Amigos
El día 30 de noviembre es el día Internacional de la Seguridad de laInformación. Para conmemorar ese día, la UTN de Tucumán realiza el evento de Seguridad, Peritaje y Auditoría.
El evento se desarrollará de 14:30 a 21 hs en sesiones paralelas, siendo la agenda la siguiente:
1) Fraudes y extorsiones online.
2) Seguridad en MS Windows 2008R2 y Windows 7.
3) Software para el Análisis Forense.
4) Seguridad como apoyo en Proyectos TI.
5) Password Cracking práctico.
6) Seguridad de la Información: Mas allá de la Seguridad Informática.
7) Criminalística Informática – Caso practico: Redes Sociales.
8) Implementación de un SGSI según ISO 27001.
9) Principios de Auditoria de Sistemas - Casos prácticos.
10) Estado de la Jurisprudencia Nacional – Ley 26.388 de Delitos Informáticos - Pedofilia.
Para más información, acceder al sitio http://www.asep-it.com.ar.
Hasta la próxima.
Punto Net Tech
Servicios Corporativos de Ciberseguridad - IT - Desarrollo - IA - DBA
sábado, 20 de noviembre de 2010
jueves, 11 de noviembre de 2010
Actualizaciones plataforma Microsoft - NOVIEMBRE 2010
Este mes, solo han sido publicado tres boletines de seguridad, ellos son:
1) MS10-087: Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2423930). Afecta a Ms Office y su clasificación es crítico.
2) MS10-088: Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (2293386). El mismo es clasificado como importante.
3) MS10-089: Vulnerabilidades en Forefront Unified Access Gateway (UAG) podrían permitir la elevación de privilegios (2316074), que afecta a esta plataforma y el mismo ha sido clasificado como importante.
Para mas información sobre el boletín de este mes, los invitamos a visitar este sitio.
Hasta la próxima.
Saludos
Quique
1) MS10-087: Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (2423930). Afecta a Ms Office y su clasificación es crítico.
2) MS10-088: Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (2293386). El mismo es clasificado como importante.
3) MS10-089: Vulnerabilidades en Forefront Unified Access Gateway (UAG) podrían permitir la elevación de privilegios (2316074), que afecta a esta plataforma y el mismo ha sido clasificado como importante.
Para mas información sobre el boletín de este mes, los invitamos a visitar este sitio.
Hasta la próxima.
Saludos
Quique
Seguridad en Internet Explorer 9
Amigos:
Los invito al presente Webcast en donde analizaremos las mejoras que posee el Internet Explorer 9. Las mismas evitan que seamos víctimas de intrusión y robo de datos.
Para registrarse, visitar este sitio
Los espero...
Saludos
Quique
Los invito al presente Webcast en donde analizaremos las mejoras que posee el Internet Explorer 9. Las mismas evitan que seamos víctimas de intrusión y robo de datos.
Para registrarse, visitar este sitio
Los espero...
Saludos
Quique
martes, 12 de octubre de 2010
Actualizaciones plataforma Microsoft - OCTUBRE 2010
Estimados...
En el día de hoy, Microsoft ha publicado los boletines de seguridad. Los mismos son:
CRITICOS:
Se recomienda su instalación, tenga en cuenta que requieren reinicio una vez implementados.
- MS10-071: Cumulative Security Update for Internet Explorer (2360131) : Afecta Internet Explorer 6, 7 y 8. el mismo reemplaza al boletín MS10-053. Evita la ejecución de un código remoto.
- MS10-075: Vulnerability in Media Player Network Sharing Service Could Allow Remote Code Execution (2281679): Evita la ejecución remota, solo afecta a Ms Windows 7 y Vista SP1 y SP2.
- MS10-076: Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (982132): Afecta a XP, Windows Vista, Windows 7, Windows 2008 y Windows 2008 R2. Esta actualización de seguridad resuelve una vulnerabilidad en un componente de Microsoft Windows Embedded OpenType (EOT) Font Engine. La vulnerabilidad podría permitir la ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado de forma remota.
- MS10-077: Vulnerability in .NET Framework Could Allow Remote Code Execution (2160841): Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft. NET Framework. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un navegador Web que puede ejecutar las aplicaciones del explorador XAML (XBAPs).
IMPORTANTE:
Son de menor importancia, pero su implementación es vital para mantener la plataforma segura.
- MS10-072 : Vulnerabilities in SafeHTML Could Allow Information Disclosure (2412048): Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente y una vulnerabilidad reportada de manera privada en Microsoft SharePoint y Windows SharePoint Services. Las vulnerabilidades podrían permitir la divulgación de información si un atacante envía especialmente diseñado secuencia de comandos a un sitio de destino mediante SafeHTML.
- MS10-073: Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (981957): Esta actualización de seguridad resuelve varias vulnerabilidades de forma pública en los controladores de modo kernel de Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante se conecta a un sistema afectado y se ejecuta una aplicación especialmente diseñada. Un atacante debe tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local para aprovechar esta vulnerabilidad. La vulnerabilidad no puede ser explotada de forma remota o por usuarios anónimos.
- MS10-078: Vulnerabilities in the OpenType Font (OTF) Format Driver Could Allow Elevation of Privilege (2279986): Esta actualización de seguridad resuelve dos vulnerabilidades en el controlador de Windows formato OpenType Font (OTF). Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no se ven afectados por la vulnerabilidad.
- MS10-079: Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2293194):Esta actualización de seguridad resuelve once vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado por Word. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-080: Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2293211): Esta actualización de seguridad resuelve trece vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado de Excel o un archivo especialmente diseñado de Lotus 1-2-3. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-081: Vulnerability in Windows Common Control Library Could Allow Remote Code Execution (2296011): Esta actualización de seguridad resuelve una vulnerabilidad en la biblioteca de controles comunes de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante que aprovechara esta vulnerabilidad podría lograr el control completo del sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-082: Vulnerability in Windows Media Player Could Allow Remote Code Execution (2378111): Esta actualización de seguridad resuelve una vulnerabilidad en Windows Media Player. La vulnerabilidad podría permitir la ejecución remota de código si Windows Media Player abierto especialmente diseñado contenido multimedia alojado en un sitio Web malintencionado. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-083: Vulnerability in COM Validation in Windows Shell and WordPad Could Allow Remote Code Execution (2405882): Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado utilizando WordPad o selecciona o abre un archivo de acceso directo que está en una red o compartir WebDAV. Un atacante que aprovechará esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-084: Vulnerability in Windows Local Procedure Call Could Cause Elevation of Privilege (2360937): Esta actualización de seguridad resuelve una vulnerabilidad de forma pública en Microsoft Windows. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no se ven afectados por la vulnerabilidad.
- MS10-085: Vulnerability in SChannel Could Allow Denial of Service (2207566): Esta actualización de seguridad resuelve una vulnerabilidad en el paquete de seguridad de canal seguro (SChannel) en Windows. La vulnerabilidad podría permitir la denegación de servicio si un afectado de Internet Information Services (IIS) tendrá lugar un Secure Sockets Layer (SSL) habilitado para el sitio web recibió un mensaje paquete especialmente diseñado. De forma predeterminada, IIS no está configurado para alojar sitios Web SSL.
MODERADO
- MS10-074: Vulnerability in Microsoft Foundation Classes Could Allow Remote Code Execution (2387149): Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en el Microsoft Foundation Class (MFC) de la Biblioteca. La vulnerabilidad podría permitir la ejecución remota de código si un usuario inicia sesión con derechos de usuario administrativos y se abre una aplicación creada con la biblioteca MFC. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que el que actualmente ha iniciado la sesión del usuario. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría tomar el control completo del sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-086 : Vulnerability in Windows Shared Cluster Disks Could Allow Tampering (2294255): Esta actualización de seguridad resuelve una vulnerabilidad en Windows Server 2008 R2 en su uso como un clúster de conmutación por error compartido. La vulnerabilidad podría permitir la manipulación de datos sobre las acciones administrativas de los discos del clúster de conmutación por error. De forma predeterminada, Windows Server 2008 R2 servidores no se ven afectados por esta vulnerabilidad. Esta vulnerabilidad sólo se aplica a los discos de racimo utilizadas en un clúster de conmutación por error.
Les recomiendo asistir el Webcast sobre la actualización de este mes. Para registrarse hacer click AQUI.
Hasta la próxima.
En el día de hoy, Microsoft ha publicado los boletines de seguridad. Los mismos son:
CRITICOS:
Se recomienda su instalación, tenga en cuenta que requieren reinicio una vez implementados.
- MS10-071: Cumulative Security Update for Internet Explorer (2360131) : Afecta Internet Explorer 6, 7 y 8. el mismo reemplaza al boletín MS10-053. Evita la ejecución de un código remoto.
- MS10-075: Vulnerability in Media Player Network Sharing Service Could Allow Remote Code Execution (2281679): Evita la ejecución remota, solo afecta a Ms Windows 7 y Vista SP1 y SP2.
- MS10-076: Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (982132): Afecta a XP, Windows Vista, Windows 7, Windows 2008 y Windows 2008 R2. Esta actualización de seguridad resuelve una vulnerabilidad en un componente de Microsoft Windows Embedded OpenType (EOT) Font Engine. La vulnerabilidad podría permitir la ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado de forma remota.
- MS10-077: Vulnerability in .NET Framework Could Allow Remote Code Execution (2160841): Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft. NET Framework. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un navegador Web que puede ejecutar las aplicaciones del explorador XAML (XBAPs).
IMPORTANTE:
Son de menor importancia, pero su implementación es vital para mantener la plataforma segura.
- MS10-072 : Vulnerabilities in SafeHTML Could Allow Information Disclosure (2412048): Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente y una vulnerabilidad reportada de manera privada en Microsoft SharePoint y Windows SharePoint Services. Las vulnerabilidades podrían permitir la divulgación de información si un atacante envía especialmente diseñado secuencia de comandos a un sitio de destino mediante SafeHTML.
- MS10-073: Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (981957): Esta actualización de seguridad resuelve varias vulnerabilidades de forma pública en los controladores de modo kernel de Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante se conecta a un sistema afectado y se ejecuta una aplicación especialmente diseñada. Un atacante debe tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local para aprovechar esta vulnerabilidad. La vulnerabilidad no puede ser explotada de forma remota o por usuarios anónimos.
- MS10-078: Vulnerabilities in the OpenType Font (OTF) Format Driver Could Allow Elevation of Privilege (2279986): Esta actualización de seguridad resuelve dos vulnerabilidades en el controlador de Windows formato OpenType Font (OTF). Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no se ven afectados por la vulnerabilidad.
- MS10-079: Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2293194):Esta actualización de seguridad resuelve once vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado por Word. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-080: Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2293211): Esta actualización de seguridad resuelve trece vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado de Excel o un archivo especialmente diseñado de Lotus 1-2-3. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-081: Vulnerability in Windows Common Control Library Could Allow Remote Code Execution (2296011): Esta actualización de seguridad resuelve una vulnerabilidad en la biblioteca de controles comunes de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante que aprovechara esta vulnerabilidad podría lograr el control completo del sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-082: Vulnerability in Windows Media Player Could Allow Remote Code Execution (2378111): Esta actualización de seguridad resuelve una vulnerabilidad en Windows Media Player. La vulnerabilidad podría permitir la ejecución remota de código si Windows Media Player abierto especialmente diseñado contenido multimedia alojado en un sitio Web malintencionado. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-083: Vulnerability in COM Validation in Windows Shell and WordPad Could Allow Remote Code Execution (2405882): Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado utilizando WordPad o selecciona o abre un archivo de acceso directo que está en una red o compartir WebDAV. Un atacante que aprovechará esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-084: Vulnerability in Windows Local Procedure Call Could Cause Elevation of Privilege (2360937): Esta actualización de seguridad resuelve una vulnerabilidad de forma pública en Microsoft Windows. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no se ven afectados por la vulnerabilidad.
- MS10-085: Vulnerability in SChannel Could Allow Denial of Service (2207566): Esta actualización de seguridad resuelve una vulnerabilidad en el paquete de seguridad de canal seguro (SChannel) en Windows. La vulnerabilidad podría permitir la denegación de servicio si un afectado de Internet Information Services (IIS) tendrá lugar un Secure Sockets Layer (SSL) habilitado para el sitio web recibió un mensaje paquete especialmente diseñado. De forma predeterminada, IIS no está configurado para alojar sitios Web SSL.
MODERADO
- MS10-074: Vulnerability in Microsoft Foundation Classes Could Allow Remote Code Execution (2387149): Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en el Microsoft Foundation Class (MFC) de la Biblioteca. La vulnerabilidad podría permitir la ejecución remota de código si un usuario inicia sesión con derechos de usuario administrativos y se abre una aplicación creada con la biblioteca MFC. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que el que actualmente ha iniciado la sesión del usuario. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría tomar el control completo del sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- MS10-086 : Vulnerability in Windows Shared Cluster Disks Could Allow Tampering (2294255): Esta actualización de seguridad resuelve una vulnerabilidad en Windows Server 2008 R2 en su uso como un clúster de conmutación por error compartido. La vulnerabilidad podría permitir la manipulación de datos sobre las acciones administrativas de los discos del clúster de conmutación por error. De forma predeterminada, Windows Server 2008 R2 servidores no se ven afectados por esta vulnerabilidad. Esta vulnerabilidad sólo se aplica a los discos de racimo utilizadas en un clúster de conmutación por error.
Les recomiendo asistir el Webcast sobre la actualización de este mes. Para registrarse hacer click AQUI.
Hasta la próxima.
sábado, 9 de octubre de 2010
Stuxnet el terror de los SCADA
En estos días se está hablando mucho sobre el malware STUXNET y sobre todo como afecta a los SCADA. Para entender mejor la problemática, vamos analizar que hace dicho malware.
1) ¿Qué es una SCADA?
SCADA es el acrónimo de Supervisión, Control y Adquisición de Datos (Supervisory Control And Data Acquisition). Esto es un sistema basado en computadoras que permite monitorear y controlar a distancia una instalación de cualquier índole. A diferencia de otros dispositivos que son administrados o manipulados por un operador, el SCADA se caracteriza por automatizar muchas de las tareas sin intervención del operador, es decir de forma automática. Si bien hay muchas implementaciones de estas soluciones, siempre hay un operador verificando su funcionamiento. Si navegan por Internet, van a encontrar que los SCADA tambien se los denomina los "Vigilantes de Procesos".
Este tipo de plataforma no son una novedad, más bien han ido evolucionando con el correr de los años. Revisando un poco la historia vamos a encontrar que una de las mayores implementaciones realizadas en el mundo fue en 1999, cuando se puso en marcha el proyecto de ampliación de las minas Olympic Dam en Australia, en donde la plataforma Citect corría bajo plataforma MS Windows NT. 4.0.
2) ¿STUXNET?
Este código malicioso clasificado como GUSANO INFORMATICO, afecta a equipos Ms Windows. Fue descubierto por VirusBlokAda en junio del 2010, y es un gusano catalogado como espía con capacidades de reprogramar soluciones industriales como los SCADA. Este gusano es capaz de reprogramar los controladores lógicos programables y enmascarar esos cambios para que no sea detectado. Su objetivo son sistemas de SCADA y WinCC/PCS 7 de Siemens.
Si el gusano aprovecha la vulnerabilidad de un dispositivo, puede lograr la interrupción del proceso de negocios.
3) ¿Cómo ataca los S.O. Ms Windows?
Lo que hace STUXNET es aprovechar cuatro vulnerabilidades del día cero (son vulnerabilidades que alguien ha detectado y aún el fabricante no ha logrado resolver). También aprovecha la vulnerabilidad utilizada por el gusano Conficker, si el S.O. aún no ha sido parchado.
4) Metodo de propagación
Preferiblemente mediante el transporte de información utilizando dispositivos USB de los equipos conectados a la red. El acceso de los dispositivos lo hace probando las contraseñas denominadas predeterminadas (default) o conocidas.
5) Objetivo
A diferencia de otros gusanos, que normalmente se difunden en la red infectando los recursos informáticos y provocando bloqueos, envíos de correo basura o molestar en el uso de los recursos de IT, el STUXNET usa una metodología de ataque en la cual ha sido denominado como software de SABOTAJE. Esta clasificación se la otorgado en base en donde a aparecido (IRAN), instalaciones en donde se ha descubierto el gusano (Centrales nucleares o Industrias), la plataforma que afecta (SCADA o WinCC/PCS 7 de Siemens) y la conformación del código, ya que está lejos de ser un software realizado por algún estudiante universitario (Para afectar los SCADA se requiere de ciertos conocimientos profesionales como también de los procesos industriales).
6)Protección
Las actualizaciones y políticas de seguridad son importantes para proteger las redes industriales. Microsoft en el mes de septiembre publicó el boletín MS10-061, en donde el gusano estaba explotando la vulnerabilidad en Print Spooler. En el mes de octubre (el día 12/10) se lanzarán nuevas actualizaciones con el fin de proteger más aún la plataforma.
Las recomendaciones para evitar que la red industrial sea afectada por este gusano son:
1) Firewall: los dispositivos deben contar con un firewall.
2) Actualizaciones: verificar la publicación de las actualizaciones y aplicarlas.
3) Contraseñas: si se han aplicado contraseñas predeterminadas, cambiarlas y documentarlas.
4) USB: bloquear los accesos USB y mediante una politica organizacional prohibir su uso sobre equipos industriales. El traslado de algún tipo de información utilizando los puertos USB, deben ser verificado con algún procedimiento formal.
5) Antivirus: de ser posible implementar una solución de antivirus con la capacidad de detectar los gusanos.
6) VLAN: mantener la red industrial separada por VLAN o segmentación física de la red administrativa o la que normalmente realizan las operaciones los usuarios.
7) Shared folder: evitar las carpetas compartidas sobre los equipos industriales. El gusano tiende a buscar la carpeta ADMIN$, si bien seria deseable desactivarlo, hay soluciones de antivirus u otros productos que requieren de esta carpeta compartida para administrarse.
8) Accesos directos: Evitar accesos directos sobre el equipo industrial, ya que una de las metodologías es verificar los archivos .LNK.
A su vez Siemens ha puesto a disposición una herramienta de detección del gusano.
Para contar con mas información de este gusano, les recomiendo el dossier publicado por Symantec, podrán bajarlo desde AQUI.
Les recomendamos mantenerse actualizado con las novedades, ya que al momento de la redacción de este artículo, ha sido detectado una nueva variante.
Por último les recomiendo este sitio para recolectar más informacion sobre el gusano:
http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWinNT%2FStuxnet.B
Fuente: Symantec y Microsoft.
Hasta la próxima.
1) ¿Qué es una SCADA?
SCADA es el acrónimo de Supervisión, Control y Adquisición de Datos (Supervisory Control And Data Acquisition). Esto es un sistema basado en computadoras que permite monitorear y controlar a distancia una instalación de cualquier índole. A diferencia de otros dispositivos que son administrados o manipulados por un operador, el SCADA se caracteriza por automatizar muchas de las tareas sin intervención del operador, es decir de forma automática. Si bien hay muchas implementaciones de estas soluciones, siempre hay un operador verificando su funcionamiento. Si navegan por Internet, van a encontrar que los SCADA tambien se los denomina los "Vigilantes de Procesos".
Este tipo de plataforma no son una novedad, más bien han ido evolucionando con el correr de los años. Revisando un poco la historia vamos a encontrar que una de las mayores implementaciones realizadas en el mundo fue en 1999, cuando se puso en marcha el proyecto de ampliación de las minas Olympic Dam en Australia, en donde la plataforma Citect corría bajo plataforma MS Windows NT. 4.0.
2) ¿STUXNET?
Este código malicioso clasificado como GUSANO INFORMATICO, afecta a equipos Ms Windows. Fue descubierto por VirusBlokAda en junio del 2010, y es un gusano catalogado como espía con capacidades de reprogramar soluciones industriales como los SCADA. Este gusano es capaz de reprogramar los controladores lógicos programables y enmascarar esos cambios para que no sea detectado. Su objetivo son sistemas de SCADA y WinCC/PCS 7 de Siemens.
Si el gusano aprovecha la vulnerabilidad de un dispositivo, puede lograr la interrupción del proceso de negocios.
3) ¿Cómo ataca los S.O. Ms Windows?
Lo que hace STUXNET es aprovechar cuatro vulnerabilidades del día cero (son vulnerabilidades que alguien ha detectado y aún el fabricante no ha logrado resolver). También aprovecha la vulnerabilidad utilizada por el gusano Conficker, si el S.O. aún no ha sido parchado.
4) Metodo de propagación
Preferiblemente mediante el transporte de información utilizando dispositivos USB de los equipos conectados a la red. El acceso de los dispositivos lo hace probando las contraseñas denominadas predeterminadas (default) o conocidas.
5) Objetivo
A diferencia de otros gusanos, que normalmente se difunden en la red infectando los recursos informáticos y provocando bloqueos, envíos de correo basura o molestar en el uso de los recursos de IT, el STUXNET usa una metodología de ataque en la cual ha sido denominado como software de SABOTAJE. Esta clasificación se la otorgado en base en donde a aparecido (IRAN), instalaciones en donde se ha descubierto el gusano (Centrales nucleares o Industrias), la plataforma que afecta (SCADA o WinCC/PCS 7 de Siemens) y la conformación del código, ya que está lejos de ser un software realizado por algún estudiante universitario (Para afectar los SCADA se requiere de ciertos conocimientos profesionales como también de los procesos industriales).
6)Protección
Las actualizaciones y políticas de seguridad son importantes para proteger las redes industriales. Microsoft en el mes de septiembre publicó el boletín MS10-061, en donde el gusano estaba explotando la vulnerabilidad en Print Spooler. En el mes de octubre (el día 12/10) se lanzarán nuevas actualizaciones con el fin de proteger más aún la plataforma.
Las recomendaciones para evitar que la red industrial sea afectada por este gusano son:
1) Firewall: los dispositivos deben contar con un firewall.
2) Actualizaciones: verificar la publicación de las actualizaciones y aplicarlas.
3) Contraseñas: si se han aplicado contraseñas predeterminadas, cambiarlas y documentarlas.
4) USB: bloquear los accesos USB y mediante una politica organizacional prohibir su uso sobre equipos industriales. El traslado de algún tipo de información utilizando los puertos USB, deben ser verificado con algún procedimiento formal.
5) Antivirus: de ser posible implementar una solución de antivirus con la capacidad de detectar los gusanos.
6) VLAN: mantener la red industrial separada por VLAN o segmentación física de la red administrativa o la que normalmente realizan las operaciones los usuarios.
7) Shared folder: evitar las carpetas compartidas sobre los equipos industriales. El gusano tiende a buscar la carpeta ADMIN$, si bien seria deseable desactivarlo, hay soluciones de antivirus u otros productos que requieren de esta carpeta compartida para administrarse.
8) Accesos directos: Evitar accesos directos sobre el equipo industrial, ya que una de las metodologías es verificar los archivos .LNK.
A su vez Siemens ha puesto a disposición una herramienta de detección del gusano.
Para contar con mas información de este gusano, les recomiendo el dossier publicado por Symantec, podrán bajarlo desde AQUI.
Les recomendamos mantenerse actualizado con las novedades, ya que al momento de la redacción de este artículo, ha sido detectado una nueva variante.
Por último les recomiendo este sitio para recolectar más informacion sobre el gusano:
http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWinNT%2FStuxnet.B
Fuente: Symantec y Microsoft.
Hasta la próxima.
Actualizaciones plataforma Microsoft - SEPTIEMBRE 2010
Amigos, como es costumbre el segundo martes de cada mes sale el boletín con las actualizaciones de Microsoft. El mes pasado tuvimos un boletín extra con una actualización fuera de fecha.
En Septiembre tenemos la publicación de actualizaciones que protegen 11 vulnerabilidades de la plataforma Microsoft. Los boletines son:
- MS10-061: Una vulnerabilidad en el servicio de administrador de trabajos de impresión podría permitir la ejecución remota de código (2347290. Este boletín está clasificado como CRITICO y una vez aplicado la actualización, requiere de reinicio.
- MS10-062:Una vulnerabilidad en el códec MPEG-4 podría permitir la ejecución remota de (975558).Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.
- MS10-063:Una vulnerabilidad en el procesador de scripts Unicode podría permitir la ejecución remota de código (2320113).Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.
- MS10-064:Una vulnerabilidad en Microsoft Outlook podría permitir la ejecución remota de código (2315011). Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.
- MS10-065:Vulnerabilidades en Microsoft Internet Information Services (IIS) podrían permitir la ejecución remota de código (2267960).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.
- MS10-066: Una vulnerabilidad en la llamada a procedimiento remoto podría permitir la ejecución remota de código (982802).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.
- MS10-067:Una vulnerabilidad en los convertidores de texto de WordPad podría permitir la ejecución remota de código (2259922).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.
- MS10-068 : Una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la elevación de privilegios (983539).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.
- MS10-069:Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2121546).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.
- MS10-070 :Una vulnerabilidad en ASP.NET podría permitir la divulgación de información (2418042). Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.
Por otro lado, si Ustedes desean acceder a las actualizaciones anteriores, puede visitar el siguiente sitio WEB, click AQUI, y podrá bajar las actualizaciones requeridas.
Les sugerimos mantener la plataforma actualizada, recordando que los pilares básicos para mantener una plataforma segura son:
1) Firewall activo en cada recurso conectado a la red.
2) Antivirus instalado y actualizado en cada recurso de la red.
3) Actualizaciones de los productos instalados en los recursos, manteniendo los mismos al día.
Si Usted observa que le lleva mucho tiempo actualizar la plataforma po rno contar con una solución automatizada, puede optar por la solución de WSUS que le permtirá reducir los tiempos de despliegue y le permitirá tener en tiempo real un informe del estado de actualización d ela plataforma.
Saludos y hasta la próxima.
Quique
En Septiembre tenemos la publicación de actualizaciones que protegen 11 vulnerabilidades de la plataforma Microsoft. Los boletines son:
- MS10-061: Una vulnerabilidad en el servicio de administrador de trabajos de impresión podría permitir la ejecución remota de código (2347290. Este boletín está clasificado como CRITICO y una vez aplicado la actualización, requiere de reinicio.
- MS10-062:Una vulnerabilidad en el códec MPEG-4 podría permitir la ejecución remota de (975558).Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.
- MS10-063:Una vulnerabilidad en el procesador de scripts Unicode podría permitir la ejecución remota de código (2320113).Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.
- MS10-064:Una vulnerabilidad en Microsoft Outlook podría permitir la ejecución remota de código (2315011). Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.
- MS10-065:Vulnerabilidades en Microsoft Internet Information Services (IIS) podrían permitir la ejecución remota de código (2267960).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.
- MS10-066: Una vulnerabilidad en la llamada a procedimiento remoto podría permitir la ejecución remota de código (982802).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.
- MS10-067:Una vulnerabilidad en los convertidores de texto de WordPad podría permitir la ejecución remota de código (2259922).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.
- MS10-068 : Una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la elevación de privilegios (983539).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.
- MS10-069:Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2121546).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.
- MS10-070 :Una vulnerabilidad en ASP.NET podría permitir la divulgación de información (2418042). Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.
Por otro lado, si Ustedes desean acceder a las actualizaciones anteriores, puede visitar el siguiente sitio WEB, click AQUI, y podrá bajar las actualizaciones requeridas.
Les sugerimos mantener la plataforma actualizada, recordando que los pilares básicos para mantener una plataforma segura son:
1) Firewall activo en cada recurso conectado a la red.
2) Antivirus instalado y actualizado en cada recurso de la red.
3) Actualizaciones de los productos instalados en los recursos, manteniendo los mismos al día.
Si Usted observa que le lleva mucho tiempo actualizar la plataforma po rno contar con una solución automatizada, puede optar por la solución de WSUS que le permtirá reducir los tiempos de despliegue y le permitirá tener en tiempo real un informe del estado de actualización d ela plataforma.
Saludos y hasta la próxima.
Quique
jueves, 5 de agosto de 2010
Actualización fuera de fecha - URGENTE - Actualización de seguridad
Una vulnerabilidad en el shell de Windows podría permitir la ejecución remota de código (2286198)
Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en el shell de Windows. La vulnerabilidad podría permitir la ejecución remota de código si se muestra el icono de un acceso directo especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
Según CVE, reporta:
Windows Shell in Microsoft Windows XP SP3, Server 2003 SP2, Vista SP1 and SP2, Server 2008 SP2 and R2, and Windows 7 allows local users or remote attackers to execute arbitrary code via a crafted (1) .LNK or (2) .PIF shortcut file, which is not properly handled during icon display in Windows Explorer, as demonstrated in the wild in July 2010, and originally reported for malware that leverages CVE-2010-2772 in Siemens WinCC SCADA systems.
Clasificación: CRITICA
Requisito: Requiere reinicio.
Actualización de MS, bajarlas desde aquí.
Fuente:Microsoft, CVE.
Saludos...
Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en el shell de Windows. La vulnerabilidad podría permitir la ejecución remota de código si se muestra el icono de un acceso directo especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
Según CVE, reporta:
Windows Shell in Microsoft Windows XP SP3, Server 2003 SP2, Vista SP1 and SP2, Server 2008 SP2 and R2, and Windows 7 allows local users or remote attackers to execute arbitrary code via a crafted (1) .LNK or (2) .PIF shortcut file, which is not properly handled during icon display in Windows Explorer, as demonstrated in the wild in July 2010, and originally reported for malware that leverages CVE-2010-2772 in Siemens WinCC SCADA systems.
Clasificación: CRITICA
Requisito: Requiere reinicio.
Actualización de MS, bajarlas desde aquí.
Fuente:Microsoft, CVE.
Saludos...
viernes, 30 de julio de 2010
Actualizaciones plataforma Microsoft - JULIO 2010
Estimados
De nuevo por acá, disculpen el atraso de la actualización del blog. No quiero dejar de recomendarles las actualizaciones mensuales que publica Microsoft, por lo cual, les comento que fué publicado en el mes de Julio.
El boletín publicado el 14 de Julio por Microsoft contempla:
1) 4 boletines con actualizaciones, siendo ellas 3 críticas y una importante.
2) El boletín MS10-042 y el MS10-043 aplica a S.O. Recuerden tener los mismos actualizados para evitar infecciones y problemas de seguridad de las plataformas.
3) Los boletines proveen seguridad ante la ejecución de un código remoto.
Por otro lado, verifiquen los SP que poseen sus S.O, recuerden que deben tener al último vigente aplicado, por dos motivos, lograr proteger la plataforma y para contar con el soporte de MS si fuera requerido. Este mes han vencido los soportes para Ms Windows 2000 Prof., XP SP1 y Vista RTM.
Saludos
Quique
De nuevo por acá, disculpen el atraso de la actualización del blog. No quiero dejar de recomendarles las actualizaciones mensuales que publica Microsoft, por lo cual, les comento que fué publicado en el mes de Julio.
El boletín publicado el 14 de Julio por Microsoft contempla:
1) 4 boletines con actualizaciones, siendo ellas 3 críticas y una importante.
2) El boletín MS10-042 y el MS10-043 aplica a S.O. Recuerden tener los mismos actualizados para evitar infecciones y problemas de seguridad de las plataformas.
3) Los boletines proveen seguridad ante la ejecución de un código remoto.
Por otro lado, verifiquen los SP que poseen sus S.O, recuerden que deben tener al último vigente aplicado, por dos motivos, lograr proteger la plataforma y para contar con el soporte de MS si fuera requerido. Este mes han vencido los soportes para Ms Windows 2000 Prof., XP SP1 y Vista RTM.
Saludos
Quique
miércoles, 23 de junio de 2010
Comprobador de Contraseña
Amigos
Siempre que podemos, intentamos utilizar contraseñas que protejan nuestros accesos a sitios Web y acceso de datos. La duda está, en que tan buena es la contraseña que estamos utilizando,sobre todo si es una contraseña dificil de detectar o sacar mediante la técnica de fuerza bruta.
Si bien existe herramientas que generan contraseñas complejas, no suelen utilizarse, por que son complejas combinaciones de letras y números que seguramente terminan olvidando o anotando en algún lugar para recordarlo.
Recordemos
1) No utilizar parte de nuestros datos en la contraseña (nombre, telefono, documento, patente del auto, nombre de nuestros hijos, etc).
2) Que al menos tenga 8 digitos de longitud.
3) Combinar mayúsculas y minúsculas en la contraseña.
4) No anotar la misma en algún registro, por si nos olvidamos.
Microsoft, en su sitio web ha dispuesto de un verificador de fortaleza de la contraseña. Para acceder, visite ESTE sitio. Esta herramienta permitirá verificar la contraseña que Usted elije y a medida que la escribe le dirá si la misma es fuerte o no.
Saludos
Quique
Siempre que podemos, intentamos utilizar contraseñas que protejan nuestros accesos a sitios Web y acceso de datos. La duda está, en que tan buena es la contraseña que estamos utilizando,sobre todo si es una contraseña dificil de detectar o sacar mediante la técnica de fuerza bruta.
Si bien existe herramientas que generan contraseñas complejas, no suelen utilizarse, por que son complejas combinaciones de letras y números que seguramente terminan olvidando o anotando en algún lugar para recordarlo.
Recordemos
1) No utilizar parte de nuestros datos en la contraseña (nombre, telefono, documento, patente del auto, nombre de nuestros hijos, etc).
2) Que al menos tenga 8 digitos de longitud.
3) Combinar mayúsculas y minúsculas en la contraseña.
4) No anotar la misma en algún registro, por si nos olvidamos.
Microsoft, en su sitio web ha dispuesto de un verificador de fortaleza de la contraseña. Para acceder, visite ESTE sitio. Esta herramienta permitirá verificar la contraseña que Usted elije y a medida que la escribe le dirá si la misma es fuerte o no.
Saludos
Quique
domingo, 6 de junio de 2010
Actualizaciones plataforma Microsoft - JUNIO 2010
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan diez boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office. Este mes Microsoft prevé publicar diez el próximo 8 de junio.
Tres se consideran críticos (ejecución remota de código) y el resto importantes (elevación de privilegios o falsificación).
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool.
Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
También corregirá un fallo reconocido en febrero por Microsoft (que previamente se había hecho público en la conferencia Black Hat DC 2010) en Internet Explorer. Existe un error de comprobación de permisos cuando se usa el protocolo "file:" que podría ser aprovechado por un atacante remoto para obtener datos del sistema a través de una pagina web especialmente manipulada.
FUENTE Hispasec.
Hasta la próxima.
Tres se consideran críticos (ejecución remota de código) y el resto importantes (elevación de privilegios o falsificación).
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool.
Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
También corregirá un fallo reconocido en febrero por Microsoft (que previamente se había hecho público en la conferencia Black Hat DC 2010) en Internet Explorer. Existe un error de comprobación de permisos cuando se usa el protocolo "file:" que podría ser aprovechado por un atacante remoto para obtener datos del sistema a través de una pagina web especialmente manipulada.
FUENTE Hispasec.
Hasta la próxima.
Suscribirse a:
Entradas (Atom)