Se bloquearon varios servidores del hospital con el propósito de extorsionar al centro, que debía pagar un rescate para eliminar el bloqueo. Según parece, el ataque informático comenzó el domingo pasado y después de conseguir el cifrado de ciertas infraestructuras del servicio de salud catalán, el malware solicitaba el rescate para liberar los datos cifrados. Actualmente el hospital se ha negado a pagar ese rescate, y después de una denuncia formal a los Mossos d’esquadra, los técnicos de ciberseguridad de Cataluña están recuperando los datos
Todas las putas copias de seguridad las vuelco a un servidor Linux externo mediante SSH. SSH que lanza la máquina Linux al servidor Windows cada seis horas.
Luego esos ficheros se pasan por una batería de antivirus diariamente , y si todo va bien se vuelcan en cintas.
No solo eso, sino que mediante el FSM de Windows es completamente trivial el tener una serie de scripts que te bloquean cualquier ataque de Ransomware.
Si a esto le añades un buen antivirus, ordenadores sin permiso de administrador y una buenas prácticas de seguridad de tus empleados (les doy charlas cada tres meses) no pillas ninguna mierda.
Tres años llevo en la empresa y no hemos tenido un puto problema de seguridad en la misma.
Esto solo se explica si contratan a becarios o a aficionados.
If you pay with peanuts you will get moneys.
#3 Creo que no estás muy al día de lo que es un ataque de nueva generación. Creeme, estoy en el mundillo y por lo que explicas eres carne de cañón. No HAS pillado ninguna ( o eso crees) pero cuando la pilles, va a ser de las gordas.
Porque si sueltas todo eso y luego no indicas en que estoy equivocándome, es como cuando desde la barra de un bar, con un palillo dices: Naaa, yo estoy en el mundillo y el gobierno lo está haciendo todo mal. yo lo soluciono en dos días. Si no me hacen caso, se van a cagar.
Joder, debo de tener mucha suerte porque me he dedicado profesionalmente a la administración de sistemas desde hace 25 años y aún no tengo un cliente al que le haya llevado yo el sistema y al que le ha entrado un virus.
#7 Efectivamente es un tema para hablarlo con un consultor de seguridad (y que le pagues sus servicios) pero creeme, das por sentado que todos van con palillos en la boca menos tu. Si tus medidas de seguridad son las expuestas en tu primer comentario, efectivamente SI, has tenido suerte... Y ojo, hablas de virus (virus es un tipo de malware de tantos) puedes tener un ransomware de nueva hornada con un operador REAL escudriñando tus sistemas, "diciéndote" que tus backups han ido bien y esperando pacientemente días, meses o años hasta que llegue el momento de dejarte sin nada... O simplemente que estén y no hagan nada hasta que os tengan que pagar una factura y el dinero no llegue (y vuestro cliente pague a otro por culpa vuestra) O que simplemente os quieran para llegar a uno de vuestros clientes o proveedores. Creeme, no estés tan seguro de ti mismo y de la incompetencia de los demás y ves poniendo más capas a tu seguridad y realiza unas auditorias periódicas, contrata un servicio de SOC, implanta zero trust, casb, siem, sandbox, antimalware con machine learning, que un especialista revise tus registros dns (soa, hosts, mx, txt/spf, puntero dkim , política dmarc, etc...) contrata un simulador de ataques, servicios ATP, Control UEBA, revisa la mierda del wifi, IoT, las impresoras y un largo etc... La cibseguridad es como una trinchera... ¿Cuando acaba? ¡Nunca señor!
#8 Tío, obviamente no te voy a poner mi manual contra desastres o él manual de seguridad aquí, pero me parece que mucho de o que dices está fuera de contexto:
Puedes tener un ransomware de nueva hornada con un operador REAL escudriñando tus sistemas, "diciéndote" que tus backups han ido bien y esperando pacientemente días, meses o años hasta que llegue el momento de dejarte sin nada...
Vamos a ver: Hay una cosa que se llama equilibrio.
Tú no puedes hacerle la vida imposible a tus empleados o fundir tu presupuesto en seguridad.
También tienes que saber que tipo de empresas son tus clientes, que tipo de datos tienes y si los mismos son tan jugosos como para tener a un tío husmeando tu red durante años. (¿de verdad que en una pequeña empresa o en un hospital hay crackers monitorizando el sistema durante años?) venga, vamos a ser serios que no somos los protagonistas de una novela de Clifford Stoll.
En mi caso, mi mayor cliente es una escuela de arte con 50 empleados y de ahí para abajo, así que no voy a contratar decenas de expertos en seguridad para repercutir a mis clientes unos gastos injustificados.
Obviamente recomiendo una auditoria de seguridad externa (y a veces la contratan).
Muchas cosa que dices se hacen, por ejemplo las medidas de seguridad que indicas para los servidores de correo (DKIM, DMARK, etc.)
Antimalware con machine learning ya lo ofrece Microsoft y lógicamente hay que ser o imbécil o no tener pasta para no contratarlo.
Lo del IOT básicamente no se permite a no ser que el fabricante ofrezca actualizaciones periódicas y ofrezca garantías, etc.
¿Pero verdad que hay que implementar zero trust, casb, siem, sandbox. etc?
¿y por que no un NID, honeypots, máquinas virtuales que se despliegan on the fly cuando detectan un ataque y lo aíslan, solo software firmado, etc?
Entiendo que vienes a vender tu libro, pero no conozco ni una puta empresa pequeña-mediana (no hablo del IBEX35) que implemente todo lo que tú recomiendas (y trabajo en Nueva York).
Insisto: En el mundo real basta con un poco de sentido común, unas copias de seguridad en condiciones, antivirus, una política de educación del usuario, tenerlo todo actualizado, firewall, claves en condiciones y un par de cosas más.
Con eso eliminas el 95% de los problemas.
El ordenador más seguro está apagado y metido en una caja fuerte.
Estso tíos del hospital no han implementado ni una puta política de backups en condiciones.
Y esto lo sé porque he currado en bastantes organismos gubernamentales donde del director de TIC era un inepto que estaba allí por colegueo )he llegado a ver hasta wifis abiertas en hospitales).
Me parece que al final, el no saber elegir adecuadamente los mecanismos de seguridad para el tipo de empresa con la que trabajas tampoco hace que te saques el palillo de la boca.
Un buen profesional sabe lo que hay que aplicar en cada caso.
Oye, perdona que te deje rápido, es que tengo que ir a montar el súper-cluster de alto rendimiento para mi cliente que tiene un todo a cien.
#11 No, si el facepalm no es por esos argumentos con algo de razón... Es pq sigues en tus trece sobre "A mi no me ha pasado nada=soy la polla" "A esos les ha pasado tal= putos inútiles, enchufismo"... (que no digo que no haya casos, pero no todos..). He visto APTs en empresas de unos 20M de facturación (vamos que muy grandes no son, eso para un solo hospital es de risa), que te aseguro que si te toca ese equipo, te la meten hasta el fondo y de paso si les tocas los cojones para eliminar la persistencia, si quieren te joden tu vida personal.
Cuando te toque, recuerda esta conversación, para entonces tendrás mil excusas.
#12 Vamos a ver, en ningún momento digo "yo soy la polla", y no soy la polla porque no soy experto en seguridad.
Me he dedicado a muchas cosa en mi vida: Administrador de sistemas, seguridad, programador web, programador de aplicaciones de escritorio, programador de apps, SEO, etc. Como obviamente no puedo ser experto en todo, por eso soy director de informática: Porque tengo un conocimiento bastante transversal de todo (y así es como me gano la vida).
Es decir: Soy el tío que te contrataría.
El problema que encuentro en tu planteamiento es que no puedes poner tantas y tantas capas de seguridad en una empresa mediana o pequeña (seguro que si en una grande).
Cuando presentes un presupuesto para todo eso te van a plantear dos problemas.
1) No hay pasta (hablo de una empresa pequeña o mediana).
2) Estás violando el principio Kiss y estás metiendo una complejidad enorme dentro del sistema. Es decir: Hace falta un equipo de gente para implementar y llevar todo eso.
Como obviamente no existe ningún sistema seguro y siempre hay riesgos, el tema es escoger la mejor solución calidad-precio.
Sin quererlo, me estás dando la razón cuando dices: He visto APTs en empresas de unos 20M de facturación (vamos que muy grandes no son, eso para un solo hospital es de risa)
Luego llegamos a la misma conclusión: Los de este hospital no son buenos profesionales.
Por cierto: Para mi una empresa que factura 20M no es una empresa pequeña.
Yo manejo clientes (Pymes) que en algunos casos no llegan ni a los 500.000 al año.
Dicen que solo se han visto afectados sistemas secundarios. Habrá que ver cuanto de verdad tiene dicha afirmación. Que no hayan logrado cifrar los servicios primarios, no significa que no hayan llegado a los mismos.
Comentarios
Fuente original (CAT) [Referida en el propio artículo]
Hackers russos han atacat el sistema informàtic de l’Hospital Moisès Broggi de Sant Joan Despí
https://www.rac1.cat/info-rac1/20200902/483276363122/hackers-russos-ataquen-hospital-moises-broggi-sant-joan-despi-rescat-servidors.html
Mas información: [Referida en el propio artículo]
El hospital Moisès Broggi, víctima de un ataque informático en plena pandemia
https://elpais.com/espana/catalunya/2020-09-03/el-hospital-moises-broggi-victima-de-un-ataque-informatico-en-plena-pandemia.html
#14 Igualmente Juaker.
Sinceramente no entiendo como cojones pasa esto.
Yo trabajo de director de informática.
Todas las putas copias de seguridad las vuelco a un servidor Linux externo mediante SSH. SSH que lanza la máquina Linux al servidor Windows cada seis horas.
Luego esos ficheros se pasan por una batería de antivirus diariamente , y si todo va bien se vuelcan en cintas.
No solo eso, sino que mediante el FSM de Windows es completamente trivial el tener una serie de scripts que te bloquean cualquier ataque de Ransomware.
Si a esto le añades un buen antivirus, ordenadores sin permiso de administrador y una buenas prácticas de seguridad de tus empleados (les doy charlas cada tres meses) no pillas ninguna mierda.
Tres años llevo en la empresa y no hemos tenido un puto problema de seguridad en la misma.
Esto solo se explica si contratan a becarios o a aficionados.
If you pay with peanuts you will get moneys.
#3 Creo que no estás muy al día de lo que es un ataque de nueva generación. Creeme, estoy en el mundillo y por lo que explicas eres carne de cañón. No HAS pillado ninguna ( o eso crees) pero cuando la pilles, va a ser de las gordas.
#6 Venga, ilumíname,
Porque si sueltas todo eso y luego no indicas en que estoy equivocándome, es como cuando desde la barra de un bar, con un palillo dices: Naaa, yo estoy en el mundillo y el gobierno lo está haciendo todo mal. yo lo soluciono en dos días. Si no me hacen caso, se van a cagar.
Joder, debo de tener mucha suerte porque me he dedicado profesionalmente a la administración de sistemas desde hace 25 años y aún no tengo un cliente al que le haya llevado yo el sistema y al que le ha entrado un virus.
#7 Efectivamente es un tema para hablarlo con un consultor de seguridad (y que le pagues sus servicios) pero creeme, das por sentado que todos van con palillos en la boca menos tu. Si tus medidas de seguridad son las expuestas en tu primer comentario, efectivamente SI, has tenido suerte... Y ojo, hablas de virus (virus es un tipo de malware de tantos) puedes tener un ransomware de nueva hornada con un operador REAL escudriñando tus sistemas, "diciéndote" que tus backups han ido bien y esperando pacientemente días, meses o años hasta que llegue el momento de dejarte sin nada... O simplemente que estén y no hagan nada hasta que os tengan que pagar una factura y el dinero no llegue (y vuestro cliente pague a otro por culpa vuestra) O que simplemente os quieran para llegar a uno de vuestros clientes o proveedores. Creeme, no estés tan seguro de ti mismo y de la incompetencia de los demás y ves poniendo más capas a tu seguridad y realiza unas auditorias periódicas, contrata un servicio de SOC, implanta zero trust, casb, siem, sandbox, antimalware con machine learning, que un especialista revise tus registros dns (soa, hosts, mx, txt/spf, puntero dkim , política dmarc, etc...) contrata un simulador de ataques, servicios ATP, Control UEBA, revisa la mierda del wifi, IoT, las impresoras y un largo etc... La cibseguridad es como una trinchera... ¿Cuando acaba? ¡Nunca señor!
#8 Tío, obviamente no te voy a poner mi manual contra desastres o él manual de seguridad aquí, pero me parece que mucho de o que dices está fuera de contexto:
Puedes tener un ransomware de nueva hornada con un operador REAL escudriñando tus sistemas, "diciéndote" que tus backups han ido bien y esperando pacientemente días, meses o años hasta que llegue el momento de dejarte sin nada...
Vamos a ver: Hay una cosa que se llama equilibrio.
Tú no puedes hacerle la vida imposible a tus empleados o fundir tu presupuesto en seguridad.
También tienes que saber que tipo de empresas son tus clientes, que tipo de datos tienes y si los mismos son tan jugosos como para tener a un tío husmeando tu red durante años. (¿de verdad que en una pequeña empresa o en un hospital hay crackers monitorizando el sistema durante años?) venga, vamos a ser serios que no somos los protagonistas de una novela de Clifford Stoll.
En mi caso, mi mayor cliente es una escuela de arte con 50 empleados y de ahí para abajo, así que no voy a contratar decenas de expertos en seguridad para repercutir a mis clientes unos gastos injustificados.
Obviamente recomiendo una auditoria de seguridad externa (y a veces la contratan).
Muchas cosa que dices se hacen, por ejemplo las medidas de seguridad que indicas para los servidores de correo (DKIM, DMARK, etc.)
Antimalware con machine learning ya lo ofrece Microsoft y lógicamente hay que ser o imbécil o no tener pasta para no contratarlo.
Lo del IOT básicamente no se permite a no ser que el fabricante ofrezca actualizaciones periódicas y ofrezca garantías, etc.
¿Pero verdad que hay que implementar zero trust, casb, siem, sandbox. etc?
¿y por que no un NID, honeypots, máquinas virtuales que se despliegan on the fly cuando detectan un ataque y lo aíslan, solo software firmado, etc?
Entiendo que vienes a vender tu libro, pero no conozco ni una puta empresa pequeña-mediana (no hablo del IBEX35) que implemente todo lo que tú recomiendas (y trabajo en Nueva York).
Insisto: En el mundo real basta con un poco de sentido común, unas copias de seguridad en condiciones, antivirus, una política de educación del usuario, tenerlo todo actualizado, firewall, claves en condiciones y un par de cosas más.
Con eso eliminas el 95% de los problemas.
El ordenador más seguro está apagado y metido en una caja fuerte.
Estso tíos del hospital no han implementado ni una puta política de backups en condiciones.
Y esto lo sé porque he currado en bastantes organismos gubernamentales donde del director de TIC era un inepto que estaba allí por colegueo )he llegado a ver hasta wifis abiertas en hospitales).
#9
#10 Digna argumentación.
Me parece que al final, el no saber elegir adecuadamente los mecanismos de seguridad para el tipo de empresa con la que trabajas tampoco hace que te saques el palillo de la boca.
Un buen profesional sabe lo que hay que aplicar en cada caso.
Oye, perdona que te deje rápido, es que tengo que ir a montar el súper-cluster de alto rendimiento para mi cliente que tiene un todo a cien.
#11 No, si el facepalm no es por esos argumentos con algo de razón... Es pq sigues en tus trece sobre "A mi no me ha pasado nada=soy la polla" "A esos les ha pasado tal= putos inútiles, enchufismo"... (que no digo que no haya casos, pero no todos..). He visto APTs en empresas de unos 20M de facturación (vamos que muy grandes no son, eso para un solo hospital es de risa), que te aseguro que si te toca ese equipo, te la meten hasta el fondo y de paso si les tocas los cojones para eliminar la persistencia, si quieren te joden tu vida personal.
Cuando te toque, recuerda esta conversación, para entonces tendrás mil excusas.
#12 Vamos a ver, en ningún momento digo "yo soy la polla", y no soy la polla porque no soy experto en seguridad.
Me he dedicado a muchas cosa en mi vida: Administrador de sistemas, seguridad, programador web, programador de aplicaciones de escritorio, programador de apps, SEO, etc. Como obviamente no puedo ser experto en todo, por eso soy director de informática: Porque tengo un conocimiento bastante transversal de todo (y así es como me gano la vida).
Es decir: Soy el tío que te contrataría.
El problema que encuentro en tu planteamiento es que no puedes poner tantas y tantas capas de seguridad en una empresa mediana o pequeña (seguro que si en una grande).
Cuando presentes un presupuesto para todo eso te van a plantear dos problemas.
1) No hay pasta (hablo de una empresa pequeña o mediana).
2) Estás violando el principio Kiss y estás metiendo una complejidad enorme dentro del sistema. Es decir: Hace falta un equipo de gente para implementar y llevar todo eso.
Como obviamente no existe ningún sistema seguro y siempre hay riesgos, el tema es escoger la mejor solución calidad-precio.
Sin quererlo, me estás dando la razón cuando dices: He visto APTs en empresas de unos 20M de facturación (vamos que muy grandes no son, eso para un solo hospital es de risa)
Luego llegamos a la misma conclusión: Los de este hospital no son buenos profesionales.
Por cierto: Para mi una empresa que factura 20M no es una empresa pequeña.
Yo manejo clientes (Pymes) que en algunos casos no llegan ni a los 500.000 al año.
#13 Resumen
1)No soy la polla... solo soy el tio que te contrataria.
2)A los que les pasan cosas de ciberseguridad NO son buenos profesionales [son unos inútiles o enchufados, a mi no me pasaría algo así]...
Que tenga un buen día "jefe"
Dicen que solo se han visto afectados sistemas secundarios. Habrá que ver cuanto de verdad tiene dicha afirmación. Que no hayan logrado cifrar los servicios primarios, no significa que no hayan llegado a los mismos.
El mensaje en cirílico firmado por Vladimir lo dice todo.
Por eso mismo hay que abandonar la Internet para gestionar datos sensibles o de mucha importancia si se pierden o se trabucan.