311 meneos
1750 clics
El ciberataque del SEPE afecta también al Instituto de la Seguridad Social
Algunos de sus servicios, como la solicitud de pensiones o prestaciones por maternidad, se han visto afectados por el virus informático que atacó este martes al Servicio Público Estatal de Empleo (SEPE).
|
comentarios cerrados
Y no.
Es tremendamente complejo.
Las superficies de ataque son muy amplias y el factor humano es terriblemente difícil de proteger.
El usuario que ejecutó el archivo infectado seguramente no se enteró.
Sobre todo por que no son ataques de click-infección-cifrado.
De media, en este tipo de intrusiones, que es lo que son, están unos 79 días dentro de tu sistema.
Analizando tráfico y archivos, buscando vulnerabilidades, y estableciendo la arquitectura de tus sistemas y sus salvaguardas, al tiempo que se exportan volcados de información.
Una vez que tienen suficiente se ejecuta el cifrado, la destrucción de las copias de seguridad.
Yo he sufrido dos en mis propios sistemas y tres en sistemas de terceros.
En los míos se había dado formación a los usuarios, se les había entrenado, se les facilito la consulta inmediata abres de abrir un fichero, antivirus al día, copias frías, dos ubicaciones, etc.
En…...
Pero lo mejor será encontrar en el pliego, además de todas las certificaciones de IT, las maravillas que se iban a montar, no ya en seguridad, sino los protocolos de Disaster Recovery.
Sueldos de 1000€ durante 4 meses al año después al paro frente a 1300€ de pensión por 14 meses las cuentas no salen por ninguna lado.
Desde hace tiempo mucho ransomware maneja el api "shadow copy" y si puede troncha hasta los discos especiales de copias (VSS). Cosas de confiar en los comerciales y panfletos vendemotos de Microsoft.
Y no.
Es tremendamente complejo.
Las superficies de ataque son muy amplias y el factor humano es terriblemente difícil de proteger.
El usuario que ejecutó el archivo infectado seguramente no se enteró.
Sobre todo por que no son ataques de click-infección-cifrado.
De media, en este tipo de intrusiones, que es lo que son, están unos 79 días dentro de tu sistema.
Analizando tráfico y archivos, buscando vulnerabilidades, y estableciendo la arquitectura de tus sistemas y sus salvaguardas, al tiempo que se exportan volcados de información.
Una vez que tienen suficiente se ejecuta el cifrado, la destrucción de las copias de seguridad.
Yo he sufrido dos en mis propios sistemas y tres en sistemas de terceros.
En los míos se había dado formación a los usuarios, se les había entrenado, se les facilito la consulta inmediata abres de abrir un fichero, antivirus al día, copias frías, dos ubicaciones, etc.
En los pliegos de instalación se pide lo que se pide. Estos sistemas no se han implantado hace meses, llevan años.
Y hace años el impacto, gravedad, escala y alcance de los ataques de seguridad eran nimios comparados con lo que está ocurriendo ahora. Y no se exigía un nivel de seguridad como el que se necesita desde hace uno o dos años.
La evolución de los ataques, su complejidad técnica, su eficacia, ha sido exponencial en los últimos dos años.
No.
No se puede exigir medidas de hoy con los condicionantes que había hace 7-10 años.
Pero entendería, por supuesto, que no te apetezca lo más mínimo, porque es un currazo sólo para entretener un puñado de desconocidos de internet, muchos de los cuales igual ni lo valoran ni lo agradecen...
Se me olvidó decir que puedes ser hacker y buena gente que me consta que hay y muchos, cada vez más.
Siguen siendo el sistema de almacenamiento con más densidad, más seguro y más duradero (los discos duros acaban perdiendo magnetismo, y si falla la mecánica es posible que no puedas recuperarlo. Eso no pasa no pasa con las cintas).
#14 #19 #30 #27 #28 la realidad con las APs es muy particular, hay un mal endémico y es el software ad-hoc que está hecho, como el puto culo, que tiene que interactuar con cosas que ahora mismo se consideran inseguras, como por ejemplo Lotus Domino. Tal cual, Lotus Domino estaba en el scope de la licitación de 2018, que es la que está vigente ahora mismo (a pesar de que están en proceso de licitacion desde febrero para la parte de administración y explotación de sistemas). Otras joyitas como Windows 7 (que en ese momento estaba fuera de soporte) o VMware vSphere 6 (que estaba a punto de entrar en EOL sin soporte un par de meses después del pliego).
Si a las empresas ya les cuesta estar al día de las amenazas, la AP es un mastodonte que le cuesta 10 veces más porque tiene muchísima más fricción en toda la capa de sistemas medios y de lógica de negocio.
Ahora imagina que son 2 meses ¿restauras un backup de dos meses? y los datos? ¿como estas seguro que lo que restauras está limpio?
Otra, si el virus afecta al catalogo de las cintas, suerte para saber en que cinta está cada backup.
1. Si un equipo no es servidor por que tiene abiertos los puertos de smb? La primera en la frente.
2. Aun teniendo usuarios kamikaze tienes herramientas (gratis algunas) que crean directorios señuelo que detectan la presencia de un ransom y matan el proceso. El equipo queda infectado, pero se apaga y no va a mas. Y esto para el caso de que el antivir no les coja (que Avast, Kaspersky...son bastante eficaces en heuristico).
3. Los backups no se ponen a la vista de la red windows. Vamos lo primero que se hace.
Por tanto, mal la configuraicon, mal el preventivo y mal la ejecución de backups.
PD : Esto no tiene pinta de intrusion en absoluto. Tiene pinta de usuario pincha adjunto y boom.
Yo desarrollo software para la administración. Hace unos años pasaron una auditoría de seguridad a una aplicación de la que yo llevaba el mantenimiento/evolución y salieron fallos de seguridad garrafales por todos los sitios. Cosas básicas del tipo que cambiando un id en la URL podías acceder a toda la información privada de otros usuarios (y se cuentan por decenas de miles en esa aplicación). Las correcciones de dichos fallos se incluyeron en una revisión con otras tareas bastante importantes. El equipo de trabajo eran 4 ó 5 becarios. Las horas estimadas nos las comimos con patatas con las funcionalidades principales y la fecha de entrega era inamovible. La solución adoptada fue declarar los fallos de seguridad corregidos (alguno se corrigió pero quedaron otros muchos) y entregar igual. Aclaro que no fue mía la decisión.
El responsable de la validación de la entrega por parte de la administración pertenece también a nuestra empresa (la adjudicataria del mantenimiento). Esto es así porque la propia administración hace uso de trabajadores en situación de cesión ilegal sin despeinarse. Por supuesto validó la versión y fuimos a producción sin problema. Nunca se volvió a auditar la seguridad después del supuesto arreglo y años después ahí siguen casi todos los fallos de seguridad. Añadir que esta aplicación fue una "privilegiada" por ser objeto de la auditoría inicial. Otras no se miran jamás.
Así funciona la administración y por eso pasan muchas cosas. Muchas menos de las que podrían pasar por suerte.
No digo que sea el caso del SEPE, pero en ese campo hay muchas minas y alguna estalla de vez en cuando.
¿subir de version el as/ 400 ? proyecto de años, ¿diseñar una versión nueva del interfaz? proyecto de años con un millón de casos de uso específicos.
Ejemplo real:
sistema oracle 9 sobre hp-ux 10.1 (esto me lo invento por que no me acuerdo)
se pretende instalar una nueva instancia de Oracle 11, pro hay que subir el HP UX a 10.4
Peeeero, resulta que el 10.4 no es compatible con oracle 9.
Osea, que ni palante, ni pa´tras
Hubo que comprar hardware nuevo, claro, ahora imagina eso en la admon publica con licitaciones, plazos de entrega, etc etc.
Si yo soy capaz de recuperar todos los datos de un ataque así a unos abogados y laboristas asociados a los que les entró (y les cifró todo), no entiendo como algo mucho más grande no está protegido. Yo les monté un NextCloud para que tuviesen todo en la nube, y sobre el servidor copias con rsync (rsync –link-dest) diarias, semanales y mensuales. Recuperar todo les costó 1 día (instalar todos los s.o. y aplicaciones fue lo más costoso).
Las webs que tengo hacen copias con rsync locales (aunque el hosting también las hace), y copias en un equipo que tengo en mi LAN. El SEPE ha tenido que restaurar desde Internet Archive...
Es como decir que no se pone un SAI, porque el suministro eléctrico debe ser estable porque es compromiso de la suministradora eléctrica hacerlo bien.
Normalmente no envía info al hacker porque 1 tardas mas en enviar y te pueden detectar, 2 no sabe que info es buena y cual paja
También se da el caso que antes de cifrar los discos, sacan información poco a poco al exterior..
Los gestores de la administración deberían emplear funcionarios para la gestión y seguimiento de sus proyectos. Si desde la administración se hace uso de trabajadores en cesión ilegal y encima esos trabajadores pertenecen a las empresas adjudicatarias de los proyectos que gestionan ¿Qué coño esperan que pase? Es poner al zorro a cuidar de las gallinas.
Yo soy responsable para con mi empresa y para con mi familia. Si denuncio quizás obtendría un maravilloso despido o en el mejor de los casos que mi empresa me haga la vida imposible. Son los gestores públicos los que deben gestionar bien y no facilitar que pasen estas cosas haciendo cosas no sólo estúpidas (por generar conflictos de intereses en sus trabajadores) sino también ilegales (por la cesión ilegal de trabajadores). Yo no soy ningún héroe, sólo un currito.
Añado que esto no sólo pasa en la administración. Podría contar muchas anécdotas pero por poner un ejemplo un familiar mío trabajaba en una fabrica de material de construcción. Si quieres te cuento cómo se hacen los controles de calidad del hierro que refuerza el hormigón armado que sustenta tu casa. Los auditores de calidad sólo miran que existen los documentos que dan fe de que se han hecho las pruebas. Si a los auditores no les preocupa nada más, al trabajador más le vale hacer lo que diga su jefe.
La presión competitiva (o la ambición del empresario) hace que las empresas tengan que reducir todos los costes que puedan. Si eso supone hacer un trabajo un poco peor, lo harán mientras el cliente les deje hacerlo. Si engañas mucho te pillarán y es peor, si engañas un poquito las posibilidades de que te pillen son pocas y suele compensar, si lo haces todo como lo tienes que hacer no te va a salir rentable trabajar porque habrá otro que engaña un poquito y lo hace más barato.
El usuario que ejecutó el archivo no debería tener absolutamente ninguna posibilidad de infectar nada fuera de su equipo y de su usuario. Mucho menos una base de datos remota o una aplicación, ni siquiera del sistema.
Si se diseña bien la red, y se reparten atribuciones correctamente delimitando a donde pueden acceder qué equipos y de qué manera la propagación de la infección es muy muy difícil.
Y por supuesto GPO's donde este prohibido ejecutar cualquier cosa que no esté en la lista blanca.
Metamonos en la cabeza lo siguiente, este país lo está matando los políticos de mierda que tenemos y mira, no es el comunismo que tanto miedo os da y la gente que los vota
Es increíble , enserio que no saltemos de una puta vez como cuando gana el mundial la selección española, eso sí que es importante, lo demás ...ya no tanto
Me da que la mitad de sistemas necesitan reconstruírse desde 0. Y eso que se ha gastado pasta a espuertas en ellos.
Explica eso a los amantes de Windows Server y AD.
Los sistemas propietarios es lo que tienen. Tienes que tener siempre el bolsillo presto y listo o atenerte a las consecuencias.
Con PostgreSQL sobre Linux, no pasa.
Y luego, cuando pasan estas cosas, no hay responsables.
Y Desarrollo y mantenimiento.
hace falta un cuerpo de informáticos del estado y CPD estatales que use la administración. COmo el comer.
hace que las empresas tengan que reducir todos los costes que puedan.
Todo antes que reducir el margen de beneficios.