Tag seguridad

Dado que muchos empleados deberán trabajar desde su casa debido el avance de la pandemia de COVID-19, compartimos unas recomendaciones para que la organización pueda mantenerse productiva y a la vez segura.

El brote de coronavirus (COVID-19) ha sido oficialmente clasificado como una pandemia por la Organización Mundial de la Salud (OMS), lo que significa que la infección se está acelerando en varios países al mismo tiempo. Los Estados Unidos de América ha declarado la prohibición de viaje a 28 países europeos, una medida que también están adoptando en otros países a lo largo del mundo, incluidos varios de América Latina. Muchos países también han decidido cerrar escuelas y universidades, y se han promovido campañas y establecido prohibiciones para evitar grandes cúmulos de personas.

Las grandes compañías, como Google y Microsoft, están alentando u ordenando a sus empleados que trabajen de manera remota desde sus casas. Para las empresas tecnológicas modernas, la infraestructura y las políticas necesarias para el trabajo remoto ya están establecidas y probablemente la mayor parte de los trabajadores sean usuarios de computadoras portátiles.

Sin embargo, para muchas empresas y organizaciones, fundamentalmente las PyMEs, es probable que la situación sea muy diferente. Trabajar desde la casa es una opción que se limita a unos pocos, y principalmente para quienes utilizan solamente el correo electrónico y otros sistemas que no son operativos. El sector educativo es un buen ejemplo: las universidades han estado ofreciendo educación a distancia como una opción desde hace ya algún tiempo, mientras que las escuelas primarias y secundarias son más dependientes de la presencia del docente y de los alumnos para llevar adelante las tareas de aprendizaje. Este escenario también debe considerar el personal administrativo y de operaciones de la escuela, ya que probable sean trabajadores con menos capacidad de movilidad y que usen dispositivos de escritorio en lugar de computadoras portátiles.

Dividir la organización en unos pocos grupos con diferentes requisitos y el tratamiento de las necesidades de cada uno para lograr el éxodo masivo puede parecer un enfoque simplista, pero probablemente sea esencial dada la urgencia en algunos casos. Usando la educación como ejemplo, hay estudiantes (los clientes), docentes, personal de administración y de operaciones. La escuela no puede funcionar sin una participación significativa de estudiantes, los maestros necesitan herramientas para realizar conferencias virtuales y los equipos de administración necesitan acceso a la red, y esto es solo lo mínimo.

Para ser productivo, hay requisitos comunes que todos los trabajadores remotos necesitan. Como alguien que ha trabajado de forma remota durante la mayor parte de su vida laboral, puedo dar fe de los dos últimos:

• Una computadora
• Una buena conexión a Internet
• Aplicaciones de chat y para realizar videoconferencia
• Un espacio de trabajo dedicado (preferiblemente)
• Un teléfono (opcional)
• Automotivación y disciplina
• Una rutina estricta

¿Por qué el teléfono es opcional? En el entorno actual puede no ser necesario, especialmente porque la mayoría de las aplicaciones de chat permiten realizar llamadas directas. La necesidad de un teléfono puede ser más un requisito comercial y no tanto un dispositivo esencial.

Es importante destacar que las empresas y organizaciones también deben prepararse a sí mismas y también a sus empleados para enfrentar los riesgos vinculados a la ciberseguridad con el trabajo remoto. ¿Cuáles son algunos de los desafíos que deben abordarse?

Seguridad física de los dispositivos de la empresa

Los empleados estarán exponiendo a un mayor riesgo los dispositivos de la empresa en la medida que no tengan presente la seguridad del lugar de trabajo. Como empleado remoto, a menudo voy a trabajar a la biblioteca pública como una forma de socialización; ya que hay espacios de trabajo compartidos e individuales. Los dispositivos deben protegerse contra pérdidas y robos con opciones como:

• El cifrado de disco completo garantiza que, incluso si el dispositivo cae en las manos equivocadas, no se puede acceder a los datos de la compañía.
• Cierre sesión cuando no esté usando la computadora, tanto en casa como en lugares públicos. Que un niño curioso envíe accidentalmente un correo al jefe es algo que puede evitarse fácilmente, ya que al cerrar sesión limitamos la oportunidad de que alguien acceda a la máquina mientras le damos la espalda.
• Política de contraseña segura: aplique contraseñas en el arranque, establezca tiempos para la suspensión del equipo según el tiempo de inactividad y prohíba las notas con contraseñas pegadas al equipo: ¡la gente todavía hace esto!
• Nunca pierda de vista su dispositivo o lo deje a la vista pública. Si está en el auto, entonces debería guardarlo en el baúl.

¿Qué hay del entorno tecnológico del hogar?

Lo ideal sería solicitar a los empleados que auditen las vulnerabilidades de su propio entorno doméstico antes de conectar los dispositivos de trabajo. Hay revelaciones continuas sobre dispositivos vulnerables de Internet de las cosas (IoT), y este es un excelente momento para que los empleados tomen medidas para asegurarlos con contraseñas seguras y actualizando tanto el firmware como el software a las últimas versiones disponibles.

Considere la posibilidad de promocionar, o incluso exigir, el uso de una aplicación de monitoreo antes de permitir que los dispositivos de trabajo se conecten a las redes domésticas. El escaneo o monitoreo resaltará los dispositivos con vulnerabilidades conocidas, la existencia de software o firmware obsoleto o la presencia en uso de contraseñas predeterminadas que deberían cambiarse.

Acceso a la red y sistemas de la compañía

Establezca si el empleado necesita acceso a la red interna de la organización o simplemente acceso a servicios y correo electrónico basados ​​en la nube. Y tenga en cuenta si debe otorgarse el mismo nivel de acceso a los datos confidenciales disponibles en el sitio cuando el empleado está trabajando de manera remota.

• Si se necesita acceso a la red interna de la organización:
  • Recomiendo que esto solo se permita desde un dispositivo que sea propiedad de la organización, para que el control total del dispositivo que se conecta esté bajo el control del equipo de seguridad y del departamento de tecnología.
  • Utilice siempre una VPN para conectar trabajadores remotos a la red interna de la organización. Esto evita ataques de Man-in-the-Middle desde ubicaciones remotas: recuerde que, dado que ahora está trabajando desde su casa, el tráfico ahora fluye a través de las redes públicas.
  • Controle el uso de dispositivos externos, como los de almacenamiento USB, así como dispositivos periféricos.
• Permitir el acceso al correo electrónico y a los servicios en la nube desde el propio dispositivo de un empleado:
  • Aplique para antimalware, firewalls, etc., la misma política de seguridad que aplica para una computadora administrada por la organización. Si es necesario, proporcione al empleado una licencia para las mismas soluciones utilizadas en los dispositivos propiedad de la organización. Si necesita licencias adicionales, póngase en contacto con el proveedor. Puede que ofrezcan soluciones para cubrirlo ante un evento como este sin precedentes.
  • Limite la capacidad de almacenar, descargar o copiar datos. Una brecha de datos puede ocurrir desde cualquier dispositivo que contenga datos confidenciales de la compañía.
  • Considere el uso de máquinas virtuales para proporcionar acceso: esto mantiene al empleado en un entorno controlado y limita la exposición de la red de la empresa al entorno doméstico. Esto puede ser más complejo de configurar, pero podría ser una solución superior a largo plazo.
• La autenticación multifactor (MFA) garantiza que el acceso, ya sea a servicios basados ​​en la nube o acceso completo a la red, solo por usuarios autorizados. Siempre que sea posible, use un sistema basado en aplicaciones o en un token de hardware para generar códigos únicos que otorguen acceso autenticado. Como puede haber presión de tiempo para implementar una solución, una solución basada en aplicaciones elimina la necesidad de adquirir y distribuir hardware. Los sistemas basados ​​en aplicaciones proporcionan mayor seguridad que los mensajes SMS, especialmente si el dispositivo utilizado para recibir los códigos no es un dispositivo administrado por la organización y podría estar sujeto a un ataque de SIM Swap.

Herramientas colaborativas y procesos de autorización

Puede parecer extraño poner estos dos elementos bajo el mismo título, pero uno puede ayudar a prevenir problemas con el otro.

• Proporcione acceso a sistemas de chat, video y conferencias para que los empleados puedan comunicarse entre sí. Esto proporciona las herramientas de productividad necesarias y ayuda a los empleados a mantenerse en contacto con sus colegas.
• Use las herramientas colaborativas para protegerse contra instrucciones o transacciones no autorizadas. Es probable que los ciberdelincuentes aprovechen la oportunidad de que muchas organizaciones implementen el teletrabajo para lanzar ataques de Business Email Compromise (BEC). En estos casos un actor malintencionado envía un mensaje falso, catalogado como urgente, solicitando la transferencia inmediata de fondos, sin la posibilidad de validar la solicitud en persona. Asegúrese de utilizar los sistemas de videoconferencia / chat como parte formal del sistema de aprobación para que la validación se realice “en persona”, incluso cuando sea remota.

Capacitación

Como ya hemos mencionado en otro artículo, hay numerosas estafas circulando que utilizan el tema sobre COVID-19 de distintas maneras. Cuando los empleados están fuera de su lugar de trabajo, en lugares más informales, pueden considerar hacer clic en los enlaces que reciben, ya que no hay colegas que puedan observarlos viendo ese video divertido o visitando una página web.

Las capacitaciones de concientización sobre seguridad informática suelen ser un requisito anual para los empleados de muchas empresas. Sería prudente hacer un repaso para ayudar a evitar el error humano que los ciberdelincuentes tanto intentan explotar. Considere ejecutar una campaña y un requisito de capacitación antes de que el empleado comience a trabajar de forma remota … o tan pronto como sea posible.

Soporte y gestión de crisis

En el apuro por proporcionar acceso remoto, no sacrifique la ciberseguridad o la capacidad de administrar sistemas y dispositivos. La capacidad de brindar soporte a los usuarios que trabajan de manera remota será esencial para garantizar un funcionamiento sin problemas, especialmente si los usuarios quedan en cuarentena debido a problemas de salud. Los trabajadores remotos deben tener protocolos de comunicación claros, tanto para con el área de soporte de TI como para la gestión de crisis si se enfrentan a problemas inusuales o si sospechan que podrían ser el resultado de una brecha.

Existen, por supuesto, consideraciones adicionales desde una perspectiva tecnológica; por ejemplo, eliminar o limitar el uso de RDP, como se detalla en una reciente publicación de mi colega Aryeh Goretsky.

Más allá de la tecnología y los procesos funcionales, existen otros factores clave para un trabajo remoto efectivo:

• Comunicación: considere realizar llamadas grupales una vez al día, informar a las personas sobre la situación y darles a todos la oportunidad de compartir experiencias y problemas.
• Capacidad de respuesta: el trabajo remoto no es lo mismo que trabajar en un entorno de oficina. Establezca pautas claras de qué tan rápido se espera que un trabajador remoto responda a una solicitud, dependiendo del tipo de comunicación, ya sea un correo electrónico, una invitación de calendario, etc.
• Informes: los gerentes deben implementar procedimientos que les permitan determinar si los trabajadores remotos están haciendo el trabajo: reuniones grupales obligatorias, colaboración en equipo, informes diarios / semanales / mensuales.
• Horario de trabajo: acuerde un método de inicio y finalización de la jornada laboral, esto puede ser tan simple como pedir a los miembros de un chat grupal que digan “buenos días” cuando comienza su jornada.
• Salud y seguridad: ¿deben llevarse a casa los teclados ergonómicos de la oficina para proporcionar la misma comodidad a la que están acostumbrados los empleados? Trabajar desde casa no elimina la responsabilidad de proporcionar un buen ambiente de trabajo.
• Responsabilidad: garantice la cobertura de los activos de la empresa mientras estén en manos del empleado.
• Soporte técnico: envíe una lista con los contactos útiles. De esta manera los trabajadores remotos sabrán con quien comunicarse cuando sea necesario.
• Socialización: reúna a los trabajadores remotos, especialmente de manera virtual. La interacción social es una parte importante de la motivación y aumenta la productividad. Considere un esquema de amigo o mentor para que cada empleado esté emparejado y pueda resolver problemas, desahogarse, compartir o socializar virtualmente.
• Accesibilidad: establezca una política de gestión virtual de puertas abiertas, tal como la hay en la oficina. Asegúrese de que las personas sean accesibles y se puedan involucrar fácilmente.

No asuma que todos los empleados pueden cambiar a una dinámica de trabajo remoto de manera efectiva y con poca necesidad de asistencia u orientación. El hogar no es la oficina y pueden necesitar una ayuda considerable para adaptarse.

Filosóficamente, es posible que el mundo nunca vuelva a ser el mismo, ya que este mandato de trabajo remoto masivo podría resultar ser un experimento social/laboral que pocas empresas hubieran emprendido si no fuera por esta situación particular. ¿Alguna vez volveremos a nuestra oficina de la misma manera?

Fuente: www.welivesecurity.com

Les adelantamos el lanzamiento en el PING, pero como advertimos, merecía la pena comentarlo con un poco de calma y a eso vamos. Y es que KeePassXC 2.5 llega tras más de medio año de desarrollo para confirmar una vez más algo que ya estaba claro: que es el gestor de contraseñas de código abierto más recomendable del panorama actualmente.

Parece difícil que haya quien no conozca a la familia de gestores de contraseña de código abierto KeePass, de la cual KeePassXC es uno de sus miembros más recientes a razón del nulo progreso de KeePassX, una versión en Qt cuyo lento desarrollo propició el nacimiento de un fork, KeePassXC, que ha resultado ser lo mejor que podía haber pasado.

Por si acaso, ya os recomendamos a KeePassXC como en nuevo tótem de las contraseñas en un artículo de repaso que os interesará leer, si aún no lo conocías, aunque lo cierto es que de un tiempo a esta parte está en todo lados, precisamente debido al la lentitud del desarrollo de sus alternativas. El último cambio significativo lo encontramos en Tails 4.0, que lo toma como opción por defecto.

En cuanto a las novedades de KeePassXC 2.5, ahí va una lista

• Nueva opción para crear una copia de seguridad de la base de datos impresa.
• Nuevo panel de estadísticas de la base de datos.
• Las vistas de entrada y desbloqueo han sido rediseñadas.
• Nueva opción para descargar los favicons de las entradas de una sola vez.
• Autocompletado automático del nombre de usuario en función de los nombres de usuario conocidos de otras entradas.
• Importación de archivos OpVault de 1Password.
• Soporte para las llaves de seguridad de código abierto OnlyKey.

En lo que se refiere al soporte de Linux, también hay novedades interesantes, como la mejora de la versión para la línea de comandos, incluyendo la posibilidad de verificar si las credenciales se han visto comprometidas haciendo uso de la base de datos de HIBP, pero sin necesidad de conectarse a esta; así como el soporte del estándar libsecret y, en principio, la compatibilidad con los clientes que hagan uso de esta tecnología.

Al contrario, el lanzamiento de KeePassXC 2.5 supone el fin del soporte para Ubuntu 14.04 LTS y las nueva AppImage se basan ahora en Ubuntu 16.04 LTS, con Qt 5.5 como requisito mínimo.

Y en cuanto a la descarga de KeePassX 2.5, en la página oficial se ofrecen diferentes vías para las principales distribuciones Linux, incluyendo las mencionadas AppImage, paquetes Snap, repositorios dedicados y más.

Fuente: www.muylinux.com

Los ataques más llamativos y sofisticados probablemente no representen el tipo de amenaza que más debería preocupar a la mayoría de las empresas. A continuación explicamos a que sí debería prestarle atención su organización.

Cuando nos enteramos acerca de una nueva brecha, asumimos que los atacantes utilizaron un exploit nunca antes visto para aprovecharse de una vulnerabilidad zero-day y así lograr quebrar la defensa de una empresa. Sin embargo, este escenario está normalmente lejos de ser realidad en la mayoría de los casos. Si bien es cierto que los grupos de cibercriminales respaldados por los Estados-nación tienen una inclinación a hacer uso de vulnerabilidades zero-day para infiltrarse en los objetivos más importantes de una nación, esos objetivos no son usted; y probablemente tampoco lo sea su organización.

En la última edición de la conferencia Virus Bulletin que se llevó a cabo a principios de octubre de este año, al igual que en otros años, disfrutamos de muchas historias sobre ataques contra objetivos financieros de alto perfil. Pero al final, los actores maliciosos no lograron comprometer a estos objetivos con exploits aterradores, sino que lograron entrar a los sistemas con un correo de phishing o, tal como en el caso que narró un presentador de RiskIQ, utilizaron permisos abiertos en un popular recurso en la nube.

La realidad es que el punto débil de la industria de la seguridad está en que los cibercriminales eligen preferentemente el camino que oponga menor resistencia, el cual a menudo está dado por software de seguridad mal configurado, errores humanos u otros problemas de seguridad operacional. En otras palabras, no se trata de las técnicas sofisticadas utilizadas por un súper hacker, se trata de lo que hacemos nosotros.

Si creemos que estamos haciendo todo bien dentro de nuestra propia organización, esto incluso puede no ser suficiente. Si bien es posible que hayamos protegido completamente nuestra propia red, las personas con las que interactuamos pueden no estar tan protegidas. Podemos pensar que hemos rechazado con éxito el software de un tercero, que no utilizamos la nube para la colaboración, por lo que sentimos que estamos en terreno seguro. Sin embargo, terceras partes dentro de la cadena de suministro pueden estar utilizando servicios en la nube de una manera riesgosa. Y a veces, ni nosotros ni ellos saben que esta situación ha creado un riesgo significativo para ambos entornos.

Sin embargo, hay cosas que podemos hacer al respecto.

Los incidentes de seguridad de mayor magnitud que se dan en estos días, a menudo comienzan en una solución o servicio externo que utiliza. Si bien es posible que contemos con el mejor equipo de seguridad, tal vez estas terceras partes no lo tengan.

Si no estamos seguros, aquí hay algunas cosas obvias (o no tan obvias) que podemos consultar con nuestros equipos:

Permisos en la nube

Sin duda es conveniente para los equipos que comparten recursos en la nube, especialmente para compartir archivos, tener permisos totales sobre los archivos para poder añadir/cambiar/eliminar el acceso a cualquier persona. Pero esto también podría abrirnos problemas. En el caso de proyectos y equipos que se arman apresuradamente, muchas veces ocurre que los recursos “temporales” son arrojados a la nube sin considerar las mejores prácticas de seguridad. Esto a menudo lleva a que todos tengan permisos abiertos como forma de asegurarse de que todo “simplemente funcione”. Y estos recursos suelen sobrevivir por años, con el riesgo que supone el hecho de que haya información privada accesible de manera pública.

Plataformas de colaboración

¿Nuestros equipos o proveedores externos utilizan servicios de mensajería, foros o plataformas no seguras y/o no monitoreadas para discutir temas relacionados con el negocio? Si los delincuentes (o incluso los competidores) pueden acceder a las comunicaciones internas sobre nuestro negocio, esto podría causarnos grandes problemas. Como mínimo, estaríamos proporcionando recursos significativos a atacantes que buscan mediante ingeniería social ingresar a nuestra red.

Correo corporativo comprometido

¿Qué tan bien hemos bloqueado la capacidad de enviar correos electrónicos desde nuestro dominio? ¿Podría esa avalancha de phishing venir desde el interior de nuestra propia casa? Si no estamos cuidando bien la seguridad del correo electrónico, los atacantes podrían estar utilizando nuestro nombre para engañar a las personas y convencerlas para que hagan clic en enlaces maliciosos. Muy pocas compañías están utilizando estrategias de autenticación de correo electrónico como DMARC, DKIM o SPF para ayudar a verificar los mensajes válidos.

Puede ser tentador seguir buscando las nuevas amenazas que los atacantes están desarrollando, pero al final lo más importante pasa más por reparar las grietas simples que puedan existir dentro de nuestro propio edificio. A medida que la tecnología se vuelve más omnipresente, también introduce más complejidad. Al abordar a fondo estos problemas más simples, seremos capaces de dedicar menos energía a estresarnos por las sofisticadas técnicas que se utilizan contra blancos de alto valor y aprovecharla para hacer que las cosas sean realmente más seguras.

Fuente: www.welivesecurity.com

Parcha tu equipo cuanto antes.

Si tienes un equipo Dell probablemente hayas visto SupportAssist, una herramienta diseñada para proteger a tu equipo con Windows de amenazas y vulnerabilidades. Irónicamente, es Dell SupportAssist el comprometido: se descubrió una grave vulnerabilidad que puede poner a tu equipo en riesgo.

La amenaza se descubrió este lunes y ya fue parchada por el equipo de desarrollo de Dell, parche que deberías bajar ahora. El bug fue descubierto por el equipo de Safebreach, una agencia de seguridad que ya detectó otro problema con dicho software en menos de tres meses.

Esta amenaza explota la capacidad de Dell SupportAssist de instalar actualizaciones gracias a su acceso como administrador. Esto podría dejar que un hacker instalara código malicioso en tu equipo sin tu autorización, usando librerías DLL.

Asimismo, un atacante podría aprovechar otra vulnerabilidad para saltarse la firma digital de un driver y obtener acceso a los permisos de lectura/escritura. Con ello, las puertas están abiertas de par en par: un hacker podría saber lo que escribes, lo que aparece en tu pantalla, y lo que trafica tu disco duro.

Una app Dell con diferente alias

SupportAssist viene preinstalado en la mayoría de los equipos Dell en forma de bloatware, o software instalado en tu equipo desde fábrica y que usualmente no es muy útil. Como todo bloatware, es muy difícil de quitar del equipo.

Lo más preocupante es que SupportAssist es un paquete de Windows que ha sido comercializado con otro nombre en soluciones de otros fabricantes: en particular Corsair, Staples y Tobii. La utilidad vulnerable tiene por nombre genérico PC-Doctor Toolbox.

Fuente: www.fayerwayer.com

La productividad es una capacidad que se mide en relación entre lo que se produce y los medios que se emplean, como son los recursos. Es por eso que en el Día Mundial de la Productividad decidimos poner el foco en cómo los hábitos productivos pueden marcar la diferencia a la hora de proteger los activos de una organización. Además, repasamos una serie de acciones que se promueven desde el ámbito de la seguridad de la información y que sirven para garantizar al máximo posible la productividad por el simple hecho de reducir la posibilidad de ser víctima de un incidente.

A continuación, destacamos una serie de acciones clave que fundamentalmente en el campo laboral deberían llevarse adelante y que contribuyen en la mejora de la productividad.

1. Realizar backup de la información

Contar con una copia de seguridad de toda la información necesaria para el correcto funcionamiento de una empresa permite que la productividad no se vea afectada (o no tanto) en caso de sufrir un incidente de seguridad que comprometa los sistemas de información.

Perder el acceso a archivos fundamentales podría tener consecuencias tan severas para la productividad que incluso pueden llevar a la quiebra de una empresa. De hecho, datos de un estudio realizado en 2016 aseguran que el 60% de las empresas que sufren la pérdida de información quiebran en seis meses.

Por último, además de realizar un backup de la información, es importante dedicar el tiempo suficiente para hacerlo correctamente (establecer una periodicidad, tener en cuenta el soporte, etc), ya que no hacer el backup de la manera correcta podría significar tanto la pérdida de la información como del tiempo.

2. Contar con una política de actualización de software

Similar a no contar con una copia de seguridad de la información de valor, no contar con una política de actualización que asegure la instalación de los parches de seguridad de las herramientas que se utilicen podría significar la exposición a un ataque o incidente de seguridad. Solo basta con recordar lo que ocurrió con el brote de WannaCry, un ransomware que explotaba una vulnerabilidad en Windows para la cual Microsoft ya había lanzado un parche de seguridad que lo mitigaba, pero que requería que los usuarios actualicen sus sistemas para instalarlo. Sin embargo, debido a que muchos equipos no llevaron adelante la actualización sufrieron las consecuencias del ransomware.

Es importante tener presente que todo software es susceptible de necesitar actualizaciones de seguridad. A través de estas actualizaciones, los fabricantes añaden mejores a los productos, corrigen errores y reparan fallos de seguridad. En este sentido, contar con la última actualización podría evitar ser víctima de un intento de ataque que busque robar información y/o credenciales.

3. Contar un plan de respuesta a incidentes

Contar con plan de respuesta a incidentes implica tener herramientas para tratar de lograr recuperar el funcionamiento normal de una empresa en el menor tiempo posible, de forma que no se vea perjudicada la productividad; así como su imagen u otras consecuencias como las que puede surgir a partir de ser víctima un incidente de seguridad. En este sentido, esta herramienta que generalmente forman parte de un Sistema de Gestión de Seguridad de la Información, funciona como un lineamiento de los pasos a seguir para responder de manera adecuada en diferentes escenarios en los que los datos de una empresa estén en riesgo.

En el siguiente artículo, el investigador de seguridad de ESET, Camilo Gutiérrez, ofrece algunas recomendaciones que deberían tenerse en cuenta para mejorar el Plan de Respuesta a Incidentes.

Por otra parte, desde Academia ESET también se ofrece un curso online gratuito de gestión de respuesta ante incidentes de seguridad que será de ayuda.

4. Llevar adelante capacitaciones de seguridad

La capacitación es clave para evitar incidentes de seguridad, ya que el ser humano es el eslabón más vulnerable en toda la arquitectura de seguridad de una organización. Según datos publicados a fines de 2018 de un estudio realizado por IBM, el 95% de las incidencias en ciberseguridad se deben a errores humanos. Teniendo esto presente y las consecuencias para la productividad que puede tener para una organización sufrir un incidente de seguridad, es que la capacitación se convierte en un pilar clave para disminuir el riesgo a incidentes. Por lo tanto, ofrecer las herramientas a los colaboradores para que aprendan a reconocer las técnicas de engaño utilizadas por los cibercriminales, como son las técnicas de ingeniería social, contribuye a disminuir los riesgos.

5. Configurar los accesos según el principio de menor privilegio 

Tal como explicó el investigador en seguridad de ESET, Miguel Ángel Mendoza, la estrategia de limitar el acceso a lo que es imprescindible, conocido como el principio del menor privilegio, se apoya en la idea de otorgar únicamente permisos cuando son necesarios para el desempeño de cierta actividad. De esta manera, dedicar tiempo y esfuerzo a este modelo reduce el grado de exposición a incidentes al reducir al mínimo posible los permisos de acceso. Sin embargo, se debe prestar atención a que esta limitación de los accesos no afecte las necesidades de cada profesional de la empresa, ya que podría afectar a la productividad de la misma.

Como conclusión, las acciones que tengan como objetivo la disminución de riesgos suponen una mejora para la productividad al reducir las probabilidades de que una amenaza atente contra el funcionamiento natural de la organización, aunque se deben llevar adelante de tal forma que las propias acciones no afecten de manera negativa la dinámica laboral.

Fuente: www.welivesecurity.com

Google reveló que lanzó “más de 700.000 aplicaciones” y hubieron más 100.000 desarrolladores fuera de su bazar Play digital durante 2017.

Las noticias no son del todo malas: Google dijo que el 99 por ciento de las aplicaciones malas fueron atacadas por herramientas que emplean el aprendizaje automático, por lo que nadie tuvo la oportunidad de descargarlas. También es bueno saber que la mayoría de las aplicaciones rechazadas fueron imitadores que esperaban sacar algún dinero imitando otras aplicaciones.

Pero también había muchas aplicaciones que ofrecían “pornografía, violencia extrema, odio y actividades ilegales” que intentaban colarse en Play Store, además de muchos intentos de introducir malware en la tienda.

Google dijo que planea refinar sus herramientas con AI para detectar aún más aplicaciones en el futuro. Los desarrolladores de Dodgy también están en su punto de mira: la compañía espera poder automatizar herramientas que eviten que los codificadores de juegos solo vuelvan a registrar las cuentas de Play con nuevas credenciales.

No dejes que los preciosos números grandes de Google te den una falsa sensación de seguridad sobre Play o la inteligencia artificial de Google, ya que aún permite una versión falsa de WhatsAppque generó un millón de usuarios afectados y 60 aplicaciones que mostraban carbón a los niños.

Google también ha tenido problemas con los videos maliciosos de YouTube disfrazados de diversión para los niños.

Fuente: www.theregister.co.uk

La Comisión Europea ha puesto en marcha su primer programa de recompensa por errores, una iniciativa que en inglés se denomina bug bounty y que se resume en recompensar económicamente a quien localice y reporte errores, por lo general de seguridad, con respecto a algún software concreto. Y el elegido para arrancar no es otro que VLC.

Por lo que cuentan en Joinup, en la primera fase del programa “se invitará a participar a hackers con experiencia previa en la plataforma HackerOne” para más tarde, al cabo de unas tres semanas, abrir la participación a cualquier interesado. En relación a las recompensas se habla de entre 100 y 3.000 euros “en función de la gravedad y el impacto” del hallazgo, indican desde HackerOne, mientras que la duración del programa se estima “hasta las primeras semanas de enero o hasta que el presupuesto para recompensas se agote”.

La Comisión Europea dispone de un presupuesto anual de 2 millones de euros para el proyecto de Auditoría de software libre y de código abierto de la UE (EU-Fossa) en el que se engloba esta iniciativa, pero no se dan más detalles. No obstante, no es el primer proyecto que ponen en marcha, aunque sí es el primero con el formato de recompensa. En esencia, eso sí, el objetivo es el mismo: auditar y mejorar la seguridad del software libre que se utiliza en las instituciones de la Unión Europea.

Ahora bien, ¿por qué VLC? ¿Acaso un reproductor multimedia es software crítico? Lo es, cuando está incluido en todas las estaciones de trabajo de la Comisión Europea. El órgano ejecutivo de la UE renovó su estrategia Open Source hace un par de años y a pesar de estar aún muy lejos de lo deseable, la implantación de soluciones de código abierto es cada vez mayor. Se podría decir que están siendo mínimamente consecuentes y poniendo dinero sobre la mesa.

En cuanto a VLC, no necesita presentación. Es posiblemente el reproductor de vídeo y audio más conocido del mundo, aunque lo cierto es que es mucho más que eso. Es una solución multimedia y multiplataforma muy completa y cien por cien software libre que desde hace más de 20 años está gestionada por el proyecto de origen francés VideoLAN. A mediados de este año cubrimos uno de sus últimos lanzamientos, pero lo que muchos de sus usuarios esperan es la nueva versión mayor, VLC 3.0, a la que tan bien le va a venir esta historia.

Fuente: www.muylinux.com

En los últimos días ha aparecido una vulnerabilidad importante dentro del protocolo WPA2, un protocolo que no solo utilizan los equipos con Windows o MacOS sino que también afecta a los equipos con el kernel de Linux. WPA2 es un protocolo de seguridad para conexiones, (Wi-Fi Protect Access 2), que utiliza todas las conexiones inalámbricas.

El bug descubierto afecta a este protocolo haciendo que un usuario intruso pueda tener el control del equipo o utilizar los recursos de la Red. Este bug ha sido conocido como KRACK y dentro de Gnu/Linux afecta a dos paquetes o programas: wpa_supplicant y hostapd.

Recientemente Ubuntu y Linux Mint han actualizado estos paquetes para corregir KRACK dentro de sus distribuciones, así como también a los sabores oficiales que se basan en estas distribuciones. Así pues, solo hemos de actualizar el sistema a través de las herramientas de software de los sistemas operativos para que KRACK no sea un problema para nuestros equipos.

Las principales distribuciones ya han solucionado el problema de KRACK y WPA2

Días antes, los equipos de seguridad de Debian, Solus, Fedora y Arch Linux hicieron lo mismo con sus distribuciones y spins, actualizando los paquetes wpa_supplicant y hostpad para que tal vulnerabilidad no ocurra. Por el momento son las únicas distribuciones que conocemos que hayan solucionado este problema. Sin embargo, poco a poco más distribuciones darán el paso para solucionar este bug y otras ya lo habrán hecho pero no lo han anunciado a su comunidad.

KRACK es un buen ejemplo de porque tenemos que usar una distribución con un desarrollo activo, pues las distribuciones muertas u obsoletas que utilicen WPA2 no corregirán este bug y pondrán en peligro los datos de sus usuarios. Por ello, siempre es  bueno optar por un desarrollo activo, pues nunca se está a salvo de problemas y bugs como KRACK.

Fuente: www.linuxadictos.com

En este artículo se muestra cómo instalar y configurar mod_security. mod_security es un módulo Apache que proporciona detección y prevención de intrusiones para aplicaciones web. Su objetivo es proteger las aplicaciones web de ataques conocidos y desconocidos, como ataques de inyección de SQL, secuencias de comandos entre sitios, ataques de trayectoria de ruta, etc.

En el primer capítulo voy a mostrar cómo instalar mod_security en Debian, Ubuntu y en Fedora, y en el segundo capítulo voy a describir cómo configurar Apache para mod_security que es independiente de la distribución que estes usando

Quiero decir primero que no es la única forma de establecer un sistema de este tipo. Hay muchas maneras de lograr este objetivo, pero esta es la manera que tomo. ¡No hay ninguna garantía de que esto funcione para usted!

1 Instalación

1.1 Debian

mod_security está disponible como un paquete Debian en los repositorios Debian por defecto, por lo tanto la instalación es tan simple como esto:

apt-get install libapache2-mod-security
a2enmod mod-security
/etc/init.d/apache2 force-reload

1.2 Ubuntu

La instalación es exactamente la misma que en Debian Sarge:

apt-get install libapache2-mod-security
a2enmod mod-security
/etc/init.d/apache2 force-reload

1.3 Fedora

En Fedora, puede instalar y activar mod_security de la siguiente manera:

yum install mod_security
/etc/init.d/httpd restart

Ahora debe encontrar el archivo /etc/httpd/conf.d/mod_security.conf que ya contiene una configuración básica de mod_security:

vi /etc/httpd/conf.d/mod_security.conf

# Example configuration file for the mod_security Apache module
LoadModule security_module modules/mod_security.so
<IfModule mod_security.c>
    # Turn the filtering engine On or Off
    SecFilterEngine On
    # The audit engine works independently and
    # can be turned On of Off on the per-server or
    # on the per-directory basis
    SecAuditEngine RelevantOnly

    # Make sure that URL encoding is valid
    SecFilterCheckURLEncoding On

    # Unicode encoding check
    SecFilterCheckUnicodeEncoding On

    # Only allow bytes from this range
    SecFilterForceByteRange 1 255

    # Cookie format checks.
    SecFilterCheckCookieFormat On

    # The name of the audit log file
    SecAuditLog logs/audit_log

    # Should mod_security inspect POST payloads
    SecFilterScanPOST On

    # Default action set
    SecFilterDefaultAction "deny,log,status:406"

    # Simple example filter
    # SecFilter 111

    # Prevent path traversal (..) attacks
    # SecFilter "\.\./"

    # Weaker XSS protection but allows common HTML tags
    # SecFilter "&lt;( |\n)*script"

    # Prevent XSS atacks (HTML/Javascript injection)
    # SecFilter "&lt;(.|\n)+&gt;"

    # Very crude filters to prevent SQL injection attacks
    # SecFilter "delete[[:space:]]+from"
    # SecFilter "insert[[:space:]]+into"
    # SecFilter "select.+from"

    # Require HTTP_USER_AGENT and HTTP_HOST headers
    SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"

    # Only accept request encodings we know how to handle
    # we exclude GET requests from this because some (automated)
    # clients supply "text/html" as Content-Type
    SecFilterSelective REQUEST_METHOD "!^GET$" chain
    SecFilterSelective HTTP_Content-Type "!(^$|^application/x-www-form-urlencoded$|^multipart/form-data)"

    # Require Content-Length to be provided with
    # every POST request
    SecFilterSelective REQUEST_METHOD "^POST$" chain
    SecFilterSelective HTTP_Content-Length "^$"

    # Don't accept transfer encodings we know we don't handle
    # (and you don't need it anyway)
    SecFilterSelective HTTP_Transfer-Encoding "!^$"

    # Some common application-related rules from
    # http://modsecrules.monkeydev.org/rules.php?safety=safe

    #Nuke Bookmarks XSS
    SecFilterSelective THE_REQUEST "/modules\.php\?name=Bookmarks\&amp;file=(del_cat\&amp;catname|del_mark\&amp;markname|edit_cat\&amp;catname|edit_cat\&amp;catcomment|marks\&amp;catname|uploadbookmarks\&amp;category)=(&lt;[[:space:]]*script|(http|https|ftp)\:/)"

    #Nuke Bookmarks Marks.php SQL Injection Vulnerability
    SecFilterSelective THE_REQUEST "modules\.php\?name=Bookmarks\&amp;file=marks\&amp;catname=.*\&amp;category=.*/\*\*/(union|select|delete|insert)"

    #PHPNuke general XSS attempt
    #/modules.php?name=News&amp;file=article&amp;sid=1&amp;optionbox=
    SecFilterSelective THE_REQUEST "/modules\.php\?*name=&lt;[[:space:]]*script"

    # PHPNuke SQL injection attempt
    SecFilterSelective THE_REQUEST "/modules\.php\?*name=Search*instory="

    #phpnuke sql insertion
    SecFilterSelective THE_REQUEST "/modules\.php*name=Forums.*file=viewtopic*/forum=.*\'/"

    # WEB-PHP phpbb quick-reply.php arbitrary command attempt

    SecFilterSelective THE_REQUEST "/quick-reply\.php" chain
    SecFilter "phpbb_root_path="

    #Topic Calendar Mod for phpBB Cross-Site Scripting Attack
    SecFilterSelective THE_REQUEST "/calendar_scheduler\.php\?start=(&lt;[[:space:]]*script|(http|https|ftp)\:/)"

    # phpMyAdmin: Safe

    #phpMyAdmin Export.PHP File Disclosure Vulnerability
    SecFilterSelective SCRIPT_FILENAME "export\.php$" chain
    SecFilterSelective ARG_what "\.\."

    #phpMyAdmin path vln
    SecFilterSelective REQUEST_URI "/css/phpmyadmin\.css\.php\?GLOBALS\[cfg\]\[ThemePath\]=/etc"

</IfModule>

Puede mantener esta configuración, pero para obtener una mejor comprensión de lo que puede hacer mod_security ,
debe comentar la parte <IfModule mod_security.c>…</IfModule>,
reiniciar Apache y seguir el capítulo 2.
Posteriormente puede crear su propio mod_security ruleset, o simplemente cambie de nuevo éste.

Fuente: www.linux-party.com