WannaCry, NomoreCry y LatchArw

Después de la marejada, siempre llega la calma y la evaluación de daños. El ransomware Wannacry ha hecho que nos fijemos, tanto las grandes empresas, usuarios y sobre todo gobiernos, en el cibercrimen como un problema global.

El gran problema de los ransomware es la detección temprana y la rapidez con la que cambian el código interno las mafias para su aprovechamiento (había una mutación a los 2 días de salir Wannacry). Para protegerse hay que tomar unas medidas distintas a las habituales (antivirus y firewall) y empezar a proteger las carpetas de datos y los servicios a los que se accede.

Para esto hay dos aplicaciones, una es NomoreCry, disponoble en los servidores de ccn. La otra es LatchArw, desarrollada por Elevenpath y Telefónica, evolución de Latch para móviles, que nos permite tener una doble autenticación de nuestros datos.

Además podemos seguir las recomendaciones del Centro Criptográfico Nacional (CCN)

  • Informar y concienciar a todos los usuarios de los riesgos y amenazas que supone el Ransomware, de modo que su estado de consciencia, alerta y formación disminuyan la posibilidad de infección.
  • Mantener un sistema de copias de seguridad/respaldo actualizado, tanto de los sistemas locales como de las ubicaciones distantes. A ser posible deben mantenerse al menos dos (2) copias de seguridad en diferentes localizaciones y desconectadas del Sistema.
  • Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.
  • Deshabilitar Windows Script Host para evitar la ejecución de scripts en el Sistema. Para ello se pueden seguir los pasos descritos en el siguiente enlace de Microsoft: https://technet.microsoft.com/es-es/library/ee198684.aspx
  • Seguir las recomendaciones publicadas sobre protección del correo electrónico. (Ver Guía CCN-CERT BP-02/16)
  • Complementar el antivirus y cortafuegos personal con programas como AppLocker (bloqueo de ejecución de programas) y EMET (detección y bloqueo de técnicas de exploit).
  • Mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizadas que ayuden a prevenir ejecuciones no autorizadas de código en el navegador web. (Ver Guía CCN-CERT BP-06/16)
  • Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como fichero legítimo no ejecutable.
  • Configurar el UAC (User Access Control) de Windows de la forma más restrictiva posible, pidiendo siempre confirmación para la ejecución de aquellos procesos que requieran altos privilegios.
  • Mantener el sistema operativo y todas las soluciones de seguridad actualizadas, así como cortafuegos personal habilitado.

Wannacry. El ransomware total.

El pasado Viernes 12 de Mayo se produjo una de las mayores infecciones de virus de los últimos tiempos, afectando a más de 70 paises. El ransomware “Wannacry” (quiero llorar), que así se llama, Aprovecha una vulnerabilidad conocida desde hace 2 meses y propagándose por correo electrónico. El proceso es:

  • Spam masivo y explotación de la vulnerabilidad
  • Infección de la máquina
  • Escaneo de la red local buscando nuevas máquinas que infectar

La rapidez de propagación de esta infección viene dada por la reticencia de las grandes empresas a la actualización de los equipos con los parches de seguridad publicados por Microsoft, ya que en muchos casos un fallo del parche puede dar al traste con la productividad de la empresa, por lo que se prefería hacer frente a un posible problema de seguridad al más probable problema de incompatibilidad de un parche con algún servicio de la empresa. Hay que recordar que Microsoft recomienda tener un sistema de adaptación a las actualizaciones ante fallas.

Wannacry se basa en una herramienta desarrollada por la NSA (Agencia de Seguridad Americana ) que fue robada hace algunos meses por un grupo de hackers, por lo que a día de hoy el lío internacional también está servido.

Como recomendaciónes ante esta amenaza, tenemos:

  • Mantener nuestros equipos actualizados
  • No abrir correos extraños
  • Invertir en seguridad informática en las empresas
  • No creer que estamos al 100% seguros frente a ataques.

Por último, mi consejo es, no pagar nunca antes estas extorsiones.

Seguridad en la empresa.

La cosa tiene miga. Y al final la culpa será mía. Mira que se lo tengo dicho, pero no, que no me hace caso, ni él ni nadie en este tema.

Vale que no todas las empresas son iguales, ni que tienen los mismos recursos para dedicar al mantenimiento de sus equipos informáticos, pero una de las cosas más importantes de las empresas hoy en día es el tratamiento de los datos.

Entendemos como tratamiento de los datos a la gestión que se hace de la información que manejamos día a día en nuestros equipos informáticos. Y aquí entra el mantenimiento y la seguridad que le damos dentro y fuera de la empresa.

Hay que tener en cuenta a lo que nos obliga la LPD (Ley de Protección de Datos), que nos obliga a una copia semanal por lo menos y en algunos casos hasta que esta se almacene en un lugar externo, según el tipo de datos que se dispongan.

También hay que tener en cuenta el sentido común y de responsabilidad de cada uno, por lo cual, aunque tengamos la obligación de hacer un respaldo semanal, mientras más tengamos mejor, y si además verificando que este respaldo es correcto y válido, mejor que mejor.

Pues volviendo al tema que me trae hoy aquí, mira que se lo había advertido de todas las formas posibles pero, nadie escarmienta en cabeza ajena, y al final le ocurrió a él. Le ha pillado el criptolocker y lo ha dejado frito, y a sus datos también.

Parece que ahora sí me va a hacer caso y va a a seguir unas pautas para protegerse.

  1. Los datos almacenados son de la empresa y no del ordenador que los trabaja, por lo que todos estarán centralizados y disponibles para los que así lo necesiten.
  2. Estos datos seguirán una pauta de almacenamiento acordada para que no haya duplicidad, sobrecoste y perdida de tiempo.
  3. Un empleado será responsable de la realización y verificación de las copias de seguridad.
  4. La creación de las copias llevará la siguiente pauta
    • Una copia de lo inmovilizado estará en la sede y una más en otra ubicación
    • Se hará una copia de los datos diarios en un soporte que se sacará de la sede al final de semana
    • A la semana siguiente se hará otra copia en otro soporte.
    • Se verificarán la funcionalidad de las copias todas las semanas. Se incluye también el funcionamiento de la copia de inmovilizado.

Esto es algo básico que se puede aplicar a casi cualquier pequeña empresa, y no tiene un alto coste ni en material ni en recursos humanos.

 

Habilitar el usuario Administrador en Windows 8

Hay ocasiones en las que es necesario usar un usuario con privilegios elevados o usar un usuario distinto al habitual para realizar ciertas operaciones. Para ello existe el usuario Administrador, el cual tiene el máximo nivel para poder hacer y deshacer en nuestro ordenador. El único inconveniente es que está desactivado por motivos de seguridad.

Para habilitarlo solo tendremos que seguir estos pasos:

  1. Pulsamos la tecla Windows en el teclado para acceder al escritorio metro.
  2. Escribimos cmd y se nos abre el entorno de búsqueda con el Símbolo del Sistema, donde pinchamos con el botón derecho del ratón y elegimos Ejecutar como administradorImagen
  3. Se nos abre una ventana de entorno MS-DOS en la que escribimos

net user administrador / active:yes

Podemos cerrar la ventana cerrar la sesion activa y nos aparecerá el nuevo usuario.

Si en cualquier momento queremos desactivar el usuario Administrador tendremos que hacer lo mismo pero ejecutando

net user administrador / active:no