miércoles, 21 de junio de 2017

Adjuntos de emails con extensiones peligrosas: protección en capas

Adjuntos de emails con extensiones peligrosas: protección en capas



Tal como se comentó en el post Phishing y Ransomware últimas tendencias de protección (Recursos), acerca del bloqueo de archivos adjuntos a correos electrónicos con extensiones potencialmente peligrosas, en el presente post se expondrán distintas barreras de seguridad para realizar dicho bloqueo en un entorno Microsoft, con Exchange como servidor y Outlook como cliente de correo.

Cuando hablamos de extensiones peligrosas, hacemos referencia a archivos ejecutables o scripts, como ser: .exe, .bat, .vbs, .cab, .scr, .ps1, .js, entre otras.

La importancia de la seguridad en capas

La importancia de aplicar controles en diferentes puntos de la organización radica en la disminución del riesgo de ser víctima de un ataque, en este caso, a través de archivos maliciosos adjuntos en correos electrónicos. Por lo tanto, si el atacante evade algún control, habrá otros detrás que le complicarán el cumplimiento de su objetivo.

Aplicando la defensa en profundidad

La defensa en profundidad es uno de los principios de Seguridad de la Información y para este caso particular, se aplica de la siguiente manera:

Bloqueo a nivel de servidor de correo

Todos los servidores de correos actuales tienen la posibilidad de realizar el bloqueo de archivos adjuntos con extensiones peligrosas para evitar que llegue a la bandeja de entrada de los usuarios.

En el artículo para Microsoft Exchange 2016 (y anteriores) se explica cómo hacer dichos bloqueos.

Bloqueo a nivel de sistema operativo

La protección a este nivel es importante dado que, dependiendo de los permisos que tenga el usuario para descargar archivos de Internet, es posible que descargue malware, independiente a la posibilidad que le llegue un correo malicioso a la bandeja de entrada.

Para el caso de sistemas Windows, es posible realizar un bloqueo de extensiones desactivando la aplicación Windows Script Host a través del registro o creando una GPO. En este artículo se explica cómo hacerlo.

Bloqueo a nivel de cliente de correo

Otro punto importante para evitar que un correo electrónico con un adjunto malicioso llegue al buzón del usuario es realizar el filtrado en el mismo cliente de correo, en este caso, Microsoft Outlook. Este enlace proporciona información para un entorno donde no se utilice Exchange y tenga instalado Outlook Security Administrator Package.

Como información adicional, en la sección Comportamiento de datos adjuntos de este artículo, se explica cómo funciona el cliente de Microsoft Outlook 2007, 2003, 2002 y 2000, y aquí aparece un listado de las extensiones que bloquea Microsoft Outlook por defecto.

En el caso que utilice Windows Live Mail, es conveniente revisar si está activada la opción de bloqueo de archivos adjuntos potencialmente peligrosos. Para ello siga las siguientes instrucciones:

Seleccione el menú del extremo superior izquierdo -> Opciones -> Opciones de seguridad…


Diríjase a la solapa Seguridad -> Tilde la opción No permitir que se guarden ni abran datos adjuntos que puedan contener virus.

win-mail-config2.png


Políticas de Windows

En caso de administrar un entorno Windows, es posible crear un objeto de directiva de grupo (GPO) para implementar controles de forma masiva. Algunos de ellos son:

Restricción de la ejecución de archivos desde las carpetas que utilizan los clientes de correo

En varios casos se guardan en la carpeta TEMP. https://msdn.microsoft.com/es-es/library/hh994580(v=ws.11).aspx

Mostrar extensiones de archivos

Es importante conocer qué tipo de archivo estamos por abrir, ya que en caso de recibir un correo cuyo adjunto sea .pdf.exe, .doc.exe, .xls.js, etc., si no se tiene configurada esta opción, el receptor podrá visualizar que el documento es .pdf,.doc,.xls, etc. Para ello es posible configurarlo:

- Localmente en una estación de trabajo

https://support.microsoft.com/es-ar/help/865219/how-to-show-or-hide-file-name-extensions-in-windows-explorer

- Por GPO (si tiene un servidor con Active Directory)


Dirijase a Configuración de usuario -> Preferencias -> Configuración del Panel de control -> Opciones de carpeta -> Nuevo -> Opciones de carpeta (como mínimo, Windows Vista)


Destilde la opción Ocultar las extensiones para tipos de archivos conocidos


Concientización

Como venimos mencionando en otros posts de nuestro blog, es fundamental informar y educar a los usuarios, entre otros temas, respecto a la forma en que los ciberdelincuentes los pueden engañar o persuadir para que abran un archivo adjunto a un email, de manera que sepan cómo actuar en caso que los ataquen.

Conclusión

Podemos concluir que una sola medida de seguridad es insuficiente. Si queremos minimizar los riesgos de ser víctima de este tipo de ciberataques, es necesario implementar controles en diferentes capas de la infraestructura, incluidas las personas.

De esta manera, lograremos contener los intentos de infección a través de archivos adjuntos maliciosos enviados a través de correos electrónicos… ¡Manos a la obra!
Leer Más

jueves, 15 de junio de 2017

La nube y el control de accesos

La nube y el control de accesos


Este problema ya estaba resuelto...

Históricamente, ha existido el problema del control de accesos de usuarios a aplicaciones o recursos dentro de una organización.

En muchas organizaciones, dicho problema se ha afrontado mediante un servicio de directorio, como Active Directory de Microsoft. Mediante este tipo de servicios, se pueden gestionar usuarios, servicios y recursos de una red, y controlar así en forma centralizada quién tiene acceso a qué.

...Hasta que llegó el SaaS

En la actualidad, esta solución está comenzando a quedar incompleta, debido a la llegada de las aplicaciones en la nube consumidas desde nuestras organizaciones. Con este nuevo paradigma, todo nuestro control interno logrado con la ardua implementación de un servicio de directorio, se pierde.

Al adoptar un nuevo servicio en la nube, es necesario dar de alta nuestros usuarios en dicho servicio. Esto significa que ellos manejarán nuevas credenciales y nosotros tendremos que administrar estos nuevos usuarios en forma paralela a nuestro servicio de directorio. 
Pensemos qué pasaría si la cantidad de servicios en la nube que adoptamos crece. Teniendo en cuenta la tendencia del mercado, esto va a suceder. Pensemos también qué pasaría si algún día nuestra organización contrata a un nuevo empleado y debemos darlo de alta en todos los servicios, o si algún día uno abandona la misma, y debemos darlo de baja en todos ellos.

¡Necesitamos volver a solucionarlo!

Una solución elegante, sería poder utilizar nuestro servicio de directorio ya consolidado para poder controlar en forma centralizada el acceso a todas las aplicaciones que utilicemos en la nube.

Esto, es lo que propone Microsoft por ejemplo, con Microsoft Azure AD. Si bien no es posible utilizar el conocido Active Directory Domain Services on-premise para resolver los problemas mencionados, debido a que fue concebido para otros fines, sí que es posible sincronizarlo con Microsoft Azure AD y tener así una solución de autenticación de usuarios para servicios en la nube 100% fiel a la estructura de nuestro Active Directory.

Incluso, es posible adoptar Microsoft Azure AD sin poseer previamente un Active Directory on-premise.

De esta manera, si una aplicación en la nube soporta Microsoft Azure AD, nosotros, como administradores, sólo deberemos habilitarla para que los usuarios de nuestra organización puedan utilizarla. Simplemente deberán estar logueados con su cuenta de Active Directory para poder acceder a ella.

Así, volvemos a obtener el control centralizado que deseamos, a la vez que nos significa menos esfuerzo adoptar nuevos servicios en la nube y se nos abren las puertas a todas las aplicaciones presentes en el Market de Azure, como Office 365, G-Suite, Dropbox, y miles de aplicaciones más.

En cuanto a nuestros usuarios, les estaremos simplificando el acceso a todos los servicios que decidamos implementar y les ahorraremos la tarea de gestionar múltiples contraseñas.

Cabe aclarar que previo a Microsoft Azure AD, muchos administradores de Active Directory intentaron conseguir esto mediante otros medios, pero no fue posible llegar a soluciones del nivel de Microsoft Azure AD.

Con SMARTFENSE es posible

A partir de la versión 1.4 de reciente liberación, es posible utilizar SMARTFENSE junto con Azure, logrando así todas las ventajas mencionadas en este artículo.
Leer Más

miércoles, 7 de junio de 2017

El Arte de Engañar al Usuario - Parte 3: Ataques locales

El Arte de Engañar al Usuario - Parte 3: Ataques locales


EN ESTA TERCERA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LOS TIPOS DE ATAQUES UTILIZADOS POR LOS INGENIEROS SOCIALES DE MANERA LOCAL, DIFERENCIÁNDOLOS ASÍ DE LOS ATAQUES REALIZADOS DE MANERA REMOTA, TEMA CORRESPONDIENTE A LA PARTE 4.

Cuándo se utilizan

Tanto durante la fase de “Desarrollo de la relación” como así también la de “Explotación de la relación” el Ingeniero Social puede utilizar diferentes tipos de técnicas y ataques.

Una forma de clasificar los ataques es dividiendo los mismos entre aquellos que se realizan en forma remota, a través de internet, teléfono, u otro medio a distancia, y aquellos que se realizan en forma local.

En este post nos enfocaremos en los ataques realizados por el Ingeniero Social en forma local, es decir, personalmente.

Pretexting / Impersonate

Estas técnicas van de la mano y pueden usarse tanto en los ataques locales como así también en los remotos
Un claro ejemplo puede darse cuando el atacante se hace pasar por un empleado de soporte técnico de la empresa en la cual trabaja la víctima (impersonate), tratando de generar empatía para ganar credibilidad.
Acto seguido presenta algún tipo de excusa o pretexto (pretexting) como por ejemplo alertar a la víctima de un comportamiento inadecuado en su equipo, el cual requiere de su intervención, dando de esta manera instrucciones específicas que terminarán en la instalación de algún tipo de Malware, concretando así su objetivo (tomar el control del equipo, obtener datos sensibles, etc). 

Tailgating

Este tipo de ataque se aprovecha de la solidaridad y la buena voluntad.
Generalmente suele ejecutarse cuando un empleado (la víctima) está ingresando a su empresa, la cual posee algún tipo de restricción en su acceso físico, como por ejemplo: tarjetas RFID, molinetes, etc.
El atacante irá corriendo con una gran “sonrisa” detrás de la víctima (justo antes de que esta termine de ingresar) haciendo un gesto de haber olvidado su tarjeta de acceso o en caso de existir un molinete, ingresará junto con la víctima disculpándose por su “torpeza”. 

Baiting

El Baiting (señuelo) es una técnica muy efectiva. Generalmente se utilizan pendrives con software malicioso los cuales se dejan en el escritorio de la víctima o en el camino que la misma realice (por ejemplo en el estacionamiento, ascensor, etc). 
Para asegurarse del éxito en la explotación se estudia a la víctima previamente detectando así la vulnerabilidad a ser explotada.

Falla en controles físicos de seguridad

Este es quizás unos de los más usados ya que existen muchas empresas con fallas en sus controles físicos. 
Para graficarlo mejor supongamos que en la recepción se encuentra un guardia de seguridad o recepcionista, el/la cual solicita nombre, apellido, número de documento y el área a la cual se quiere dirigir “la visita”, pero este guardia o recepcionista no solicita el documento físico ni tampoco llama al empleado que está siendo “visitado”.
Este tipo de ataque es muy efectivo para realizar Baiting, ya que si el control falla desde el inicio es muy probable que se pueda llegar hasta las oficinas de interés para el atacante. 

Dumpster Diving

Aunque no lo crean una de las técnicas muy utilizadas es revisar la basura, ya que muchas - pero muchas - veces se arrojan papeles con información sensible sin haberlos destruidos previamente (usuarios y contraseñas que fueron anotadas en algún Postit, números de cuentas, emails impresos, etc.)
También se suelen encontrar distintos medios de almacenamiento sin su debida destrucción como pueden ser: CDs, discos rígidos, etc.

Shoulder Surfing

Esta es una técnica muy utilizada por los Ingenieros Sociales (y los curiosos también :) ). No es ni más ni menos que espiar por encima del hombro de las personas, en muchos casos para poder observar qué está tecleando la víctima y así poder dilucidar su password, PIN y patrones de desbloqueos en teléfonos, etc.

Distracción

Conocida también como Misdirection (desorientar) esta técnica es la piedra fundamental de la Magia y el Ilusionismo
Es utilizada para llevar la atención de la víctima a algo irrelevante mientras el atacante puede obtener todo lo contrario (información valiosa), pudiendo por ejemplo: sacar una foto de la pantalla o papeles con datos importantes, robar un Token, Pendrive o algún dispositivo de almacenamiento, etc.

Sobre esta serie

Este es el tercero de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones hablaremos acerca de los diferentes tipos de ataques que llevan a cabo los Ingenieros Sociales en forma remota. Además, conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
Leer Más

lunes, 29 de mayo de 2017

¡Los usuarios no tienen sentido común!

¡Los usuarios no tienen sentido común!


El buen sentido es la cosa mejor repartida del mundo, pues cada uno piensa estar tan bien provisto de ella que incluso aquellos que son los más difíciles de contentar en cualquier otra cosa no tienen en esto costumbre de desear más del que tienen.

René Descartes, El Discurso del método [1][2]

En mi día a día me resulta habitual escuchar frases como: “Si caés en trampas de Phishing, es porque no tenés sentido común”, o “Sólo se necesita sentido común para estar seguro en Internet”, y miles de variantes más que tienen como común denominador este ¿grandioso? “Sentido Común”.

Parece que dicho sentido fuese esa solución mágica frente a todo riesgo de la seguridad de la información que tantos intentan (sin éxito, ahora y por siempre) encontrar.

Sin embargo, la experiencia me demuestra que esto no es así, y que parece ser que este sentido común, no es tan común como su nombre lo indica.

Empecemos por el principio, como dicta el sentido común

Luego de leer algunas definiciones sobre el sentido común [3] [4] [5], es inmediato concluir que esto no es un concepto científico, sino filosófico, y hay tantas definiciones como autores hablan del tema.

En general, parece que el sentido común es lo que piensa o sabe la mayoría de las personas acerca de algo, algo así como un “conocimiento común aplicado”. El lector sabrá que si acerca demasiado la mano al fuego, se va a quemar. Eso es parece ser el sentido común.
Ahora bien… ¿Nació usted con sentido común?.

Si en algo coinciden todas las definiciones, es que el sentido común varía entre personas, familias, ciudades y países, y que el mismo se aprende a lo largo de la vida, a través de todo tipo de fuentes, siendo la principal la propia experiencia.

¿Cuándo lo aplicamos?

Cada vez que realizamos un juicio, nuestro sentido común toma parte en nuestra decisión.

Tomando nuestra experiencia y conocimiento general sobre cierta situación, el sentido común saldrá a darnos la respuesta más simple para que podamos tomar la decisión más correcta, simple e inmediata, según él.

Volviendo a la seguridad de la información

Las personas que mencionan que es necesario tener sentido común para proteger la información, puede que tengan razón, hablando desde su propio sentido común, que no es igual al de las otras personas.

Aquellos responsables de seguridad informática que esperan, por ejemplo, que sus usuarios tengan sentido común para no caer en trampas de Phishing, tienen que saber que a sus usuarios el sentido común NO les indica que un archivo adjunto de un correo puede ser peligroso, por mencionar un caso.

De hecho, yo diría que el sentido común, en la mayoría de las sociedades, indica a las personas conductas poco seguras respecto a la protección de la información.

Entonces, ¿el sentido común no sirve en el mundo de la seguridad?

Pienso que está muy buena la idea de lograr que el sentido común nos lleve a tener comportamientos seguros, y que sería un arma poderosa (pero no la única) contra los riesgos de seguridad de la información de la organización.

Pero, por lo ya mencionado, el responsable de seguridad de la organización debe crear este sentido común [6] proveyendo un conocimiento común a sus usuarios.

Y no es tan fácil como poner a una persona frente al fuego y mostrarle que si acerca la mano se va a quemar. Pero, con los medios adecuados, es posible. Es posible enseñar a una persona los riesgos a los cuales se expone, por ejemplo, en Internet. Es posible ponerla a prueba frente a escenarios reales para que vaya formando su propia experiencia en estas situaciones. Es posible que el comportamiento seguro se convierta en un hábito y en el sentido común de cada usuario.

Pero, es necesario dedicar tiempo y utilizar los medios y herramientas correctos para lograrlo, y no esperar que un usuario, por su sentido común, se convierta por sí solo en una capa fuerte de seguridad de la organización.

Fuentes

  1. https://es.wikipedia.org/wiki/Discurso_del_m%C3%A9todo
  2. http://www.librosmaravillosos.com/metodo/parte01.html
  3. https://www.psicoactiva.com/blog/el-sentido-comun-el-menos-comun-de-los-sentidos/
  4. https://www.significados.com/sentido-comun/
  5. http://deconceptos.com/ciencias-sociales/sentido-comun 
  6. http://es.wikihow.com/desarrollar-el-sentido-com%C3%BAn
Leer Más

lunes, 22 de mayo de 2017

CharruaCon: Una conferencia de seguridad en pleno WannaCrypt

CharruaCon: Una conferencia de seguridad en pleno WannaCrypt


Sobre la conferencia

El 11 y 12 de mayo tuvo lugar en la ciudad de Montevideo, Uruguay, la conferencia de seguridad CharruaCon.

Desde SMARTFENSE tuvimos el agrado de ser Sponsors de este evento gratuito que brindó la oportunidad a sus más de 600 inscriptos de distintas nacionalidades de disfrutar de dos jornadas empapadas de seguridad.

Con una gran cantidad de charlas sobre ciberseguridad y dos paneles de debate llevados adelante de la mano de reconocidos expertos en la materia, la Torre de las Comunicaciones de ANTEL se convirtió durante dos días en un foco de aprendizaje y actualización para todas las personas interesadas en la seguridad de la información. Éstas, además, encontraron aquí un lugar donde extender sus relaciones profesionales, crear nuevos contactos y reencontrarse con viejos colegas.

34532082681_861459a010_k.jpg

El lugar perfecto para la tormenta

El amanecer del segundo día de la conferencia nos encontró con las primeras noticias de WannaCrypt. Pocos lugares podrían haber sido tan indicados para estar en la concepción de estas noticias que la CharruaCon.

Desde los primeros minutos, la conferencia se llenó de una gran cantidad de discusiones, charlas y especulaciones acerca de este nuevo Ransomware, del cual, hora tras hora, se iban conociendo nuevos detalles. Mientras algunos aprendían, otros se agarraban la cabeza expresando su perplejidad por cada nuevo dato que se iba obteniendo. Hubo quienes además comenzaron a analizar muestras del malware allí mismo, y las repercusiones de cada descubrimiento no tardaban en extenderse por toda la conferencia.

34500579882_33ef4e5ff1_k.jpg
Éstos son los sabores extra que tiene la asistencia a este tipo de eventos. La experiencia de no sólo informarse, aprender y actualizarse a partir de grandes referentes de la materia, sino también tener la oportunidad de estar ahí, en donde tantas personas amantes y expertas en seguridad están reunidas, en el momento que ocurre un incidente mundial de ciberseguridad que quedará en la historia.

Capturando la bandera

Una conferencia con foco en el hacking no está completa sin un reñido CTF. CharruaCon no fue la excepción y 64 participantes pelearon por obtener su lugar en el podio enfrentándose a una gran variedad de retos y teniendo el desafío de no sólo resolverlos, sino también documentar sus resoluciones.

Screenshot from 2017-05-21 21:59:30.png
Luego de una destacada actuación, el primer puesto fue para Martín Tartarelli de Infobyte, quien se llevó la Katana de la CharruaCon, una taza oficial de SecAdmin y un libro de 0xWord.

33852969573_b6fd677ac5_k.jpg

Agradecimientos

Agradecemos a Adrián Ramírez y Mateo Martínez por la organización de este evento, como así también a todas las empresas que han brindado su apoyo al mismo en calidad de Sponsors. Además, damos las gracias a todos los asistentes a la conferencia, y esperamos reencontrarnos de nuevo en una próxima edición, quién sabe con qué nuevas sorpresas que acompañen la ya de por sí excelente organización, calidad y nivel de este evento.

C_jU_agXUAArXrt.jpg:large.jpeg
Leer Más