Les paso por no poner el cartel en un lugar visible

Y todo porque un idiota debió abrir un correo chungo....

Me pregunto porqué estas empresas no ponen Linux en los desktops, que no es la panacea porque un idiota con manazas se abrirá camino siempre, pero al menos se reduce el número de ataques hasta que todas las empresas hagan lo mismo y los malos se empiecen a fijar en Linux.

#2 Porque los usuarios se quejan de que es diferente de wnidows y que no tiene el ofis y el esel.

A demás, cuando viene un comercial de Microsoft y le dice a tu jefe que windows es maravilloso y super seguro, ¿quén es el que sabe, el informático o el comercial que tiene título de Ingeniero Microsoft?

... ¿Porque el articulo esta escrito en un tono tan triunfalista? Como si fuera una oportunidad de abrir mercados y no uno de los mayores errores e incompetencia manifiesta en ciberseguridad de los ultimos años.

Mas parece las cabezas de turco que un cambio real en la filosofía que permitió ese hackeo,

Prosegur tiene ciberseguratas
encerrados en sótanos y bajos
Cuando ven un virus
Lo matan a porrazos.

#2 ¿por qué piensas que un linux en manos de incompetentes es más seguro que un windows en manos de incompetentes?

#6 ¡Hereje! ¡A la hoguera contigo!

#2 la cantidad de casos que vienen.... Están llegando mails que es difícil no picar después de varias horas currando. Un pedido de un cliente conocido... pero distinto email.

Es jodido, pero imperdonable para una empresa se seguridad.

#3 Pena que nadie haya sido ni remotamente capaz de llegar al nivel del ofis y del esel todavía.

#3 Se dice ecsel.

#7 Pq los "malos" verán un linux ahí e irán a por otro objetivo más factible...

#6 Ainss ... Cada vez que un directivo/jefecillo/encargao pide exige acceso a los sus datos porque Él debe poder verlos, Deity mata un gatito.

#13 Los malos aprenden a rootear una máquina linux mucho antes que a copypastear un exploit para windows...

#6 Imbatible para hacer exactamente qué ?

#7 Porque lo es. Las configuraciones por defecto para "lerdos" son mucho más seguras, sin hablar de vulnerabilidades y sus correcciones y las actualizaciones.

#15 Ya, bueno, pero puedes suponer cierto nivel cuando ves algo que no es windows. Otra cosa es que sea un ataque dirigido a esa empresa en cuestión.

#16 Estructuras organizativas. Windows lo pone en bandeja, esto es así. Para servicios gordos Unix es impepinable, pero lo que huela a "corporación", AD no tiene rival.

Igual en un futuro se migra a escritorios tontos con aplicaciones electron/JS/TCL-TK/clientes tontos y máquinas virtuales segmentadas en subredes con una seguridad máxima, pero habría que cambiar mucho la mentalidad.

Lo deseable sería que Office fuera diseñado como un módulo WASM, accesible mediante web, con almacenamiento remoto, pero hace falta bastante para ello.

#7 porque para que manejes mal un Linux tienes que meterle código pero para malograr un Windows solo debes darle en "aceptar"

#18 Es que esto ya no es pesca de arrastre, todos los ataques a grandes empresas están siendo ataques dirigidos. Que la complejidad del vector de ataque no sea muy alta no significa que no sean target específico.

Le pasó a Everis, telefónica, etc... No son ataques de spam sin más, porque a la que se detecta envío masivo, se clasifica más rápido el ataque.

Si eres target, vas a serlo con Windows o con Linux. Y créeme, un AD bien configurado te va a salvar el culo mucho más en un entorno empresarial que un parque de workstations Linux.

#21 Bueno, a decir verdad en esos entornos Linux tiene las de ganar ya que ningún cliente correo tiene soporte de macros activado por defecto, ni es exageradamente fácil abrir un adjunto. Y sí, tiene que haber GPOs para Exchange y para Outlook, pero ni dios las aplica.

#22 Fíjate que tú mismo te respondes... La usabilidad es igual de importante que la seguridad, y tú mismo lo dices, para el usuario es demasiado complicado y poco intuitivo usar Linux la mayoría de veces.

#21 Lo de PROSEGUR parece el típico ataque de ransomware (Emotet/Ryuk, parece ser) con la típica cagada de alguien, no un APT. De hecho, son varias las empresas y de diferentes sectores.

Pero vamos, si tú eres el objetivo, estás "aviao" tengas lo que tengas...

#23 No te preocupes, en un futuro dará igual el cliente mientras tenga un navegador web con WASM. Todo será conectado vía máquinas virtuales contra servidores usando SPICE permitiendo hasta OpenGL/Vulkan renderizado en el cliente. Los backups seran ultrarrápidos con sistemas de ficheros COW tipo ZFS, y bcachefs en Linux. Vuelta a los 70 con Unix y terminales conectados.

Que hay un ransomware? Backup instantáneo de hace dos horas, y gracias a los FS con COW la diferencia es y será mínima entre una y otra copia.

En casa los colgados como nosotros seguiremos con Slackware y similares, explotando el rendimiento. Pero en oficinas será así.

#16 Imbatible en hacer LDAP bonito

#24 Que se use un ransomware no significa que no sea un ataque dirigido.

El vector de ataque se estudia y se lanza el ataque de ransomware...

#25 de hecho, el hardware será el propio móvil de cada usuario...

Voto sensacionalista ya que el Banco Santander no tiene subcontratado con Prosegur la ciberseguridad.

#28 Portátiles por lo general, por comodidad de escritura. Y seguridad. Sí, modo dock y tal. Pero un portátil ofrecerá mejor desempeño. (configuraciones locales replicadas hacia y desde el servidor).

#27 Ya, pero una empresa como Cipher/PROSEGUR, con los datos jugosos que debe tener de sus clientes, me parece un ataque poco ambicioso si es uno dirigido. Pero bueno, a saber.

#6 Diría que active directory satisface una necesidad creada artificialmente para que haga falta active directory.

Es muy fácil administrar y hasta sincronizar estaciones de trabajo Unix(o Linux obviamente) sin necesidad de aplicaciones específicas para ello... Basta un ldap y a lo sumo un rsync de vez en cuando y listo.

#32 Para Linux lo mejor es cfengine/chef/ansible.

docs.slackware.com/howtos:slackware_admin:slackware_automation_using_a

#31 A saber lo que han tenido montado... Que sólo ha salido a la luz una parte quizá.

#32 A mi lo que me jode de Unix/Linux es lo poco que se ha promocionado TCL en pro de otros lenguajes "más cool". Es trivial escribir un archivo que simule ser un archivo de configuración via proc {} y dejar que TCL te automatice todo.

Sobre Red Hat y configuraciones con systemd y soluciones, es peor que AD, pero llevado al extremo, es inmanejable.

Como digo, en el futuro primará la simplicidad y las soluciones de RH/NT van a reventar por su extrema complejidad. Si ya las soluciones de "nube" no son más que capas inmanejables con tecnologías de nombre rimbombante (hola Amazón), en cuanto salga una solución kiss los sysadmin van a mandar dicha complejidad al cuerno.

Pasó con Windows Media Player vs VLC/MPCHD y pasará con otros ámbitos. O simplemente, la interaz de Chrome vs otros navegadores. El propio Firefox nació como una ruptura frente al monstruo de Mozilla.

El Alguacil alguacilado

quien ha probado sus alarmas sabe perfectamente por que los han hackeado. Son todo fachada.

#4 Y yo creo que son cabezas de turco. Conozco a algunas de las personas de Cipher y son muy buenos. El ataque entró desde Prosegur y no por culpa de Cipher y no fue un hackeo, sino alguien que abrió un correo con un ramsomware tipo Emotet, pero claro no hay que dejar que se vea que en Prosegur se hacen las cosas mal y muy mal y alguien tenía que pagarlo o mejor aún, deshacerse de los cabezas de una empresa que no hace mucho adquirieron con un motivo justificado para no tener que pagarles el finiquito o las cláusulas que tendrían.

Un poco sensacionalista la verdad.

#2 Y me pregunto también si servirá de algo cambiar a toda la cúpula de seguridad viendo como se contagia el ramsomware y como se lo tragan todos los antivirus y como ha afectado a numersas empresas. Un usuario cualquiera con acceso a unidades de red abre el fichero que le llega por mail y ya esta liada.

Conozco la ciberseguridad de Prosegur desde dentro desde hace unos años, y mucho han tardado en hacer el ridículo. Es la típica empresa dirigida por empresaurios, dónde un servicio que venden por cifras astronómicas lo dejan en manos de un equipo de 10 becarios, y no es coña, es real lo que voy a decir, el jefe del equipo es otro becario, solo el que con más antigüedad.
Luego, por encima del equipo está el directivo, que ni si quiera sabe lo que es una IP y que sólo se dedica a presionar con esto tiene que estar hecho para ayer.
Y esa mierda, ellos lo venden como si tuvieran contratado un ejército de hackers.

Es lo que tiene ser una empresa de subcontratas, gestionada por y para subcontratas. Los autenticos profesionales con talento se marchan de este tipo de carnicas en cuanto tienen ocasion.

#32 ¿Cual sería el equivalente a las GPO en Linux? Pregunta seria. ¿Realmente son las soluciones de #33 y #35 las versiones Linux de las GPO? Que pueden serlo, pero hay que trabajar todas las políticas que AD - y productos que tienen admx (por ejemplo, Firefox) - ya trae por defecto.

#3
y que crear un acceso directo es una odisea.

#42 Directivas/roles de ansible que toquen la configuración del usuario, pero AD maneja bastante más. Son sistemas muy distintos en operación.

#40 ¿Que servicios da Prosegur en ciberseguridad?

Mi empresa es cliente pero solo de la seguridad "clasica" de vigilantes.

Cuando tienes una incidencia, el mejor curso de acción es despedir inmediatamente a los responsables, es decir, a las únicas personas que pueden arreglarlo. El mejor curso de acción para acabar con la empresa, quise decir.

Por eso que cuando alguien mete la pata hasta el fondo, te entran una ganas locas de asesinar, pero en vez de eso le pides por favor con una voz muy suave que haga lo que pueda. Yo soy más destroyer y uso el sarcasmo.

#25 sin contar que los ransomware pueden estar semanas "escuchando" antes de despertar.

#7 Si el "incompetente" sabe poner media docena de reglas en un simple "gufw"; te aseguro que si entre manos tiene un OS del tipo Slackware, Arch o NetBSD, tendrá muchos menos problemas de seguridad. Aunque sólo sea por los sistemas de permisos del tipo UNIX, por los "elf"...

#46 Existe ramsonware multiplataforma.

Envíame una versión para Slackware o para NetBSD, a ver si soy capaz de colarlo en mi PC desde otro remoto.

#3 Los vendedores de linux no ofrecen maletines para "mejorar" la penetración de sus sistemas.

#49 Para estas cosas mejor un FW dedicado y unas reglas de iptables por puesto. No es dificil.

Sobre permisos, lo mejor montar /tmp y /home en particiones aparte, junto con /var y mandar al cuerno todo permiso SUID y de ejecución.

Existe un script de iptables para Slackware para equipos de escritorio.

www.slackware.com/~alien/efg/

Pero estos scripts ya están manejados desde ansible, y si en tu oficina no tienes un firewall serio (basado en PF), o cosas bestias de CISCO, estás muerto.

#23 La usabilidad es igual de importante que la seguridad No. Para mi es más importante la seguridad y la estabilidad. La usabilidad se puede enseñar sin riesgos.

Yo tuve que impartir muchas clases por la "usabilidad" en procesos de migración, y el 99% eran innecesarias... exigencias sindicales, caprichos de personas que usaban mucho el Power Point, y otros por el estilo.

#25 Vuelta a los 70 con Unix y terminales conectados. Mientras no tengan que conectarse a un AS/400 todo tendrá arreglo

En serio... en muchos entornos empresariales en los que trabajé haciendo migraciones; los más viejos del lugar siempre decían cosas como: cuando teníamos un Mainframe y todo dios con terminales tontos, Solo teníamos un administrador de redes, un ayudante de backup y otro en prácticas... y ningún problema. Un día llegó un tipo se llevó al jefe a comer a no se donde y a la semana siguiente estaban por aquí entregando PC con Windows 95...
El departamento de backoffice pasó a tener 14 empleados fijos y nunca fueron suficientes... no les llegaba el día para atender los fallos de 1400 PC.

#52 Hablamos de diferentes usabilidades me parece a mí...

#39 Cambiar la cúpula no servirá si siguen con los mismos sistemas... lo que dice #2 si sería un comienzo... entre otras muchas cosas por lo que dice #22 y #25 (en lo relativo al correo y al ramsomware).

#55 Windows debería tener un sandbox con virtualización integrado con Outlook/Edge, y que toda la mierda se abra dentro plan seamless (como virtualbox), sin tocar el anfitrión.

Y sobre todo quitar la tontería esa de ocultar la extensión. No es un Unix, no tiene libmagic o similares tipo MIME. Que lo asuman de una vez, es un puto desastre.

Que hagan como Apple con Mac OS 9. Patada al NT clásico, y que lo antiguo bajo Win32 se virtualiceo emule.

#40 Venden productos y servicios como los de Securitas Direct??

Lo pregunto, porque no lo se.

#54 De distintos niveles de usabilidad?? de distintos usuarios??

Es posible. Yo aludía a la falta de usabilidad que durante décadas administradores de redes (y personal de backoffice) Microsoft, han venido achacando a los OS del ecosistema UNIX (por mucho que ellos durante los últimos 15 años, siempre tienen a mano un stick USB con una Linux Live).

#6 ldap no funciona en Linux según tú.

#59 Funciona pero AD en Windows tiene más integración. Y sí, conocía realmd.

#26 si no es con clics es que no se puede

#60 más integración haciendo clics, ¿Verdad?

#62 No, más integración entre ecosistemas. Por cierto:

:~>uname -a
Linux darkstar 4.4.208 #1 SMP Wed Jan 8 15:23:19 CST 2020 x86_64 Intel(R) Pentium(R) CPU G630 @ 2.70GHz GenuineIntel GNU/Linux

#58 por supuesto, porque Linux es útil a infinitos niveles fuera del ámbito del usuario común de una empresa.

Nada más faltaría que un sysadmin no tuviese las herramientas necesarias. Pero no insistamos más, Linux aún está lejos de ser útil para el usuario común en su día a día. Y los sysadmin huyen de instalar Linux en los ordenadores de los usuarios porque saben los problemas que van a tener.

#20 sí, como que un ejecutable en Linux no puede causar estragos en la red sin necesidad de tener permisos especiales.

Una vez un usuario que está en la red ejecuta cualquier cosa estás jodido.

Muchos pareceis pensar que el problema está en el daño que se hace a la máquina del usuario.

#17 se hackean Linux todos los días.

#12 es él?

#33 ansible = caca

#35 certificado en kiss, si no te gastas una pasta en certificaciones parece que no sabe igual

#65 Un patoso en un UNIX (o BSD o Linux) en un entorno empresarial, puede abrir un correo electrónico en su cuenta, pero "hacer click en un ejecutable?? si yo soy el administrador, va a ser que no.

Si a alguien le cifran sus propios archivos (en un entorno UNIX) es que es muy patoso, sí. Y muy descuidado. Y los hay, pero eso en su portátil... en el corporativo, hacen lo que el administrador le permite... y si trabajan contra un servidor, lo que se le permite es casi nada. Hay que minimizar los riesgos.

En entornos UNIX (corporativos o empresariales) para que un malware de ese tipo llegue hasta un usuario, tiene que haber fallos en el FW y los administradores no suelen estar dormidos... y las políticas de backups se cuidan mucho...

Conoces algún caso de alguna empresa grande (con entorno UNIX/Linux/BSD), en el que se haya dado algún caso de "cifrado de archivos, solicitud de mordida y pago del chantaje"??

Yo no, pero estoy dispuesto a estudiar algún caso, para descubrir donde estuvo el agujero de seguridad.

#64 Y los sysadmin huyen de instalar Linux en los ordenadores de los usuarios porque saben los problemas que van a tener.

Creo que conocemos a administradores de sistemas de entornos empresariales muy diferentes.
Pero supongo que es lógico. Yo desde el principio de los 90 siempre trabajé en entornos UNIX (los primeros, comerciales; después también con BSD y Linux). Y no conozco a administradores de sistemas que instalasen ningún otro OS que no fuera un UNIX o tipo UNIX en las computadoras de los usuarios.

Supongo que en otros entornos, será más lógico instalar otros OS a los usuarios; aunque los los administradores de sistemas usen OS del entorno UNIX en servidores de bases de datos, por mencionar ejemplos que conocí.

#7 no lo pienso. De hecho, creo que Linux en manos de incompetentes es más inseguro que Windows porque los malos cuando consiguen entrar en un Linux pueden contar razonablemente con que tienen un compilador de Python, un bash y un montón de comandos con los que pueden hacer de todo, mientras que cuando los malos entran en un Windows de un usuario normal tal vez consigan tener... ¿un jre? Pero creo en la estadística y en la ley del mínimo esfuerzo, así que creo que los malos le van a buscar las cosquillas antes a Windows que a Linux porque hay más Windows y más torpes con Windows que Linux por ahí fuera. A los ojos de un hacker, Windows es un solomillo poco hecho y Linux es brócoli. Queda el multiplataforma, como dice #46 , pero al menos nos quitamos el que no es multipltaforma.

#39 #55 No, no sirve de nada porque el usuario más tonto puede haberla liado, pero habría que ver cómo estaba Prosegur. Trabajo para una empresa similar y casi todo está en Excel y Access con macros... Si el de seguridad permitía algo parecido en Prosegur, ya tenía un pie fuera.

#72 Sí, es lo más lógico, en el 90% de las empresas. Gracias por compartir tu experiencia residual.

#43 ¿En serio?
Pues mira, te cuento: boton derecho, enlazar en... y listo. Alternativa: arrastrar y soltar. Al soltar te pregunta "¿mover, copiar o enlazar?" (no sabes la de veces que un usuario de windows se ha quejado de que le ha "desaparecido" algo y es que lo ha movido a quién sabe donde y como al arrastrar y sontar windows no pregunta, no se enteran).

Por otro lado, ¿cuántos usuarios de oficina han usado alguna vez un acceso directo?

#16 La granularidad en los permisos por ejemplo.

Pero la potencia gorda esta en las GPOs y el hecho de que todo sea un objeto.

He trabajado en ambos mundos y coincido plenamente.

#42 Más que buscar el equivalente de [rellene aquí lo que quiera], deberías preguntarte para qué usas [rellene aquí lo que quiera]. Muchas veces te das cuenta de que en un sistema diseñado desde el comienzo para ser multiusuario, muchas cosas que necesitabas en windows ya no hacen falta.

#12 Me parece que era "ezel"...

#77 Esa respuesta es una no respuesta.

Si has tocado GPOs en AD deberías entender perfectamente cómo se usan y para qué.

Quiero que la configuración de iptables sea la misma para todas aquellas máquinas que cuelgan de una determinada rama del directorio LDAP. Pero por aplicación/ejecutable, no por puerto

Configuración de escritorio la misma para cada rama. En local, que no tire de un directorio remoto.

Desactivación de puertos USB por rama LDAP.

Gestión de grupos por rama LDAP. por ejemplo: conexión por SSH a determinados usuarios de un grupo a las máquinas de una rama LDAP.

Grupos globales a todas las máquinas del directorio LDAP.

Instalación de software por rama LDAP y características hardware de la máquina (Equivalentes a filtros WMI)

Y todo para un parque de 1000 máquinas distribuidas geográficamente , por poner un ejemplo concreto.

Y con un coste equivalente en tiempo al que tienes en AD.

#79 Quiero que la configuración de iptables sea la misma para todas aquellas máquinas que cuelgan

Justamente a este tipo de cosas me refería: Tal vez, acostumbado a windows, intentas hacer las mismas cosas en linux. Pero en un sistema tan seguro como LInux, la configuración de iptalbes en una estación de trabajo es bastante irrelevante, aunque no veo dificultado en hacerlo. Otras cosas como instalación de software y demás se pueden resolver con scripts sencillos o incluso con rsync.

En principio no he tenido la necesidad de hacer las coas que nombras pero diría que si me pongo en menos de una semana podría implementar esas cosas en linux ya sea con software que viene hecho o escribiendo scripts de menos de 10 líneas.

A demás habría una ventaja: en Linux sería imposible que los usuarios se saltaran las restricciones que pongas sin desmontar el ordenador y poner el disco en otro.

#7 A ver, es razonable: windows se diseñó como sistema monousuario. Así que su funcionamiento "natural" es que el usuario hace lo que quiere y rompe lo que quiere porque para eso es su ordenador. Toda mejora que se ha hecho en la seguridad han sido parches que de una forma u otra se terminan saltando (a veces de forma ridícula).

Linux deriva de Unix que es un sistema multiusuario. Así que su funcionamiento natural es que el usuario sólo toca lo suyo y ni siquiera puede instalar software, ni configurar la impresora ni nada de nada. Hacen falta programas específicos hasta para permitirle pinchar una memoria USB y leerla. Eso es un inconveniente notable para usarlo como estación de trabajo, pero de ahí su seguridad.

Entonces: ¿por qué piensas que un linux en manos de incompetentes es más seguro que un windows en manos de incompetentes?

Porque hay que toquetear mucho y bastante mal para permitir a un usuario hacer cosas para las que el sistema no fue diseñado que pueda hacer.

#15 Los malos aprenden a rootear una máquina linux mucho antes que a copypastear un exploit para windows...

Y, lógicamente, aprenden con versiones viejas que tienen alguna vulnerabilidad. Y está bien, porque así aprendes cómo proteger tu sistema para que eso no ocurra.

#78 También, también...

#82 Python y scapy, 2000 diabluras.

#85 Ostia cierto, mil perdones. Aunque igual algun software de usuario pida dependencias (libvirt creo).

No sabia que tuvieran un departamento de ciberseguridad.

#88 Compraron Cipher a finales de 2018 y empezaron a ofrecer servicios de ciberseguridad a sus clientes a lo largo de 2019

www.itdigitalsecurity.es/actualidad/2019/06/prosegur-ciberseguridad-pr

En casa del herrero...

#87 Si bueno, C# viene de serie, es posible ejecutar código y programas en .Net (y compilarlos) sin instalar nada. Y luego están VBScript y demás.

#40 ProsegurAVOS compró la empresa donde trabajo hace poco. ¿Debo estar cagado? Pregunta seria.

La seguridad informática nunca ha sido un punto fuerte de Prosegur. Cuando yo trabajaba allá, para todo usaban la misma contraseña, que estaba fuertemente basada en el propio nombre de la empresa.

#91 No lo sé, a lo mejor tu empresa sigue funcionando igual que antes. Pero si llegan nuevos jefes y a la antigua, entonces ve comprando papel