Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

11/12/2015

Boletín 28/11/2015 - 11/12/2015

Ayer 10/12 empezaron en Madrid las IX Jornadas STIC CCN -CERT bajo el lema “Detección e Intercambio, factores clave”. Ciberespionaje, APTs, cibercrimen, Internet de las Cosas, sistemas de detección de intrusos, ENS y cumplimiento normativo, desactivación de infecciones, ataques a sistemas de pago o Smart Cities son algunos de los temas que se abordarán. En esta edición CSIRT-CV presentará la charla titulada HBOS IDS (High Bandwidth Open Source IDS) cuyo objetivo es mostrar en detalle el proceso de instalación y explotación de una sonda IDS con software libre/gratuito en redes con un gran caudal de tráfico.

Según el informe, elaborado por Panda Security y Nielsen, el 91% de las PYMES españolas afirma sufrir ataques informáticos a diario. El instituto Ponemon, además, indica en otro informe que el tiempo medio de resolución de un ciberataque es de 45 días con un coste medio de $35.647 por día. La clave para minimizar el daño es la preparación previa, puesto que parece que es inevitable que vayamos a sufrir un ataque. Por ello debemos tener en cuenta lo siguiente:

•  Preparar una actitud correcta ante un ataque
•  Elección del equipo de respuesta
•  Comunicación con empleados y clientes
•  Requisitos de notificación legal y denuncias
•  Tecnologías que pueden ayudar

Además, teniendo en cuenta la época navideña, deberíamos añadir algunos puntos específicos:

•  Establecer un calendario de vacaciones del personal con distribución de responsabilidades
•  Revisión de movimientos en cuentas bancarias y tarjetas
•  Formar al personal en la detección de ataques de phishing
•  Verificar que los empleados saben como notificar un incidente
•  Estar atentos ante visitantes inesperados (Papá Noel disfrazado y otros)
•  No publicar información sobre asistencia a fiestas que puedan indicar que no habrá personal en las oficinas
•  Tener en cuenta la problemática BYOD con los dispositivos nuevos que puedan llegar a la empresa y si es necesario conectarlos a la Wifi corporativa.

Por otra parte, que el Internet de las Cosas ya es una realidad, lo estamos viviendo con noticias como estas, en las que un cliente se queja de que ya no puede ver su calendario de Gmail en la nevera o que otra nevera falla al validar los certificados SSL con lo que se podría tener acceso a la cuenta y contraseña del usuario. 

La OWASP (Open Web Application Security Project) ha elaborado la lista Internet of Things Top Ten Project, en la que presenta los campos más problemáticos en cuestiones de seguridad relacionados con estas tecnologías y que todo fabricante tendría que validar.
En caso de recibir un regalo tecnológico en estas fechas, conviene revisar la interacción que pueda tener con Internet y consultar con el fabricante si existen actualizaciones de seguridad sobre el producto. La tecnología debe ser evolución en todos los aspectos y no un retroceso en seguridad y privacidad de sus usuarios.

Actualizaciones de programas

Apple ha publicado actualizaciones para iOS 9.2, tvOS 9.1, OS X El Capitan 10.11.2 y Security Update 2015-008, watchOS 2.1, Safari 9.0.2 y Xcode 7.2 Se solucionan gran cantidad de problemas de seguridad además de añadir nuevas funcionalidades.

Microsoft ha publicado doce boletines de seguridad (del MS15-124 al MS15-135) solucionando un total de 71 vulnerabilidades. Ocho de los boletines presentan un nivel de gravedad "crítico" mientras que los cuatro restantes son "importantes".
Se solucionan problemas en Internet Explorer, Microsoft Edge, JScript and VBScript,  Microsoft Windows DNS, Microsoft Graphics Component, Silverlight, Microsoft Office y Microsoft Uniscribe. El boletín MS15-127 es especialmente relevante porque solventa una vulnerabilidad de ejecución de código remotamente en Microsoft's DNS server (podría explotarse con una petición DNS). Recomendamos su actualización inmediata, además de recordar que Windows 2003 ya no dispone de actualizaciones y será vulnerable a este ataque.

Microsoft también ha hecho pública una nota sobre un certificado digital SSL/TLS para *.xboxlive.com del que se han filtrado las claves. No se trata de un caso como el que ha afectado a los portátiles Dell porque no se puede utilizar para generar otros certificados ni suplantar dominios o firmar código. En el caso de CISCO también se está a la espera de que publique actualizaciones respecto de la incorporación de certificados y claves privadas en algunos de sus dispositivos.

OTRS ha publicado actualizaciones para evitar una vulnerabilidad de cross-site scripting en todas las versiones del módulo FAQ

CSIRT-CV