sábado, 24 de mayo de 2014

Aleatoriedad y sistemas vulnerables

"Pronosticamos un número creciente de nuevas violaciones de datos tanto en el sector en los próximos años, así como la aparición de nuevos tipos de códigos maliciosos específicos dirigidos a los sistemas de backoffice de los minoristas y las cajas registradoras". Esta demoledora sentencia sale de puño y letra de los chicos de IntelCrawler, después de hacer público un descubrimiento que no dejará indiferente a nadie:

Descubierta una botnet, aparentemente dirigida desde Serbia, de PoS, point-of-sale, o puestos de venta de casi 1500 tiendas en más de 35 países. Lo curioso del caso es que entre los infectados se cuentan al menos 25 tipos diferentes de software de gestión, lo que apunta a una industrialización criminal con grandes recursos. Unos sistemas que, como comentábamos la semana pasada, empiezan a estar en el punto de mira de los ciberatacantes, al ser programas que manejan tarjetas de crédito, y que por lo general, no cuentan con las medidas de seguridad necesarias.

Para cualquiera que se haya peleado con el desarrollo, la aleatoriedad es un problema constante ¿Cómo aseguramos elementos aleatorios en un sistema basado en algoritmos que no lo son? Porque en caso contrario, si un atacante puede predecir el resultado, tendría las llaves para acceder a todo aquello que se resguardara tras él. Gastón Charkiewicz nos lo explica, adelantando en un artículo para el blog de ESET, algunos términos básicos en el sector, como es la entropía y el machine learning.


¿Ha estado recientemente en Las Bahamas? De ser cierto, seguramente habrá llamado por teléfono a alguno de sus amigos, familiares, o en el peor de los casos, para resolver algún tema de trabajo. Pues según las últimas declaraciones de Snowden, la NSA tiene un archivo de todas las llamadas realizadas desde la isla, mediante el uso de dos programas diferentes, SOMALGET y MYSTIC. El primero, encargado de generar una titánica base de datos de llamadas, sin ningún tipo de segmentación, y el segundo, con la recopilación de los metadatos de cada una de ellas. La pregunta a raíz de este conocimiento sería ¿Por qué EEUU tiene tanto interés en este paraíso?

Y terminamos con una de esas noticias que ponen los pelos de punta. El ciclo de vida de un zero day suele ser relativamente bajo. Desde que se descubre hasta que el descubrimiento se hace público y la empresa encargada lo soluciona, rara vez pasan varios meses ¿Pero qué ocurre cuando aún con el conocimiento de su existencia, la empresa no busca solución inmediatamente? Que te encuentras ante un producto (en este caso Internet Explorer 8) que ha estado al menos siete meses (posiblemente más entre los círculos del mercado negro) indefenso a la ejecución de código malicioso mediante campañas de email marketing y/o sitios comprometidos. Si usted usa asiduamente la versión 8 de este navegador, recomendamos desactivar hasta nuevo aviso los controles ActiveX y Active Scripting.

Y si has llegado hasta el final, recuerda que puedes votar y comentar nuestros posts, o seguir nuestro día a día en Twitter y en otros perfiles sociales, cuyos enlaces tienes a la derecha, en la barra lateral del blog.

0 comentarios:

Publicar un comentario