almacenamiento, pero tiene el control sobre las aplicaciones implementadas y, posiblemente, alojamiento de aplicaciones configuraciones de entorno.
3) Cloud Infrastructure as a Service (IaaS): Infraestructura como un servicio, esta capacidad permite al consumidor aprovisionar recursos computacionales como almacenamiento, procesamiento, redes y otros elementos fundamentales en donde el consumidor puede desplegar y correr software arbitrario, el cual puede incluir sistemas operacionales y aplicaciones. El usuario no administrar o controlar la infraestructura cloud subyacente pero tiene el control sobre los sistemas operativos, almacenamiento, las aplicaciones implementadas, y posiblemente un control limitado de los componentes de red seleccionados.

Modelos de Despliegue
Ahora analizamos modelos de despligue o topología de la misma.

1) Private cloud: nube privada, la infraestructura en la nube es operado exclusivamente para una organización. Puede ser administrado por la organización o de un tercero y pueden existir en las instalaciones o fuera de la premisa.
2) Community cloud: Nube comunitaria, la infraestructura en la nube es compartida por varias organizaciones y es compatible con una comunidad específica que ha compartido las preocupaciones (por ejemplo, la misión, los requisitos de seguridad, la política y las consideraciones de cumplimiento). Puede ser administrado por las organizaciones o de un tercero.
3) Public cloud, Nube pública, la infraestructura de nube se puso a disposición del público en general o a un grupo de la gran industria y es propiedad de una organización de venta de servicios en la nube.
4) Hybrid cloud: Nube Híbrida, la infraestructura en la nube es una composición de dos o más nubes (privada, comunitaria, o del público) que se mantienen las entidades únicas, pero están unidos por la tecnología estandarizada o de propiedad que permite que los datos y la portabilidad de aplicaciones (por ejemplo, nubes de ruptura de equilibrio de carga entre las nubes). Recuerden que en los modelos denominados Híbridos, existe combinaciones de algún otro formato o modelo.

Microsoft Business Ready Security Solutions

En respuesta a estos retos y oportunidades de negocio, Microsoft está adoptando un enfoque fundamentalmente diferente a la seguridad. Este enfoque se denomina Business Ready Security. Se entiende a la seguridad como un elemento necesario para ayudar a las empresas a alcanzar sus objetivos de negocio, además ayudar a asegurar que las personas con permisos adecuados siempre tengan acceso a la información que necesitan para realizar su trabajo.
Microsoft entiende que la seguridad debe abarcar la protección, el acceso y la gestión, todos entorno a la identidad del usuario e integrado con una alta seguridad y plataforma interoperable.
En base a esto, Microsoft está trabajando para lograr el objetivo de BRS que basa en tres principios fundamentales:
1) La seguridad debe integrar y estar extendida en toda la empresa. Seguridad debe ser incorporada a la infraestructura (no solo con el objetivo de cumplir con auditorías), en el trabajo en múltiples plataformas y entornos. Identificar al usuario donde esté y sin importar a que plataforma acceda.
2) Seguridad debe contribuir a "la protección de todas partes, el acceso en cualquier lugar ". Esto incluye proporcionar protección a través de múltiples capas y permite el acceso remoto seguro.Protección y acceso deben ser entregados dentro del contexto de la identidad de un usuario
3) Microsoft entiende que la seguridad y la experiencia de cumplimiento deben ser significativamente simplificado para nuestros clientes. Esta experiencia simplificada debe extenderse a todos los usuarios con una empresa que "interactua" con la seguridad y ayudar a gestionar los costes, la complejidad y el cumplimiento.

Por último, vamos a ver los diferentes focos que hace BRS.Business Ready of Security establece seis soluciones de uso, centrado en activos que ayudan a reducir los costos y a simplificar la administración de seguridad en el entorno de la empresa utilizado la infraestructura de TI:

1) Integrated Security - Seguridad integrada: Fácil de manejar, el malware y protección integral de información en toda la empresa.
2) Secure Messaging - Mensajería Segura: La comunicación segura de negocios desde prácticamente cualquier lugar y en cualquier dispositivo, al tiempo que evita el uso no autorizado de información confidencial.
3)Secure Collaboration- Colaboración Segura: La colaboración segura de negocios desde prácticamente cualquier lugar y en cualquier dispositivo, evitando el uso no autorizado de información confidencial.
4)Secure Endpoint- Seguro de punto final: Proteger al cliente y sistemas operativos para servidores de las amenazas emergentes y la pérdida de información, al tiempo que permite un acceso seguro desde prácticamente cualquier lugar y en cualquier dispositivo.
5) Identity and Access Management- Gestión de identidades y acceso: Simplificar y gestionar el acceso a un acceso seguro y compatible con las aplicaciones en las instalaciones y en la nube desde cualquier lugar o dispositivo.
6) Information Protection - Proteger la información: simplificar y administrar la protección de la información, evitando de esta manera fuga de la misma y ayudando al cliente en el cumplimiento de políticas.

En los artículos posteriores vamos a ir analizando cada uno de estos seis puntos, validando como soluciones Microsoft nos ayudan en la Seguridad Corporativa, y a su vez comprender el funcionamiento de la plataforma FOREFRONT que nos permitirá sastifacer las necesidades de cada uno de los puntos mencionados anteriormente.

Fuentes: Nist, Microsoft.

Webcast TechNet: BRS - Solución segura del centro de datos

2010-12-17T18:14:00.001-03:00

Esta sesión le informará cómo optimizar las inversiones de nuestros clientes en las tecnologías de la plataforma de identidad y acceso a la vez, lo que asegura el centro de datos tenga la capacidad de proporcionar protección de información y software mal intencionado de extremo a extremo para servidores y aplicaciones.

Moderador(es): Enrique Dutra
Idiomas: Español.
Productos: Microsoft Forefront, Microsoft Forefront Client Security, Otros.
Público: Generalista de IT.

Día : lunes, 20 de diciembre de 2010 13:00 hs.
Duración:60 Minutos

Para registrarse, visitar este sitio

Actualizaciones plataforma Microsoft - DICIEMBRE 2010

2010-12-17T15:59:00.007-03:00

Terminamos el año y se viene la última actualización de la plataforma. Con este boletín, se reemplaza la notificación de avance de boletines publicada originalmente el 9 de diciembre de 2010.
Las características del último boletin de año son:

1) MS10-090=Actualización de seguridad acumulativa para Internet Explorer (2416400): Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada y tres vulnerabilidades de las que se ha informado de forma pública en Internet Explorer. Clasificación: CRITICA.
2) MS10-091=Vulnerabilidades en el controlador de fuentes OpenType (OTF) podrían permitir la ejecución remota de código (2296199): Esta actualización de seguridad resuelve varias vulnerabilidades de las que se ha informado de forma privada en al controlador de fuentes OpenType (OTF) de Windows que podrían permitir la ejecución remota de código. Clasificación: CRITICA.
3) MS10-092=Una vulnerabilidad en Programador de tareas podría permitir la elevación de privilegios (2305420):Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Programador de tareas de Windows. Clasificación: IMPORTANTE.
4) MS10-093=Una vulnerabilidad en Windows Movie Maker podría permitir la ejecución remota de código (2424434). Esta actualización de seguridad resuelve una vulnerabilidad en Windows Movie Maker que se ha divulgado públicamente. Clasificación: IMPORTANTE.
5) MS10-094=Una vulnerabilidad en Codificador de Windows Media podría permitir la ejecución remota de código (2447961). Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Codificador de Windows Media.Clasificación: IMPORTANTE.
6) MS10-095=Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código (2385678). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows.Clasificación: IMPORTANTE.
7) MS10-096=Una vulnerabilidad en la Libreta de direcciones de Windows podría permitir la ejecución remota de código (2423089). Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en la Libreta de direcciones de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de la Libreta de direcciones de Windows que se encuentre en la misma carpeta de red que un archivo de biblioteca especialmente diseñado. Clasificación: IMPORTANTE.
8) MS10-097=La carga de bibliotecas poco seguras en el asistente de suscripción de la conexión a Internet podría permitir la ejecución remota de código (2443105). Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en el asistente de suscripción de la conexión a Internet de Microsoft Windows. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no están afectadas por la vulnerabilidad.Clasificación: IMPORTANTE.
9) MS10-098=Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (2436673). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y otras vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows.Clasificación: IMPORTANTE.
10) MS10-099=Una vulnerabilidad en Enrutamiento y acceso remoto podría permitir la elevación de privilegios (2440591).Esta actualización de seguridad corrige una vulnerabilidad de la que se ha informado de forma privada en el componente NDProxy de Enrutamiento y acceso remoto de Microsoft Windows.Clasificación: IMPORTANTE.
11) MS10-100=Una vulnerabilidad en la interfaz de usuario de consentimiento podría permitir la elevación de privilegios (2442962).Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la interfaz de usuario de consentimiento.Clasificación: IMPORTANTE.
12) MS10-101=Una vulnerabilidad en el servicio Netlogon de Windows podría permitir la denegación de servicio (2207559). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el servicio RPC de Netlogon en las versiones afectadas de Windows Server que están configuradas para servir como controladores de dominio.Clasificación: IMPORTANTE.
13) MS10-102=Una vulnerabilidad en Hyper-V podría permitir la denegación de servicio (2345316). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Windows Server 2008 Hyper-V y en Windows Server 2008 R2 Hyper-V.Clasificación: IMPORTANTE.
14) MS10-103=Vulnerabilidades en Microsoft Publisher podrían permitir la ejecución remota de código (2292970).Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada en Microsoft Publisher que podrían permitir la ejecución remota de código si un usuario abre un archivo de Publisher especialmente diseñado.Clasificación: IMPORTANTE.
15) MS10-104=Una vulnerabilidad en Microsoft SharePoint podría permitir la ejecución remota de código (2455005).Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft SharePoint.Clasificación: IMPORTANTE.
16) MS10-105=Vulnerabilidades en los filtros gráficos de Microsoft Office podrían permitir la ejecución remota de código (968095).Esta actualización de seguridad resuelve siete vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Clasificación: IMPORTANTE.
17) MS10-106=Una vulnerabilidad en Microsoft Exchange Server podría permitir la denegación de servicio (2407132).Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Exchange Server. Clasificación: MODERADA.

Para bajar las actualizaciones o obtener más información de ellas, visitar el sitio de Microsoft (presione AQUI).

Hasta el año que viene!
Saludos

Fuente: Microsoft

Ciclo de Calidad - Tendencias y Experiencias

2010-11-23T19:09:00.007-03:00

EVENTO ITIL / MOF
Este jueves 25 de noviembre a las 15.30 hs. continua el Ciclo de Calidad, organizado por el CCT, con su Jornada de ITIL / MOF a cargo de Enrique Dutra – Punto Net Soluciones - en la sala de conferencias de Institución Cervantes, ubicada en calle Santa Rosa 1793.
El ciclo es gratuito, por lo que se solicita confirmar asistencia a: mcalzada@cordobatechnology.com.

Los esperamos.
Saludos

Webcast TechNet: BRS - Solución segura del centro de datos

2010-11-20T20:05:00.001-03:00

Esta sesión le informará cómo optimizar las inversiones de nuestros clientes en las tecnologías de la plataforma de identidad y acceso a la vez, lo que asegura el centro de datos tenga la capacidad de proporcionar protección de información y software mal intencionado de extremo a extremo para servidores y aplicaciones.

Moderador(es): Enrique Dutra
Idiomas: Español.
Productos: Microsoft Forefront, Microsoft Forefront Client Security, Otros.
Público: Generalista de IT.

Día : viernes, 26 de noviembre de 2010 09:00 a.m. Bogotá
Duración:60 Minutos

Para registrarse, visitar este sitio

I Jornada de Auditoria, Seguridad y Peritaje Informático - JASEPT-IT (TUCUMAN)

2010-11-20T19:54:00.002-03:00

Amigos
El día 30 de noviembre es el día Internacional de la Seguridad de laInformación. Para conmemorar ese día, la UTN de Tucumán realiza el evento de Seguridad, Peritaje y Auditoría.
El evento se desarrollará de 14:30 a 21 hs en sesiones paralelas, siendo la agenda la siguiente:

1) Fraudes y extorsiones online.
2) Seguridad en MS Windows 2008R2 y Windows 7.
3) Software para el Análisis Forense.
4) Seguridad como apoyo en Proyectos TI.
5) Password Cracking práctico.
6) Seguridad de la Información: Mas allá de la Seguridad Informática.
7) Criminalística Informática – Caso practico: Redes Sociales.
8) Implementación de un SGSI según ISO 27001.
9) Principios de Auditoria de Sistemas - Casos prácticos.
10) Estado de la Jurisprudencia Nacional – Ley 26.388 de Delitos Informáticos - Pedofilia.

Para más información, acceder al sitio http://www.asep-it.com.ar.

Hasta la próxima.

Actualizaciones plataforma Microsoft - NOVIEMBRE 2010

2010-11-11T14:51:00.003-03:00

Este mes, solo han sido publicado tres boletines de seguridad, ellos son:

1) MS10-087: Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2423930). Afecta a Ms Office y su clasificación es crítico.
2) MS10-088: Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (2293386). El mismo es clasificado como importante.
3) MS10-089: Vulnerabilidades en Forefront Unified Access Gateway (UAG) podrían permitir la elevación de privilegios (2316074), que afecta a esta plataforma y el mismo ha sido clasificado como importante.
Para mas información sobre el boletín de este mes, los invitamos a visitar este sitio.

Hasta la próxima.
Saludos

Quique

Seguridad en Internet Explorer 9

2010-11-11T14:45:00.003-03:00

Amigos:
Los invito al presente Webcast en donde analizaremos las mejoras que posee el Internet Explorer 9. Las mismas evitan que seamos víctimas de intrusión y robo de datos.
Para registrarse, visitar este sitio

Los espero...
Saludos

Quique

Actualizaciones plataforma Microsoft - OCTUBRE 2010

2010-10-12T22:46:00.002-03:00

Estimados...
En el día de hoy, Microsoft ha publicado los boletines de seguridad. Los mismos son:

CRITICOS:
Se recomienda su instalación, tenga en cuenta que requieren reinicio una vez implementados.

- MS10-071: Cumulative Security Update for Internet Explorer (2360131) : Afecta Internet Explorer 6, 7 y 8. el mismo reemplaza al boletín MS10-053. Evita la ejecución de un código remoto.

- MS10-075: Vulnerability in Media Player Network Sharing Service Could Allow Remote Code Execution (2281679): Evita la ejecución remota, solo afecta a Ms Windows 7 y Vista SP1 y SP2.

- MS10-076: Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (982132): Afecta a XP, Windows Vista, Windows 7, Windows 2008 y Windows 2008 R2. Esta actualización de seguridad resuelve una vulnerabilidad en un componente de Microsoft Windows Embedded OpenType (EOT) Font Engine. La vulnerabilidad podría permitir la ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado de forma remota.

- MS10-077: Vulnerability in .NET Framework Could Allow Remote Code Execution (2160841): Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft. NET Framework. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un navegador Web que puede ejecutar las aplicaciones del explorador XAML (XBAPs).

IMPORTANTE:
Son de menor importancia, pero su implementación es vital para mantener la plataforma segura.

- MS10-072 : Vulnerabilities in SafeHTML Could Allow Information Disclosure (2412048): Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente y una vulnerabilidad reportada de manera privada en Microsoft SharePoint y Windows SharePoint Services. Las vulnerabilidades podrían permitir la divulgación de información si un atacante envía especialmente diseñado secuencia de comandos a un sitio de destino mediante SafeHTML.

- MS10-073: Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (981957): Esta actualización de seguridad resuelve varias vulnerabilidades de forma pública en los controladores de modo kernel de Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante se conecta a un sistema afectado y se ejecuta una aplicación especialmente diseñada. Un atacante debe tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local para aprovechar esta vulnerabilidad. La vulnerabilidad no puede ser explotada de forma remota o por usuarios anónimos.

- MS10-078: Vulnerabilities in the OpenType Font (OTF) Format Driver Could Allow Elevation of Privilege (2279986): Esta actualización de seguridad resuelve dos vulnerabilidades en el controlador de Windows formato OpenType Font (OTF). Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no se ven afectados por la vulnerabilidad.

- MS10-079: Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2293194):Esta actualización de seguridad resuelve once vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado por Word. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-080: Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2293211): Esta actualización de seguridad resuelve trece vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado de Excel o un archivo especialmente diseñado de Lotus 1-2-3. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-081: Vulnerability in Windows Common Control Library Could Allow Remote Code Execution (2296011): Esta actualización de seguridad resuelve una vulnerabilidad en la biblioteca de controles comunes de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante que aprovechara esta vulnerabilidad podría lograr el control completo del sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-082: Vulnerability in Windows Media Player Could Allow Remote Code Execution (2378111): Esta actualización de seguridad resuelve una vulnerabilidad en Windows Media Player. La vulnerabilidad podría permitir la ejecución remota de código si Windows Media Player abierto especialmente diseñado contenido multimedia alojado en un sitio Web malintencionado. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-083: Vulnerability in COM Validation in Windows Shell and WordPad Could Allow Remote Code Execution (2405882): Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado utilizando WordPad o selecciona o abre un archivo de acceso directo que está en una red o compartir WebDAV. Un atacante que aprovechará esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-084: Vulnerability in Windows Local Procedure Call Could Cause Elevation of Privilege (2360937): Esta actualización de seguridad resuelve una vulnerabilidad de forma pública en Microsoft Windows. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no se ven afectados por la vulnerabilidad.

- MS10-085: Vulnerability in SChannel Could Allow Denial of Service (2207566): Esta actualización de seguridad resuelve una vulnerabilidad en el paquete de seguridad de canal seguro (SChannel) en Windows. La vulnerabilidad podría permitir la denegación de servicio si un afectado de Internet Information Services (IIS) tendrá lugar un Secure Sockets Layer (SSL) habilitado para el sitio web recibió un mensaje paquete especialmente diseñado. De forma predeterminada, IIS no está configurado para alojar sitios Web SSL.

MODERADO

- MS10-074: Vulnerability in Microsoft Foundation Classes Could Allow Remote Code Execution (2387149): Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en el Microsoft Foundation Class (MFC) de la Biblioteca. La vulnerabilidad podría permitir la ejecución remota de código si un usuario inicia sesión con derechos de usuario administrativos y se abre una aplicación creada con la biblioteca MFC. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que el que actualmente ha iniciado la sesión del usuario. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría tomar el control completo del sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-086 : Vulnerability in Windows Shared Cluster Disks Could Allow Tampering (2294255): Esta actualización de seguridad resuelve una vulnerabilidad en Windows Server 2008 R2 en su uso como un clúster de conmutación por error compartido. La vulnerabilidad podría permitir la manipulación de datos sobre las acciones administrativas de los discos del clúster de conmutación por error. De forma predeterminada, Windows Server 2008 R2 servidores no se ven afectados por esta vulnerabilidad. Esta vulnerabilidad sólo se aplica a los discos de racimo utilizadas en un clúster de conmutación por error.

Les recomiendo asistir el Webcast sobre la actualización de este mes. Para registrarse hacer click AQUI.

Hasta la próxima.

Stuxnet el terror de los SCADA

2010-10-09T16:21:00.007-03:00

En estos días se está hablando mucho sobre el malware STUXNET y sobre todo como afecta a los SCADA. Para entender mejor la problemática, vamos analizar que hace dicho malware.

1) ¿Qué es una SCADA?
SCADA es el acrónimo de Supervisión, Control y Adquisición de Datos (Supervisory Control And Data Acquisition). Esto es un sistema basado en computadoras que permite monitorear y controlar a distancia una instalación de cualquier índole. A diferencia de otros dispositivos que son administrados o manipulados por un operador, el SCADA se caracteriza por automatizar muchas de las tareas sin intervención del operador, es decir de forma automática. Si bien hay muchas implementaciones de estas soluciones, siempre hay un operador verificando su funcionamiento. Si navegan por Internet, van a encontrar que los SCADA tambien se los denomina los "Vigilantes de Procesos".

Este tipo de plataforma no son una novedad, más bien han ido evolucionando con el correr de los años. Revisando un poco la historia vamos a encontrar que una de las mayores implementaciones realizadas en el mundo fue en 1999, cuando se puso en marcha el proyecto de ampliación de las minas Olympic Dam en Australia, en donde la plataforma Citect corría bajo plataforma MS Windows NT. 4.0.

2) ¿STUXNET?
Este código malicioso clasificado como GUSANO INFORMATICO, afecta a equipos Ms Windows. Fue descubierto por VirusBlokAda en junio del 2010, y es un gusano catalogado como espía con capacidades de reprogramar soluciones industriales como los SCADA. Este gusano es capaz de reprogramar los controladores lógicos programables y enmascarar esos cambios para que no sea detectado. Su objetivo son sistemas de SCADA y WinCC/PCS 7 de Siemens.
Si el gusano aprovecha la vulnerabilidad de un dispositivo, puede lograr la interrupción del proceso de negocios.

3) ¿Cómo ataca los S.O. Ms Windows?
Lo que hace STUXNET es aprovechar cuatro vulnerabilidades del día cero (son vulnerabilidades que alguien ha detectado y aún el fabricante no ha logrado resolver). También aprovecha la vulnerabilidad utilizada por el gusano Conficker, si el S.O. aún no ha sido parchado.

4) Metodo de propagación
Preferiblemente mediante el transporte de información utilizando dispositivos USB de los equipos conectados a la red. El acceso de los dispositivos lo hace probando las contraseñas denominadas predeterminadas (default) o conocidas.

5) Objetivo
A diferencia de otros gusanos, que normalmente se difunden en la red infectando los recursos informáticos y provocando bloqueos, envíos de correo basura o molestar en el uso de los recursos de IT, el STUXNET usa una metodología de ataque en la cual ha sido denominado como software de SABOTAJE. Esta clasificación se la otorgado en base en donde a aparecido (IRAN), instalaciones en donde se ha descubierto el gusano (Centrales nucleares o Industrias), la plataforma que afecta (SCADA o WinCC/PCS 7 de Siemens) y la conformación del código, ya que está lejos de ser un software realizado por algún estudiante universitario (Para afectar los SCADA se requiere de ciertos conocimientos profesionales como también de los procesos industriales).

6)Protección
Las actualizaciones y políticas de seguridad son importantes para proteger las redes industriales. Microsoft en el mes de septiembre publicó el boletín MS10-061, en donde el gusano estaba explotando la vulnerabilidad en Print Spooler. En el mes de octubre (el día 12/10) se lanzarán nuevas actualizaciones con el fin de proteger más aún la plataforma.
Las recomendaciones para evitar que la red industrial sea afectada por este gusano son:

1) Firewall: los dispositivos deben contar con un firewall.
2) Actualizaciones: verificar la publicación de las actualizaciones y aplicarlas.
3) Contraseñas: si se han aplicado contraseñas predeterminadas, cambiarlas y documentarlas.
4) USB: bloquear los accesos USB y mediante una politica organizacional prohibir su uso sobre equipos industriales. El traslado de algún tipo de información utilizando los puertos USB, deben ser verificado con algún procedimiento formal.
5) Antivirus: de ser posible implementar una solución de antivirus con la capacidad de detectar los gusanos.
6) VLAN: mantener la red industrial separada por VLAN o segmentación física de la red administrativa o la que normalmente realizan las operaciones los usuarios.
7) Shared folder: evitar las carpetas compartidas sobre los equipos industriales. El gusano tiende a buscar la carpeta ADMIN$, si bien seria deseable desactivarlo, hay soluciones de antivirus u otros productos que requieren de esta carpeta compartida para administrarse.
8) Accesos directos: Evitar accesos directos sobre el equipo industrial, ya que una de las metodologías es verificar los archivos .LNK.

A su vez Siemens ha puesto a disposición una herramienta de detección del gusano.
Para contar con mas información de este gusano, les recomiendo el dossier publicado por Symantec, podrán bajarlo desde AQUI.
Les recomendamos mantenerse actualizado con las novedades, ya que al momento de la redacción de este artículo, ha sido detectado una nueva variante.

Por último les recomiendo este sitio para recolectar más informacion sobre el gusano:

http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWinNT%2FStuxnet.B

Fuente: Symantec y Microsoft.

Hasta la próxima.

Actualizaciones plataforma Microsoft - SEPTIEMBRE 2010

2010-10-09T16:04:00.002-03:00

Amigos, como es costumbre el segundo martes de cada mes sale el boletín con las actualizaciones de Microsoft. El mes pasado tuvimos un boletín extra con una actualización fuera de fecha.
En Septiembre tenemos la publicación de actualizaciones que protegen 11 vulnerabilidades de la plataforma Microsoft. Los boletines son:

- MS10-061: Una vulnerabilidad en el servicio de administrador de trabajos de impresión podría permitir la ejecución remota de código (2347290. Este boletín está clasificado como CRITICO y una vez aplicado la actualización, requiere de reinicio.

- MS10-062:Una vulnerabilidad en el códec MPEG-4 podría permitir la ejecución remota de (975558).Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.

- MS10-063:Una vulnerabilidad en el procesador de scripts Unicode podría permitir la ejecución remota de código (2320113).Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.

- MS10-064:Una vulnerabilidad en Microsoft Outlook podría permitir la ejecución remota de código (2315011). Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.

- MS10-065:Vulnerabilidades en Microsoft Internet Information Services (IIS) podrían permitir la ejecución remota de código (2267960).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.

- MS10-066: Una vulnerabilidad en la llamada a procedimiento remoto podría permitir la ejecución remota de código (982802).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.

- MS10-067:Una vulnerabilidad en los convertidores de texto de WordPad podría permitir la ejecución remota de código (2259922).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.

- MS10-068 : Una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la elevación de privilegios (983539).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.

- MS10-069:Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2121546).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.

- MS10-070 :Una vulnerabilidad en ASP.NET podría permitir la divulgación de información (2418042). Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.

Por otro lado, si Ustedes desean acceder a las actualizaciones anteriores, puede visitar el siguiente sitio WEB, click AQUI, y podrá bajar las actualizaciones requeridas.
Les sugerimos mantener la plataforma actualizada, recordando que los pilares básicos para mantener una plataforma segura son:

1) Firewall activo en cada recurso conectado a la red.
2) Antivirus instalado y actualizado en cada recurso de la red.
3) Actualizaciones de los productos instalados en los recursos, manteniendo los mismos al día.

Si Usted observa que le lleva mucho tiempo actualizar la plataforma po rno contar con una solución automatizada, puede optar por la solución de WSUS que le permtirá reducir los tiempos de despliegue y le permitirá tener en tiempo real un informe del estado de actualización d ela plataforma.

Saludos y hasta la próxima.

Quique

Actualización fuera de fecha - URGENTE - Actualización de seguridad

2010-08-05T16:24:00.002-03:00

Una vulnerabilidad en el shell de Windows podría permitir la ejecución remota de código (2286198)

Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en el shell de Windows. La vulnerabilidad podría permitir la ejecución remota de código si se muestra el icono de un acceso directo especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Según CVE, reporta:
Windows Shell in Microsoft Windows XP SP3, Server 2003 SP2, Vista SP1 and SP2, Server 2008 SP2 and R2, and Windows 7 allows local users or remote attackers to execute arbitrary code via a crafted (1) .LNK or (2) .PIF shortcut file, which is not properly handled during icon display in Windows Explorer, as demonstrated in the wild in July 2010, and originally reported for malware that leverages CVE-2010-2772 in Siemens WinCC SCADA systems.

Clasificación: CRITICA
Requisito: Requiere reinicio.

Actualización de MS, bajarlas desde aquí.

Fuente:Microsoft, CVE.
Saludos...

Actualizaciones plataforma Microsoft - JULIO 2010

2010-07-30T21:12:00.002-03:00

Estimados
De nuevo por acá, disculpen el atraso de la actualización del blog. No quiero dejar de recomendarles las actualizaciones mensuales que publica Microsoft, por lo cual, les comento que fué publicado en el mes de Julio.
El boletín publicado el 14 de Julio por Microsoft contempla:

1) 4 boletines con actualizaciones, siendo ellas 3 críticas y una importante.
2) El boletín MS10-042 y el MS10-043 aplica a S.O. Recuerden tener los mismos actualizados para evitar infecciones y problemas de seguridad de las plataformas.
3) Los boletines proveen seguridad ante la ejecución de un código remoto.

Por otro lado, verifiquen los SP que poseen sus S.O, recuerden que deben tener al último vigente aplicado, por dos motivos, lograr proteger la plataforma y para contar con el soporte de MS si fuera requerido. Este mes han vencido los soportes para Ms Windows 2000 Prof., XP SP1 y Vista RTM.
Saludos

Quique

Comprobador de Contraseña

2010-06-23T13:14:00.002-03:00

Amigos
Siempre que podemos, intentamos utilizar contraseñas que protejan nuestros accesos a sitios Web y acceso de datos. La duda está, en que tan buena es la contraseña que estamos utilizando,sobre todo si es una contraseña dificil de detectar o sacar mediante la técnica de fuerza bruta.
Si bien existe herramientas que generan contraseñas complejas, no suelen utilizarse, por que son complejas combinaciones de letras y números que seguramente terminan olvidando o anotando en algún lugar para recordarlo.
Recordemos

1) No utilizar parte de nuestros datos en la contraseña (nombre, telefono, documento, patente del auto, nombre de nuestros hijos, etc).
2) Que al menos tenga 8 digitos de longitud.
3) Combinar mayúsculas y minúsculas en la contraseña.
4) No anotar la misma en algún registro, por si nos olvidamos.

Microsoft, en su sitio web ha dispuesto de un verificador de fortaleza de la contraseña. Para acceder, visite ESTE sitio. Esta herramienta permitirá verificar la contraseña que Usted elije y a medida que la escribe le dirá si la misma es fuerte o no.
Saludos

Quique

Actualizaciones plataforma Microsoft - JUNIO 2010

2010-06-06T19:30:00.002-03:00

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan diez boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office. Este mes Microsoft prevé publicar diez el próximo 8 de junio.
Tres se consideran críticos (ejecución remota de código) y el resto importantes (elevación de privilegios o falsificación).

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool.
Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
También corregirá un fallo reconocido en febrero por Microsoft (que previamente se había hecho público en la conferencia Black Hat DC 2010) en Internet Explorer. Existe un error de comprobación de permisos cuando se usa el protocolo "file:" que podría ser aprovechado por un atacante remoto para obtener datos del sistema a través de una pagina web especialmente manipulada.

FUENTE Hispasec.
Hasta la próxima.

Microsoft invita a usuarios, profesionales de TI y desarrolladores al lanzamiento de su nueva generación de software.

2010-04-17T11:11:00.001-03:00

A partir del 21 de abril, el evento virtual “La Eficiencia en tus manos” presentará la nueva ola de tecnologías y servicios para Latinoamérica, incluyendo Office 2010
y las nuevas soluciones “en la nube”.

Ft. Lauderdale, FL. – Abril 15, 2010 – El próximo 21 de abril Microsoft Latinoamérica presentará el lanzamiento virtual de Office 2010 y de toda una nueva ola de productos por medio del evento virtual “La eficiencia en tus manos”. Éste será un espacio donde profesionales de TI, desarrolladores y usuarios podrán conocer los detalles de los nuevos lanzamientos de Microsoft en Latinoamérica, entre los que se encuentran: Office 2010, SharePoint 2010, Visual Studio 2010, SQL Server 2008 R2, Silverlight 4, .NET Framework 4, Expression 4, Windows Azure, SQL Azure y Microsoft Online Services. Algunos de estos productos representan la nueva generación de servicios “en la nube” de Microsoft.

Para formar parte de “La eficiencia en tus manos” solo hay que registrase desde hoy en: www.laeficienciaentusmanos.com. A partir del 21 de abril, las personas registradas podrán tener acceso a 60 sesiones que incluyen presentaciones, demos y charlas con expertos técnicos de Argentina, Chile, Colombia, México y Perú principalmente, además de gerentes de producto de Microsoft Latinoamérica. Durante el primer día del evento, los expertos estarán respondiendo en vivo las dudas de los asistentes, y los contenidos del evento estarán disponibles en el sitio para todos los registrados por dos meses después de esta fecha.

Los usuarios y profesionales de TI que asistan a este evento virtual, conocerán antes que nadie Office 2010 y las múltiples herramientas que forman una nueva generación de software, que les permitirán desarrollar al máximo su capacidad de innovación con altos niveles de productividad.

“Todos los productos que conocerán aquí, fueron creados pensando en los profesionales de Tecnología de la Información, en los desarrolladores, en los usuarios avanzados y también en las empresas en las que trabajan”, comentó Hernán Rincón, Presidente de Microsoft Latinoamérica. “El salto a estas nuevas tecnologías, y el estar listos para funcionar “en la nube”, pueden acelerar a pasos agigantados la reducción de la brecha digital en América Latina y en las pequeñas y medianas empresas, motores de la economía de nuestros países”.

“A finales de 2009, el evento virtual “La nueva eficiencia” contó con la participación de más de 40,000 asistentes de toda la región, a los que presentamos Windows 7, Windows Server 2008 R2, Exchange Server 2010, y Forefront, demostrando cómo se pueden obtener grandes resultados con nuevas soluciones”, comentó Christian Linacre, Gerente de seguridad y audiencias técnicas para Microsoft Latinoamérica. “Este año buscamos repetir la exitosa estrategia presentando el nuevo conjunto de tecnologías y servicios para el terreno de las soluciones en “la nube”, colocando así los cimientos para los sistemas y las soluciones que resultan en mayor eficiencia y productividad”.

Office 2010
Actualmente, los profesionales de Tecnologías de la información necesitan proveer de soluciones que funcionen sobre la PC, el teléfono y el navegador. Office 2010 es la herramienta designada para responder a estas demandas, con una experiencia de productividad fácil y poderosa. Office 2010 hace que la distinción entre ambientes físicos y virtuales sea indistinguible para el usuario, y dando mayor control y flexibilidad al IT PRO.

Visual Studio 2010
Mantiene las aplicaciones existentes y las plataformas de Microsoft, mientras se incrementa la productividad del desarrollo, de la manera más eficiente en cuanto a rendimiento y ahorro de costos.

SharePoint 2010
Es la plataforma de colaboración de negocio para la Organización y la Web. Colabora a conectar y capacitar a las personas, reducir costos con una infraestructura unificada, y a responder rápidamente a necesidades del negocio.

SQL Server 2008 R2
Provee características y capacidades que ayudan a las organizaciones a escalar con confianza en la plataforma, mejorando la eficiencia y permitiendo inteligencia de negocio autosuficiente.

“La eficiencia en tus manos” es el resultado de productos y servicios que impulsarán la capacidad de innovación y productividad de los usuarios y empresas de Latinoamérica.

Para más información del evento y para hacer el registro, ingresar a www.laeficienciaentusmanos.com y http://twitter.com/msdntechnet

LOS ESPERAMOS....

Eventos de Ms Office 2010 & Windows 7

2010-04-11T19:36:00.004-03:00

Gente
Esta semana hemos llamado la semana de Windows 7 & Office en Villa Carlos Paz.
Se realizarán los siguientes eventos:

1) Día 14: Ms Windows 7 & Office 2010, en el Instituto Dante Alighieri. Este evento está orientado a padres y a alumnos secundarios/terciarios.
2) Día 15: Ms Office 2010, novedades. El evento se realizará en el Insituto Terciario IRESM. Se presentarán las novedades de Ms Office 2010, en un evento en conjunto con el MVP Eugenio Serrano.
3) Día 16: Ms Office 2010 para docentes. En este último evento se mostrará el uso de la herramienta para docentes de Institutos Secundarios, Terciarios y Universitarios. El evento se realizará en el Instituto Dante Alighieri de Villa Carlos Paz.

Hasta la fecha hay mas de 300 inscriptos. Para aquellos interesados, solicitar información o inscripción enviando un correo a info@puntonetsoluciones.com.ar

Hasta la próxima.

Actualizaciones plataforma Microsoft - ABRIL 2010

2010-04-11T19:23:00.002-03:00

Gente, cómo todos los meses, en los segundos martes Microsoft publicará el boletín con las actualizaciones correspondiente al mes.
En esta ocasión se publicarán 11 boletines de seguridad.
Si revisan la lista, observarán que hay actualizaciones para diferentes productos, como S.O Microsoft windows, Ms Office y Ms Exchange 2003.
Les recomiendo verificar las notificaciones denominadas CRITICAS, que en este lanzamiento se publicarán 5 boletines que afectan a los S.O Windows. En el caso de los Ms Windows 2000, recuerden que dentro de poco este S.O no dispondrá de más soporte.
Por otro lado, la actualización del Ms Exchange 2003, resuelve un problema de DoS. Sugiero antes de aplicar la actualización, verificar los backups del servidor y luego aplicar el mismo.

Por último les recomendamos mantener la plataforma actualizada.

Hasta la próxima.

¡Enhorabuena MVP de Microsoft 2010!

2010-04-01T15:53:00.002-03:00

Buenas. En el día de hoy recibí el correo en donde se me confirma como MVP Enterprise Security 2010, agradeciendo la contribución que se ha realizado en las comunidades técnicas en el área de Enterprise Security a lo largo del año pasado. Es la manera de agradecer de Microsoft por los aportes importantes en la especialidad.
Desde ya agradezco a Microsoft y el haberme tenido en cuenta este nuevo año, ya que orgullosamente recibo esta nominación desde el año 2006.
Pasa conocer más sobre estas nominaciones, puedes visitar este sitio.
Hasta la próxima....

Boletín de seguridad de Microsoft MS10-018 – Crítico

2010-03-31T22:06:00.002-03:00

URGENTE - Actualización fuera de ciclo de actualización.

Esta actualización de seguridad resuelve nueve vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Esta actualización de seguridad se considera crítica para todas las versiones compatibles de Internet Explorer: Internet Explorer 5.01, Internet Explorer 6 Service Pack 1, Internet Explorer 6 en clientes de Windows, Internet Explorer 7 e Internet Explorer 8 en clientes Windows. Para Internet Explorer 6 en Windows Server, esta actualización se considera importante. Y para Internet Explorer 8 en Windows Server, esta actualización se considera moderada.

La actualización de seguridad corrige estas vulnerabilidades al modificar la forma en que Internet Explorer comprueba el origen de las secuencias de comandos y trata los objetos en memoria, el contenido que usa cadenas de codificación y las direcciones URL largas.

Para acceder a mayor detalle sobre este artículo, visitar el sitio del boletín, presionando AQUI.

Fuente Microsoft.

Hasta la próxima.

SP1 para MS Windows 2008 R2 y Windows 7

2010-03-20T12:11:00.003-03:00

El día 18 del presente mes, Microsoft ha realizado el anuncio que en unos meses estaría lanzando al mercado el SP1 para los S.O. Ms Windows 2008 R2 y Ms Windows 7 en todas sus versiones.
La razón por la cual realizará este lanzamiento, es para habilitar dos nuevas características que afectan directamenete a la virtualización: Dynamic Memory y RemoteFX.
La memoria dinámica (Dynamic Memory) es una mejora a la tecnología Hyper-V en R2 y permite a los administradores de TI poner en común toda la memoria disponible en un servidor físico y distribuir dinámicamente a las máquinas virtuales que se ejecutan en ese host en caso necesario. Esto significa que sobre la base de los cambios en la carga de trabajo, sus máquinas virtuales podrán recibir asignaciones de memoria nueva, sin una interrupción del servicio.
RemoteFX es la última adición a la virtualización de escritorio de Microsoft, con funciones con independencia de cualquier gráfico de pila y es compatible con cualquier contenido de la pantalla, incluyendo el contenido rico como Silverlight o Flash.
Para mayor información sobre estas funcionalidades, les recomiento visitar el blog de Virtualizacion de Microsoft.

Hasta la próxima.

Actualizaciones plataforma Microsoft - MARZO 2010

2010-03-09T22:47:00.002-03:00

Este boletín incluye la publicación de dos boletines de seguridad. Ellos son el MS10-016 y el MS10-017.

Boletín MS10-016: Vulnerability in Windows Movie Maker Could Allow Remote Code Execution (975561)
Esta actualización, clasificada como IMPORTANTE, afecta a Windows Movie Maker y Microsoft Producer 2003 que son utilizados en los diferentes S.O Microsoft, pero que en Ms Windows Vista y Ms Windows 7 NO son afectados por esta vulnerabilidad. La vulnerabilidad permitiría la ejecución de un código remoto.

Boletín MS10-017: Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (980150)
Esta actualización, clasificada como IMPORTANTE, afecta a Microsoft Office Excel.La vulnerabilidad permitiría la ejecución de un código remoto si lo usuarios abren ciertos archivos excel que poseen un exploits embebido.

Como siempre recordamos, mantener sus Sistemas Operativos saludables, manteniéndolos actualizados.
Una vez implementados dichas actualziaciones, pedirá reiniciar el S.O.
Hasta la próxima.

Instalación paso a paso de Forefront TMG 2010

2010-02-25T18:41:00.017-03:00

En este artículo recorreremos la instalación del Ms Forefront TMG 2010, para ello es recomendado que hallan completado la planilla de Capacity Planning Tool como comenté en el artículo anterior. Lo que aquí se detalla es el paso a paso de la instalación del TMG, en próximos artículos hablaremos de la configuración y ajustes.

PREREQUISITOS
Teniendo en cuenta el Capacity Planning y los requerimientos de la solución, pueden comenzar a instalar el producto. Si no han revisado el sitio Web de Microsoft, le transcribo a continuación los requerimientos del TMG 2010:

..1) HARDWARE
Procesador : 1,86 GHz de 64 bits, procesador dual básico
Memoria: 4 GB, 800 MHz RAM
Disco duro : Espacio disponible de 2,5 GB., con el formato NTFS.
Adaptadores de red: Un adaptador de red compatible con el sistema operativo del equipo para las comunicaciones con la red interna Un adaptador de red adicional para cada red conectada al equipo de Forefront TMG.

..2) SOFTWARE
S.O: Ms Windows 2008 64 bits
Roles: Servidor de directivas de redes,Servicios de enrutamiento y acceso remoto, Herramientas de Active Directory Lightweight Directory Services, Herramientas de equilibrio de carga en la red y Windows PowerShell. En el caso de no estar instalados, el mismo Forefront TMG instalará estos roles. En el caso de desinstalar el TMG, deberá remover manualmente los roles.
Aplicaciones:.NET 3.5 Framework SP1 y API de Windows Web Services.

INSTALACION
La instalación puede realizarse de modo interactivo o desatendida. Si desea realizarla de manera desatendida, verifique este sitio web.
Al iniciar la instalación, el asistente nos guiará paso a paso:

En la próxima ventana, nos aparecerá tres opciones, en las cuales solo podemos escoger una de ellas.

La primera opción indica que instalaremos la consola y los servicios del TMG, en pocas palabra, la solución completa. La opción siguiente es solo para aquellos que deseen tener la consola del TMG y administrarlo remotamente y por último es para opciones de matriz, es decir Forefront TMG encadenados como lo hacíamos en el ISA Server 2000 y versiones posteriores.(La última opción solo aparece en los instaladores que cumplan con la versión Forefront TMG Enterprise).Luego el asistente indica que comenzará a instalar los roles del S.O si no fueron previamente instalado.
Una vez finalizada la preparación, comienza la instalación y deberá aparecer en pantalla la siguiente ventana

En cada uno de los ítems, dependiendo del equipamiento definido, determinará los tiempos de instalación aproximados.
FASE (1)
Nuevamente se abre una ventana en donde el asistente nos guiará como una clásica instalación de productos Microsoft.

Una vez que hemos indicado la ruta de instalación del software, en la proxíma ventana nos preguntará cual es la red que deseamos proteger, para ello debemos seleccionar la placa de la red LAN.

Seleccionando el boton "AGREGAR", luego "AGREGAR ADAPTADOR" y por último seleccionamos la placa de la red LAN. Es recomendado identificar las placas antes de comenzar la instalación, para ello en la configuración de red del equipo, renombre las placas una vez identificadas.

Seleccionada la placa de la red LAN, al presionar el botón de SIGUIENTE configurará las directivas para que pueda administrar remotamente el equipo.

Antes de comenzar, el asistente mostrará en la ventana una alerta por detección de servicios, ya que requiere para algunos de ellos para proceder la instalación. Luego el instalador realizará la instalación del Forefront TMG 2010.

Este paso, observará que van cambiando las leyendas, ya que necesita instalar los repositorios, configuración, registro de filtros y otros elementos requeridos.
FASE (2)
Se debió cerrar la ventana y cambió el estado de la ventana inicial, posicionandose en el segundi ítem. Aquí no debe abrirse nuevas ventanas, ya que todo el proceso es por "background".

Si chequea el Task Manager o analiza los procesos del servidor, observará que hay un proceso denominado "Setup100.exe", que llevará a cabo la instalación del SQL 2008 requerido por el TMG 2010, por lo cual se observa un leve consumo de procesador y memoria en ciertos momentos. Esto es normal y no debe interrumpir la implementación. Casi al finalizar se procede la instalación del Report Service.

FASE (3)
Una vez finalizado, el instalador procede a subir los servicios requeridos.

Y finaliza el asistente...

Al entrar a la consola aparece una ventana con tres ítems que es requerido completar:

ITEM 1 : Topología del TMG
Aquí debemos definir la topología del TMG, indicando a su vez, cual es la RED LAN y el asistente seleccionará automaticamente la que se define como WAN o Internet si la topología seleccionada incluye la misma.

ITEM 2: Identificación en la red
Aquí se puede modificar la identificación del equipo en la red y como es el sufijo en el DNS para que pueda ser ubicado por el resto de los equipos en la red.

ITEM 3: Actualización y servicios adicionales
En este último paso, podrá seleccionar si desea actualizar el mismo mediante Windows Update y que servicios agregará a la funcionalidad del TMG 2010. Para activar estas funciones es requerido una licencia adicional, si no la posee, puede optar por dejar la de Evaluación, en donde se le indica la fecha de vencimiento del período de prueba.

Luego aparecerá la de suscripción al NIST

Como todo producto de seguridad, requiere de actualización, por lo cual podremos configurar el período de chequeo y actualización:

Si todo el proceso ha sido exitoso, debemos observar la pantalla de los pasos como la que figura a continuación:

Bien, ahora solo resta configurar la plataforma para las necesidades de su infraestructura. Debe aparecer un asistente permitiendole definir la configuración, si lo cancela, podrá luego definirlas paulatinamente.

Recomendaciones
1) Verifique su infraestructura antes de realizar el deploy del Forefront TMG 2010, asegurandose de cumplir con las expectativas del negocio.
2) Ejecute el Capacity Planning Tool.
3) Antes de instalar identifique las placas de red.
4) Instale el S.O en una partición y luego el Forefront TMG 2010 y sus adicionales en otra partición con espacio.
5) Configure adecuadamente el caché.
6) Realice backups a medida que realiza la configuración.
7) Si instala antivirus de otros proveedores, verifique que el archivo de caché y las bases de datos estén excluídas, para que no impacte en la perfomance del servidor.

En las proximas entregas avanzaremos con la configuración del Forefront TMG 2010.
Hasta la próxima...

Quique

Forefront TMG 2010 - Capacity Planning Tool

2010-02-24T20:25:00.005-03:00

Microsoft Forefront Threat Management Gateway [TMG] 2010 es el último desarrollo en soluciones de protección perimetral desarrollado por Microsoft, integrando las tecnologías Firewall, Servidor VPN y servidor Cache. A lo mejor ya Ustedes han probado, configurado y puesto en marcha algunas de las versiones anteriores, como MS Proxy 2.0 sobre NT 4.0, Ms ISA Server 2004 o tal vez Ms ISA Server 2006.

Esta nueva solución posee requerimientos especiales de instalación, como por ejemplo, una plataforma 64 Bits para instalarse. Antes de hacer el despligue de la solución, es recomendado hacer una análisis de las exigencias del entorno con el fin de sastifacer las necesidades del negocio. Para ello, Microsoft ha publicado este mes, una herramienta que permitirá planificar la implementación del TMG.

Al abrir la planilla Excel, nos abrirá una hoja donde nos da la bienvenida y nos permite transcribir el nombre de sesión a la cual luego almacenaremos.
Una vez que hemos aceptado el EULA, ya podemos empezar. En la parte de Instrucciones podremos obtener información de los dos pasos que podremos seguir con esta herramienta:
1) Detalle del Despliegue: detallar el escenario, acceso a Internet y todo aquello que se desea proteger desde Internet.
2) Método de Cálculo: definir en base al tamaño de la infraestructura, el equipo, recursos o ancho de banda a Internet necesario para hacer un despliegue adecuado de la plataforma.

La planilla fué confeccionada de una manera, que no hace falta estar eligiendo las hojas para avanzar, en cada hoja, al final, encontrará los botones adecuados para avanzar o volver atrás si fuera necesario. Les recomiendo respetar los pasos con los botones para no saltear ninguna de las hojas.

Detalle del Despliegue:
Aquí deberá completar tres puntos:
1) ESCENARIO: características de la infraestructura en donde implementará el TMG, teniendo en cuenta si desea proteger la plataforma de correo, servidores Web o simplemente es un proxy de navegación.
2) USO: en base al perfil del usuario, definir cuanto uso hace de Internet el usuario expresado en KBps por usuario.
3) CARACTERISTICAS: este punto es similar al punto 1), pero aquí seleccionar el nivel de protección sobre las aplicaciones proteger.

Método de Cálculo:
En este punto, deberá elegir en base a la información que disponga y sea más precisa.
1) HARDWARE: definiendo características del equipamiento.
2) USUARIOS: cantidad de usuarios.
3) BANDWITH: según el vínculo que disponga de acceso a Internet.

Al final, existe un botón que dice "REPORT" y al presionarlo aparece un informe que puede imprimir o guardar en el disco. El informe posee aspectos importantes como:

a) Ofrece 5 alternativas de configuración, remarcando en azul cual es la sugerida por la herramienta.
b) Cantidad de servidores requeridos, características de procesador y memoria. Hace sugerencia sobre los discos, en las columnas de la derecha de la planilla.
c) En base a lo configurado indica cantidad de usuarios recomendados y una cantidad máxima posible por servidor.
d) En la parte inferior, si presiona el botón "Tools Defaults" encontrará la parametrización de la herramienta con la cual se genera el reporte. Si Usted desea ajustar un parámetro allí establecido, puede hacerlo.En el caso de cambiar un parámetro y querer volver atrás, puede presionar el botón "Restore to default setting" que se encuentra al lado de cada columna.

El éxito de toda implementación, es una buena planificación, por lo tanto les recomiendo utilizar esta herramienta al momento de implementar el Forefront TMG y almacenar el reporte como la documentación que generen al finalizar el proyecto, de esta manera realizan una implementación prolija de la infraestructura.

Para bajar la planilla, pueden hacerlo desde aquí.

Aquellos que desean interiorizarse más sobre Forefront TMG, les recomiendo visitar el sitio de Technet, en donde podrán encontrar mucha información incluso en español. Para acceder directamente a Technet Forefront TMG, presione AQUI.

Hasta la próxima...

Actualizaciones plataforma Microsoft - FEBRERO 2010

2010-02-09T01:01:00.003-03:00

Cómo todos los segundos martes de cada mes, Microsoft lanzará una cantidad de actualizaciones correspondiente al mes de febrero. En esta oportunidad, se pondrán a disposición 13 boletines de seguridad. Cinco de ellos son de estado CRITICO y recomendamos verificar e implementar en vuestras plataformas. Dos de las actualizaciones que se publican este mes, una de ellas es para los productos MS Office XP SP3 y otra para la plataforma Power Point 2002 SP3, si no poseen dichos productos, pueden ignorar los mismos.

En cuanto a los S.O., se han tenido en cuenta los S.O Ms Windows 2000 y las versiones siguientes, por lo cual recomendamos aplicar a toda la infraestructura referida las actualizaciones.
Les sugerimos planificar su despligue en la empresa, ya que le será requerido reiniciar el S.O para que los cambios se tornen efectivos, siendo esto crítico en servidores en estado productivo y sobre todo en horarios donde hay mayor carga de trabajo.
Aquellos que quieran conocer más sobre las actualizaciones de febrero, les recomiendo asistir a este Webcast a realizarse el día 10 de febrero.

Por otro lado, para conocer la plataforma afectada y en que medida, pueden obtener más información en el siguiente LINK.

Como lo hacemos habitualmente, les recomendamos la implementacion de la plataforma WSUS para mantener actualizada su infraestructura y de manera automática.
Saludos...

IMPORTANTE: Alerta de Seguridad - Actualización de IIS

2010-01-22T15:22:00.003-03:00

Boletín de seguridad de Microsoft MS10-002 – Crítico
Actualización de seguridad acumulativa para Internet Explorer (978207)

Resumen ejecutivo
Esta actualización de seguridad resuelve siete vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario de Internet Explorer visita una página web especialmente diseñada. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Recomendación.
La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.

Utilice la versión más reciente del navegador, Internet Explorer versión 8, el cual provee la mitigación más efectiva al problema de seguridad reportado como “Boletín de Seguridad MS10-002” o alternativamente como “Ciberataque chino” o “Ataque a Google”.

Más información disponible en:

· Sitio e Seguridad de Microsoft: www.microsoft.com/latam/seguridad/default.mspx

· Blog de seguridad: http://blogs.technet.com/seguridad

Saludos