• Fecha: Ene 26, 2012
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

b:secure MagazineDesconecten y apaguen porque están en riesgo, es el resumen del whitepaper que Symantec liberó para alertar a los usuarios de pcAnywhere, luego de que hackers lograrán acceder al código fuente del programa en 2006.

“Nuestro análisis muestra que todos los clientes de pcAnywhere 12.0, 12.1 y 12.5 están ante un riesgo elevado, al igual que lo están todos aquellos clientes que cuentan con versione anteriores no soportadas”, cita el documento Symantec pcAnywhere Security Recommendations.

La compañía también advirtió que los usuarios de los productos Altiris Client Management Suite, Altiris IT Management Suite versión 7.0 o superior, Altiris Deployment Solution with Remote v7.1 podrían estar en riesgo dado que el programa pcAnywhere se integraba a las funcionalidades de estas plataformas.

“En este momento, Symantec recomienda a todos sus clientes desactivar el producto (pcAnywhere) hasta que se lancen las versiones finales y actualizaciones que resuelvan los riesgos de las vulnerabilidades conocidas”, explica el texto.

El caos para la compañía comenzó a principios de enero, cuando el grupo de hacker The Lords of Dharmaraja, publicara en Pastebin parte del código fuente de productos de Symantec. En ese entonces los cibercriminales aseguraban poseer la información completa de programa como Norton, uno de sus productos más vendidos y rentables de la firma.

La compañía respondió a las presiones de los medios y clientes, asegurando que el código no había sido obtenido de la infraestructura de Symantec, sino de la de un tercero, y que los códigos filtrados correspondía a programas viejos o que se encontraban fuera de producción.

Pero Symantec se equivocó y reconoció al poco tiempo que la información había obtenida directamente de su infraestructura en 2006. De acuerdo con Cris Paden, vocero de la compañía, los hackers lograron robar el código fuente de los siguientes productos: Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities, Norton GoBack y pcAnywhere.

Si bien los usuarios de Norton no se encuentran en peligró, pues en efecto lo robado corresponde a software viejo, confirmó que los clientes de su software de acceso remoto, pcAnywhere están frente un riesgo alto, de acuerdo al aviso publicado en su sitio web.

De acuerdo al documento los riesgos proviene porque:

Los elementos de encripción y codificación de pcAnywhere han sido vulnerados, lo que hace susceptible al usuario a ataques man in the middle (MIM), dependiendo de la configuración y uso del producto. Si un MIM llegará a pasar el atacante podría robar los datos de la sesión activa y las credenciales de acceso.

Un segundo riesgo proviene de: si el atacante obtiene la llave criptográfica, pueden crear sesiones remotas no autorizadas y acceder a información sensible.

Si la llave criptográfica esta utilizando el directorio activo de credenciales, también es posible que el atacante ejecute otras actividades maliciosas en la red.

En un entorno de pcAnywhere interno, si un sniffer de red se encontraba instalado la red interna del cliente y el atacante tuvo acceso a los datos de cifrado, el tráfico de pcAnywhere puede ser interceptado y descifrado. Esto implica que el cliente, o tiene un usuario interno malicioso que plantó el sniffer en la red o su infraestructura ha sido infectada por una botnet. Como siempre, las mejores prácticas de seguridad les ayudarán a mitigar este riesgo.

Dado que pcAnywhere usa las credenciales de inicio de sesión del usuario, existe el riesgo de que un sniffer de red o botnet intercepte el intercambio de información. Aunque todavía sería difícil de interpretar, incluso en el caso que el código fuente sea liberado.

Para entornos con usuarios remotos, este intercambio de credenciales presenta un nivel adicional de exposición a ataques externos.

¿De qué tamaño es el riesgo?

El vocero de Symantec, Paden aseguró a la agencia de Noticias Reuters que la firma tiene registrados menos de 50,000 usuarios, de la versión stand alone de pcAnywhere.

Sin embargo, la agencia advirtió que a pesar de que Symantec había reconocido el ataque desde principios de la semana pasada hasta el día de ayer el programa aún podría ser adquirido en el sitio web de la compañía.

La firma asegura que se encuentra trabajando para resolver el asunto. Sin embargo, usuarios y expertos de seguridad han comenzado a señalar a la compañía por ser incapaz de haber detectado una brecha de seguridad que sucedió en 2006.

Fuente: b:Secure Magazine

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.