Se ha anunciado una vulnerabilidad de desbordamiento de búfer en una librería empleada por diversos programas para la visualización de archivos en formato Excel por la que un usuario remoto podría provocar la ejecución de código arbitrario en los sistemas afectados. El problema se ha confirmado que afecta a IBM Lotus Notes (versiones 6.5, 7.0, 8.0 y 8.5) y en múltiples productos Symantec.

El problema reside en el Autonomy KeyView SDK un SDK comercial que proporciona múltiples librerías para el tratamiento de archivos en diferentes formatos, entre los que se incluye el formato Microsoft Excel 97 (XLS). Son muchos los productos que hacen uso de esta librería, entre los programas confirmados como afectados se encuentran IBM Lotus Notes y múltiples productos Symantec, aunque la lista puede ser más extensa.

Read More

El crecimiento de una red corporativa o los constantes cambios de la misma pueden llevar a cometer errores humanos no intencionales por parte del personal de IT, dejando al descubierto posibles oportunidades para que intrusos o atacantes perpetren un ataque o robo de información.

Los servicios de PENETRATION TEST de AltoSec le permitirán conocer los puntos débiles de su red para luego llevar a cabo un proceso de segurización controlada.
Los procesos de testeo se realizan en total acuerdo con el cliente y bajo estrictas medidas de confidencialidad.

Una solución para cada situación

Brindamos soluciones basadas en normas y metodologías vigentes de análisis de de seguridad (ISSAF, OSSTMM, OWASP, etc) como así también empleando la experiencia de nuestros consultores y utilizando herramientas de última tecnología.

Se puede leer más sobre esta modalidad de servicio directamente desde la página de AltoSec.

Seguridad Física

Al momento de hablar de seguridad se piensa principalmente en que afuera hay personas que quieren entrar, por lo que se enfatiza en las medidas perimetrales de seguridad. El problema es que existe una alta probabilidad de que un ataque provenga desde dentro de la organización ya sea intencionado o accidental y en formas que ni siquiera se han contemplado.

En una nota anterior habíamos hecho referencia a las laborares del CISO (Chief- Information- Security-Officer). Entre una de ellas esta tener en cuenta la seguridad física de centros de cómputos.

Este aspecto muchas veces olvidado, bien por desconocimiento o por simple simple exceso de confianza, tendría que atenderse no solo si se tiene una gran cantidad de servidores, también tendría que ser tomado en cuenta para cualquier tipo de sistema que requiera brindar las premisas básicas de la seguridad:

• Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.
• Confidencialidad: La información sólo debe ser legible para los autorizados.
• Disponibilidad: Debe estar disponible cuando se necesita.
• Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

Uno de los puntos más afectados en cuanto a la seguridad física es el de la Disponibilidad. Un simple error de cálculos y el servidor de producción que está encima del escritorio de la secretaria puede terminar en el suelo. O bien, una persona mal intencionada puede realizar una Denegación de Servicio (ataque DoS) simplemente con un martillo o llevándose el servidor. De igual forma puede hacerse un DoS simplemente desconectando el cable de red o electricidad los cuales están al alcance.

De acuerdo a las a las posibilidades y teniendo en mente la importancia de la información que se maneja, se debería contar con control de ciertos aspectos de seguridad física.

Existen diversos peligros físicos que pueden comprometer la seguridad de la información. Entre ellos se encuentran los peligros del entorno: Fuego, humo, polvo, terremotos, humedad, agua, etc. También se podrán encontrar los peligros por vandalismo o robo al contar del acceso físico al lugar donde están los servidores que contienen los datos.

Read More

Haga su inventario de Software

¿Sabe usted que programas se utilizan en en las computadoras de su red? y además, ¿conoce cual es la versión de cada uno de ellos y si tienen o no vulnerabilidades explotables?

Muchos problemas de seguridad, incluidos los virus informáticos, aprovechan un simple error de programación o vulnerabilidad de programas comunes como lectores de archivos pdf, editores de texto a de presentaciones además de por supuesto los propios errores de los sistemas operativos, para poder cumplir su cometido. Es aquí donde se hace necesario contar con información sobre que están usando los usuarios con nombre y versión.

La metodología podría ser muy similar a la que se tiene para otro tipos de bienes de la organización. Llevar un inventario (automatizado o manual) sobre estos programas, permitirá rápidamente saber que equipo está potencialmente comprometido.

La tarea de inventario tendría que estar acompañada de una política clara de seguridad que impida que los usuarios instalen cualquier tipo de programas. El área sistemas o bien quién se encargue de las tareas de sistemas (sea interno o tercerizado) tendría que dar autorización y realizar la instalación del programa habiendo podido comprobar que el mismo no representa un riesgo para la seguridad interna.

También requiere que las personas que lleven esta tarea estén informados sobre los informes de seguridad donde se reportan las vulnerabilidades encontradas, las cuales, se informan junto al nombre y versión de los programas de forma que es fácil saber, si se tiene el inventario, donde está ese programa y, así, realizar las medidas correctivas para evitar tener problemas de seguridad.

Este control tiene que ser llevado permanentemente y el inventario tiene que estar actualizado. De nada servirá contar con políticas si no se cuenta con información y viceversa.

No todo hay que enchufarlo

Se presenta de una manera muy cómoda y permite que se lleve gran cantidad de información en un dispositivo reducido que entra en el bolsillo de cualquiera, el llavero y hasta en relojes.

Los dispositivos de almacenamiento con interfaz USB, mejor conocidos en el mundo como Pen USB o Pen Drive están en todas partes. Muchas empresas hasta los utilizan para difundir campañas de marketing incluyendo contenido de diapositivas y hasta con las funcionalidad de iniciar el programa requerido directamente al conectar el Pen Drive a la computadora.

Y aquí, el lector, se podría comenzar a dar cuenta que esta herramienta puede ser usada para “otros menesteres”.

Imaginen esta situación. Un empleado de su compañía al salir de su casa encuentra un hermoso Pen Drive de 2 GB de capacidad el cual tiene un símbolo de pregunta dibujado en uno de sus lados.
El empleado, recoge el Pen Drive y se dirige a su trabajo preguntándose durante el viaje que tendrá dentro y pensando que ha sido muy afortunado en encontrar un Pen Drive con tanta capacidad. Se imagina guardando sus temas musicales y hasta poder llevar películas enteras desde el trabajo (que tiene mejor ancho de banda ), a su casa.

Read More