Mesures de seguretat contra el malware

Publicat el Un comentari Etiquetes: ,

Esta entrada también está disponible en: Castellà

Després del toc d’advertència del malware WannaCry sobre les nostres instal·lacions, ja és moment d’haver analitzat i posar les contramesures de seguretat corresponents perquè una cosa semblant no torni a passar. Sé que molts de vosaltres vareu estar aplicant les actualitzacions als sistemes de la manera que sigui per protegir-vos d’ell. Era la solució, sí. Es podia haver evitat, també.

WannaCry va treure a la llum un problema amb el que sempre insisteixo molt amb ell: les actualitzacions i els sistemes obsolets. I ho torno a repetir:

Avui dia, per evitar problemes greus, és molt més important tenir les actualitzacions del sistema operatiu i aplicacions al dia, que no pas intentar tancar els entorns i estar amb els dits creuats perquè no passi res.

Fins hi tot molt més important que tenir un anti-virus que funcioni per detecció de signatures. D’acord, veure que tenim un anti-virus instal·lat ens dóna una falsa sensació de seguretat, més enllà d’això no hi ha res més:

  • Els anti-virus NO protegeixen de malware que exploti vulnerabilitats de les aplicacions o sistemes operatius.
  • Els anti-virus NO protegeixen de ransomware que segresti les teves dades, ho poden pal·liar evitant que et xifri tot el contingut, però el què s’ha xifrat ja s’ha xifrat.
  • Els anti-virus NO poden detectar tots els virus que es generen. Als quatre dies d’aparèixer el WannaCry es creia que ja existien unes 500 variants diferents del virus que els anti-virus no detectaven.

Existeixen kits d’eines que permeten que qualsevol persona sense coneixements pugui crear un virus, és tant senzill com indicar què vols explotar i què ha de fer el virus. Un cop programat el virus, s’ofusca el codi (vaja, que no el conegui ni la seva mare). Preparat el fitxer es llança al món, i no només això, sinó que amb cinc segons es pot tornar a ofuscar el codi i tornar a llançar (ja tenim una altre variant) i així successivament. Per molta signatura o patró que intenti trobar dins el codi, sinó és amb un sistema d’intel·ligència artificial que analitzi el comportament de l’aplicació, poca cosa tinc a fer per detectar-lo.

Com s’infecta amb un virus? Amb la distribució del mateix i, actualment, la millor forma de fer-ho és per l’enginyeria social: atacant directament al punt més dèbil, l’usuari. En aquesta lluita és molt important la seva conscienciació i formació en matèria de ciberseguretat, a l’igual que ho és la prevenció de riscos laborals.

Hem de dedicar esforços i recursos a aquests fronts: Sistemes operatius i aplicacions actualitzades, menor superfície d’atac i conscienciació i formació de l’usuari.

 

Sistemes operatius i aplicacions actualitzades per evitar problemes de seguretat

No cal dir què tenim a molts administradors de sistemes i moltes empreses en què la seva premisa és que no se us acudeixi aplicar actualitzacions. Nois, manteniu els sistemes així i veurem quant de temps aguanten. És moment de fer inventari i definir una bona política d’actualitzacions, almenys dels sistemes operatius, ja sigui de clients com de servidors; com també ho haurien de ser els navegadors d’Internet, els lectors PDF i les aplicacions més crítiques (per evitar atacs dirigits) i conegudes.

Que no se us passi pel cap dir que amb Apple, Linux, o qualsevol altre això no passa…. Més lluny de la realitat, passa amb TOTS, el camp de batalla és tot, no existeix una bombolla que et protegeixi.

De fet, a data d’avui, el sistema més vulnerable és el kernel de Linux, seguit del sistema operatiu Apple Mac Os X. Vosaltres mateixos podeu donar-li una ullada al top 50 de la llista de vulnerabilitats publicades.

Que l’empresa que hi hagi al darrera solucioni la vulnerabilitat, el més aviat possible; que tu com administrador apliquis la correcció, el més aviat possible a tots els teus sistemes; i que els dolents de la pel·lícula explotin aquesta vulnerabilitat; són massa variables perquè en depengui el funcionament del teu sistema. Retalla eliminant o minimitzant les què puguis.

Comença per no utilitzar sistemes operatius obsolets i, si ha de ser el cas perquè de moment no hi ha cap altre alternativa, protegir els elements dèbils amb totes les mesures correctores addicionals possibles, com aïllar-los de la xarxa amb VLANs i passar tot el trànsit per tallafocs d’última generació.

 

Menor superfície d’atac per augmentar la seguretat

Més no és millor! si una cosa no l’utilitzes, NO la instal·lis!!! Menys és més!!! Res d’aplicacions i aplicacionetes als servidors!!!! Les feines es fan des del teu equip d’escriptori amb privilegis d’usuari (que no és administrador oi?, ja què tens un altre compte per fer-ho). Res d’instal·lar tot el programari o característiques als servidors, només el què necessiti per executar la tasca concreta. Per què un servidor web ha de tenir instal·lat i activat el servei de fitxers o les impressores? Què l’utilitzarà? No, doncs es desinstal·la. No perquè vingui per defecte és bo que estigui activat. Aquí és on la feina de l’administrador de sistemes surt a la llum, has de ser net, polit i meticulós.

Què no ho pots controlar tot? Tranquil, per això hi ha, en les xarxes Windows Server amb Active Directory les polítiques de grup, i/o l’automatització mitjançant scripts i plantilles. No és casualitat que hagi aparegut el concepte de DevOps en les nostres instal·lacions. Són molts paràmetres que s’han de tocar i controlar i, de memòria o manualment, no s’arriba a tot. Automatitza TOT el què puguis: instal·lacions del sistema operatiu, aplicar configuracions, etc…

A data d’avui, ja fa gairebé un mes de l’atac de Wannacry, en què tothom va còrrer a aplicar les actualitzacions als sistemes. Ha passat temps suficient com perquè ens haguem relaxat i passat altres coses. Quants de vosaltres heu formatat algun equip del sistema? Heu deshabilitat el procotol SMB v1? Us heu assegurat que s’ha aplicat la correcció del SMB v1? Si la resposta us la heu de pensar, malament anem. Vam aplicar la correcció puntualment, però la foto ja ha variat, per tant, tornes a ser vulnerable al mateix. Assegureu els sistemes perquè NO tingueu d’estar pensant en què m’he deixat si desplego o canvio equips.

El sistema és tant segur com ho és el punt més dèbil del mateix.

 

Formació a l’usuari en ciberseguretat

Vulgueu o no vulgueu, al final, l’usuari té la última paraula, ell és el desencadenant de les accions. Com a conseqüència, la clau d’aquesta batalla és disposar d’una bona política en ciberseguretat, on tothom (direcció, treballadors, proveïdors de serveis externs…) hi estigui plenament implicat, conscient i format.

Petites sessions formatives, recordatoris constants, implicació amb el què pot passar, conscienciació que certes accions són perjudicials no només per l’empresa sinó també per ell. Obrir correus electrònics que no toquen, accedir a pàgines web de dubtosa qualitat, accés a xarxes perilloses (hotels, aeroports, places de ciutats, xarxes d’altres clients….), connectar dispositius a la xarxa informàtica: USB que he trobat pel terra, telèfons mòbils o equips particulars (o sense control), etc…

Sé què és molt difícil, ho visc cada dia a la pròpia pell, però no podem baixar la guàrdia en aquest aspecte clau. El més fàcil són altres camins, ho sé, però no són tant efectius com aquest punt.

 

Educació en ciberseguretat

L’última reflexió que em ronda pel cap és la preocupació que tinc ara mateix sobre els nostres nens, adolescents i joves. I, en especial, el nostre sistema educatiu. Sí, heu llegit bé. Si bé la fornada que puja són natius digitals, ens hem oblidat completament d’un aspecte fonamental, l’educació digital.

Saben utilitzar les aplicacions, fan coses amb elles, però la majoria no saben el per què, simplement funciona o han deduït que es fa així. Saltant un aspecte molt important: la seguretat, o el què és el mateix, qüestionar-se perquè ho necessiten i quin és el seu ús. Recentment hem tingut un símil molt bo, les famoses preferents dels bancs. La gent les contractava sense saber què eren ni què feien, simplement els donaven més rendibilitat fins que… Puf, tots sabem què va passar.

Almenys en les meves contrades, pel motiu que sigui i, sobretot, en l’etapa formativa inicial i secundaria, no es té en compte aquest aspecte, oferint barra lliure. Des de la utilització de sistemes de dubtosa qualitat i procedència, aplicacions que avui existeixen i demà no bloquejant o perdent l’accés a les dades, instal·lació d’aplicacions sense control en qualsevol dispositiu, obrir connexions des de l’exterior a sistemes interns, poder connectar-se a qualsevol lloc perquè sí, etc…

No és estrany doncs, que quan aquestes persones s’incorporen al món de l’empresa, xoquin frontalment en aspectes molt bàsics com és la seguretat i funcionament de la mateixa, per fer el què simplement han fet tota la seva vida i mai ningú els ha dit pas el contrari.

Alerta que no és pas un problema aïllat d’un sector, sinó què és transversal a banda de l’incompliment sistemàtic d’unes quantes lleis que hem hagut de crear per aplicar el sentit comú. Personalment ho he experimentat amb:

  • Metges penjant informes mèdics confidencials a Google Drive o GMail i, per adobar-ho, sense xifrar.
  • Enginyers treballant amb projectes de propietat intel·lectual al Dropbox gratuït, Megaupload; i sorpresa, desprès la competència té el mateix prototip.
  • Administratius connectant el mòbil particular a l’ordinador de la feina, passant malware al sistema informàtic corporatiu i xifrant-lo per demanar un rescat.
  • Gerents connectant-se a Wi-Fis públiques obertes, introduint les credencials de la Intranet de l’empresa amb un munt d’advertències de certificat no vàlid; per acabar detectant accessos des de totes les parts del món a la vegada a la intranet.
  • Advocats, auditors de comptes, treballadors socials, etc….

I el més fort per a mi, els informàtics NO en són una excepció!!!

  • Informàtics de sistemes que instal·len aplicacions en els servidors a dojo.
  • Programadors que utilitzen frameworks i aplicacions enllaçades l’una amb l’altre fins a l’infinit amb origen desconegut.

La llista és inacabable….

Es va haver de crear una llei que és diu LOPD, i una altre que el dia 1 de maig de 2018 entra en vigor, el Reglament General de Protecció de Dades de la Unió Europea (RGPD pels amics)  que tant ens porta de cap a tots… Ignorantia juris non excusat, el desconeixement de la llei no serveix d’excusa. On es diu això? Encara no he conegut a ningú que quan arriba a l’empresa sap que això existeix i què és d’obligat compliment.

En definitiva no s’ha inculcat una higiene digital, tal com es fa amb altres aspectes del nostre entorn (economia, medi ambient, geografia, història…), sinó que s’aprèn al vol o s’obvia. I, per molt que ho ensenyis a casa, si a l’escola s’obvia i/o no se li dóna la importància que li correspon, el nen, al veure que els altres no ho fan, passa a obviar-ho completament per no ser el “bitxo raro”, entrant a la mateixa roda, arribat a la vida adulta trobant-ho el més normal del món.

Considero que és un error, com tants d’altres, que cal esmenar de seguida en el nostre sistema educatiu, a l’igual que fan les empreses, incorporant la conscienciació i formació en ciberseguretat que prou falta els fa en un món cada cop més digital.

 

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

 

Comentaris

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *