Antes que nada, quisiera agradecerles a todos nuestros seguidores, lectores y amigos por su confianza al seguirnos, por sus comentarios y el apoyo necesario para mantener esta plataforma de información por este tiempo.
En esta oportunidad les informamos que debido al éxito obtenido en nuestro blog y, una restructuración de nuestros objetivos, hemos decido hacer unos cambios en el mismo.
El primer cambio es el nombre, de ahora en adelante podrán conseguir nuestras noticias en el nuevo blog Maestresconsulting.blogspot.com, ya está en línea y tiene todas nuestras noticias anteriores, en el caso que requieran leer alguna información de otros días.
Otro cambio importante, por sugerencia de muchos de nuestros lectores, es la integración de nuevos temas de tecnología en nuestro blog, como ustedes se abran dado cuenta, la información del blog estaba dirigida solo a seguridad tecnológica, de ahora en adelante podrán disfrutar de otras noticias como eventos, lanzamiento de productos, innovación, etc., aunque manteniendo siempre nuestro norte de la seguridad tecnológica.
El diseño del blog también sufrió algunos cambios, aunque todavía no es definitivo, valoramos sus sugerencias.
Por último y no menos importante, hemos ampliado nuestra lista de colaboradores, de ahora en adelante tendremos nuevos autores en las noticias, de manera que nuestros lectores se beneficiaran de otros puntos de vista respecto a las noticias.
Para terminar quisiera una vez más agradecerles por su apoyo esperando que este nuevo año sea un año de logros y muchos éxitos.
En el último año he presenciado muchas discusiones acerca de las amenazas reales que los malware sugieren a la platafoma Mac. Por un lado creo que el tema es hasta emotivo por parte de los usuarios Mac y, por el otro lado existen fuertes puntos de vista a favor y en contra.
Para aportar algo a estas conversaciones, aquí les dejo una corta visión general de algunos malwares que han afectado computadoras Apple. Desde los 80´s, hasta ahora.
1982
El primer virus que afectó a los computadores Apple, no fue escrito realmente para Macintosh ya que estas computadoras empezaron a aparecer en 1984, se adelantó 2 años.
En 1982, un estudiante de 15 llamado Rich Skrenta escribió el virus Elk Cloner, capaz de infectar el sector de aranque (boot sector) de las computadoras Apple II.
En los siguientes 50 inicios del computador, el virus Elk Cloner desplegaba un poema:
Elk Cloner: The program with a personality
It will get on all your disks It will infiltrate your chips Yes, it's Cloner!
It will stick to you like glue It will modify RAM too Send in the Cloner!
El Elk Cloner predijo los futuros virus para las Pc´s IBM.
1987
El virus nVir empezó a infectar Macs, distribuyéndose principalmente vía discos Floppy. El código de este virus fue publicado posteriormente, generando variantes. 1988
Virus HyperCard emergieron y podían ejecutarse en las versiones más nuevas del sistema operativo de Apple Mac. Un virus HyperCard mostraba el mensaje "Dukakis para Presidente" antes de autodestruirse.
1990
El virus MDEF infectó aplicaciones y archivos del sistema en las Mac.
1995
Microsoft vendió accidentalmente el primer Macro Virus para Word, Concept, en Cd-Rom. Este virus infectó tanto Pc´s como Macs. Miles de macro virus aparecieron, muchos de ellos afectando al Microsoft Office para Mac.
1996 Laroux, el primer virus de Excel fue liberado. Los usuarios Mac no fueron afectados sino hasta que se liberó la versión de Excel 98 para Mac.
1998
En Hong Kong aparece el AutoStart 9805, que se multiplicó rápidamente en las computadoras Mac vía medios removibles, usando la característica Autoplay del Cd-Rom de QuickTime 2.5+.
David Harley de Macvirus, menciona en algunas de sus noticias como el AutoStart se distribuía desde Asia al resto del mundo.
En ese mismo año, Sevendust, también conocido como 666, infectó aplicaciones en los computadores Mac.
Grandes cambios en la escena de los malware para Mac se estaban realizando, sin embargo, con el lanzamiento del Mac OS X, en ese momento un nuevo sistema operativo para mac con nuevas características de seguridad y, que evitaba la ejecución de virus viejos.
2004
El script Renepo intentó desabilitar la seguridad del Mac OS X, descargó herramientas de hacking y, otorgó a los criminales privilegios de administrador sobre el computador Mac.
Los hackers también escribieron un programa proof-of-concept llamado Amphimix que demostraba como un código ejecutable era disfrazado como un archivo Mp3 en la Mac.
2006 Leap-A, el primer virus para Mac OS X fue descubierto, se distribuía vía iChat.
El worm Inqtana apareció en acción.
Un virus llamado Macarena escrito en Xcode fue descubierto. Todos los archivos infectados contenían las frases "MachoMan - roy g biv"
y "26/10/06"
2007 La firma de seguridad y protección de datos Sophos, descubrió un macro worm multi-plataforma OpenOffice capaz de ejecutarse en computadoras Windows, Linux y Mac.
El worm BadBunny bajaba los virus de scripts en equipos Mac OS X y, mostraba una imagen JPEG de una persona vistiendo un traje de conejo.
También fue descubierto el primer malware financiero para Mac. Se desarrollaron ataques tanto para Windows como para Mac con las versiones del troyano OSX/RSPlug-A.
El troyano se mostraba como un codec que ayudaba a los usuarios a ver videos pornográficos, pero en realidad cambiaba las entradas del servidor DNS para direccionar a los usuarios desprevenidos a otros websites.
Otros scareware para Mac le siguieron al MacSweeper, incluyendo el Imunizator que pretendía encontrar problemas de privacidad en los Mac.
En Junio, el troyano OSX/Hovdy-A fue descubierto, este troyano podía robar los passwords de los usuarios Mac OS X, abrir el firewall para dar acceso a hackers y desabilitar características de seguridad. Troj/RKOSX-A fue descubierto, esta es una herramienta para Mac OSX que asiste a los hackers en la creación de troyanos de puerta trasera (backdoor), el cual puede darle a los hackers acceso y control sobre el computador Apple Mac.
En Noviembre, Sophos alertó del troyano Jahlav. Igual a otras campañas de malware, los cybercriminales crearon una página web falsa que contenía un video, cuando el usuario visitaba el sitio, desplegaba un mensaje donde se informaba que no se tenía el codec correcto instalado para ver el video, por supuesto el site le ofrecía al usuario un archivo .Exe si ejecutaba un sistema operativo Windows o un archivo DMG (Disk image) si el sistema operativo era Apple Mac.
Controversialmente, Apple sugiere a sus usuarios en una nota de soporte, correr un antivirus, pero luego del revuelo de los medios, esta nota fue eliminada del website.
2009 En Enero del 2009, los hackers comenzaron a distribuir el troyano
OSX/iWorkS-A vía BitTorrent dentro de versiones ilegales de la suite iWork 09 de Apple.
En el mismo mes una nueva variante del troyano fue distribuída en una versión ilegal de Adobe Photoshop CS4.
En Marzo, Sophos reportó la forma en que los hackers estaban plantando versiones del troyano RSPlug en websites, simulando un programa HDTV llamado MacCinema.
En Junio, SophosLabs descubrió una nueva versión del email worm Tored para Mac OS X y, los hackers plantaron una versión del troyano para Mac Jahlav en un website que simulaba un portal para videos pornográficos.
Poco después, la cuenta de Twitter de Guy Kawasaki posteo un link malicioso, recomendando ver un video sexual de la actriz Leighton Meester. En realidad el link contenía un malware que infectaba a las computadoras Mac.
Mientras pasaba todo esto, Apple finalmente empezó a introducir cierta protección rudimentaria en su sistema operativo Mac OS X.
Aunque esta protección no fuera equivalente a un verdadero producto de antivirus (esta solo protegió de unas cuantas familias de malware Mac, no te defendía si tu tratabas de copiar un archivo infectado desde un pendrive por ejemplo y, no ofrecía forma de limpiarlos), era bien visto que Apple hiciera intentos por ofrecer mayor protección a sus usuarios. 2010
El troyano OSX/Pinhead, también conocido como HellRTS emergió. Este malware puede permitir a los hackers obtener el control remoto de su iMac o MacBook.
Una vez más, el malware fue distribuído a través de una aplicación aparentemente legítima, en este caso iPhoto, la aplicación de fotos vendida con los Macs modernos.
Más recientemente, el worm cross-platform Boonana apareció, usando un complemento Java para atacar no solo las computadoras con sistema operativo Windows sino también Mac OS X y Linux.
Sophos detecta varios componentes del ataque como Troj/Boonana-A, Troj/KoobStrt-A, Troj/KoobInst-A, Troj/KoobCls-A, Troj/Agent-PDY, Troj/DwnLdr-IOX y, Troj/DwnLdr-IOY. Adicionalmente la protección web de Sophos bloquea el acceso a las páginas web maliciosas.
También en el 2010, Sophos liberó una versión gratis de su antivirus para usuarios de casa Mac. Sophos ha estado protegiendo a los usuarios Mac corporativos por años y, ahora se presenta la oportunidad para que los usuarios Mac de casa se protejan de las amenazas también.
Los reportes recientes indican que existen muchos usuarios Mac con malware en sus computadoras, algunos son malware para Windows, algunos para Mac OS X y, otros cross-platforms.
No hay duda que el problema de malware para Windows es mucho mayor que el de Mac, pero eso no quiere decir que los peligros de las infecciones por malware para Mac OS X no existan.
Me gustaría mucho conocer su opinión acerca de este tema.
__________________ www.maestre.com.ve
Twitter: @maes3consulting
En el mes de diciembre Gawker Media (el weblog más visto en el mundo) reportó que había perdido una base de datos de apróximadamente 1.5 millones de clientes, en esa base de datos se encontraban sus nombres, passwords y cuentas de email. Esta historia no difiere mucho del incidente con Honda, que perdió dos base de datos de 2.2 y 2.7 millones de clientes respectivamente y, de muchas otras empresas que han sufrido pérdida de datos importantes. Ahora bien, la diferencia en esta oportunidad radica en que fueron descifrados 188.279 passwords de esta base de datos y publicados anónimamente en la web. Los 188.279 passwords fueron analizados y ordenados por su uso, aquí podemos ver el Top 50 de los passwords más usados:
En esta segunda imagen podemos ver la división de los passwords por número de caracteres y por cuenta de correo:
Según esta lista ¿eres tú una de las personas que usa passwords muy sencillos o fáciles de descifrar? Puede entonces ser el momento para cambiar esto, antes que sea un poco tarde. Algunas investigaciones demuestran que alrededor del 33% de los usuarios tienen solo un password para todas sus cuentas web y de email, esto quiere decir que si el password es descifrado en alguno de estos sitios web, todas sus cuentas serán comprometidas. Otra conclusión interesante que se desprende de este incidente es que los usuarios continuan usando passwords muy sencillos o muy fácil de descifrar. Malware como el Conficker utiliza una lista de passwords comunes muy parecida a esta del Top 50 para infectar endpoints. Mis sugerencias para este caso son (ya las hemos mencionado antes): - Utilizar passwords de por lo menos 8 caracteres. - Los passwords deben tener 3 de los 4 tipos de caracteres posibles, por ejemplo, alguna letra mayúscula, letras minúsculas y un número, recordando siempre que debe tener por lo menos 8 caracteres. - Los passwords no deben tener palabras o frases que se puedan conseguir en el diccionario ni tampoco información personal del usuario. - En la medida de lo posible manejar distintos passwords para cada website. Para la semana que viene estamos preparando una entrada en el blog enfocada a prácticas para generar passwords seguros y fácil de recordar y, analizaremos varios software de administración de passwords que nos ayudarían a recordar nuestras claves y no vernos en la obligación de anotarlas frente al monitor. Nos gustaría mucho conocer sus comentarios acerca de este caso.
El malware Troj/Geinimi-A (también conocido como Gemini) ha sido incorporado en varias versiones de aplicaciones y juegos, este malware intenta robar data del celular y puede contactar URLs remotos.
Aunque algunos reportes indican que Geinimi es el primer malware para el sistema operativo Google Android, esto no es correcto. Por ejemplo, en el pasado ya nosotros vimos que banking malware ha sido encontrado en el mercado Android, investigadores de seguridad han demostrado dispositivos Android con spyware rootkits y, los usuarios han sido alertados de Troyanos desde Rusia que envían mensajes de texto SMS.
En este caso la buena noticia es que el malware no es distribuido con las aplicaciones que se encuentran en sitio oficial de descargas de Android (Android market app store), con esto quiero decir que han sido infectados los celulares de las personas que descargaron software desde fuentes desautorizadas. La firma de seguridad para móviles Lookout señala que ellos solo han detectado el software desde sitios no oficiales chinos.
Honda confirmó que ha contactado a 2.2 millones de sus clientes después que hackers robaran una base de datos que contenía nombres, direcciones de email y VINs (el Vehicle Identification Number o los 17 números del motor de su vehículo).
El peligro es que estos cybercriminales pueden usar la lista para enviar emails a los clientes de Honda con anexos y links con contenido malicioso o puedan esta información personal con otros propósitos.
El tema más importante aqui es que estos hackers podrían presentarse ante los clientes como representantes de Honda, nadie lo dudaría cuando ellos les muestren el número del motor de su vehículo (que solo debería saberlo Honda). El cliente entonces confiado por la información en el email procede a dar click en los links y anexos maliciosos.
Por esta razón Honda ha contactado a todos los clientes que cree puedan haber sido afectados por esta brecha de seguridad.
Aunque muchos de mis clientes condenan a WikiLeaks y la publicación de los documentos extraídos del Secret Internet Protocol Router Network ( SIPRNet), es claro, por conversaciones que mantengo a diario con ellos, que están más concientes que su data podría ser fácilmente extraída de su red y usada para cualquier fin.
La pregunta entonces sería, ¿es posible hacer algo para prevenir la pérdida de datos en la organización? Por supuesto que sí.
Podemos empezar revisando nuestro computador. Un pc tradicional es una fuente de huecos de seguridad potenciales que pueden ser utilizados para extraer nuestra data, por ejemplo, los pc´s tienen unos puertos USB y unos slots media card en la parte frontal, puertos FireWire en la parte posterior, una unidad CD/DVD lectora escritora, por supuesto una tarjeta de red, WiFi, Bluetooth y la conexión a internet, todo instalado convenientemente para que cualquier persona pueda robar mis datos fácilmente.
Como verán son muchos los puntos que monitorear y bloquear.
La buena noticia es que sí existe el software que te permita (a ti, a tus administradores, a tu organización) tener el control sobre todas estas puertas y, prevenir que la propiedad intelectual de la organización se vea comprometida.
Un ejemplo de este tipo de software (y con el que estoy familiarizado) es Sophos Endpoint Security and Data Protection. ¿Cómo esta herramienta les puede ayudar? Bien, Sophos Endpoint Security and Data Protection ofrece un amplio rango de características que les permite a las organizaciones prevenir el flujo de información confidencial. Podemos nombrar algunos de sus beneficios:
Detecta, monitorea y bloquea el uso desautorizado de dispositivos de almacenamiento externos, unidades ópticas y protocolos de comunicación wireless (Wifi, Bluetooth e Infrarojo).
Permite a los administradores configurar políticas para permitir o restringir el uso de estos dispositivos a grupos de computadores.
La implementación de Prevención de Pérdida de Datos (DLP) se integra con el agente del endpoint para monitorear la transferencia de información confidencial.
Reporta en tiempo real la actividad de un dispositivo en la consola.
Simplifica la administración de la solución con una sola consola para el antivirus, firewall, control de aplicaciones, control de dispositivos, prevención de pérdida de datos (DLP), control de acceso a la red (NAC) y cifrado.
Esta solución también incluye cifrado de discos duros y pendrives.
La virtualización de escritorio es un concepto que rápidamente va ganando adeptos en el mundo, y no es para menos tomando en cuenta todas las ventajas económicas, administrativas y ecológicas que ofrece. La virtualización de escritorios se entiende como el proceso de separar el ambiente del escritorio del usuario (sistema operativo, aplicaciones, íconos, etc) del equipo físico, por medio de la creación y centralización de máquinas virtuales (virtual machine) en un servidor, usando para ello un software (hypervisor) como por ejemplo Vmware, Citrix o Hyper-V.
Pero cómo trabajo en mi escritorio sin mi computadora tradicional? Bueno, es en este momento donde entran en el juego los Thin Clients y los Zero Clients.
Un Thin Client es un dispositivo mucho más pequeño que un PC tradicional, con algo de sistema operativo, algunos tienen procesador, memoria ram y todos requieren actualizaciones de su firmware. Este dispositivo permite conectarnos a nuestro escritorio virtual por medio de un protocolo de comunicación como RDP, Citrix Ica, Secure Shell, Spice, X11, Display link, etc.
Los Zero Clients o también conocidos como Ultra-Thin Clients, son la lógica evolución de los Thin Clients. El término Zero Client fue nombrado por primera vez por la empresa Pano Logic, para describir una innovación tecnológica donde se presenta un dispositivo sin sistema operativo, sin drivers, sin disco duro, sin firmware que actualizar, sin ningún software ni piezas movibles, el cual permite igual que los thin la conexión con nuestro escritorio virtual.
Ahora bien, existen en el mercado muchas dudas de cuál dispositivo es un Thin Client y cuál es un Zero Client, para ayudarles un poco con este tema les detallo algunas características que deben tener los dispositivos para considerarse Zero Client:
Plug and Play
Los Zero Clients deben ser plug and play, capaces de trabajar sin intervención administrativa. Solo conectar la electricidad al dispositivo, teclado, mouse y monitor.
Zero Variación
Este debe ser funcionalmente idéntico que todos los dispositivos Zero Client en la red, desde su primer boot hasta que lo desincorporemos.
Zero Configuración
Una vez encendido, un zero client debe ser capaz de unirse a la red, identificar y enumerar todos los ambientes virtuales compatibles y conectarse a ellos sin ninguna configuración.
Zero impacto de las actualizaciones
Si las actualizaciones del equipo son necesarias, estas actualizaciones no deben impactar o interrumpir las operaciones del usuario final.
Zero actualizaciones en sitio
Para que un dispositivo pueda ser considerado Zero Client no debe requerir soporte técnico en sitio, siendo este uno de los principales beneficios del dispositivo.
Zero actualizaciones de drivers
No debe requerir la instalación de drivers adicionales o actualización de los ya instalados.
Estas son las características que vemos por ahora, si piensas que existen otras nos gustaría escuchar tus comentarios.
