viernes, 13 de octubre de 2017

NET Conf UY v2017 | El mayor evento sobre tecnologías Microsoft en Sudamérica.



Del 23 al 27 de Octubre de 2017, se llevará a cabo el evento de tecnologías Microsoft .NET Conf UY v2017. El mismo reúne durante cinco días a oradores nacionales e internacionales junto a la comunidad de desarrolladores locales e instituciones participantes.

Este evento es declarado de interés nacional por el Ministerio de Educación y Cultura del gobierno uruguayo (MEC) y cuenta con el apoyo de empresas como: Microsoft, Kaizen Softworks, Nareia, Onetree, Uruguay Smart Services, Uruguay XXI Smart Talent, UruIT, entre otros.


En esta edición, el evento se compone de:

  Dos días en formato de conferencia, con ponencias y charlas sobre temáticas relacionadas. Más de 35 charlas de speakers internacionales y locales

  Tres días de talleres de trabajo prácticos (workshops). 9 Workshops en 3 tracks simultáneos.

       Una convivencia recreativa entre los asistentes y oradores del evento.

Workshops


El 23, 24 y 25 de Octubre de 2017 están planificados una serie de workshops dictados por oradores de la conferencia con el objetivo de ofrecer a los asistentes una oportunidad de compartir conocimiento.

Es una instancia donde los asistentes tendrán la oportunidad de poder compartir un espacio de actualización y camaradería junto con el resto de los participantes y junto a speakers referentes en la industria de IT.

Conferencia

El ciclo de conferencias se estará desarrollando en el Auditorio de las Telecomunicaciones de Antel.

.NET Conf UY v2017 es la conferencia más grande de Tecnologías Microsoft en Sudamérica organizada por la comunidad. Aparte de contar con más de 500 asistentes, todas las charlas se suben a Channel9 (el principal canal de Microsoft sobre desarrollo). Más de 35 oradores nacionales, regionales e internacionales van a estar dictando más de 25 charlas.

En la edición del 2016, participaron más de 400 asistentes y 20 oradores de Uruguay, Argentina, Estados Unidos y Canadá. También contamos con el apoyo de 39 instituciones locales e internacionales.

Eduardo Mangarelli, Director de Tecnologías de Microsoft para Latinoamérica opinó: “.NET Conf UY es el evento organizado por la comunidad más importante de latinoamérica, por la calidad de las presentaciones, de los presentadores y la organización, esto es particularmente relevante en un momento en el cual la innovación tecnológica es el principal impulsor del desarrollo de las empresas y los negocios. Temas como inteligencia artificial, la nube, bots inteligentes serán parte de una super interesante y completa agenda.”.

Hubo muy buena devolución por parte de los sponsors locales. “En Infocorp nutrimos nuestro día a día con la pasión que sentimos por nuestro trabajo. Esta filosofía la compartimos con los organizadores de la .NET Conf, desde el primer momento en que empezamos a pensar juntos en estos tres días cargados de novedades, tendencias y tecnologías para la comunidad .NET", comentó Elena Rubin, Chief People Officer de Infocorp
 
Puede encontrar mayor información en http://netconf.uy/. También puede ver los detalles de la edición 2016 en http://netconf.uy/es/2016/.

Este evento está que EXPLOTAAAAA, no puedes dejar de asistir!!!




Legajos, Recibos y Libros de Sueldo Digitales

Objetivo del Programa

La era digital está provocando una radical transformación en el entorno laboral, y el área de Recursos Humanos no es la excepción. Desde hace años, los nuevos canales digitales brindan un abanico amplio de herramientas cada vez más amplio para la mejora cualitativa y cuantitativa de procesos como la selección y capacitación de personal, la comunicación interna, la gestión del talento y la evaluación de performance.
Los procesos administrativos propios de la gestión de Recursos Humanos enfrentan también su propia transformación digital, puesto que la tendencia general a la despapelización alcanza también a contratos, recibos, legajos y demás documentos de uso cotidiano en dicha área.
Estos cambios suponen un importante ahorro en los costos administrativos, ya que permiten liberar espacios de archivo y almacenamiento, reducir los gastos materiales, optimizar el tiempo de los trabajadores y mejorar la seguridad y accesibilidad de la documentación, a la vez que posibilitan una importante reducción del impacto ambiental. Sin embargo, la transformación conlleva también sus desafíos: más allá de la necesaria inversión en mejoras tecnológicas o en la capacitación de las personas, se trata de un auténtico cambio cultural.

Esta conferencia se propone abordar aspectos clave para afrontar exitosamente la transformación digital: los mecanismos de implementación y validez legal de los legajos, recibos de sueldo y libros de sueldo digitales y de las figuras de firma digital y electrónica que los sustentan, así como los aspectos prácticos y técnicos a tener en cuenta a la hora de aplicarlos en su empresa. Para ello contamos con las voces de expertos reconocidos en derecho tecnológico y firma digital, y también con la experiencia y lecciones aprendidas de los responsables de RRHH en empresas con un camino ya recorrido en el proceso de transformación digital.

Programa


08:30
Acreditación, entrega de documentación y café de bienvenida
09:00
Palabras de Apertura a cargo del Coordinador del Programa
Aníbal Pardini
ASESOR LEGAL INDEPENDIENTE
09:15
MARCO LEGAL PARA LA DIGITALIZACION ADMINISTRATIVA
  • Disposiciones del Ministerio de Trabajo y del Ministerio de Modernización
  • Legajo digital y Recibos de sueldo digitales
  • Firma digital y firma electrónica
  • Libros de sueldo digitales. Avances en CABA y otras provincias
Aníbal Pardini
ASESOR LEGAL INDEPENDIENTE
10:00
RIESGOS DE LA DESPAPELIZACION Y SU PREVENCION
  • Vulnerabilidades de la documentación digital vs el papel
  • Ransomware: secuestros de información. Funcionamiento y estrategias de prevención
  • Resguardo de documentación digital. Principales recaudos ante instancias judiciales
Enrique Dutra
Socio Gerente
PUNTO NET SOLUCIONES
10:45
Café
11:15 COMO IMPLEMENTAR LA DIGITALIZACION EN SU EMPRESA: Legajos, Recibos y Libros de Sueldo
  • Aspectos técnicos y operativos
  • Pasos y etapas de implementación
  • Caso práctico: la experiencia en LATAM
Mariano Castro
Director General de Operaciones
ENCODE
12:00 EXPERENCIA DE DESPAPELIZACION DE PROCESOS ADMINISTRATIVOS EN EL AREA DE RH
En este módulo compartiremos la experiencia de la empresa en el proceso de despapelización de los procesos administrativos en el área de RRHH, con foco en los desafíos enfrentados, las soluciones encontradas, las lecciones aprendidas y los beneficios obtenidos a partir de su implementación.
Fernando Rivera
Gerente de Servicios compartidos de Recursos Humanos y Outsourcing
GESTION COMPARTIDA (GRUPO CLARIN)
12:45 Mesa Redonda: LA GESTION DE RH EN LA ERA DIGITAL. TENDENCIAS ACTUALES
Este espacio se dedicará a explorar cómo ven hoy la gestión de RH quienes lideran el área en diferentes empresas, cómo está impactando en el área la transformación digital y cuáles son los principales cambios que vislumbran para los próximos años.
Integran el panel de análisis:
Fernando Rivera
HR Shared Services & Outsourcing Manager
GESTION COMPARTIDA (GRUPO CLARIN)
Leonardo Groppa
Gerente de Relaciones Laborales
BANCO SUPERVIELLE
Germán Gregor
Gerente de Procesos y Normas de Capital Humano
TELECOM
Moderador:
Mariano Castro
Director General de Operaciones
ENCODE
13:45 Conclusiones finales
14:00 Cierre de la Conferencia y entrega de Certificados


Para registrarse contacte a
Tel (54 11) 5236 3690
Envíe sus datos por email y le confirmaremos:
Atención al cliente
inscripciones@forosyconferencias.com.ar

Los esperamos

miércoles, 23 de agosto de 2017

Evento en UNC - Ransomware y seguimiento forense de billetera virtual


El día 23/08 estaremos disertando sobre Ransomware y su pago con bitcoins. Acciones a realizar luego de una infección y seguimiento de la billetera.
Por otro lado, los invitamos en Septiembre a un nuevo encuentro con aspectos de Seguridad de la Información


Los esperamos

lunes, 3 de julio de 2017

MVP - 12 años ininterrumpidos

Este día lunes recibí con mucho placer y orgullo la notificación en donde Microsoft vuelve a renovar el reconocimiento como MVP. Este tipo de premio, no es otra cosa, que reconocer el camino que uno viene realizando y que de alguna manera indican que uno está haciendo las cosas bien. 12 años de este reconocimiento no es menor, por que una cosa es lograrlo, y otra mantenerse en él.

Les dejo la nota que acompaña el reconocimiento anual
 
Asunto: Enrique Dutra,Most Valuable Professional (MVP),Cloud and Datacenter Management 

A quien corresponda:

Es todo un placer comunicarle que Enrique Dutra ha recibido el reconocimiento “Microsoft® Most Valuable Professional” (MVP) para 01/07/2017 - 01/07/2018. El Premio MVP de Microsoft tiene una vigencia anual y se otorga a aquellos líderes de la comunidad técnica que de forma activa comparten su experiencia con la tecnología con usuarios y profesionales de todo el mundo. Todo el equipo de Microsoft agradecemos la extraordinaria contribución de Enrique y deseamos aprovechar esta oportunidad para mostrarle nuestra gratitud.
Los más de 4.000 MVPs actuales representan el grupo más selecto de expertos en tecnologías de Microsoft en todo el mundo. Los MVPs comparten un profundo compromiso con la comunidad y la voluntad de ayudar a otros a crecer en conocimiento. Al mismo tiempo también representan la gran diversidad de las comunidades técnicas de todo el mundo. Los MVPs están presentes en más de 90 países, más de 40 idiomas y conocen una gran variedad de tecnologías. Los MVPs transmiten su pasión por la tecnología, su voluntad de ayudar a los demás y su gran compromiso con la comunidad. Estos tres aspectos definen a los MVPs como excepcionales líderes de la Comunidad. El esfuerzo de los MVPs ayuda a mejorar la vida de los demás y el éxito de la industria de muchas formas diferentes. Compartiendo sus conocimientos y experiencia y dando feedback objetivo a Microsoft, ayudan a resolver problemas y descubrir nuevas formas de utilización de la tecnología cada día. Los MVPs son el grupo más brillante de expertos tecnológicos, por lo que es un gran placer para nosotros dar la bienvenida a Enrique como uno de ellos.
Como forma de reconocimiento a la gran aportación realizada por los MVPs de todo el mundo, Microsoft les brinda la oportunidad de reunirse con los miembros de los equipos de desarrollo de producto de Microsoft así como otros ejecutivos de la empresa, conocer a otros MVPs y representar a sus comunidades técnicas. Esto es posible a través de la participación como ponentes en eventos, reuniones privadas y creación de contenido técnico original. Además los MVPs tienen acceso temprano a la tecnología a tavés de una gran variedad de programas de testeo de betas, bits y previews ofrecidos por Microsoft, que les mantiene informados casi en tiempo real sobre el estado de la industria del hardware y el software.
Como miembro del grupo de galardonados con el Premio MVP de Microsoft de este año, Enrique forma parte de este selecto grupo de personas de todo el mundo, que han demostrado una excepcional voluntad de hacer llegar a los demás su conocimiento y experiencia para ayudarles a optimizar el uso de la tecnología.
Atentamente, 

Steven Guggenheimer
Corporate Vice President
Developer Experience & Evangelism Microsoft Corporation

miércoles, 28 de junio de 2017

Ransomware Petrwrap, nueva versión de PETYA

Introducción
En octubre del 2016 hicimos un artículo sobre PETYA y como funcionaban las plataformas RaaS. Aprovechando este Ransomware, los ciberdelincuente han lanzado un ataque masivo con este código malicioso, pero le agregaron el método de distribución que utilizó el WannaCry hace unas semanas atrás. Este método de propagación del ransomware, se hace aprovechando una vulnerabilidad de MS Windows sobre el SMBv1 explotando el mismo con código malicioso, aprendido de alguna manera con Eternal Blue.


Combinación explosiva.
En los análisis que hicimos sobre el código malicioso observamos que el mismo cifra el MBR (Master Boot Record)  del disco en donde se aloja el boot del S.O MS Windows.  Es decir que si el disco no esta cifrado con bitlocker u otra herramienta, si lo sacamos del equipo original, podemos reparar el MBR y colocarlo en el equipo original con el S.O funcionando nuevamente.

Decimos que es una combinación explosiva, por que este Ransomware cifra el disco denegando totalmente el acceso al equipo, no solo archivos y se propaga como lo hace el WannaCry.

Varias vulnerabilidades críticas conocidas deben ser el foco de atención de todos, por lo que se observa en la epidemia de ayer, muchas compañías aún no han desplegado sus actualizaciones. Las explotaciones  resueltas en el boletín de actualización de marzo por parte  de Microsoft son sólo el comienzo. Según se informa, estas son las mismas vulnerabilidades que utiliza la última variante Petya.

Además, otras dos actualizaciones de vulnerabilidades conocidas, publicadas en el Patch de junio, merecen atención.
 
1) CVE-2017-8543 - Una vulnerabilidad en Windows Search podría permitir que un atacante asumiera el control completo del sistema. También podría explotarse a través de la red sin autenticación a través de SMB. Fue señalado como "Exploited" cuando Microsoft lanzó la actualización en el Patch de junio/2017.

2) CVE-2017-8464 - Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código si se procesa un archivo LNK. Un atacante podría crear un icono de acceso directo que ofrezca los mismos derechos que el usuario local. Es un escenario para engañar a un usuario utilizando un dispositivo USB.

Microsoft ha dado un paso más allá, dado los recientes ataques y ha lanzado actualizaciones para XP, Vista y 2003. Las actualizaciones se remontan hasta el MS08-067, en donde ocurrió la vulnerabilidad que Conficker utilizó para infectar más de 15 millones de máquinas en el año 2008. Asegúrese de tener actualizadas los últimos boletines de seguridad acumuladas para Windows 7 y Server 2008 R2, como también los de Windows 10 y Server 2016. Esto cubre la familia Eternal de las amenazas conocidas y las dos últimas vulnerabilidades explotadas conocidas.
Por sistema operativo debe tener las siguientes KB aplicadas:

- Windows 7\Server 2008 R2
  1. March: KB4012212
  2. April: KB4015546
  3. May: KB4019263
  4. June: KB4022722
- Windows Server 2012
  1. March: KB4012214
  2. April: KB4015548
  3. May: KB4019214
  4. June: KB4022718
- Windows 8.1\Server 2012 R2
  1. March: KB4012213
  2. April: KB4015547
  3. May: KB4019213
  4. June: KB4022717
Está demas recordar, como lo venimos haciendo en nuestra serie de artículos desde hace un año, las acciones para protegerse contra Ransomware.

Vacunate contra Petya.
Hay un artículo en donde hay una receta casera para evitar que se infecte la PC, generando unos archivos en el S.O. Para vacunar su computadora para que no pueda infectarse con la cepa actual de NotPetya / Petya / Petna (sí, este nombre es molesto), simplemente cree un archivo llamado perfc en la carpeta C: \ Windows y haga que sea de sólo lectura. Para aquellos que quieren una forma rápida y fácil de realizar esta tarea, Lawrence Abrams ha creado un archivo por lotes que realiza este paso para usted.

Tenga en cuenta que el archivo por lotes también creará dos archivos de vacunas de adición llamados perfc.dat y perfc.dll.  El link con el paso a paso de como aplicar esta alternativa de protección es el siguiente https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/#.WVL6xMziO_4.twitter

Les recomendamos empezar a mitigar las vulnerabilidades para no tener impacto en los procesos de negocios. Al cierre de este artículo, empresas como COFCO están totalmente paradas.

Hasta la próxima.

viernes, 19 de mayo de 2017

Desencriptador para WannaCry

Introducción
Cómo dice un viejo dicho "... Una de cal otra de arena..." para utilizar una metáfora, por la aparición del WannaCry y ahora la publicación de un desencriptador, que si bien no es mágico y aplica el 100% de las veces, es un paleativo que puede llegar a ser útil al momento de querer recuperar la información.

Había una vez...
En principio el código de WannaCry se basa en "EternalBlue", un exploit usado por la NSA que fue expuesto al mundo por el grupo Shadow Brokers. Este grupo posee un set de herramientas que puede poner en riesgo a los procesos de negocios de varias organizaciones. Del set publicado por  Shadow Brokers, tenemos un conjunto de herramientas que aprovechan algunas vulnerabilidades como:

 - CVE-2008-4250 (exploit que es denominado “EclipsedWing”, Microsoft lo mitiga con un parche del año 2008, boletín MS08-67).
- CVE-2009-2526, CVE-2009-2532, y CVE-2009-3103 ( exploit “EducatedScholar”, mitigado por Microsoft con el boletín MS09-050 del año 2009).
- CVE-2010-2729 (el código malicioso “EmeraldThread”, resuelta su vulnerabilidad en el año 2010, con el boletín MS10-061).
- CVE-2014-6324 (el exploit “EskimoRoll”, mitigado con el boletín MS14-068 del año 2014).
- CVE-2017-7269 (un fallo sin resolver del IIS 6.0).
- CVE-2017-0146 y CVE-2017-0147 (exploit “EternalChampion”, mitigado en marzo de este año con el boletín MS17-010).

Si observamos, hay muchos de los boletines que se resuelven aplicando actualizaciones que han sido publicados por Microsoft hace un tiempo y aún hoy en muchas organizaciones puede explotarse por que no han sido implementados.

WannaCry
El día viernes 12 de mayo de 2017 pasará a la historia como la Pandemia que extorsionó al mundo.  Este Ransomware atacó a mas de 90.000 ordenadores distribuído en mas de 99 países en el mundo.
Su vector de infección fue un correo electrónico, utilizando la técnica de SPAM y PHISHING engaña al usuario para que visite un sitio Web, mediante un enlace de descarga del dropper (el que descargar el payload).  El archivo adjunto (dropper) infecta el equipo con el WannaCry, incluso provocando en muchos casos un BlueScreen de la muerte en los S.O Ms Windows, como vemos en la siguiente imagen:


Una vez infectado el equipo, comienza a cifrar los archivos como intento de propagación como lo hacían los virus tradicionales (el último que generó semejante impacto en un volumen importantes de equipos en el mundo, fue el CONFICKER).

El usuario observará pantallas en donde se le solicitará el pago del rescate del acceso a los archivos que fueron cifrados en su equipo. Pantallas similares a las siguientes:



Si bien muchas compañías a partir del día viernes del caos general, empezaron a parchar sus S.O, les recordamos que el parche evitará que se contagie de WannaCry desde otro equipo, pero si el usuario visita el sitio web donde está el dropper, se bajará el Ransomware y se infectará (deberá tomar otras medidas además del parche de Microsoft).
Aún hoy siguen infectándose equipos con el WannaCrypt, si quiere tener visibilidad de los casos que están ocurriendo en tiempo real, pueden verlo en este mapa https://intel.malwaretech.com/WannaCrypt.html

La propagación se realiza por los puertos 139 y 445, utilizando el SMBv1. Microsoft resuelve esta vulnerabilidad con el parche publicado en marzo/2017, pero si se complica desplegar el parche en el parque de máquinas de la red, lo que se puede hacer es desactivar el SMBv1 mediante una GPO de Active Directory y esto se aplicaría inmediatamente en toda la red. Para ver como se implementa esta GPO o Política de AD, les recomiendo revisar este artículo titulado "How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server".

Y un día se hizo la luz
En estos días se ha publicado una herramienta que permite recuperar los archivos sin tener que pagar el rescate. Una de las recomendaciones que se hace es que no se reinicie el equipo, ya que obtiene información de memoria al momento de su ejecución. Esto ocurre por que no borra los números primos de la memoria antes de liberar el uso de memoria.
El desencriptador podrán ubicarlo en esta URL https://github.com/gentilkiwi/wanakiwi/releases.
Les recordamos que puede ocurrir que no funcione en todos los casos.

Recomendaciones
Para finalizar, las constantes recomendaciones que venimos haciendo hace más de un año, nuestras 10 máximas:

1) Backup!!!!
2) Plataformas actualizadas, sin importar el S.O.
3) Aplicar una solución antimalware siempre actualizada en los dispositivos y equipos.
4) Capacitar a los usuarios sobre las amenazas.
5) Contar o ajustar soluciones antispam.
6) Filtrados Web con antivirus.
7) Contraseñas fuertes o complejas.
8) Mantenerse informados.
9) Ser desconfiados en terceros o desconocidos.
10) No pagar rescate.

Nuestras fuentes nos reportan que pueden surgir nuevas amenazas con igual o mayor impacto a la brevedad, por lo cual, esto requiere no relajarse y ser PROACTIVOS.

====================================== NOTA ===================================
Estos días leyendo algunos diarios, escuchando opiniones y otros informáticos que opinan sobre los intrusos, he observado el mal uso de unos términos que me llevan ha realizar la siguiente aclaración.
NO es lo mismo un Hacker que un Cybercriminal o Cyberdelincuente

HACKER: Unas definiciones que me gusta por que uno se siente identificado en algunas facetas, y voy a re-publicar y mencionar son:
1. Una persona que disfruta explorando los detalles de los sistemas programables y cómo estirar sus capacidades, a diferencia de la mayoría de los usuarios, que prefieren aprender sólo el mínimo necesario. RFC1392, los Glosario de los internautas , amplifica de manera útil como esta: Una persona que se complace en tener un profundo conocimiento del funcionamiento interno de un sistema, ordenadores y redes informáticas, en particular.
2. Aquel que con entusiasmo programas (incluso obsesivamente) o que disfruta de la programación en lugar de teorizar acerca de la programación.
3. Una persona capaz de apreciar el valor truco .
4. Una persona que es bueno en la programación rápidamente.
5. Un experto en un programa en particular, o uno que hace con frecuencia el trabajo de usarlo o sobre él.
6. Un experto o un entusiasta de cualquier tipo. Uno podría ser un hacker de la astronomía, por ejemplo.
7. Uno que disfruta el reto intelectual de superar creativamente o eludir limitaciones.

8. Entre otras 

FUENTE: The Jargon File, Eric´s Home Page.

CYBERDELINCUENTE: es un individuo que se aprovecha de las vulnerabilidades de las redes y sistemas de información para llevar a cabo actos tipificados por ley como criminales: robo de información, destrucción de información, extorsión, divulgación de información confidencial, distribución de pornografía infantil, envío de correo basura, terrorismo, extorsión, fraudes, robo de identidad, falsificación de información, piratería, etc.

Hasta la próxima.




 

sábado, 13 de mayo de 2017

Ransomware : "A mi no Wanna..."

Introducción
Cuando leí el nombre con el cual se había catalogado al Ransomware que afectó a más de 75 países y puso en jaque a varias compañías, me vino a la mente un viejo chiste en donde un cazador comentaba que cazó 3 leones, un leopardo y 2 "a mi no wana" (eran indios de la selva que se estaban escondido detrás de unos arbustos y gritaban eso cuando el cazador les disparaba); y si, pensaba, "a mi no Wanna Decryptor".... (más de un Responsable de Sistemas debe haber rogado por lo mismo...)

Un día ocurrió
Hace un tiempo venimos hablando de los Ransomware y que los ataques van ir escalando a menos que se logre resolver algunos puntos que trataremos en el artículo. Por ahora vamos a ver que ocurrió en la siguiente cronología usando información que fuimos observando en las redes sociales y que de alguna manera fue anunciando con mayor agilidad que los medios periodísticos lo que ocurría en el mundo.

- 2:30 Terminé de escribir mi articulo del Blog y me fui a dormir con una sensación que al otro día iba a ser movido, por algunos Twitter que había observado.
- 7:30 de la mañana observo el Twitter como todas las mañanas y se lee que Telefónica de España estaba afectada por un Ransomware. No se sabía que era, impacto y que estaba ocurriendo.
- 8:30 Ya el Twitter era un conventillo, ya que muchos opinaban por algo que se desconocía y le pegaban al Chema Alonso por que se le había escapado la tortuga.
- 9:30 Empezó a observarse en Twitter que comentaban que  ciertos hospitales de Inglaterra también habían sido afectados.
- 10:30 El Twitter y Facebook era una caldera. Me pasan el audio que teóricamente se había utilizado en Telefónica en donde le piden a los usuarios que apaguen sus equipos. Con este anuncio pensé, la cosa viene mas que complicada y vamos a tener que estar atentos. Mientras tanto mandábamos algunos Twitter para mantener a los seguidores informados.
- 11:00 El bitcoins llegaba a los U$S 1813,51.
- 11:15 De ElevenPaths (área Seguridad de Telefónica), publicaban noticias como estas "seguridad en Android de Google" y nada decían de lo que estaba ocurriendo en Telefónica.
- 11:30 Algunos seguidores compartieron el link que habíamos escrito la noche anterior, opacado por el Ransomware y el impacto que estaba teniendo en el mundo.
- 12:00 Los diarios de España se hacen eco de problema de Telefónica.
- 12:00 Caen unos puntos las acciones de Telefónica.
- 12:00 Ya el Ransomware tiene nombre y apellido "Wanna Decryptor o WannaCrypt".
- 12:30 Empezamos a notificar a nuestros clientes y amigos sobre el problema y como evitarlo.
- 13:30 El ransomware que atacó a Telefónica se propaga: WanaCrypt0r deja KO varios hospitales en UK.
- 13:30 36,000 detecciones contando Russia, Ucrania y Taiwan. A medida que la cosa se expandía era como imaginarse "Juegos de Guerra" y ver como evitar ser una víctima. Ya no era una epidemia, si no una PANDEMIA.
- 14:00 Se anuncia que con la actualización que publicara Microsoft en Marzo (MS17-010), la epidemia en las empresas se podría haber evitado.  Una vez más se denota que Operaciones o el área responsable de las empresas de mantener los S.O. actualizados se había quedado dormido. Es cierto que no en todas las compañìas se puede actualizar todo constantemente por que muchas veces ocurren que las actualizaciones poseen fallos o bien su aplicación terminan afectando la funcionalidad de alguna aplicacion en el puesto de trabajo o servidor. En este caso, una vulnerabilidad del SMB de Microsoft afectó y por primera vez vemos que un Ransomware se propaga como lo hacían los viejos virus. El link del boletín de Microsoft esta aquí y sugerimos aplicarlo. Ojo, la actulización corrige el problema de Ms Windows para que no se difunda el Ransomware, pero NO evita su infección.
- 14:10 Anuncio del CN-CERT con información importante de lo que estaba ocurriendo y como mitigarlo. Se puede encontrar aquí el artículo.
- 15:00 Nuestros clientes y amigos ya tenían ajustadas sus plataformas, ahora a cruzar los dedos y esperar que no ocurra nada.
- 15:30 Noticias de empresas Chilenas afectadas por el Ransomware.
- 16:00 Algunas empresas en Argentina ya empezaban a tener problemas con el Ransomware. En el silencio de la tarde de un viernes, se escuchaba por los centros de cómputos "... a mi no Wana...."
- 18:00 Cada vez mas empresas y países afectados.
- 20:00 Llegan noticias de empresas de Córdoba, como call center y comunicaciones que tenían el Ransomware, algunas pudieron contenerlo otras no.
- 20:30 Reportaje para el diario MZA Radio y hablando de lo que ocurrió en el día.
- 21:00 Observando el mapa mundo de infecciones, todo estaba iluminado, más de 75 paises afectados y el día no habia terminado. Llegan WhatsApp a mi teléfono preguntando si teníamos más noticias, si todo lo que se había configurado en las empresas era suficiente y que podíamos esperar a la noche (muchos no durmieron bien anoche).
- 21:00 Todos los medios (TV y Radio) con noticias del impacto que tuvo en el día semejante ataque a nivel global.
- 23:00 Empieza la calma o el suspenso, Twitter empieza a repetir noticias, algunas empresas ya no reportan sus infecciones y de a poco comienza la calma.

Nos vamos a dormir, al otro día

06:30 Chema Alonso publica un excelente artículo y da su visión de lo que ocurrió a Telefónica de España.  Luego de eso no publica más nada, pero en el artículo está todo dicho. Sugiero que lo lean AQUI.
7:30 Noticias de más empresas afectadas, en este caso : Nissan's Sunderland.
8:30 Revisando la tapas de los diarios, vemos con asombro que la gran mayoría puso la noticia en su tapa.

 9:30 Intento prepararme para el día, afuera llovizna,  algunos WhatsApp consultando si tenía novedades y otros preguntando si prendían las PCs. La calma quería adueñarse del día.
10:00 Desayunando observo que aparecen nuevas empresas infectadas, como Renault y una empresa alemana de trenes.
11:00 Una noticia bomba, imaginada para estos tiempos. Microsoft lanza actualización para el S.O. Windows XP, siendo que el mismo ya hace un par de años que no cuenta con soporte. Pueden bajar el boletín de seguridad AQUI. Gracias Microsoft!!
12:00 El valor promedio del bitcoin es de  U$S 1722.95.
13:00 Las redes sociales vuelven a la calma y el Wanna Decryptor va desapareciendo entre otros Twitts que aparecen en la pantalla.

Por que pasó
Muy simple, conjunción de un usuario que abrió un link que le llegó en un correo (en las empresas que poseen antispam, algo falló y el usuario no estaba capacitado para no abrir links que fueran dudosos, sumando que el URL Filtering si existía no bloqueó el acceso y en antivirus no detectó el malware), con el link del malware que se bajó ejecutó (por intervención del usuario) y aprovechó una vulnerabilidad existente en el S.O (se sabía de la vulnerabilidad desde diciembre/16 y Microsoft en marzo/2017 publicó el boletín con la actualización) provocó una epidemia en las redes locales de las empresas.
Si observan las palabras en negrita, fíjense todas las cosas que debía sortear el Ransomware para infectar el equipo, son muchas, esto es preocupante, ya que hay muchas compañias que siguen administrando plataformas como se viene haciendo hace 10 años atrás. Las amenzas han mutado, es hora que pongamos manos a la obra!!!
Les recuerdo que estos son pasos de mitigación, la seguridad 100% no esta garantizada. Recomendamos para la Organizaciones, realizar Gestión de Riesgo en sus procesos críticos de negocio....

Como evitarlo
Como menciono arriba, el vector de infeción fue el correo electrónico, por lo cual hay que empezar a tomar medidas. Si a nuestra casa llega un sobre dudoso no lo abrimos de primera instancia, es hora de cambiar la forma que se usa la tecnología, hay que ser DESCONFIADO. Si revisan nuestro blog, cada artículo termina con las recomendaciones de protección. Les recomiendo leer este artículo RANSOMWARE - PARTE V - RECOMENDACIONES A EMPRESA y para los usuarios en sus casas puede aplicar estas recomendaciones RANSOMWARE - PARTE IV - RECOMENDACIONES A USUARIOS

Van por más
Hace veinte días observamos un ataque masivo a puertos RDP e infecciones con Dharma y Crysis, ayer con Wana Decryptor y que observamos:

- Nadie fue detenido.
- Las empresas sufrieron un impacto importante (aquellas que fueron afectadas).
- Con el primer Ransomware hicieron muy buenos bitcoins, no así con el segundo, ya que solo hicieron un poco mas de 16 Bitcoins.
- El bitcoins sigue subiendo su precio.

No es de extrañar, que mientras Uds lee este artículo, ya se este preparando una nueva oleada de ataque para dejar fuera de linea a más empresas y si, deban pagar para ponerlas on-line. Allí se tendrán que preguntar, de quien es entonces la información. No dejen de leer las recomendaciones de la PARTE V en donde les indico como protegerse.

Moraleja
No dejes para mañana lo que puedas hacer hoy...

Hasta la próxima.












jueves, 11 de mayo de 2017

Ransomware: de infecciones aleatorias a epidemia, un nuevo negocio.

Introducción.
Ya hemos definido Ransomware en otros artículos en este blog, pero hoy vamos a cambiarla por "Delito Cibernético", ya que se está convirtiendo en una industria, un modelo de negocio para aquellos que no tienen escrúpulos y ponen en jaque pequeñas y grandes empresas.

Análisis
El año 2017 empezó con todo en cuanto respecta a Ransomware. En los últimos meses ya han surgido más casos que en todo el 2016, y con cierto nivel de complejidad que supera técnicamente las versiones de Ransomware del año pasado.
La pregunta que nos hacen las organizaciones o pequeñas en cuanto a este tipo de epidemia, (ya dejaron ser casos aislados de infección, ya hay una ocurrencia con cierta referencia y programada), "¿Qué pueden hacer las organizaciones y que pueden esperar en el futuro de estas amenazas?".
Analizando desde hace un año las diferentes versiones de estos malware, el comportamiento de los mismos, las acciones de prevencion de detección, el ascenso del valor del bitcoin (pensar que en agosto del año pasado rondaba los U$S 590)  y los intentos de intrusión deliverados, podemos decir que esta epidemia recién empieza y el que no esté preparado va a terminar siendo una víctima de infección.

La pregunta que nos hacemos los Analistas de Seguridad, ¿Que ha causado que programadores con tanto conocimiento o talento se dediquen a esta actividad delictiva?.  Ante el desconocimiento de las organizaciones de como actuar ante esta amenaza y la manera rápida, anónima y fácil de ganar dinero, observamos que esto hoy se ha convertido en un modelo de negocio, una nueva plataforma ha surgido, "Crimen-As-Services".

Haciendo seguimiento de una billetera virtual la semana pasada,  un intruso en un día recolectó por pagos de extorsiones 719 bitcoins. Un negocio redondo en donde no se paga impuestos, el anonimato está asegurado y se aseguran un gran porcentaje de pago de las extorsiones por que las organizaciones siguen administrando aún las plataformas de tecnología como lo venían haciendo hace 10 años.

Extorsión digital
El Ransomware se ha convertido en un cambio de paradigma dentro de los delitos, siendo un secuestro virtual, en donde la víctima es la información de las organizaciones.
Al principio era por medio de envío de mails "phishing" con el fin de engañar e infectar a usuarios de una red, pero eso provocaba que el intruso debiera esperar que el atacado mordiera el anzuelo. La ansiedad y la voracidad de los atacantes por tener cada vez más bitcoins, ha provocado ya ataques direcionados, en busqueda de servidores publicados a Internet con vulnerabilidades expuestas y que sean aprovechadas con el fin de introducir de alguna manera un Ransomware en el servidor. Hemos detectado muchos ataques de fuerza bruta a puertos publicados de RDP (Terminal Server de Microsoft) y ataques a IIS (Internet Information Services) , en donde explotando una vulnerabilidad lograron inyectar un keylogger para hacerse de cuentas válidas y luego ingresar el malware.

Información en jaque?
Una de las cosas que observamos es que la mayoría de las compañias no saben que activos informáticos pertenecen a los procesos críticos de negocio, por ende si un activo es comprometido, lo será tambien la organización. ¿Cuánto va a invertir en seguridad si no saben que proteger? ¿La Organización no sabe que proteger, es bueno o malo? Hoy las organizaciones no saben o no tienen cuantificado cuanto vale la información, solo se darán cuenta cuando la información este cifrada y el usuario no tenga acceso.
Entonces, surge la pregunta del rigor :¿Por que la empresa debería pagar un rescate por su propia información?. Si hacen bien la tarea, NO se debería pagar a los extorsionadores de la información digital.

Ser una víctima: si o no
En estos dos años de análisis de casos de Ransomware, observamos que las empresas invierten lo justo en Seguridad Informática. La balanza está entre la prevención e invertir tiempo y alguna solución de protección de seguridad versus el pago del rescate. Hoy cualquiera puede ser una víctima de Ransomware, el tema radica en donde queremos estar, si viendo como estamos protegidos o bien, analizando de donde vamos a sacar 2,5 bitcoins para pagar un rescate (valor promedio de una infección tipica de Ransomware).

Las Organizaciones deben trabajar en prevención, he aquí algunas recomendaciones:

1) Capacitar al personal: generar campañas de concientización en las personas que trabajan en la compañia, pensando en como pueden protegerse en sus cuentas personales para que generen un hábito para todo lo que apliquen luego. No fuerce y baje directivas que impongan una forma de trabajo, esto no siempre resulta.

2) Antimalware: contar con una plataforma antimalware con análisis de comportamiento es una buena ayuda a la prevención.

3) Contraseñas fuertes: utilizar contraseñas complejas.

4) Servicios a Internet: restringir los servicios que se publican a Internet. Utilizar accesos seguros mediante el uso de VPN utilizando SSL.

5) Monitorear: un intruso persevera y triunfa por que nadie lo bloquea o deniega el acceso. Monitore los accesos a la plataforma, sobre todos los externos.

6) Oculte la información del negocio: no deje de fácil acceso la información que es fundamental para los procesos de negocio.

7) Resguardos / backups: Pregunte al negocio cuanto tiempo puede estar sin acceso a la información. Esto le va a indicar cada cuanto debe hacer backups. Un backup a la semana o una vez al día ya no es negociable, piense en resguardos con más periodicidad, piense en lo que necesita su Organización.

8) Actualizaciones: mantenga las plataformas actualizadas, una vulnerabilidad que ha sido publicada por algún boletín, permite que algun intruso en algún momento la explote.

9) NO pague Rescate.

Si no posee un listado de sus Procesos de Negocio y de los Activos que forman parte de ella, no sabrá el valor de los activos y esto puede dar lugar a que termine en una situación en donde deba pagar rescate de una información que a lo mejor no lo vale.

Ser precavido es la mejor defensa.

Hasta la proxima....

Nota: mientras terminabamos esta redacción, Telefónica de España y algunos Hospitales de Reino Unido, están siendo atacado de manera masiva con un Ransomware.

Alertas:

 - Wanna Decryptor: http://www.iosmovil.com/wanna-decryptor-asi-funciona-el-supuesto-ransomware-que-se-ha-usado-en-el-ciberataque-a-telefonica/

- Ataque masivo de ransomware: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html.