jueves, 23 de noviembre de 2017

What can we expect in terms of cybersecurity in 2018?

With the approach of the new year, I have the need to think a little. What cyber attacks we can expect in the next year. The only certain thing is that technology is not bad or good, it is how we use it that gives meaning.In the following years we will see a hyperconnectivity, since our computers, tablets, smartphones, televisions, fridges, now even our cars and planes have connectivity to the Internet, which creates some possible security breaches that should be attended to.Among these gaps it is convenient to pay attention to the ransomware, which has already been in our lives and we have been aware of some attacks and their structure, this will continue and the next ones to be able to suffer attacks will be the big providers of cloud services, which will affect many companies and businesses. We will have a renewal in attacks by malware, because the attackers are writing highly mutable code which allows the use of multiple attack vectors. We could expect some attack on critical infrastructures for the day to day, which would be devastating for the population [3].With the rise of self-learning applications, attacks based solely on digital signatures or fingerprints have been refined to attacks with greater intelligence [4] than just the automation of a scheme attack - verification - exploitation of vulnerabilities, in which protection schemes have seen great improvements, making it harder to detect breaches in security.Just as the attackers themselves use machine learning, defenders also begin to use these same schemes to improve protection and automate the way they obtain information about the vulnerabilities of the IT infrastructure given the increasing complexity of the same. it makes monitoring more and more intelligent [2]. So we will soon witness battles between artificial intelligences [1] both attack and defense, does not mean that other proven schemes are not used, but will be necessary complements.One more aspect to consider is the changes in the legislation, both in Europe and mainly in the USA, in the General Data Protection Regulation (GDPR) and in the Network Information Security (NIS) for the following year, which will take on relevance in how to respond to threats to IT infrastructures. These changes are due to the high profile attacks that have occurred throughout 2017.Thanks to an independent study conducted by Palo Alto Networks, which shows that there is a broad awareness of the importance of the security of the IT infrastructure, but that there is a lack or better said failures in the communication of events [5], in how to respond and who has to carry out the recovery of daily operations, which motivates the changes in said regulations already mentioned.So, we can take the strategy proposed by Palo Alto Networks [4], which I insist, is a guide since there are many more:
  • Translate, it is very common for IT professionals to use a technical language, but those who make decisions do not, so make translations into the language that manages management and those who make decisions in the organization.
  • Clearly quantifies the value for the business, always in terms that are understood by those who make the decisions.
  • Be clear and precise in security risks not all those responsible for cybersecurity, not to mention less than half are aware that preventing is important in order not to regret losses.
  • Make a balance between the investment against the risks, this since the constant and continuous changes of the information technologies, what was good today will not be tomorrow and
  • The change is good, this being the very nature of cybersecurity every change must be seen with good eyes and with it come new business opportunities.

References.

[1]
“Expect a New Battle in Cybersecurity: AI versus AI | Symantec Blogs.” [Online]. Available: https://www.symantec.com/blogs/expert-perspectives/ai-versus-ai. [Accessed: 24-Nov-2017].
[2]
“Why Machine Intelligence Holds New Hope for Short-Handed Defenders | Symantec Blogs.” [Online]. Available: https://www.symantec.com/blogs/feature-stories/why-machine-intelligence-holds-new-hope-short-handed-defenders-0. [Accessed: 24-Nov-2017].
[3]
“Fortinet Predicts Highly Destructive and Self-learning ‘Swarm’ Cyberattacks in 2018.” [Online]. Available: /corporate/about-us/newsroom/press-releases/2017/predicts-self-learning-swarm-cyberattacks-2018.html. [Accessed: 24-Nov-2017].
[4]
Palo Alto Networks, “STATE OF THE CYBERSECURITY NATION: LEGISLATION AND EUROPE’S SECURITY PROFESSIONALS.” www.paloaltonetworks.com, 2017.
[5]
“Legislation Incoming: How Prepared Is the Cybersecurity Community?,” 08–08-Nov-2017. [Online]. Available: https://researchcenter.paloaltonetworks.com/2017/11/cso-legislation-incoming-prepared-cybersecurity-community/. [Accessed: 22-Nov-2017].
[6]
“2018 Predictions & Recommendations: Advances in Machine Learning Will Improve Both Patient Care and Cybersecurity,” 17–17-Nov-2017. [Online]. Available: https://researchcenter.paloaltonetworks.com/2017/11/2018-predictions-recommendations-advances-machine-learning-will-improve-patient-care-cybersecurity/. [Accessed: 22-Nov-2017].

¿Qué podemos esperar en cuanto a ciberseguridad en el 2018?



Con la cercanía del año nuevo, me ha surgido la necesidad de pensar un poco. Que ciberataques podemos esperar en el siguiente año. Lo único cierto es que la tecnología no es mala ni buena, es como la utilizamos lo que da significado.
En los siguientes años veremos una hiperconectividad, puesto que nuestros ordenadores, tablets, smartphones, televisores, refrigeradores, ahora hasta nuestros automóviles y aviones de pasajeros tienen conectividad a la Internet, lo que crea algunas posibles brechas de seguridad que conviene atender.
Entre estas brechas conviene poner atención al ransomware, el cual ya ha estado en nuestras vidas y hemos tenido conocimiento de algunos ataques y su estructura, esto va a continuar y los siguientes en poder sufrir ataques serán los grandes proveedores de servicios en la nube, lo cual afectará a muchas empresas y negocios. Tendremos una renovación en los ataques por malware, pues los atacantes están escribiendo código altamente mutable el cual permite el uso de múltiples vectores de ataque. Podríamos esperar algún ataque a infraestructuras críticas para el día a día, lo cual sería devastador para la población [3].
Con el auge que ha tenido las aplicaciones con autoaprendizaje, los ataques meramente basados en firmas digitales o huellas se han ido refinando a ataques con mayor inteligencia [4] que únicamente la automatización de un esquema ataque – verificación – explotación de vulnerabilidades, en los cuales los esquemas de protección han visto grandes mejoras, haciendo más difícil detectar brechas en la seguridad.
Así como los mismos atacantes utilizan el aprendizaje de la máquina, los defensores también comienzan a utilizar estos mismos esquemas para mejorar la protección y automatizar la forma en como obtienen información sobre las vulnerabilidades de la infraestructura informática dada la creciente complejidad de la misma, lo que hace que el monitoreo tenga que ser más y más inteligente [2]. Por lo que pronto asistiremos a batallas entre inteligencias artificiales [1] tanto al ataque como a la defensa, ojo no quiere decir que no se utilicen otros esquemas ya probados, sino que serán complementos necesarios.
Un aspecto más a considerar, son los cambios en las legislaciones, tanto en Europa y principalmente en USA en la General Data Protection Regulation (GDPR) y en la Network Information Security (NIS) para el siguiente año, los cuales van a tomar relevancia en cómo responder a las amenazas a las infraestructuras de informáticas. Estos cambios son debido a los ataques de alto perfil que se han dado a lo largo de 2017.
Gracias a un estudio independiente conducido por Palo Alto Networks, que demuestra que existe una amplia conciencia de la importancia de la seguridad de la infraestructura de TI, pero que existe una falta o mejor dicho fallas en la comunicación de los eventos [5], en cómo responder y quien tiene que llevar a cabo la recuperación de las operaciones cotidianas, lo cual motiva los cambios en dichas las regulaciones ya mencionadas.
Así pues, podemos tomar la estrategia que propone Palo Alto Networks [4], que insisto, es una guía ya que existen muchas más:
  • Traduce, es muy común que los profesionales de TI utilicemos un lenguaje técnico, pero los que toman las decisiones no, así que haz las traducciones al lenguaje que maneja la gerencia y aquellos que toman decisiones en la organización.
  • Cuantifica claramente el valor para el negocio, siempre en términos que sean entendidos por los que toman las decisiones.
  • Se claro y preciso en los riesgos de seguridad no todos los responsables de la ciberseguridad por no decir menos de la mitad son conscientes de que prevenir es importante para no lamentar perdidas.
  • Haz un balance entre la inversión contra los riesgos, esto puesto que los cambios constantes y continuos de las tecnologías de la información, lo que era bueno hoy no lo será mañana y
  • El cambio es bueno, siendo esta la naturaleza misma de la ciberseguridad todo cambio hay que verlo con buenos ojos y con ello vienen nuevas oportunidades de negocio.


Referencias.

 [1]
“Expect a New Battle in Cybersecurity: AI versus AI | Symantec Blogs.” [Online]. Available: https://www.symantec.com/blogs/expert-perspectives/ai-versus-ai. [Accessed: 24-Nov-2017].
[2]
“Why Machine Intelligence Holds New Hope for Short-Handed Defenders | Symantec Blogs.” [Online]. Available: https://www.symantec.com/blogs/feature-stories/why-machine-intelligence-holds-new-hope-short-handed-defenders-0. [Accessed: 24-Nov-2017].
[3]
“Fortinet Predicts Highly Destructive and Self-learning ‘Swarm’ Cyberattacks in 2018.” [Online]. Available: /corporate/about-us/newsroom/press-releases/2017/predicts-self-learning-swarm-cyberattacks-2018.html. [Accessed: 24-Nov-2017].
[4]
Palo Alto Networks, “STATE OF THE CYBERSECURITY NATION: LEGISLATION AND EUROPE’S SECURITY PROFESSIONALS.” www.paloaltonetworks.com, 2017.
[5]
“Legislation Incoming: How Prepared Is the Cybersecurity Community?,” 08–08-Nov-2017. [Online]. Available: https://researchcenter.paloaltonetworks.com/2017/11/cso-legislation-incoming-prepared-cybersecurity-community/. [Accessed: 22-Nov-2017].
[6]
“2018 Predictions & Recommendations: Advances in Machine Learning Will Improve Both Patient Care and Cybersecurity,” 17–17-Nov-2017. [Online]. Available: https://researchcenter.paloaltonetworks.com/2017/11/2018-predictions-recommendations-advances-machine-learning-will-improve-patient-care-cybersecurity/. [Accessed: 22-Nov-2017].

domingo, 5 de noviembre de 2017

Calaverita 2017.

Unas bellas flores de cempasúchil
recibe en su cripta Jorge Flores
ya que este es su año sabático inútil
por enseñar de la vida los sinsabores.

2017 ya casi fenece,
un mejor año nos apetece
incluso a la parca
pues ya metía mucho la pata.
Con toda la mierda que en el mundo pasa
ya nadie quiere dejar su casa.

viernes, 19 de mayo de 2017

El ciberataque WannaCry. Que es y cómo evitarlo.


La semana pasada entre todo el revuelo por ser viernes, casi quincena, apenas pasado el día de la Madre en México y en otras latitudes, se dio una nota que para muchos pasó desapercibida.

Sí, para aquellos que son informáticos entusiastas o profesionales, escuchamos hasta en los noticieros televisados la pequeña nota de un ataque en la red, se trata del ataque conocido como WannaCry para los medios para los informáticos como WannaCrypt.
WannaCRY_1.png
Pantalla de WannaCrypt
Lo abrumador de este ataque no fue la complejidad del mismo sino que utilizaron una falla de seguridad ya conocida como ETERNALBLUE (CVE-2017-0145), y que fue solucionada con una actualización de seguridad de los sistemas operativos de Microsoft incluyendo aquellos que ya no contaban con soporte técnico. Se encuentra la solución y una explicación del mismo en el boletín de seguridad de Microsoft MS17-010 [2].

El ataque fue conducido por el ya citado ransomware, que ataca el servicio SMB (Server Message Block), de los sistemas operativos de Microsoft [3], pero que no es accesible a los sistemas de Mac o Linux, esto a no ser que se ejecute samba en Linux, no se tenga el sistema operativo actualizado y no se cuente con otras medidas de seguridad en profundidad [6], ya que al parecer se mitigó gracias a la virtualización de servidores en línea poniendo al virus en una caja de arena para gatos. Además de que la mayor parte de los antivirus y antimalware comerciales son capaces de detectarlo e impedir su instalación y ejecución.

Se piensa que inició como una campaña más de spam/phishing, en cuyo caso llega un correo electrónico a la posible víctima con un archivo adjunto que escondería la infección y que usuarios descuidados o confiados, descargaron y trataron de abrir el documento. Pero no se descarta que el ransomware esté presente en la red buscando el puerto 445 y si el equipo no está actualizado, no tiene un buen antivirus actualizado o alguna otra solución de seguridad de punto final será susceptible de ser infectada. Un tercer vector puede ser que al utilizar el RDP (Remote Desktop Protocol), también un servicio de los sistemas Windows, pero este último no ha sido confirmado aún [1]. Lo grave de este ransomware es que encripta el contenido de nuestro disco(s) duro(s) haciendo inaccesibles los datos contenidos en los mismos. Y recibimos un aviso (chantaje cuyo pago se hace mediante criptomoneda [bitcoin]) tal y como se ve en la imagen de arriba.

Siendo una vulnerabilidad ya conocida y difundida, lo asombroso es que gracias a la gran falta de una cultura de prevención y de concientización de los usuarios para mantener actualizados sus sistemas operativos así como el software mínimo de protección del mismo se haya tenido tan alto impacto.

Por ello entre las recomendaciones para evitar este ransomware están, el mantener las actualizaciones de seguridad activas, al menos las críticas del sistema operativo, mantener las soluciones de punto final actualizadas (antivirus, antimalwares, etc.), de forma más técnica, el filtrado de URLs, el ahogamiento de DNS, este último es un indicativo de la infección, y otras trampas para interceptar este troyano/gusano [7].

En la red también existen algunos que dicen que hay otras formas de recuperar los datos encriptados [4], pero también existe una gran preocupación por las siguientes versiones y evoluciones de este ransomware, pues se piensa que lo peor aún está por venir [5]. Es por ello que se tiene que iniciar una concientización de nuestros usuarios para ayudar a mitigar esta infección. Mantener las actualizaciones al día de forma pronta, y si no cuentan con otras medidas, implementarlas lo antes posible.


Referencias.
[1] R. Howard, “Threat Brief: WanaCrypt0r– What We Know - Palo Alto Networks Blog,” Palo Alto Networks Blog, 2017. [Online]. Available: http://researchcenter.paloaltonetworks.com/2017/05/unit42-threat-brief-wanacrypt0r-know/. [Accessed: 19-May-2017].
[2] Microsoft, “Microsoft Security Bulletin MS17-010 - Critical,” Microsoft|TechNet, 2017. [Online]. Available: https://technet.microsoft.com/library/security/MS17-010. [Accessed: 19-May-2017].
[3] Microsoft|TechNet and Windows Security, “WannaCrypt ransomware worm targets out-of-date systems – Windows Security,” Microsoft\TechNet, 2017. [Online]. Available: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/. [Accessed: 19-May-2017].
[4] M. Mimoso, “Available Tools Making Dent in WannaCry Encryption,” threatpost, 2017. [Online]. Available: https://threatpost.com/available-tools-making-dent-in-wannacry-encryption/125806/. [Accessed: 19-May-2017].
[5] M. Mimoso, “No TitleNext Payload Could be Much Worse Than WannaCry,” threatpost, 2017. .
[6] nixCraft, “Is my Linux server or desktop affected by WannaCrypt ransomware? – nixCraft,” nixCraft, 2017. [Online]. Available: https://www.cyberciti.biz/security/is-my-linux-server-or-desktop-affected-by-wannacrypt-ransomware/. [Accessed: 19-May-2017].
[7] S. Simkin, “UPDATED: Palo Alto Networks Protections Against WanaCrypt0r Ransomware Attacks - Palo Alto Networks Blog,” Palo Alto Networks Blog, 2017. [Online]. Available: http://researchcenter.paloaltonetworks.com/2017/05/palo-alto-networks-protections-wanacrypt0r-attacks/. [Accessed: 19-May-2017].

What can we expect in terms of cybersecurity in 2018?

With the approach of the new year, I have the need to think a little. What cyber attacks we can expect in the next year. The only certain th...