jueves, 2 de abril de 2009

¿El lobo está?... El lobo no resúlto ser el Conficker...

... ¿El lobo está? Se está preparando para el 1ro de Abril...
... ¿El lobo está? Está listo para actualizarse...
... ¿El lobo está? Está buscando Pc para infectar...


El administrador leía en los diarios la amenaza del código malicioso que se activaría el 1ro de abril. Los proveedores de software, antivirus y otras soluciones le enviaban cadenas y correos con recomendaciones y procedimientos para asegurar su red. Necesitaba ajustar lo que tenía, ya estaba a fin de mes y cualquier implementación resultaría en costos y tiempos de implementación.Su red tiene 500 puestos, y debido a problemas de tiempos no lograba verificar que los antivirus y las actualizaciones de todas las PC estuvieran al día. No sabía que hacer o por donde empezar, ya que los antivirus decían que el problema era el S.O y que no podrían prevenir la infección.
Allí recordó que en octubre recibió un boletín de seguridad sobre la actualización de los S.O Ms Windows y puso manos a la obra...

¿Saben como terminó la historia? La red se mantiene segura por que el Administrador fue eficiente y logró protegerla a tiempo. Entonces, el administrador realizó estas acciones preventivas:
1) Verificó cual era el fix que tenía que estar en todas las PC. Verificó el boletín de Microsoft e implementó rápidamente este fix en donde estaba ausente.
2) Implementó una solución de filtrado de contenido y antivirus a nivel de Gateway (en donde está el proxy o por donde salen todos los usuarios de la red Lan a Internet).
3) Restringió mediante una política de AD, quitandole los permisos de Administrador a los usuarios.
4) Desactivó el autorun o autoplay de los dispositivos USB y lectoras de CD/DVD.

El 1ro de abril, el Administrador de Red llegó a las 7:00 AM. y estuvo atento al teléfono, con cierto nivel de ansiedad, temiendo de algún llamado por parte de algún usuario que tuviera problemas con su PC. Pero nadie llamó por problemas de funcionalidad, solo llamo Doña Rosa, la secretaria del Director, que había olvidado su contraseña y si podía cambiarle la misma por una nueva.

MORALEJA:
- La prevención es la mejor ayuda.
- Mantener la plataforma actualizada previene incidentes de seguridad.
- Verificar las recomendaciones de Microsoft.

¿Cómo lo hizo?
El administrador, basándose en el boletín, tomó las siguientes acciones:

1) Implementó la actualización que recomienda MS que fue publicada en octubre. El malware se aprovecha de la mala administración de la plataforma. Recuerden, plataforma actualizada, plataforma segura.Si no recuerdan el boletín el mismo es el MS08-67.
Para encontrar cuales eran las Pc que no poseían el fix, utilizó el MBSA y rápidamente obtuvo la lista. El despligue lo hizo a través de un paquete con extensión MSI que generó y configuró las Group Policy del AD para hacer la distribución.
2) La versiones de Conficker necesitan de acceso a Internet. Para ello, puso una solución que solo permite acceder a sitios seguros, y que se complementan con antivirus. Si el código pasaba por allí, era interceptado.
3) El gusano requiere de permisos para moverse en el S.O. Utilizando las GPO, configuró las PC de riesgos y definió que los usuarios no deben ser adminsitradores locales. En esa misma definición, desactivó el uso de USB y desactivó el autorun o autoplay de las lectoras de CD/DVD.

Si quieren saber si su PC posee algún archivo infectado, pueden utilizar el MS Windows Live One Care.
Hicimos análisis del malware en nuestros laboratorios, examinando el comportamiendo del mismo, si el S.O posee la actualización recomendada es muy poco lo que puede hacer, por que esa es la manera adecuada de proteger el equipo. Les recomendamos:

- Si su S.O es Vista, no desactive el UAC (Control de cuentas del usuario).
- Tampoco desactive los firewall. Habilite los puertos que sean necesarios.
- Si un usuario requiere permiso de Administrador sobre una PC, asigne una cuenta y capacítelo para que sepa usarlo con el RUN AS... o Ejecutar como...
- Mantenga sus PC con el fix MS08-67 implementado.
- Suscribase en los boletines de seguridad de MS y no se deje influír por terceros (otros proveedores o medios). Microsoft publica información suficiente de como actuar en los diferentes casos.
- Bloquee puertos USB o lectoras de CD/DVD si los usuarios de los puestos de trabajo no requieren los mismos para su tareas diarias. Esto lo puede hacer por GPO.
- Verifique las recomendaciones de MS que figuran en el boletín MS KB962007.
- Por último, implemente MBSA y WSUS con el fin de asegurarse una plataforma actualizada. No deje de implementar las actualizaciones que son referidas como Windows Security.

Colorin Colorado...
Esta nota ha terminado...

Hasta la próxima

Enrique

No hay comentarios.: