Noticias de DotForce

El Hack de Deloitte – Un fallo imperdonable

El Hack de Deloitte – Un fallo imperdonable

El pasado 25 de septiembre de 2017 Deloitte reveló que la brecha sufrida ocurrió porque no utilizaban autenticación de 2 factores para la cuenta de administración de su servidor Email Exchange. Protegían la cuenta solamente con un factor de autenticación, es decir nada más que una contraseña.

Según el periódico The Guardian de Londres, la brecha ocurrió en Londres durante una migración de Exchange On-premise a Microsoft Office 365 en la nube en el otoño del año pasado y fue descubierto en la primavera de este año y Deloitte esperó hasta este otoño para hacer pública la violación.

Pero los fallos no acaban con el simple hecho de que no tenían la cuenta de administración de Exchange protegida con 2 factores de autenticación.

Se deben analizar muchos otros posibles fallos:

  • ¿Qué falló en su sistema de gestión de identidades, si lo tenían?
  • ¿Qué falló en su sistema de gestión de las cuentas privilegiadas / administración, si lo tenían?
  • ¿Qué falló en sus sistemas de auditoría?
  • ¿Qué falló en sus sistemas de control para detectar comportamientos anómalos y cambios indebidos?
  • ¿Tenían los Emails cifrados?
  • ¿Tenían información sensible, que el Hacker hubiera podido acceder?  ¿Estaba en claro o cifrada?
  • ¿Cómo sabe Deloitte quién es el Hacker?  Un empleado, un subcontratado, un gobierno, etc…
  • ¿Cómo sabe Deloite qué hizo el Hacker después de llegar a controlar su Exchange?
  • ¿Cómo sabe Deloitte si el Hacker ha cubierto sus huellas de tal manera que no se sabe qué más controla?

La empresa debe analizar miles y miles de Emails para descubrir Emails de reseteo de contraseñas, peticiones de elevación de privilegios en cuentas de administración de todo tipo de servidores, peticiones a información sensible, etc…. Y lo más preocupante  ¿siguen siendo sus sistemas vulnerados al haberse descontrolado muchos procesos del negocio?  Ha de asumir que el Hacker habrá borrado su rastro de tal manera que no se sabe qué más está controlando. La envergadura de esta brecha es infinita en una empresa del tamaño de Deloitte.

Los clientes de Deloitte ya han empezado a demandar a través de los tribunales los daños causados por filtraciones y potenciales filtraciones de información sensible.  Seguramente Deloitte llegará a acuerdos de liquidación antes de presenciarse ante los jueces.  ¿Cuál será el coste?

Todos los clientes de Deloitte deben examinar todos los Emails intercambiados con Deloitte para ver cómo han sido afectados. ¿Quién va a pagar por las investigaciones?  Y los clientes de sus clientes también deben examinar sus emails y así sucesivamente. Las repercusiones de esta brecha son interminables.

A la hora de investigar lo que ocurrió curiosamente Deloitte contrató a una empresa externa. ¿Empleaba Deloitte su propio servicio de ciber-riesgos? Dicho servicio nombrado por Gartner como el nº 1 en el mundo desde 2012 a 2016.

El daño reputacional a Deloitte es incalculable. ¿Va a perder Deloitte clientes? Si esta incidencia hubiera ocurrido después del 25 de mayo de 2018, a todos los costes habría de añadir una posible multa de hasta € 1.275 mil millones, 4% de sus ingresos mundiales, tal y como lo exige el reglamento europeo de protección de datos (RGPD o GDPR por sus siglas en inglés).

Deloitte asegura que la incidencia está resulta y sabe exactamente qué ha ocurrido, pero hay muchos que lo discuten. Lee el artículo en The Guardian para ver los argumentos en contra de que Deloitte tiene todo controlado.

Sobre Dot Force

Dot Force es una empresa de ciberseguridad con soluciones de gestión de identidades y cuentas privilegiadas, sistemas de autenticación de dos factores, herramientas de auditoría y control de sistemas informáticos y de detección de vulnerabilidades en redes y aplicaciones Web y soluciones de cifrado y protección de Endpoints.

¿Por qué sufrimos todavía de Ransomware?

Obviamente los sistemas de seguridad de las entidades que sufrieron el Ransomware WannaCry el pasado viernes 12 de mayo, no han sido adecuados y no vale excusarse en que los ciberdelincuentes están siempre un paso por delante.

El primer Ransomware apareció en 2005. Tenemos conocimiento de su peligro, pero muchas entidades no toman las medidas adecuadas para prevenirlo e implantan soluciones de seguridad, que supuestamente son capaces de prevenir Ransomware pero, resultan ineficaces.

En Dot Force, nos especializamos en identificar y acercar a las organizaciones soluciones potentes de 3 fabricantes líderes del mercado en prevención y remendiación de Ransomware:

  1. Webroot SecureAnywhere Journalling y Rollback, tecnología patentada que, elimina Ransomware en PCs de usuarios, incluso recupera ficheros cifrados y elimina los virus sin tener que volver a instalar el sistema operativo y las aplicaciones. Leer más sobre cómo te protege de Ransomware AQUI
  1. StealthINTERCEPT de STEALTHbits detecta picos de acceso y utilización de ficheros que suelen indicar Ransomware o fuga de información y bloquea la actividad con el fin de acotar su impacto. Para más información de Stealthbits sobre el ataque de WannaCry y prevención de mayores daños, leer AQUI
  1. EnCase® Endpoint Security de Guidance Software funciona a nivel de kernel del sistema operativo que analiza comportamiento para detectar programas maliciosos como puede ser un Ransomware y bloquearlo. Además, con EnCase® Endpoint Investigator se puede hacer una investigación forense para descubrir la causa de la infección y evitar una reinfección. El informe de 2017 GARTNER EDR COMPETITIVE LANDSCAPE ubica EnCase® Endpoint Security en el primer puesto en detección y respuesta.

Para asegurarte de disponer herramientas adecuadas de prevención de Ransomware no dudes en contactar con con Dot Force, especialistas en soluciones de Ciberseguridad y te podemos asesorar gratuitamente de qué soluciones son las más adecuadas para tu necesidad/vulnerabilidad concreta.

Te invitamos a unirte a los Webinars monográficos que cada jueves a las 10:00am ofrecemos en abierto para informar de las soluciones de seguridad más adecuadas para cada necesidad. Si no puedes asistir, los dejamos grabados en www.dotforce.es/webinars  para que puedas verlos en cualquier momento.

Para cualquier consulta llámanos al +34 914 230 991 o envíanos un email a comunicacion@dotforce.es

HTTPS://¿Dejan tus clientes las claves privadas de sus certificados SSL en los servidores Web?

ssl-servidor web

Vulnerabilidad de seguridad: las claves privadas de SSL están al alcance de todos porque los servidores Web están abiertos a todo el mundo

SSL es la base de seguridad en Internet, porque cifra las comunicaciones entre las aplicaciones Web y los usuarios. La fuga de una clave privada de SSL de un servidor Web pone en peligro al propietario del sitio Web y a sus usuarios.

Según Gartner, en el año 2017 el 50% de los ataques en la Web serán lanzados a través de conexiones cifradas con SSL, de manera que dichos ataques pasarán desapercibidos y nadie se enterará hasta demasiado tarde.

Técnicas de SQL scripting, descarga de la memoria o el simple hack de la cuenta de administrador del servidor Web pueden acabar con el robo de la clave privada de SSL. Incluso un contratista de mantenimiento del servidor Web y sus aplicaciones o un empleado interno enfadado puede hacer copia de la clave privada y filtrarla. Entre las consecuencias más importantes están: el fraude y la pérdida de confianza de los usuarios en los sitios Web.

La vulnerabilidad de Heartbleed mostró que se pueden robar las claves privadas de SSL. No obstante el problema se debió a un error de programación de OpenSSL, que mostró que claves almacenadas en software son susceptibles a ataques y extravío, repercutiendo negativamente en la seguridad de los servidores y sus aplicaciones Web.


La solución: servidores Web abiertos a todos, pero las claves privadas de SSL fuera del alcance de todo el mundo

La solución es muy sencilla. No dejar las claves privadas en los servidores Web, sino en un dispositivo de seguridad hardware HSM (Hardware Security Module) en el cual se custodian las claves privadas de SSL.

Por el hecho de que dichas claves dejan de estar en el software del servidor Web, quedarán inaccesibles desde Internet.

Los HSM SafeNet Luna de Gemalto ofrecen capas de seguridad que no existen en software y lo más importante de ellos es que exigen un número mínimo de administradores, más de uno (M de N) para copiar o manipular las claves dentro del HSM. El servidor Web seguirá teniendo acceso a la clave privada de SSL, pero la clave misma nunca sale de Luna.


Más allá de Seguridad, mejor Rendimiento de las aplicaciones Web

En lugar de tener un servidor Web que haga las operaciones criptográficas de SSL, el HSM SafeNet Luna las hace – hasta 7000 por segundo, aliviando, por tanto, a los servidores Web de las tareas de autenticación de las sesiones SSL y el cifrado de las mismas con el resultado de un mayor rendimiento de las aplicaciones Web y mejor satisfacción por parte de los usuarios. SafeNet Luna es un ejemplo claro de cómo la seguridad aumenta los beneficios.


Múltiples servidores Web, Una clave privada de SSL

Con Luna SA de red, múltiples servidores Web pueden compartir un Luna o un pool de ellos en alta disponibilidad y balanceo de carga. Más de un servidor Web puede compartir un único certificado SSL albergado en Luna. Incluso múltiples servidores Web pueden albergar múltiples certificados SSL, cada uno en una partición distinta bajo control de diferentes usuarios o departamentos, hasta 100 particiones por Luna. Además los mismos HSM Luna pueden servir para otras aplicaciones que requieren confianza digital como pueden ser firma digital, factura electrónica, receta electrónica, PKI, autenticación robusta y cifrado de datos, etc.


Seguridad formidable, Confianza total

Los HSM de SafeNet Luna son inmunes a ataques físicos y lógicos porque resisten manipulaciones (Tamper Proof), ofrecen seguridad de control de acceso a las claves con un sistema de autenticación de dos factores y previenen que una sola persona pueda filtrar las claves con el M de N, que requiere un mínimo quórum de administradores autorizados para cualquier gestión de las claves privadas.

Además, SafeNet Luna tiene las certificaciones de FIPS 140-2, Nivel 2 y 3 y Common Criteria EAL4+. SafeNet Luna asegura que tus clientes cumplirán con normas de seguridad como pueden ser: PCI-DSS, SOX, HIPPA, etc.


Complemento para los proxies de tráfico Web: Luna se encarga de la protección de las claves privadas

Si tus clientes utilizan proxies, pasarelas de seguridad o aceleradores de SSL, HSM SafeNet Luna los complementa perfectamente, porque estos equipos se integran con Luna para que las claves privadas de SSL queden en Luna. En el caso de que un cliente compre nuevos proxies de F5, BlueCoat o Palo Alto, Gemalto ofrece condiciones especiales en los Luna y también, sobre SafeNet Authentication Service (SAS), este último siendo la solución de autenticación de múltiples factores de Gemalto, que ha conseguido estar cuatro años consecutivos en el cuadrante mágico de Gartner de autenticación.


Para proteger a tus clientes, confía en DotForce

DotForce tiene 10 años de experiencia con los HSM SafeNet Luna y te apoyaremos en tu esfuerzo para crear oportunidades en tus clientes de las soluciones de seguridad de Gemalto SafeNet.

Si aún no eres partner de Gemalto-Safenet y estás interesado en esta solución contáctanos:
  1. AQUI
  2. Enviando email a: comunicacion@dotforce.es
  3. Llamando a: (+34) 622 862 590 / 686 944 686

www.dotforce.es/gemalto-safenet

HTTPS://¿Dejas la clave privada de tu certificado SSL en el servidor Web?

ssl-servidor web

Vulnerabilidad de seguridad: la clave privada de SSL está al alcance de todos porque tu servidor Web está abierto a todo el mundo.

SSL es la base de la seguridad en Internet, porque cifra las comunicaciones entre las aplicaciones Web y los usuarios.  La fuga de la clave privada de SSL de un servidor Web pone en peligro al propietario del sitio Web y a sus usuarios. Según Gartner, en el año 2017 el 50% de los ataques en la Web serán lanzados a través de conexiones cifradas con SSL, de manera  que dichos ataques pasarán desapercibidos y no nos enteraremos. 

Técnicas de SQL scripting, descarga de la memoria o el simple hack de la cuenta de administrador del servidor Web pueden acabar con el robo de la clave privada de SSL. Incluso un empleado interno enfadado puede hacer copia de la clave privada y filtrarla.  Entre las consecuencias más importantes están: el fraude y la pérdida de confianza de los usuarios en tu sitio Web.

La vulnerabilidad de Heartbleed mostró que se pueden robar las claves privadas de SSL. No obstante el problema se debió a un error de programación de OpenSSL, que mostró que claves almacenadas en software son susceptibles a ataques y extravío, repercutiendo negativamente en la seguridad de los servidores y aplicaciones Web.

La solución: tu servidor Web abierto a todo el mundo, pero la clave privada de SSL fuera del alcance de todo el mundo.

La solución es muy sencilla. No dejar las claves privadas en los servidores Web, sino en un dispositivo de seguridad hardware HSM (Hardware Security Module) en el cual se custodian las claves privadas de SSL.

Por el hecho de que dichas claves dejan de estar en el software del servidor Web serán inaccesibles desde la Web.

Los HSM SafeNet Luna de Gemalto ofrecen capas de seguridad que no existen en software y lo más importante de ellos es que exigen un número mínimo de administradores, más de uno (M de N) para copiar o manipular las claves dentro del HSM. El servidor Web seguirá teniendo acceso a la clave privada de SSL, pero la clave misma nunca sale de Luna.

Más allá de seguridad, Mejor rendimiento de las aplicaciones Web

En lugar de tener un servidor Web que haga las operaciones criptográficas de SSL, el HSM SafeNet Luna las hace – hasta 7000 por segundo, aliviando, por tanto, a los servidores Web de las tareas de autenticación de las sesiones SSL y el cifrado de las mismas.  El resultado de un mayor rendimiento de las aplicaciones Web y mejor satisfacción por parte de los usuarios. SafeNet Luna es un ejemplo claro de cómo la seguridad aumenta los beneficios.

Múltiples servidores Web, Una clave privada de SSL

Con Luna SA en red (SafeNet Network HSM) , múltiples servidores Web pueden compartir un Luna o un pool de ellos en alta disponibilidad y balanceo de carga. Más de un servidor Web puede compartir un único certificado SSL albergado en Luna. Incluso múltiples servidores Web pueden albergar múltiples certificados SSL, cada uno en una partición distinta bajo control de diferentes usuarios o departamentos, hasta 100 particiones por Luna.

Seguridad formidable, Confianza total

 Los HSM de SafeNet Luna son inmunes a ataques físicos y lógicos porque resisten manipulaciones (Tamper Proof), ofrecen seguridad de control de acceso a las claves con sistemas de autenticación de dos factores y previenen que una sola persona pueda filtrar las claves con el M de N, que requiere un mínimo quórum de administradores autorizados para cualquier gestión de las claves privadas. 

Además, SafeNet Luna tiene las certificaciones de FIPS 140-2, Nivel 2 y 3 y Common Criteria EAL4+. SafeNet Luna asegura que tu entidad cumplirá con normas de seguridad como pueden ser: PCI-DSS, SOX, HIPPA, etc.

Complemento para los proxies de tráfico Web: Luna se encarga de la protección de las claves privadas

Si tu organización utiliza proxies, pasarelas de seguridad o aceleradores de SSL, HSM SafeNet Luna los complementa perfectamente, porque estos equipos se integran con Luna para que las claves privadas de SSL queden en Luna. En el caso de que tu entidad compre nuevos proxies de F5, BlueCoat y Palo Alto, Gemalto te ofrece condiciones especiales para la adquisición de los Luna y también, sobre SafeNet Authentication Service (SAS), este último siendo la solución de autenticación de múltiples factores de Gemalto, que ha conseguido estar cuatro años consecutivos en el cuadrante mágico de Gartner de autenticación.

Para estar seguro, confía en Luna

 

Puedes solicitarnos más información a través de los siguientes canales:

Cómo la empresa Hacking Team fue hackeada

passwordhacked

El Hacker que robó documentos confidenciales de la empresa Hacking Team revela cómo lo hizo en un post publicado en Pastebin.

Hacking Team es una empresa italiana que ofrece servicios de hacking a empresas y gobiernos y fue víctima de un ciberataque en 2015. La revelación de documentos confidenciales  fue vergonzosa para Hacking Team y para entidades gubernamentales clientes de esta empresa que habían contratado sus servicios cuando supuestamente tenían prohibido contratar servicios de empresas de hacking.

El Hacker conocido como “Phineas Fisher” y “Hack Back” pudo filtrar información confidencial de Hacking Team a pesar de los sistemas de seguridad que esta empresa tenía.  Hack Back descubrió que las copias de seguridad no estaban cifradas y faltaba un sistema de protección de cuentas de los administradores.  Hack Back pudo acceder a la cuenta de administrador del dominio y tomó el control de los servidores, de Email, de las redes internas y mucho más.

Para leer los detalles es castellano de cómo Hack Back hackeó Hacking Team haz un clic aquí.

DotForce es mayorista de valor añadido de soluciones de seguridad, entre ellas cifrado, autenticación de múltiples factores y sistemas de gestión de cuentas privilegiadas.

Contento por la falta de cifrado en los papeles de Panamá

MossakFonseca

Por una vez estoy contento con la noticia de la fuga de los papeles de Panamá

Normalmente con cada robo o fuga de datos me enfado y recuerdo a todo el mundo sobre la necesidad de cifrar los datos sensibles y disponer de mecanismos de autenticación robustos y controles de accesos adecuados. Pero en el caso de los papeles de Panamá estoy feliz, ya que al disponer de controles de acceso suficientemente estrictos para evitar su fuga los periodistas investigadores han podido acceder a esa información tan sensible.   Los que evaden impuestos a través de empresas opacas merecen ser investigados, juzgados y castigados si han defraudado a la Hacienda y por ello también a todos sus co-ciudadanos que sí pagan lo que deben pagar. Felicito además a los periodistas investigadores que han revelado los papeles por utilizar comunicaciones cifradas para ocultar la fuente de la fuga.