Ahora que comienza el año, aprovechamos para reunir las opiniones de nuestro equipo acerca de la evolución que el escenario tecnológico ha tenido en los últimos 12 meses, especialmente en aspectos como seguridad, almacenamiento, cómputo en la nube y virtualización, con el objetivo de determinar la manera en que estos cambios impactarán a nuestra comunidad de socios de negocio y aliados estratégicos a nivel mundial y en América Latina.

Como resultado de este ejercicio, hemos  identificado cinco tendencias clave de TI para 2013, las cuales traen consigo oportunidades y desafíos para nuestros socios. A continuación exploramos cada una.

1. Conflictos cibernéticos se vuelven frecuentes

Este 2013, los conflictos entre las naciones, organizaciones e individuos desempeñarán un rol importante en el mundo cibernético ya que los diversos grupos continuarán utilizando tácticas cibernéticas en un intento de dañar o destruir la información segura o fondos de sus objetivos, y ocasionar un impacto en las redes, sistemas e infraestructura en general.

Además, esperamos ver más ataques a individuos y organizaciones no gubernamentales, como por ejemplo, defensores de temas políticos y miembros de grupos minoritarios en conflicto. Este tipo de acción se ha hecho presente cuando los grupos hacktivistas son agraviados por un individuo o compañía, de ahí los diversos casos identificados en los últimos meses.

Ante este escenario, los socios de canal y proveedores de servicios con clientes de todos los tamaños (multinacionales, sector público, empresas, PyMEs, etc.) deben acercarse a ellos para discutir la importancia de este tema y ayudarles a desarrollar una estrategia integral de seguridad. Esto también implica acercarles las últimas novedades en materia de protección y educarles sobre el creciente panorama de amenazas, incluidas guerras y conflictos cibernéticos, con el fin de reducir los riesgos de sufrir algún ataque. Hay que recordar que, en la primera mitad de 2012, las PyMEs fueron blanco del 36% de los ataques dirigidos y que Brasil, Argentina Colombia y México se encuentran entre los países de América Latina con mayor actividad maliciosa.

2. Usuarios utilizarán más soluciones móviles y en la nube  

Los atacantes irán a donde los usuarios vayan; por lo tanto, no debemos sorprendernos si las plataformas móviles y los servicios en la nube se convierten en blancos de alto riesgo de ataques y violaciones durante 2013.

Cuando dispositivos móviles no gestionados y BYOD de compañías de todos los tamaños entran y salen de las redes corporativas, recolectan datos; ésta información tiende a ser almacenada en nubes, lo que incrementa el riesgo y la oportunidad de cometer violaciones y ataques dirigidos hacia la información en los dispositivos móviles. Además, cuando los usuarios instalan aplicaciones en sus teléfonos, también está latente la posibilidad de descargar algún  malware.

Este año, la tecnología móvil continuará avanzando, por lo que se seguirán creando nuevas oportunidades para criminales cibernéticos, por ejemplo: malware utilizado por criminales para secuestrar información sobre pagos de clientes en entornos minoristas. Algunos sistemas de pago son ampliamente utilizados por novatos tecnológicos, ya sea usuarios y/o comercios, quienes pueden ser objeto de vulnerabilidades que expongan información sensible.

Esta tendencia subraya la necesidad de los socios de canal de adoptar soluciones confiables, en la nube y móviles que sean líderes en la industria y tengan un respaldo confiable como parte de oferta en seguridad tecnológica que ofrecen a sus clientes. En este sentido, nuestros canales pueden aprovechar las Especializaciones que ofrecemos, así como la capacitación y los recursos necesarios para demostrar su experiencia en soluciones móviles y de seguridad de la información (en sitio o en la nube). Esto resulta ideal cuando se trabaja con clientes existentes, y también para incrementar la base de clientes, al mismo tiempo que se remarca la importancia de proteger de forma integral los entornos móviles y en la nube. El mensaje para los socios es el siguiente: que los clientes todavía no hayan tenido que defenderse contra ataques dirigidos o violaciones, no significa que no sucederán. De hecho, lo harán. Adicionalmente, a medida que los clientes continúen desarrollando y/o adoptando tecnologías móviles y en la nube, las oportunidades de sufrir un ataque continuarán latentes; por ello, es esencial que los socios impulsen a sus clientes a adoptar una estrategia detallada de defensa, a fin de mantener su postura en lo que respecta a la seguridad y, más importante aún, que estén capacitados para entender los retos y desafíos que las nuevas tecnologías traen consigo. IDC proyecta que el consumo de tecnología será dirigido por los usuarios y ya no por empresas pues para 2015, 61 por ciento de las ventas de smartphones en entornos empresariales serán decisión del trabajador, cuando en 2010 la tasa era de 48 por ciento

3. La importancia del software correcto

Por la virtualización, los centros de datos definidos por software se encargarán del cómputo en la nube, el cual tomará un lugar como nuevo término en la industria. La mayoría de los grandes centros de datos se convertirán en centros de datos definidos por software en donde los servicios tecnológicos estén separados y no dependan del hardware subyacente. El hardware no especializado, los dispositivos y el cómputo en la nube dependerán cada vez más del software inteligente, el cual definirá y manejará el futuro de la computación por centros de datos.

La comunidad de socios de Symantec podrá aprovechar esta tendencia, asegurándose de agregar el mejor software del mercado a su portfolio, y así ayudar a los clientes que están o planean incorporar la virtualización a sus entornos. Es posible que muchos de estos clientes hayan comprado hardware económico (es común en los centros de datos), pero eso no es motivo de preocupación para Symantec dado que en este caso la importancia recae sobre el software, el cual permite que el hardware funcione en forma eficiente, efectiva e inteligente (en cualquier entorno).

4. “Respaldo como servicio”

El “Respaldo como servicio” (respaldo con inteligencia incluida) es un diferenciador que agrega valor a la organización y que se convertirá en la forma estándar de realizar respaldos. A medida que la explosión de información sigue extendiéndose, los appliances de respaldo que combinan la deduplicación de origen y destino, software de respaldo, replicación, capturas, seguridad e integración en la nube en un solo dispositivo serán implementados con más frecuencia. La tendencia clave consiste en moverse más allá de la deduplicación de destino, brindando así un diferenciador. Como compañía, Symantec ha alcanzado un gran éxito en este rubro y ahora planeamos enfocarnos en la siguiente fase (ir más allá de la deduplicación), para garantizar que el almacenamiento sea más inteligente y cumpla con los modelos de “respaldo como servicio”.  Por ello, es importante que nuestros socios también consideren y conozcan los appliances de respaldo todo en uno para mantenerse a la vanguardia de la tendencia de “almacenamiento inteligente” a la que sus clientes buscarán sumarse.

5. Las PyMEs adoptan más tecnología

En América Latina, las pequeñas y medianas empresas (PyMEs) representan aproximadamente el 99% de todas las compañías de la región y emplean a cerca del 67% de los trabajadores según datos de la OECD, lo que las vuelve un blanco atractivo para los ciberatacantes, quienes muchas veces la usan como objetivos para llegar a empresas más grandes. Esto hace que la necesidad de proteger sus activos y su información en este 2013 sea mayor. Por otra parte, con el fin de mejorar sus procesos y productividad, muchas de estas organizaciones están incorporando y adoptando con mayor frecuencia, tecnologías tales como la virtualización, el cómputo en la nube y los dispositivos móviles. En el caso de la virtualización se estima que 1 de cada 3 empresas entre 10 y 250 empleados está evaluando o implementando algún tipo de virtualización.

Este interés por la tecnología como herramienta para mejorar sus procesos es un cambio que brinda a los socios la posibilidad no sólo de volverse un aliado estratégico y proveer soluciones o servicios de TI que resuelvan sus necesidades de negocio. Los socios pueden completar la especialización que ofrece Symantec orientada a este mercado. Será clave que el canal  aporte valor a sus clientes y amplíe sus conocimientos para fortalecer su posición como su aliado ideal en cuestiones tecnológicas.

Sin duda, 2013 será un año de oportunidades para nuestros socios, no sólo para ampliar su oferta de productos e incrementar su base de clientes, sino también para crear una diferencia respecto de sus competidores y fortalecer sus alianzas y relaciones.  Según diversas fuentes, este año los analistas esperan un aumento en el gasto de las empresas de TI  por lo que invitamos a los socios a prepararse para aprovechar las oportunidades del mercado.

Nosotros, en Symantec, seguiremos trabajando para reforzar el compromiso que tenemos con nuestros socios, ofrecerles la mejor tecnología y apoyarles para alcanzar el éxito.

Microsoft’s latest desktop operating system release has been applauded as the most secure Windows ever – incorporating features including anti-malware out of the box, boot protection against rootkits and support for self-encrypting drives. So, does this mean we no longer need to think about Windows desktop security?

That the answer is (of course) “no” should not be taken as a comment on the strides Microsoft has made. Rather, it is more an indicator of where the boundaries now lie. To state the most obvious point first, no operating system can ever be 100% secure – indeed, security company Vupen claims to already have done just that.  

Even if an operating system proves resistant to attack, the bad guys know that the weakest link is the ‘human layer’ – that is to say, the people that use computers, rather than the computers themselves. Not all technology users are technology-savvy, and many of us are easily duped – as PT Barnum is reputed to have said, “There’s a sucker born every minute.”

This factor works in combination with the increasingly interactive Web, as illustrated by the increase in social networking exploits (which can be as simple, for example, as “Look at what people are saying about you” as a Twitter message associated with a link to a malicious Web site).

A third but no less important complication concerns the sheer volume of applications, utilities and device drivers already written for Windows, which nobody will want to simply throw away. While Windows 8 incorporates a set of ‘sandbox’ APIs for new software (including that written for ARM-based devices), desktop versions of the OS also offer backwards compatibility for legacy licenses. Microsoft is between a rock and hard place on this one – Windows has to be able to support older software, but this also leaves the door open for exploits.

All of which means, while the occasional smaller organisation may have the luxury of starting with a clean slate and reducing the potential for security breaches, the rest of us will not be so lucky. And even if we could dispense with our older programs, the potential for all-too-human error means that nobody should be letting their guard down any time soon.

Recently, we blogged about the file-infector virus known as W32.Virut and the botnet’s return to distributing new payloads. In the blog, we estimated that the Virut botnet currently consists of 308,000 unique Virut clients active in a single day. It was also noted that Virut had been observed distributing payloads with the functionality to send out email spam for advertisements and fraud as well as other malicious purposes.

During our further analysis of recent Virut samples, we observed the virus downloading a botnet variant named Waledac (also know Kelihos), which Symantec detects as W32.Waledac.D. The Waledac family is a threat that has been monitored by Symantec for many years and was featured in numerous blogs as well as a white paper. In the past, the Waledac botnet has also been subject to takedown efforts from the security community to curtail its operations.  On each occasion the miscreants behind the botnet were able to recover from these disruptions and continue their operations, distributing spam and performing other malicious functions.

Symantec telemetry data for the past month (Figure 1) shows that we have seen the number of computers infected with W32.Waledac.D continue to increase, with the United States currently having the largest concentration of infections.

Figure 1. Waledac.D global detections, based on recent telemetry

Once the computer has been compromised, it sends spam emails through servers from a list that it receives from the command servers. During our analysis in a controlled environment, we observed a compromised computer sending approximately 2,000 emails per hour. Conservatively, if a quarter of the estimated 308,000 computers infected with W32.Virut download W32.Waledac.D, then potentially billions of spam emails can be sent from these computers. The following table contains some basic calculations on the estimated volume of emails from this campaign with totals ranging from 1.2 billion to 3.6 billion spam emails per day.

Table 1. Estimated volume of emails sent from this campaign

The emails generated consisted of one of sixteen unique subject lines and one of thirteen unique email message bodies.

The following image (Figure 2) contains some sample screenshots generated from the spam emails in this campaign. Some of the emails lead to a Canadian online pharmacy spam and others lead to fake performance-enhancing drugs.

Figure 2. Screenshots of spam emails from the W32.Waledac.D campaign

The coexistence of Virut and Waledac on a single computer is further example of malware groups using affiliate programs to spread their threats, and that threats can be linked and coexist on an already compromised computer.

From our recent analysis of one particular compromised computer, the volume of spam that can be sent from each bot is quite significant and the combination of multiple compromised computers could potentially lead to billions of spam messages being sent out by W32.Waledac.D per day. Symantec Security Response will continue to monitor these threats and to update and add detections as we encounter new variants. To aid in protection against botnet infection, Symantec recommends that you employ the latest Symantec technologies.

Sun Tzu once said, "Know both yourself and your enemy and you can win a hundred battles without jeopardy."

The Symantec Cyber Readiness Challenge is a competition designed for all levels of technical expertise that puts participants in the hacker's shoes to understand their targets, technology and thought processes so they can ultimately better protect their company or agency. This interactive 'capture the flag' style competition will take place at various locations around the globe and participants will have the opportunity to test their skills within a unique and real world environment developed by Symantec, the global leader in security.

• Sharpen your security skills
• Expand your security awareness
• Implement theoretical knowledge
• Compete against your peers

Bringing together some of the world's leading experts in IT security, this innovative competition will provide a fantastic environment for networking and knowledge sharing.

Upcoming Events:

January 29th: Dallas
February 5th: Chicago
February 28th: NYC
March 6th: Minneapolis
March 13th: Mt. View
April 30th: Columbus, OH

For more information, click here.

To register, click here.

I just submitted comments to HHS ONC related to Privacy and Security questions.  We'll leave Objectives & Measures; Recommended Objectives; and Quality Measures to those experts.

Symantec at HIMSS 2013!   http://www.symantec.com/page.jsp?id=himss-2013&header=0&depthpath=0

Android.Exprespamを発見した今月初め、シマンテックはただちにこのマルウェアについて警告するブログを公開し、この攻撃の詳細について説明しました。時をおかずにメディアや警察当局もこれを広く伝えたため、情報は瞬く間に広がりました。詐欺師たちも、この報道が十分に浸透し、マルウェアと偽のマーケットを更新する機が熟したと判断したのか、コンテンツを一新してまた新たな攻撃を始めています。

新しい偽マーケットは「ANDROID EXPRESS の PLAY」という名前で、「Gcogle」社によって運営されていると自称しています。

図 1.偽の Google Play サイトの名前が書かれたアプリページ

このマーケットのドメイン名は 1 月 7 日に登録されています。奇しくも、シマンテックがこの詐欺に関するブログを公開したその日です。悪質な Android アプリの署名の発効日は、2013 年 1 月 9 日です。

詐欺はこれまでと同様に、Android アプリを宣伝するニュースレターに偽装したスパムメールの形で始まります。スパムメールのサンプルを以下に示します（図 2）。スパムの内容はさまざまですが、いつでも更新できるような文面です。

図 2. スパムメールのサンプル

詐欺師たちが新たに用意した偽アプリのラインアップは、以下の表のとおりです。スパムブロッカー、テレビ機能のない端末でテレビを見るためのビューア、有名シェフのレシピ、バッテリの放電など、目を引くような新しいタイプのアプリ名が登場しています。

図 3.偽マーケットのアプリページの例

この 9 種類のうち、どのアプリをダウンロードしようとしても、最終的には「Android 専用端末アプ」という名前の同じ悪質なアプリがダウンロードされます。このアプリを実行すると、デバイスの電話番号や、連絡先に登録されている名前とメールアドレスなどの個人情報がリモートサーバーにアップロードされてしまいます。

詐欺師グループがこの攻撃から手を引く気配はまったくないようですので、このイタチごっこはまだ当分続くものと考えなければなりません。日本の Android ユーザーを狙った同様の詐欺が、現在ほかに少なくとも 2 つ進行していることをシマンテックは確認していますが（Android.Enesolutyと Android.Ecobatry）、これらの偽マーケットサイトではコンテンツは更新されていません。

デバイスや情報を保護するために、不明な送信元からの電子メールに掲載されているリンクをクリックすることは避け、信頼できないベンダーからはアプリをダウンロードしないようにしてください。ノートン モバイルセキュリティや Symantec Mobile Securityなどシマンテックのセキュリティ製品をお使いのお客様は、この脅威（Android.Exprespamとして検出されます）から保護されています。スマートフォンやタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト（英語）を参照してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

シマンテックセキュリティレスポンスは先日のブログで、Java のゼロデイ脆弱性を狙った攻撃が Cool 悪用ツールキットによって拡散され、活動中であることをご報告しました。Cool 悪用ツールキットのほかに、Blackhole、Redkit、Impact といったメジャーな悪用ツールキットも、パッチ公開前の今回の脆弱性を悪用していることが確認されています。

シマンテックは現在、各種の悪用ツールキットで拡散されている JAR ファイルを Trojan.Maljavaとして検出しますが、さらに Trojan.Maljava!gen26の検出定義も追加したところです。

また、悪質な JAR ファイルや関連する悪用の試みを未然に遮断するために、シマンテックは以下の IPS シグネチャをリリースしました。

• Web Attack: Malicious Java Download CVE-2013-0422
• Web Attack: Java JMX RCE CVE-2013-0422
• Web Attack: Java JMX RCE CVE-2013-0422 2
• Web Attack: Exploit Toolkit Website 15

脅威を含む JAR ファイルを遮断すれば、悪質なファイルをダウンロードして実行してしまう恐れはありません。

インフィールドの遠隔測定から、IPS 技術は悪用ツールキットによる攻撃を毎日ほぼ 300,000 件も遮断していることが確認できます。今回の脅威の IPS 検出に基づいた以下の分布図を見ると、過去 1 週間の地理的な分布がわかります。
 

米国国土安全保障省は、この脆弱性を修正するパッチが公開されるまで、ブラウザで Java を無効にするよう勧告を出しました。

更新情報（2012 年 1 月 13 日） - Oracle 社からパッチが公開されました（英語）。Java をお使いの方は、できるだけ早くこのパッチをダウンロードしてインストールすることを強く推奨します。また、Oracle 社からは、この脆弱性についての詳しいブログ（英語）も公開されています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

Bonjour à tous et bonne année 2013...

La version 6 d'Altiris arrive en fin de vie Mars cette Année. Pour ceux qui utilisent "Patch Solution" et n'ont pas encore migré: Nous avons déjà validé avec Symantec que la solution "patch" en version 6, conservera la capacité de faire des mises à jour d'ici Mars 2014. Cela laisse un peu de marge. Merci à Symantec.

Vous trouverez ci-dessous un exemple de script, partagé par Gilles (Merci à lui), qui permet d'assurer la migration de l'agent des clients en version 6, vers la version 7:

@echo off

set MYALTIRISPATH=%programfiles%\Altiris

if exist "%MYALTIRISPATH%\Altiris7agent.log" exit 183

rem remove all plug-in et agent altiris

if exist "%MYALTIRISPATH%\Altiris Agent\AeXNSAgent.exe" start "" /b /wait "%MYALTIRISPATH%\Altiris Agent\aexagentutil.exe" /uninstallagents /clean

rem cleanup Setup folder

if exist "%MYALTIRISPATH%\Setup Files\." rd /S /Q "%MYALTIRISPATH%\Setup Files"

rem cleanup eXpress folder

if exist "%MYALTIRISPATH%\eXpress\." rd /S /Q "%MYALTIRISPATH%\eXpress"

rem cleanup Carbon Copy folder

if exist "%MYALTIRISPATH%\Carbon Copy\." rd /S /Q "%MYALTIRISPATH%\Carbon Copy"

rem cleanup Altiris Agent folder

if exist "%MYALTIRISPATH%\Altiris Agent\." rd /S /Q "%MYALTIRISPATH%\Altiris Agent"

rem install latest agent from altiris server msi

start "" /b /wait MsiExec.exe /i "AeXNSCInstSvc.msi" /qn

echo "Altiris 7 Agent install finished" > "%MYALTIRISPATH%\Altiris7agent.log"

Ce script a été mis en place dans un  "computer startup script". Par contre, le AeXNSCInstSvc.msi est un package customisé propre à l'installation spécifique à chaque environnement. Nous contacter pour le réaliser au besoin.

Bien à tous, et très bonne neige aux skieurs (ici, à Lausanne, c'est tout blanc )

RichCopy is a GUI interface for RoboCopy tool. This tool was originally developed in 1996 by Microsoft for internal use only but later they made it available for free public download.  An interesting feature as author declare is "Surprisingly it copies and moves files even faster than RoboCopy tool and XCOPY command. "

Main Features

• More powerful, faster and stable than than any other file copying tool.
• Create several profiles to assign special settings with a specific profile.
• Copy files from multiple and different locations and save in a single destination.
• Filter the files based on the date, time and choose to either copy or opt those files.
• Being on GUI, supports command lines.
• Suspend and resume file copy at any time..

Reference : RichCopy

Download : Microsoft Rich Copy 4.0

There are 3 ways Backup Exec 2012 can be licensed:

A. import a Symantec License File (SLF)
1. From the “Add Licenses” screen, click Import From File.
2. Browse to the location where to you saved the .slf file.
3. Select the SLF.
4. Click Open.

B. type the serial numbers (NOTE: This requires an Internet connection and the availability of port 443)
1. From the “Add Licenses” screen, enter the serial numbers that are listed on your license certificate.
2. Click Add.
3. Click Next to submit the serial numbers for verification.

C. install a 60-day trial version

Even after everything seems to be entered properly this problem can occur under the following circumstances:

Maintenance serial numbers were entered and not the Product serial numbers

During the installation in “Activate licenses for Backup Exec, agents, options, or maintenance contracts” look under the  "Product Name/Description" to verify which serial numbers were installed. Maintenance and Product serial numbers are identified here 

Product serial number checkboxes werent selected in "Select the products to install on this computer

 In the "Select the product to install on this computer" screen it shows the “Product” serial number and a checkbox. If nothing was checked, then Backup Exec 2012 will be installed as a Trial version 

 If Service Pack 1a has not been installed

When adding a new feature/agent licensing after the product was already licensed, prior licensed items may become deselected and put into trial mode. This issue was resolved by Backup Exec 2012 revision 1798 Service Pack 1a. See the Reference section below for information on this Service Pack.

http://blogs.wsj.com/deals/2013/01/15/symantec-put...

Security software company Symantec Corp. SYMC -0.19% has put Altiris Inc., a business it acquired for about $800 million in 2007, up for sale and is drawing interest from private-equity firms, people familiar with the process said.

Altiris, which provides IT management software that helps companies manage so-called “end point” connections such as laptops and mobile devices, is expected to fetch less than the amount it sold for, the people said.

Symantec paid $33 a share, or $830 million, for Altiris in 2007.

A Symantec representative didn’t respond to requests for comment Tuesday. (Update: a representative later declined to comment.)

The move to sell Altiris comes months after Symantec chairman Steve Bennett became chief executive in July, after former CEO Enrique Salem was removed amid the company’s underperformance. Mr. Bennett, a General Electric Co. GE +0.07% veteran who joined the board in 2010, has been leading a turnaround effort at the Mountain View, Calif. company that involves pruning bits and pieces of the business to focus on its main operations.

Symantec, with a market capitalization of around $14 billion, is best known as a provider of software that protects computers and networks from viruses and other threats. In 2005, it paid $13.5 billion to buy Veritas, branching out into the business of data storage management. However, that acquisition is widely seen as not having delivered the anticipated benefits.

Data volumes are exploding.  We see it all around us. The problem is that too much data can have a very negative impact on user productivity. Think about how long it takes to sift through emails after returning from vacation?  Consider how long it takes to complete a purchase on an Ecommerce sight on Black Friday?  The more data, the longer any of these processes take and the more time spent combing through more and more data.  The Informatica Application Information Lifecycle Management (ILM) team is working with Symantec and our customers to help them find ways to control the impact of ‘too much data’. We are helping them to define projects that improve their ability to meet SLAs and application performance, reduce costs and mitigate any compliance risks – all while IT budgets remain relatively flat.

If enterprises don’t take a proactive stance on managing data growth in both Structured and Unstructured data sources, data will slow down the business, take over the infrastructure, the data center, and the IT budget. Yet, deleting data is not as simple as it sounds.   The business users say they need it all.  Compliance officers say they need to keep it.

The problem is keeping all that data is not free.  As more data needs to be retained, more software licenses and infrastructure needs to be budgeted for.  Faster storage and more powerful servers will be necessary; otherwise expect slower application performance and backups potentially not completing in the allotted timeframes.

Enterprise Data Archiving is a solution many organizations turn to address these challenges.  By classifying and archiving aged or inactive data to an online accessible archive, production data volumes can be significantly reduced.  At the same time, data can be managed according to regulatory retention policies with integrated eDiscovery and Legal Hold support.  These translate into both hard and soft dollar savings – including lower hardware and software costs, improved application performance and streamlined operational efficiencies – such as faster backup and recovery windows - not to mention simplifying audits and improving compliance.

These benefits are amplified when the solution can scale across the enterprise and support a Hybrid IT environment with consolidated management.  The need exists for technology that supports all data types and can simultaneously abstract policy definition, administration, and enforcement from the physical data.  With the alignment between Informatica and Symantec, our joint solution for the Enterprise Data Archive is better together to offer a comprehensive solution for both structured and unstructured data.

CIOs and application owners are working together to evaluate solutions that can archive data across a variety of enterprise applications and platforms, a variety of data including both structured and unstructured data, and in multiple locations - on premises or in the cloud. Informatica and Symantec are working closely to help facilitate the dialog to ensure optimal customer success.  To get started, Informatica with Symantec will be co-hosting an educational webinar on January 23rd to share information about how these solutions work and how to get started by building a business case.  Please join myself and Mark Olsen from Symantec for a great dialog.  Don’t miss out by registering here:

http://vip.informatica.com/?elqPURLPage=10695&RM=DC-2013Q1-RM-ILM-DataArchiveSymantecWBR-Symantec

It is a term that many people in Enterprise Vault will know about.  It is used in Enterprise Vault File System Archiving, but even if you don't use FSA then you may still know what it is.  Essentially it's a 'shortcut' or stub which points to the archived file.  In order to process the retrieval of a placeholder then the Enterprise Vault placeholder service has to be involved.  If that isn't working, then retrieval of the item is going to fail.  It appears when you look at it in Windows Explorer to be exactly the same as the original file (except the little X in the icon), but it is in fact a special file which when an application opens the file (even notepad) forces Enterprise Vault to retrieve the original file.

Placeholders can be used when:

* The FSA Agent is installed on the file server (in the case of a Windows based file sever).  The volume must also be NTFS.

* If the location is a NetApp filer then the Vault Service Account has to have administrative permissions

* If the location is an EMC Celerra then the 'filemover' functionality must be available and a HTTP connection must exist to the device.

Here is what a placeholder might look like:

When archiving FSA data if something is left behind, it can be either a placeholder or an internet shortcut.  This is on the folder and volume policies in the Vault Admin Console:

An internet link or internet shortcut as it is sometimes known as, looks like this:

In this case essentially each file properties (when viewed in Windows at least) shows the URL to the archived item, like this:

http://evserver.ev.local/EnterpriseVault/download.asp?VaultID=some-vault-id&savesetID=some-saveset-id&Request=NativeItem 

An advanced cyber-espionage network targeting high-profile organizations and governments has recently been unveiled. The main attack method being used in this campaign is spear phishing.

The spear phishing emails contain Word document or Excel spreadsheet attachments that exploit three known vulnerabilities in order to compromise computers. The vulnerabilities used are:

• Microsoft Excel 'FEATHEADER' Record Remote Code Execution Vulnerability (CVE-2009-3129) – MS Excel, detected as Bloodhound.Exploit.306
• Microsoft Office RTF File Stack Buffer Overflow Vulnerability (CVE-2010-3333) – MS Word, detected as Bloodhound.Exploit.366
• Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158) – MS Word, detected as Bloodhound.Exploit.457

Another attack method exploits the Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability (CVE-2011-3544) and is detected as the following:

• Trojan.Maljava
• Trojan.Maljava!gen27

This exploit is also blocked by our Intrusion Prevention Signatures:

• Web Attack: Oracle Java Rhino Script Engine CVE-2011-3544
• Web Attack: Oracle Java Rhino Script Engine CVE-2011-3544 3

Initially, samples of this malware were being detecting as Backdoor.Trojan. We have since broken out the following additional specific detections:

• Backdoor.Rocra
• Backdoor.Rocra!gen1
• Backdoor.Rocra!gen2

Figure 1. Backdoor.Rocra distribution
 

Figure 2. Backdoor.Rocra targets
 

Below is an example of a spear phishing email associated with this campaign and blocked by Symantec Mail Security for Microsoft Exchange:
 

Figure 3. Backdoor.Rocra spear phishing email with attachment
 

Figure 4. Backdoor.Rocra malicious spear phishing attachment
 

This is not the first time that a high-profile attack campaign has used spear phishing emails and, as a popular method, it likely will not be the last . However, we are now seeing increased adoption of watering hole attacks being used in campaigns (compromising certain websites likely to be visited by the target organization). For more information on watering hole attacks, read our paper on The Elderwood Project.

We advise users to ensure that operating systems and software are up to date and to avoid clicking on suspicious links and opening suspicious email attachments.

If you want to read more about the Red October campaign, Kaspersky has released a paper entitled "Red October" Diplomatic Cyber Attacks Investigation.

Una avanzada red de ciberespionaje dirigida a organizaciones de alto perfil y gobiernos ha sido recientemente descubierta. El método de ataque principal que se utiliza en esta campaña es lo que llamamos spear phishing (ataques dirigidos a través de correo electrónico).

Los correos de spear phishing enviados contienen un documento de Word o archivos adjuntos de hojas de cálculo de Excel que explotan tres vulnerabilidades conocidas con el fin de comprometer las computadoras. Las vulnerabilidades más usadas son:

• Microsoft Excel 'FEATHEADER' Record Remote Code Execution Vulnerability (CVE-2009-3129) – MS Excel, detectado como Bloodhound.Exploit.306
• Microsoft Office RTF File Stack Buffer Overflow Vulnerability (CVE-2010-3333) – MS Word, detectado como Bloodhound.Exploit.366
• Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158) – MS Word, detectado como Bloodhound.Exploit.457

Otro método de ataque explota la Vulnerabilidad de Oracle Java SE Rhino Script Engine Remote Code Execution  (CVE-2011-3544) y es detectada como:

• Trojan.Maljava
• Trojan.Maljava!gen27

Este exploit también es bloqueado por nuestras firmas de Prevención de Intrusiones: 

• Web Attack: Oracle Java Rhino Script Engine CVE-2011-3544
• Web Attack: Oracle Java Rhino Script Engine CVE-2011-3544 3

Inicialmente, las muestras de este malware eran detectadas como Backdoor.Trojan. Desde entonces, las hemos dividido en las siguientes detecciones que son más específicas:

• Backdoor.Rocra
• Backdoor.Rocra!gen1
• Backdoor.Rocra!gen2

Figura 1. Distribución de Backdoor.Rocra

Figura 2. Objetivos por sectores de Backdoor.Rocra

A continuación mostramos un ejemplo del correo de spear phishing asociado con esta campaña y bloqueado por Symantec Mail Security para Microsoft Exchange:

Figura 3.Correo de spear phishing de Backdoor.Rocra con archivo adjunto

Figura 4. Contenido del archivo adjunto malicioso del spear phishing de Backdoor.Rocra

Cabe mencionar que esta no es la primera vez que una campaña de ataque de alto perfil ha utilizado correos electrónicos de spear phishing, como un método popular y es probable que no sea la última. Sin embargo, ahora estamos viendo una mayor adopción de riesgo de ataques de tipo watering hole los cuales se utilizan en las campañas de ataque (comprometiendo ciertos sitios web que pueden ser visitados por la organización a la que se busca atacar).

Aconsejamos a los usuarios asegurarse de que sus sistemas operativos y el software estén actualizados y no hacer clic en enlaces dudosos, además de evitar  abrir archivos adjuntos de correos electrónicos que parezcan sospechosos.

Para obtener más información sobre los ataques de watering hole, puede visitar el blog que hemos preparado  con preguntas y respuestas sobre este tipo de ataques o consultar el informe de Symantec sobre Elderwood Project publicado en 2012.

Más información sobre la campaña Octubre Rojo (Red October), aquí.

The traditional network architecture for carriers is under a fundamental change to meet the requirements of today's enterprises and end users. Industry standards that are aimed at simplifying and driving costs out of traditional networks are being driven by the need to be competitive and cost effective. Recently an industry led initiative called the Open Network Foundation (ONF) is leading an effort to do just that. They are working on an architecture called Software Defined Networks (SDN) that is transforming the network architecture of the future. This architecture is squarely targeted at taking the current inefficiencies of proprietary networks and improve costs, automation and innovation while improving control, reliability and security.   Symantec has a number of solutions that play a significant role in how SDN is deployed.  Key areas include: 

• Security
• Availability
• Virtualization 
• Recovery

Symantec invites you to attend a Light Reading online symposium, The Future of Software-Defined Networking, on February 5, 2013 from 10:00 am-2:00 pm.  This symposium is targeted at hearing from industry experts on how SDN will be deployed and used to achieve these goals. You will hear about:

• Carrier infrastructure
• Optical networks
• Cloud-based services
• Application Delivery

Symantec’s Chip Epps, Principal Security Product Management, will speak about our insights around security, availability, virtualization and recovery. You will also hear from carriers, application providers and analysts on their insights about SDN. This will provide excellent industry insight for anyone that is concerned about deploying next generation networks.  We hope you will join us.  

Event Details:
Light Reading Online Symposium – The Future of Software-Defined Networking
February 5, 2013 – 10:00 am-2:00 pm
REGISTER HERE

There are many reason for the client offline status. Below are the some reason with resolution

1. Systems are in unmanage condition.
https://www-secure.symantec.com/connect/downloads/solution-doc-manage-unmanaged-system-sep-1106005

https://www-secure.symantec.com/connect/downloads/sylink-replacer

https://www-secure.symantec.com/connect/downloads/script-convert-unmanaged-system-managed-system

https://www-secure.symantec.com/connect/downloads/image-installation-system-problem

2. Client communication issue.

Port is not open for the same systems Vlan. Open the port 8014 from firewall (http://management_server_address:8014/secars/secars.dll?hello,secars) Answer Come Ok then port is opened

&

Troubleshooting Client Communication with SEPM

Symantec Endpoint Protection: Troubleshooting Client/Server Connectivity

3. System is power Off/Sleep Mode
Manually go to the place of system and wake up the system. Wake on lan utility is alos helpfull in same.

4. System in Safe Mode.

Best solution for the safe mode is to disable this option through group policy because USB is accessible in Safe Mode and it against the security.

5. Proxy Setting issue
 

Below step are helpfull in in Proxy Block issue

Checked the client status: offline
Took the backup of the registry
Delete the following registry keys:
 HKEY_USER\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
 HKEY_USER\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
Set the proxy enable in the registry to 0 under HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Uncheck the proxy setting option in the internet options settings.
Reboot the system.
Check the client status : online/reporting to the server

Over the last 10 years, Hillsborough County Public Schools (HCPS) in Southwestern Florida saw an influx in the use of technology in schools. With over 267 school sites and more than 85,000 endpoints, it became imperative to select a solution that simplified and centralized management of its IT environment. To resolve this issue, HCPS selected a variety of solutions from Symantec. As a result all 85,000 endpoints are secure and can be remotely managed for convenience to faculty and staff. Risk posture was improved, but most of all management was simplified with automatic updates that deploy quickly and efficiently. To learn more about how Symantec solutions help simplify endpoint management and protection at HCPS, check out this link http://bit.ly/V676DD