RSA, la División de Seguridad de EMC Corp., dijo el jueves que información relativa a sus productos de autenticación de dos factores SecurID fue robada como consecuencia de un “ciberataque muy sofisticado” en contra de la empresa.

En una carta abierta a los clientes publicada en el sitio web de la compañía, Art Coviello, presidente de RSA, dijo que RSA detectó el ataque recientemente.

“Nuestra investigación nos ha llevado a creer que el ataque está en la categoría de una amenaza persistente avanzada (APT, por sus siglas en inglés). Nuestra investigación también reveló que el ataque resultó en la extracción de cierta información de los sistemas de RSA. Parte de esta información está específicamente relacionada con los productos de autenticación de dos factores RSA SecurID”, dijo.

APT se usa para describir ataques en los que instrusos organizados obtienen acceso a la red y, a menudo sin ser detectados, permanecen allí durante un largo periodo de tiempo con el objetivo de robar datos.

“Si bien en este momento estamos seguros de que la información obtenida no permite un ataque exitoso directo a cualquiera de nuestros clientes de RSA SecurID, esta información podría utilizarse para reducir la efectividad de una implementación actual de autenticación de dos factores como parte de un ataque más amplio”, dijo Coviello.

Dijo que la compañía no tenía pruebas de que la seguridad de los clientes en relación con otros productos de RSA se viera afectada por el ataque. RSA está proporcionando información a los clientes para fortalecer sus implementaciones de SecurID, dijo.

“El riesgo exacto para los clientes no está claro, pero sí parece haber cierto riesgo de que la seguridad de la autenticación de dos factores se ha reducido,” dijo Rich Mogull, fundador de la firma independiente de consultoría en seguridad de la información Securosis, en una entrada del blog de la empresa.

Aconsejó a los clientes de SecurID ponerse en contacto con su representante de RSA y averiguar si están en situación de riesgo y las medidas para mitigar el riesgo.

“Sobre la base de la forma en que la carta estaba redactada podría significar que los atacantes tienen un medio para generar ciertos códigos de token válidos (probablemente sólo en algunos casos). También tendrían que comprometer la contraseña asociada a ese usuario”, escribió Mogull. “Estoy especulando aquí, algo que siempre es arriesgado, pero eso es en lo que creo que podemos centrarnos hasta que escuchemos algo distinto. Por lo tanto, revisar las contraseñas atadas a sus usuarios SecurID podría ser una medida razonable”.

Research in Motion (RIM) está instando a los clientes que usan el popular teléfono BlackBerry a desactivar el Javascript en su navegador web móvil.

La preocupación de RIM se deriva de la explotación de una vulnerabilidad en el navegador de código abierto Webkit, que recientemente debutó en el Mobile World Congress de Barcelona, ​​y que fue explotada en un concurso de hacking en la competencia Pwn2Own de la conferencia CanSecWest en Vancouver, BC. El equipo de tres personas (dos de las cuales ganaron la competencia del año pasado al romper el iPhone) utilizaron un exploit de navegador conjuntamente con otra vulnerabilidad para robar la lista de contactos y base de datos de imágenes del teléfono, así como ejecutar código de forma remota.

El exploit puede también permitir el acceso a datos almacenados en la tarjeta de memoria del usuario, sin embargo, no se puede permitir el acceso a los datos de correo electrónico o calendario.

La falla no está en Javascript, pero requiere de Java para aprovechar la vulnerabilidad. La falla afecta a BlackBerry Device Software versión 6.0 y posteriores. En el momento de la publicación del aviso, RIM no tenía conocimiento de ningún ataque activo de la vulnerabilidad fuera de un entorno de prueba.

Como opción secundaria a desactivar Javascript, RIM sugiere desactivar el navegador de BlackBerry.

El teléfono, un BlackBerry Torch 9800, cayó en el mismo día que el iPhone 4 de Apple. Ambos teléfonos fueron hackeados en el marco de Pwn2Own, un concurso de hacking auspiciado por TippingPoint DVLabs, la subsidiaria de HP con sede en Austin. Estos dos teléfonos y muchos otros navegadores y sistemas operativos completos cayeron en Pwn2Own. Nadie trató de violar Mozilla Firefox, un Samsung Nexus S con Android 2.3, un Dell Venue Pro con Windows Phone 7 o Google Chrome.

Adobe Systems Inc. está advirtiendo sobre ataques en curso dirigidos a una vulnerabilidad crítica de día cero en Adobe Flash Player que podría permitir a un atacante tomar el control completo de un computador afectado.

El fabricante de software publicó un aviso el lunes, advirtiendo de que varios proveedores de seguridad han detectado archivos de Microsoft Excel conteniendo un archivo Flash malicioso que intenta explotar la nueva vulnerabilidad de día cero de Flash Player.

Adobe dijo que el agujero está presente en todas las versiones de Adobe Flash Player para Windows, Macintosh, Linux y Flash Player para las plataformas Google Chrome y Android. Las últimas versiones de Adobe Reader y Acrobat también se ven afectadas. El componente vulnerable está también en Adobe Reader X, la última versión de Adobe Reader, pero Reader X impide que un atacante pueda salir del sandbox aislado de Adobe Reader para infectar a la computadora, escribió en el blog de la compañía Brad Arkin, director senior de seguridad y privacidad de productos de Adobe.

“Los informes que hemos recibido hasta el momento indican que el ataque está dirigido a un número muy reducido de organizaciones y de alcance limitado”, dijo Arkin.

Una vez que la vulnerabilidad se explota el atacante intenta instalar malware persistentes en la máquina de la víctima, dijo Arkin. Mientras que los ataques se han limitado a los archivos de Microsoft Excel, Arkin dijo que los archivos PDF con código malicioso incrustado también pueden ser utilizados para explotar el agujero.

Adobe está trabajando en un parche fuera del ciclo para reparar la falla. Se emitirá una actualización a la mayoría de los sistemas durante la semana del 21 de marzo, Adobe dijo. Adobe Reader X se actualizará en la próxima actualización de seguridad trimestral de Adobe Reader, actualmente programada para el 14 de junio.

En el blog SecureList, el investigador senior de malware Roel Schouwenberg dijo que los cibercriminales han diseñado el ataque de Flash Player para poder colarse fácilmente por los filtros antispam. “Desde mi punto de vista, este es un claro ejemplo de cómo demasiada funcionalidad en un producto lleva a problemas de seguridad”, dijo Schouwenberg, añadiendo que Microsoft o Adobe debería tomar medidas para evitar que la gente incorpore archivos de Flash (SWF) en Microsoft Excel.

“Llámame anticuado, pero yo no veo el punto de incrustar un SWF en documentos de Excel”, dijo.

Microsoft publicó tres boletines de seguridad, haciendo frente a dos vulnerabilidades críticas que afectan a Direct Show y Windows Media Player en su ronda de parches de marzo, pero dejó a los usuarios buscando una solución a la falla de MHTML.

Los tres boletines de seguridad están relacionados con un aviso que Microsoft lanzó en agosto de 2010 con respecto a la precarga de DLL, que puede permitir la ejecución remota de código, dijo Jason Miller, gerente del equipo de datos de Shavlik Technologies LLC, un proveedor de gestión de vulnerabilidades basado en St. Paul, Minnesota. La precarga de DLL es una clase bien conocida de vulnerabilidades. Permite a las aplicaciones de terceros precargar archivos compartidos en Windows, pero un error puede permitir a un atacante acceder a datos confidenciales o tomar el control de la computadora de la víctima.

Este mes hubo un solo boletín de seguridad crítico. MS11-015, que repara una grave vulnerabilidad en DirectShow y un agujero en Windows Media Player y Windows Media Center. La actualización es calificada como “crítica” para casi todas las ediciones compatibles de Windows y Windows Media Center TV Pack para Windows Vista. El boletín es calificado como “importante” para Windows Server 2008 R2.

La vulnerabilidad crítica podría permitir a un atacante llevar a cabo la ejecución remota de código al engañar a una víctima para que visite una página web con un archivo malicioso de Microsoft Digital Video Recording (DVR-MS). La vulnerabilidad de Windows Media Player permite al atacante explotar el agujero al conseguir que una víctima abra un archivo de video malicioso a través de un navegador.

“MS11-015 es muy importante, ya que la vulnerabilidad puede ser explotada sin llegar a ver el video,” dijo Wolfgang Kandek, director de tecnología de Qualys Inc., un proveedor de gestión de vulnerabilidades basado en Redwood Shores, California.

Microsoft normalmente califica estas vulnerabilidades como “importantes”, pero debido a que este ataque en particular no requiere ninguna intervención del usuario (como es normal en este tipo de vulnerabilidad) y debido a su naturaleza “drive-by”, la calificación del parche se ha actualizado a “crítica”, Kandek señaló en un blog.

Otros problemas de precarga de DLL fueron reparados en MS11-016, que se considera importante ya que sólo afecta a archivos Microsoft Groove y .vgc o .gta. Groove es una aplicación de Microsoft SharePoint para compartir espacio de trabajo de Office. MS11-017 repara una vulnerabilidad de Windows Remote Desktop Protocol en donde la apertura de un archivo .rdp malicioso en una red que contiene un archivo DLL malicioso puede provocar la ejecución remota de código.

La falla de MHTML permanece
Notablemente ausente de la ración de parches de este mes está la solución casi enigmática para la vulnerabilidad MHTML que ha permanecido durante algún tiempo. Amol Sarwate, un director de laboratorio de vulnerabilidades de Qualys dijo que los ingenieros de Microsoft están probablemente “probando una corrección” de que es importante no dañar o impedir la funcionalidad cuando el parche sea desplegado.

El problema de divulgación de información de MHTML no ha sido parchado en los últimos dos ciclos de revisión de los martes de parche. Código de prueba de concepto que ataca la falla de día cero de MHTML fue publicado en enero. Microsoft dijo que una víctima puede ser infectada al hacer clic en un enlace malicioso en un sitio web que lleva a un documento HTML. La técnica inyecta código JavaScript malicioso en el navegador de la víctima, dando al atacante la posibilidad de “falsificar contenido, divulgar información o realizar cualquier acción que el usuario pueda realizar en el sitio web afectado en nombre del usuario atacado.”

Shavlik Miller dijo que estaba sorprendido por la ausencia de una corrección para la vulnerabilidad, pero Microsoft no ha visto un “pico” en la cantidad de ataques utilizando la falla, lo que reduce la prioridad de apresurar la publicación.

El costoso impacto que las empresas pagan cuando se producen violaciones de datos está aumentando, según las investigaciones más recientes emitidas por el Instituto Ponemon.

El coste medio de organización por una violación de datos se elevó a $ 7.2 millones en 2010, costando a las compañías un promedio de $ 214 por registro comprometido, un aumento del 5% con respecto al estudio de 2009, según el nuevo informe “The 2010 Annual Study: U.S. Cost of a Data Breach” (PDF). El estudio, en su quinto año, fue suscrito por Symantec Corp.

El estudio de Ponemon estimó los costos después de analizar las experiencias de violación de datos de 51 empresas de EE.UU. Las brechas objeto del estudio oscilaron entre los casi 4,200 registros a 105,000 registros. La firma de investigación dijo que los hallazgos pueden ser aplicados a organizaciones en EE.UU. que experimenten grandes brechas de datos entre 1,000 y 100,000 registros comprometidos.

El estudio marca el quinto año consecutivo en que los costos asociados con una violación de los datos se han incrementado. La violación de los datos más cara incluida en el estudio de 2010 le costó a una compañía 35.3 millones dólares para resolver, un incremento de $ 4.8 millones (15%) respecto al año pasado.

Las organizaciones que se apresuran a notificar a las víctimas terminan pagando más en costos, según el informe. Cuarenta y tres por ciento de las empresas notificaron a las víctimas dentro de un plazo de un mes luego del descubrimiento de la violación de datos. En 2010, las empresas que se apresuraron tuvieron un costo por registro de $ 268, un incremento de $ 49 (22%) con relación a los $ 219 del año anterior. Las empresas que tardaron más pagaron $ 174 dólares por registro, un incremento de 22 dólares (11%) en comparación con 2009.

“El notable incremento en las empresas que responden apresuradamente ante las brechas, a pesar del costo adicional, puede reflejar que las empresas sienten presión por cumplir con las regulaciones comerciales y leyes estatales y federales de protección de datos. Se seguirá de cerca este asunto en futuros informes”, según el informe.

El informe también reveló que los ataques maliciosos causan las brechas de datos más costosas, lo que refleja una tendencia observada en el informe de violación de datos de Verizon de 2010 que reveló aumento en los casos de personal interno malicioso. Casi un tercio (31%) de todos los casos estudiados por Ponemon involucraron un ataque malintencionado o criminal, un incremento de 7 puntos en relación a 2009 después de haber duplicado el año anterior. Ponemon, dijo que es la primera vez que los ataques maliciosos no son la causa menos común de las violaciones. El costo promedio por registro comprometido en una violación de datos que involucra un acto malicioso o criminal promedió $ 318, un incremento de $ 103 (48%) en relación a 2009, y la más alta de cualquier causa de violación de datos este año.

Ponemon dijo que la parte más costosa de una violación de datos es la pérdida de clientela, una respuesta directa a la mayoría de las violaciones. Además, las empresas suelen invertir en programas de capacitación y concientización seguido por las implementaciones de encriptación.

Las brechas por terceros proveedores de servicios está disminuyendo, según el estudio, pero el costo de estas brechas está en aumento. El costo de tales infracciones aumentó significativamente, con un incremento de $ 85 dólares (39%) a $ 302 dólares por registro. Ponemon dijo que las regulaciones gubernamentales y comerciales para la protección de datos puede jugar un papel en el aumento del costo de las brechas relativa a datos tercerizados.

Además, las computadoras portátiles perdidas o robadas o dispositivos móviles siguen siendo una amenaza constante y costosa. El costo es significativo, Ponemon, dijo, con un aumento de 15% a $ 258 por registro comprometido. Los costos son típicamente asociados con la dificultad de la investigación forense en dispositivos robados o perdidos.

Tan solo días después de que los desarrolladores descubrieran más de 50 aplicaciones móviles que contienen un troyano de Android oculto, Google ha reconocido una brecha de seguridad en su Android Market, y dijo que tomaría medidas para evitar que aplicaciones maliciosas aparezcan allí en el futuro.

Rich Cannings, jefe de seguridad de Google Android, dijo que la compañía se encuentra trabajando en el desarrollo de nuevas salvaguardas para el Android Market con el objetivo de ayudar a prevenir futuros ataques. Los pasos incluyen una mezcla de personas y seguridad – similar a las medidas que Google tomó el año pasado para reducir el número de sitios web maliciosos que aparecen en los resultados del motor de búsqueda.

“Estamos agregando una serie de medidas para ayudar a prevenir otras aplicaciones maliciosas con exploits similares de ser distribuidas a través del Android Market y estamos trabajando con nuestros socios para proporcionar la solución a los problemas de seguridad subyacentes”, escribió Cannings en el Blog de Google para móviles.

Los expertos en seguridad han advertido que las vulnerabilidades de aplicaciones móviles presentarían un nuevo y potencialmente lucrativo vector de ataque para los cibercriminales. Malware para móviles ha ido apareciendo en una serie de repositorios de aplicaciones Android de terceros, así como aplicaciones no oficiales que se pueden descargar en un iPhone liberado.

Un troyano oculto llamado DroidDream fue descubierto la semana pasada en al menos 50 aplicaciones para Android. El programa malicioso puede obtener acceso de root en el teléfono inteligente, dándole la habilidad para ver los datos sensibles del dispositivo y descargar malware adicional. Cannings dijo que los ingenieros de Google creen que DroidDream reunía códigos específicos del dispositivo para identificar los dispositivos móviles y la versión de Android corriendo en el dispositivo, pero podría haber robado otros datos, dijo. Google está instalando automáticamente una herramienta de eliminación de software malicioso en las víctimas, que limpia el malware en el dispositivo infectado.

Los expertos coinciden en que los usuarios deben recurrir únicamente a los mercados oficiales, donde el malware es un problema menor. Pero el malware en los repositorios de aplicaciones oficiales empeorará, advierte Charles Miller, analista principal de seguridad en Independent Security Evaluators. Miller dijo que el Android Market de Google se diferencia de la más controlada App Store de Apple. Apple realiza un análisis del binario de la aplicación en busca de APIs privadas y otros elementos que puedan perjudicar el rendimiento del iPhone. El control centralizado ha ayudado a mantener el iPhone relativamente seguro, dijo. Cualquier persona puede poner aplicaciones en el Android Market, dijo Miller, “pero al menos los usuarios pueden ver lo que otros usuarios piensan de la aplicación y si algo es realmente malo, Google puede venir y retirarlo y también removerlo de forma remota de los teléfonos del usuario.”

“Este control centralizado ayuda a reducir un poco el riesgo de malware, pero todavía se está convirtiendo en un problema y continuará tornándose aún peor”, dijo Miller. “Apple lleva el control centralizado un paso más allá y examina cada aplicación antes de que se permita en el App Store de Apple. Se puede argumentar que esto restringe la libertad de los desarrolladores, pero desde una perspectiva de malware, es el método más seguro.”

Abordar el problema de aplicaciones maliciosas es un tema complicado para Google y Apple, ya que se ha establecido todo un ecosistema en torno al desarrollo, hosting e implementación de aplicaciones móviles, dijo Dave Wichers, miembro de Open Web Application Security Project y co-fundador de Aspect Security. Al igual que la computadora de escritorio, a medida que la cuota de mercado de una plataforma crece se convierte en un objetivo, Wichers dijo. Los últimos datos de cuota de mercado de Nielsen muestran a Google superando a Apple y RIM, con una cuota del 29% del mercado de los EE.UU..

“Para Google y Apple hacer algo va a costar tiempo, dinero y esfuerzo, pero al mismo tiempo tienen la responsabilidad de proporcionar un cierto nivel de seguridad a su base de clientes de que las aplicaciones que están haciendo disponibles a través de su tienda de móviles son seguras “, dijo Wichers.

Otro de los blancos de WikiLeaks, el Bank of America, ante rumores de que el sitio publicaría documentos internos reflejando posibles prácticas irregulares, pronto se une al boicot y solicita la ayuda de HBGary Federal, una firma contratista que presta servicios de seguridad al gobierno de los EEUU, con el objetivo de deshabilitar a WikiLeaks. El plan orquestado por HBGary y su ahora tristemente famoso CEO Aaron Barr, incluía una serie de ridículas tácticas nixonianas de desinformación, contraataque e intimidación contra WikiLeaks y sus seguidores. Barr incluso alegó haber infiltrado el grupo de hackers Anonymous y tener información sobre la identidad de sus miembros.

La respuesta de Anonymous fue contundente y severa. Miembros del grupo penetraron las redes de HBGary, alteraron el sitio web de la empresa colocando mensajes despreciativos y obtuvieron acceso a miles de documentos y mensajes de correo electrónico de Aaron Barr, donde se exponían con lujo de detalle los planes y artimañas orientados a lograr este objetivo poco viable.

Existen otros detalles en torno a legalidades, procesos judiciales y acoso sexual que, aunque no menos intrigantes, omitiremos de esta publicación por el momento. Aparte del aspecto fabulesco, esta historia refleja algunas lecciones valiosas sobre seguridad y manejo de incidentes resaltan a la vista de los profesionales en nuestra área.

En primer lugar, muchos de los documentos que WikiLeaks obtiene y publica son el resultado de fugas de datos atribuibles a prácticas de seguridad informática deficientes. Si tan sólo estas empresas y gobiernos invirtieran en proteger sus informaciones la misma energía y recursos que emplean en tratar de encubrir los hechos, la historia fuera muy distinta.

El caso de WikiLeaks debe alertarnos sobre una realidad inminente: Los incidentes de seguridad no podrán mantenerse en secreto. Aún más grave, es que podemos prever el surgimiento de otros “Leaks” dedicados a divulgar datos confidenciales y exponer secretos de organizaciones en múltiples sectores. De hecho, el establecimiento de “AnonLeaks” por parte del grupo Anonymous es un presagio de este fenómeno. Si hay algo que debamos aprender de todo esto es que nuestra mejor defensa contra una brecha de datos y el daño resultante es evitar que sucedan, y para esto necesitamos implantar prácticas efectivas de seguridad, a través de un esfuerzo sistemático que nos permita identificar y tratar continuamente nuestros riesgos de información.

Muchas organizaciones poseen un nivel de conciencia de seguridad adecuado y hacen un buen trabajo en este sentido, estas son las organizaciones que brillan por su ausencia en los titulares de los diarios y en las historias publicadas de estos Leaks. Lamentablemente hay un igual o superior número de organizaciones que deciden ignorar la amenaza. Estas aprenden con el golpe, la forma más costosa de aprender, y enseñan al resto una valiosa lección sobre el potencial impacto de una brecha y la importancia de integrar seguridad en todas las actividades de la empresa.

Por otro lado, los precedentes parecen indicar que intentar desarticular e ir detrás de grupos de hackers organizados es algo que se debe abordar con sumo cuidado. Estos grupos son como fantasmas: están en un lugar y en ninguno al mismo tiempo, desaparecen y resurgen, se mutan, se transforman. Perseguirlos es como perseguir a un espíritu, un concepto que raya en la demencia.

En lugar de intentar erradicar las amenazas, la estrategia de seguridad debe centrarse en protegerse de ellas pues estas siempre existirán, siempre estarán ahí y evolucionarán para adaptarse a los cambios en los entornos y adelantos en la tecnología.

A medida que las buenas prácticas de seguridad de información continúen difundiéndose y se hagan más populares, gracias en parte a las exigencias regulatorias, se puede apostar a que más organizaciones se unan al grupo de empresas que deciden actuar de forma proactiva y evitar el alto precio de la publicidad negativa. Mientras tanto, estemos atentos a los próximos capítulos de esta saga que tan sólo se estrena.

Podría el análisis forense en tiempo real haber ayudado a descubrir más temprano la violación a NASDAQ?

No está claro hace cuanto tiempo los hackers penetraron y merodeaban por la red y los sistemas de NASDAQ. De acuerdo con NASDAQ, la investigación continúa. En un comunicado publicado en la página web de la compañía, NASDAQ dice que “estaba honrando la solicitud del Gobierno de EE.UU. de dilatar la notificación, pero cuando la historia corrió en los medios de comunicación el sábado 5 de febrero de 2011, en relación con un incidente de seguridad informática en NASDAQ OMX, decidimos de inmediato, en consulta con las autoridades, que debíamos informar a nuestros clientes”.

Expertos de la industria se preguntan si el uso de análisis forense en tiempo real podría haber detectado e incluso prevenido este incidente. El Wall Street Journal informó que la violación de seguridad a NASDAQ se reportó en octubre y noviembre a la Securities and Exchange Commission. Pero nada ha sido divulgado acerca de cuándo fueron accedidos por primera vez los sistemas, o la frecuencia con que fueron accedidos. Director’s Desk, una filial de NASDAQ que ofrece herramientas basadas en Web a los ejecutivos y miembros de la junta, parece haber dejado las fallas que los hackers explotaron.

NASDAQ continúa con la afirmación de que no hay evidencia que sugiera que la información de clientes o de cualquiera de las plataformas de negociación de NASDAQ haya sido comprometida.

Hoy en día, la mayoría de los proveedores de servicios financieros y las instituciones bancarias no descubren las breachas y puntos de compromiso hasta días o semanas después de que una violación o fuga se produce, dice Peter Schlampp, vicepresidente de gestión de productos de Solera, una firma de investigación forense de red. El análisis forense de la red en tiempo real es la única solución, dice, pero la tecnología ha tardado en despegar. En el caso de Nasdaq, así como los demás, Schlampp dice que el análisis forense en tiempo real hubiera evitado la violación y los retrasos en la investigación.

La evolución de la tecnología de captura de paquetes, que básicamente monitorea los paquetes de información a medida que viajan a través de la red, está impulsando la adopción generalizada del análisis forense en tiempo real.

“La captura de paquetes se encuentra en un nivel donde ya un banco puede fácilmente desplegarla, utilizarla y realizar una inversión baja en ella”, dice Schlampp.

El rol del análisis forense

Doug Johnson, vicepresidente de política de gestión de riesgos de la Asociación de Banqueros de Estados Unidos, dice que los bancos utilizan mucho el análisis forense en las investigaciones post-violación. “El análisis forense de la red después de una violación de datos significativa por parte de las instituciones financieras es algo muy común”, dice, “tanto para ayudar a determinar la naturaleza de la violación, así como para ayudar a construir medidas de mitigación para endurecer la red frente a futuras y similares violaciones”. Johnson dice que los organismos reguladores también recomiendan el análisis forense como parte de un proceso contínuo de evaluación de riesgos de un banco.

Sin embargo, el elemento de tiempo real es lo que falta, dice Josh Corman, director de investigación de la firma analista de seguridad The 451 Group. La mayoría de los bancos y cooperativas de crédito son vulnerables de la misma manera que lo era NASDAQ. “La mayoría de las prácticas de “seguridad” hacen demasiadas suposiciones”, dice Corman. Coincidiendo con Schlampp, dice que el análisis forense en tiempo real habría proporcionado una visibilidad transparente del tráfico, que inmediatamente habría levantado sospechas.

Las entidades bancarias necesitan de esa información “para apoyar una respuesta rápida y ágil durante los ataques”, dice Corman. “Una mejor visibilidad. Más instrumentación. Ver más, más pronto”.

Adobe Systems Inc. emitió sus actualizaciones de seguridad trimestrales el pasado martes, reparando un grupo de defectos graves en Flash Player y en Adobe Reader y Acrobat. Los parches también incluyen una actualización de Adobe Reader X, reparando huecos en el recientemente fortalecido software para visualización de PDF.

El fabricante de software publicó el Adobe Flash Player 10.2.152.26, reparando más de una docena de vulnerabilidades críticas. Muchas de las vulnerabilidades de Flash Player incluyen errores de corrupción de memoria que podrían ser explotados por un atacante para obtener acceso a una máquina y ejecutar código de forma remota.

Varias de las vulnerabilidades fueron reportadas a través de los laboratorios iDefense Labs de VeriSign Inc., incluyendo un defecto que entre otros podría ser utilizado en ataques “drive-by”. Un atacante puede inyectar código malicioso en una página web para aprovechar el error y obtener los mismos privilegios que el usuario.

Adobe también abordó los agujeros críticos identificados en Adobe Shockwave Player 11.5.9.615 y versiones anteriores.

Además, Adobe publicó una actualización de seguridad crítica, reparando más de dos docenas de vulnerabilidades en su software de visualización de PDF Adobe Reader y Acrobat. La actualización afecta a Adobe Reader X para Windows y Macintosh, Adobe Reader 9.4.1 y versiones anteriores de Windows, Macintosh y UNIX, y Adobe Acrobat X y versiones anteriores de Windows y Macintosh.

“Estas vulnerabilidades podrían causar que la aplicación se bloquee y potencialmente permitir a un atacante tomar el control del sistema afectado”, dijo Adobe en su aviso.

Adobe Reader y Acrobat X son las aplicaciones de la compañía que están configuradas para ejecutarse en una “caja de arena” (sandbox) para aislar el software de los procesos en ejecución del sistema operativo. El nuevo software hace que sea más difícil para los ciberdelincuentes ejecutar un ataque con éxito. El “riesgo para usuarios de Adobe Reader X es mucho menor ya que ninguna de estas fallas vulnera las mitigaciones del modo protegido.”, dijo Adobe.

Microsoft emitió 12 boletines de seguridad el pasado martes, corrigiendo 22 defectos en su línea de productos, entre ellos dos vulnerabilidades críticas para las que ya se encuentra disponible públicamente código de explotación, y una tercera que se informó de forma privada.

El número de vulnerabilidades se ha reducido en relación a diciembre, el último “gran mes” del gigante del software, durante el cual se corrigieron 40 errores. Sin embargo, dos defectos tratados en las actualizaciones del martes de parches de febrero requieren atención inmediata según Jason Miller, gerente del equipo de datos de Shavlik Technologies LLC, un proveedor de gestión de vulnerabilidades basado en St. Paul, Minnesota.

Miller dijo que si bien puede haber disponibles unos cuantos exploits conocidos públicamente, los administradores de TI tienen todo lo que se esperaba de Microsoft este mes.

De las tres vulnerabilidades catalogadas como críticas, las dos más importantes, según Miller, son la MS11-003, la cual repara dos vulnerabilidades en Internet Explorer reveladas públicamente, y MS11-006, una falla de procesamiento de gráficos en Windows Shell.

La falla de Internet Explorer, que Miller dijo que debe ser reparada inmediatamente, es aprovechada mediante la apertura de un archivo de librería especialmente diseñado cuando el usuario abre un archivo HTML; la misma también puede ser activada cuando el usuario navega a una página web en Internet Explorer. El archivo permite la ejecución remota de código y los atacantes pueden utilizar esta vulnerabilidad para otorgarse los mismos derechos de acceso del usuario.

“Prácticamente cada vez que se detecta una vulnerabilidad crítica en Internet Explorer se debe aplicar el parche de inmediato, porque ahí es donde los malhechores van a atacar”, dijo Miller. “Ellos quieren atacar a las personas que utilizan navegadores, es un mejor grupo para ellos encontrar a alguien que puedan comprometer.”

La actualización afecta a todas las versiones soportadas de Internet Explorer.

El fallo de procesamiento de gráficos tiene que ver con la forma en que Windows despliega las imágenes en miniatura (thumbnails). Este error en el procesador de gráficos de Windows Shell podría permitir a un atacante obtener los mismos derechos de acceso del usuario conectado al hacer que el usuario visualice una imagen en miniatura especialmente diseñada, según Microsoft.

“Para ambos boletines ha sido publicado código de explotación por lo que se han registrado ataques limitados”, dijo Miller.

La actualización afecta a Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

Una tercera actualización crítica, reportada de forma privada, se une a la larga lista de parches publicada por Microsoft en diciembre contra la vulnerabilidad del controlador Windows OpenType Font. Mientras que las correcciones de diciembre se centraron en prevenir que un tipo de letra cargado de malware tome el control de su sistema a través de Internet Explorer, las actualizaciones de febrero se centran en el controlador OpenType Compact Font Format. Esta vulnerabilidad requiere un poco más de ingeniería social y trabajo por parte del atacante, ya que tendría que convencer al usuario para que visite una página web creada especialmente con el exploit del tipo de letra.

La actualización se considera crítica para los usuarios de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. Se considera importante para Windows XP y Windows Server 2003.

La vulnerabilidad de MHTML continúa
“A pesar de que un par de problemas de seguridad de día cero se han parchado, todavía no hemos recibido un parche para los problemas de MHTML que afectan a todas las versiones de Internet Explorer, lo que significa que podemos esperar un igualmente perturbador Martes de parches en marzo”, dijo en un comunicado Paul Henry, analista de seguridad y forense del proveedor de administración de vulnerabilidades Lumension.

El código de explotación surgió en enero, el cual ataca una vulnerabilidad en el manejador de protocolo MHTML. La falla afecta a todas las versiones de Windows, una víctima puede ser infectada al hacer clic en un enlace malicioso de un sitio web que dirija a un documento HTML. La técnica inyecta código JavaScript malicioso en el navegador de la víctima, dando al atacante la posibilidad de “falsificar contenido, divulgar información o realizar cualquier acción que el usuario pueda realizar en el sitio web afectado en nombre del usuario atacado”, dijo Microsoft en su aviso sobre la falla.

Miller dijo que sería difícil determinar lo que está programado para marzo, ya que este suele ser un mes “más ligero” en la alternancia de la carga de trabajo de Microsoft. Miller continuó diciendo que la empresa tiene pendiente por lo menos un aviso desde hace aproximadamente un mes, pero que por ahora no era una amenaza crítica.

“En los últimos 4 o 5 meses ellos han estado trabajando muy estrechamente con los socios de investigación de seguridad”, dijo Miller. “Sólo para incluso jugar a Nostradamus y tratar de adivinar lo que va a venir próximamente es muy interesante … ahora aún sus meses ligeros son grandes de manera que para el mes que viene yo no podría decir lo que viene, pero sé que tienen mucho en su cola.