sábado, mayo 13, 2017

El ataque del ransomware #WannaCry

Es desde hace doce años que vengo escribiendo este blog y nunca he escurrido el bulto cuando algo sucede, y por eso escribo hoy de este tema que tantos titulares ha despertado. Los que trabajamos en seguridad informática sabemos que “estar seguro” no es una meta a la que se pueda llegar con 100% de certidumbre, y lo entendemos como la gestión de un riesgo que hay que manejar. No hay soluciones sencillas a problemas sencillos. Nos reportan bugs a nosotros y nosotros reportamos bugs a otras empresas. Es el día a día de nuestro trabajo.

Figura 1: El ataque del ransomware WannaCry

Ayer un ransomware nos afectó en unos equipos de red, como a muchas otras empresas de los más de 70 países que han sido detectados ya. El ransomware tiene como objetivo cifrar los archivos del equipo infectado para pedir un rescate vía BitCoins, en este caso 300 USD ( no tiene como objetivo robar datos) , y se distribuía con un dropper enlazado en un correo electrónico que no era detectado por muchos motores de antimalware. 

Figura 2: Detecciones de la primera muestra de WannaCrrypt en VirusTotal

Hoy ya sí, porque muchas empresas hemos colaborado con las casas de antimalware para que lo firmen -.

Figura 3: Detecciones en la última comprobación

 El esquema de ataque era:
- Fase de infección: Spam masivo a direcciones de correo electrónico con un enlace de descarga del dropper (el que descargar el payload) o explotación de servicio vulnerable expuesto a Internet o conexión de equipo infectado a la red local. 
- Cuando se descarga el dropper se infecta con el ransomware la máquina.

Figura 4: Alerta del CCN-Cert publicada al poco de comenzar el ataque
- Desde la máquina infectada se escanea la LAN en busca de equipos vulnerables a MS17-10 para infectar a ese equipo también y continuar la infección. Tal y como anunciaba el CCN-CERT inmediatamente.
Lo cierto es que este esquema, aprovechándose de las primeras infecciones, ha dado con muchos equipos en las LAN de muchas empresas que no estaban actualizados con los últimos parches de seguridad. Esto es así, porque en algunos segmentos internos de algunas redes, el software que corre en esos equipos necesita ser probado con anterioridad y el proceso de verificación y prueba de los parches no es tan rápido en los segmentos internos como en los externos porque el volumen de software interno suele ser mucho mayor y de mayor sensibilidad para la continuidad del negocio.

Figura 5: WannaCrypt en NHS en inglaterra

A pesar del ruido mediático, este ransomware no ha conseguido mucho impacto real, y como se puede ver en la billetera BitCoin que utiliza, el número de transacciones de momento va solo por 8 en una de las tres direcciones que utiliza este malware, tal y como se puede ver en la imagen siguiente. Es decir, solo se ha pagado por el rescate a esa dirección por 8 equipos en todo el mundo.

Figura 6: Dirección BitCoin con transferencias realizadas

En total, unos 6.000 USD en todo el mundo en el último recuento:

Figura 7: las direcciones usadas

Por supuesto, lo ideal es que esto no fuera así, pero en muchas ocasiones surgen incompatibilidades entre software a medida creado en las empresas que dan soporte al core de negocio, y los nuevos parches. En muchas unidades, donde no existen esas limitaciones con largos procesos de verificación para garantizar que todo va bien, no ha pasado absolutamente nada con este ransomware. Para evitar el impacto de tener un equipo con un proceso de actualización más largo, se contrarresta con procesos de copia de seguridad continuo y pruebas de planes de contingencia permanentes. De hecho, el mapa de infecciones de WannaCry, el buen hacer de los equipos de respuesta a incidentes lo mantiene en números muy bajos - no solo en pagos, sino en número de direcciones vivas infectadas en todo el mundo -

Figura 8: Mapa de infecciones de WannaCry en tiempo real 

Muchos pueden pensar que el problema es que se es lento haciendo la verificación de que un parche no rompe nada, o que no se debería hacer porque los parches ya vienen probados, pero la realidad es que en redes de empresas con la cantidad de tecnología que generamos diariamente en Telefónica, no se puede arriesgar la continuidad de negocio de un sistema que da servicio a los clientes por un problema con un parche, así que se invierte más en responder ante un posible riesgo de que sea explotado con medidas de detección y respuesta, en lugar de arriesgarse a que algo falle en la prevención rápida. Y no es porque el parche esté mal, sino porque puede afectar al funcionamiento de cualquier módulo del sistema completo.

Nuestro equipo de seguridad y respuesta ante incidentes

A nosotros nos afectó esta pieza de ransomware en un determinado segmento, como a muchas otras empresas por desgracia, y debido a que la gestión de los riesgos es una prioridad, el equipo encargado de ocuparse de la seguridad interna de la red Telefónica de España optó por primar la protección de los servicios de los clientes y cortar la posible expansión por la LAN interna, para lo que, en el momento en que se detectó el ataque, se decidió responder con una desconexión de posibles equipos infectados para que el servicio que damos a nuestros clientes continuara.

Figura 8: El e-mail avisando a los compañeros de las medidas de control

Hasta aquí, todo normal en un proceso habitual de un equipo de respuesta a incidentes cuando en una compañía se cuela un malware que no ha sido detectado por las medidas de seguridad - y son muchas - que se tienen instaladas. Y a investigar para solucionar el problema lo antes posible sin que afecte a lo más importante, los datos y la seguridad de los servicios de los clientes.

A mí, por motivos personales, me pilló de vacaciones, pues como todo buen trabajador había solicitado desde hacía más de un mes, una semana de vacaciones que tenía marcada a fuego para comenzar antes de ayer jueves. Poco a poco, ayer viernes, me fueron contando lo sucedido y, atendiendo a todo el mundo hice lo que he hecho siempre, ser transparente y no escurrir el bulto y apoyar a los compañeros que tenían esta situación.

Corté mis vacaciones y me sumé a comité de crisis que está lidiando con esta situación, aunque ellos mismos están más que preparados y se valen para resolver este tipo de situaciones a las que los que trabajamos en seguridad nos enfrentamos periódicamente. Por la seguridad de Telefónica velamos miles de personas. De hecho, esta crisis ha sido más mediática en las redes sociales que en la realidad interna de Telefónica, donde los equipos infectados están controlados y están siendo restaurados. Me uní para aportar lo que pueda a compañeros que saben lo que se hacen y que tienen más que claro lo que tienen que hacer.

A algunos en las redes sociales le ha llegado a sorprender que las decisiones de seguridad interna en un momento de una infección por malware de unos equipos no las tome yo, pero eso es porque mis responsabilidades directas son las de CDO (Chief Data Officer), donde están las unidades de LUCA (la unidad de BigData y Data Analytics para clientes), ElevenPaths (la unidad de ciberseguridad global para clientes), Aura y la 4º Plataforma (que presentamos en el Mobile World Congress). Aún así, me apunté, me apunto y me apuntaré a ayudar encantado a mis compañeros, y a los compañeros de otras empresas que también han llamado pidiendo colaboración y ayuda.

Ser Resilliance

Los que estamos en esto sabemos que alcanzar el 100% de seguridad es un hito solo al alcance la imaginación de los que no saben de seguridad, y nosotros haremos lo que los que trabajamos en esto sabemos hacer: Seguir mejorando para minimizar el riesgo. Intentar mejorar nuestro trabajo para que el número de incidentes se reduzca y, lo que es más importante, para que nuestros clientes puedan seguir disfrutando de sus servicios.

El proceso de fortificación de una empresa exige poner todas las medidas de seguridad que sea posible siempre que una no afecte a otra. Y exige balancear las inversiones en prevención (evitar que pase la seguridad a toda costa), detección (lo antes posible cuando algo que sabes que puede pasar pase) y respuesta (responder para que la continuidad del servicio siga funcionando), es decir que la empresa sea ressiliance.

Ninguna empresa puede garantizar que no vaya a afectarle un malware u otro. Yo no lo haría con ninguna. Recuerdo que no hace muchos meses un cliente que había sido atacado me dijo: “Haz lo que sea pero garantízame que nunca me va a volver a pasar”, Y yo respondí como hago siempre “Te puedo garantizar que éste ya no te sucede, pero no que no te vaya a suceder otro distinto”.

Los que creen que se pueden evitar el 100% de los incidentes es que no saben nada de seguridad informática. Lo que tienes que tener es un equipo que sepa detectarlos y responda de forma contundente para que el sistema informático sea resistente. Y en Telefónica se está trabajando de esa forma para conseguir que, como se ha visto, los servicios de nuestros clientes no se hayan visto comprometidos.

Saludos Malignos!

PD: Quiero dar mi agradecimiento personal a los cientos de profesionales del mundo de la seguridad que han contactado con nosotros para informarse, apoyarnos, ofrecer ayuda, cambiar conocimientos y hacer, en definitiva lo que es nuestro trabajo. Gracias por vuestro apoyo. Son tantos y tantos que me costaría ponerlos todos aquí. Gracias, de corazón.

238 comentarios:

«El más antiguo   ‹Más antiguo   201 – 238 de 238
Arturo Gutiérrez dijo...

A mi me recomendaron un antivirus para la seguridad de mi empresa, algo llamado cylance. Alguien me puede dar su opinión? Me lo recomendaron de aquí www.arame.com.mx/virus-wanna-cry-antivirus/

José María Acuña Morgado dijo...

Muy de acuerdo con la reflexión del Sr. Borja Adsuara Varela:

"Estoy un poco harto de que a los usuarios se nos eche la culpa de los fallos que tienen los productos y servicios TIC, descargando en nosotros toda la responsabilidad de lo que pase y presuponiendo en nosotros unos conocimientos informáticos que no tenemos, cuando lo normal y razonable es pensar que compras productos o contratas servicios que son seguros.

Y no vale decir que no existe una seguridad al 100%, porque eso ya lo sabemos. Pero, donde no llega la seguridad tecnológica, llega la seguridad jurídica, que dice quién responde si hay un “fallo de fábrica” de la primera (no un mal uso). Cuando se descubre un fallo en un vehículo, un electrodoméstico, un juguete, una medicina o un alimento, se retira del mercado y/o se arregla, siempre con cargo al fabricante.

Echo de menos una mayor vigilancia de las autoridades públicas y las asociaciones privadas sobre la seguridad de los productos y servicios digitales. No “a posteriori”, porque a toro pasado todos somos muy listos, sino “a priori”. ¿Se imaginan que se permitiera comercializar (y circular) automóviles con graves defectos de seguridad, o electrodomésticos, juguetes, medicinas o alimentos, sin los oportunos controles?"

Krz dijo...

Sería interesante conocer si hay planes contingencia mañana en día laborable, desde Europol advierten una escalada de infecciones por la mañana y nuevas variantes modificadas de la infección, teniendo en cuenta que durante todo el fin de semana han estado trabajando en contrarestar las variantes A y B y aislar los equipos y servidores infectados...pasaría más por labores de monitorización y vigilancia de red constante para bloquear y aislar los nuevos posibles focos

Javi dijo...

Yo trabajo en una empresa internacional y he de decir que comparto lo que comenta Chema con el tema de comprometer el servicio con parches, actualizaciones y demás. Yo soy informático, programador, me gusta estar siempre desarrollando con las últimas tecnologías pero se los grandes retos que tiene una gran empresa entre servicio y la utilización de nuevas tecnologías y herramientas. Lo que se tendría que analizar severamente con este incidente es que la tecnología ya no es sólo una moda (dicho por usuarios con los que trabajo) si no que influye directamente en nuestras vidas, y para un país como el nuestro (o nivel europeo) se tiene que replantear muchas cosas.Telefonica ha actuado bien, habrá muchos personal que ha dormido poco este fin de semana del cual se beneficiarán muchas empresas (nacionales e internacionales, pymes y gigantes), por lo que un respeto para todos.Y si lees esto Chema, me gustaría que nos informaras del protocolo que habéis seguido y los fallos que habéis podido cometer.

Unknown dijo...

Estimado Chema , compañero , llevo 28 años en Telefonica ,una Empresa de la que me siento orgulloso y los 15 últimos paliando y peleando con una seguridad que coarta única y exclusivamente al usuario. Franquear nuestra mal llamada seguridad es extremadamente fácil y deberías saberlo. Trabajamos con Sistemas Operativos obsoletos , ni si quiera son compatibles con aplicaciones troncales como PLC, migraciones que se hacen por finalización de licencia y que nos pillan sin recursos , sin personal ni soluciones. Solo el ingenio y conocimiento algún anónimo te permiten escribir un articulo como el que acabo de leer. Modestamente, mis Workarounds sirven para construir atajos soluciones y parches para continuar produciendo. Eso si, trabajando cientos de horas por cariño y con profesionalidad, sin mas reconocimiento que algún que otro premio Optima y unos cuantos canapés.
Utilizando recursos propios, puesto que un Dell Optiplex 755 no da para mucho. (supongo que me entiendes)
Me voy en un mes, por la puerta de atrás con un PSI que constituye mi mejor opción, con mi categoría OC, esa que no he querido abandonar por seguir trabajando en el grupo que he deseado y que me ha permitido aprender y colaborar con verdaderos expertos cuyo objetivo ha sido hacer grande esta Empresa. ese grupo que desaparecerá o se externalizará.
La satisfacción que supone hacer frente a una situación así y resolverla antes de recibir el milagroso parche es solo un reto y un premio al compromiso y la dedicación.
Por cierto, te has olvidado decir que el tener deshabitada la funcionalidad de recuperación de archivos o restauración de sistema en maquinas plataformadas, hará imposible la recuperación de ningún dato.
Solo tengo una duda que plantearte, si el usuario carga un perfil sin derechos de administración, podrías explicarme como WNCRY escribe copia y borra archivos en la unidad C , abre procesos de sistema etc etc etc.
La respuesta la se, es lo primero que supe el viernes. SCM? :) Odixxxx2007 ?
Se que eres un gran profesional y te admiro por ello, me gustaría que apreciases mi comentario de forma costructiva.
Un abrazo

Unknown dijo...

Una cosita mas .. en mi maqueta W7, infectada y teóricamente limpiada con las herramientas distribuidas ( Nai Extrapack), he detectado comportamientos anómalos en algunos servicios y procesos de sistema, tengo la sospecha que WNCRY tiene capacidad de mutar, .....espero que solo sea una sospecha.....

Alejandro Rivero dijo...

Julio Perez, seguramente lo que estas viendo es lo que el gusano con distinta frecuencia hace escaneos internos y externos, asi que puede parecer que hace un par de cosas. ¿Has leido ya los analisis de "ingenieria inversa" que han ido apareciendo?

agcoronado, si, yo tambien estoy pasmado del exceso de groupies; en otros blogs de seguridad es mas facil encontrar informacion util en los comentarios.

Angelo Prado dijo...

Chema! Vuela amigo, vuela alto. Mucho ánimo y a fuego

Pablo dijo...

Mi pregunta es, no se puede montar una subred virtual con clones virtualizados de esos equipos sensibles para testear más rápidamente las actualizaciones?

Unknown dijo...

Este documento es exclusivamente para uso interno por parte del personal de Telefónica. Ninguna parte del mismo puede circularse, citarse o reproducirse para su distribución externa, ni su contenido puede ser difundido por ningún medio fuera de la compañía. Si usted no es empleado de Telefónica, queda notificado de que la lectura, utilización, divulgación y/o copia sin autorización está prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que proceda a su destrucción. El correo electrónico vía Internet no permite asegurar la confidencialidad de los mensajes que se transmiten ni su integridad o correcta recepción. Telefónica no asume ninguna responsabilidad por estas circunstancias.

Por cierto Chema, esto tb es seguridad ;) (en referencia a tu articulo y las copias de pantalla adjuntadas.)

Edward Ceballos dijo...

Increible Actitud responsable y colaborativa, Gracias

Freddyncalm dijo...

Gol en propia puerta.
Timofónica ha hecho siempre mucho la pelota a Micro$oft y así les va ahora.
No me dan pena. Ninguna.

El principal culpable aquí es el protocolo SMB y su artífice, el sistema de Windows.

Claro que el eslabón más débil es el usuario. Si el usuario está correctamente entrenado, las máquinas no necesitarán ni antivirus inútiles que ralentizan procesos, ni antimalware o similar.

Y tampoco sería necesario Windows, serie de sistemas operativos cerrados con código fuente lleno de fallos y parches faraónicos que se saltan todos los estándares con la ambición de que los demás se adapten a ellos en lugar de adaptarse a un mundo digital convergente. Sobornando a ricos y corruptos para que los de "abajo" tengan que adaptarse a su sistema de...

mi$rda. Lo hacen, lo hacen. No me lo invento. Y me cabrea porque tengo que padecerlo en ordenadores de bancos, Correos, administración, ventanillas, etc en mi vida diaria donde, cuando más prisa tienes, te dicen eso de "Hoy, el ordenador va lento", cuando el mismo ordenador podría ir de 100 a un millón de veces más rápido en sus condiciones actuales si sacas Windows de la ecuación.

Afortunadamente mi propia vida digital sorteó ese caballo de Troya, que el propio Chema ha reconocido que es Windows.

Larga vida al ZX Spectrum, AMIGA (forever) y Linux. :]

das dijo...

buenos dias a todos
como lidio con domain controller posterior a la instalacion del parche que hace sobre el trafico/servicio smb mejora parametros desactiva data vulnerable como actua ese parche sobre el servicio¿?

das dijo...

buenos dias a todos
como lidio con domain controller posterior a la instalacion del parche que hace sobre el trafico/servicio smb mejora parametros desactiva data vulnerable como actua ese parche sobre el servicio¿?

Unknown dijo...

Edward , efectivamente, colaborativo, constructivo, responsable y DISCIPLINADO

Un Saludo

Paquito dijo...

Es difícil establecer una buena seguridad en entidades de cierto tamaño: precisamente por eso, se deben poner los medios adecuados.

No creo que Chema responsable de nada de lo que ha sucedido: desafortunadamente, eso sí, es una cruel ironía del destino que algo así suceda en la empresa en la que actualmente trabaja, teniendo en cuenta su rol de divulgador de la seguridad, en nombre / bajo el nombre de Telefónica, hacia el exterior.

Varias consideraciones:

1. Reacción de los trabajadores: empezar a bloguear como locos lo que estaba pasando es muy interesante, pero demuestra que no están formados para, por lo menos, no entrar en modo pánico y dejar hacer a las personas responsables de la resolución.

2. Comportamiento de los usuarios: si recibes un mail raro, no hagas click... El comportamiento demuestra que tienen todavía cosas que hacer en ese sentido (formar y entrenar a sus empleados para que algo así no suceda).

3. Infraestructura: 2 meses para implementar un parche de seguridad crítico es tiempo largo... La complejidad de un entorno es una restricción, jamás una excusa para dejar de hacer algo en tiempo y forma. Lo mismo es aplicable al sistema de filtrado de correo: que se tragaran un ataque de SPAM, no es buena señal.

Por todo ello, no creo que Chema sea el responsable, pero sí creo que, dado su rol, debería empezar a hablar con los altos miembros de la organización para que entiendan qué ha pasado y lo que se debe hacer para que no vuelva a pasar (me imagino la carita de menú de la audiencia, la próxima vez que vuelva a dar una charla de seguridad).

Es paradójico ver como una organización de ese calibre cayó con algo tan sencillo (ataque por SPAM para usar un exploit de algo que llevaba dos meses solucionado por el fabricante del software que se iba a atacar).

Y repito: la complejidad para solucionar algo es una restricción, jamás una excusa.

GGG dijo...

Me parece muy interesante lo que se comenta en este hilo.
Pero, aunque reconozco no haber leído en detalle todas las aportaciones, hay algo que me preocupa personalmente y no he encontrado en ninguna. No descarto que esta preocupación que voy a exponer tenga un componente paranoico, pero no quiero guardármela por si acaso.
Mi conocimiento superficial del ransomware me lleva a considerar que su punto flaco es la existencia de copias de seguridad que puedan invalidar la fuerza del chantaje que supone impedir el acceso a tus propios archivos. Pero, ¿y si este ataque "ruidoso y mediático" está orientado a conseguir el encriptado de las copias de seguridad de los usuarios particulares? Las copias de seguridad de esos usuarios particulares se hacen, con frecuencia, solo cuando a esos usuarios les entra el miedo a ser víctimas de un virus de este tipo. Provocar un ataque como el que estamos viviendo podría tener como objetivo forzar a hacer copias de seguridad a estos usuarios. Si previamente sus equipos están infectados por un software capaz de detectar que se va a hacer una copia de seguridad y a encriptarla cuando se produzca, además de encriptar los archivos "vivos", estos usuarios se quedarían sin alternativas frente a ese chantaje lo que les haría más sensibles al mismo.
¿Se ha planteado esta posibilidad?
Saludos,
GGG

Unknown dijo...

Es interesante saber que las empresas afectadas son aquellas de sectores tan importantes como las telecomunicaciones ,servicios bancarios ,sumnistros energeticos .Sí no es muy grave paralizar estos sectores entonces es que no es muy consciente de la magnitud del problema .Y eso que parece que es tan sólo un aviso de lo que pueden llegar a hacer .Estaran preparados ,me imagino .

Zeja dijo...

dotorqantico muy bonita disertación sobre el organigrama de Telefónica pero no me imagino a ningún CISO o CIO diciendo al señor alvarez-pallete que no puede tener privilegios administrativos en su portatil. La causa de que Telefónica haya sufrido este ciberataque no ésta en una decisión reciente, la causa de que Telefónica haya sufrido este ciberataque está en que los planes estratégicos de la compañía a largo plazo no entran en consideración la seguridad informática de la misma. En esos consejos ni un CISO o CIO entra y sin embargo Chema si.
Chema esta por encima de los CISO y los CIO por lo que en un momento dado puede prescindir de ellos.
Ninguno de los que se sienta junto al señor alvarez-pallete tiene los conocimientos informáticos que tiene Chema:
https://www.telefonica.com/es/web/about_telefonica/estructura_organizativa/equipo-directivo

Quike dijo...

María estoy contigo, pero lo mejor es no seguir a estos farsantes.
Además de descarados no tenéis vergüenza al no aceptar la crítica, y borrar los comentarios críticos. Seguid sí, sois los mejores, no tenéis ya ni una crítica negativa.
Excepto por el punto de que no estaban puestos los parches en windows.......
jajajajajajajajajajajajajajajajaja el marketing está haciendo mucho daño.

Unknown dijo...

Chema te recuerdo unos post en 2015 sobre este tema,
yo tome esas medidas, las que os aconseje,

te dejo el enlace de tu foro:
http://www.elladodelmal.com/2015/05/como-eliminar-algun-ransomware.html?m=1


Un saludo muy fuerte y tienes mi apoyo, todos luchamos contra lo mismo.

Andres dijo...

Simple: lavada de manos!! sos un idiota!! en serio.

Flow IT Argentina dijo...

Es la primera vez que voy a comentarte algo, desde hace años que te sigo, hace unos días con mi nombre real.
Más allá de lo que apareció en los medios, y todo el espamento que se armó. Todos los que trabajamos de esto sabemos que estas cosas pueden pasar. Lo que si estoy en total desacuerdo, fue en tu forma de comunicar... demostró mucha improvisación en la responsabilidad. No puedo comparar mi puesto con el tuyo, ni la empresa para la que trabajo, ni si quiera conocimientos, pero tu forma de responder los tweets no estuvo para nada a la altura de la situación.

Por lo demás el trabajo que realizaste

m0ke dijo...

Independientemente del nombre de la empresa, del CEO o de la amenaza... ¿Cuántos sois capaces, y con absoluta certeza, de garantizar que la instalación de un pequeño hotfix en una red de una gran corporación, que además utiliza software propietario, no va a causar ninguna incidencia? La razón me dice que nadie. ¿El "posible" beneficio de hacer un deploy en una red así justifica el riesgo "cierto" de instalar ese hotfix, sin estudiarlo antes concienzudamente? La seguridad no se basa solo en la prevención porque a veces el riesgo no justifica los esfuerzos o la inversión necesaria para dicha prevención.

No tratemos igual a la red de una pequeña empresa, o a un ordenador doméstico y al sistema informático de una gran corporación.

Ánimo a los afectados!

Zeja dijo...

m0ke se pueden hacer entornos simulados, el problema es que las simulaciones pueden ser muy costosas y se opta por correr el riesgo y realizar actualizaciones con mucha menor frecuencia de las se publican. El error es tener es tener ese software obsoleto y sin soporte en la empresa, en lugar de desarrollar nuevo software con equipo interno que sustituya el obsoleto y de esa forma asegurarse de que va a tener soporte de por vida. Se debería valorar un software no solo por si cubre la necesidad deseada sino que se debe pensar en todo su ciclo de vida.
Chema sabe que su post no pasaría su propia crítica. Chema ha criticado a la CIA por ser vulnerable al pentesting que es infinitamente menos arriesgado que tener servidores sin actualizaciones crítica.
La mayoría de las críticas negativas no van en la linea de haber evitado el ataque sino de lo que se ha puesto de relieve tras el ataque. Estamos de acuerdo de que no estamos libres ninguno de sufrirlo. Pero virus que te entran por correo electrónico sin ser detectados por el antivirus es una situación muy probable y que se aprovechen de una de una vulnerabilidad que permitan ejecutar código de manera remota también. Y que la situación prevista en Telefónica sea que todos apaguen su equipo y que no lo usen hasta nueva orden es un poco lamentable, la realidad es que no tenían nada previsto ante esta situación y entraron en panic mode, logrando el ransomware con ello el mayor DOS (denegación de servicio) que se le puede hacer a una compañia. ¿Chema le hubiera quitado importancia si no hubiera estado involucrado?, lo dudo.
Chema enseña en el master como fortificar las infraestructuras informáticas de una empresa, y parece que en telefónica no hay ningún atisbo de ello. Hasta el punto de que en una empresa donde su negocio mas importante son la comunicaciones, comunican a su empleados que no usen el ordenador (ni el correo electrónico) por correo electrónico. No tienen previstas otras vías de comunicación alternativas al correo electrónico para comunicarse entre ellos, excepto el "díselo al resto".
Probablemente el Ransomware no ha sacado ni un duro a Telefónica pero lo que sí ha hecho es mostrar sus vergüenzas. El desprestigio de Telefónica como ejemplo de compañía segura es enorme y Chema no puede ignorar esto y debe reconducir la situación para que un hecho similar al que ha sucedido no produzca el mismo efecto.

jorge dijo...

Gracias, por compartir la información, muy buena.

Unknown dijo...

Cito de tu foro:
http://www.elladodelmal.com/2017/04/hackear-windows-7-2008-r2-con.html?m=0

Detectar víctimas vulnerables a Eternalblue

El pasado martes 17 de Abril se publicó un módulo auxiliary de Metasploit que permite detectar en una red si alguno de los equipos es vulnerable al CVE-2017-010, es decir, a Eternalblue. Decidí probar el módulo y ver un poco cómo estaba hecho y la sensación es que la liberación del código del exploit está muy cerca.


Figura 6: Uso del modulo auxiliary (cve-2017-010) en Metasploit

Si eres un personal de IT te recomendamos que apliques los parches de seguridad para esta vulnerabilidad lo antes posible las máquinas de tu empresa o dominio, ya que es una vulnerabilidad crítica que podría ser explotada por cualquiera, al no requerir la interacción por parte del usuario, solamente disponer de conectividad con la máquina.


Fin de la cita,
Habeis jugado con el exploit y aconsejasteis actualizar al personal IT.

Unknown dijo...

Chema, es cosa de principios y valores, parte de nuestra cultura, las criticas van y vienen , en el tema de seguridad no todo está dicho de seguro por ser una empresa líder, muchos tienen ambiciones por querer sucumbir la TI en nuestra empresa, la seguridad al 100% no es posible, pues existen elementos que están en el fango de la incertidumbre por crear caos en el mundo, para eso estamos nosotros TELEFONICA, en sus diferentes niveles para salir al frente y garantizar el servicio a nuestros clientes, se interrumpieron tus vacaciones a buena hora ahora las retomas con la tranquilidad de haber asumido con responsabilidad tu obligación con la empresa, de seguro los protocolos y procedimientos han sido actualizados, con la finalidad de tener reacción inmediata, en la cual todos estamos comprometidos, buenas vacaciones y tomate un pisco peruano a mi nombre.

Unknown dijo...

Chema, es cosa de principios y valores, parte de nuestra cultura, las criticas van y vienen , en el tema de seguridad no todo está dicho de seguro por ser una empresa líder, muchos tienen ambiciones por querer sucumbir la TI en nuestra empresa, la seguridad al 100% no es posible, pues existen elementos que están en el fango de la incertidumbre por crear caos en el mundo, para eso estamos nosotros TELEFONICA, en sus diferentes niveles para salir al frente y garantizar el servicio a nuestros clientes, se interrumpieron tus vacaciones a buena hora ahora las retomas con la tranquilidad de haber asumido con responsabilidad tu obligación con la empresa, de seguro los protocolos y procedimientos han sido actualizados, con la finalidad de tener reacción inmediata, en la cual todos estamos comprometidos, buenas vacaciones y tomate un pisco peruano a mi nombre.

strafall dijo...

Excelente publicación. Muy clara la informcación.

strafall dijo...

ok. Excelente.

Manolo Estevez dijo...

Hay algo que no entiendo. Sobre los pagos : Como sabe el hacker que he pagado ? Si todo el mundo paga a la misma billetera : p .ej :
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
Cuando tienes el virus hay una opcion que pone : comprobar pago ... como sabe que he pagado yo u otra persona ? Porque yo puedo pagar desde mi movil que no tiene nada que ver con el ordneador incluso este conectado por team viewer a la maquina infectada y no habra ni ip ni nada que relacione mi pago con la maquina que quiero desencriptar.

AHI QUEDA ESO.

SALUDOS & GRACIAS CHEMA.


manolo@controlip.net ... desencriptanto virus.

Alejandro Rivero dijo...

Manolo Estevez preguntaba como se sabe que se ha pagado.

En efecto, la version que se lanzo las primeras 12 horas del viernes no era capaz de identificar los pagos. La gente de Simantec ha viesto que hay en realidad una segunda variante, lanzada 13 horas despues de la primera, que corrige el error (una condicion de carrera entre el descomprimir y el conectarse a tor). Por supuesto, incluso en ese caso es necesario que los malos hayan levantado el servicio en tor.

Casi todo el daño esta hecho, de todas maneras, con la primera version. Aqui seria posible probar la identidad demostrando que aun tienes la clave privada de la direccion de bitcoin desde la que pagaste, pero parece bastante retorcido. Es mejor intentar tirar de undelete.

androide_manuel dijo...

Independientemente de la parte técnica de todo este asunto, cuando alguien dice "no es mi responsabilidad directa" está demostrando dos cosas: una falta de respeto hacia otros compañeros, porque da a entender que si hubiera sido asunto suyo el si lo habría solucionado (solo los demás tienen fallos, el no) y por otro lado bastante prepotencia. Lo siento Chema, espero no trabajar jamás en tu equipo, sin acritud ;)

Unknown dijo...

Excelente articulo y explicacion. Espero que los medios de comunicación y la sociedad lo comprendan

Humano dijo...

Por muchas artes marciales que sepas,no vas a evitar un ataque,porque los atacantes pueden ser muchos,,y cada vez cambian de armas y técnicas,,podrás seguir aprendiendo,mejorando,,pero es una lucha pérdida frente al destino..este mundo es demasiado desigual económicamente,culturalmente,,y las gentes con pocos recursos,,hacen lo posible por aprender maneras de sacar dinero a la vaca gorda,,valoro tu intención de querer hacer este mundo un poco mejor,habéis escogido un trabajo que es un abismo,como otros,nunca lo vais a acabar de comer ese cerdo que os devora,por la gran cantidad de información que hay,por eso expertos criticos,un newbie os da por el culo,,siempre habrá gente mejor y más experta que vosotros,y si no os la meten por la oreja,lo harán por la boca,la nariz,así por todas las entradas,,después cuando esperéis estar seguros,,os la meterán por los poros de la piel,o os creéis más inteligentes que vuestros antepasados..aquí está Chema que no se cree el mejor sino que comparte conocimientos sin fin sobre un tema sin fin y unos que han estudiado muuucho le cantan las 40,tratándolo de irresponsable,, aunque como es listo cogerá las mejores ideas y sacará el mejor jugo,,deprorable vuestra bilis escondida detrás de vuestro saber,,pues siempre os la meterán en este mundo,primero las tías para bajaros del burro,vuestros hijos,de los que aprenderéis,amigos,y cuando penséis tenerlo todo controlado,,unos pinches microbios cargándonos de resfriados y demas y otros virus que no detectaran vuestras listas cabezas.asi que por lo menos a este se le ve su amor por compartir,que al final es lo más importante ... siempre habrán factores externos,no lo olvidemos.un beso en vuestro culo hacker.

Humano dijo...

Oye está cerrado el tema?

diwit dijo...

Se han detectado nuevos casos de WannaCry, recientemente?

«El más antiguo ‹Más antiguo   201 – 238 de 238   Más reciente› El más reciente»

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares