AVG REDISEÑA SU PROGRAMA DE CANAL PARA SUS PARTNERS

La empresa de seguridad AVG está renovando su programa de canal para premiar a los socios que más demuestren sus capacidades en la comercialización de tecnologías.

Los cambios realizados en el programa de canal del fabricante holandés implicarán que los partners tendrán que invertir en la formación y certificación de ingenieros y profesionales de ventas para cualificar los niveles más altos.

El programa está dividido en tres niveles: Select, Premium y Elite. Los partners Elite necesitarán disponer de tres ingenieros y tres profesionales de ventas certificados en AVG; los partners Premium deberán contar con dos ingenieros y dos de ventas certificados; y Select con una persona de ventas y un ingeniero certificados. Asimismo, para entrar a formar parte de este programa no hay requisitos de ventas ni de ingresos.

Tal y como ha explicado Fred Gerritse, director general de AVG Business, “la formación es el aspecto más importante si los partners quieren alcanzar los niveles más altos de certificación. Todos los beneficios están relacionados con el número de personas que forman. Cuántos ingresos pueden generar y el volumen no es tan importante para nosotros. Necesitamos partners que tengan experiencia, que conozcan nuestro producto saber de lo que están hablando”.

Según Gerritse, mientras que los márgenes del partner dependen del valor que puedan añadir, pueden hacer un promedio de un 20-25% de margen a través de la venta de producto. Además, el responsable apunta que trayendo nuevos negocios otorgará de 5 a 10 puntos porcentuales adicionales en sus márgenes. En palabras de Gerritse, “tenemos algunos mayoristas en Europa, la idea es tener un VAD en cada región de ventas. No es nuestra intención tener muchos, necesitamos un foco especial en seguridad por lo que necesitamos que estén bien informados sobre nuestro producto”.

AVG seguirá centrando sus miras en el mercado de la pequeña y mediana empresa manteniéndose alejado del segmento de la gran empresa para diferenciarse de otras firmas como Cisco. Además, la compañía priorizará la formación y el fortalecimiento de los partners actuales.

Fred Gerritse, director general de AVG Business

EJECUCION REMOTA DE COMANDOS EN PRODUCTOS TREND MICRO .

Una vez más sale a la luz una vulnerabilidad reportada por Project Zero
de Google. En esta ocasión diversos productos Trend Micro se ven
afectador por un sencillo problema que podría permitir la ejecución
remota de comandos arbitrarios.

Tavis Ormandy, el conocido investigador de Google, ha descubierto un
stub remoto de depuración de Node.js en los productos Trend Micro
Maximum Security, Premium Security y Password Manager. El propio Tavis
ha calificado el fallo como ridículo.

Un stub es una clase que implementa la interfaz remota de forma que
cualquiera puede utilizarla como si se tratara de una local. Básicamente
se trata de un servidor que implementa ciertos métodos sobre los cuales
se puede ejecutar código Javascript. Este tipo de sistema es usado en
labores de depuración pero, tal y como suele ser habitual en este tipo
de funcionalidad, su explotación suele ser trivial mientras que su
impacto puede llegar a ser crítico si este servicio llega a publicarse
en producción.

El problema es realmente sencillo de explotar. Con la configuración por
defecto al arrancar los productos afectados el stub de depuración
Node.js se inicia y escucha en localhost, el único problema reside en
que el puerto de escucha puede cambiar.

De forma que para explotar el fallo basta con realizar algo similar:
http://localhost:Puerto/json/new/?javascript:require('child_process').spawnSync('calc.exe')
Basta un sencillo bucle para encontrar el puerto en el que el stub se
encuentra a la escucha.

https://twitter.com/taviso/status/715209576526667776

El problema se reportó a Trend Micro el 22 de marzo, que reaccionó
rápidamente y publicó un parche temporal el día 30. Según el
investigador, en determinadas circunstancias, aun con el parche
provisional instalado, podría seguir siendo vulnerable. De todas formas,
dada la gravedad del problema, Trend Micro ha publicado ya versiones
actualizadas y trabaja en una versión definitiva.

No es la primera vez que Tavis Ormandy centra sus descubrimientos en
productos de seguridad, incluyendo Kaspersky, FireEye, ESET o Sophos.

El pasado septiembre, el investigador también avisó de fuertes
evidencias de la existencia de un mercado negro muy activo en
vulnerabilidades en productos de seguridad. Por esta razón consideraba
que los fabricantes de productos de seguridad tienen la responsabilidad
de mantener los más altos estándares de desarrollo seguro para minimizar
el posible daño potencial causado por su software.