Seguridad archivos - Página 14 de 41 - SmythSys IT Consulting

¿Por qué entran virus en empresas grandes como Telefónica? Ransomware

David G. Smyth (SmythSys) / 13 mayo, 2017

Hace unos días hemos tenido un ataque que ha afectado a muchas empresas en más de 70 países. En España la más famosa entre los afectados es Telefónica, en Inglaterra los hospitales. Se rumoreaba que, en España, hubiera afectado (y seguro que lo ha hecho) a muchas otras grandes. Mucha gente estaba haciendo bromas sobre por qué entran virus en empresas como Telefónica, y muchos otros haciendo bromas sobre cómo “se la han colado” a Chema Alonso, el famoso hacker (=experto en seguridad), Chief Data Officer de Telefónica y del que tanto hablamos aquí. Los que hemos gestionado varios sistemas, o hemos trabajado en IT (TIC) en empresas grandes comprendemos un poco más qué ha pasado, de hecho en SmythSys lo comentábamos en el momento de la noticia, y este post (que puede que nadie lea), intenta explicar un poco las razones para los que no sean profesionales de informática. Os dejamos varios puntos que creo que aclaran un poco más el tema. Lo primero comentar que, como ha dicho Chema en Twitter, el no es responsable de la seguridad de la LAN (intranet de usuarios y zona afectada) de Telefónica. No puede estar en todo, tiene otras responsabilidades. Para más inri estaba de vacaciones como ha comentado en un gran post. Aún así fue de los primeros en dar la cara, dejó las vacaciones y ayudó a sus compañeros. Lo siguiente es informar de manera resumida (y espero que no muy técnica) cómo se infectaron los sistemas. Fue por un virus ranswomare (WannaCry). Este virus aprovecha un agujero de seguridad (MS17-010) descubierto y “pacheado” (tapado) en Marzo de este año. De hecho forma parte de los agujeros de seguridad que comentamos hace días. Por eso hemos bromeado en Twitter que si Telefonica nos hubiera leído….Si, como si toda una gran empresa va a leer un blog de una pyme. Además no es realista por lo que vamos a comentar más abajo. La entrada del virus es la más frecuente en estos casos, un correo que tiene un adjunto, o un enlace con el virus. El famoso ataque masivo que dice la prensa no es mas que un montón de correos enviados con este enlace. Alguien abre el correo, y pincha donde no debe, se descarga el virus. Por lo tanto la entrada es un usuario que se equivoca. El virus, mientras cifra el contenido de algunos ficheros del ordenador, busca en la red otros ordenadores con la vulnerabilidad. Cuando detecta ordenadores que no están “pacheados”, los infecta. Es decir sólo afecta a ordenadores que no tienen el parche instalado. Cuando un ordenador se infecte, lo mejor es desconectarlo directamente de la red, como hicieron los de Telefónica. Hacer que no afecte a otros equipos. La pregunta que surge entonces (y ahí está una de las claves) es, ¿por qué no aplicaron el parche a todos los equipos? Esto sería lo más razonable, pero no es posible en las grandes empresas. Es muy común tener, en estas empresas, versiones antiguas de sistemas operativos en equipos antiguos. Y sistemas sin parchear. ¿Por qué? Porque tienen muchas equipos con muchas configuraciones distintas. En ellos, muchas veces, hay programas (contabilidad, de gestión, de diseño, hechos a medida, antiguos….) que sólo funcionan con ciertos equipos o versiones de Windows, IE etc. Estos programas suelen ser MUY importantes, y cualquier actualización hay que probarla antes, para que no afecte al funcionamiento del equipo o del programa. No podemos instalar actualizaciones a lo loco, y de repente, ver que nuestro departamento de contabilidad no puede facturar, o que hemos hecho que decenas de ordenadores no arranquen. Esto hace que, en las grandes empresas, siempre existan equipos “vulnerables”. Hay ciertas cosas que la gente debe entender y se refleja muy bien en este caso. NO ES POSIBLE evitar 100% una infección de virus, ni las grandes pueden. Sólo puedo reducir el riesgo y tener mecanismos que minimicen el impacto. Tener copias de seguridad y un plan de acción o contingencia por si ocurre algo parecido. Los informáticos solemos estar acostumbrados a aplicarlos. Cuidado con los ransomware…no hace nada de gracia que te infecte uno de esos virus. Son un riesgo serio del que llevamos tiempo avisando. El punto más inseguro de un sistema son siempre los usuarios. Las infecciones suelen entrar por un usuario que comete un error. Y no hay antivirus, o firewall que evite esto. De nada sirve una verja enorme y una alarma buena, si el usuario abre la puerta y deja pasar al ladrón. No abráis correos de desconocidos ni pinchéis donde no sabéis ¡¡¡LECHE!!! Los parches de Windows no son una tontería. Los particulares y PYMES debemos tener los sistemas actualizados, es una medida esencial para evitar infecciones (reducir el riesgo). Las grandes…lo tienen más difícil.

Seguridad, Sistemas, Trucos

Crear clave pública y clave privada con puttygen para conectarse por SSH

David G. Smyth (SmythSys) / 12 mayo, 2017

Cuando queremos conectarnos por SSH a un servidor, puedes hacerlo por usuario y contraseña o, más seguro, por clave pública y clave privada. Hoy os enseñamos cómo generar estas claves. Este método de clave pública y clave privada quiere decir que en tu ordenador tienes la clave privada y pones en el servidor la clave pública. Entonces al conectarte el servidor pedirá la clave privada correspondiente a esa púbica. Además podemos usar usuario y contraseña y queremos otra capa más. Recomendamos que uséis este método en vuestras conexiones ssh. Para descargaros puttygen tenéis que ir a la página del creador de putty que es esta: https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html Después tenéis que seguir el proceso que indicamos en el vídeo:

Noticias Informáticas, Seguridad, Servidores, Sistemas

Vulnerabilidad descubierta en Intel con AMT que lleva unos 10 años presente

David G. Smyth (SmythSys) / 8 mayo, 2017

Estos días ha salido a la luz una vulnerabilidad de ciertos chips Intel que, según parece lleva casi 10 años activa. Desde el 2008. En teoría, la vulnerabilidad afecta sólo a aquellos chips que incluyan los servicios Intel Active Management Technology (AMT), Intel Standard Manageability (ISM), e Intel Small Business Technology. Estos servicios se crearon para que los administradores de sistemas pudieran conectarse remotamente a los servidores y realizar tareas de gestión. Es una conexión anterior al sistema operativo y por lo tanto se salta antivirus, firewalls etc. Así que la vulnerabilidad tiene peligro. Más información aquí. En teoría debería ser sólo para productos de empresa. Pero empresas como Lenovo ya ha sacado una lista de productos afectados y algunos son productos de usuario final. Los rumores son que Intel estaba incluyendo ATM y sus variantes en todos los productos que hacía. Y que en algunos no es suficiente con no tenerlo activado, siguen funcionando ciertos servicios. Si tenías ATM o sus variantes activas tus máquinas son accesibles desde fuera. Pero si no, puede que lo sean desde tu LAN. Solución: Lo primero es ver si tu ordenador/servidor está afectado. Intel ha sacado una herramienta para detectarlo, y una guía. Si tu máquina es Linux mira este artículo. Si está afectado Intel recomienda ir a tu fabricante y ver si hay un parche. Porque está proporcionando dichos parches a los fabricantes de equipos. Si no hay parche todavía, Intel ha sacado una “guía de mitigación” para disminuir los problemas. También parece ser que puede ser buena idea desactivar el servicio “Local Manageability Service“.

Antivirus, Limpieza de PC, Seguridad

Sitios para encontrar programas para limpiar virus ransomware

David G. Smyth (SmythSys) / 27 abril, 2017

Ya hemos hablado mucho del ransomware, esos virus con los que, si te infectas, corres el riesgo de perder todos tus datos porque los cifra y pide un rescate. La parte “buena” es que muchos usuarios están descubriendo, a las malas, que no pueden seguir con Windows XP (sistemas muy vulnerables) y deben tener copias de seguridad (casi el único modo real de protegerse contra el ransomware). ¿Qué hacer si te ha infectado un ransomware? Lo más seguro es que sea una versión “nueva” de estos virus. Las versiones nuevas no tienen cura todavía o tienen mecanismos de seguridad potentes. Así que, seguramente o tienes una copia de seguridad o estás perdido. Puedes intentar recuperar datos con herramientas de rescate de ficheros, con restaurar archivos o Shadow Explorer en verisones Windows 7 en adelante. Pero suelen borrar estas copias. Si tienes una copia en un Cloud suele infectarse, pero puedes restaurar los ficheros. Aunque entonces verás que seguramente tendrás que ir uno a uno en miles de ficheros. Eso si, puedes tener suerte y que, o te ha infectado una versión antigua, o ya tiene “cura”. Así que os dejamos dos sitios fiables donde podéis buscar estas curas: Trend Micro Ransomware File Decryptor: Una herramienta de Trend Micro que actualizan a menudo. Entra y mira a ver si la herramienta cura tu versión. Virus Fighting Utilities de Kapersky. Kapersky comparte en este enlace varias páginas de herramientas específicas para diferentes tipos de virus y para ransomware específicos. Ransomware Screen Unlocker. Si tu ransomware es de los que no te dejan hacer nada en la pantalla. Este es un primer paso para desactivar ese bloqueo. Avast Ransomware Tools. Aquí tiene Avast las herramientas de limpieza de ransomware que va desarrollando. AVG ransomware tools. Aquí las pocas de AVG. Herramienta de Bitdefender: para limpiar ransomware. Espero que os ayude….pero recordad ¡PREVENCIÓN! Copias de seguridad, sistemas actualizados y cuidado con lo que abrís….esa es la mejor defensa.

Compartir, Información Tecnica, Seguridad

Chema Alonso. ¿Sabes lo que pasa cuando aceptas una app?

David G. Smyth (SmythSys) / 24 abril, 2017

Hemos escrito, en nuestro afán de informar al público en general, artículos sobre el peligro de usar aplicaciones chorras en Facebook, cosa que seguimos viendo que hace la gente (no nos hacen mucho caso jejeje). Relacionado a esto hicimos otro sobre las solicitudes de amistad de gente que no conoces. También escribimos hace unos días un artículo que informa sobre la cantidad de información que tienen los operadores móviles sobre los usuarios. Este artículo (por lo menos a nosotros) asusta. Recomendamos ver también la película Snowden, tiene información interesante sobre lo que saben los gobiernos sobre nosotros y cómo. Hoy os dejamos un vídeo de Chema Alonso, experto en seguridad del que compartimos mucho aquí, explicando los mismos peligros a los que nos referimos. Qué pasa cuando das “si, acepto” a una aplicación. Como dice en el vídeo, estamos pagando con nuestra privacidad. NO SON GRATIS. Cedes tu privacidad. Si te parece bien (y a muchos nos parece bien en varios servicios), ok. Pero hay que saberlo.

Compartir, Seguridad, Trucos

Vídeo sobre cómo usar Keepass para gestionar contraseñas. No tenéis excusa.

David G. Smyth (SmythSys) / 21 abril, 2017

Ya os hemos hablado mucho de Keepass, el programa que usamos para gestionar contraseñas. Y todavía nos encontramos con clientes que usan la misma contraseña o unas sencillas. Así que hemos decidido mostraros las ventajas de Keepass. Lo sencillo que es tener contraseñas fuertes, que ni conoces, y copiarlas y pegarlas desde tu ordenador o smartphone hasta el cuadro de iniciar sesión. Ya no tenéis excusa.

Noticias Informáticas, Seguridad, Sistemas

Vulnerabilidad 0 day en más de 300 switches de Cisco. Desactiva Telnet

David G. Smyth (SmythSys) / 20 abril, 2017

La vulnerabilidad, anunciada por CISCO, se ha detectado el 17 de Marzo y actualizado el 17 de Abril. Lo han anunciado en esta notificación, donde puedes ver también la lista de modelos afectados, más de 300. La vulnerabilidad se ha detectado mientras se analizaban los documentos Vault 7, la lista de herramientas de hackeo de la CIA hecha pública en Marzo por WikiLeaks. A saber cuanto más saldrá en los próximos días (son 8.761 documentos). El agujero de seguridad permite a un usuario no identificado reiniciar el dispositivo, o ejecutar código malicioso con privilegios elevados. Todo en remoto. La vulnerabilidad puede ser aprovechada durante la negociación del Telnet sobre IPv4 o IPv6 si la configuración del clúster es la de por defecto. Los dispositivos afectados son, según CISCO, vulnerables cuando se cumplen las dos condiciones siguientes: El subsistema CMP está presente en el software de imagen Cisco IOS XE en ejecución en el dispositivo. El dispositivo está configurado para aceptar conexiones Telnet. Para poder comprobarlo podéis ejecutar en el dispositivo, en un CLI con privilegios, el comando: show subsys class protocol | include ^cmp Si el resultado es del tipo: cmp Protocol 1.000.001 Tiene el subsitema CMP (cumple la condición 1). Para saber si acepta conexiones Telnet podéis ejecutar en un CLI: show running-config | include ^line vty|transport input Solución: Como dice Cisco, aunque están desarrollando parches: “There are no workarounds that address this vulnerability. Disabling the Telnet protocol as an allowed protocol for incoming connections would eliminate the exploit vector. Disabling Telnet and using SSH is recommended by Cisco. Information on how to do both can be found on the Cisco Guide to Harden Cisco IOS Devices.” Es decir desactivar Telnet y usar SSH en vez del primero. Aunque eso es algo que, por seguridad, ya deberíais haber hecheo. Si no, es el momento.

Noticias Informáticas, Seguridad

Paquete de actualizaciones de esta semana y exploits de Shadow Brokers

David G. Smyth (SmythSys) / 17 abril, 2017

Muchos de los usuarios habréis visto esta semana santa como vuestros Windows se ponían a descargar e instalar un paquete de actualizaciones de esos que llevan un tiempo. La razón es por el grupo de hackers Shadow Boxers, quienes supuestamente fueron los únicos en hackear a la NSA. Durante ese hackeo, supuestamente se llevaron herramientas que han estado intentando vender en el “mercado negro”. La semana pasada publicaron un post en el que decían compartir parte de esas herramientas con el público en Github. Evidentemente esto ha producido que tanto Microsoft, como los expertos de seguridad se pusieran a analizar dicho contenido. Por lo que parece mucho de este contenido afecta sólo a ordenadores con SO anterior a Windows 7, aunque algunos afectan a ordenadores más actuales. Como los sistemas anteriores a Windows 7 ya no se parchean, estamos ante otra razón más para actualizar los ordenadores de nuestras empresas o nuestros ordenadores particulares. Microsoft ha publicado y corregido (algunas ya se habían corregido antes), en las instalaciones de esta semana, los agujeros de seguridad o fallos que puede haber detectado. Así que os recomendamos que actualicéis. Parece ser que esto todavía traerá más cola porque ni sabemos si han publicado todo, ni se ha podido evaluar bien todo el contenido. Además , lo publicado no sólo afectaba a sistemas Windows, sino también a herramientas de hackeo de sistemas bancarios SWIFT usados en transferencias internacionales.

Compartir, Opinión, Seguridad

¿Por qué nos vigilan y qué datos nuestros tienen las operadoras móviles? Caso de Malte Spitz

David G. Smyth (SmythSys) / 12 abril, 2017

Nos oiréis mucho a la gente de informática, de seguridad o de comunicaciones diciendo “nos espían”. Nos espían a través del sistema operativo de nuestros ordenadores, tablets y móviles. Lo hacen a través del hardware de nuestros dispositivos, lo hace Facebook, lo hace Twitter, lo hace WhatsApp, lo hace Google…. Como dice un compañero de nuestro equipo, Alejandro: “hoy en día, si tenemos suerte,sólo podemos elegir quién nos espía“. ¿Para qué? PARA VENDERLO. Para sacar dinero. Hoy os queremos mostrar ejemplo de la cantidad de información que tienen las operadoras móviles, con los datos de nuestros teléfonos móviles. Datos que muchas veces no sabemos que estamos proporcionando. Datos que antes era mucha información suelta…pero con el Big Data, ahora mismo es posible procesarlo, ponerlo en gráficos, en mapas y sacar conclusiones. Sacar conclusiones de tendencias, posicionamiento etc… Como dice esta gran charla de TED, la culpa no es de los que nos espían, tenemos que “poner cortinas en nuestras casas“. Empezar a usar criptografía, y un poco el sentido común. Y si alguien quiere algo de nosotros que pida una orden judicial. Hasta aquí no es mas que la paranoia de unos informáticos, así que os dejamos la historia de Malte Spitz a modo de ejemplo. Malte es un alemán que solicitó a Deutsche Telekom toda la información que tenía la operadora de él. Tras varias demandas, y gracias a una ley europea, le mandaron 6 meses de información en un CD. 35 830 líneas de código. Malte no podía hacer mucho con eso, así que se lo dio a una empresa, que combinaron dicha información con los datos públicos de Malte (feeds de Twitter, blogs, webs….) y lo colgaron en una web de modo gráfico y con geolocalización. Podéis ver la web aquí, y los resultados asustan. Mucho (o debería). Se puede ver día a día lo que hace Malte, cómo va de un sitio a otro, por dónde, con qué transporte, cuantas llamadas realiza, cuantos mensajes, las conexiones a Internet, cuando se va a dormir, cuando come… Todo por la información del móvil. Si ahora sumáis esto a la información de toda la gente que tiene móvil, y tienes la capacidad de almacenar esto en ordenadores que manejen grandes datos y los organicen (que ya existen), es fácil crear agendas de los hábitos y costumbres de la sociedad, o miembros de la sociedad. Como dicen en los vídeos, imaginaos que los nazis hubieran tenido esto sobre los judíos, o lo que pueden estar haciendo gobiernos totalitarios sobre dicha información. Así que recordad, que no podéis evitar que traten de espiaros (lo hacen muchos organismos constantemente), pero si podéis , y tenéis el derecho, cerrar vuestras comunicaciones, cifrarlas y conservar la privacidad de vuestros datos. Vuestros datos y conversaciones son privados. Pero nadie a asegurar esa privacidad, tenéis que hacerlo vosotros. Iremos explicándoos como para aportar nuestro granito de arena en esto de la privacidad con los móviles. Ya comentamos algo de VPNs en Android. Por ordenador, ya hemos explicado cómo usar VPN, Tor, distribuciones como Tails etc.

Compartir, Redes Sociales, Seguridad

Aplicaciones de Facebook tipo ¿a qué famoso te pareces? Riesgos al usarlas.

David G. Smyth (SmythSys) / 31 marzo, 2017

Todos tenemos muchos amigos en Facebook que no paran de compartir los resultados de usar aplicaciones del estilo: “¿A qué famoso/superhéroe/modelo te pareces?”, “Qué tipo de guerrero/animal fantástico/alienígena serías?”, “¿qué puntuación obtienes en esta prueba sólo para gente inteligente?” y similares. Hay modas, hace tiempo eran “Averigua quién visita tu perfil“(algo imposible en FB). Cuando veo estas publicaciones me vienen varias frases a la cabeza. La primera es ¡cuanto tiempo libre tiene la gente!, la segunda ¡ya puede dormir tranquilo después de resolver una duda tan trascendental!, y la última es ¿de verdad no se dan cuenta de dónde están cayendo? Al final, me doy cuenta que los usuarios desconocen por qué existen estas aplicaciones y los riesgos que corres al usarlas. Porque nadie desarrolla una aplicación y la mantiene, por sencilla que sea, si no va a obtener algo a cambio. Os dejo este artículo de Silvia Barrera evaluando una de ellas, pero yo quiero resumiros los peligros de dar acceso a estas aplicaciones sin tener consciencia de lo que buscan en vuestros perfiles, y contaros cómo gestionarlas. ¿Que buscan esta aplicaciones? Si bien es cierto que antes muchas de ellas se comportaban como un virus de manera muy directa, Facebook controla algo más eso ahora. Las que intentan infectarte con un virus o malware, lo hacen de manera indirecta: intentan que veas publicaciones atractivas (iphones, fotos/vídeos de mujeres desnudas, publicaciones pornográficas etc) para llevarte a páginas externas que son las que te infectan. Estas aplicaciones existen, pero no son la mayoría. ¿Por qué dedica alguien recursos y dinero en crearlas? Está claro, como todo en la vida, PARA SACAR UN BENEFICIO ECONÓMICO. Obviamente es indirecto, no te piden dinero a tí. Pero todo es por la pasta. Cada aplicación pide permisos diferentes, que solicita al hacer clic en ellas. Pero seamos realistas ¿quien de vosotros lee esos permisos? Nadie. Todos hacéis clic en aceptar sin pensar. ¿Qué consiguen de ti? Varias cosas: Datos personales. No sabes cuánta información pueden sacar de tu perfil de Facebook. Asssange lo llama la “horrorosa herramienta para el espionaje estadounidense“. Quiero enumerar algunas según el acceso que deis (depende de la aplicación y la seguridad de tu perfil): – Nombre y apellidos. – Ciudad en la que vives. – Idioma. – Tu foto de perfil. – Dirección de e-mail – Empresa donde trabajas y cargo. – Ubicación geográfica y dirección IP. – Sexo y edad (cumpleaños). – Acceso a tus fotos y vídeos. – Acceso a las publicaciones de tu muro. – Acceso a tu lista de amigos. – Navegador y dispositivos que usas (móviles y PCs/portátiles). – Horas y hábitos de navegación. Dónde sueles hacer clic en Facebook y cómo. – Miden cómo respondes a los cuestionarios, con datos de tiempo de respuesta incluso dónde pones el cursor. – Si te has ido de vacaciones, cuando, dónde etc. Cuidado, todo esto es legal, y más si aceptas las condiciones dando clic. Toda esta información la venden para fines comerciales. Al aceptar las condiciones aceptas que compartan dicha información. Hay empresas que les pagan por tener información de datos de contacto, hábitos de navegación, gustos etc de usuarios. Estas huellas digitales son un producto que empresas compran. El mejor canal de distribución que pueden tener. Sois su publicidad. Cada vez que publicas que has usado tu aplicación, algún amigo pincha y cae en ella. Cuando aviso a alguien que no use estas aplicaciones siempre me dicen “daño no hace“. SI, SI HACE. Estás esparciendo “la infección”. Ya sabéis que muchas antes directamente publicaban solas en los muros de vuestros amigos. Aunque Facebook es más o menos seguro, muchas de estas aplicaciones no son tan seguras. Sus desarolladores pueden dejar fallos de seguridad en el código, y este puede aprovecharse para infectar tu dispositivo, publicar tus datos etc. Si consiguen que pinches en enlaces a sus páginas web pueden aumentar su posicionamiento SEO. Si consiguen que pinches en enlaces a sus páginas web pueden hacer que pinches en la publicidad en ellas, lo que les da mucho dinero. Como hemos dicho, las más malintencionadas, si consiguen que pinches en enlaces a sus páginas web, te infectarán con malware (virus etc). ¿Que se puede hacer para evitarlo? Lo primero sería evitar usar estas aplicaciones. ¿De verdad necesitas saber a qué famoso te pareces? ¿Es tan crítico? Pero bueno, como parece que sí, os dejamos otros consejos. Revisa las aplicaciones a las que has dado acceso, y borra las que no estés usando o vayas a usar. Para ello ve a Configuración (en el menú desplegable desde la flecha en la parte superior derecha) > Aplicaciones. Ahí podrás ver las que has dado acceso y eliminar las que no quieras. Es algo que deberíamos hacer cada cierto tiempo. Antes de hacer clic, lee los permisos y la política de privacidad de la aplicación que vas a permitir. No aceptes si no estás de acuerdo. O limita los permisos (se pueden cambiar). Puedes revisar y limitar los permisos de las que ya estáis usando en el lápiz en Configuración>Aplicaciones. Lo sé…no lo vais a hacer… Si te pide que vayas a otra web, o tiene una url acortada (que no sabes dónde va) deja de usar esa aplicación. Borra todo permiso. Puedes contactar con los desarrolladores de la aplicación si tienes dudas. En caso de sospecha puedes reportar la aplicación a Facebook. Puedes hacerlo desde Configuración>Aplicaciones pinchando en la aplicación y en el pie pinchando en Reportar Aplicación. Si no quieres usar aplicaciones ni juegos puedes ir a Configuración > Aplicaciones y debajo en ” Aplicaciones, sitios web y plugins” pinchar en Editar y Desactivar Plataforma. Lee antes lo que esto implica en los avisos. Esperamos que os sea útil. Recordad que, relacionado con Facebook, no tenéis por qué recibir invitaciones de juegos y aplicaciones, y no aceptéis solicitudes de amistad de gente que no conozcáis.