Lanzamos el simulador de redes de control industrial (S4CADA)

Acabamos de lanzar nuestra primera versión del simulador de redes de control industrial (SCADA) destinado a la investigación y la formación de recursos humanos en el contexto de grupos CSIRT/CERT para protección de infraestructuras críticas (PIC). El proyecto BCUS S4CADA nace de la necesidad de poder contar con una herramienta que ofrezca capacidades avanzadas de simulación de sistemas de control industrial, sus vulnerabilidades y debilidades asociadas, en linea con los requerimientos de nuestros proyectos de Protección de Infraestructuras Críticas (PIC) y de nuestro servicio de Respuesta a Incidentes en Redes de Cómputo (RISC/CSU). Entre otros, BCUS S4CADA cuenta con los siguientes componentes:  1. Interfaz Humano-Máquina (HMI) para la gestión ví­a Web de la red de control. 2. Controladores programables (PLCs simulados). 3. Dispositivos (actuadores y otros como UPS, etc.). 4. Servidor central de registros (Log Server). 5. Sistema de Gestión de Infraestructura (BCUS NMS) para monitorización en tiempo real de los componentes. 6. Sistemas de Detección de Intrusos basados en Red y Host (BCUS C4I) para la detección de eventos de seguridad. 7. Segmentación de redes en dominios de colición diferenciados (gestión, control), entre otros.

Estamos volviendo al contenido del Blog!

Estamos volviendo al contenido del Blog!

"Cómo evitar el robo de información clave en una empresa"

Los casos del soldado Bradley Manning, quien realizó la mayor filtración de documentos militares secretos en la historia de los Estados Unidos, y de Edward Snowden, quien reveló cómo la Casa Blancay sus organismos espían las comunicaciones en Internet, constituyen los ejemplos más famosos de fuga de información de una organización a través de soportes tecnológicos.

Mientras Manning, condenado el 21 de agosto a 35 años de prisión, realizó la filtración a través de discos compactos, Snowden, asilado político en Rusia, filtró documentos sobre las prácticas de espionaje del Gobierno empleando unidades de memoria USB (“pendrives”).

Sin embargo, las principales fugas de información en las organizaciones gubernamentales, empresarias y educativas en la Argentina no son por acción de unempleado o ejecutivo infiel o por el ataque de un delincuente informático sino por“desconocimiento y negligencia” de los propios directivos y dependientes, según aseguró aiProfesional Cristian Borghello, consultor externo de la empresa de seguridad informática ZMA.

Este especialista advirtió que en las empresas impera “un nivel de inconsciencia alto sobre la información que manejan y sobre su jerarquización y criticidad”.

“No saben lo que tienen y, por lo tanto, no saben lo que hay que proteger, y se desconoce también la información privada de sus usuarios, en especial en cuanto a su salud y sus finanzas”, alertó.

“Gran parte se fuga por los empleados, pero sin que ellos se den cuenta o lo sepan. Por ejemplo, el correo electrónico sin cifrar, o el envío de un correo a una dirección equivocada o el almacenamiento de archivos en servicios basados en la nube, como Dropbox”, explicó.

Luego de las fugas por negligencia o desconocimiento, siguen las que se producen por “ataques internos”, como se define en la jerga, de empleados infieles, que actúan motivados por diferentes intereses: represalia, venganza, conciencia cívica, robo de información y otros motivos económicos.

Al final, y en mucha menor medida que las dos anteriores, se encuentran los delincuentes informáticos.

¿Por qué se difunde entonces tanto la idea del ataque externo a la organización, como el que sucedió este mes -según denunció el Gobierno nacional- a la cuenta de Twitter de la Casa Rosada? “Muchas organizaciones atacadas niegan el incidente y cuando lo admiten, prefieren adjudicarlo a alguien externo”, dijo Borghello.

Medios La información crítica de una empresa puede salir por varios medios. Además de los discos compactos y DVD y “pendrives” empleados por Manning y Snowden, existen otras vías.

Por ejemplo, los e-mails que se envían los empleados a cuentas propias de correo, conarchivos adjuntos valiosos como planillas de cálculo, planes de negocio, prototipos, etc.

Ariel Bruch y Rodolfo Dietz, de la firma de seguridad informática canadiense Messaging Architecs, pusieron la mira en el correo electrónico, la aplicación más utilizada en Internet, basada desde hace 40 años en el mismo protocolo de la red, por su facilidad y universalidad para implementar, además de soportar archivos adjuntos.

Para estos dos ejecutivos, el “e-mail está roto” por el “crecimiento de almacenamiento sin control”, con una “gestión de infraestructura desordenada” y un aumento en los robos y la preocupación sobre su privacidad.

Bruch y Dietz señalaron, por ejemplo, que el 40 por ciento de los archivos adjuntos en un e-mail poseen virus.

El otro principal medio, además del e-mail, es el almacenamiento de archivos en la nube, en servicios como Dropbox o el desaparecido Megaupload.

Sin embargo, el perímetro de la compañía no está dado sólo por sus paredes y puertas, sino que también cuentan los teléfonos móviles inteligentes y las tabletas que trabajan e interactúan con los sistemas de la empresa desde cualquier punto del mundo, conectados a Internet.

Esta extensión de la frontera se amplía por la tendencia de “traiga su propio dispositivo”(BYOD, sigla en inglés), donde los ejecutivos y empleados reclaman utilizar sus propios “smartphones” o tabletas con los sistemas de la empresa.

“No se usan contraseñas ni se cifra la información” que está en los teléfonos y tabletas, advirtió Borghello.

Dan  Molina, director para Mercados Emergentes de la empresa de seguridad informática Kaspersky, apuntó ante iProfesional que el foco también debe ponerse en los puntos de acceso a la nube y en los dispositivos móviles, cuyos usuarios “aún carecen de una cultura de la protección de los datos”, lo cual es aprovechado por los delincuentes informáticos, que aumentaron en el último tiempo en siete veces la cantidad de virus que apuntan al sistema operativo Android.

Rosario: La Justicia investiga 30 estafas por #phishing a clientes bancarios

La Justicia rosarina investiga unas 30 denuncias por estafas informáticas presentadas por clientes bancarios que padecieron la sustracción de fondos de sus cuentas tras divulgar, sin saberlo, su clave a un “estafador” [N. del E.]. La maniobra, denominada técnicamente “phishing”, comenzaba con el envío de un correo electrónico apócrifo con el diseño del banco donde se le solicitaba modificar la clave, pero previamente instaba a colocar la clave en uso. A partir de allí se efectuaban transferencias a otras cuentas por distintos valores, que fueron de los 2.000 hasta los 15 mil pesos. Ayer, la Fiscalía logró individualizar a uno de los estafadores.

En diálogo con La Capital, el fiscal Marcelo Vienna, titular de la Oficina Judicial de Causas con Imputados No Individualizados, contó que desde febrero a la fecha su repartición recibió “unas 30 denuncias por el delito que se conoce como phishing, con el mismo patrón de estafa a los damnificados”.

Modus operandi. De acuerdo a lo denunciado, los damnificados recibieron un correo electrónico que parecía provenir del banco donde poseían alguna cuenta a la vista (caja de ahorro o cuenta corriente). El mail, apócrifo, “era muy verosímil, tenía el mismo diseño, la misma plataforma, tipografía y resolución que la verdadera entidad bancaria”, remarcó ayer el fiscal.

Allí se le informaba al cliente que su clave para operar a través de home-banking había caducado y debía ingresar una nueva para seguir utilizando el sistema.

“El tema es que previo a ingresar la nueva clave, los estafadores pedían el ingreso de la clave que supuestamente estaba por expirar, que se hacía a través de una ventana complementaria y ahí tomaban los datos para cometer el delito informático”, precisó Vienna.

Una vez con los datos de la clave en su poder, los estafadores efectuaban transferencias a otras cuentas del país. Los montos denunciados “fueron muy variados, desde los 2.000, pasando por los 9.000 hasta 15 mil pesos. En ningún caso hemos recibido denuncias de cifras más abultadas”, dijo el fiscal.

El representante del Ministerio Público confió a este diario que “varios damnificados reportaron ser clientes de un mismo banco, el Santander Río, aunque también hubo otras entidades mencionadas. Por esa razón nos comunicamos con esta entidad porque ellos también son víctimas de esta modalidad delictiva, ya que puede afectar su reputación en materia de seguridad bancaria”.

Investigación. Vienna reconoció que “no es sencillo determinar a quién fue a parar la plata”. Si bien interviene en la transacción una Clave Bancaria Uniforme (CBU), “la cuenta de recepción del dinero en muchos casos estaba a nombre de personas o sociedades fantasmas con domicilios inexistentes”.

Además, la sustracción del monto transferido de parte de los estafadores era, en varios casos, inmediata. “Nuestra investigación se concentra en la figura penal de la estafa, el resarcimiento que puede reclamar el cliente al banco y la ruta del dinero ya es un tema de otro fuero”, aclaró el fiscal.

Al respecto, abogados del foro local apuntaron que “si bien es probable que los bancos se presenten en las causas civiles como terceros ajenos, hay jurisprudencia donde se los ha condenado a resarcir a sus clientes por no haber advertido sobre posibles estafas o bien no perfeccionar sus dispositivos de seguridad” contra el phishing.

Atención. Para el fiscal “se trata de un tipo de delito relativamente novedoso, que cada vez está sumando más denuncias y obliga a los clientes a estar atentos a los supuestos avisos de los bancos”.

En paralelo, para Vienna esta nueva modalidad delictiva obliga a los bancos “a mejorar sus mecanismos de comunicación con los clientes y también exige a la propia Justicia perfeccionar su articulación entre distintas jurisdicciones provinciales, incluso en contacto con el fuero federal, para evitar que este tipo de situaciones se repitan”.

Esa articulación entre distintos estamentos del Poder Judicial permitirá, según Vienna, “que en caso de producirse una estafa, a partir de la denuncia de un damnificado actuar con celeridad y tratar de dar con la cuenta destinataria o bien con el estafador”.

Cinco razones por las que necesitamos registros electrónicos de Salud

Sin duda, las nuevas tecnologías en el mundo de la medicina están mejorando la calidad, la comodidad y la exactitud de la asistencia sanitaria prestada a los pacientes.

 Los Registros Electrónicos de Salud están reemplazando rápidamente a los registros médicos de papel como una mejor forma para obtener y actualizar la historia clínica de sus pacientes en un formato digital.

Los EHR (por sus siglas en inglés) contienen la misma información que se encuentra en los registros en papel y archivos, incluidos los datos demográficos del paciente, datos de facturación, historias clínicas, signos vitales, diagnósticos, medicamentos, planes de tratamiento, las alergias, las fechas de vacunación, imágenes de radiología y laboratorio y los resultados de las pruebas.

También ahorran dinero. Aquí hay cinco razones que demuestran que son el camino del futuro:

Seguridad del Paciente

Todos los pacientes quieren estar seguros cuando visitan a su médico ya que la complejidad de la medicina moderna conlleva tanto riesgos como beneficios en términos de terapias y diagnósticos.

Los EHR ayudan en esto. Por ejemplo, cuando un médico le receta una medicina, un sistema EHR correctamente desplegado revisará para asegurarse que la dosis es correcta. Se cotejará la interacción con otros medicamentos y se comparará con la lista de las alergias a los medicamentos.

El aumento de la calidad de atención

Las mejores prácticas están diseñadas para asegurar que los pacientes reciban los tratamientos que son apoyados por la ciencia y la opinión de expertos.

Los ERH pueden servir como punto de partida para la mayoría de los pacientes con enfermedades comunes.

Mayor eficacia

La coordinación entre los hospitales, consultorios médicos y una amplia gama de especialidades es otro beneficio a los pacientes. Múltiples partes interesadas pueden acceder a los datos en cualquier momento para actualizar la información del paciente.

Más transparencia

La mayoría de los pacientes no tienen libre acceso a sus propios resultados de las pruebas y los registros médicos, pero los sistemas están en su lugar para cambiar todo eso. Una vez que son liberados por el médico, muchos pacientes ahora pueden ver su propio laboratorio y resultados de las imágenes.

Mejora del acceso

El acceso a la atención adecuada, en el momento adecuado y el lugar es lo que quiere que cada paciente. EHR se pueden configurar para asegurar que los pacientes coicidan con el profesional adecuado para sus necesidades particulares. La utilización de sellos electrónicos de tiempo puede ayudar al momento de la contratación más fácil y ayudar a llenar espacios vacíos en los horarios de los médicos, lo que permite citas el mismo día que muchos pacientes quieren.

Opinión de Bacchus

Es de fundamental importancia que todo este cambio en los procesos de trabajo se gestionen mediante buenas prácticas de Seguridad de la Información, brindándole al paciente toda la confidencialidad que tiene por derecho en la Ley de Protección de Datos Personales.

Nueva metodología ISO/IEC27001

Hemos lanzado una nueva metodología de trabajo para llevar adelante los proyectos de normalización sobre el estándar ISO/IEC 27001 que ofrece ventajas significativas en términos de control, seguimiento y maduración gracias al desarrollo de una nueva herramienta de Tablero de Control. Por medio de esta herramienta resulta simple controlar los cumplimientos totales y parciales y las excepciones a la aplicación de los diferentes objetivos de control y controles, como la información legal, normativa y/o regulatoria asociada a los mismos.

Lanzamos Bacchuss WIPS

Bacchuss WIPS es un dispositivo (WAF) que ayuda a las organizaciones a mantener seguras sus aplicaciones Web de manera permanente y en tiempo real. WIPS actúa sobre el flujo de tráfico de aplicaciones Web críticas en base a mecanismos de protección que permiten lograr objetivos de negocio, a la vez que facilita la realización de aspectos de cumplimiento generados por leyes, regulaciones y estándares como PCI-DSS, entre otros. Bacchuss WIPS opera sobre el flujo de datos de entrada y salida de las aplicaciones Web y en base a diferentes modelos de seguridad identifica y actúa en casos de violación de las políticas establecidas. La violaciones pueden deberse a ataques directos o cruzados contra los componentes de las aplicaciones, o por liberación de información sensible por la red. La respuesta del dispositivo dependerá del tipo de incidente y puede ir desde la emisión de una simple alerta, hasta la intercepción y bloqueo total del trafico Web debido a un evento considerado crítico. Por su gran flexibilidad y diversidad de recursos, con WIPS resulta posible la detección incluso de ataques novedosos (0-day Attacks). Bacchuss WIPS ofrece la posibilidad de implementar diferentes modelos de seguridad para responder a necesidades específicas de cada cliente. Además, pueden implementarse "Parches Virtuales" para aplicaciones Web para las cuales se hayan identificado vulnerabilidades por medio de test de penetración o como resultado de auditorías de código, y donde no reslte posible su modificación o corrección por medio de la modificación de las fuentes.

Configuraciones de entrega: Bacchuss WIPS esta disponible como appliance, como software o como servicio gestionado fácilmente integrable o otros componentes del mismo tipo. Su implementación es simple y rápida para escenarios de protección general, y su potencia permite el desarrollo de blindajes para casi cualquier escenario, sin importar su complejidad.

Lanzamos Bacchuss CloudNMS

Ahora Bacchuss NMS tiene soporte en la nube gracias a la arquitectura CloudConnect de Bacchuss que permite a los clientes gestionar su infraestructura desde cualquier lugar del mundo. Bacchuss CloudNMS está pensado como complemento para el NMS base y tiene por objetivo extender el modelo de gestión de eventos a las capas externas de infraestructura de tal manera de facilitar la detección rápida de problemas o incidentes asociados a los servicios de la empresa.

Actualizamos metodología SGSI sobre ISO/IEC27001

Hemos lanzado una nueva metodología de trabajo para llevar adelante los proyectos de normalización sobre estándares ISO/IEC 27001 que ofrece ventajas significativas en términos de control, seguimiento y maduración gracias al desarrollo de una nueva herramienta de Tablero de Control. Por medio de esta herramienta resulta simple controlar los cumplimientos totales y parciales y las excepciones a la aplicación de los diferentes objetivos de control y controles, como la información legal, normativa y/o regulatoria asociada a los mismos.

Problemas de Ciberseguridad con Dispositivos Médicos

Los investigadores Billy Rios y Terry McCorkle de Cylance han reportado una vulnerabilidad en la contraseña codificada que afecta alrededor de 300 dispositivos médicos a través de aproximadamente 40 vendedores diferentes. Según su informe, la vulnerabilidad podría ser explotada para cambiar potencialmente la configuración crítica y modificar el firmware del dispositivo.

Debido a la situación crítica y única que los dispositivos médicos ocupan, ICS-CERT ha estado trabajando en estrecha colaboración con la Administración de Alimentos y Medicamentos (FDA) para abordar estas cuestiones. ICS-CERT y la FDA ha notificado a los fabricantes afectados del informe y han pedido a los proveedores que profundicen para confirmar la vulnerabilidad e identificar medidas de mitigación específicas. ICS-CERT emitió esta alerta de aviso temprano con la intención de identificar medidas de mitigación de referencia para la reducción de riesgos a estos y otros ataques de ciberseguridad. ICS-CERT y la FDA darán seguimiento con asesorías específicas.

Los dispositivos afectados tienen contraseñas incluidas en el código que se puede utilizar para permitir el acceso privilegiado, tales como contraseñas que normalmente se utilizan sólo por un técnico de servicio. En algunos casos, este acceso podría permitir ajustes críticos y modificaciones en el firmware.

Los dispositivos afectados son fabricados por una amplia gama de proveedores y son de las siguientes categorías:

Dispositivos quirúrgicos y de anestesia,

Ventiladores,

Bombas de infusión de drogas,

Desfibriladores externos,

Los monitores de pacientes, y

Equipos de laboratorio y análisis.

ICS-CERT y la FDA  son conscientes de que esta vulnerabilidad ha sido explotada, y entienden los peligros a los que se exponen los pacientes.

MITIGACIÓN

ICS-CERT coordina en la actualidad con varios proveedores, la FDA, y los investigadores de seguridad para identificar medidas de mitigación específicas a través de todos los dispositivos. En el ínterin, ICS-CERT recomienda a los fabricantes de dispositivos, centros de salud y los usuarios de estos dispositivos que tomen medidas preventivas para minimizar el riesgo de explotación de ésta y otras vulnerabilidades. La FDA ha publicado las recomendaciones y mejores prácticas para ayudar a prevenir el acceso no autorizado o modificaciones a los productos sanitarios.

Tomar medidas para limitar el acceso no autorizado al dispositivo, sobre todo para aquellos que son de soporte vital o podrían estar directamente conectados a redes hospitalarias.

Controles de seguridad apropiados pueden incluir: la autenticación de usuario, por ejemplo, ID de usuario y contraseña, tarjeta inteligente o biométricos y limitar el acceso público a las contraseñas utilizadas para acceder al dispositivo técnico; bloqueos físicos y de lectores de tarjetas.

Estas estrategias deben incluir la implementación oportuna de rutina, los parches de seguridad validados y métodos para restringir las actualizaciones de código autenticado. Nota: La FDA normalmente no revisa o aprueba los cambios de software de dispositivos médicos fabricados exclusivamente para fortalecer la seguridad cibernética.

Usar enfoques de diseño que mantienen la funcionalidad crítica de un dispositivo, aun cuando la seguridad se ha visto comprometida, conocidos como "los modos a prueba de fallos".

Proporcionar métodos para la retención y recuperación después de un incidente en el que la seguridad se ha visto comprometida. Incidentes de seguridad cibernética son cada vez más comunes y los fabricantes deben tener en cuenta los planes de respuesta a incidentes que abordan la posibilidad de funcionamiento degradado y la restauración y la recuperación eficiente.

Para los centros de salud: La FDA recomienda que se tomen medidas para evaluar la seguridad de su red y proteger su sistema hospitalario. En la evaluación de seguridad de la red, los hospitales y centros de salud deben tener en cuenta:

La restricción del acceso no autorizado a la red y los dispositivos médicos conectados..

Asegurarse de que el antivirus y cortafuegos están actualizados.

Controlar la actividad de la red, evitando su uso no autorizado.

La protección de los componentes individuales de la red mediante la evaluación rutinaria y periódica, incluyendo la actualización de parches de seguridad y deshabilitar todos los puertos y servicios innecesarios.

Ponerse en contacto con el fabricante del dispositivo específico, si usted cree que puede tener un problema de seguridad cibernética relacionada con un dispositivo médico. Si usted es incapaz de determinar el fabricante o no puede comunicarse con el fabricante, la FDA y el DHS ICS-CERT pueden ayudarlo en la presentación de informes y resolución de vulnerabilidad.

ICS-CERT recuerda a los centros de salud que deben llevar a cabo análisis de impacto adecuado y evaluaciones de riesgos antes de tomar medidas defensivas y protectoras.

ICS-CERT también proporciona una sección de prácticas recomendadas para los sistemas de control en el sitio web del US-CERT. Varias prácticas recomendadas están disponibles para la lectura o descarga, incluyendo la mejora de los sistemas de control industrial. Aunque los dispositivos médicos que no son sistemas de control industrial, muchas de las recomendaciones de estos documentos son aplicables.

Las organizaciones que observen cualquier sospecha de actividad maliciosa deben seguir los procedimientos internos establecidos y reportar sus hallazgos a ICS-CERT y la FDA para el seguimiento y la correlación con otros incidentes.

La FDA también ha anunciado un servicio de comunicaciones de seguridad que pone de relieve los puntos señalados en esta alerta.

Los costos del Ciber-crimen en China y EEUU

Algunos altos funcionarios de China y Estados Unidos se dirigen a una serie de conversaciones en Washington sobre cuestiones económicas, y tratarán la magnitud de los esfuerzos de China por robar la propiedad intelectual de las empresas de tecnología y otras empresas estadounidenses.

"De los contratistas de defensa a la fabricación, ninguna empresa estadounidense ha sido inmune a la plaga de los chinos en el robo de propiedad intelectual", dice el representante Tim Murphy (R-Penn.), el presidente de la Cámara de Energía y subcomité de supervisión de la Comisión de Comercio.

Slade Gorton es un ex senador de Washington, quien es miembro de la Comisión sobre el robo de propiedad intelectual estadounidense; un grupo que ha estado estudiando el impacto económico del problema, con un enfoque particular en China.

Gorton citó estimaciones de la Comisión que el Ciber-Espionaje y otras formas de robo de propiedad intelectual genera pérdidas anuales de 300 millones de dólares para las empresas estadounidenses. El grupo atribuye entre el 50 por ciento y 80 por ciento a China.

La Ciber Defensa necesaria en la guerra contra los hackers

La Comisión presentó una serie de soluciones a corto, mediano y largo plazo, que van desde la reestructuración de las autoridades del gobierno de EE.UU. que se ocupan de la propiedad intelectual, hasta fomentar reformas en China y fortalecer las leyes contra el robo de propiedad intelectual. Ese enfoque multifacético proviene de un reconocimiento de que la guerra contra los piratas no se ganará sólo por jugar a la defensiva.

"Está claro que necesitamos mejores medidas de defensa para hacer frente a robos cibernéticos y otras formas de robo de propiedad intelectual, pero estoy convencido de que eso nunca va a resolver el problema por su cuenta", dice Gorton.

Los esfuerzos en el Congreso para crear una legislación para reforzar las defensas de la nación contra ataques cibernéticos, es un debate político que se ha centrado en los mecanismos adecuados para que las empresas y las autoridades gubernamentales puedan compartir información sobre las amenazas y el grado en que el gobierno federal debe intervenir en la regulación de las operaciones de seguridad cibernética del sector privado.

"No podemos tratar estos problemas a la ligera", dice el congresista Jan Schakowsky. "Este asunto cuesta a nuestra economía miles de millones de dólares y coloca nuestra seguridad nacional en peligro, además que el número de dispositivos conectados a Internet y el uso de la computación en la nube aumenta el número de puntos de entrada para los agentes maliciosos. Con más información sensible almacenada en la Web hay que agudizar nuestro enfoque en la seguridad cibernética ".