Oracle anuncia nuevos programas de soluciones en la Nube

Si bien las organizaciones están ansiosas por trasladarse a la Nube, muchas no lo han hecho debido a obstáculos que los han obligado a elegir entre contar con flexibilidad o enfrentar menores costos.  Se han visto retados por la complejidad que ven en las soluciones en la Nube y la incapacidad de balancear los gastos entre distintos servicios. Las organizaciones también han sido detenidas por la limitada visibilidad y control sobre los gastos en la Nube. Hasta ahora, han sido incapaces de aprovechar plenamente sus inversiones de software para trasladarlas a la Nube, habiéndose visto limitados a servicios IaaS (infraestructura como servicio) o sacrificando características clave de base de datos en la capa de PaaS (plataforma como servicio).  Los nuevos programas de Nube de Oracle responden a los desafíos de adopción de la Nube que enfrentan los clientes al mejorar y simplificar la manera en la que compran y consumen servicios de Nube.

Oracle Database PaaS

Actualmente, los clientes pueden trasladar sus licencias a IaaS de Oracle. Ahora, Oracle expandirá la oferta al permitir a los clientes reutilizar sus licencias de software existentes en  PaaS de Oracle, lo que incluye Oracle Database, Oracle Middleware, Oracle Analytics y otros. Los clientes con licencias existentes pueden aprovechar esa inversión para migrar a Oracle Database Cloud a una fracción del costo del antiguo precio de PaaS. Ejecutar Oracle Database en IaaS de Oracle es más rápido y ofrece más características que Amazon, proporcionando el costo total de propiedad más bajo de la industria. Adicionalmente, los clientes pueden reducir aún más los costos administrativos y operativos que requiere el mantenimiento en las instalaciones al beneficiarse de esta automatización de PaaS.

Créditos universales

Oracle presentó Universal Credits (Créditos universales), el modelo más flexible de compra y consumo de servicios de Nube de la industria. Con estos créditos universales, los clientes tienen un contrato sencillo que proporciona acceso ilimitado a todos los servicios actuales y futuros de PaaS y IaaS de Oracle, que abarcan Oracle Cloud y Oracle Cloud at Customer.  Los clientes obtienen acceso on-demand a todos los servicios, además del beneficio del menor costo que ofrecen los servicios prepagados.  Asimismo, cuentan con la flexibilidad para actualizar, expandir o mover servicios entre distintos centros de datos dependiendo de sus requisitos. Con los créditos universales, los clientes obtienen la capacidad de cambiar los servicios PaaS o IaaS que están utilizando sin tener que notificar a Oracle. Además, se beneficiarán de utilizar nuevos servicios con su conjunto existente de créditos de Nube, una vez que dichos servicios estén disponibles.

Las nuevas opciones de Universal Credits y Bring Your Own License to PaaS de Oracle estarán disponibles a partir del 25 de septiembre de 2017. Estos programas abarcan Oracle Cloud y Oracle Cloud at Customer.

Minería de criptomoneda en la plataforma “The Pirate Bay”

criptomonedas” han adquirido un papel importante. No entraremos en detalle sobre las criptomonedas y/o sobre lo que es “The Pirate Bay”. En Internet podemos encontrar muchísima información sobre esto.

Hay que decir que los gastos que conlleva administrar una plataforma como TPB son muy altos, así que no es de extrañar que se usen métodos como insertar publicidad para que así cubran los gastos derivados de la plataforma.

Lo interesante de la noticia es que han implementado el sistema de minería sin que los usuarios fuesen conscientes de ello. La plataforma que ha posibilitado esta minería es Coin-Hive. Con un sencillo fichero JavaScript se puede hacer que el visitante de la web también aporte al proyecto cediendo CPU para la minería en cada visita al sitio web.
La web de Coin-Hive nos muestra una pequeña demo de su sistema donde podremos ver cuantos hashes hemos calculado. En 30 segundos (el tiempo mínimo estimado que pasa un usuario en The Pirate Bay) hemos calculado alrededor de 600 hashes.
Captura de The Pirate Bay con el código JavaScript de minado


Hemos probado a entrar en los distintos portales de The Pirate Bay, haciendo uso de un simple comando de Linux vemos como sube nuestra carga de procesamiento, tanto que los cuatro núcleos están en el 90% aproximadamente.

 

Carga de un equipo común durante el proceso de minado

 

El fichero JavaScript contiene

 

Código JavaScript de minado
Desde la organización han comunicado que estaban haciendo una prueba para saber si es un método viable de financiación. De cualquier modo no sabremos si se han estado aprovechando de esto durante más tiempo.
Este nuevo sistema de financiación para webs gratuitas, con su debido control, podría llegar a ser menos molesto que las publicidad a la que estamos acostumbrados. Sin embargo, The Pirate Bay lo ha implementado sin ningún anuncio, advertencia ni consentimiento previo del usuario, lo cual debería ser requisito indispensable para el uso de esta tecnología.

FinFisher ataca de nuevo, ahora con posible apoyo de ISP’s

FinFisher (o FinSpy) es un spyware diseñado para ser usado por gobiernos para llevar a cabo labores de vigilancia. Esta última campaña parece apoyarse en los proveedores de servicio, según el último aviso de la firma antivirus ESET.

 

FinFisher no es un spyware especial. Al menos en el sentido técnico. Captura en directo de webcams, micrófonos, pulsaciones de teclado, extracción de archivos…No tiene funcionalidades extravagantes que otros spywares no tengan. Lo que llama la atención de FinFisher sobre los demás es lo controvertido de sus métodos de distribución. Métodos comospearphishing (phishing dirigido, en este caso para introducir un troyano), instalación manual en dispositivos accesibles físicamente, exploits 0-day y ataques watering hole (se compromete una web confiable para infectar a visitantes específicos).

Esta vez la particularidad viene debida a que, según la investigación llevada a cabo por ESET, seha detectado la distribución de nuevas variantes de FinSpy a nivel del proveedor de servicio de Internet (ISP) utilizado por el usuario, a diferencia de los anteriores métodos comentados.
Se pudo determinar que aquellos usuarios que buscaban, por ejemplo, aplicaciones de mensajería segura como Threema, o de cifrado de volúmenes o ficheros, como TrueCrypt, eran internamente redirigidos mediante redirecciones de tipo 307 a descargas de esta variante de spyware. Por tanto, se estaba realizando un Man-In-The-Middle a un nivel mucho más bajo de lo habitual.
Esta capacidad de despliegue, sólo posible para determinados países y sus operadores, reafirma y parece validar los datos aportados por una reciente revelación en Wikileaks, sobre FinFly ISP, o la distribución de FinFisher mediante ISPs cooperantes que introducen este comportamiento en su servicio.
Descripción del servicio FinFLY ISP
 
Carlos Ledesma
cledesma@hispasec.com

Más información:

New FinFisher surveillance campaigns: Internet providers involved?

540.000 registros de clientes expuestos en Internet

Nuevo leak. 540.000 registros de datos de clientes de una empresa han sido expuestos públicamente, durante un tiempo indeterminado, en Internet.

Los registros pertenecen a la empresa SVR Tracking, cuyo servicio principal es proveer de un sistema de seguimiento GPS y alertas de movimiento de vehículos. Este tipo de servicios suele ser instalado en flotas comerciales y como sistema de recuperación en caso de robo.

El problema fue descubierto por la empresa Kromtech Security Center, al encontrar un servidor caché al que se podía acceder sin contraseña, y en el que se encontraba el grueso de datos expuesto. Entre los datos estaban el nombre de usuario, contraseña, número de identificación del vehículo, IMEI del dispositivo GPS además de la localización física del dispositivo instalado en el coche.

 

Otro de los pecados cometidos por la empresa fue el tipo de almacenamiento de las contraseñas, en SHA-1, un algoritmo de hash ya superado; además ni tan siquiera se estaba generando una sal para dificultar ataques por tablas rainbow.

Imagen procedente de: https://mackeepersecurity.com/post/auto-tracking-company-leaks-hundreds-of-thousands-of-records-online

Cómo podemos aprender, no hace falta una vulnerabilidad crítica o un exploit next-gen para morder el polvo. Basta con no tener la más mínima idea de principios básicos de seguridad y desplegar un servidor con información crítica en Internet, sin control alguno, para facilitar el trabajo a un atacante. Dos fallos fundamentales, que podrían exponer a una empresa a sanciones y una grave pérdida en su reputación.