#pornhub command injection + shell on subdomain + src for sale
xmpp : revolver@rows.io
-
161161 Retweets
-
167167 likes
View image on Twitter
Month: May 2016
¿CÓMO DEFINIR UN PLAN DE SEGURIDAD INFORMÁTICA?
El plan de seguridad informática se describe cómo se implementan la seguridad, las políticas definidas, las medidas y los procedimientos. El plan de seguridad informática se desarrolla sobre la base de los recursos informáticos en dependencia de los niveles de seguridad alcanzados y de los aspectos que queden por cubrir. Un plan de seguridad informática debe enfocar sobre las acciones a realizar para lograr niveles superiores de seguridad. Es muy importante a definir el alcance de un plan de seguridad informática. Acuerdo con los especialistas de los servicios de seguridad lógica para empresas, el alcance ayuda en definir las prioridades y acciones dependiendo de los recursos informáticos.
La seguridad física y la seguridad lógica son dos aspectos del plan de seguridad informática y son necesarios para la seguridad de una empresa. A continuación son los detalles de cada aspecto.
SEGURIDAD LOGICA
Una parte importante de un plan de seguridad informática es seguridad lógica. Medidas y procedimientos de seguridad lógica junto con políticas de seguridad lógica forman una ruta para implementar seguridad lógica.
MEDIDAS Y PROCEDIMIENTOS DE SEGURIDAD LÓGICA
Las soluciones y servicios de seguridad lógica para empresas son partes de las medidas y procedimientos. Sistemas de seguridad lógica para empresas se establecen las medidas y procedimientos que se requieran para la prevención, detección y recuperación de la información empresarial. Según expertos de empresa de seguridad lógica, las políticas de seguridad lógica y sistemas de seguridad perimetral son partes integrales de los servicios de seguridad lógica. Las soluciones y servicios de seguridad lógica para empresas evitan accesos no autorizados a la información empresarial. Los servicios de seguridad lógica para empresas crean barreras lógicas que protejan el acceso a la información.
Los consultores de los servicios de seguridad lógica para empresas mencionan que tradicionalmente las empresas dependieron sobre los sistemas de seguridad perimetral para defenderse de las amenazas de redes y sobre los programas de antivirus para defenderse de las amenazas del contenido. Sin embargo, estos sistemas no dan una protección completa contra ataques avanzados. Los consultores de servicios de seguridad lógica para empresas aseguran que la defensa contra ataques avanzados está más allá de la capacidad de las soluciones convencionales de seguridad lógica. Esto ha acelerado la necesidad de los servicios de seguridad lógica y las soluciones avanzadas.
SISTEMA DE SEGURIDAD PERIMETRAL
Una parte importante de las soluciones y servicios de seguridad lógica para empresas es un sistema de seguridad perimetral. Todas las empresas, con independencia de su tamaño y del sector al que se dediquen, actualmente tienen algún tipo de sistema de seguridad perimetral para ciberdefensa contra ciberataques. Los sistemas de seguridad perimetral por redes están responsable de la seguridad del sistema informático de una empresa contra amenazas externas, como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, etcétera.
Anteriormente sistemas de seguridad perimetral por redes, solo incorporaba cortafuego, pero el mercado de sistema de seguridad perimetral está cambiando mucho y ahorita un sistema de seguridad perimetral por redes también incorpora los sistemas de IDS (Intrusión Detection Systems) e IPS (Intrusión Prevention Systems). Los especialistas de seguridad perimetral mencionan que un sistema de seguridad perimetral por redes debe inspeccionar los protocolos de aplicación, contenido y debe utilizar técnicas avanzadas para identificar las amenazas no conocidas. Los sistemas de seguridad perimetral proporcionan protección a dos diferentes nivel. El primer nivel es de la red, el sistema de seguridad perimetral para redes proporciona protección contra amenazas como ataques de hackers, las intrusiones o el robo de información en las conexiones remotas. El segundo nivel es del contenido, el sistema de seguridad perimetral para contenido proporciona protección contra amenazas como malware, phishing, el spam y los contenidos web no apropiados para las empresas. Esta clara división unida al modo de evolución de las amenazas en los últimos años ha propiciado que las empresas del sistema de seguridad perimetral se enfoquen en el desarrollo de equipos dedicados a uno u otro fin.
IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS USUARIOS
Identificación y autenticación de los usuarios son partes importantes de medidas y procedimientos. Los controles de acceso para seguridad informática son las medidas de identificación y autenticación de los usuarios. La asignación de derechos y privilegios en un sistema de controles de acceso es controlada a través de proceso de autorización que determina el perfil de cada usuario. Las soluciones de controles de acceso para seguridad informática garantizan el acceso de usuarios autorizados e impidiendo el acceso no autorizado a los sistemas informáticos. Acuerdo con la experiencia de los expertos de los controles de acceso para seguridad informática, durante la implantación de los controles de acceso las empresas deben considerar los siguientes aspectos:
- Las políticas de seguridad lógica para la clasificación, autorización y distribución de la información.
- Las normas y obligaciones empresariales con respecto a la protección del acceso a la información.
- Auditoría de seguridad informática para verificar los procesos de los controles de acceso.
- Mantener los registros de acceso por cada servicio o sistema informático.
- Los procedimientos para identificación de usuarios y verificación del acceso de cada usuario.
- Los controles de acceso para seguridad informática deberán cubrir todas las fases del ciclo de vida del acceso del usuario, desde el registro inicial de nuevos usuarios hasta la anulación del registro de usuarios que no requieren más acceso a los sistemas informáticos.
- Sistema y método de autenticación empleado por los controles de acceso para seguridad informática.
- Por mayor seguridad, considerar las soluciones avanzadas de controles de acceso de seguridad informática, tales como biometría, tarjetas inteligentes etc.
- Definir los recursos, cual deben ser protegidos con las soluciones de control de acceso.
- Procesos y metodología de autorización utilizados por los controles de acceso.
Según expertos de controles de acceso para seguridad informática, el proceso de revisión de los derechos de acceso de usuarios después de cualquier cambio es muy importante. Las empresas deben implementar los sistemas de seguridad perimetral por redes con el fin de evitar la modificación no autorizada, destrucción y pérdida de los datos de sistema de control de acceso.
POLÍTICAS DE SEGURIDAD LÓGICA
El objetivo primordial de las políticas de seguridad lógica es suministrar orientación y ayudar la dirección, de acuerdo con los requisitos empresariales y con las normas de seguridad. Las políticas de seguridad lógica representan los objetivos empresariales y compromiso a la seguridad informática. Las políticas de seguridad lógica deben ser publicadas adentro de la empresa y ser comunicadas a todos los empleados de la empresa.
Las políticas de seguridad lógica definen los recursos, cual deben ser protegidos y cual son los procedimientos de seguridad lógica. Las políticas de seguridad lógica en sí mismas no dicen como los recursos son protegidos. Esto es función de las medidas y procedimientos de seguridad lógica. Por cada política de seguridad lógica existen varias medidas y procedimientos que le correspondan. Desde que las políticas de seguridad lógica pueden afectar a todos los empleados es importante asegurar a tener el nivel de autoridad requerido para implementación y desarrollo del misma. Las políticas de seguridad lógica debe ser avaladas por los expertos con experiencia en implementación de políticas de seguridad lógica y por la dirección de la empresa que tiene el poder de hacerlas cumplir. Políticas como de gestión de los incidentes, de respaldo de datos, de protección de datos personales forman una parte integral de las políticas de seguridad lógica.
SEGURIDAD FÍSICA PARA LA EMPRESA
Otra parte importante del plan de seguridad informática es la seguridad física empresarial. Las medidas y procedimientos de seguridad física están dirigidas a lograr una eficiente gestión de la seguridad y deben garantizar el cumplimiento de las regulaciones vigentes, así como las establecidas por la propia entidad. Las soluciones de seguridad física de la información, tienen el objetivo de evitar accesos físicos no autorizados, daños e interferencias contra la infraestructura informática y la información empresarial. Las soluciones de seguridad física de la información, forman una parte de integral de las soluciones de seguridad física. Las soluciones de seguridad física de la información, se aplican a los departamentos de informática, de los soportes de información y otros departamentos donde se encuentran gestión de datos. El plan de seguridad informática, determina las zonas controladas adentro de la empresa y estas zonas tienen requerimientos específicos de seguridad, en base a lo cual se declaran zonas limitadas, restringidas o estratégicas y se describen las soluciones de seguridad física de la información que se aplican en cada una de ellas.
Generalmente las soluciones de seguridad física de la información crean una barrera física alrededor de las áreas de procesamiento de la información. Pero algunas soluciones de seguridad física de la información, utilizan múltiples barreras para brindar protección adicional y estar más seguro. Periódicamente, las empresas deben hacer la revisión de rendimiento de las soluciones y determinar las acciones a realizar para lograr el ciclo de mejora continua.
La protección de la infraestructura informática y dispositivos empresarial forma una parte integral de las soluciones de seguridad física de la información y son necesarias para reducir las amenazas físicas de accesos no autorizados a la información y riegos de robos o daños. Las soluciones deben tomar en cuenta las acciones necesarias para cubrir las brechas de seguridad y la corrección de los errores de los sistemas. Las soluciones de seguridad física de la información garantizan la protección contra fallas eléctricas, intercepción de la información y la protección de los cables. Según los expertos de soluciones de seguridad física de la información, las amenazas físicas como daños que puedan ser ocasionados por incendios, inundaciones, terremotos, explosiones, y otras formas de desastre natural o artificial deben ser consideradas durante la implantación de las soluciones de seguridad física de la información.
La implementación de un plan de seguridad es un paso importante en el ámbito de seguridad. Deben tomar ayuda de una organización con especialización en los servicios de seguridad lógica para empresas. El plan de seguridad informática debe ajustar al sistema de seguridad implementado y utilizándolo como una herramienta de la gestión de la seguridad. El plan de seguridad informática debe ser muy comprensible y eso asegura su cumplimiento. Los expertos en plan de seguridad informática podrían asegurar que el plan está actualizado sobre la base de los cambios como nuevas políticas de seguridad lógica y soluciones de seguridad física de la información.
¿Cómo hacer una efectiva evaluación de la vulnerabilidad?
Para conseguir el máximo beneficio de una evaluación de la vulnerabilidad por una empresa de seguridad de la información se requiere una comprensión de los procesos de misión crítica de su organización y la infraestructura subyacente, y aplicar esos conocimientos a los resultados. Según expertos de sistema de gestión de seguridad de información, para que sea realmente efectivo, se deben incluir los siguientes pasos:
- Identificar y entender los procesos de tu empresa
El primer paso para proporcionar un contexto empresarial es identificar y comprender los procesos de organización en tu empresa, centrándose en aquellos que son críticos y sensibles en términos de cumplimiento, la privacidad del cliente, y la posición competitiva. No hay manera de hacer la informática sin ningún tipo de conexión con otras personas. En muchas organizaciones, se requiere la colaboración entre la informática y los representantes de las unidades de negocio, empresa de seguridad de la información, el departamento de finanzas y el asesor legal. Acuerdo con los expertos de sistema de gestión de seguridad de información, muchas organizaciones ponen juntos los grupos de trabajo de estrategias de seguridad con los representantes de cada departamento, quienes trabajan juntos durante varias semanas para analizar los procesos de negocio, la información y la infraestructura de la que dependen.
- Determinar con precisión las aplicaciones y los datos que subyacen a los procesos de negocio
Una vez que los procesos de negocios son identificados y clasificados en términos de criticidad de la misión y sensibilidad, El siguiente paso es identificar las aplicaciones y los datos en los que los procesos de misión crítica dependen. Una vez más, esto se puede lograr sólo a través de la colaboración entre la informática y otros agentes económicos. A partir de extensas discusiones colaborativas, es posible descubrir las aplicaciones que son mucho más críticas de lo esperado. Por ejemplo, el correo electrónico puede ser una aplicación absolutamente crítica para un departamento, pero no crítica en absoluto para muchos otros.
- Encontrar las fuentes de datos ocultos
Cuando estás buscando aplicaciones y fuentes de datos, asegúrate de tomar en cuenta los dispositivos móviles como teléfonos inteligentes (smartphones) y tabletas, así como computadoras de escritorio. En conjunto; estos dispositivos a menudo contienen los datos más recientes y delicados que tu organización posee. Trabajar con las unidades de negocio para entender quién está utilizando dispositivos móviles para acceder y compartir aplicaciones y datos corporativos. Comprender los flujos de datos entre estos dispositivos y aplicaciones de centros de datos y almacenamiento. Averiguar si sus usuarios corporativos están enviando mensajes de correo electrónico de negocios a través de servicios de correo electrónico públicas como Gmail o Yahoo Mail. Según empresas de seguridad de la información, otra categoría a menudo oculta para investigar es el entorno de desarrollo de software, pues ellos son inherentemente menos seguros que los ambientes de producción. Los desarrolladores de software y probadores a menudo utilizan los datos actuales, algunas veces de misión-crítica para probar aplicaciones nuevas y mejoradas.
- Determinar que hardware sustenta a las aplicaciones y datos
Seguir trabajando bajo las capas de la infraestructura para identificar los servidores, tanto virtuales como físicos, que ejecutan tus aplicaciones de misión crítica. Para las aplicaciones Web, se puede estar hablando de tres o más conjuntos de servidores Web, aplicaciones y bases de datos, por aplicación. Según expertos de empresa de seguridad de la información, identificar los dispositivos de almacenamiento de datos que contienen los datos de misión crítica y datos delicados utilizados por estas aplicaciones.
- Mapa de la infraestructura de red que conecta el hardware
Desarrollar una comprensión de los routers y otros dispositivos de red que sus aplicaciones y hardware dependen para un rendimiento rápido y seguro.
- Identificar que controles ya están en su lugar
Tenga en cuenta las medidas de seguridad y continuidad del negocio que ya ha puesto en marcha, incluidas las políticas, firewalls, Acuerdo con los expertos de sistema de gestión de seguridad de información, firewalls de aplicación, Detección de intrusos y sistemas de prevención(IDPS), virtual prívate networks (VPNs), data loss prevention (DLP), y el cifrado, -para proteger a cada conjunto de servidores y dispositivos de almacenamiento que alojan aplicaciones de misión-crítica y datos. Acuerdo con los expertos de sistema de gestión de seguridad de información, entender las capacidades clave de estas protecciones, y qué vulnerabilidades abordan más eficazmente. Esto puede requerir una investigación bastante extensa, incluyendo sitios web de exploración y revisión, y hablar con representantes de la empresa de seguridad.
- Ejecutar el análisis de vulnerabilidad
Sólo cuando has entendido y trazado tu aplicación, flujos de datos, el hardware subyacente, infraestructura de red y protecciones es lo que realmente tiene sentido para ejecutar sus análisis de vulnerabilidad por expertos de empresa de seguridad de la información.
- Aplicar el contexto de la tecnología y los negocios al escaneado de resultados
Un escáneo puede producir puntuaciones del alojamiento y otras vulnerabilidades con clasificación de gravedad, pero dado que los resultados y las puntuaciones se basan en medidas objetivas, es importante para determinar la organización de tu empresa y el contexto infraestructural. Derivar de información significativa y aplicable sobre el riesgo de negocio a partir de datos de la vulnerabilidad es una tarea compleja y difícil. Después de evaluar el nivel de conocimientos y la carga de trabajo de su personal, es posible determinar que sería útil para asociarse con una empresa de seguridad de la información que está bien entrenada en todos los aspectos de la seguridad y la evaluación de amenazas. Ya sea que la empresa realice esta tarea de forma interna o consiga ayuda externa, los resultados deben ser analizados para determinar qué vulnerabilidades de la infraestructura deben atacarse primero y más agresivamente.
¿Cómo piratear (Hackear) Microsoft Outlook?
En las pruebas de seguridad en aplicaciones web algunas veces puede ser difícil adquirir más privilegios en el (Microsoft Outlook) sistema objetivo. En esta situación, puede ser útil para obtener acceso a los recursos con información confidencial, como contraseñas.
Según expertos de curso de seguridad web; ‘Metasploit’ no tiene ningún módulo para leer mensajes de correo electrónico desde una instalación local de Outlook. Sin embargo Outlook puede contener una gran cantidad de información confidencial y útil en pruebas de seguridad en aplicaciones web, tales como credenciales de red. Para crear un módulo de ‘Metasploit’ que puede leer y / o buscar en los mensajes de correo electrónico de Outlook locales podrían seguir los siguientes paso acuerdo con el curso de seguridad web.
¿Cómo hacerlo?
Con el fin de hacer esto, el módulo está utilizando ‘PowerShell’. La siguiente secuencia de comandos ‘PowerShell’ es utilizada por el módulo ‘Metasploit’ explica experto de curso de seguridad web.
La función de ‘List-Folder’ muestra todos los buzones y carpetas disponibles asociados en una instalación local de Outlook.La función ‘Get-Emails “se utiliza para mostrar los mensajes en una carpeta específica, estos mensajes también pueden ser filtrados por una palabra clave (por ejemplo,” contraseña “).
Un problema que puedes enfrentar, es la ventana emergente de seguridad cuando te conectas al Outlook usando ‘powershell’ durante pruebas de seguridad en aplicaciones web.
Es todo un reto omitir este mensaje, ya que el usuario debe dar clic manualmente. En el módulo puedes usar WinAPI con el fin de lograr esta omisión. Tenga en cuenta que el usuario detrás del sistema objetivo puede notar estas actividades, por lo tanto debe tener presente que podrían detectar estas actividades cuando se utiliza este módulo. La siguiente función está comprobando la casilla de “acceso permitido” y haciendo clic en permitir.
Uso del módulo
El módulo puede ser instalado mediante la actualización ‘Metasploit’ durante pruebas de seguridad en aplicaciones web. El modulo tiene las siguientes dos acciones:
- LIST: Muestra los buzones de correo y carpetas disponibles en una instalación local de Outlook
- SEARCH: Despliega los mensajes en una carpeta específica, los cuales pueden Ser filtrados Por una palabra clave
La acción LIST requiere solo de las opciones de ‘SESSION’ para configurada.
Para utilizar la acción SERCH, el módulo tiene varias opciones que con las que puede ser configurada explica experto de curso de seguridad web.
La opción de FOLDER (carpeta para buscar, por ejemplo, “Bandeja de entrada”) y KEYWORD (filtro en una palabra clave como “contraseña”) son bastante fáciles.
Las opciones A_TRANSLATION y ACF_TRANSLATION requieren un clic en notificación de seguridad de Outlook, cuando el lenguaje no es compatible por el modulo (en-US, NL y DE son compatibles).
La siguiente salida es un ejemplo de un fragmento de la salida la cual es generada por el módulo de Metasploit cuando se utiliza la acción “LIST”.
La siguiente salida es un ejemplo de un fragmento de la salida la cual es generada por el módulo de Metasploit cuando se utiliza la acción “SEARCH”, en la carpeta ‘Inbox’ con la palabra clave ‘password’:
USO DE INYECCIÓN DE REFLECTIVE DLL PARA ESTAR INDETECTABLE A ANTI VIRUS
Normalmente, cuando se carga un archivo DLL en Windows, se llama a LoadLibrary. LoadLibrary toma la dirección de un archivo DLL y lo carga en la memoria. Además de DLL está en el disco, DLL se mostrará cuando se utilizan herramientas como List DLLs para enumerar DLL cargadas en la memoria según expertos de análisis de vulnerabilidades informáticas.
Reflective DLL se refiere a la carga de una DLL de la memoria, en lugar de hacerlo desde el disco. Windows no tiene una función LoadLibrary que apoya en esto, así que para obtener la funcionalidad tenemos que escribir propia función explica Jorge Ríos el maestro de diplomado de hacking ético. Uno de los beneficios de escribir propia función es que omitimos algunas de las cosas que normalmente Windows hace, tales como el registro de la DLL como un módulo cargado en el proceso, lo que hace que reflective DLL más indetectable. Meterpreter es un ejemplo de una herramienta que utiliza la carga reflexiva para ocultarse según el maestro de diplomado hacking ético.
Inyección de reflective DLL es una técnica de inyección de la biblioteca que usa el concepto de programación reflexiva para realizar la carga de una biblioteca de memoria en un proceso de host. Como tal la biblioteca es responsable de cargar a sí mismo mediante la implementación de un archivo de portable ejecutable (PE). Con eso podemos gobernar, con mínima interacción con el sistema host y el proceso, cómo se va a cargar e interactuar con el host según expertos de análisis de vulnerabilidades informáticas.
La principal ventaja de la propia biblioteca de carga es que no está registrada en ninguna manera con el sistema host y como resultado es en gran parte indetectable tanto a nivel de sistema y a nivel de proceso.
Acuerdo con el diplomado de hacking ético, el proceso de inyección de forma remota de una biblioteca en un proceso es de dos pasos. En primer paso, debe indicarse la biblioteca que desea inyectar en el espacio de dirección del proceso destino (referido aquí como el proceso de host). En segundo paso la biblioteca debe ser cargada en ese proceso de host de tal manera que se cumplan las expectativas de tiempo de ejecución de la biblioteca, como resolver sus importaciones o reubicación de un lugar adecuado en la memoria.
Inyección de Reflective DLL funciona de la siguiente forma.
- La ejecución se hace pasar, a través de un pequeño código shell bootstrap, a la biblioteca de
función de ReflectiveLoader que es una función exportada en la biblioteca de tabla de exportación. - Como actualmente se existe la imagen de la biblioteca en una dirección arbitraria en la memoria, el reflectiveloader primero calculará la dirección actual de su propia imagen en la memoria para poder analizar posteriormente sus propias cabeceras para uso.
- ReflectiveLoader analizará a continuación la tabla de exportación de kernel de host para calcular las direcciones de tres funciones requeridas por el cargador, es decir LoadLibrary, GetProcAddress y VirtualAlloc.
- La ReflectiveLoader ahora asignará una región continua de memoria en que se procederá a cargar su propia imagen. La ubicación no es tan importante como el cargador localizará correctamente la imagen más adelante.
- Encabezados y secciones de la biblioteca se cargan en sus nuevas direcciones en la memoria.
El ReflectiveLoader luego procesará la copia recién cargada de tabla de importación de su imagen, eso también cargará cualquier biblioteca adicional y resolver sus direcciones respectivas de función importada. - El ReflectiveLoader luego procesará la copia recién cargada de la tabla de reubicación de su imagen.
- El ReflectiveLoader luego llamará función de punto de entrada de su imagen recién cargada, DllMain con con DLL_PROCESS_ATTACH. La biblioteca ahora ha sido correctamente cargada en la memoria.
- Finalmente el ReflectiveLoader volverá ejecución al inicial de shellcode bootstrap que lo llamó.
Como una biblioteca reflexivamente cargada no se registrará en la lista de procesos de host de los módulos cargados, específicamente la lista de Process Environment Block (PEB), que se modifica durante las llamadas de API como kernel 32 LoadLibrary y LoadLibraryEx, cualquier intento de enumerar los módulos de procesos host no cederá la biblioteca inyectada. Esto es porque la inyección de la biblioteca no registra con su proceso de host en cualquier etapa.
Según expertos de análisis de vulnerabilidades informáticas, a nivel del sistema cuando se utilizaInyección de Reflective DLL en la explotación remota, la biblioteca debe ser indetectable por los escáneres de archivo, como Anti Virus, ya que nunca entra el disco.
A bug in the Symantec Antivirus Engine allows remote memory exploitation
The white hat hacker Tavis Ormandy has discovered a critical exploitable memory overflow bug in the core Symantec Antivirus Engine.
The popular white hat hacker Tavis Ormandy from the Google Project Zero has discovered a critical exploitable flaw (CVE-2016-2208) in the Symantec antivirus system. The expert discovered an exploitable memory overflow vulnerability in the core Symantec Antivirus Engine which is used in most Symantec and Norton solutions.
When parsing executables packed by an early version of aspack, a buffer overflow can occur in the core Symantec Antivirus Engine used in most Symantec and Norton branded Antivirus products.” wrote Ormandy “The problem occurs when section data is truncated, that is, when SizeOfRawData is greater than SizeOfImage. This is a remote code execution vulnerability. Because Symantec use a filter driver to intercept all system I/O, just emailing a file to a victim or sending them a link is enough to exploit it.”
The bug is remotely exploitable and affects the way the antivirus products handle executables compressed leveraging on an early version of the Aspack compression tool.
Basically, the a buffer overflow is triggered when the Symantec Antivirus Engine parses truncated section data, so when SizeOfRawData is greater than SizeOfImage.
The bug is independent of the specific OS, on Windows systems it results in kernel memory corruption, this is worrisome.
The issue also affects Linux, Mac and UNIX platforms resulting in a remote heap overflow as root in the Symantec or Norton process.
The simplest way to exploit the bug in the Symantec Antivirus Engine is to trick victims into opening malicious email or visiting a specifically crafted website.
Ormandy also shared a PoC exploit code that could be used to trigger the flaw and crash the Symantec Enterprise Endpoint service.
“The obvious way to exploit this flaw is either via email or a web browser. The attached testcase contains the source code to build a PoC, which should BugCheck (i.e. BSOD) a system with Norton Antivirus installed, or crash Symantec Enterprise Endpoint service. The file testcase.txt is a prebuilt binary (note that file extension is irrelevant here). Just clicking download should be enough to trigger a kernel panic on a vulnerable system (!!!).” continues the expert.
The post also includes an update shared by Symantec that explained that Live Update will fix the problem only in specific cases, for some products it will be required a maintenance patch build test, release which will take more time.
“With the exception of test case 5, as I mentioned last night which seems like you may have zipped up the wrong case by mistake, we have confirmed your findings and have resolutions as well as doing additional reviews. We can easily update a version of one of our products, Norton Security for example, with an updated engine by the end of the week and if you would like can provide you with an beta release of that for your review. Unfortunately, not all products will be updated the same which of course has impacts on final release of updates and an associated Security Advisory. Some are quick and fairly simple updates, live update of course, but others require a maintenance patch build, test, release which takes a bit longer.”
Source:http://securityaffairs.co/
Hacker claims to have full access to Pornhub and already sold it
A 19-year-old hacker who goes by the name Revolver claims to have breached into Pornhub server and already sold the access for $1,000.
It happened during the weekend, a researcher using the 1×0123 Twitter account announced the availability of a shell access to a subdomain on Pornhub and offered it for $1,000.
The figure is obviously ridiculous when you consider the high traffic that daily reach the server, more than 2.1 million visits per hour.
Follow
1×0123 @1×0123
In order to prove the access to the Pornhub platform, 1×0123 posted on Twitter a couple of pictures. The researchers explained to have compromised the server by exploiting uploading a shell by exploiting a flaw in the mechanism used to upload the picture in the user profile.
Once the shell is uploaded on the server it is possible to have full control over the environment.
Salted Hash reached 1×0123 who confirmed that he had sold access to three people.
“2 guys with shell, 1 guy for a command injection script,” he told Salted Hash.
“Pornhub contacted Revolver for more information. He offered to share those details, and help patch the vulnerability that allowed such access, for total cost of $5,000 USD. It isn’t clear if the adult entertainment giant agreed to those terms.” states Salted Hash.
1×0123 hasn’t provided further information on the hack, he only stated the vulnerability affecting the user profile isn’t the ImageMagick flaw recently disclosed.
A Pornhub spokesperson confirmed the presence of the shell that appears to be on a non-production server and confirmed the company is currently investigating the issue.
1×0123 is a known in the security industry, he offered a similar access to the LA Times website in April after he exploited a vulnerability in the Advanced XML Reader WordPress plugin.
During the same period, he revealed to have found an SQL injection flaw on one of the servers ofMossack Fonseca (a custom online payment system called Orion House).
In March, he designed a website called VNC Roulette that displayed screenshots of random hackable computers.
On April 10, 2016, Edward Snowden publicly thanked 1×0123 for reporting a vulnerability in Piwik to the Freedom of the Press Foundation.
On May 9, Pornhub announced a bounty program through HackerOne with a maximum bounty set at $25K.
“The public launch of Pornhub’s Bug Bounty Program follows a private, invite-only beta program that the adult entertainment site ran last year, which compensated participants for helping to identify and fix about two dozen bugs. ” states the announcement.
Source:http://securityaffairs.co/
EFF’s Let’s Encrypt Client Certbot Debuts in Beta
The Electronic Frontier Foundation (EFF) on Thursday announced Certbot, a Let’s Encrypt client designed to help websites encrypt their traffic.
EFF’s Certbot is available in beta for the time being, but it should reach a stable version before the end of this year, the Foundation said. The tool was built to obtain TLS/SSL certificates from open Certificate Authority (CA) Let’s Encrypt and to automatically configure HTTPS encryption on the website owner’s server.
Co-founded by EFF, Mozilla and researchers from the University of Michigan, Let’s Encrypt is an open CA that issued its first certificate in September last year, entered public beta in December, and shed the beta tag in April this year. The main idea behind this CA was to bring encryption to the entire Internet by offering free certificates to website owners.
Between December and March, Let’s Encrypt issued more than one million certificates, and EFF says that the number not tops three million. Although its free certificates have been already abused by cybercriminals, Let’s Encrypt has become one of the largest CAs in the world and has already inspired Amazon to offer free certificates to AWS customers.
Certbot, which has transitioned to becoming an EFF project, uses the Automated Certificate Management Environment (ACME) protocol to communicate with the CA, but is no longer the official ACME client for use with Let’s Encrypt. The software for the client remains open source, but it will no longer be hosted by ISRG, the parent organization of Let’s Encrypt, EFFexplains.
Certbot also got a new website, complete with frequently asked questions, an interactive instruction tool, and info on how to support the project. Website owners can obtain the specific commands to have Certbot up and running in the easiest manner: by selecting their operating system and webserver.
The team behind Certbot has attempted to make the transition to the client’s new name as seamless as possible and ensure that packages installed from PyPI, letsencrypt-auto, and third party plugins would continue to work. EFF says that OS packages will begin using the Certbot name in the next few weeks and that the current client packages will automatically transition to Certbot on many systems, but will continue to support the letsencrypt command.
Certbot should continue to work as before, despite the new name and host: it will get certificates from Let’s Encrypt and automatically configure HTTPS on the owner’s webserver, EFF says. The client also offers the option to install certificates for a wide range of web server platforms, and can help admins get the security settings for their systems right.
Later this year, EFF says that it will attempt to help web developers with challenging tasks that make TLS deployment difficult. These include detection and mitigation of mixed content problems; detection of sites ready for an HSTS header and gradual deployment of the header; realtime mitigation against TLS vulnerabilities such as Heartbleed, BEAST, CRIME, Logjam, DROWN; and support for installing certificates and provide security improvements to popular email server software.
Source:http://www.securityweek.com/
¿CÓMO IMPLEMENTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN?
Según perspectiva global de empresa de seguridad de la información; integridad, confidencialidad, disponibilidad, auditabilidad y no repudio forman los cinco pilares fundamentales para seguridad en sistemas informáticos. Para las pequeñas y medianas empresas en los países como México, Brasil, Estados Unidos, Colombia, Argentina, UAE, India, el tema de seguridad en sistemas informáticos es muy importante. Las soluciones de seguridad de la información ayudan al mejoramiento de la seguridad en sistemas informáticos, haciendo que los sistemas permanezcan preparados ante eventualidades que puedan interrumpir el crecimiento de una empresa. Las empresas pueden implementar seguridad en sistemas informáticos con ayuda de soluciones como el sistema de gestión de seguridad de la información.
El sistema de gestión de seguridad de la información abarca diferentes temas, como planeación de seguridad en sistemas informáticos, políticas de seguridad en sistemas informáticos, aseguramiento de los recursos empresarial, entre otros. La implementación completa del sistema de gestión de seguridad de la información se compone de tres procesos:
1. Planificación
2. Implementación
3. Verificación y Actualización
Según Mike Steven, el experto de los servicios de seguridad de la información quien trabaja con una empresa de seguridad de la información; la implementación de una solución de seguridad de la información, brinda muchas funciones. Las funciones incluyen una visibilidad del estado actual de sistemas informáticos, los controles de seguridad en sistemas informáticos y la especialización en seguridad de la información que se pueden aplicar para tomar decisiones acertadas sobre la estrategia aplicada. A continuación, se explican más detalle los procesos del sistema de gestión de seguridad de la información.
PLANIFICACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
En este proceso hacen el diseño de la arquitectura del sistema de gestión de seguridad de la información. Los expertos de las empresas de seguridad de la información afirman que, este proceso ayuda establecer las políticas, las soluciones de seguridad de la información, y lograr objetivos empresariales relacionados a la seguridad en sistemas informáticos. El primer paso en el proceso de planificación es determinar los requerimientos de la seguridad.
Determinar los requerimientos de la seguridad
Los requerimientos de la seguridad, se determinan mediante la realización de los servicios de seguridad de la información y es un parte importante de la arquitectura del sistema de gestión de seguridad de la información. Análisis de riesgos informáticos es parte de los servicios de seguridad de la información y ayuda en calcular los posibles impactos de los riesgos, su probabilidad de ocurrencia e identificación de los recursos a proteger.
Según Jorge Ríos, el profesor de capacitación de seguridad de la información quien trabaja en una escuela en seguridad de la información; los servicios de seguridad de la información deben:
- Definir los recursos informáticos.
- Identificar y evaluar las amenazas y vulnerabilidades junto con sus prioridades.
Los servicios de seguridad de la información se pueden diferenciar en dos aspectos:
- El servicio de seguridad de la información para evaluación de los riesgos y determinar los sistemas que, pueden verse afectados por amenazas y estableciendo sus prioridades e impactos.
- El servicio de seguridad de la información para la identificación, selección, aprobación, manejo de los riesgos y controles de seguridad en sistemas informáticos para eliminar o reducir los riesgos. Los expertos de empresa de seguridad de la información afirman que este servicio ayuda en la limitación del impacto de una amenaza y recuperación del impacto.
En resumen, los servicios de seguridad de la información deben determinar los requerimientos de la seguridad y deben cubrir los siguientes procesos.
1. Definir los sistemas informáticos
Definir los sistemas informáticos incluye la determinación de los recursos informáticos que deben ser protegidos, sus valoraciones y clasificaciones según sus prioridades. Según el profesor de capacitación de seguridad de la información quien trabaja en una escuela en seguridad de la información; una buena definición del sistema informático debe incluir cualquier aspecto que haga más precisa su descripción como su ubicación, tipos de tecnología, personal que operan etc.
El personal con especialización en seguridad de la información debe realizar la valoración de los sistemas informáticos y debe realizar la valoración teniendo en cuenta aspectos tales como: la función que realizan y su costo. Mike Steven, el experto de servicios de seguridad de la información quien trabaja con una empresa de seguridad de la información menciona, que este proceso ayuda a determinar los sistemas informáticos críticos y los riesgos a que están sometidos. Según experiencia de los personales con especialización en seguridad de la información, existe la tendencia de declarar críticos a sistemas informáticos que en realidad no lo son. A la hora de tratar este aspecto la empresa debe tomar ayuda de personal con especialización en seguridad de la información para evitar los problemas en el futuro.
2. Identificación y evaluación de los riesgos de seguridad en sistemas informáticos
Las empresas pueden identificar los riesgos de seguridad en sistemas informáticos mediante la realización de los servicios de seguridad de la información y esto es un parte importante de la arquitectura del sistema de gestión de seguridad de la información. La realización de análisis de riesgos implica el examen de cada una de las amenazas. Algunas empresas de seguridad de la información también realizan la estimación de los riesgos. La estimación de los riesgos determina las probabilidades de materialización de las amenazas y ayuda en la selección de los controles de seguridad que deben ser establecidos.
Generalmente las empresas implementan algunas soluciones de seguridad de la información. Según especialistas de empresa de seguridad de la información, es necesario evaluar de manera crítica la efectividad de las soluciones de seguridad de la información existentes, sobre la base de los resultados del análisis de riesgos realizado. Esto ayudará a orientar e implementar las soluciones de seguridad de la información con mucha efectividad o tomar ayuda de una empresa de seguridad de la información para protegerse.
3. Selección de los controles de seguridad de la información
Las empresas deben seleccionar los controles de seguridad basados en el análisis de los riesgos, los criterios para la aceptación del riesgo, las opciones para el tratamiento, y para cumplir las normas de seguridad. Las empresas pueden identificar los controles de seguridad mediante la realización de los servicios de seguridad de la información. Los controles de seguridad forman una parte integral de una solución de seguridad de la información y de la arquitectura del sistema de gestión de seguridad de la información. Implementación de un sistema de gestión de seguridad de la información se logra implantando un conjunto adecuado de controles, que incluyen políticas, procedimientos, procesos y diferentes soluciones de seguridad de la información.
Selección de los controles de seguridad debe ser avalada por los expertos con especialización en seguridad de la información y por jefes de las empresas que tiene el poder de hacerlas cumplir. Según expertos de empresa de seguridad de la información, los procedimientos y soluciones de seguridad de la información constituyen los pasos requeridos para proteger los sistemas informáticos. Los controles de seguridad deben ser instrumentados mediante los procedimientos y soluciones de seguridad de la información que garanticen sus cumplimientos. Las soluciones de seguridad de la información se clasifican de acuerdo a su origen: administrativas; de seguridad física o lógica; de seguridad de operaciones; y educativas. A su vez, por forma de actuar, las soluciones de seguridad de la información pueden ser: preventivas, de detección y de recuperación. En caso que la empresa no tenga la especialización en seguridad de la información para implementar las soluciones, podría establecer contactos con empresas de seguridad de la información o grupos externos, incluyendo autoridades pertinentes, para mantenerse al día con tendencias de la industria, seguimiento de normas, y métodos de evaluación.
IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
El proceso de implementación del sistema de gestión de seguridad de la información incluye gestión de los riesgos identificados mediante la aplicación de los controles y las soluciones de seguridad de la información. Este proceso asegura que el personal de la empresa tiene el conocimiento y las habilidades, mediante la formación y el curso de seguridad de la información. Según el profesor de la escuela de seguridad de la información, las empresas deben implementar programas de capacitación y los cursos de seguridad de la información que debe cubrir siguientes aspectos:
- El personal debe tener la conciencia de la importancia que el SGSI tiene para la organización, con la ayuda del curso de seguridad de la información.
- El curso de seguridad de la información debe asegurar la divulgación del conocimiento y comprensión de las políticas de seguridad que se implementan.
- El curso de seguridad de la información debe capacitar a los usuarios en los procedimientos y soluciones que se van a implantar.
- El personal debe estar consciente de los roles a cumplir dentro del sistema de gestión de seguridad de la información después de tomar el curso de seguridad de la información.
- Con ayuda de del curso de seguridad de la información, el personal debe entender los procedimientos y controles que se requieran para detectar y dar respuesta oportuna a los incidentes de seguridad.
De modo que el proceso de implementación del sistema de gestión de seguridad de la información sea exitoso las empresas deben asegurar la implantación de todos los controles, que incluyen políticas, procedimientos, procesos, soluciones de seguridad de la información y desarrollo de habilidades del personal con los cursos de seguridad de la información.
VERIFICACIÓN Y ACTUALIZACIÓN DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
El proceso de verificación del sistema de gestión de seguridad de la información incluye comprobación del rendimiento y la eficacia del SGSI, verificación periódica de los riesgos residuales. Según empresa de seguridad de la información, los clientes deben realizar auditorías internas/externas periódicamente para lograr el objetivo empresarial.
El proceso de actualización del sistema de gestión de seguridad de la información incluye realización de los cambios basados en los resultados del proceso de verificación para asegurar máximo rendimiento del sistema de gestión de seguridad de la información. Este proceso se suele llevar en paralelo con el proceso de la verificación y también se lleva a cabo las labores de mantenimiento del sistema. Según expertos de servicios de seguridad de la información, durante la implementación de este proceso se requiere modificación de los control de seguridad o implementar nuevas soluciones de seguridad de la información. Entonces las empresas deben evaluar los nuevos riesgos y proporcionar formación al personal sobre los cambios o nuevas soluciones.
La implementación de sistema de gestión de seguridad de la información es un paso importante en el ámbito de seguridad. Las empresas pueden tomar ayuda de una organización con especialización en seguridad de la información, es una fuente de asesoramiento especializado. Los expertos con especialización en seguridad de la información deben tener experiencia con sector privado y público en varios países.
Fuente:http://www.iicybersecurity.com/servicios-de-seguridad-de-la-informacion.html
Malvertising On Blogspot: Scams, Adult Content and Exploit Kits
We don’t really hear about it that much, but malvertising can and does target free blogging platforms as well. Just this morning, our friends at Virus Bulletin Martijn Grooten and Adrian Luca wrote about some sites hosted on Google’s Blogspot service pushing tech support scams.
We also caught some malicious activity on the Blogger platform this past week via the PLYmedia ad network. Some Blogspot websites clearly abuse the platform and stuff ads everywhere, leaving little to wonder about what could possibly go wrong?
Adult material
When browsing that Blogspot site, we were automatically redirected to an adult page, which is definitely not good if you have kids around.
Angler Exploit kit
There were also some redirections to the Angler exploit kit via fake advertisers using the fingerprinting technique.
- Ad network: wafra.adk2x.com/ul_cb/imp?p=70368645&size=300×250&ct=html&ap=1300&u=http%3A%2F%2Fzcdnz.blogspot.com%2F2016%2F04%2Ffut-azteca13.html&r=http%3A%2F%2Fzcdnz.blogspot.com%2F2016%2F04%2Ffut-azteca13.html&iss=0&f=1
- Rogue ad server: advertising.servometer.com/pagead/re136646/ad.jsp?click=%2F%2Fwafra.adk2x.com%2{redacted}
- Google Open Referer: bid.g.doubleclick.net/xbbe/creative/click?r1=http%3A%2F%2Fstewelskoensinkeike.loanreview24.com%2FScKOygTMtj_rlf_qIEgRYCq.aspx
- Angler EK landing: stewelskoensinkeike.loanreview24.com/?k=pREU&o=gQ1U2eo&f=&t=MHl&b=O83rsW&g=&n=9rYB42&h=&j=aCYeE9iDym_Ao_T25Uhszm
We have alerted Google about this issue and contacted PLYmedia to let them know about that rogue advertiser.
Researcher Arrested After Finding and Reporting SQL Injection on Elections Site
Security expert might have gone overboard with his research. David Levin, 31, of Estero, Florida, has turned himself in after Florida police issued a warrant for his arrest last week. Police indicted Levin on three hacking-related charges, and Levin spent six hours in jail last Wednesday before being released on a $15,000 bond.
Police say Levin had illegally accessed state websites on three occasions. The first took place on December 19, 2015 when Levin illegally accessed the Lee County Elections website.
This incident was then followed by two other, on January 4 and 31, 2016, when Levin also hacked into the Department the State Elections website as well.
Levin never asked for permission to perform his tests
While it is common for infosec professionals to search for security flaws in state-owned infrastructure, authorities say they charged Levin because he never asked for permission prior to starting his endeavor.
Levin, who’s the owner of his own company called Vanguard Cybersecurity, has also recorded a video together with Dan Sinclair, detailing how he hacked into the vulnerable website using a simple SQL injection bug.
Dan Sinclair is a candidate running for the position of Supervisor of Elections for Florida’s Lee County. In the eyes of current Supervisor of Elections Sharon Harrington, this all seemed like a media stunt, and later filed a complaint against Levin.
The video was posted on YouTube on January 25, and Florida police raided Levin’s house on February 8 and seized his computers.
Levin was not satisfied with finding the SQL flaw
Now authorities are claiming that Levin never asked permission to perform penetration testing on any of the state-owned servers and that he had gone overboard with his demonstration.
They say that Levin “obtained several usernames and passwords of employees in the elections office” and that he “went a step further and used the Lee County supervisor’s username and password to gain access to other password protected areas.”
While judges may show lenience to security researchers that discover security issues and then properly report them (as Levin also did), they might not take it to heart when the researcher uses some of the data he finds on the hacked server to escalate his access.
This incident is an exact copy of the Wesley Wineberg – Facebook incident. Back in December, Wineberg managed to hack Facebook’s servers and gain access to the Instagram admin panel.
Facebook declined to pay him a bug bounty because they discovered that Wineberg had downloaded data from their servers in order to escalate his access for a bigger reward.
Source:http://news.softpedia.com/
The next generation Yontoo browser hijackers
Looking at the latest Yontoo browser hijackers leads us to believe that they have shifted their interest from Firefox to Chrome.
We have discussed Yontoo before as a PUP that has two faces. The official installer used to target Firefox and Internet Explorer. Now they have shifted to Chrome. A few in between have been doing both Chrome and Firefox, but were less intrusive towards Chrome. More precisely, they did not change the Start- and Home-page.
Why the change?
Of course we can only guess, but a good reason seems to be the fact that Firefox started disabling their browser Extensions as they could not be verified. So maybe we can chalk this one down as a victory for those guidelines.
I guess even if their extensions would make it through the guidelines required by Firefox, it would take too much time and energy to do this for all the new versions that Yontoo keeps putting out there. Why they apparently have stopped targeting Internet Explorer is a mystery to us at this point in time. Maybe they are planning a similar move to target Edge with newer variants.
What does it do to Chrome?
These are the permissions that the new version gets.
The hybrid versions that targeted both Chrome and Firefox were a little less intrusive as they did not change the Start- and Home-page in Chrome.
Besides changing these settings the Yontoo extensions also control several settings for Chrome until you disable the extension.
Summary
We took a closer look at the new versions of the Yontoo browser hijackers and took a stab at guessing why they made the switch from Firefox to Chrome.
Extra file information
Md5 Search New Window installer 1f9ec8189ce7a8e0b1057b518714ccca
Md5 Tide Search installer 4cdff17f8ab9b8056ecdcef35bdd26db
Md5 Search Voyage installer 89e2b736e401f53e3159b046b4b46ace
FBI Harassing TOR Software Developer, Refusing To Explain Why They Want To Meet Her
Short Bytes: Little did Isis Agora know that working for the Tor would land her into a land of troubles. This account of a series of events that happened between her and the FBI is sufficient to explain the intention of the FBI and what traumatic and post-traumatic behavioural changes a normal citizen has to go through after such incidents.
To crack its authoritarian whip, FBI seems so wilful in its act. They like to chase, sniff and sometimes, even let loose from a distance that the sound is perceived not so loud to others yet it reaches out to the intended person. Such is the case with Isis Agora Lovecruft.
Isis Agora Lovecruft has been working with the Tor for many years. Currently, her job role is a lead software developer. Besides working as a lead software developer, she has experience in working with other security and encryption products and services like Open Whisper Systems and the LEAP Encryption Access Project.
Well, like her, there are many in the US who have such a job role and same working experience in security as a developer. So, is that a coincidence that FBI ‘just’ wants to talk to her?
It began with an FBI agent coming to her parents’ house, leaving behind his visiting card and later making phone calls to her parents when she was not at home and out for work. Puzzled by such incidents, Lovecruft decided to hire a lawyer who reached out to the FBI agent in the scene above.
Here is what happened:
The lawyer calls the FBI agent. The lawyer said that now he represents the Lovecruft’s family and asked the FBI agent that instead of directing the questions to the family members, all the questions should be directed to him. For which the agent agreed but asked to call back in five minutes.
Back then, LoveCruft was in a process of shifting to Germany permanently. Even in Germany, FBI gave her frequent visits and calls.
Meanwhile, in the discussion with the lawyer, the FBI kept mentioning some documents which they had no idea about and FBI insisted always on meeting with her in person.
However, the next day, Agora’s visa was approved but eight hours later, his lawyer received a voicemail saying:
Hello this is Special Agent Kelvin Porter, we spoke two days ago regarding your client. Umm… well… so the situation with the documents… it’s umm… it’s all fixed. I mean, we would of course still be happy to meet with your client if she’s willing, but the problem has… uh… yeah… been fixed. And uh… yeah. Just let us know if she wants to set up a meeting.
But this voicemail from January is not the end of the story.
Last week, FBI came knocking again at her door with a subpoena for her to serve. The lawyer representing Lovercuft was informed of the subpoena and asked that she should meet one of their agents in San Francisco. The situation looked like Lovecruft might be a potential target which FBI was reluctant to talk about from the beginning.
Owing to such tremendous pressure, she stopped contacting others fearing she might endanger them as well. Her parents a-9lso would sometimes receive threats and so will his lawyer.
As she mentions in the end that paychecks for working on Tor come from the US government. She is not doing any crime, she is just working on a software which lets people browse safely.
Source:http://fossbytes.com/
Iran-linked Hackers Used “Infy” Malware in Attacks Since 2007
Researchers at Palo Alto Networks have come across a new malware family that appears to have been used by an Iran-based threat actor in targeted espionage operations since 2007.
The security firm discovered the malware after in May 2015 its systems detected two emails carrying malicious documents sent from a compromised Israeli Gmail account to an industrial organization in Israel. At around the same time, the company also spotted a similar document attached to an email sent to a U.S. government recipient.
An analysis of the files and the malware functionality turned up more than 40 variants of a previously unknown malware family that Palo Alto Networks has dubbed “Infy” based on a string used by the threat actor in filenames and command and control (C&C) folder names and strings.
Based on samples submitted to VirusTotal, the oldest variant found by researchers dates back to August 2007. However, the C&C domain used by the oldest sample has been associated with malicious activity as far back as December 2004.
Experts reported observing increased activity after 2011 and noted that the malware has improved over the years, with developers adding new features such as support for the Microsoft Edge web browser. Attacks involving Infy malware were also spotted in April 2016, which suggests the actor continues to be active.
According to Palo Alto Networks, most of the malware samples from over the last five years were eventually detected by antivirus software, but in a majority of cases with a generic or unrelated signature. Experts attributed the industry’s failure to connect the Infy samples to each other to the fact that the malware has only been used in limited attack campaigns.
The malware, typically disguised as a document or a presentation, is designed to collect information about the infected system, log keystrokes, and steal passwords and other data from browsers. All the information is sent back to a C&C server.
Researchers identified 12 domains used for C&C servers, some of which have also been mentioned in a report describing an attack against the government of Denmark.
WHOIS information and IP addresses associated with the C&C domains suggest that the attackers might be based in Iran, although it’s not uncommon for threat groups to plant false evidence to throw investigators off track.
“We believe that we have uncovered a decade-long operation that has successfully stayed under the radar for most of its existence as targeted espionage originating from Iran. It is aimed at governments and businesses of multiple nations as well as its own citizens,” researchers said in a blog post.
Andre McGregor, director of security at endpoint protection company Tanium, noted in a presentation earlier this year at the RSA Conference that Iran had no cyber capabilitiesuntil 2010, when its nuclear facilities were hit by Stuxnet. However, the expert said the country, whose main enemies are considered Israel, the United States and Saudi Arabia, evolved a great deal over the past years.
The most notable attacks attributed to Iran include the Saudi Aramco incident, the DDoS attacks aimed at U.S. banks, a 2013 attack on a small New York dam, and an operation targeting the Sands Casino in Las Vegas.
Source:http://www.securityweek.com/
¿CÓMO GOBIERNO PUEDE AYUDAR LAS EMPRESAS DEL SECTOR PRIVADO EN CIBERSEGURIDAD?
La ciberseguridad se refiere al conjunto de soluciones, servicios y entrenamientos que puede implementar una empresa u organización para su ciberdefensa contra ciberataques. Según los informes de la empresa de ciberseguridad, las empresas u organizaciones son cada vez más conscientes de los ciberataques. Desde el último año, casi un 35% de las empresas en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India han incrementado sus inversiones en los servicios de ciberseguridad y es por eso que hay una gran necesidad de especialistas de ciberseguridad para implementar las soluciones de ciberdefensa. Al comprender las razones detrás de los ciberataques, permite una empresa u organización a adquirir los servicios de ciberseguridad y diseñar plan de ciberseguridad y ciberdefensa de una manera más efectiva. Según la experiencia de los especialistas de ciberseguridad, es más el miedo a los ciberataques dirigidos está haciendo que los gobiernos, empresas u organizaciones gastan dinero en los servicios de ciberseguridad y soluciones de ciberdefensa. Estos planes de implementación de los servicios de ciberseguridad y soluciones de ciberdefensa, van mucho más allá de invertir en las soluciones tradicionales como los firewalls, gestión de vulnerabilidades, etc. En general, ellos están buscando servicios de ciberseguridad más sofisticados y soluciones de ciberdefensa inteligentes que puedan protegerles de ciberataques avanzados.
Como los gobiernos y empresas grandes están involucrados en el tema de ciberseguridad, la metodología de implementar servicios de ciberseguridad y soluciones de ciberdefensa ha cambiado de modo radical. Según el profesor de la escuela de ciber seguridad, la ciberseguridad se ha convertido en una cosa necesaria para todos los aspectos. Las empresas grandes no solo están enfocando sobre servicios de ciberseguridad y soluciones de ciberdefensa, también se quieren que su equipo de TI sea especialista en ciberseguridad. Para desarrollar habilidades de especialista de ciberseguridad en su equipo de TI, las empresas deben enfocar en las capacitaciones de ciberseguridad. Con las capacitaciones de ciberseguridad las pequeñas empresas también pueden comprender y implementar las soluciones de ciberseguridad avanzadas y soluciones de ciberdefensa inteligentes sin ayuda de una empresa de ciberseguridad.
La solución del problema de ciberseguridad parece sencillo pero hay muchos obstáculos como falta de recursos, conocimientos, dinero etc. Pero con la participación del gobierno en el área de ciberseguridad, las cosas pueden cambiar mucho. Los gobiernos de varios países, especialmente de Estados Unidos, Rusia, China, Reino Unido, Alemania y la India han estado desarrollando y empleando capacidades ofensivas cibernéticas, incluyendo el espionaje cibernético. Estos esfuerzos no están realmente enfocados en las soluciones de ciberdefensa o en perito judicial informático sin embargo; están más enfocados sobre cómo tomar el control del ciberespacio y es similar a la guerra fría en la década de los 80. Para disuadir a los ciberataques, muchos gobiernos han pensando en usar las sanciones y demás acciones típicos utilizados para el acto de la guerra. Estos acciones ayudarán en algunos escenarios, pero no en otros escenarios en los que perito judicial informático no puede producir suficiente evidencia. Según los expertos de la formación de perito judicial informático, para defenderse en el ciberespacio, el gobierno debe jugar un papel proactivo en el ámbito de ciberseguridad.
Profesor de la escuela de ciber seguridad, Dave Smith menciona que para el gobierno a proteger el sector privado en el ciberespacio es una tarea compleja, ya que hay una gran cantidad de restricciones políticas. Implementación de los servicios de ciberseguridad y soluciones de ciberdefensa para la aplicación de la ley en el ciberespacio es una tarea compleja. Al asociarse con las organizaciones de ciberseguridad y las empresas de ciberseguridad, las agencias gubernamentales pueden mantener un control más fuerte sobre el ciberespacio. Como hay muchas organizaciones de ciberseguridad que trabajan en proyectos patrocinados por el gobierno y esas organizaciones tienen muchos recursos. Entonces, estas organizaciones de ciberseguridad pueden compartir la información sobre amenazas con las empresas de ciberseguridad y otras empresas del sector privado.
Los gobiernos de varios países pueden crear los siguientes programas como parte de sus estrategias de seguridad cibernética y sus guerras contra ciberdelincuencia.
PROGRAMA DE EDUCACIÓN GENERAL DE CIBERSEGURIDAD
El objetivo del programa de educación general de ciberseguridad debería centrarse más en la aumentación de la conciencia de ciberseguridad entre público en general. Las agencias gubernamentales pueden colaborar con las escuelas de ciber seguridad y garantizar que las personas aprenden a ser más seguro en línea. Similares programas se fueron lanzados por las empresas de ciberseguridad y escuelas de ciber seguridad en Europa y estaban dirigidos a aumentar la comprensión de las amenazas cibernéticas y cómo funciona la ciberdelincuencia. Según los profesores de escuela de ciber seguridad, las agencias gubernamentales pueden organizar programas de publicidad en televisión y en línea para aumentar la conciencia de ciberseguridad entre publico.
PROGRAMA DE DESARROLLO Y CAPACITACIÓN DE CIBERSEGURIDAD
Acuerdo con los maestros de escuela de ciber seguridad; el problema en el ámbito de ciberseguridad, es la extrema escasez de los especialistas de ciberseguridad altamente cualificados. El sistema educativo existente debe producir más estudiantes con altamente calificados en ciberseguridad. Estos especialistas de ciberseguridad, mantendrán el gobierno y el sector privado por delante en el escenario de la tecnología. El gobierno tiene que desarrollar una estrategia para ampliar y apoyar los programas de educación en ciberseguridad dirigidos por las escuelas de ciber seguridad. El objetivo del programa de desarrollo y entrenamiento de ciberseguridad debería ser asegurarse de que el gobierno y el sector privado tienen especialistas de ciberseguridad. El gobierno debe trabajar con las escuelas de ciber seguridad y asegúrese de que el nivel de capacitación de ciberseguridad es de acuerdo con las normas internacionales. Podemos clasificar las capacitaciones de ciberseguridad en siguientes áreas: usuarios general de TI, la infraestructura de tecnología de la información, operaciones, mantenimiento y seguridad de la información, perito judicial informático, análisis de malware, seguridad en la nube, seguridad móvil, desarrollo de exploits, soluciones de ciberdefensa, derecho cibernético, contrainteligencia y cursos de ciberseguridad avanzados. Según profesores de cursos de ciberseguridad, con la ayuda de los cursos de ciberseguridad, el sector privado tendrá el mayor beneficio, ya que reducirá su gasto en servicios de ciberseguridad.
PROGRAMA DE INFRAESTRUCTURA PARA EDUCACIÓN DE CIBERSEGURIDAD
El objetivo del programa de infraestructura para educación de ciberseguridad debería ser centrarse en la creación de nuevas escuelas de ciber seguridad y la mejora de las escuelas de ciber seguridad existentes. El programa debe incluir alianza con las escuelas de ciber seguridad y las organizaciones de ciberseguridad existentes para desarrollar más programas de investigación y desarrollo en este campo. Programa de infraestructura para educación de ciberseguridad debe apoyar la educación formal de ciberseguridad y también debe ser un programa líder en la investigación y el desarrollo de ciberseguridad. Así este programa ayudaría a los gobiernos, el sector privado, las empresas de ciberseguridad existentes y las organizaciones de ciberseguridad. Todas estas escuelas de ciber seguridad también pueden servir como centros de servicios de ciberseguridad y actuarán como autoridad de referencia para las universidades y otras escuelas existentes.
PROGRAMA DE RESPUESTA A INCIDENTES DE CIBERATAQUES
Las agencias gubernamentales pueden asociarse con las organizaciones de ciberseguridad y las empresas de ciberseguridad en el ámbito de respuesta a incidentes. Expertos de escuela de ciber seguridad explican que cuando las grandes empresas como banco o empresa multinacional etc sufren un ciberataque; ellos pueden tomar la ayuda del gobierno para hacer un perito judicial informático. Sin embargo, cuando las pequeñas empresas sufren un ciberataque; no es fácil para ellos a tomar la ayuda del gobierno para hacer un perito judicial informático. Así con este programa las pequeñas empresas pueden tomar la ayuda de una organización de ciberseguridad o empresa de ciberseguridad para el perito judicial informático. La otra solución es construir un equipo in-house de perito judicial informático con la ayuda de expertos de una buena escuela de ciber seguridad.
PROGRAMA DE RECURSOS HUMANOS DE CIBERSEGURIDAD
El objetivo del programa de recursos humanos de ciberseguridad debería ser gestionar el empleo en ciberseguridad, reclutamiento de personas y estrategias de las rutas de sus carreras. Con la ayuda de este programa, las agencias gubernamentales pueden administrar la fuerza laboral del gobierno, la fuerza laboral de las agencias de inteligencia, la fuerza laboral de las organizaciones de ciberseguridad y la fuerza laboral del sector privado. Profesores de los cursos de ciberseguridad mencionan que el programa de recursos humanos de ciberseguridad se puede utilizar para la evaluación de especialistas de ciberseguridad. Esto ayudaría en el desarrollo de especialistas de ciberseguridad y programas de capacitación de ciberseguridad.
PROGRAMA DE BUG BOUNTY Y PREMIOS
No es suficiente que solo los profesionales de informática comprendan la importancia de ciberseguridad; líderes en todos los niveles de gobierno y el sector privado deben comprender la importancia de ciberseguridad. Por lo tanto la formación de ciberseguridad no sólo ayudará a los empleados de nivel bajo, pero los líderes empresariales también, y les ayudará a tomar decisiones de negocios e inversiones basadas en el conocimiento de los riesgos y posibles impactos. Así mismo una decisión tan importante es un programa de bug bounty y premios. El objetivo de este programa debería ser recompensar los especialistas de seguridad cibernética para encontrar vulnerabilidades y reportarlas en lugar de venderlas en el mercado negro. Según el profesor de curso de ciberseguridad, Deen Wright; es muy importante para los líderes del gobierno a hacer alianzas adecuadas con los líderes de las empresas de ciberseguridad y las organizaciones de ciberseguridad para desarrollar programa de recompensa y premios para recompensar los investigadores de seguridad cibernética por sus esfuerzos.
De esta manera el gobierno puede desarrollar una estrategia para ampliar sus alianzas con diversas empresas del sector privado, las empresas de ciberseguridad, escuelas de ciber seguridad y las organizaciones de ciberseguridad existente para defender proactivamente contra los ciberataques, los actos de espionaje y para establecer un lugar más fuerte en el espacio cibernético. Organizaciones como Instituto Internacional de Seguridad Cibernética una organización de ciberseguridad están trabajando junto con los gobiernos de los distintos países y sector privado.
fuente:http://www.iicybersecurity.com/ciberseguridad-ciberdefensa-servicios.html
OpenSSL gears up to fix high impact vulnerabilities
OpenSSL project had announced on Thursday (April 28) upcoming security fixes for several vulnerabilities affecting the crypto library.
Every OpenSSL release since the infamous Heartbleed vulnerability1 of April 2014 has been met with nervous anticipation, and that applies as much to the upcoming 1.0.2h, 1.0.1t which will be released on May 3 between 12:00 and 15:00 UTC. These releases will patch several flaws, including ones rated ‘high severity’.
Issues that have a high severity rating affect less common configurations or are less likely to be exploitable. The forthcoming releases are due to be out by next Tuesday. They are not accompanied by any logo or a catchy title.
OpenSSL versions 1.0.0 and 0.9.8 are no longer supported and they will not receive any security updates. Support for version 1.0.1 will end on December 31, 2016.
These updates will be the third round in a year. In January, the project released versions 1.0.2f and 1.0.1r to address a high severity flaw that allows attackers to obtain information that can be used to decrypt secure traffic, and a low severity SSLv2 cipher issue.
The last major flare-up on this front coincided with the DROWN vulnerability, which emerged last month in March. DROWN is a serious flaw that can be exploited to crack encrypted communications. DROWN affected a quarter of the top one million HTTPS domains and one-third of all HTTPS websites at the time of disclosure.
Source:http://www.ehackingnews.com/
Cyber Security 