El cloud computing ahorra el 40% de los costes informáticos de las pymes

shutterstock_309367649-Nata-Lia-cloud-nube-web

Los datos reflejados en el “Informe 2015 Cloud Computing” realizado por el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI), indican que la implantación de tecnologías de cloud computing favorece la productividad y reduce costes de las empresas que las adoptan, especialmente en las pequeñas y medianas empresas. Además, su potenciación tiene un impacto positivo y directo en la economía y la generación de empleo.

Entre sus principales conclusiones identifica cinco beneficios específicos de la migración a la nube para las empresas:

Movilidad: Al hacer uso de los servicios de computación en la nube, no es necesaria la instalación de software en los terminales. El acceso se realiza a través de Internet desde cualquier equipo conectado, y con las integraciones móviles desde cualquier lugar.

Flexibilidad: El paso de software como producto a software como servicio fomenta la fórmula de pago por uso. Permite dimensionar los servicios contratados a las necesidades puntuales de la pyme.

Productividad: La flexibilidad en la organización, el acceso remoto y los equipos conectados y colaborativos, asociados al uso de soluciones en la nube, actúan como impulsores de la productividad de las empresas.

Seguridad: Las empresas proveedoras de servicios de cloud computing ofrecen unos estándares de seguridad muy elevados. Por encima de lo que pueden alcanzar, por medios y conocimientos, la mayoría de las pymes. El uso de esta tecnología permite que las empresas pequeñas y medianas experimenten esos niveles de seguridad en sus comunicaciones, datos y equipos.

Ahorro: Se ha demostrado que tienen un efecto directo en el ahorro de costes informáticos de las pymes. Hasta un 40% de la inversión en hardware y software, un 31% en los costes de personal TIC, y hasta un 80% en consumo energético.

Fuente: DiarioTI

Deja un comentario

mayo 25, 2016 · 2:47 pm

Diez sugerencias para mantener el control de sus datos en la nube

Cloud Security

A medida que las organizaciones adoptan servicios de nube y ponen cada vez más datos en manos de proveedores de servicios de nube independientes, los desafíos asociados con el mantenimiento de la visibilidad y el control de sus datos confidenciales y regulados solo aumentará exponencialmente.

Dentro de los entornos tercerizados, como aplicaciones de nube de SaaS, las organizaciones tienen poco o ningún control de cómo su información se almacena y mueve dentro de los centros de datos del proveedor de nube o de cómo fluye a los sistemas de los socios del proveedor de nube.

Debido a las preocupaciones con respecto a la privacidad y la seguridad, las organizaciones dudan acerca de utilizar la nube tanto como quisieran. A pesar de las proyecciones de gastos (IDC pronostica que los servicios de nube de TI públicos representarán más de la mitad del crecimiento global del gasto en software, servidores y almacenamiento para 2018), las organizaciones se han estado conteniendo, limitando los beneficios verdaderamente transformadores que podría traer la nube.

Confiar en un proveedor de servicios de nube para el cumplimiento y la protección de los datos no es suficiente. Por otro lado, descartar los servicios de nube debido al escepticismo sobre la seguridad es innecesariamente restrictivo y perjudica a la empresa. Las empresas deben considerar cifrar o tokenizar los datos confidenciales antes de que vayan a la nube, de modo que puedan conservar el control total de su información mientras está en tránsito, almacenada (inactiva) y en uso (siendo procesada) en la nube.

1. Pregunte a los desarrolladores y proveedores de nube, que están configurando las redes virtuales en plataformas de nube, cómo está diseñada la red, para poder asegurarse de que sus datos no sean simplemente lanzados de cualquier manera a una “nube” (según Forrester).

2. Familiarícese con las herramientas de seguridad dedicadas a los datos que funcionen tanto dentro como fuera de los firewalls de su empresa, en particular, el cifrado de los datos de la nube.

3. En lo relativo al cifrado de datos inactivos en un entorno de nube, preste atención a quién administra las claves y dónde residen físicamente. Conservar las claves le permite mantener el control de la seguridad de los datos.

4. Desarrolle una plataforma de seguridad que le permita implementar una política coherente en varios servicios de nube, preferentemente uno que no implique una administración de claves compleja.

5. No se olvide de los datos en uso. Los datos en uso son los datos que han sido cargados en un proceso y están en la memoria del programa que se está ejecutando. Por lo general, estos datos no están cifrados mientras se procesan, lo que habitualmente significa que no están protegidos por ningún cifrado basado en la nube proporcionado por el proveedor del servicio de nube. Asegúrese de administrar todo el proceso de cifrado de estos datos.

6. Considere la tokenización como un medio de protección de los datos de la nube. Los tokens reemplazan los datos originales en formato de texto por valores suplentes antes de que salgan de la organización, de modo que la información confidencial permanece siempre dentro de su dominio o control. Los valores de reemplazo no tienen relación matemática con el texto original no cifrado, por lo que el token no se puede invertir para revelar los datos originales si son robados o interceptados. El único lugar donde puede traducir un token seguro a su valor original es dentro de un almacén de tokens seguro, que siempre se encuentra bajo el control total de la empresa.

7. Controle el flujo de datos móviles. No se olvide de proteger los datos a los que se accede desde los dispositivos móviles de sus empleados (BYOD). A menudo, estos datos evaden los escritorios, y se procesan y almacenan exclusivamente en estos dispositivos móviles o en la nube. Debe tomar medidas para garantizar que los datos de su empresa que se encuentran en estos dispositivos y en la nube no estén demasiado expuestos.

8. Preserve la funcionalidad de las aplicaciones de nube. Al elegir una solución de seguridad de nube, asegúrese de seleccionar una que no afecte la funcionalidad del usuario. Lo ideal es maximizar los beneficios que puede obtener de la oferta de nube/SaaS y, al mismo tiempo, mantener la seguridad más sólida posible y el control de los datos.

9. Comprenda que existen requisitos de cumplimiento normativo y legal de los datos para los tipos de datos que se almacenan en la nube. Comprenda quién es el responsable de garantizar que se aborden las leyes de privacidad y cumplimiento normativo y legal de los datos relevantes.

10. Examine sus contratos comerciales, cómo comparte los datos con sus clientes empresariales y los tipos de información intercambiada. Es posible que existan requisitos para tratar la información confidencial y la propiedad intelectual de ciertas maneras, especialmente en entornos de nube/SaaS. Además, si se encuentra en una industria regulada, como el sector bancario o de la salud, debe cumplir con las restricciones y protecciones que indudablemente se aplican.

Por Blue Coat

Deja un comentario

mayo 20, 2016 · 12:11 pm

SAP y Microsoft anuncian alianza para transformación digital en la nube

SAP-Microsoft

SAP SE (NYSE: SAP) y Microsoft Corp. (Nasdaq: “MSFT”) anunciaron el 17 de mayo sus planes conjuntos para proporcionar un amplio respaldo a la plataforma SAP HANA desplegada sobre Microsoft Azure; simplificar el trabajo a través de nuevas integraciones entre Microsoft Office 365 y las soluciones cloud de SAP; y proporcionar gestión y seguridad mejoradas para apps SAP Fiori® personalizadas. Este anuncio se ha realizado durante la 28 conferencia anual SAPPHIRE® NOW.

El CEO de Microsoft, Satya Nadella, y el CEO de SAP, Bill McDermott, subirán juntos al escenario de SAPPHIRE NOW hoy para hablar de esta alianza ampliada que ayudará a ambas organizaciones a utilizar la nube para impulsar la innovación, la agilidad y permitir nuevas formas de trabajar.

“En Microsoft, estamos centrados en impulsar a las organizaciones para crear sistemas de inteligencia que puedan promover su transformación digital”, ha declarado Satya Nadella, CEO de Microsoft. “Junto con SAP estamos ofreciendo nuevos niveles de integración entre nuestros productos que proporcionan a las empresas herramientas de colaboración mejoradas, nuevas visiones obtenidas de los datos y una nube a hiperescala para crecer y aprovechar nuevas oportunidades que puedan presentarse en el futuro”.

“Creemos que la industria de TI se irá moldeando con alianzas innovadoras que proporcionarán una nueva productividad para los clientes más allá de las fronteras de las aplicaciones y plataformas tradicionales”, ha señalado McDermott. “SAP y Microsoft están trabajando juntas para crear una experiencia de usuario final construida sobre una visión, facilidad y agilidad sin precedentes. La certificación de los servicios de infraestructura de Microsoft Azure para SAP HANA junto con la nueva integración entre Microsoft Office 365 y las soluciones cloud de SAP son un ejemplo de este gran cambio de paradigma para la empresa”.

Nueva opción de despliegue: SAP HANA sobre Microsoft Azure Cloud
Con SAP HANA sobre Azure, organizaciones de todos los sectores serán capaces de proporcionar aplicaciones de misión crítica y analíticas de datos a escala global con una seguridad y cumplimiento normativo de nivel empresarial. Al trabajar juntas, ambas compañías están certificando que SAP HANA ejecutará el desarrollo, la prueba y la entrada en productivo de los trabajos realizados sobre Microsoft Azure, incluyendo SAP S/4HANA. Estas nuevas ofertas para SAP HANA han sido creadas para gestionar los mayores y más exigentes trabajos de producción de los clientes.

Los primeros usuarios de esta oferta como Coats, Rockwell Automation y Nortek, ya han disfrutado de los beneficios de desplegar SAP HANA sobre Azure. De acuerdo con Sujeet Chand, vicepresidente senior y director de tecnología de Rockwell Automation, “La plataforma Microsoft Azure nos proporciona la escalabilidad, seguridad y el nivel de servicios que necesitamos para ejecutar con confianza las aplicaciones de Big Data y SAP HANA más exigentes. Estamos entusiasmados de ser pioneros en la ejecución de SAP HANA sobre Microsoft Azure ya que constituye una gran capacidad para ayudarnos a llevar a cabo nuestra visión de Empresa Conectada y de uso de analíticas avanzadas de datos”.

Integraciones de Servicios Cloud: Soluciones de Cloud Pública de SAP y Office 365
Cada día, millones de usuarios empresariales trabajan con soluciones Microsoft y SAP cuando crean documentos, leen emails, cumplimentan informes de gastos, preparan facturas para los proveedores, etc. Las nuevas integraciones entre ambas compañías combinarán las comunicaciones, colaboración, calendario, documentos y otros datos de Office 365 con soluciones cloud de SAP, entre la que se encuentran Concur, SAP Fieldglass®, SAP SuccessFactors® y SAP Ariba®, que ayudan a los clientes a mejorar su productividad global.

En SAPPHIRE NOW, Microsoft y SAP realizarán demostraciones de varias de estas integraciones entre soluciones cloud de SAP y Office 365. Estas nuevas capacidades estarán disponibles a principios del tercer trimestre de 2016 y existen planes para preparar nuevas capacidades de integración en un futuro.

Flexibilidad en la nube: gestión y seguridad de apps SAP Fiori personalizadas
SAP hará posible que sus clientes puedan crear y desplegar apps SAP Fiori móviles, personalizadas e híbridas sobre la plataforma SAP HANA Cloud Platform con un marco de conexión basado en estándares abiertos. Como parte de este marco, los clientes pueden construir apps que pueden ser gestionadas, desplegadas y protegidas con Microsoft Intune. Al utilizar el proceso de creación en la nube como parte de SAP Fiori edición cloud, los editores de apps podrán integrar en sus apps capacidades de gestión Microsoft Intune, aprovechando de esta forma las mismas prestaciones utilizadas por las apps móviles de Office 365. Se espera que la integración esté disponible en el tercer trimestre de 2016. En SAPPHIRE NOW, SAP ofrecerá demostraciones de esta capacidad global como parte de SAP Fiori edición cloud.

Fuente: DiarioTI

Deja un comentario

mayo 17, 2016 · 5:34 pm

El gasto en seguridad IoT alcanzará US$ 348 millones en 2016

shutterstock_416625787-chombosan-IoT-Internet-of-Things-IoT

Según la consultora Gartner, el gasto en seguridad del ámbito de Internet de las Cosas (IoT) alcanzará US$ 348 millones en el año en curso, cifra que representa un incremento de 23,7% con respecto de los US$ 281,5 millones de 2015.

En su análisis, la empresa indica que el mercado de seguridad IoT es aún pequeño, pero en proceso de crecimiento en la medida que se propaga entre consumidores y empresas la utilización de dispositivos inteligentes, ya sea individuales o conectados a redes. Los pronósticos de Gartner sitúan en 6,4 mil millones los objetos conectados a Internet en 2016. Este número implica un crecimiento del 30% con respecto a 2015, y según las previsiones de la entidad aumentará a 11,4 mil millones en 2018. Sin embargo, la consultora observa una fuerte variación entre los distintos sectores industriales, como resultado de distintos niveles de priorización y conciencia respecto de la seguridad empresarial.

El análisis, firmado por Ruggero Contu, director de investigaciones en Gartner, incluye un pronóstico según el cual el gasto en IoT aumentará a US$ 547 millones en 2018, de manera proporcional al número de dispositivos conectados, por lo que identifica una creciente necesidad de proteger los endpoints de todo tipo de vectores de ataque.

Según Contu, gran parte del gasto será destinado a proteger dispositivos IoT en automóviles conectados, aeronaves comerciales y equipos agrícolas, como asimismo en el sector de la construcción. También asigna un papel cada vez más protagónico la nube, por su inherente escalabilidad. De hecho, Gartner pronostica que para 2020, la mitad de todas las implementaciones de IoT utilizarán una u otra forma de servicio de seguridad basado en la nube.

La consultora preve que para 2020, el 25% de los ciberataques estarán dirigidos al ámbito de IoT. En comparación, el gasto actual en seguridad de IoT alcanza sólo el 10% de los presupuestos de TI.

Los escenarios IoT de las empresas requerirán un mecanismo de suministro que pueda crecer al ritmo de los requisitos de monitorización, detección, control de acceso y otras necesidades del ámbitos de la seguridad informática”, concluyó señalando Contu.

Fuente: DiarioTI

 

Deja un comentario

mayo 9, 2016 · 2:04 pm

Cinco maneras de mejorar contraseñas el Día de la Contraseña

shutterstock_414099724-Rawpixel-contraseña-weba está aquí de nuevo un año más, el Día Internacional de la contraseña, y, bueno… ¡Sí! Efectivamente existe el Día de la Contraseña. Y al tratarse de un día que cuenta con pocos años a sus espaldas, aún no existen tradiciones para este día en concreto. Igualmente, toda tradición nace de una nueva idea con la que da comienzo y si hay algo en la seguridad informática que merece un poco de atención son las contraseñas (además de los administradores de sistemas, obviamente). El Día de la Contraseña podría ser, por ejemplo, un muy buen día para “coger nuestras contraseñas y mejorarlas”, así es que desde Sophos queremos ofrecer cinco consejos que los cibercriminales seguramente no querrán que se sepan y menos aún, que se pongan de moda.

1. No reutilices contraseñas
En 2007, Dinei Florencio y Cormac Herley en Microsoft Research observaron las costumbres respecto a las contraseñas de medio millón de usuarios en su gran estudio sobre los hábitos de las contraseñas en páginas web. Descubrieron que el usuario medio necesita alrededor de 25 contraseñas distintas, pero que realmente sólo utilizaba unas seis. El usuario medio tiene 6,5 contraseñas, cada una de ellas compartida para 3,9 sitios diferentes. Y obviamente, que cada usuario tenga unas 25 cuentas que requieren contraseñas supone un problema, al beneficiar a cualquier cibercriminal que robe una de sus contraseñas con la clave de acceso a otros tantos sitios, siendo el daño mucho mayor.

En su artículo “Is it *really* such a bad idea to use a password twice”, Paul Ducklin cuenta la historia de cómo a principios de septiembre de 2014, los ciberdelincuentes subieron casi 5 millones de nombres y contraseñas de cuentas de Gmail a un foro ruso sobre Bitcoin. El gigante del alojamiento web WordPress, buscó entre su propia base de datos de usuarios las credenciales robadas y encontraron coincidencias con 700.000 direcciones de correo electrónico y 100.000 coincidencias de combinaciones de correos electrónicos y contraseñas. En otras palabras, por cada cuenta de correo electrónico que los ciberdelincuentes habían comprometido también tenían una probabilidad de 1 entre 14 de comprometer también con éxito una cuenta de WordPress, algo que bien equivaldría al esfuerzo de tan sólo hacer sonar las llaves cerca de la cerradura. Si te roban tu contraseña en una brecha de datos, deberías saber que seguramente los ladrones van a probarla en Facebook, Twitter, WordPress y el resto de sitios web donde creen que también puedes estar utilizándola.

2. No utilices contraseñas débiles
En su reciente trabajo de investigación, Eugene Panferov va en busca de una medida sólida de la contraseña canónica y argumenta finalmente que no hay una sola; “No existe tal cosa como ‘las mejores prácticas para la elección de una contraseña’, hay malas prácticas, malas decisiones, y lo único que podemos hacer es evitarlas”. Se trata de una interesante manera de pensar sobre cómo elegimos nuestras contraseñas.

Las guías para la creación de contraseñas fuertes, como “utilizar una larga colección de números aleatorios, letras mayúsculas y minúsculas y caracteres extravagantes”, a menudo se convierten en reglas arbitrarias que hacen que las contraseñas terminen por ser fáciles de suponer, como “¡tu contraseña debe tener entre ocho y doce caracteres y contener al menos un caracter en mayúscula y un número!” Así que, en lugar de pensar en qué hace que una contraseña sea segura, pensemos en cómo evitar errores comunes como: no elegir una de las 10.000 contraseñas más comunes; no utilizar información personal, el nombre de nuestra mascota, nuestro equipo favorito, el nombre de nuestra empresa, nuestro apodo, un miembro de nuestra familia, una frase; evitar palabras de diccionario; y no esperar engañar a nadie usando alteraciones ortográficas, $ust1tut0s o añadiendo números53 al final.

3. No compartas tus contraseñas
¿Eres bueno guardando secretos? Bien, porque eso es lo que una contraseña es: un secreto. Y si compartes una contraseña, que sepas que no es ninguna declaración de amor verdadero, y más bien dejará de ser secreta. El problema es que muchos de nosotros simplemente no pensamos en las contraseñas como tal. Una encuesta reciente realizada por los proveedores de software de gestión de contraseñas, LastPass, desveló que el 95% de los usuarios compartimos hasta seis contraseñas entre nosotros. Y no es sólo un mal hábito de los usuarios, es una mala costumbre practicada también por los profesionales de TI, quienes deberían saber mejor que nadie que, como reveló la encuesta de la conferencia de RSA de 2016: “… Uno de cada tres profesionales de seguridad de TI encuestados en la Conferencia RSA 2016 admitieron que comparte sus contraseñas con el resto del personal de su departamento.” Siendo una práctica común en la administración de TI. Si compartes una contraseña, se pierde el control sobre la misma, ya que no se sabe con quién más se ha podido compartir, si se ha enviado por correo electrónico o donde ha sido escrita.

4. No confíes en los indicadores de fortaleza de contraseñas
Los indicadores de fortaleza de contraseñas se han convertido en un adorno común para sitios web y aplicaciones que te piden elegir una contraseña. Por desgracia, muchos de ellos favorecen el engaño con una redacción vaga, gráficos lujosos y reglas arbitrarias que parecen importantes, pero que en realidad pueden hacer que tu contraseña sea más débil. Hace aproximadamente un año hicimos una selección de contraseñas muy muy malas hechas con cinco de los indicadores de fortaleza más populares. Todos fracasaron y no sólo eso, ellos mismos estaban de acuerdo. Otros han demostrado que envían contraseñas sin cifrar a través de Internet, las almacenan en hojas de cálculo de Google desconocidas y accidentalmente las ceden a terceras partes como a empresas de marketing (caso de la herramienta de prueba de contraseña de la CNBC, por si te lo estabas preguntando).

Hay algunos excelentes indicadores de fortaleza de contraseñas por ahí, como el testado rigurosamente zxcvbn, que es utilizado por Dropbox y WordPress, por lo que hay que reconocer que existen algunos indicadores de fortaleza de contraseñas dignos de confianza. Por desgracia, no puede decirse que todos lo son.

5. No cambies tus contraseñas por un patrón o agenda
Nos referimos a la conocida advertencia utilizada para que actualices tus contraseñas cada treinta días o cada pocos meses para limitar daños que una contraseña comprometida pueda ocasionar. Es un consejo que ha sido adoptado por los departamentos de TI y usuarios por igual, pero es un consejo que ha envejecido mal a medida que ha crecido el número de contraseñas que tenemos. En el mundo actual se traduce en “debes crear y recordar unas 25 contraseñas al mes que sean aleatorias completamente nuevas y sin relación entre sí”. Los consejos que son buenos en la teoría nos empujan a tomar atajos al final que hacen que sea más fácil obtener nuestras contraseñas; si nos vemos obligados a cambiar nuestras contraseñas todo el tiempo terminaremos eligiendo las contraseñas más cortas, simples, fáciles de recordar, y las cambiaremos acorde a patrones y algoritmos fáciles de adivinar, y las reutilizaremos sucesivamente.

Los investigadores de la Universidad de Carolina del Norte que observaron esta práctica al detalle, concluyeron que: “… confirmamos conjeturas previas de que la eficacia de caducidad en el cumplimiento de su objetivo previsto es débil. Las organizaciones desde la FTC hasta la GCHQ están desaconsejando la expiración de la contraseña arbitraria porque, como el gurú de las contraseñas, Per Thorsheim, expuso en su reciente llamada a las armas sobre este tema: “…Hay un montón de opiniones más, la investigación (académica), los resultados de pruebas de penetración, etc.., demuestran exactamente lo mismo: los cambios de contraseña obligatorios deben morir lo antes posible”.

Si pudieras crear y recordar un gran conjunto de nuevas contraseñas seguras todos los meses, sería fantástico, pero no se puede obligar a nadie más a que lo haga, porque lo más probable es que no puedan.

Por Pablo Teijeira, Director General de Sophos Iberia

Fuente: Diario TI

 

Deja un comentario

mayo 5, 2016 · 2:46 pm

Aumenta la peligrosidad y abundancia de ataques DDoS, aunque disminuye su duración

shutterstock_397201108-studiostoks-DDoS-web

Kaspersky Lab ha publicado su informe sobre los ataques botnets DDoS del primer trimestre de 2016 basándose en las estadísticas recogidas por Kaspersky DDoS Intelligence. Durante este período, se observó una evolución desde los ataques económicos y fáciles de aplicar a los más complejos y específicos. También hubo un aumento, multiplicándose casi por cuatro el número de ataques DDoS.

Según el análisis, un total de 74 países fueron blanco de ataques DDoS en el primer trimestre del año. La gran mayoría de estos recursos se encuentran en tan sólo 10 países y, una vez más, China, Corea del Sur y EE.UU. fueron los más afectados. Ucrania (cuarto lugar), Alemania (noveno) y Francia (décimo) son los países recién llegados al Top 10. Estos cambios van directamente relacionados con los países que albergan el mayor número de servidores C&C con fines maliciosos.

Más del 70% de los ataques del primer trimestre de 2016 duraron menos de cuatro horas. Hubo una importante reducción en la duración máxima de ataque: el ataque DDoS más largo duró ocho días (frente a las casi dos semanas del Q4). Durante el período analizado, el número máximo de ataques contra un único objetivo aumentó: 33 ataques frente a 24 en el trimestre anterior.

Los expertos de Kaspersky Lab también observaron una caída en el número de ataques dirigidos hacia medios de comunicación, acompañado por un aumento en el número de ataques a nivel de aplicaciones. Esto sugiere que los ataques de amplificación, que recuperaron su popularidad el año pasado, han comenzado a perder su atractivo.

Los datos de los ataques DDoS que recibieron los usuarios de Kaspersky Lab, así como los propios sitios web de la compañía, confirman la tendencia de que la duración del ataque se reduce, pero que cada vez son más abundantes y complejos. Durante los tres primeros meses del año los recursos de Kaspersky Lab eliminaron casi tantos ataques como en todo 2015. La mayoría de esos ataques fueron también a nivel de aplicaciones de corta duración.

“Hoy en día, casi todas las empresas de telecomunicaciones han aprendido a lidiar con los ataques DDoS. Esto ha obligado a los ciberdelincuentes a emprender ataques más complejos y caros – pero más efectivos – para mejorar la eficiencia de su trabajo. Los ataques a nivel de aplicación son un buen ejemplo. Sólo una solución de seguridad anti-DDoS altamente profesional con un algoritmo de filtrado de spam inteligente es capaz de detectar estos ataques del resto de emails. Por eso, las empresas, especialmente aquellas cuya actividad depende de la disponibilidad de sus servicios, ya no pueden basarse únicamente en la protección que les brinda su proveedor de Internet”, comenta Evgeny Vigovsky, jefe de Kaspersky DDoS Protection de Kaspersky Lab, agregando que Kaspersky DDoS Protection protege contra todo tipo de ataques DDoS, independientemente de su complejidad, fuerza, o duración.

Fuente:

Aumenta la peligrosidad y abundancia de ataques DDoS, aunque disminuye su duración

Deja un comentario

mayo 5, 2016 · 2:44 pm

Nueva modalidad de ataque intercepta tráfico cifrado

Expertos en seguridad informática  han detectado un nuevo tipo de ataque cibernético con capacidad de interceptar tráfico cifrado HTTPS operando con tecnología SSLv2.

Según un grupo de trabajo internacional en el que participan Google,  diversas universidades y el proyecto OpenSSL, la vulnerabilidad  afecta a uno de cada 3 servidores HTTPS, equivalentes a 11,5 millones de servidores.

Los investigadores han comprobado que SSLv2  se ha convertido en un grave problema de seguridad para millones de servidores web. La situación afectaría a uno de cada tres servidores con soporte para HTTPS  si se incluyen los servidores  carentes de soporte SSLv2 que comparten una clave pública con un servidor con soporte para SSLv2;  por ejemplo, servidores de correo electrónico.

Esta modalidad de ataque ha sido denominada DROWN (Decrypting RSA with Obsolete and Weakened eNcryption). en la práctica, se trata de una nueva variante de una modalidad antigua de ataque, denominada “Bleichenbacher padding oracle attack“.  El ataque hace posible descifrar conexiones TLS  interceptadas,  habilitando conexiones especialmente diseñadas en un servidor con soporte SSLv2,  siempre y cuando las conexiones TLS y SSLv2  utilicen la misma clave privada.

Otra condición que debe concurrir es que se utilice el método de intercambio de claves RSA.  Se ha comprobado, además, que es totalmente irrelevante el navegador utilizado, en tanto que la conexión interceptada puede basarse en cualquier versión existente de TLS  (o SSL), hasta la versión 1.2.

Para el caso de algunos servidores es necesario probar  miles de conexiones, realizándose un gran número de cálculos para vulnerar el sistema de cifrado. Sin embargo, todos estos cálculos podrían ser realizados  mediante el servicio EC2 de Amazon  en aproximadamente 8 horas, por un precio de aproximadamente US$ 440.  Este gasto está al alcance de un gran número de cibercriminales e indudablemente de agentes estatales.

Un elemento clave de los ataques es la vulnerabilidad fundamental  presente en SSLv2,  vinculada a la exportación de cifras, que sólo utiliza claves de 40 bits.

En el sitio de DROWN  se ha publicado una lista  con ejemplos tomados de los 10.000 sitios web más populares del mundo,  cuyos servidores están vulnerables al ataque. La lista está actualizada al primero de marzo de 2016. El sitio  ofrece una herramienta que permite verificar la vulnerabilidad del servidor, digitando el nombre de un dominio.

Fuente: DiarioTI

Deja un comentario

marzo 3, 2016 · 12:08 pm