Seguridad archivos - Página 14 de 41 - SmythSys IT Consulting

Wannacry: NoMoreCry y PowerShell scripts para detectar equipos vulnerables

David G. Smyth (SmythSys) / 16 mayo, 2017

Seguimos con el famoso ransomware de la semana pasada. Insisto que no es nada especial, y que estos virus llevan tiempo funcionando. Este ha sido muy publicitado por los medios y por eso ha generado la alarma que ha generado. Además, si que mandaron una campaña fuerte de correos con el virus y si que ha afectado a muchas empresas y organismos en todo el mundo. Para la gente de IT esto es fantástico, porque muchas empresas están tomando las medidas que pedíamos contra estos virus, y se está prestando la atención que pedíamos. Hoy os queremos dejar dos soluciones que puede ayudaros. PowerShell Scripts para detectar equipos vulnerables. Para poder detectar si un equipo es vulnerable puedes o ejecutar todas las actualizaciones, o usar estos scripts que han proporcionado administradores de sistemas para hacerlo rápidamente. Se ejecutan desde el Power Shell, no desde cmd. Os dejamos dos (no los hemos creado nosotros, no somos responsables). Hemos usado el primero con éxito y si que funciona bien. a) https://gist.github.com/gavsto/b377c405c0cd3709f35ab4a1365bebab b) https://github.com/kieranwalsh/PowerShell/tree/master/Get-WannaCryPatchState NoMoreCry. El CCN-CERT (Centro Criptológico Nacional) ha sacado NoMoreCry, una herramienta para prevenir la ejecución de este virus. A ver, me parece una respuesta al revuelo mediático. Porque ransomwares hay muchos, este sólo para WannaCry y, como dice Chema Alonso en su último artículo, cualquier programa para evitar ransomware pararía este. Obviamente no funciona si el virus ya está en ejecución en el sistema. Y es para equipos Vista en adelante. Pero bueno, si alguien lo quiere os dejo el enlace para NoMoreCry: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND Parece ser que la herramienta bloquea la ejecución de este virus en concreto (no otros). Y que debe ejecutarse en cada reinicio. Por último, os dejamos aquí el acceso al parche que ha sacado Microsoft para los equipos XP. Pero si tenéis XP, os recomendamos encarecidamente que cambiéis de sistema operativo a uno moderno, o instaléis Linux. Os recordamos los consejos para los virus ransomware.

Opinión, Seguridad

¿Por qué entran virus en empresas grandes como Telefónica? Ransomware

David G. Smyth (SmythSys) / 13 mayo, 2017

Hace unos días hemos tenido un ataque que ha afectado a muchas empresas en más de 70 países. En España la más famosa entre los afectados es Telefónica, en Inglaterra los hospitales. Se rumoreaba que, en España, hubiera afectado (y seguro que lo ha hecho) a muchas otras grandes. Mucha gente estaba haciendo bromas sobre por qué entran virus en empresas como Telefónica, y muchos otros haciendo bromas sobre cómo “se la han colado” a Chema Alonso, el famoso hacker (=experto en seguridad), Chief Data Officer de Telefónica y del que tanto hablamos aquí. Los que hemos gestionado varios sistemas, o hemos trabajado en IT (TIC) en empresas grandes comprendemos un poco más qué ha pasado, de hecho en SmythSys lo comentábamos en el momento de la noticia, y este post (que puede que nadie lea), intenta explicar un poco las razones para los que no sean profesionales de informática. Os dejamos varios puntos que creo que aclaran un poco más el tema. Lo primero comentar que, como ha dicho Chema en Twitter, el no es responsable de la seguridad de la LAN (intranet de usuarios y zona afectada) de Telefónica. No puede estar en todo, tiene otras responsabilidades. Para más inri estaba de vacaciones como ha comentado en un gran post. Aún así fue de los primeros en dar la cara, dejó las vacaciones y ayudó a sus compañeros. Lo siguiente es informar de manera resumida (y espero que no muy técnica) cómo se infectaron los sistemas. Fue por un virus ranswomare (WannaCry). Este virus aprovecha un agujero de seguridad (MS17-010) descubierto y “pacheado” (tapado) en Marzo de este año. De hecho forma parte de los agujeros de seguridad que comentamos hace días. Por eso hemos bromeado en Twitter que si Telefonica nos hubiera leído….Si, como si toda una gran empresa va a leer un blog de una pyme. Además no es realista por lo que vamos a comentar más abajo. La entrada del virus es la más frecuente en estos casos, un correo que tiene un adjunto, o un enlace con el virus. El famoso ataque masivo que dice la prensa no es mas que un montón de correos enviados con este enlace. Alguien abre el correo, y pincha donde no debe, se descarga el virus. Por lo tanto la entrada es un usuario que se equivoca. El virus, mientras cifra el contenido de algunos ficheros del ordenador, busca en la red otros ordenadores con la vulnerabilidad. Cuando detecta ordenadores que no están “pacheados”, los infecta. Es decir sólo afecta a ordenadores que no tienen el parche instalado. Cuando un ordenador se infecte, lo mejor es desconectarlo directamente de la red, como hicieron los de Telefónica. Hacer que no afecte a otros equipos. La pregunta que surge entonces (y ahí está una de las claves) es, ¿por qué no aplicaron el parche a todos los equipos? Esto sería lo más razonable, pero no es posible en las grandes empresas. Es muy común tener, en estas empresas, versiones antiguas de sistemas operativos en equipos antiguos. Y sistemas sin parchear. ¿Por qué? Porque tienen muchas equipos con muchas configuraciones distintas. En ellos, muchas veces, hay programas (contabilidad, de gestión, de diseño, hechos a medida, antiguos….) que sólo funcionan con ciertos equipos o versiones de Windows, IE etc. Estos programas suelen ser MUY importantes, y cualquier actualización hay que probarla antes, para que no afecte al funcionamiento del equipo o del programa. No podemos instalar actualizaciones a lo loco, y de repente, ver que nuestro departamento de contabilidad no puede facturar, o que hemos hecho que decenas de ordenadores no arranquen. Esto hace que, en las grandes empresas, siempre existan equipos “vulnerables”. Hay ciertas cosas que la gente debe entender y se refleja muy bien en este caso. NO ES POSIBLE evitar 100% una infección de virus, ni las grandes pueden. Sólo puedo reducir el riesgo y tener mecanismos que minimicen el impacto. Tener copias de seguridad y un plan de acción o contingencia por si ocurre algo parecido. Los informáticos solemos estar acostumbrados a aplicarlos. Cuidado con los ransomware…no hace nada de gracia que te infecte uno de esos virus. Son un riesgo serio del que llevamos tiempo avisando. El punto más inseguro de un sistema son siempre los usuarios. Las infecciones suelen entrar por un usuario que comete un error. Y no hay antivirus, o firewall que evite esto. De nada sirve una verja enorme y una alarma buena, si el usuario abre la puerta y deja pasar al ladrón. No abráis correos de desconocidos ni pinchéis donde no sabéis ¡¡¡LECHE!!! Los parches de Windows no son una tontería. Los particulares y PYMES debemos tener los sistemas actualizados, es una medida esencial para evitar infecciones (reducir el riesgo). Las grandes…lo tienen más difícil.

Seguridad, Sistemas, Trucos

Crear clave pública y clave privada con puttygen para conectarse por SSH

David G. Smyth (SmythSys) / 12 mayo, 2017

Cuando queremos conectarnos por SSH a un servidor, puedes hacerlo por usuario y contraseña o, más seguro, por clave pública y clave privada. Hoy os enseñamos cómo generar estas claves. Este método de clave pública y clave privada quiere decir que en tu ordenador tienes la clave privada y pones en el servidor la clave pública. Entonces al conectarte el servidor pedirá la clave privada correspondiente a esa púbica. Además podemos usar usuario y contraseña y queremos otra capa más. Recomendamos que uséis este método en vuestras conexiones ssh. Para descargaros puttygen tenéis que ir a la página del creador de putty que es esta: https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html Después tenéis que seguir el proceso que indicamos en el vídeo:

Noticias Informáticas, Seguridad, Servidores, Sistemas

Vulnerabilidad descubierta en Intel con AMT que lleva unos 10 años presente

David G. Smyth (SmythSys) / 8 mayo, 2017

Estos días ha salido a la luz una vulnerabilidad de ciertos chips Intel que, según parece lleva casi 10 años activa. Desde el 2008. En teoría, la vulnerabilidad afecta sólo a aquellos chips que incluyan los servicios Intel Active Management Technology (AMT), Intel Standard Manageability (ISM), e Intel Small Business Technology. Estos servicios se crearon para que los administradores de sistemas pudieran conectarse remotamente a los servidores y realizar tareas de gestión. Es una conexión anterior al sistema operativo y por lo tanto se salta antivirus, firewalls etc. Así que la vulnerabilidad tiene peligro. Más información aquí. En teoría debería ser sólo para productos de empresa. Pero empresas como Lenovo ya ha sacado una lista de productos afectados y algunos son productos de usuario final. Los rumores son que Intel estaba incluyendo ATM y sus variantes en todos los productos que hacía. Y que en algunos no es suficiente con no tenerlo activado, siguen funcionando ciertos servicios. Si tenías ATM o sus variantes activas tus máquinas son accesibles desde fuera. Pero si no, puede que lo sean desde tu LAN. Solución: Lo primero es ver si tu ordenador/servidor está afectado. Intel ha sacado una herramienta para detectarlo, y una guía. Si tu máquina es Linux mira este artículo. Si está afectado Intel recomienda ir a tu fabricante y ver si hay un parche. Porque está proporcionando dichos parches a los fabricantes de equipos. Si no hay parche todavía, Intel ha sacado una “guía de mitigación” para disminuir los problemas. También parece ser que puede ser buena idea desactivar el servicio “Local Manageability Service“.

Antivirus, Limpieza de PC, Seguridad

Sitios para encontrar programas para limpiar virus ransomware

David G. Smyth (SmythSys) / 27 abril, 2017

Ya hemos hablado mucho del ransomware, esos virus con los que, si te infectas, corres el riesgo de perder todos tus datos porque los cifra y pide un rescate. La parte “buena” es que muchos usuarios están descubriendo, a las malas, que no pueden seguir con Windows XP (sistemas muy vulnerables) y deben tener copias de seguridad (casi el único modo real de protegerse contra el ransomware). ¿Qué hacer si te ha infectado un ransomware? Lo más seguro es que sea una versión “nueva” de estos virus. Las versiones nuevas no tienen cura todavía o tienen mecanismos de seguridad potentes. Así que, seguramente o tienes una copia de seguridad o estás perdido. Puedes intentar recuperar datos con herramientas de rescate de ficheros, con restaurar archivos o Shadow Explorer en verisones Windows 7 en adelante. Pero suelen borrar estas copias. Si tienes una copia en un Cloud suele infectarse, pero puedes restaurar los ficheros. Aunque entonces verás que seguramente tendrás que ir uno a uno en miles de ficheros. Eso si, puedes tener suerte y que, o te ha infectado una versión antigua, o ya tiene “cura”. Así que os dejamos dos sitios fiables donde podéis buscar estas curas: Trend Micro Ransomware File Decryptor: Una herramienta de Trend Micro que actualizan a menudo. Entra y mira a ver si la herramienta cura tu versión. Virus Fighting Utilities de Kapersky. Kapersky comparte en este enlace varias páginas de herramientas específicas para diferentes tipos de virus y para ransomware específicos. Ransomware Screen Unlocker. Si tu ransomware es de los que no te dejan hacer nada en la pantalla. Este es un primer paso para desactivar ese bloqueo. Avast Ransomware Tools. Aquí tiene Avast las herramientas de limpieza de ransomware que va desarrollando. AVG ransomware tools. Aquí las pocas de AVG. Herramienta de Bitdefender: para limpiar ransomware. Espero que os ayude….pero recordad ¡PREVENCIÓN! Copias de seguridad, sistemas actualizados y cuidado con lo que abrís….esa es la mejor defensa.

Compartir, Información Tecnica, Seguridad

Chema Alonso. ¿Sabes lo que pasa cuando aceptas una app?

David G. Smyth (SmythSys) / 24 abril, 2017

Hemos escrito, en nuestro afán de informar al público en general, artículos sobre el peligro de usar aplicaciones chorras en Facebook, cosa que seguimos viendo que hace la gente (no nos hacen mucho caso jejeje). Relacionado a esto hicimos otro sobre las solicitudes de amistad de gente que no conoces. También escribimos hace unos días un artículo que informa sobre la cantidad de información que tienen los operadores móviles sobre los usuarios. Este artículo (por lo menos a nosotros) asusta. Recomendamos ver también la película Snowden, tiene información interesante sobre lo que saben los gobiernos sobre nosotros y cómo. Hoy os dejamos un vídeo de Chema Alonso, experto en seguridad del que compartimos mucho aquí, explicando los mismos peligros a los que nos referimos. Qué pasa cuando das “si, acepto” a una aplicación. Como dice en el vídeo, estamos pagando con nuestra privacidad. NO SON GRATIS. Cedes tu privacidad. Si te parece bien (y a muchos nos parece bien en varios servicios), ok. Pero hay que saberlo.

Compartir, Seguridad, Trucos

Vídeo sobre cómo usar Keepass para gestionar contraseñas. No tenéis excusa.

David G. Smyth (SmythSys) / 21 abril, 2017

Ya os hemos hablado mucho de Keepass, el programa que usamos para gestionar contraseñas. Y todavía nos encontramos con clientes que usan la misma contraseña o unas sencillas. Así que hemos decidido mostraros las ventajas de Keepass. Lo sencillo que es tener contraseñas fuertes, que ni conoces, y copiarlas y pegarlas desde tu ordenador o smartphone hasta el cuadro de iniciar sesión. Ya no tenéis excusa.

Noticias Informáticas, Seguridad, Sistemas

Vulnerabilidad 0 day en más de 300 switches de Cisco. Desactiva Telnet

David G. Smyth (SmythSys) / 20 abril, 2017

La vulnerabilidad, anunciada por CISCO, se ha detectado el 17 de Marzo y actualizado el 17 de Abril. Lo han anunciado en esta notificación, donde puedes ver también la lista de modelos afectados, más de 300. La vulnerabilidad se ha detectado mientras se analizaban los documentos Vault 7, la lista de herramientas de hackeo de la CIA hecha pública en Marzo por WikiLeaks. A saber cuanto más saldrá en los próximos días (son 8.761 documentos). El agujero de seguridad permite a un usuario no identificado reiniciar el dispositivo, o ejecutar código malicioso con privilegios elevados. Todo en remoto. La vulnerabilidad puede ser aprovechada durante la negociación del Telnet sobre IPv4 o IPv6 si la configuración del clúster es la de por defecto. Los dispositivos afectados son, según CISCO, vulnerables cuando se cumplen las dos condiciones siguientes: El subsistema CMP está presente en el software de imagen Cisco IOS XE en ejecución en el dispositivo. El dispositivo está configurado para aceptar conexiones Telnet. Para poder comprobarlo podéis ejecutar en el dispositivo, en un CLI con privilegios, el comando: show subsys class protocol | include ^cmp Si el resultado es del tipo: cmp Protocol 1.000.001 Tiene el subsitema CMP (cumple la condición 1). Para saber si acepta conexiones Telnet podéis ejecutar en un CLI: show running-config | include ^line vty|transport input Solución: Como dice Cisco, aunque están desarrollando parches: “There are no workarounds that address this vulnerability. Disabling the Telnet protocol as an allowed protocol for incoming connections would eliminate the exploit vector. Disabling Telnet and using SSH is recommended by Cisco. Information on how to do both can be found on the Cisco Guide to Harden Cisco IOS Devices.” Es decir desactivar Telnet y usar SSH en vez del primero. Aunque eso es algo que, por seguridad, ya deberíais haber hecheo. Si no, es el momento.

Noticias Informáticas, Seguridad

Paquete de actualizaciones de esta semana y exploits de Shadow Brokers

David G. Smyth (SmythSys) / 17 abril, 2017

Muchos de los usuarios habréis visto esta semana santa como vuestros Windows se ponían a descargar e instalar un paquete de actualizaciones de esos que llevan un tiempo. La razón es por el grupo de hackers Shadow Boxers, quienes supuestamente fueron los únicos en hackear a la NSA. Durante ese hackeo, supuestamente se llevaron herramientas que han estado intentando vender en el “mercado negro”. La semana pasada publicaron un post en el que decían compartir parte de esas herramientas con el público en Github. Evidentemente esto ha producido que tanto Microsoft, como los expertos de seguridad se pusieran a analizar dicho contenido. Por lo que parece mucho de este contenido afecta sólo a ordenadores con SO anterior a Windows 7, aunque algunos afectan a ordenadores más actuales. Como los sistemas anteriores a Windows 7 ya no se parchean, estamos ante otra razón más para actualizar los ordenadores de nuestras empresas o nuestros ordenadores particulares. Microsoft ha publicado y corregido (algunas ya se habían corregido antes), en las instalaciones de esta semana, los agujeros de seguridad o fallos que puede haber detectado. Así que os recomendamos que actualicéis. Parece ser que esto todavía traerá más cola porque ni sabemos si han publicado todo, ni se ha podido evaluar bien todo el contenido. Además , lo publicado no sólo afectaba a sistemas Windows, sino también a herramientas de hackeo de sistemas bancarios SWIFT usados en transferencias internacionales.

Compartir, Opinión, Seguridad

¿Por qué nos vigilan y qué datos nuestros tienen las operadoras móviles? Caso de Malte Spitz

David G. Smyth (SmythSys) / 12 abril, 2017

Nos oiréis mucho a la gente de informática, de seguridad o de comunicaciones diciendo “nos espían”. Nos espían a través del sistema operativo de nuestros ordenadores, tablets y móviles. Lo hacen a través del hardware de nuestros dispositivos, lo hace Facebook, lo hace Twitter, lo hace WhatsApp, lo hace Google…. Como dice un compañero de nuestro equipo, Alejandro: “hoy en día, si tenemos suerte,sólo podemos elegir quién nos espía“. ¿Para qué? PARA VENDERLO. Para sacar dinero. Hoy os queremos mostrar ejemplo de la cantidad de información que tienen las operadoras móviles, con los datos de nuestros teléfonos móviles. Datos que muchas veces no sabemos que estamos proporcionando. Datos que antes era mucha información suelta…pero con el Big Data, ahora mismo es posible procesarlo, ponerlo en gráficos, en mapas y sacar conclusiones. Sacar conclusiones de tendencias, posicionamiento etc… Como dice esta gran charla de TED, la culpa no es de los que nos espían, tenemos que “poner cortinas en nuestras casas“. Empezar a usar criptografía, y un poco el sentido común. Y si alguien quiere algo de nosotros que pida una orden judicial. Hasta aquí no es mas que la paranoia de unos informáticos, así que os dejamos la historia de Malte Spitz a modo de ejemplo. Malte es un alemán que solicitó a Deutsche Telekom toda la información que tenía la operadora de él. Tras varias demandas, y gracias a una ley europea, le mandaron 6 meses de información en un CD. 35 830 líneas de código. Malte no podía hacer mucho con eso, así que se lo dio a una empresa, que combinaron dicha información con los datos públicos de Malte (feeds de Twitter, blogs, webs….) y lo colgaron en una web de modo gráfico y con geolocalización. Podéis ver la web aquí, y los resultados asustan. Mucho (o debería). Se puede ver día a día lo que hace Malte, cómo va de un sitio a otro, por dónde, con qué transporte, cuantas llamadas realiza, cuantos mensajes, las conexiones a Internet, cuando se va a dormir, cuando come… Todo por la información del móvil. Si ahora sumáis esto a la información de toda la gente que tiene móvil, y tienes la capacidad de almacenar esto en ordenadores que manejen grandes datos y los organicen (que ya existen), es fácil crear agendas de los hábitos y costumbres de la sociedad, o miembros de la sociedad. Como dicen en los vídeos, imaginaos que los nazis hubieran tenido esto sobre los judíos, o lo que pueden estar haciendo gobiernos totalitarios sobre dicha información. Así que recordad, que no podéis evitar que traten de espiaros (lo hacen muchos organismos constantemente), pero si podéis , y tenéis el derecho, cerrar vuestras comunicaciones, cifrarlas y conservar la privacidad de vuestros datos. Vuestros datos y conversaciones son privados. Pero nadie a asegurar esa privacidad, tenéis que hacerlo vosotros. Iremos explicándoos como para aportar nuestro granito de arena en esto de la privacidad con los móviles. Ya comentamos algo de VPNs en Android. Por ordenador, ya hemos explicado cómo usar VPN, Tor, distribuciones como Tails etc.