El Área Metropolitana de Barcelona, AMB, ha suspendido sus servicios digitales después de sufrir un ataque informático que se sospecha es un Ransomware como el reciente del SEPE.
#12:
Por qué todos los informáticos buenos de este país andan perdiendo el tiempo en Menéame???? Por qué????
A ellos nunca les hubiera pasado.
#16:
#12 si que nos habria pasado. lo unico que exponemos que se hizo mal para que otros aprendan, incluidos nosotros mismos. que muchas veces intentamos aplicar esas medidas pero, o por falta de presupuesto, tiempo o que directamente les toca mucho los huevos a los jefazos tener tantas limitaciones para poder ver paginas para su trabajo (porno), nos atan de manos y pies. y donde hay capitán no manda marinero. claro está, siempre guardamos a buen recaudo esos correos donde les advertimos de que si no nos dejan hacer X puede pasar esto. pero aun con esas, siempre echaran la culpa al informático o a la informática en general, que la carga el diablo.
#8:
#6 ¿A quien se le ocurre tener cuentas de usuario que anden navegando por internet y descargando mierdas con tanto acceso en los servidores?
¿A quien se le ocurre no tener copias de seguridad segmentadas y de varios días diferentes?
Puede que tus servidores no tengan acceso desde internet pero sin usuario de esos servidores lo tiene el problema esta ahí.
#29:
#26 obviamente no es un ataque como tal, del lanzo ofensiva contra tu servidor tipo Mr robot. esto es mas, como dices, un usuario que le da clic a donde no debe. y como tiene mas permisos de los que debería, ya sea por inacción del informático de turno o porque, como he dicho antes, el informático está atado de pies y manos. pues una vez entra el bicho en un sistema se propaga por el sistema. estos bichos modifican también los archivos infectados para que, si alguien abre ese fichero, infecte también su equipo. vamos, que se lía la del pulpo.
en resumen: el luser que tu dices es el usuario. que la seguridad de un sistema informático es como una cadena, aguanta lo que aguanta el eslabón mas débil, que siempre es el ser humano. ya sea mediante el usuario mas torpe del mundo, como el mas listo de todos al que se la han colado.
si te fijas ya son menos los "ataques" directos a servidores los que se ven, ahora se ven mas "ataques" mediante infecciones con intervención humana.
#32:
#23 Tener el plan es el prerrequisito. Implementarlo y tenerlo al día es mantenimiento y ya se sabe que el mantenimiento es un coste que no luce... Hasta que ocurre la contingencia.
#25:
#11 ahí está el quid de la cuestión, un ataque ransomware como han comentado otras veces no tiene nada de trivial, suele estar muy bien pensado y estar latente mientras estudian todo tu sistema de copias de seguridad para estar seguros de que cuando lo ejecuten te van a joder pero bien y vas a pasar por el aro pagando... Ante eso sólo se me ocurre tener backups en soporte físico offline y comprobar diariamente que está en buenas condiciones y no te lo han encriptado o corrompido (podría ser una buena señal de alarma....)
#9:
A nuestra empresa en su dia nos pidieron un plan de seguridad donde se detallaba las copias de seguridad y como plantear su recuperacion en caso de desastre. Si nos hacian una inspeccion y no lo teniamos nos arriesgabamos a una multa. Aparte solemos preparar a los usuarios a identificar los posibles ataques.
Una cosa es saber que es lo mejor que se puede hacer y otra cosa es poder hacerlo.
Por ejemplo, uno puede saber cual es la mejor estrategia para protegerse de una serie de ataques ya conocidos y documentados, cual es la manera mas adecuada para mantener copias de respaldo frescas, e incluso puede hacer planes de desastre y proponer ejercicios periódicos para ponerlos a prueba.
He trabajado en entornos donde todo esto no solo se permitía hacer sin problemas, si no que era parte del plan de la directiva para mantener la empresa siempre solida.
El problema es que hay varios factores en muchas empresas, publicas, semipublicas y privadas que hacen que esto no sea posible.
Hay sitios donde una vez algo simplemente funciona, no invierten ni medio euro mas, ven el soporte informático en general como un gasto - y así figura en lo libros, claro!- y no como una necesidad.
Luego hay sitios donde es todo el fanfarroneo de lo que es visible, y todo lo demás es secundario o terciario. Invertirán la hostia y media en la pagina web y en los equipos de la oficina ( pantallotes por todas partes, etc), pero el centro de datos, los equipos de backoffice etc estarán completamente descuidados.
Hay sitios donde no tienen ni puta idea de lo que están haciendo o incluso te dirán que no hacen falta copias de seguridad.
Y luego hay sitios donde simplemente se quiere hacer mas de lo que se puede permitir y es todo de juguete. Desde la contratación a a los equipos.
#11:
A nosotros nos infectaron hasta las trancas, el ramsomware paso inadvertido durante un mes, hasta que lograron encriptar las copias de seguridad y luego lo empezaron a encriptar todo. El modo de entrar fue a partir de la copia de un documento que te enviava una de las personas con el correo corporativo. Era una copia de un correo corporativo que te habían enviado, pero esta vez con regalo
#12 si que nos habria pasado. lo unico que exponemos que se hizo mal para que otros aprendan, incluidos nosotros mismos. que muchas veces intentamos aplicar esas medidas pero, o por falta de presupuesto, tiempo o que directamente les toca mucho los huevos a los jefazos tener tantas limitaciones para poder ver paginas para su trabajo (porno), nos atan de manos y pies. y donde hay capitán no manda marinero. claro está, siempre guardamos a buen recaudo esos correos donde les advertimos de que si no nos dejan hacer X puede pasar esto. pero aun con esas, siempre echaran la culpa al informático o a la informática en general, que la carga el diablo.
#16 Pero a ver si es que esto a cambiado o yo no estoy actualizado ¿Este tipo de ataques no necesitan que se abran adjuntos? ¿Quién es el luser que sigue abriendo adjuntos sin saber de donde vienen?
#26 obviamente no es un ataque como tal, del lanzo ofensiva contra tu servidor tipo Mr robot. esto es mas, como dices, un usuario que le da clic a donde no debe. y como tiene mas permisos de los que debería, ya sea por inacción del informático de turno o porque, como he dicho antes, el informático está atado de pies y manos. pues una vez entra el bicho en un sistema se propaga por el sistema. estos bichos modifican también los archivos infectados para que, si alguien abre ese fichero, infecte también su equipo. vamos, que se lía la del pulpo.
en resumen: el luser que tu dices es el usuario. que la seguridad de un sistema informático es como una cadena, aguanta lo que aguanta el eslabón mas débil, que siempre es el ser humano. ya sea mediante el usuario mas torpe del mundo, como el mas listo de todos al que se la han colado.
si te fijas ya son menos los "ataques" directos a servidores los que se ven, ahora se ven mas "ataques" mediante infecciones con intervención humana.
#29 No si por eso lo digo, que trabajo en esos entornos y los de sistemas no hay semana que no manden un correo de "No bajes ningún archivo que no sean de trabajo joder!!", en mi curro hubo un amago y desde entonces los ordenadores no aceptan pendrives que fue el punto débil en aquel momento, desconozco si fue tan tonto como lo de mr.robot que le "regalaron" un pendrive/cd y acto seguido lo metio
#37 o un correo o una pagina web, vete tu a saber. normalmente el que pasa de esos correos es el que también se cree mas listo y es al que mejor se la cuelan. ya sabes, ignorante soberbio que pasa de los de sistemas.
#41 En el pc del curro, prefiero no tocar nada precisamente porque me considero un ignorante. En mi ordenador de casa, en ese si la he cagado mil veces probando cosas y sin problema
#42 lo de sin problema... huy de ti como tengas un troyano que te capture las pulsaciones del teclado. el mejor virus es el que pasa inadvertido para lograr su cometido. como los espias, si te enteras de su trabajo es que están haciendo mal su trabajo.
tengo conocidos algo paranoicos que tienen un live CD (si un live cd que es mas improbable que se infecte comparado con un USB) bien preparado para poder usarlo para cuando tienen que entrar en sitios web como banca, correo electronico, etc... para asegurarse de que no les han colado ningun virus que les pueda capturar las pulsaciones de teclado, es mas, uno de ellos lo usa en un portatil algo viejo que ni tan siquiera tiene sistema operativo instalado. me parece cojonudo lo que hacen, pero al común de los mortales le generaría demasiada pereza tener que abrir un live cd siempre que quieran entrar en su banco.
#43 Yo a ese nivel no llego y como digo el pc de casa lo uso para cacharrear o como mucho jugar, en banca hace tiempo que se decidió sabiamente pedir doble factor para prácticamente todo, incluso puedes tener un token RSA. Lo del teclado no era un keylogger? Yo me pierdo con tantos nombres, también puedes tener distintas instalaciones no hace falta ser conspiracyman y tener un portátil de hace 1000 años para entrar al banco.
#45 creo que un troyano hace mas referencia al método de infección, del origen de su nombre se sobreentiende. luego lo que haga cada troyano eso es cosa del programador de turno. lo normal es hacer acciones de "espionaje" ya sea con funciones keylogger como poder copiar ficheros, etc...
era típica la frase: te han infectado con un keylogger mediante un troyano.
lo digo porque en mi FP2 de informática, como trabajo de fin de curso, hice un programa de control remoto y usé como "inspiración" un código de un troyano que capturaba las pulsaciones de teclado, podías ver la pantalla, navegar por su disco duro.
lo del doble factor guay, lo que te he comentado de los conocidos lo hacen desde hace ya tiempo, de antes de la obligación del doble factor, y como son gente de costumbres, siguen usándolo. y no es necesario usar equipos de hace mil. dije lo de equipos viejos a modo: se compran un portátil nuevo y con el viejo lo dejaron para eso, antes que tirarlo le dan una segunda vida.
#43 Yo tengo OpenBSD, no live, pero con cuentas separadas para curro y banca, con perfiles de Chromium separados, y este con pledge y Ublock Origin.
Ningún perfil de usuario toca al resto; y por supuesto el de banca/curro no toca nada.
#37 Los tiempos de los correos chungos redactados en spanglish y adjuntos sospechosos quedaron muy atrás.
Ahora tienes oleadas masivas de correos de remitentes legitimos redactados en perfecto castellano adjuntando justificantes de pago o solicitando presupuestos.
De hecho, alguna nos ha llegado en la que respondían sobre correos que nosotros mismos habíamos mandado, con lo que te confías incluso más.
#26 Hay mucho user que hace eso, y los ataques de ramonware cada vez pueden ser mas sofisticados, utilizando por ejemplo alias que el destinatario conozca para intentar ocultar su correo real y hacerse pasar así por alguien de tu confianza o por un directivo de tu propia empresa.
Para alguien con prisa o con pocos conocimientos de seguridad, o que se manda algún cursillo sea el típico que sencillamente da a siguiente siguiente para seguir trabajando puede no esperarse que en un docx o pdf que le manda un "directivo" de su propia empresa vaya infectado.
#26¿Este tipo de ataques no necesitan que se abran adjuntos?
El ransomware está siendo un negociazo de tomo y lomo y la ingeniería social que tiene detrás cuando los ataques son dirigidos no tiene nada que ver con el iloveyou. Lo que necesita es ejecutar algo, cómo se consiga es indiferente y desde luego no pasa por la casualidad de abrir ejecutables adjuntos que además están súpervigilados por antivirus y appliances de seguridad.
Todo depende más de las políticas de seguridad que estén en funcionamiento para impedir los descuidos. Y puede ser ingeniería social pero también un agujero de seguridad que lleva año y medio sin tapar como una actualización de programas en segundo plano.
#26 Pues mucha gente. Pero vamos, no se de que os quejais. Si todos los usuarios hicieran caso a las recomendaciones basicas de seguridad la mitad de los servicios tecnicos internos de las empresas se quedarian sin trabajo.
#47 cuando trabajaba en el departamento de sistemas le decía a los usuarios (no a todos claro está, nunca se sabe con quien hablas): tu desconocimiento en la informática es mi pan de cada día.
#16 > para poder ver paginas para su trabajo (porno)
Proxy y bloqueo, a tomar por culo. Si el jefe amenaza con desperdirte, llamas a la junta directiva y muéstrale el log y el puesto de donde se ha conectado el imbecil ese con el porno en horario de trabajo con riesgo de seguridad GRAVE para la empresa. Ellos sabrán mejor qué hacer.
#52 en una gran empresa pues si, ahí no cabria esa historia de turno, hablo de la inmensa de las empresas que pueblan españa, las PYMES, esos entes donde el informático es el leonardo da vinci de nuestra época, esa persona que debe conocer el funcionamiento de absolutamente todo con unas capacidades que ni los mejores hackers, y a precio de becario.
#57 Que gran verdad,cuantas veces me he tenido que morder la lengua por no poder hablar y decirle al jefe que tenía que ponerle acceso como usuario a la red (y evitar problemas más tarde ante el borrado de ficheros).
Pero claro,es el jefe y como va a tener que pedirme permiso para acceder a cualquier sitio del sistema.Nadie le tiene que decir lo que pude o no bajar de cualquier sitio de internet.
Luego ocurre lo que ocurre y te comes el marrón y las horas que hagan falta para solucionarlo,porque claro, la empresa debe continuar.
#16 Pues a mi no. De hecho, lo reporte a la Guardia Civil y al contacto de abuso de su dominio registrado con WHOIS, después de analizar el URL que me llego por SMS dentro de una sesión de la maquina virtual. Parece que es un timo adonde te tratan de robar los datos con una pagina false de DHL y que te salvas una vez que no le haces caso, pero en realidad si la llegas a ver a través de tu móvil, seguramente ya habrá descargado su payload, que habrá comprometido todas las cuentas que tengas accesibles en tu móvil. Después contigo no se meterán (si no eres bastante bobo y rellenas el formulario), porque el verdadero premio estará en fisgonear hasta adonde llegan esas cuentas.
Si hay que echar culpas, echaselas a las empresas que en España no se acostumbran a dar a sus empleados móviles de empresa para uso solo con cuentas corporativas y para uso corporativo y por una cultura tecnológica laxa mas por los trabajos cárnica que todavía esta normalizado en España adonde las subcontratas finales no tienen ni la capacidad de configurar los propios servidores de correo, sin hablar de plataformar los sistemas que utilizas. Que el cliente final pone una absurdidad de esfuerzo para plataformar el acceso mientras dejan que los subcontratas vayan desnudos es un ridículo.
#75 me alegro que no te haya sucedido nada, a mi tampoco me ha llegado a pasar nada, aun. pero no des por seguro que tu sistema de seguridad o tus capacidades son la repolla. que sin que te des cuenta te la pueden llegar a meter muy doblada y hasta el fondo.
#76 Es que mis capacidades de seguridad no son la repolla, es que las de otros es peor, y tiene mucho que ver la cultura informática que se promueve. Solo con poder ver el SMS, URL escondido detrás de un link shortener sin poder identificarlo, y el mensaje inusual, empece a sospechar, y una simple búsqueda revelo.
#12 Estamos poniendo el protocolo que se estudia en cualquier curso, en cualquier nivel de enseñanza reglada o no, si estudias el primer tema de seguridad informática. Punto.
Una cosa es saber que es lo mejor que se puede hacer y otra cosa es poder hacerlo.
Por ejemplo, uno puede saber cual es la mejor estrategia para protegerse de una serie de ataques ya conocidos y documentados, cual es la manera mas adecuada para mantener copias de respaldo frescas, e incluso puede hacer planes de desastre y proponer ejercicios periódicos para ponerlos a prueba.
He trabajado en entornos donde todo esto no solo se permitía hacer sin problemas, si no que era parte del plan de la directiva para mantener la empresa siempre solida.
El problema es que hay varios factores en muchas empresas, publicas, semipublicas y privadas que hacen que esto no sea posible.
Hay sitios donde una vez algo simplemente funciona, no invierten ni medio euro mas, ven el soporte informático en general como un gasto - y así figura en lo libros, claro!- y no como una necesidad.
Luego hay sitios donde es todo el fanfarroneo de lo que es visible, y todo lo demás es secundario o terciario. Invertirán la hostia y media en la pagina web y en los equipos de la oficina ( pantallotes por todas partes, etc), pero el centro de datos, los equipos de backoffice etc estarán completamente descuidados.
Hay sitios donde no tienen ni puta idea de lo que están haciendo o incluso te dirán que no hacen falta copias de seguridad.
Y luego hay sitios donde simplemente se quiere hacer mas de lo que se puede permitir y es todo de juguete. Desde la contratación a a los equipos.
#12 Si fueras uno de ellos sabrías que cada vez que propones un cambio que afecta a la seguridad, pocas veces se llega a implementar porque "afecta al negocio", "es mucho lío", "hay que hacer las cosas de otra manera", y un sinfín de excusas que provocan que todo esté cogido con chinchetas, y que al primer tirón, todo se desmorone.
#12 Ningún, digamos, informático, que haga algo minimamente relevante en el mundo está perdiendo el tiempo en Menéame Ningún Plan sobrevive al contacto con el Enemigo
#12 A ver, en Menéame la mayoría ya no es informático, creo yo. Compáralo a slashdot.org si me dudas. Aquí han venido los del Parler Español y Catalunya, por alguna razón o otra.
#23 Tener el plan es el prerrequisito. Implementarlo y tenerlo al día es mantenimiento y ya se sabe que el mantenimiento es un coste que no luce... Hasta que ocurre la contingencia.
A nuestra empresa en su dia nos pidieron un plan de seguridad donde se detallaba las copias de seguridad y como plantear su recuperacion en caso de desastre. Si nos hacian una inspeccion y no lo teniamos nos arriesgabamos a una multa. Aparte solemos preparar a los usuarios a identificar los posibles ataques.
#23 Así lo hace cualquiera con dos dedos de luces, joder lo hago yo con mis fotos (4 backups con uno en frio y dos externos uno de ellos internacional) que se podría decir que no pierdo un duro si se van a tomar por culo (solo el valor sentimental que no es poco)
Pero esto es dinero público si no me equivoco verdad? aaah bueno de ese no hay problema, eso no es de nadie y siempre sobra.
#9 Casi todo el mundo tiene un plan como ese. El problema es que ese plan debería ser ejecutado en test una vez al año y en producción cada 5 años o así. Porque sino lo que ocurre sistemáticamente es que el plan se queda totalmente desactualizado y cuando de verdad lo necesitas no funciona.
A nosotros nos infectaron hasta las trancas, el ramsomware paso inadvertido durante un mes, hasta que lograron encriptar las copias de seguridad y luego lo empezaron a encriptar todo. El modo de entrar fue a partir de la copia de un documento que te enviava una de las personas con el correo corporativo. Era una copia de un correo corporativo que te habían enviado, pero esta vez con regalo
#11 ahí está el quid de la cuestión, un ataque ransomware como han comentado otras veces no tiene nada de trivial, suele estar muy bien pensado y estar latente mientras estudian todo tu sistema de copias de seguridad para estar seguros de que cuando lo ejecuten te van a joder pero bien y vas a pasar por el aro pagando... Ante eso sólo se me ocurre tener backups en soporte físico offline y comprobar diariamente que está en buenas condiciones y no te lo han encriptado o corrompido (podría ser una buena señal de alarma....)
#30 Los antivirus son una lacra, y pocas veces detectan "regalos" fabricados a medida del cliente/víctima, y hay que tener en cuenta que si rebasan el Antivirus/EDR, tienes que tener otras líneas de actuación y rescate.
#68 Siempre la primera medida de seguridad debe de ser el conocimiento del usuario, así como las medidas que como administrador pongas para limitar sus permisos, así como parchear las Zero-days, pero si todo eso falla, tienes que tener un antivirus detrás, por lo que por mi forma de verlo, el Antivirus vendría a ser tu última barrera de defensa, cada Antivirus tendrá sus fuertes, y sus debilidades, yo con el AV que he trabajado puedo decir que se han parado varios intentos de ataques cuando los usuarios han pinchado donde no debían, y que por ejemplo hemos intentado bypassearlo con mimikatz sin éxito, por lo que mi opinión es que en Windows funcionan bastante bien.
Si todo eso falla mas te vale tener una buena política de backups, y tener segmentados los entornos usuario de los servidores para evitar movimiento lateral en la medida de lo posible.
#25 Discrepo, el 99% de los ramsomware son triviales, en el sentido de que no hay atacante si no es una "pesca de arrastre".
No es un ataque, es un fallo de seguridad por una mala(cuando no nula) implementación de acceso a recursos de usuarios(y te puedes hacer una idea de como es la política de copias de seguridad en esos casos, que es probable que exista, pero que nunca se haya probado...), sumado a un desconocimiento en cuestiones de seguridad de los mismos.
#31 Puede que el 99% de los ataques sean pesca de arrastre. Pero el otro 1% supone probablemente el 90% del dinero que consiguen recaudar, y ese 1% son ataques dirigidos.
#31 no lo niego, pero esos no suelen salir en las noticias porque precisamente por eso a poco que sean espabilados en la empresilla de turno se recuperan rápido restaurando backups y aquí no ha pasado nada porque es malo para su imagen.... si ataca a una empresa gorda y se queda en pelotas hasta el punto de salir en la tele suele ser porque el ataque está bastante medido y no pueden recuperarse tan fácilmente ...
Estas mierdas se propagan muy rápido por toda la red, más aún si los usuarios tienen unidades de red conectadas con Windows. Y efectivamente, como dice #11, en muchas ocasiones, cuando algún usuario da la voz de alarma las copias ya están comprometidas.
Tirar de backup es la única solución, pero es imprescindible una buena estrategia, y eso vale dinero. Las cabinas de discos no son baratas y las cintas menos aún, porque además tienen un ciclo de vida relativamente corto cuanta más densidad de información tienen.
Yo recuerdo una cagada gorda con un raid que acabó costando una pasta con una empresa de recuperación de datos. Lo increíble es que ninguno de sistemas sabíamos que toda la facturación de la empresa se guardaba en Excel, en un puto Excel! Dentro de ese raid.
Obvio, como ese raid era de almacenamiento para usuarios los backups no eran precisamente prioritarios.
#21 ya te digo. Esos no van precisamente faltos de recursos, ni económicos ni de personal.
#33#11 Las putas macros de los cojones. Si se pasaran a una suite donde esas mierdas no existiesen (o estuviesen bloqueadas tanto por políticas de grupo como dentro de la suite, otro gallo nos cantaría).
Recuerdo cuando pasó lo mismo en Telefónica. Vale con que un directivo pinche un enlace que no debe y diga que sí a unos cartelitos y empiece la fiesta.
#38 Si gastas tu dinero en subcontratar los servicios de análisis de logs, los IDS, IPS, ..., y luego no haces un mísero DRP (prueba de restauración) para ver si las copias que tienes son coherentes, y si las copias que almacenas "offline" sirven para algo, todo el dinero que gastes no servirá para nada.
Cuando los proyectos de software son un negocio descuidado, sin soporte, que funciona a base de parches con costes altos de mantenimiento y luego pasa esto que nadie se extrañe.
Le puede pasar a todo el mundo, obviamente, pero con los presupuestazos que manejan estás instituciones a ver si las cárnicas se toman en serio lo de la seguridad y ponen a gente competente a diseñar planes de prevención y DR. Aunque igual a ellos les va mejor que los ataques tengan éxito, más horas que facturan.
#21 espera que hacemos una reunion, para crear un departamento de gente que no tiene idea, preparamod un spot ligning y en 3 semanad hay una build ( q en realidad no sirve para nada)
Esa imagen está muy desactualizada, las torres de la Sagrada Familia están bastante más altas ya. Yo creo que mis nietos la verán acabada. Y no tengo hijos.
Deberían considerar esas acciones como terrorismo, imagina que afecta a una compañía de luz, agua, hospitales (como ya ocurrió a inicios de la Pandemia...)
#6 ¿A quien se le ocurre tener cuentas de usuario que anden navegando por internet y descargando mierdas con tanto acceso en los servidores?
¿A quien se le ocurre no tener copias de seguridad segmentadas y de varios días diferentes?
Puede que tus servidores no tengan acceso desde internet pero sin usuario de esos servidores lo tiene el problema esta ahí.
#6 Eso es un poco cuñao. El problema no es tener los servidores accesibles a internet. Hoy en día cuando la mitad de las aplicaciones empresariales son en la nube (Salesforce, SuccessFactors, Workday, SAP Cloud...) es normal tener los servidores conectados a internet. El problema es el COMO.
Comentarios
Por qué todos los informáticos buenos de este país andan perdiendo el tiempo en Menéame???? Por qué????
A ellos nunca les hubiera pasado.
#12 si que nos habria pasado. lo unico que exponemos que se hizo mal para que otros aprendan, incluidos nosotros mismos. que muchas veces intentamos aplicar esas medidas pero, o por falta de presupuesto, tiempo o que directamente les toca mucho los huevos a los jefazos tener tantas limitaciones para poder ver paginas para su trabajo (porno), nos atan de manos y pies. y donde hay capitán no manda marinero. claro está, siempre guardamos a buen recaudo esos correos donde les advertimos de que si no nos dejan hacer X puede pasar esto. pero aun con esas, siempre echaran la culpa al informático o a la informática en general, que la carga el diablo.
#16 Pero a ver si es que esto a cambiado o yo no estoy actualizado ¿Este tipo de ataques no necesitan que se abran adjuntos? ¿Quién es el luser que sigue abriendo adjuntos sin saber de donde vienen?
#26 obviamente no es un ataque como tal, del lanzo ofensiva contra tu servidor tipo Mr robot. esto es mas, como dices, un usuario que le da clic a donde no debe. y como tiene mas permisos de los que debería, ya sea por inacción del informático de turno o porque, como he dicho antes, el informático está atado de pies y manos. pues una vez entra el bicho en un sistema se propaga por el sistema. estos bichos modifican también los archivos infectados para que, si alguien abre ese fichero, infecte también su equipo. vamos, que se lía la del pulpo.
en resumen: el luser que tu dices es el usuario. que la seguridad de un sistema informático es como una cadena, aguanta lo que aguanta el eslabón mas débil, que siempre es el ser humano. ya sea mediante el usuario mas torpe del mundo, como el mas listo de todos al que se la han colado.
si te fijas ya son menos los "ataques" directos a servidores los que se ven, ahora se ven mas "ataques" mediante infecciones con intervención humana.
#29 No si por eso lo digo, que trabajo en esos entornos y los de sistemas no hay semana que no manden un correo de "No bajes ningún archivo que no sean de trabajo joder!!", en mi curro hubo un amago y desde entonces los ordenadores no aceptan pendrives que fue el punto débil en aquel momento, desconozco si fue tan tonto como lo de mr.robot que le "regalaron" un pendrive/cd y acto seguido lo metio
#37 o un correo o una pagina web, vete tu a saber. normalmente el que pasa de esos correos es el que también se cree mas listo y es al que mejor se la cuelan. ya sabes, ignorante soberbio que pasa de los de sistemas.
#41 En el pc del curro, prefiero no tocar nada precisamente porque me considero un ignorante. En mi ordenador de casa, en ese si la he cagado mil veces probando cosas y sin problema
#42 lo de sin problema... huy de ti como tengas un troyano que te capture las pulsaciones del teclado. el mejor virus es el que pasa inadvertido para lograr su cometido. como los espias, si te enteras de su trabajo es que están haciendo mal su trabajo.
tengo conocidos algo paranoicos que tienen un live CD (si un live cd que es mas improbable que se infecte comparado con un USB) bien preparado para poder usarlo para cuando tienen que entrar en sitios web como banca, correo electronico, etc... para asegurarse de que no les han colado ningun virus que les pueda capturar las pulsaciones de teclado, es mas, uno de ellos lo usa en un portatil algo viejo que ni tan siquiera tiene sistema operativo instalado. me parece cojonudo lo que hacen, pero al común de los mortales le generaría demasiada pereza tener que abrir un live cd siempre que quieran entrar en su banco.
#43 Yo a ese nivel no llego y como digo el pc de casa lo uso para cacharrear o como mucho jugar, en banca hace tiempo que se decidió sabiamente pedir doble factor para prácticamente todo, incluso puedes tener un token RSA. Lo del teclado no era un keylogger? Yo me pierdo con tantos nombres, también puedes tener distintas instalaciones no hace falta ser conspiracyman y tener un portátil de hace 1000 años para entrar al banco.
#45 creo que un troyano hace mas referencia al método de infección, del origen de su nombre se sobreentiende. luego lo que haga cada troyano eso es cosa del programador de turno. lo normal es hacer acciones de "espionaje" ya sea con funciones keylogger como poder copiar ficheros, etc...
era típica la frase: te han infectado con un keylogger mediante un troyano.
lo digo porque en mi FP2 de informática, como trabajo de fin de curso, hice un programa de control remoto y usé como "inspiración" un código de un troyano que capturaba las pulsaciones de teclado, podías ver la pantalla, navegar por su disco duro.
lo del doble factor guay, lo que te he comentado de los conocidos lo hacen desde hace ya tiempo, de antes de la obligación del doble factor, y como son gente de costumbres, siguen usándolo. y no es necesario usar equipos de hace mil. dije lo de equipos viejos a modo: se compran un portátil nuevo y con el viejo lo dejaron para eso, antes que tirarlo le dan una segunda vida.
#43 Yo tengo OpenBSD, no live, pero con cuentas separadas para curro y banca, con perfiles de Chromium separados, y este con pledge y Ublock Origin.
Ningún perfil de usuario toca al resto; y por supuesto el de banca/curro no toca nada.
#37 Los tiempos de los correos chungos redactados en spanglish y adjuntos sospechosos quedaron muy atrás.
Ahora tienes oleadas masivas de correos de remitentes legitimos redactados en perfecto castellano adjuntando justificantes de pago o solicitando presupuestos.
De hecho, alguna nos ha llegado en la que respondían sobre correos que nosotros mismos habíamos mandado, con lo que te confías incluso más.
#26 Hay mucho user que hace eso, y los ataques de ramonware cada vez pueden ser mas sofisticados, utilizando por ejemplo alias que el destinatario conozca para intentar ocultar su correo real y hacerse pasar así por alguien de tu confianza o por un directivo de tu propia empresa.
Para alguien con prisa o con pocos conocimientos de seguridad, o que se manda algún cursillo sea el típico que sencillamente da a siguiente siguiente para seguir trabajando puede no esperarse que en un docx o pdf que le manda un "directivo" de su propia empresa vaya infectado.
#26 ¿Este tipo de ataques no necesitan que se abran adjuntos?
El ransomware está siendo un negociazo de tomo y lomo y la ingeniería social que tiene detrás cuando los ataques son dirigidos no tiene nada que ver con el iloveyou. Lo que necesita es ejecutar algo, cómo se consiga es indiferente y desde luego no pasa por la casualidad de abrir ejecutables adjuntos que además están súpervigilados por antivirus y appliances de seguridad.
Todo depende más de las políticas de seguridad que estén en funcionamiento para impedir los descuidos. Y puede ser ingeniería social pero también un agujero de seguridad que lleva año y medio sin tapar como una actualización de programas en segundo plano.
#26 Pues mucha gente. Pero vamos, no se de que os quejais. Si todos los usuarios hicieran caso a las recomendaciones basicas de seguridad la mitad de los servicios tecnicos internos de las empresas se quedarian sin trabajo.
#47 cuando trabajaba en el departamento de sistemas le decía a los usuarios (no a todos claro está, nunca se sabe con quien hablas): tu desconocimiento en la informática es mi pan de cada día.
#47 Como si todos supiéramos mecánica cerraban los talleres, menuda estupidez
#16 > para poder ver paginas para su trabajo (porno)
Proxy y bloqueo, a tomar por culo. Si el jefe amenaza con desperdirte, llamas a la junta directiva y muéstrale el log y el puesto de donde se ha conectado el imbecil ese con el porno en horario de trabajo con riesgo de seguridad GRAVE para la empresa. Ellos sabrán mejor qué hacer.
#52 en una gran empresa pues si, ahí no cabria esa historia de turno, hablo de la inmensa de las empresas que pueblan españa, las PYMES, esos entes donde el informático es el leonardo da vinci de nuestra época, esa persona que debe conocer el funcionamiento de absolutamente todo con unas capacidades que ni los mejores hackers, y a precio de becario.
#57 Que gran verdad,cuantas veces me he tenido que morder la lengua por no poder hablar y decirle al jefe que tenía que ponerle acceso como usuario a la red (y evitar problemas más tarde ante el borrado de ficheros).
Pero claro,es el jefe y como va a tener que pedirme permiso para acceder a cualquier sitio del sistema.Nadie le tiene que decir lo que pude o no bajar de cualquier sitio de internet.
Luego ocurre lo que ocurre y te comes el marrón y las horas que hagan falta para solucionarlo,porque claro, la empresa debe continuar.
#16 Pues a mi no. De hecho, lo reporte a la Guardia Civil y al contacto de abuso de su dominio registrado con WHOIS, después de analizar el URL que me llego por SMS dentro de una sesión de la maquina virtual. Parece que es un timo adonde te tratan de robar los datos con una pagina false de DHL y que te salvas una vez que no le haces caso, pero en realidad si la llegas a ver a través de tu móvil, seguramente ya habrá descargado su payload, que habrá comprometido todas las cuentas que tengas accesibles en tu móvil. Después contigo no se meterán (si no eres bastante bobo y rellenas el formulario), porque el verdadero premio estará en fisgonear hasta adonde llegan esas cuentas.
Si hay que echar culpas, echaselas a las empresas que en España no se acostumbran a dar a sus empleados móviles de empresa para uso solo con cuentas corporativas y para uso corporativo y por una cultura tecnológica laxa mas por los trabajos cárnica que todavía esta normalizado en España adonde las subcontratas finales no tienen ni la capacidad de configurar los propios servidores de correo, sin hablar de plataformar los sistemas que utilizas. Que el cliente final pone una absurdidad de esfuerzo para plataformar el acceso mientras dejan que los subcontratas vayan desnudos es un ridículo.
#75 me alegro que no te haya sucedido nada, a mi tampoco me ha llegado a pasar nada, aun. pero no des por seguro que tu sistema de seguridad o tus capacidades son la repolla. que sin que te des cuenta te la pueden llegar a meter muy doblada y hasta el fondo.
#76 Es que mis capacidades de seguridad no son la repolla, es que las de otros es peor, y tiene mucho que ver la cultura informática que se promueve. Solo con poder ver el SMS, URL escondido detrás de un link shortener sin poder identificarlo, y el mensaje inusual, empece a sospechar, y una simple búsqueda revelo.
#12 Estamos poniendo el protocolo que se estudia en cualquier curso, en cualquier nivel de enseñanza reglada o no, si estudias el primer tema de seguridad informática. Punto.
#12 Hay algo que debes saber.
Una cosa es saber que es lo mejor que se puede hacer y otra cosa es poder hacerlo.
Por ejemplo, uno puede saber cual es la mejor estrategia para protegerse de una serie de ataques ya conocidos y documentados, cual es la manera mas adecuada para mantener copias de respaldo frescas, e incluso puede hacer planes de desastre y proponer ejercicios periódicos para ponerlos a prueba.
He trabajado en entornos donde todo esto no solo se permitía hacer sin problemas, si no que era parte del plan de la directiva para mantener la empresa siempre solida.
El problema es que hay varios factores en muchas empresas, publicas, semipublicas y privadas que hacen que esto no sea posible.
Hay sitios donde una vez algo simplemente funciona, no invierten ni medio euro mas, ven el soporte informático en general como un gasto - y así figura en lo libros, claro!- y no como una necesidad.
Luego hay sitios donde es todo el fanfarroneo de lo que es visible, y todo lo demás es secundario o terciario. Invertirán la hostia y media en la pagina web y en los equipos de la oficina ( pantallotes por todas partes, etc), pero el centro de datos, los equipos de backoffice etc estarán completamente descuidados.
Hay sitios donde no tienen ni puta idea de lo que están haciendo o incluso te dirán que no hacen falta copias de seguridad.
Y luego hay sitios donde simplemente se quiere hacer mas de lo que se puede permitir y es todo de juguete. Desde la contratación a a los equipos.
#12 Porque si tuviera que aplicar las GPO de Windows Server debidamente, cualqjier directivo soplapollas me daba la patada.
#12 Si fueras uno de ellos sabrías que cada vez que propones un cambio que afecta a la seguridad, pocas veces se llega a implementar porque "afecta al negocio", "es mucho lío", "hay que hacer las cosas de otra manera", y un sinfín de excusas que provocan que todo esté cogido con chinchetas, y que al primer tirón, todo se desmorone.
#12 Ningún, digamos, informático, que haga algo minimamente relevante en el mundo está perdiendo el tiempo en Menéame
Ningún Plan sobrevive al contacto con el Enemigo
#12 A ver, en Menéame la mayoría ya no es informático, creo yo. Compáralo a slashdot.org si me dudas. Aquí han venido los del Parler Español y Catalunya, por alguna razón o otra.
#23 Tener el plan es el prerrequisito. Implementarlo y tenerlo al día es mantenimiento y ya se sabe que el mantenimiento es un coste que no luce... Hasta que ocurre la contingencia.
Cuando no se tiene cash, lo mejor es sufrir un ataque.
#1 Bingo
#1 Por eso me lo pongo todos los dias en la radio un ratito.
#1 pues que el AMB, que suelta un sablazo a todos los residentes del área metropolitana de Barcelona, no tenga cash...
#1 ¿Insinúas que en el SEPE se han inventado eso para no pagar marzo? ¿Crees que la ministra es capaz de eso?
#58
A nuestra empresa en su dia nos pidieron un plan de seguridad donde se detallaba las copias de seguridad y como plantear su recuperacion en caso de desastre. Si nos hacian una inspeccion y no lo teniamos nos arriesgabamos a una multa. Aparte solemos preparar a los usuarios a identificar los posibles ataques.
#9 Así lo hacemos en mi empresa también.
#23 Así lo hace cualquiera con dos dedos de luces, joder lo hago yo con mis fotos (4 backups con uno en frio y dos externos uno de ellos internacional) que se podría decir que no pierdo un duro si se van a tomar por culo (solo el valor sentimental que no es poco)
Pero esto es dinero público si no me equivoco verdad? aaah bueno de ese no hay problema, eso no es de nadie y siempre sobra.
#9 Casi todo el mundo tiene un plan como ese. El problema es que ese plan debería ser ejecutado en test una vez al año y en producción cada 5 años o así. Porque sino lo que ocurre sistemáticamente es que el plan se queda totalmente desactualizado y cuando de verdad lo necesitas no funciona.
#54 ¡El papel lo aguanta todo!
A nosotros nos infectaron hasta las trancas, el ramsomware paso inadvertido durante un mes, hasta que lograron encriptar las copias de seguridad y luego lo empezaron a encriptar todo. El modo de entrar fue a partir de la copia de un documento que te enviava una de las personas con el correo corporativo. Era una copia de un correo corporativo que te habían enviado, pero esta vez con regalo
#11 ahí está el quid de la cuestión, un ataque ransomware como han comentado otras veces no tiene nada de trivial, suele estar muy bien pensado y estar latente mientras estudian todo tu sistema de copias de seguridad para estar seguros de que cuando lo ejecuten te van a joder pero bien y vas a pasar por el aro pagando... Ante eso sólo se me ocurre tener backups en soporte físico offline y comprobar diariamente que está en buenas condiciones y no te lo han encriptado o corrompido (podría ser una buena señal de alarma....)
#25 Tener un buen antivirus o un EDR que detecte cuando un usuario descarga algo que no debe o se mete donde no debe tambien ayuda bastante.
#30 Los antivirus son una lacra, y pocas veces detectan "regalos" fabricados a medida del
cliente/víctima, y hay que tener en cuenta que si rebasan el Antivirus/EDR, tienes que tener otras líneas de actuación y rescate.#68 Siempre la primera medida de seguridad debe de ser el conocimiento del usuario, así como las medidas que como administrador pongas para limitar sus permisos, así como parchear las Zero-days, pero si todo eso falla, tienes que tener un antivirus detrás, por lo que por mi forma de verlo, el Antivirus vendría a ser tu última barrera de defensa, cada Antivirus tendrá sus fuertes, y sus debilidades, yo con el AV que he trabajado puedo decir que se han parado varios intentos de ataques cuando los usuarios han pinchado donde no debían, y que por ejemplo hemos intentado bypassearlo con mimikatz sin éxito, por lo que mi opinión es que en Windows funcionan bastante bien.
Si todo eso falla mas te vale tener una buena política de backups, y tener segmentados los entornos usuario de los servidores para evitar movimiento lateral en la medida de lo posible.
#25 Discrepo, el 99% de los ramsomware son triviales, en el sentido de que no hay atacante si no es una "pesca de arrastre".
No es un ataque, es un fallo de seguridad por una mala(cuando no nula) implementación de acceso a recursos de usuarios(y te puedes hacer una idea de como es la política de copias de seguridad en esos casos, que es probable que exista, pero que nunca se haya probado...), sumado a un desconocimiento en cuestiones de seguridad de los mismos.
#31 Puede que el 99% de los ataques sean pesca de arrastre. Pero el otro 1% supone probablemente el 90% del dinero que consiguen recaudar, y ese 1% son ataques dirigidos.
#31 no lo niego, pero esos no suelen salir en las noticias porque precisamente por eso a poco que sean espabilados en la empresilla de turno se recuperan rápido restaurando backups y aquí no ha pasado nada porque es malo para su imagen.... si ataca a una empresa gorda y se queda en pelotas hasta el punto de salir en la tele suele ser porque el ataque está bastante medido y no pueden recuperarse tan fácilmente ...
Estas mierdas se propagan muy rápido por toda la red, más aún si los usuarios tienen unidades de red conectadas con Windows. Y efectivamente, como dice #11, en muchas ocasiones, cuando algún usuario da la voz de alarma las copias ya están comprometidas.
Tirar de backup es la única solución, pero es imprescindible una buena estrategia, y eso vale dinero. Las cabinas de discos no son baratas y las cintas menos aún, porque además tienen un ciclo de vida relativamente corto cuanta más densidad de información tienen.
Yo recuerdo una cagada gorda con un raid que acabó costando una pasta con una empresa de recuperación de datos. Lo increíble es que ninguno de sistemas sabíamos que toda la facturación de la empresa se guardaba en Excel, en un puto Excel! Dentro de ese raid.
Obvio, como ese raid era de almacenamiento para usuarios los backups no eran precisamente prioritarios.
#21 ya te digo. Esos no van precisamente faltos de recursos, ni económicos ni de personal.
#33 #11 Las putas macros de los cojones. Si se pasaran a una suite donde esas mierdas no existiesen (o estuviesen bloqueadas tanto por políticas de grupo como dentro de la suite, otro gallo nos cantaría).
#11 la copias de seguridad siempre offline
Y después queremos ciudades inteligentes, el internet de las cosas... Esto de poner todos los huevos en la misma cesta no puede salir bien.
#22 Pucelanos leístas por el mundo
#15 No les había de todos los sistemas y algunos estaban rotos. Hubo gente corriendo en círculos con los brazos en alto durante varias semanas
#19 ¿vallisoletano o madrileño?
#22 debe ser vallisoletano, yo vivo en Madrid y no le he entendido
#19 Hommer siempre tiene una versión.
Recuerdo cuando pasó lo mismo en Telefónica. Vale con que un directivo pinche un enlace que no debe y diga que sí a unos cartelitos y empiece la fiesta.
#10 si, pero para eso están los backups. Si los hay.
#15 Los backups deben ir acompañados de collejazos al usuario hasta que te sangren las manos, si no, no sirve.
¿Se van a tirar más de una semana como el SEPE para arreglarlo?
#5 ¿Una semana? Inocente.
#38 Si gastas tu dinero en subcontratar los servicios de análisis de logs, los IDS, IPS, ..., y luego no haces un mísero DRP (prueba de restauración) para ver si las copias que tienes son coherentes, y si las copias que almacenas "offline" sirven para algo, todo el dinero que gastes no servirá para nada.
Cuando los proyectos de software son un negocio descuidado, sin soporte, que funciona a base de parches con costes altos de mantenimiento y luego pasa esto que nadie se extrañe.
Joder, genial.
En mi empresa tenemos algún que otro cliente de Barcelona que ha sufrido esos ataques.
Que no pare la fiesta.
Le puede pasar a todo el mundo, obviamente, pero con los presupuestazos que manejan estás instituciones a ver si las cárnicas se toman en serio lo de la seguridad y ponen a gente competente a diseñar planes de prevención y DR. Aunque igual a ellos les va mejor que los ataques tengan éxito, más horas que facturan.
#21 espera que hacemos una reunion, para crear un departamento de gente que no tiene idea, preparamod un spot ligning y en 3 semanad hay una build ( q en realidad no sirve para nada)
Esa imagen está muy desactualizada, las torres de la Sagrada Familia están bastante más altas ya. Yo creo que mis nietos la verán acabada. Y no tengo hijos.
randssommadrit ens roba
Vaya SEPE lío Matías
Viva el Outlook, viva el Guindows.
Alguien que me aclare una duda, ¿se sabe si son ataques dirigidos o son casos de gente q abre correos equivocados en la red equivocada?
Deberían considerar esas acciones como terrorismo, imagina que afecta a una compañía de luz, agua, hospitales (como ya ocurrió a inicios de la Pandemia...)
A quién se le ocurre tener tus servidores accesibles desde internet.
#6 ¿A quien se le ocurre tener cuentas de usuario que anden navegando por internet y descargando mierdas con tanto acceso en los servidores?
¿A quien se le ocurre no tener copias de seguridad segmentadas y de varios días diferentes?
Puede que tus servidores no tengan acceso desde internet pero sin usuario de esos servidores lo tiene el problema esta ahí.
#8 El dinero gastado en seguridad sirve de nada. Hasta que sirve
#6 Eso es un poco cuñao. El problema no es tener los servidores accesibles a internet. Hoy en día cuando la mitad de las aplicaciones empresariales son en la nube (Salesforce, SuccessFactors, Workday, SAP Cloud...) es normal tener los servidores conectados a internet. El problema es el COMO.
#53 Hay dos formas, con una VPN, o con una línea dedicada.