Informe sobre las principales brechas de seguridad: “2015: el año de las fugas de información”

Los casi 220 millones de credenciales filtradas en las más de 250 brechas de seguridad durante 2015, reavivan muchos debates e invitan a la reflexión. Entre las reflexiones, sobre qué tipo de contraseñas utilizan los usuarios y cómo las almacenan los servidores. Entre los debates, sobre la importancia de implantar medidas como el doble factor de autenticación.

Tabla1[1]

En diciembre de 2013 se produjo una de las mayores brechas de seguridad con la filtración de información personal de más de 70 millones de clientes de la empresa norteamericana Target, incidente que motivó la movilización inmediata de recursos en ciberseguridad por valor de cinco millones de dólares. A partir de ese momento, las empresas son cada vez más conscientes de que necesitan proteger sus activos pero, pesar de ello, el año 2015 ha estado marcado por una gran cantidad de brechas de seguridad que ha supuesto una amenaza tanto para sus usuarios como para otras empresas. Este marco de inseguridad ha motivado a nuestro experto equipo de analistas a la realización de esta investigación sobre los principales afectados por este tipo de fugas de información.

Tabla2[1]

Para realizar este documento se han recuperado todos los incidentes de seguridad hechos públicos en los que se han visto implicados registros de usuarios y que han acontecido entre el 1 de enero y el 30 de noviembre de 2015.

Algunos detalles del informe:

  • En el caso de Estados Unidos, el principal sector afectado fue ocio y videojuegos.
  • Israel ha sido el principal país, junto con Estados Unido, que más ataques hacktivistas ha recibido.
  • El 42,6% de las filtraciones que han tenido lugar en 2015 aún contenían contraseñas en claro, pero afortunadamente solo representan el 6,5% del total de las credenciales sustraidas.
  • El 80,32% del total de credenciales recuperadas fueron sustraídas en los 13 incidentes (5,14%) en los que más credenciales se filtraron.

Descárgate el informe completo aquí.

Fuente: Eleven Paths

Nutanix Best Practices

nutanix

Nutanix ha anunciado que ya está disponible la guía de mejores prácticas para su hipervisor Acrópolis.

Acrópolis Hypervisor (AHV) proporciona características de virtualización de clase empresarial y se basa en el hipervisor Linux KVM. AHV está estrechamente integrado con la tecnología Nutanix existente como el almacenamiento distribuido logrando proporcionar una plataforma flexible y fácil de gestionar.

La guía de mejores prácticas nos ayudará a aprovechar la tecnología AHV para aplicar a un centro de datos y disponer de alta disponibilidad, migración en vivo, instantáneas, equilibrio de carga de red y mucho más.

Nutanix ha reunido a los mejores expertos en rendimiento y técnicos para crear esta guía de mejores prácticas.

Este documento cubre temas que incluyen tareas como la conexión a la red de centros de datos, configuración de redes virtuales y la configuración de las características como alta disponibilidad. Las mejores prácticas también incluyen la creación de nuevas máquinas virtuales, utilizando clones e instantáneas, la realización de la migración en vivo, la recuperación de desastres y la planificación de la alta disponibilidad.

Puedes descargar la guía gratuitamente en el siguiente enlace: Nutanix Best Practices 

Solución a vCenter Server 6.0 y BackupExec 15 donde no funcionan las copias

Symantec

Si hemos actualizado recientemente a vCenter Server 6.0 nuestro entorno de virtualización y observamos que las copias de seguridad de nuestras máquinas han dejado de funcionar bajo BackupExec 15, mostrando un mensaje con el siguiente código de error:

V-79-57344-38366 – VDDK-Warn: VixDiskLibVim: Login failure. Callback error 18000 at 2434.

es simplemente porque BackupExec 15 incompatible con esta versión.

Pero no hay que asustarse. Aunque han tardado un poco, la gente de Symantec han sacado un Feature Pack 1 para solventar el problema.

Backup Exec 15 Feature Pack 1 revision 1180 64bit Installer – BE1180.1162RSP1_x64bit.exe

También han añadido nuevas funcionalidades

– Windows 10 (no SDR support at this time)
– Exchange 2013 CU8
– Exchange 2013 CU9
– RHEL 7.1 (without AOFO)
– AOFO for RHEL 5.11 and 6.6
– SQL 2014 SP1 (Agent and BEDB Repository)
– SQL 2014 support for SPS 2013​

Deshabilitar actualizaciones de Windows a través de WSUS por regedit

Una vez agregamos al dominio una máquina este cargará las políticas del dominio que le tenemos asignadas.

El otro día, recien agregado un Windows 10 al dominio, queriamos cambiarle el idioma. En Windows 10 para actualizar un idioma, se descarga de forma automática de Windows Update el paquete correspondiente. Evidentemente, por mucho que deshabilitaramos la política de forma manual en el equipo de utilizar WSUS y entrasemos como usuario local este seguía aplicando las políticas del dominio y no nos permitía descargar el paquete de forma manual si no era aprobado por el propio WSUS.

Para saltarnos esta limitación de forma local de forma excepcional (hasta que volvamos a entrar en el dominio y nos aplique nuevamente la política, debemos eliminar la siguiente línea a través del regedit.

Entrada del registro a eliminar: HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

Reiniciamos el equipo y entramos con un usuario local y reintentamos la tarea que queriamos realizar.

Hacking Team: Verifica que estás limpio de su malware

principal_hacking_team[1]

La filtración de 400GB de datos tras el ataque a Hacking Team ha revelado información sobre malware que puede afectar a cualquiera, como por ejemplo, aprovechando vulnerabilidades en programas de uso diario a través de pluginsy malware que puede sobrevivir a la reinstalación del sistema operativo.

Si piensas que tu computadora ha sido infectada por alguno de los 312 ficheros descubiertos con malware de los 800 binarios analizados por la compañía Rook Security, puedes verificar que así sea usando su herramienta Milano para sistemas operativos Windows, la cual funciona mediante la ventana de comandos y no requiere de conocimientos avanzados para utilizarla.

pantalla-de-inicio-de-milano[1]

El usuario puede seleccionar un análisis rápido o profundo, el cual se diferencia por el nivel de heurística aplicado y el tiempo que tarda en ofrecer los resultados. Dicho análisis culmina mostrando los binarios infectados por algún malware, así como su identificación determinada por grupos:

  • Detectado por VirusTotal
  • Detectado por análisis manual
  • Desde un proyecto malicioso
  • No determinado

La compañía responsable de la herramienta está desarrollando una versión para los sistemas operativos Mac OS X y Linux.

Puedes descargar la herramienta desde la página web de Rook Security, un archivo zip del que deberás extraer los archivos para abrir la aplicación milano.exe. Si tienes alguna duda respecto a su funcionamiento y arquitectura, puedes explorar el proyecto en Github.

Descargar archivos jdb para actualizar definiciones Endpoint Protection Manager

Los antivirus centralizados a las horas programadas descargan sus actualizaciones para que todos los clientes estén al día.

En alguna ocasión podemos reportar algún falso positivo o un positivo el cual detecta algún antivirus gratuito y no uno de pago a la casa antivirus.

En este caso veremos el caso de Symantec Endpoint, como descargar actualizaciones recien salidas del horno llamadas “Rapid Release” (a veces son cada pocas horas) y aplicarlas a nuestro sistema.

La URL que utiliza Symantec es la siguiente:

ftp://ftp.symantec.com/AVDEFS/norton_antivirus/rapidrelease

 

rapid-release

Como podemos ver en la captura de pantalla de un día concreto hay diferentes tipos de archivos. Descargar archivos jdb es lo que necesitamos para nuestro Symantec EndPoint Security.

Si en algún momento nos falla la descarga y vemos que el archivo ha desaparecido es porque hemos coincidido con una nueva subida de versión.

Una vez descargado solo hemos de mover el archivo a la siguiente ruta.

  • 32 bits: C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\content\incoming\
  • 64bits C:\Program Files(x86)\Symantec\Symantec Endpoint Protection Manager\data\inbox\content\incoming\

Automáticamente él gestionará la actualización y empezará a distribuir solo las definiciones.

Servidores LiveUpdate de Symantec

En alguna ocasión podemos necesitar por ancho de banda u otro motivo tener que configurar en nuestros productos Symantec el LiveUpdate de forma manual a través de un servidor centralizado o que vaya expresamente a unos servidores externos.

¿Cuáles son las direcciones que hay que introducir?

Según Symantec tienen 3 URL’s, 2 por http y otra por FTP

Si nuestro producto como en la captura siguiente (SEP) nos permite introducirlas a mano, las añadiremos y guardaremos la configuración.

liveupdate_symantec

Cambio de Windows Server 2012 Standard a DataCenter

Si por alguna razón debemos cambiar de una versión Windows Server 2012 Standard a DataCenter por algún tipo de requisito, a partir de esta versión el cambio es menos doloroso y sin necesidad de tener que reinstalar.

Con unos cuantos comandos es posible realizar el cambio.

Antes de nada ejecutaremos el siguiente comando, para asegurarnos que versión tenemos instalada.

  • DISM /online /Get-CurrentEdition

Como se puede ver en la captura, tenemos una versión Standard.

El siguiente comando, nos indicará a que versión se puede actualizar nuestro actual sistema.

  • DISM /online /Get-TargetEditions

Como se puede ver, en la captura nuestro sistema se permite pasar a la versión DataCenter sin problemas.

Para realizar el cambio, necesitaremos un comando final que es el siguiente:

  • DISM /online /Set-Edition:<Version> /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEULA

En el caso de utilizar un servidor KMS para licenciar los sistemas operativos, buscaremos por Internet uno de tantos seriales de evaluación y lo aplicaremos con ese serial.

Luego utilizaremos los comandos de licenciamiento del servidor KMS.

 

Missing Device en unidad de cinta en BackupExec

2015-07-08-16_25_57

Si en algún momento por los diferentes misterios de la vida y funcionamiento de BackupExec deja de funcionar una unidad robótica por alguna actualización o migración y nos muestra la unidad con un bonito mensaje de Missing Device, vamos a ver que pasos seguir para poder solucionar este problema.

Primero nos dirigimos a la pestaña Almacenamiento y allí sobre la Biblioteca robótica donde nos da el fallo con el botón derecho haremos click.

Nos saldrá un menú en el que nos dará la opción de deshabilitar.

Una vez Deshabilitado utilizando el mismo paso, clickamos en Elminar. En este paso si tenemos copias asociadas nos solicitará que hacer con las copias. Las movemos temporalmente a otra unidad a una unidad temporal de disco que hayamos creado.

Acto seguido nos dirigiremos al Administrador de dispositivos de nuestro servidor.

Lo primero miramos si nos sale alguna advertencia o error en Dispositivos del cambiador de medios o en Unidades de cinta.

En el caso de las capturas de pantalla el problema sucedía con una Quantum Super Loader 3 con una unidad LTO 4. BackupExec al actualizar la versión había reemplazado los drivers que funcionaban correctamente por unos nuevos.

Descargamos los últimos drivers de nuestros fabricantes correspondientes, ya sean HP, Quantum u otros.

Editamos las propiedades y en la pestaña Controlador le damos a la opción Actualizar Controlador. Escogemos los nuevos que hemos descargado.

También podriamos revertir al controaldor anterior si nos saliese activada el botón correspondiente y ver si nos detecta la unidad correctamente.

Una vez aplicado los cambios deberemos reiniciar el servidor entero. Si todo ha ido bien, debería detectar correctamente nuestras unidades como lo hacía antes y poder volver a configurar nuestras particiones.