Fallas de seguridad en procesadores. “uno de los peores errores de CPU jamás encontrados”

Información técnica. Por su nivel crítico (Impacto potencial) Se considera de interés general a la Dirección de las empresas.

En esta semana laboral que recién termina (1-7 de enero), circuló o se hizo pública la investigación sobre una falla de seguridad de alta peligrosidad y que afecta por su arquitectura, a procesadores o CPUs.

Estamos hablando de las vulnerabilidades denominadas: Meltdown y Spectre, considerados en su momento por uno de sus descubridores como: “uno de los peores errores de CPU jamás encontrados”

Si bien en un 1er momento se centró en los procesadores de la marca Intel, hoy se ha extendido a las marcas AMD y ARM lo cual amplía la ventana de posibles ataques o explotación por parte del cibercrimen con esta falla.

Causa o Hallazgo: Un sector de memoria del “kernel” o núcleo considerado inaccesible a un usuario pero que en su proceso interactúa con las aplicaciones de este último, causa o es via de filtraciones. Read more about Meltdown y Spectre-Vulnerabilidad en procesadores »

Hacking o “hacker” en su significado en la comunidad no es sinonimo de crimen; es en su fundamento un termino utilizado para definir al una persona que tomando algun sistema, no necesariamente informatico, lo analiza y mejora.

Una descripcion que encontramos precisamente en el grafico reza (Traduccion libre):

“Esta temprana forma de hacking es simplemente una forma de mejorar la operacion de los sistemas tecnologicos”.

De hecho bajo este argumento, todos podriamos tener algo de hacker, cierto?

El cambio en la aplicacion del termino se tergiversa cuando los medios, usurpandolo, lo utilizan para definir algun hecho delictuoso, particularmente en el mundo de la Tecnologias de la Informacion. En ese sentido como que vende mas la palabra hacker que la correcta que es “cracker” o alguien que utilizando sus conocimientos rompe o se apodera de un sistema.

Pero me quedo por aqui con esta infografia cortesia de Redscan, estilo timeline que muestra en forma algo reducida pero clara el desarrollo de la actividad.

Cortesia de: redscan.com

Hola,
No es mi intención redundar tanto sobre este tema. De hecho por eso lo nombro “Actualización..”; sin embargo, el día de ayer leyendo unos comentarios del Presidente Obama acerca de su petición de incrementar el presupuesto de la nación (USA) en un 35% para el rubro: Ciberseguridad, posteriores comentarios al respecto aparecidos en otros medios, me parecieron interesantes en cuanto a como preocupa el tema y sus alcances.

Pueden leer sobre lo anterior en: https://www.washingtonpost.com/politics/obama-administration-to-create-new-high-level-cyber-official/2016/02/09/98db52d2-cf14-11e5-90d3-34c2c42653ac_story.html

Sobre los comentarios generales y su relación al IoT, tomo el siguiente párrafo (Traducción libre): “Espías pueden usar las refrigeradoras inteligentes y otros dispositivos conectados al internet en los hogares para espiarlo, admitió el US intelligence chief James Clapper .”
Read more about Actualizacion sobre IoT »

Después de tanto tiempo: de vuelta a la “escribidera”:….

Una disculpa rápida para quien me lee. Desde mi último post pasaron más cosas buenas que “no tan buenas”. De cualquier manera; en este tiempo logré aparte de una operación quirúrgica (No se engañe, yo fui el paciente, claro), también culminar el propósito de certificarme en Security+ de la CompTIA.

Así mismo, como miembro de ISACA estuve activo logrando participar en la Conferencia Latinoamericana Latin/CACS 2015 que se llevó a cabo en Septiembre en México DF; 2 días muy intensos con una gran cantidad de pistas o tracks de estudio lo cual aproveche para fortalecer mis conocimientos de Cobit en su versión 5. Incluso previo a las conferencias aproveche la toma de un Workshop sobre ciberseguridad aplicando Cobit 5 y la ISO 27001 todo ello dentro del marco de referencia del Cyber Security Framework (CSF) del NIST.

Con tanto estudio no quedó tiempo para muchas actividades mas allá del trabajo que me permitió llevar a cabo tal gestión.

Bueno, esto lo expondré en otro lugar, así que a lo nuestro:

Si revisan el historial, mi anterior post fue sobre el mismo tema. Hoy entre otras áreas de interés como el Ransomware sobre lo cual ya revisé casos en nuestro País, el tema del IoT continua no solo vigente sino, trayendo mas preocupaciones a la comunidad pues las cifras que alcanzará el negocio son estratosféricas.

O sea, hay nuevas no tan nuevas; la cosa se pondrá mas caliente de aquí al 2020.

Por ejemplo: Se proyecta que para el 2020 el número de dispositivos IoT ascenderá a las 50 billones de unidades (1) ; eso es un gran número tomando en cuenta que ya hoy los vendors ofrecen cada cosa a unos mercados ávidos por poseer el juguete mas novedoso y lo delicado del asunto: Con muy baja seguridad e incluso en muchos de ellos: Sin seguridad.

Read more about Mas sobre el Internet de las Cosas (IoT por sus siglas en ingles). »

Vaya!! Cuando la casa (y las cosas) se vuelve más inteligente, el tostador se convierte en criminal…

Internet de las cosas (IoT).

Hace poco estaba leyendo una nota que suena a cómica pero que solo muestra como la falta de controles de acceso en los nuevos desarrollos tecnológicos inteligentes conllevan a complicar aún más el panorama de la seguridad.

Resulta que una refrigeradora fue partícipe de una ciber-ataque ….. claro, una refri de las nuevas, “inteligentes”, de esas que le gritan a Usted antes de salir.. “Hey!! Me estoy quedando sin leche y jamón, pasa por el super comprando”… o algo así… 🙂

Bromas aparte, son sistemas domésticos entre otros que ahora integran el conjunto de dispositivos conectados a la red y que suman y dan nombre al concepto de – internet de las Cosas o Internet of Things (IoT). Básicamente son objetos de uso cotidiano o común pero que ahora poseen “inteligencia”; en otras palabras, cuentan con un sistema operativo y apps que permiten su control y conexión a nuestra red y por tanto al internet. En nuestro País, talvez lo reconozcamos en los nuevos TV tipo Smart-tv´s.

Read more about El caso de la refri cibercriminal »

En abril 08 del próximo año, 2014, estaremos alcanzando el punto de no retorno, Fín de vida o End Of Life (EOL: Extended) del sistema operativo (SO) de Microsoft Windows XP en su paquete de servicios 3 o SP3.(Win XP SP1 y SP2 ya no reciben soporte).

Que significa? Que este SO como tal dejará de contar con el soporte de revisiones y actualizaciones que Microsoft efectua sobre sus sistemas activos.

Porque son importantes las actualizaciones: Read more about Fin de soporte para Windows XP-SP3 »

Bién,Dado que hoy todo mundo está pensando en el partido Honduras-Costa Rica y ya que el mundo por tanto se detiene, voy a aprovechar el tiempo retomando una actividad que tengo descuidada y es postear o publicar algo en este mi olvidado blog.

Como soy de los que espera que “suenen los cohetes” para alegrarme pues indican que Honduras metió gol (Claro, no soy fan, es obvio) y me preocupo cuando pasan los minutos y no suenan…. pués el País se deprime… ufff,  en esta espera mejor escribo sobre algo que Sí debe preocuparnos y es: como o en que forma nuestros sistemas electrónicos estan procesando nuestro correo o email y no me refiero a si cuenta o no un sistema antimalware o si sus servidores de correo cuentan o no con filtros efectivos. En particular me refiero a como se está haciendo la entrega de nuestra correspondencia a nuestros contactos o destinos.

Trataré de ser breve y claro.

Para los que conocimos el servicio físico de correos o Correos nacionales o han usado el servicio de correo o postal en otros paises ( no entraré en asuntos de edad), saben que al enviar un documento (Carta, nota) este lo colocamos por lo general en un sobre…ya vienen engomados, el cual sellamos … o le pasamos la lengua para – sellarlo – ; luego compramos las estampillas (que de hecho pueden ser objetos invaluables de colección) y procedemos a entregarlo o depositarlo  en el buzón correspondiente a manera de que el servicio de correos lo clasifique y enrute a su destino.

Palabra clave: sellar (solo para sus ojos). Read more about Es seguro su email (Su correspondencia) ? »

Ayer, leyendo algunos newsletters me llamó la atención un proyecto desarrollado por la ICSPA * (International Cyber Security Protection Alliance), denominado “Scenarios for the Future of cybercrime – White paper for decision makers”

El mismo está siendo complementado por una serie de videos desarrollados por TrendMicro **, compañía de seguridad muy conocida en nuestro medio con sus sistemas Antimalware, miembro de ICSPA y apunta más que a una predicción futurística del tema, a una descripción o anticipación de un posible futuro que ya está a la vuelta de la esquina, el año 2020.

Si bién en nuestro País en general aún estamos bastante atrasaditos respecto a esta materia de la ciberseguridad, no está demás visualizar lo que los paises desarrollados estan vislumbrando en el corto plazo (que son 7 años??).

Como indica el texto (Traducción libre): “… es un enfoque del impacto del cibercrimen desde la perspectiva de un usuario ordinario de internet, una empresa, un proveedor de servicios (ISP/WISP)) y un gobierno…..”. Read more about Escenarios Futuros del Cibercrimen »