367 meneos
10126 clics
Un informático en el lado del mal: El ataque del ransomware #WannaCry
Ayer un ransomware nos afectó en unos equipos de red, como a muchas otras empresas de los más de 70 países que han sido detectados ya. El ransomware tiene como objetivo cifrar los archivos del equipo infectado para pedir un rescate vía BitCoins, en este caso 300 USD ( no tiene como objetivo robar datos) , y se distribuía con un dropper enlazado en un correo electrónico que no era detectado por muchos motores de antimalware. A pesar del ruido mediático, este ransomware no ha conseguido mucho impacto real.
|
comentarios cerrados
Por un lado creo que la respuesta del senior Alonso deja que desear. Querria saber si hay sistemas criticos corriendo en servidores windows y si han sido afectados (de mi epoca puedo mencionar el SGTWEB que controlaba las centrales de telefonia, el SERES y el MECA). Recordemos que esto son infraestructuras criticas. Querria saber si los repositorios de codigo han sido comprometidos, porque hay un huevo de proyectos de telefonica que nos afectan a todos que pueden haber sido "modificados" potencialmente. Seria…...
Solo ha mandado a todo dios para casa ¿Lo descontarán de los sueldos?
Por un lado creo que la respuesta del senior Alonso deja que desear. Querria saber si hay sistemas criticos corriendo en servidores windows y si han sido afectados (de mi epoca puedo mencionar el SGTWEB que controlaba las centrales de telefonia, el SERES y el MECA). Recordemos que esto son infraestructuras criticas. Querria saber si los repositorios de codigo han sido comprometidos, porque hay un huevo de proyectos de telefonica que nos afectan a todos que pueden haber sido "modificados" potencialmente. Seria cojonudo que dentro de 5 anios nos enteremos que todo esto ha sido para meter un par de lineas de codigo en algun sitio y todos los que se llaman "Perez" llevan pagando 5 euros mas cada mes sin saber por que. Tampoco me da mucha confianza que los comentarios en la pagina sean del nivel de sexo oral sin condon salvo algunos. Algo de autocritica tiene que haber. Ya nos sabemos lo de que la seguridad es un proceso y todo eso. Pero un analisis del hecho de que esto es una cagada y un marron de proporciones biblicas que solo se ha salvado porque Indra que es contratista de armas y tiene el SACTA que controla el tafico aereo del flanco sur de la OTAN y no ha caido. Si no estariamos en modo: "MECAGONTOOOOO"
Por otro, el no tiene la culpa directa, pero todos nos comemos los marrones aunque no nos toquen directamente, por verguenza torera, y por lo que cobramos. Yo he visto sistemas internos de bancos en varios paises con cosas que no puedo contar por contrato. Pero no puede ser excusa para: "No ha pasado nada", cuando es que pasa algo? Cuando vengan los zombies aporreando en la puerta del piso?
¿Segmentación de red? ¿En Telefónica? Si le dan toda su seguridad a un firewall perimetral...
Además, se está cometiendo el error de medir el impacto sólo con lo que ha recaudado los malos. El impacto son las 4 horas que ayer estuvieron parados los miles de empleados de telefónica en las sedes, lo que valga la información que se ha perdido, el impacto a la imagen de la empresa (uno de los principales productos desarrollados por este señor se supone que te protege del ransomware, de forma que el que le entren en su casa es un problema reputacional muy grande) y el cambio de todos los equipos afectados que no hayan podido recuperarse. Además hay que sumar que, si se hacen las cosas bien, les va tocar revisar todas las máquinas de la empresa para verificar que no tienen muestras que no hayan saltado, y revisar cuanto tiempo llevaba la infección y porque no se ha detectado.
Por otro lado, también es un poco vergonzoso que estuviese más ocupado contestando a mensajes en twitter y a medios, confirmando cosas que hasta el momento eran meros rumores y que caen fuera del ámbito de telefónica, y, en general, metiendo el cazo hasta el fondo a nivel de comunicación.
www.meneame.net/story/vamos-jugar-suposiciones
Y perdón por el "Wasinton" del primer comentario...
En media mañana estaba solucionado, "c:del/s *.xlsx" y restaurar la copia de seguridad, listo.
Hasta le pudimos echar la bronca al "culpable", todos los archivos encriptado estaban modificados por el mismo usuario e la misma hora, el usuario que habrio el correo infectado.
SwiftOnSecurity es una cuenta que tiene 182k followers y TODO el mundo de seguridad sigue twiteó que iba
a pasar ésto el 18 de Abril: twitter.com/SwiftOnSecurity/status/854538375533129729
> Oh boy ransomware is going to rek shit with MS17-010. Entire domains down the drain.
En serio, no hay excusa si eres una empresa tecnológica y tienes a más de una persona haciendo seguridad.
La verdad es que es llamativo que un tipo aparentemente majete pueda colaborar con semejante engendro.
que se use bitcoins para la delincuencia cuando la delincuencia tiene otros métodos de conseguir dinero sin poder seguir la pista como "el giro postal" . creo que hay algo que esta relacionando los Bitcoins con la delincuencia para desprestigiarlo
incluso "el principe nigeriano" saca mas dinero en menos tiempo
En su momento, cuando actualizábamos del tirón, y Microsoft había metido 30 parches de golpe, nos daba en toda la cara, y en mi departamento teníamos que ir desinstalando parches uno a uno hasta dar con el que generaba el problema. En estos casos, dichos parches no eran críticos, uno como el que generó el problema de ayer, debe instalarse sí o sí.
blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
blockchain.info/es/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
AEDE: internacional.elpais.com/internacional/2017/05/13/estados_unidos/14946
¿o no?
¿En serio, de los miles de post que he leído en meneame y otras webs, nadie conoce / se acuerda las actualizaciones que microsoft termina retirando de win update porque joden la propia instalación de win? una simple búsqueda de google os lo confirmará
Es que parece que quienes no lleva las actualizaciones instaladas al segundo son gilipollas. En gran empresa me parece más que lógico que las cojan con pinzas y condón y comprueben su correcta integración.
Que sepáis que CAGADAS de microsoft con las actualizaciones de windows las ha habido y las habrá en el futuro.
Y yo sólo soy un simple técnico en un SAT de barrio.
PD: Reconozco que aunque trabaje en el sector cada vez soy mas ludita y me esta costando adaptarme a la externalización de hardware en la nube. Al final, con tanta nube de los cojones pasa lo que pasa. Llevan años comiendoles la oreja a las grandes y medias empresas para que externalizen servidores y puestos de trabajo en las infrestructuras de telefónica, con azure de microsoft y otros servicios similares. Cuando peten como paso ayer a ver que hostias hacen.
Lo que si ha pasado, porque lo he visto hoy, es que en muchos departamentos están los PCs apagados y los sistemas funcionando en modo piloto automático. Y no menciono sistemas concretos ni departamentos concretos porque luego nos conocemos todos,y esos sistemas concretos que mencionar durante una temporada han formado una parte importante de mi actividad.
Efectivamebte ha afectado a pocos puestos de trabajo, al menos donde yo estoy. Pero están todos apagados y tareas cotidianas que se deberían estar haciendo solo las hacen algunos que estaban a la última versión de parches. Otras personas están con estación de trabajo no no habituales donde todos los automatismos que tenían por ejemplo no funcionan.
Por no hay cosa más idiota en materia de seguridad, que tener una ventana abierta o una conexión remota abierta si no es necesaria. No es llegar al nivel extremo de seguridad y paranoia de algunas personas. Pero se usan mucho las conexiones remotas para provocar y propagar infecciones. Y tener una abierta propicia eso. Es más un servicio de conexión remota sólo debería estar activado mediante demanda o de manera manual no de manera constante y que un fallo de seguridad propicie un ataque.
Por cierto es hora de exigirles a quienes crean productos, software,etc (y no vale la excusa de la complejidad del diseño de este) a que tengan un mínimo de calidad y seguridad. Por eso a pesar de lo que dije, me hace gracia que sólo se le eche la culpa al usuario o a la empresa por no haber paliado la situación. Cuando la realidad es que si el producto no tuviese esos fallos, en este caso el servicio SMB de Windows, la infección no sería posible.
Salu2
Las charcuteras te dan un ordenador de lo más gitano, sin antivirus, que no se va a actualizar nunca. No es lo que explica Chema de que no les ha dado tiempo a actualizar. Hay ordenadores que directamente no se actualizan nunca, y están conectados 40 horas a la semana a la red de Telefónica.
Yo desarrollaba para este sistema para empresas en el pleistoceno, los programas estaban hechos en visualbasic y librerias en C y eran para windows95 pero los sistemas se fueron actualizando hasta el windows XP sin problema, a partir de windows vista los programas ya no se podían ejecutar binariamente por decisión de Microsoft, y además abandonó el visualbasic para imponer el enjendro .net.
Ninguna empresa que usa estos programas ha podido actualizarse el windows (algunos van con maquina virtual pero no es lo mismo), simplemente no pueden permitirse rehacer esos programas.
Con Linux nunca jamás he tenido problemas, los programas siempre han funcionado con versiones nuevas de kernel y sistema, como máximo se ha tenido que hacer algún pequeño parche, y el control siempre lo tienes TU.
Lo cierto es que todas las empresas que he conocido tienen redes internas inseguras.
Yo soy programador, no sysadmin, y no sé mucho de Windows.
Solo diré que cada vez que actualizo mi debian me da ansiedad y eso que no suele fallar.
Si pienso en actualizar miles de equipos me da vértigo.
Normal que pongan los parches en cuarentena.
Para mí algo que solo funciona en Windows o determinada versión de un SO sin un motivo justificado no está del todo bien hecho.
En general el software hecho en Linux no es muy dependiente de Linux, mientras que el software de Windows es muy dependiente.
Creo que es un problema de cultura en el ecosistema Windows.
blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
blockchain.info/es/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Edito:
Vale, no sé si la seguridad está subcontratada, pero hablo en general. Me refiero a que trata de defender a su empresa, deficiente, tratando de sacar argumentos donde no los hay.
De momento ningún problema.
Yo tenía entendido que lo había contratado telefónica para que estas cosas no pasaran, pero se ve que es un funcionario, uno que pasaba por allí. Para mi que fue un fichaje mediático. Si por la tele se ve bueno, que todo el mundo sepa que está con nosotros.
Algo le reconcomería cuando sin ser de su responsabilidad aborta las vacaciones.
Mismamente, ¿Tu crees que por algo así no ha muerto nadie? Iluso. Simplemente el no poder consultar las alergias de una persona inconsciente hace que muera por penicilina. O retrasar una operación de apendicitis, puede hacer que mueras por peritionitis.
> I'm a doctor in one of the affected hospitals, a major trauma center in London. Everything has gone down. No blood results, no radiology images, there's no group specific blood available. They've declared an internal major incident, the hospital is diverting major trauma and stroke patients. All elective surgery was cancelled from about 1pm. We're not doing anything in theatre that's not life or limb threatening. There will almost certainly be deaths as a result of this. I sincerely hope whichever cunts were responsible for this get utterly fucked by GCHQ.
Tiene que ser complicado responsabilizar de una muerte a que el sistema esté caido
Lo de la MS17-010 es serio: es una ejecución d código remota no autenticada. sólo que entre en la red se propaga a muerte a cualquier windows no actualizado desde el 14 de marzo.