Portada
mis comunidades
otras secciones
#4:
#1 Ya lo hacen, el ataque tuvo éxito porque no tenían una buena política de copias de seguridad y restauración.
Y no sé si lo han resuelto ya que aunque hablan de diez copias de seguridad no dicen nada de simulacros de restauración aislados, que es la medida efectiva contra este tipo de ataques.
Si puedes restaurar una copia de seguridad en un entorno aislado, desconectado de cualquier red, entonces sabes que esa copia la podrás restaurar siempre que quieras. Si en el primer intento de restauración tras el ataque te aparece esa copia como cifrada basta con cambiar la hora de los equipos del entorno aislado a la fecha donde sí se pudo restaurar sin problemas y restaurar de nuevo.
Y no sé si lo han resuelto ya que aunque hablan de diez copias de seguridad no dicen nada de simulacros de restauración aislados, que es la medida efectiva contra este tipo de ataques.
Si puedes restaurar una copia de seguridad en un entorno aislado, desconectado de cualquier red, entonces sabes que esa copia la podrás restaurar siempre que quieras. Si en el primer intento de restauración tras el ataque te aparece esa copia como cifrada basta con cambiar la hora de los equipos del entorno aislado a la fecha donde sí se pudo restaurar sin problemas y restaurar de nuevo.
#5:
#_3 Con ese tamaño de empresa no tener copias de seguridad es de ser muy irresponsable.
No basta con tener copias de seguridad, éstas también pueden estar cifradas. Es necesario hacer restauraciones aisladas para comprobar que no están cifradas o que si lo están se puede seguir teniendo acceso a los archivos (la bomba de tiempo no se ha disparado, la fecha y hora de los equipos aislados se puede cambiar si hace falta).
Nota: Este comentario es para responder a @ onaj que por lo visto me tiene en su lista negra de ignorados. Por alguna razón que se me escapa los @admin de @meneame han decidido que si alguien te pone en su lista negra ya no puedes citarle en respuesta a sus comentarios públicos, dificultando así el uso de herramientas de menéame como es el ver los comentarios en forma de hilo de discusión.
No basta con tener copias de seguridad, éstas también pueden estar cifradas. Es necesario hacer restauraciones aisladas para comprobar que no están cifradas o que si lo están se puede seguir teniendo acceso a los archivos (la bomba de tiempo no se ha disparado, la fecha y hora de los equipos aislados se puede cambiar si hace falta).
Nota: Este comentario es para responder a @ onaj que por lo visto me tiene en su lista negra de ignorados. Por alguna razón que se me escapa los @admin de @meneame han decidido que si alguien te pone en su lista negra ya no puedes citarle en respuesta a sus comentarios públicos, dificultando así el uso de herramientas de menéame como es el ver los comentarios en forma de hilo de discusión.
#29:
#3 yo trabajé en una empresa que -cuando yo ya no estaba- recibió un ataque de estos y cuando se accedió a "la nube" para recuperar las copias resulta que ya no estaban.
Según la policía, llevaban tiempo preparando el ataque, habían instalado programas espía (tal como dice el artículo) y hasta que no superion como acceder a las copias en "la nube" no hicieron nada. Cuando consiguieron acceder a esas copias, las borraron todas y luego es cuando encriptaron todos los datos.
Por cierto, yo siempre le insistía al jefe que se llevara a casa las copias y las guardara en la caja fuerte (al menos una mensual) pero le daba pereza, decía que copiando en "la nube" era suficiente
Cc #4
Yo siempre que puedo tengo otro servidor de copias en un sitio a parte (por si roban en la empresa) que conecta el al servidor de copias principal, -y solo a ese, a ningú otro de la red-, hace las copias de las copias, y desconecta, a parte de que se hacen con la típica carencia diaria, semanal, mensual.
Según la policía, llevaban tiempo preparando el ataque, habían instalado programas espía (tal como dice el artículo) y hasta que no superion como acceder a las copias en "la nube" no hicieron nada. Cuando consiguieron acceder a esas copias, las borraron todas y luego es cuando encriptaron todos los datos.
Por cierto, yo siempre le insistía al jefe que se llevara a casa las copias y las guardara en la caja fuerte (al menos una mensual) pero le daba pereza, decía que copiando en "la nube" era suficiente
Cc #4
Yo siempre que puedo tengo otro servidor de copias en un sitio a parte (por si roban en la empresa) que conecta el al servidor de copias principal, -y solo a ese, a ningú otro de la red-, hace las copias de las copias, y desconecta, a parte de que se hacen con la típica carencia diaria, semanal, mensual.
#30:
#23 El problema del pago del rescate no es que esa empresa pierda siete mil euros, es que los atacantes han ganado siete mil euros. Lo que les permite perpetuar su negocio y conseguir más víctimas, se está incentivando y financiando algo que perjudica a muchas empresas.
Desde el punto de vista individual, de esa empresa, la decisión de pagar es lógica. Desde el punto de vista social, de la Guardia Civil, el consejo de que no se pague es lógico.
Desde el punto de vista individual, de esa empresa, la decisión de pagar es lógica. Desde el punto de vista social, de la Guardia Civil, el consejo de que no se pague es lógico.
#1:
Hubiera estado bien que explicaran las circunstancias por las que el ataque tuvo éxito. A priori me huelo una infraestructura mal configurada con acceso de escritura para los usuarios por doquier.
#68:
Eso se debe a que los atacantes cifraron la información, pero no pudieron leerla, así que ni siquiera sabían si lo que estaban secuestrando era un entorno corporativo o uno doméstico.
Eso no parece ser muy compatible con lo que citan como origen del ataque, los adjuntos de un correo que imitaba el nombre y dominio de un cliente habitual.
Eso no parece ser muy compatible con lo que citan como origen del ataque, los adjuntos de un correo que imitaba el nombre y dominio de un cliente habitual.
#54:
Resumen: una empresa relativamente grande no invierte lo suficiente en seguridad porque eso es tirar el dinero, la informatica solo es un gasto a minimizar (no quiero echar la culpa directamente a los de IT, les doy el beneficio de la duda), y los jefazos aprenden por las bravas que sin informatica su negocio se va a la mierda en cuestión de minutos, y entonces ya se lo empiezan a tomar en serio.
Eso sí, lo de tener las copias en la misma red que la producción debería estar penado por ley... Es de lerdos totales.
Eso sí, lo de tener las copias en la misma red que la producción debería estar penado por ley... Es de lerdos totales.
#52:
#49
El 70% de las empresas que sufre una pérdida de datos cierra en menos de un año
https://www.eleconomista.es/aragon/noticias/9028067/03/18/El-70-de-las-empresas-que-sufren-una-perdida-de-datos-cierran-en-menos-de-un-ano.html
El 70% de las empresas que sufre una pérdida de datos cierra en menos de un año
https://www.eleconomista.es/aragon/noticias/9028067/03/18/El-70-de-las-empresas-que-sufren-una-perdida-de-datos-cierran-en-menos-de-un-ano.html
#36:
Empresa donde trabaja un colega, un empleado conecta su Android a la wifi de la empresa, la APK molona que le permitía escuchar spotify sin publicidad empieza a actuar, en unas horas se habían detectado ataques de todo tipo, contra el servidor de gitlab, contra el LDAP, contra los forti, puertos SSH, RDP …
Menos mal que todo estaba más o menos parcheado y al día, solo a un trabajador le explotó una vulnerabilidad de ssh que le impedía volver a hacer login, pero te la pueden liar desde cualquier punto, después de esto tienen bien segmentada la red de invitados/dispositivos y la de trabajo, y ya no permiten usar equipos personales para trabajar.
Menos mal que todo estaba más o menos parcheado y al día, solo a un trabajador le explotó una vulnerabilidad de ssh que le impedía volver a hacer login, pero te la pueden liar desde cualquier punto, después de esto tienen bien segmentada la red de invitados/dispositivos y la de trabajo, y ya no permiten usar equipos personales para trabajar.
#3:
Con ese tamaño de empresa no tener copias de seguridad es de ser muy irresponsable.
Copia de seguridad de todo Drive. Dos horas y lo hace Google.
Copia de seguridad de cualquier máquina virtual en la nube. Si no has hecho una en tu vida aprendes en un par de horas como mucho, y lo haces automático.
Copias de seguridad SAP. No lo sé pero me juego un brazo a que es casi automático.
No hace siquiera falta ser tan papista como fueron después. Cualquier servicio en la nube te salva el culo.
Además, si tienen para pagar sap les sobra el dinero para externalizar la seguridad. En caso de que sea un problema hacerlo ellos mismos.
Son errores evitables. Lo que no puedes evitar es tener a una idiota que recibe un email que dice ser el alcalde de la ciudad y hace una transferencia de dos millones a una cuenta desconocida. Eso es más difícil.
Copia de seguridad de todo Drive. Dos horas y lo hace Google.
Copia de seguridad de cualquier máquina virtual en la nube. Si no has hecho una en tu vida aprendes en un par de horas como mucho, y lo haces automático.
Copias de seguridad SAP. No lo sé pero me juego un brazo a que es casi automático.
No hace siquiera falta ser tan papista como fueron después. Cualquier servicio en la nube te salva el culo.
Además, si tienen para pagar sap les sobra el dinero para externalizar la seguridad. En caso de que sea un problema hacerlo ellos mismos.
Son errores evitables. Lo que no puedes evitar es tener a una idiota que recibe un email que dice ser el alcalde de la ciudad y hace una transferencia de dos millones a una cuenta desconocida. Eso es más difícil.
#12:
#9 Las copias de seguridad son eficaces e imprescindibles, por supuesto. Pero también es necesario trabajar la seguridad para evitar la necesidad de hacer uso de ellos. No en vano, aunque sirven para evitar auténticas catástrofes, lo habitual es que el propio proceso de restauración conlleve un tiempo no despreciable de parada del entorno productivo, sin entrar en que también es habitual que exista una pérdida de datos aunque sea mínima. Esto se traduce finalmente en pasta. Piensa que la base de datos de un ERP no es moco de pavo y que hablamos de cientos de gigas en el mejor de los casos. Por eso, tirar del backup siempre debe estar ahí pero como último recurso.
Comentarios
#_3 Con ese tamaño de empresa no tener copias de seguridad es de ser muy irresponsable.
meneame han decidido que si alguien te pone en su lista negra ya no puedes citarle en respuesta a sus comentarios públicos, dificultando así el uso de herramientas de menéame como es el ver los comentarios en forma de hilo de discusión.
No basta con tener copias de seguridad, éstas también pueden estar cifradas. Es necesario hacer restauraciones aisladas para comprobar que no están cifradas o que si lo están se puede seguir teniendo acceso a los archivos (la bomba de tiempo no se ha disparado, la fecha y hora de los equipos aislados se puede cambiar si hace falta).
Nota: Este comentario es para responder a @ onaj que por lo visto me tiene en su lista negra de ignorados. Por alguna razón que se me escapa los@admin de
#5 Disculpa, pero los admin de menéame no han decidido nada parecido, porque no programan el entorno, sólo son moderadores del contenido del mismo. Y ya...
#14 Pues han decidido no poner el grito en el cielo al respecto
Si me dices a quién debo dirigirme quizá lo cambie, no prometo nada.
#15 A los progamadores, aunque en realidad están a las órdenes de los dueños actuales. Y este cambio lleva implementado años, creo, así que parece complicado que a estas alturas lo vayan a revertir, teniendo en cuenta que no han hecho caso de los avisos de que hay ciertas secciones que tardan siglos en cargar, y muchas veces ni cargan...
#16 Mi esperanza está en que esta chapuza esté relacionada con el juicio que perdieron en el Supremo y que si ganan en el Tribunal Constitucional se atrevan a cambiarla significativamente o a cargársela directamente.
Pero bueno, como no me has podido aportar a nadie concreto a quién dirigirme creo que seguiré citando a los admin, que son quienes entiendo están más cerca de quienes toman ese tipo de decisiones entre los que conozco que puedo citar.
#17 Te he dicho programadores y-o dueños, para contactar a estos últimos que yo sepa menéame tienen correos institucionales.
No, no tiene nada que ver con la denuncia, que lo pienses indica lo poco que sabes de menéame. Igual que el hecho de que insistas con lo de citar a los admin, que para esto ni pinchan ni cortan, solo MODERAN. Y apañan cosas como ediciones y cambios menores del día a día, y ya...
#18 Te he dicho programadores y-o dueños, para contactar a estos últimos que yo sepa menéame tienen correos institucionales.
Desconozco esos correos institucionales, en cualquier caso debería ser algo que pudiera poner en el comentario cuando ocurre. El objetivo es que para que deje de ponerlo en el comentario haya dejado de ocurrir.
No, no tiene nada que ver con la denuncia, que lo pienses indica lo poco que sabes de menéame.
Llevo mucho tiempo poniendo esa nota en mis comentarios y nadie me ha explicado los motivos por los que existe esa herramienta con esa implementación tan chapucera y por qué no se cambia. Si me indicas donde está esa información al respecto quizá pueda informarme sobre ello.
Igual que el hecho de que insistas con lo de citar a los admin, que para esto ni pinchan ni cortan, solo MODERAN.
Son a quienes puedo citar y que entiendo tienen mayor capacidad para comunicarse con quienes toman las decisiones, si no es así te agradecería me indicases a quién concretamente debo citar y valoraré el cambiarlo.
#19 los dueños de esta web creo que son.......
dseijo
remo_
benjami
martinvars
gallir ...
Creo que varsavsky es el que accionista mayoritario, con un 43%? ... el resto se reparte entre Seijo, Remo y Benjamí. Galli parece que tiene algo menos pero con clausula que si venden pilla ferrari.
A ninguno parece interesarle mucho esta web.
#19 Yo tampoco me sé de memoria los correos institucionales, pero están a una búsqueda de Internet.
Por lo demás, si quieres seguir dándote de cabezazos con una pared, allá tú. Referenciando a los admin para cosas que no tienen que ver con ellos lo único que vas a conseguir es que acaben ignorando tus referencias, para no perder más el tiempo...
#83 Me entristece que creas, o sepas, que los admin de este sitio no se sienten implicados en estas cuestiones que afectan al buen funcionamiento del sitio.
De ser así sería una lástima.
#84 Es una decisión de la administración, los dueños. Creo que ni de los programadores depende.
Antaño, cuando alguien te tenía en ignore, al mandar el mensaje te indicaba dicha situación y no era enviado.
El cambio no es caprichoso, alguna razón habrá que se nos escapa.
#85 Lo que no se me escapa es que menéame sigue modificando mis comentarios sin mi consentimiento y sin avisarme, que sigue manteniendo mi apodo asociado a un comentario que no he escrito yo. Que sigue con una implementación chapucera y desastrosa que dificulta la lectura a otros.
Y que me digan que los admin no se sienten implicados por este problema y no tienen interés en dirigirse, ellos que están más cerca que yo jerárquicamente, a quién pueda cambiarlo pues es algo que debería hacer reflexionar a muchos.
#86 Eso no te han dicho. Ya estás manipulando. Ellos no pueden hacer nada, la orden viene de arriba.
Respecto a la otra historia..
#87 Ellos están más arriba que yo en la escala jerárquica, el hecho que no se hayan movido o digan que no va con ellos debería ser una señal de preocupación al respecto.
#88 Ya, y que yo. Pero siempre habrá alguien por encima, incluso de los dueños
el hecho...
No, eso no es un hecho, es una mentira.
#89 No, eso no es un hecho, es una mentira.
Debes tener más información que yo al respecto entonces, sería interesante que la compartieras.
#90 No, no tengo más información. Sólo el sentido común y la decencia.
Edito.
#91 Precisamente esa implementación va en contra del sentido común y la decencia, y que tras tanto tiempo no haya habido cambios es un indicio en la dirección que apuntaba.
Su silencio habla por ellos, alto y claro. Y si no ha habido silencio me encantaría saber dónde se puede conocer lo que se haya dicho al respecto.
#92 Precisamente la implementación va en contra del sentido común y la decencia
Ves, ahí sí estoy contigo. Es un sin sentido. Pero es así y hay que aceptarlo. También puede dar mucho juego
Creo recordar que hubo ya varios hilos hablando de ello, pero usar el buscador es una lotería
#18 Quizás hay que cambiarle el nombre a los administradores, por moderadores o similar.
#31 O censuradores. ¿No es esa su tarea? Igual estoy muy confundido y participan en las conversaciones para facilitar el respeto mutuo, aclarar dudas sobre las herramientas, ayudar a los usuarios a identificar bulos o falacias...
Es decir, el tipo de cosas que haría un moderador. Pero que yo sepa no se dedican a eso.
#5
Hace poco estuve en una presentación bastante interesante de un sistema de almacenamiento. Monitorizan el uso normal y si detectan un uso anormalmente alto lanzaban una alerta de posible ramsoware funcionando.
Eso no quita lo que comentas de verificar las copias.
#5
Amigo, si tienes 2 dedos de frente tendrías copias en empresas externas de seguridad y una cinta física de copia de la semana pasada.
Esas copias deberían de estar limpias.
#56 ¿Por qué deberían estar limpias? ¿Verificaste que estuvieran limpias? ¿Cómo sabes que el ataque no hace semanas o meses que dura?
#59
No lo se, pero entiendo que es el típico ransomware que infecta todo y tira abajo todo, por eso no querían que supieran que era una empresa y enviaron un fichero antes de pagar que no se supiera que tenían sap y les pidieran más pasta.
#62 En este caso es posible que sea así, pero es temerario presuponer que el ataque a la empresa donde trabajas será idéntico. Hay que protegerse contra esa tipología de ataques, no solo ante uno en concreto.
#65
A este tío le pillaron en bragas
#5 Lo de no poder citar a los que te tienen en la lista de ignorados es algo viejísimo y que no tienen a gusto de cambiar a pesar de las críticas y lo que perjudica al funcionamiento del sitio. Eso o que simplemente no son capaces, que, viendo el nivel, tampoco me extrañaría.
Hubiera estado bien que explicaran las circunstancias por las que el ataque tuvo éxito. A priori me huelo una infraestructura mal configurada con acceso de escritura para los usuarios por doquier.
#1 Depende. Hay ramsonwares que realmente despliegan rootkits completos y se meten solos en todas partes.
PD: Las capturas de Parrot son el equivalente informático de un utilitario tuneado a lo cani poligonero
#2 A ver, que entiendo que una pyme en cuestiones de seguridad llega hasta donde puede. Pero es que he llegado a ver auténticas salvajadas que prácticamente son una invitación a entrar a ciberdelincuentes. Está claro que lidiar con un malware sofisticado que explote vulnerabilidades del sistema puede ser muy complicado, pero muchos ransomwares simplemente aprovechan agujeros de seguridad fácilmente subsanables con una buena configuración de los privilegios, de copia de seguridad o cerrando puertos como el del dichoso RDP.
#6 Ahí entramos en otras cuestiones. Lo del RDP por ejemplo es un caso donde un servicio permaneció un tiempo sin parchear (al menos del todo) pero que seguía siendo necesario para los que lo usan, asi que no se podía simplemente cerrarlo. No es el primer ni el único caso en que pasan cosas de esas debido a la dependencia de proveedores de software externos. Al menos a veces se pueden hacer apaños para limitar el daño o, si se usa soft libre, incluso parchearlo localmente.
#8 O puedes montar una VPN para no exponer el servicio a través de una IP publica, por ejemplo.
#10 Esa es una estrategia habitual. Lamentablemente, no solo no soluciona nada sino que incluso empeora el problema en el caso de los ramson. Las infecciones se producen desde dentro de la red, sin conexiones desde fuera.
#11 Yo no diría que lo empeore sino que puede empeorarlo. Claro, si despliegas una VPN sin más que implique que los clientes se conecten como si estuvieran enchufando sus portátiles directamente a la red local pues efectivamente es desvestir a un santo para vestir a otro. Pero con políticas de firewall de por medio aislando la subred de VPN y delimitando qué y cómo se puede hacer pues no creo que sea más peligroso que exponer ciertos servicios de riesgo como RDP de forma pública.
#11 Hay ransomwares que siguen entrando por RDP a equipos publicados directamente. Otra cosa es que muchas empresas que no usan este sistema caen en el típico correo de diferentes tipos de phishing pero el spear o el whale suelen funcionar mejor ahora que la gente está un poco más sensibilizada.
#8 No se si te he entendido bien pero el uso de VPN es anterior incluso a la invención del RDP por lo que no entiendo a día de hoy por que razón la gente sigue publicando a pelo RDP en puertos por defecto o modificados (que tampoco es seguro). Microsoft mismo ofrece opciones de TS GATEWAY sobre SSL que hacen rdp muchísimo más seguro.
#25 Lo decía porque una solución frecuente es utilizar una VPN para meter ordenadores externos en la red interna de la empresa. En ese caso, cualquier ordenador doméstico que los técnicos de la compañía no hayan asegurado podría ser una fuente de problemas.
#27 Bueno, me hablas de las VPN antiguas que por defecto era como dices y que si querías aislamiento lo tenías que configurar (y casi nadie lo hacía). Con ZTNA o SASE todo es denegado por defecto y tienes que contextualizar que puede hacer ese usuario en cada escenario (en casa, en una red desconocida, sin tener el antivirus actualizado, a que aplicación, por que método, etc...)
#1 Ya lo hacen, el ataque tuvo éxito porque no tenían una buena política de copias de seguridad y restauración.
Y no sé si lo han resuelto ya que aunque hablan de diez copias de seguridad no dicen nada de simulacros de restauración aislados, que es la medida efectiva contra este tipo de ataques.
Si puedes restaurar una copia de seguridad en un entorno aislado, desconectado de cualquier red, entonces sabes que esa copia la podrás restaurar siempre que quieras. Si en el primer intento de restauración tras el ataque te aparece esa copia como cifrada basta con cambiar la hora de los equipos del entorno aislado a la fecha donde sí se pudo restaurar sin problemas y restaurar de nuevo.
#4 Las copias de seguridad en entornos aislados son fundamentales, en efecto.
Que un usuario random no tenga acceso de escritura o por escritorio remoto a la máquina que aloja el SAP, también.
#7 En la restauración en un entorno aislado tienes control total de la situación, nadie puede hacer nada para evitar la efectividad de ese método.
Por contra tener los sistemas interconectados y que sean completamente seguros no está en absoluto bajo tu control, puedes participar de la seguridad en cierta medida pero no puedes construir tus propios procesadores sin vulnerabilidades teóricas ni prácticas, no puedes programar tú mismo todo el sistema operativo y todas sus aplicaciones de una forma que no tengan ninguna vulnerabilidad ni de forma teórica ni práctica, no puedes fabricarte tú mismo todos los equipos de red con su hardware y software para garantizarte que no existe ninguna vulnerabilidad ya que no tienes siquiera ninguna garantía que no cometieras algún que otro error.
Lo de la seguridad en entornos interconectados es un deseo, es una aspiración para la cual se puede trabajar pero no existe ninguna garantía de éxito.
#9 Las copias de seguridad son eficaces e imprescindibles, por supuesto. Pero también es necesario trabajar la seguridad para evitar la necesidad de hacer uso de ellos. No en vano, aunque sirven para evitar auténticas catástrofes, lo habitual es que el propio proceso de restauración conlleve un tiempo no despreciable de parada del entorno productivo, sin entrar en que también es habitual que exista una pérdida de datos aunque sea mínima. Esto se traduce finalmente en pasta. Piensa que la base de datos de un ERP no es moco de pavo y que hablamos de cientos de gigas en el mejor de los casos. Por eso, tirar del backup siempre debe estar ahí pero como último recurso.
#3 yo trabajé en una empresa que -cuando yo ya no estaba- recibió un ataque de estos y cuando se accedió a "la nube" para recuperar las copias resulta que ya no estaban.
Según la policía, llevaban tiempo preparando el ataque, habían instalado programas espía (tal como dice el artículo) y hasta que no superion como acceder a las copias en "la nube" no hicieron nada. Cuando consiguieron acceder a esas copias, las borraron todas y luego es cuando encriptaron todos los datos.
Por cierto, yo siempre le insistía al jefe que se llevara a casa las copias y las guardara en la caja fuerte (al menos una mensual) pero le daba pereza, decía que copiando en "la nube" era suficiente
Cc #4
Yo siempre que puedo tengo otro servidor de copias en un sitio a parte (por si roban en la empresa) que conecta el al servidor de copias principal, -y solo a ese, a ningú otro de la red-, hace las copias de las copias, y desconecta, a parte de que se hacen con la típica carencia diaria, semanal, mensual.
#29 #3 No soy IT, pero he trabajado en varias empresas donde hacian copias, te encuentras de todo, gente que no hace copias en la nube, solo un HD cada 2-3 dias en frio, o gente que tiene sus servers y las copias las tiene en "cassetes" (cintas magneticas?) , pero casi siempre todo es hecho a lo barato, intentando gastar lo menos posible, coger gente que a parte de lo que se le pide en el puesto tenga algo de conocimiento de informatica y cargarles el marron. Yo por eso no se ni cambiar un cartucho de impresora, pk se que sino me como el marron de ser el "IT" cuando podrian tener a alguien experto en eso.
P.D. No, no es en España es en Uk, que cuecen habas en todos lados.
#35 yo sí soy IT y he de reconocer que lo de las copias es lo más engorroso y menos "interesante" del trabajo, es una cosa tediosa y repetitiva y es muy fácil "caer" en la rutina y no darle la importancia que tienen, sobretodo si llevas años haciendo lo mismo y nunca ha pasado nada, al final uno acaba relajándose
#38 Bueno yo trabajo en Ingenieria, y sera que soy raro, pero siempre compruebo cosas, y si hago eso de "bah no lo compruebo pk seguro que esta bien" me dura 10seg pk se que por la ley de murphy a la que no lo compruebe ahi se lia, asi que siempre compruebo, con las copias de seguridad se que seria igual, tendria esa cosa de "basta que no haga la copia cuando toca" para que todo se lie
, la verdad el mundo este de la seguridad me atrae muchisimo, pero mis conocimientos son mas bien nulos
#35
sinosi no#29 Ya, he comentado el caso básico.y simple. Para la empresa de la noticia es suficiente.
Nosotros somos 15 en la empresa y hacemos tres copias que.subimos a tres sitios en la nube. Una de ellas es el snapshot de aws automático que no cuesta nada y al que no pueden acceder
Aún así tengo pendiente adquirir un disco físico para hacer copias semanales. Por si acaso amazon se rompe. No cuesta nada
#29 Es que tú nube es la nube de otro
#4 ¿Simulacros de restauración?
Puedo contar con los dedos de la mano los que he realizado en mi vida. Estoy esperando a un Ramsomware para que se lo tomen enserio.
#33 Yo hice algunos, no muchos, antes que hubiera la amenaza de los ransomware. Si estuviera ahora en ese mismo puesto de trabajo caería un simulacro básico cada 15 días (unidad de cinta independiente + equipo aislado + verificar una lista cerrada de archivos con md5 o similar), si estuviera suficientemente automatizado se haría a diario o cada pocos días. Y algún simulacro completo o semi-completo seguramente una vez al año o así.
En uno de los primeros que hicimos en su día nos dimos cuenta que teníamos montada una dependencia cíclica, el servidor DNS no conseguía arrancar sin que el DNS estuviera funcionando. Creo recordar que la realidad es que sí arrancaba pero se comía un montón de timeouts de DNS y parecía que no acabaría nunca. Lo pasamos bastante mal hasta entender lo que ocurría, a pesar que teníamos margen de tiempo para resolverlo (empezamos el sábado por la mañana).
Si estás construyendo y cambiando el sistema en caliente durante años puedes montar un problema de este tipo y no enterarte hasta que hay una caída chunga en horario laboral.
#1 versión de Windows sin parchear, para empezar
Con ese tamaño de empresa no tener copias de seguridad es de ser muy irresponsable.
Copia de seguridad de todo Drive. Dos horas y lo hace Google.
Copia de seguridad de cualquier máquina virtual en la nube. Si no has hecho una en tu vida aprendes en un par de horas como mucho, y lo haces automático.
Copias de seguridad SAP. No lo sé pero me juego un brazo a que es casi automático.
No hace siquiera falta ser tan papista como fueron después. Cualquier servicio en la nube te salva el culo.
Además, si tienen para pagar sap les sobra el dinero para externalizar la seguridad. En caso de que sea un problema hacerlo ellos mismos.
Son errores evitables. Lo que no puedes evitar es tener a una idiota que recibe un email que dice ser el alcalde de la ciudad y hace una transferencia de dos millones a una cuenta desconocida. Eso es más difícil.
#3
Es más en empresas grandes se llevan copias físicamente cada semana
#49
El 70% de las empresas que sufre una pérdida de datos cierra en menos de un año
https://www.eleconomista.es/aragon/noticias/9028067/03/18/El-70-de-las-empresas-que-sufren-una-perdida-de-datos-cierran-en-menos-de-un-ano.html
Empresa donde trabaja un colega, un empleado conecta su Android a la wifi de la empresa, la APK molona que le permitía escuchar spotify sin publicidad empieza a actuar, en unas horas se habían detectado ataques de todo tipo, contra el servidor de gitlab, contra el LDAP, contra los forti, puertos SSH, RDP …
Menos mal que todo estaba más o menos parcheado y al día, solo a un trabajador le explotó una vulnerabilidad de ssh que le impedía volver a hacer login, pero te la pueden liar desde cualquier punto, después de esto tienen bien segmentada la red de invitados/dispositivos y la de trabajo, y ya no permiten usar equipos personales para trabajar.
Resumen: una empresa relativamente grande no invierte lo suficiente en seguridad porque eso es tirar el dinero, la informatica solo es un gasto a minimizar (no quiero echar la culpa directamente a los de IT, les doy el beneficio de la duda), y los jefazos aprenden por las bravas que sin informatica su negocio se va a la mierda en cuestión de minutos, y entonces ya se lo empiezan a tomar en serio.
Eso sí, lo de tener las copias en la misma red que la producción debería estar penado por ley... Es de lerdos totales.
Eso se debe a que los atacantes cifraron la información, pero no pudieron leerla, así que ni siquiera sabían si lo que estaban secuestrando era un entorno corporativo o uno doméstico.
Eso no parece ser muy compatible con lo que citan como origen del ataque, los adjuntos de un correo que imitaba el nombre y dominio de un cliente habitual.
#68
Eso lo hacen todos, seguramente a dicho cliente le hackearon y usan sus contactos para enviar correos.
El ataque fue 2 días antes, no fue nada elaborado, no querían que se supiera que eran empresa para que no les pidieran más pasta. Esta todo en el artículo
#68 cierto, el artículo parece de cuñados informáticos incluso dando a entender que la solución al final es pagar el rescate.
Se libró por suerte.
Lo de pedir un Bitcoin como rescate es el meme del Dr. Maligno... pero a la inversa.
.
"Ni la empresa de ciberseguridad ni la Guardia Civil nos aconsejaban pagar ese rescate. Nada garantizaba que nos dieran la clave para descifrar la red"
Que cachondos. No pagues el rescate, que puedes perder siete mil euros. Que estamos hablando de una empresa, no de un particular. Lo de la empresa de ciberseguridad lo entiendo (no pagues 7000 euros a esos, páganos 7000 x n a nosotros y luego está la guardia civil (que a parte de decirles que no pagasen no sé qué más harían).
"No pagues 7000 euros, cierra la empresa y ya."
#23 El problema del pago del rescate no es que esa empresa pierda siete mil euros, es que los atacantes han ganado siete mil euros. Lo que les permite perpetuar su negocio y conseguir más víctimas, se está incentivando y financiando algo que perjudica a muchas empresas.
Desde el punto de vista individual, de esa empresa, la decisión de pagar es lógica. Desde el punto de vista social, de la Guardia Civil, el consejo de que no se pague es lógico.
Este mismo sabado han reventado parte de la base de datos en el curro, creo que del dia 28 en adelante. Quizas sea por otro motivo o alguien haya picado con uno de los archivos raros que llevan toda la semana rondando, aunque normalmente el objetivo es usarnos de "lanzadera" para pillar los datos de los clientes gordos para los que trabajamos.
Andaban todos como pollos sin cabeza mientras estaba yo con el cafe tranquilamente pensando " No se a que viene tanto drama, el lunes se carga la copia de seguridad del viernes y a correr". Esperaos que no llegue el lunes, digan que no la tienen y me despidan por escuchar mis carcajadas desde gerencia.
A nosotros nos pidieron 300 dólares en bitcoins para obtener el descifrador. Pagamos y listo, no hay mucho que negociar
#42 Si el usuario tiene acceso a las copias les facilitas el trabajo, pero esta gente se mete hasta en el baño aunque tengas todo bien montado. Yo me refería a que ahorrar en infraestructura (como un robot de cintas o una rueda de discos) hace que ocurran estas cosas. Tener almacenamiento en frío o en una buena nube ayuda muchísimo, pero yo combinaría ambas. También te digo que si el ataque está muy estudiado y van a ir a joder, te van a joder.
#99 En mi curro, ya en 2007, todos los servidores eran Linux. Dos versiones funcionaban cubriendose la espalda la una a la otra, por si un atacante entraba via Red Hat (por ejemplo), el otro servidor que corría Debian (o quizás fuera BSD) no se infectara.
Aparte de estar la red segmentada por departamentos, habia una red de seguridad para los servidores a la que ningún normal PC tenia acceso. (Supongo que un firewall o servidor conectaría ambas redes.)
Aparte de backups en cinta en otro edificio.
Con un poco de conocimiento solo te entran si sobornan a un técnico de sistemas.
#99
A ver, en la noticia lo dice claro, el fichero se abrio 2 dias antes y les mandaron una muestra para que lo desencriptaran asegurandose que no se enteraran de que eran empresa y les pidieran 10 veces mas dinero.
No era algo organizado.
#42 Loco.
Es posible que se aprovechasen de una vulnerabilidad del servidor y no tenga nada que ver con permisos asignados a los usuarios.
#44
Yo creía que estas cosas era más de replicarse donde pueden y tienen permisos
#48 Hablamos de atacantes potencialmente muy profesionales, que han cobrado millones de euros tras haber hecho ataques con éxito a grandes empresas.
No les falta financiación, no les falta motivación y no tienen necesariamente prisa para preparar el ataque.
Hablamos del peor ataque que puedas imaginarte y del ataque que aún no eres capaz de imaginarte, ellos se dedican a esto, es su trabajo.
#58
No se, a mi me semana semana tipico ataque.
Si esta hecho a medida entonces no pero , no lo parece porque dice la noticia que para que no supieran que eran una empresa, les pidieron desencriptar 1 fichero que no fuera nada de otro mundo.
#60 Yo no respondía tanto sobre el caso específico de este meneo sino de forma genérica sobre ataques de este tipo y las protecciones reales ante ellos.
Y las copias de seguridad no bastan para protegerse de esta tipología de ataques, son necesarias pero también lo son las restauraciones aisladas para confirmar que las copias de seguridad no están cifradas también.
#64
Pues yo hablo de la noticia, no de un ataque hecho a medida para que entre hasta la cocina, joda las copias durante 1 mes y salte y así no tengas nada que hacer.
#67 Pero sí te puedes proteger de esa amenaza, basta con hacer restauraciones periódicas en un entorno aislado. Si puedes restaurar la copia en un entorno aislado una vez esa misma copia la podrás restaurar tantas veces como quieras (quizá necesites cambiar la fecha de los servidores, pero nada más).
#72
Si yo no digo que no, pero no es la noticia.
dos días después de abrir ese archivo comprimido, toda la red de la empresa pasó a estar cifrad
No había copias de la semana pasada
?
Parece que no. Y si es 2 días después tendrías que tener copias limpias, no me jodas.
Que es el típico ataque, no eran hackers rusos de esos de las noticias que cambian las elecciones de usa y mueven los satélites soviéticos.
#47 #44
Es más, en empresas grandes hay copias en la nube y físicamente en cintas que se recogen que yo sepa.
Cuando yo empecé en consultoria había unos servidores de as400 y nos daban la tarea de mierda de mirar las copias copias cambiar las cintas. Una vez a la semana uno de los socios se llevaba las cintas a casa.
Eso en una consultoria pequeña.
#53 Es más, en empresas grandes hay copias en la nube y físicamente en cintas que se recogen que yo sepa.
Que los atacantes pueden haber cifrado y dejado inaccesibles.
Hablamos el supuesto de haber perdido las copias de seguridad, la respuesta no puede ser que las tienen en la nube o se las recojan.
#55
Hombre, se entiende que las copias están bien proque el virus te salta cuando te encripta todo, no a las 2 semanas.
#57 Es verdad, no debí dejar de renovar la suscripción del antivirus mágico.
#61
Me refiero a que no se queda el ransomware 4 semanas latente hasta que no te queden copias recientes válidas y luego salta.
Yo he visto esto 2 veces en una consultora mierrdera y la sangre no llego al río. Algún pc infectado, archivos de Red y ya.
.se supone que fue el clásico ransomware.
#c-63" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/3580229/order/63">#63 Puede ocurrir perfectamente, no sería la primera vez.
En # 29 explican un caso: Yo he negociado con los crackers en un ataque ransomware: nos pedían 1 bitcoin o perdíamos toda nuestra información/c29#c-29
#69
No es el caso de la noticia
dos días después de abrir ese archivo comprimido, toda la red de la empresa pasó a estar cifrad
Como decía, hasta en la consultora que yo trabaje se llevaban copias en cinta a casa. Entonces también es verdad que no había copias en la nube etc.
dice que "Sin embargo, dos días después de abrir ese archivo comprimido, toda la red de la empresa pasó a estar cifrada.", me imagino que quiere decir que extrajo el contenido y ejecutó un binario o un archivo con un script, tipo archivo docx o pdf que pueden tener macros, en cuyo caso el lector debería estar configurado para no permitir macros, en cualquier caso una empresa que factura de 10 a 50 millones anuales debería tener un equipo de seguridad que supervise los adjuntos y elimine o ponga en cuarentena archivos con código ejecutable.
Por lo que dice el artículo se entiende que no tienen control sobre lo les llega en el correo y los empleados no tienen formación suficiente para saber que nunca deben ejecutar un archivo susceptible de contener malware aunque pase el firewall y el antivirus.
Si te cascan un ransomware y pierdes todo hasta el SAP y copias de seguridad es que mereces que te despidan.
Así de claro.
En mi empresa enviaron mini cursos para que la gente sepa como identificar posibles phising, hay un filtro de correo previo etc.
En la mayoría de sitios es de coña y hay grandes ficheros Excel y de todo compartido en redes, sin copias donde se hace de todo y nadie sabe que estaba ahí hasta que no está.
#40 Si lo pierdes todo no te van a despedir, simplemente van a cerrar la empresa.
#43
Que va, por eso no se cierra. Se perderían día de trabajo o semanas pero se arranca.
#46 Si pierdes los datos y las copias de seguridad raramente puede sobrevivir una empresa que hace uso de SAP en su organización.
#47
Te crees que esas cosas no han pasado? Se recupera lo poco que se tenga y se tira como sea.
No van a decir " bueno, se cierra todo por base de datos desaparecida".
#40 Típico usuario de "A mi nunca me pasa eso".
Acabas dando la razón a la gente que dice que hay que prohibir los medios de pago anónimos como BTC.
#79 Y el efectivo, el efectivo también.
A mi modo de ver, el tipo que se automenciona como "responable IT" - debería haber empezado por indicar si el ya había hecho campaña o no sobre el tema de seguridad (seguramente sí, pero como da a entender - y se ha mencionado en este hilo), los de la empresa no querían saber nada de invertir más dinero en seguridad. El cuello ciertamente, se lo estaba jugando igualmente - pero al menos, la satisfacción moral (es lo único que puede hacerse en estos casos) estaría ahí. Para cuando la proxima vez, nadie pensará que si se pedían 1000$ para la nueva versión de la medida X... nadie osara respirar en contra. Por suerte pudieron arreglar el tema (pagando, como creo que el S.E.P.E hizo al final, aunque no lo reconozca)
Luego , me hace un poco de gracias el comentario del propio artículo
"[..]Ese correo incluía un archivo zip, algo frecuente en las bandejas de entrada del departamento de diseño. Ni el firewall ni el antivirus detectaron nada extraño.[..]"... ¿¿¿ Perdón ??? acaso los tipos que crean esos ransomware se está quietos antes las formulas de detección; ahí creo que se peco de ingenuidad
Una sugerencia, aunque tarde quizás - no solo el backup, sistemas de antivirus.. etc .. es necesario; también una concienciación de usuarios, una política activa de actualizaciones y a mi personalmente me gusta una cosa que no he visto mencionada aquí como "una medida más" , la segmención de redes.
En cuanto al método de infectación; el virus no tuvo que venir explicitamente en el correo. Por otro lado, que alguien me corrija si me equivoco, hay varias formas de enmascarar la infección, se me ocurre por ejemplo, utilizar la técnica de la ofuscación de código para realizar la infectación.
Solo uno dice la palabra mágica: "windows"
#97 Que yo sepa, la ofuscación de código es para dos cosas: para que el antivirus no detecte tu virus, malware... y para que no te hagan debug de un ejecutable. No para infectar.
Hay formas de infectar que no dice el articulo, por ejemplo a traves de una vunerabilidad conocida de windows, pero el mismo articulo dice que fue por ejecutar un adjunto de correos.
Lo de tener copias de seguridad aisladas implica un gasto extra por el cliente, y no todos están dispuestos a pagar por ello. Lo mejor: Obligad a que no sean unos tacaños asquerosos o que por escrito quede para luego tener un "Te lo dije pedazo de ..."
#21
Llámame loco pero si el virus llego al servidor de las copias es porque el usuario que lo corre tiene permisos ahí.
Para las empresas es costoso y complicado. A nivel individual, si no tienes una red con muchos equipos es bastante sencillo. Yo hago lo siguiente:
- Siempre que compro un ordenador compro un disco duro de igual tamaño y hago una copia espejo con un USB de arranque y lo guardo en el cajon.
- Voy haciendo copias periodicas en otro disco duro externo tambien con USB de arranque.
- En mi ordenador no se guarda informacion personal importante sin encriptar, periodicamente borro caches y demas.
Si el ordenador es atacado me da absolutamente igual, como mucho me rio. Desconecto de la red, formateo el disco duro, arranco con el USB, restauro el espejo, actualizo a la ultima copia de seguridad que me de confianza ( estaria en cuarentena). En 1 par de horas como mucho problema resuelto.
los delincuentes son carroña, las penas deberían ser más duras
#96 Cuando la gente descubra las copias de seguridad.
Esto de ser honesto, me está saliendo caro.
A mi me pedían un bitcony. De los buenos. Incluso tomé una fotografía del bitcony. A veces la miro.