Vuestros datos a otra parte

googleuk

De EU a EE.UU. y tiro porque me toca...

Los marcos legales offshore al Europeo

Leyendo LinkedIn, hace unos días, veo que uno de esos profesionales de gran trayectoria y peso, que hay que seguir, como es Paul Brown publicaba: Un país al borde de la tiranía corporativa: Google moverá las cuentas de los ciudadanos británicos a servidores localizados en EE.UU. y eliminará las protecciones de privacidad impuestas por la UE.

La noticia a la que hace referencia es la siguiente: https://uk.reuters.com/article/uk-google-privacy-eu-idUKKBN20E08U

Esto puede parecer un simple movimiento, pero no, este movimiento responde a la situación actual de dichos datos: Irlanda, y el destino de los mismos, los Estados Unidos.

El hecho de que estén en Irlanda, permite que las protecciones de privacidad impuestas por la Unión Europea bajo la GDPR (o RGPD) protejan los datos de los usuarios británicos de posibles investigaciones banales o sin una orden judicial, o de cualquier uso injustificado.

Luego del Brexit, el gobierno británico busca una manera de poder echar guante a dichos datos si así lo considera, y que mejor movimiento que bajo el marco colaborativo que tienen USA y UK, y sus acuerdos de colaboración en investigaciones criminales junto al Cloud Act que existe en el primero.

Nuestros datos son nuestros y el Principio de presunción de inocencia es determinante.
Siempre tendemos a pensar en el "no tengo nada que esconder", pero esto no es así, no tener nada que esconder no lleva implícito el tener todo por mostrar, nuestros datos, comunicaciones, nos definen, dejan una traza en el tiempo, y lo mismo puede servir que estemos preguntándole a un amigo por email acerca de que tan bien va su nuevo coche para ser bombardeados por publicidad de automóviles a los segundos mientras paseamos por la web, como sacarnos una foto de fiesta una noche y que mañana esté sobre la mesa de un gabinete de RRHH para enjuiciarnos de algún modo. Por tanto, si, no debes esconder nada, pero es tu deber proteger tu privacidad. Hay que hacer un cambio de chip sobre cómo almacenamos nuestros datos, a quén se los compartimos o dónde tenemos copias de ellos, no porque tengamos nada que ocultar, sino porque no tenemos nada que ser investigado.

Como profesional, siempre intento que los usuarios lo tengan lo mas claro posible, personal, familiar y profesionalmente.

Siempre intento dar soluciones que deban vivir bajo el marco GDPR si tenemos la oportunidad, y la tenemos, podemos desde ir sobre pequeños VPS's hasta Dedicados ubicados en Datacenters europeos (que tendrán que ser administrados obviamente con mayor o menor complejidad), hasta servidores propios, pasando por soluciones como las que ofrecen Synology o QNAP en sus modernos NAS a precios mas que interesantes; de este modo los datos que allí estén, tienen un marco legal de protección que de otro modo no existe.

Este cambio no es fácil, pero hay que simplemente pensar en esto: ¿de qué viven las grandes empresas que nos tiran teras de uso gratuito o a precio irrisorio pero mantienen sueldos estratosféricos e instalaciones millonarias mientras cotizan en el NASDAQ? simplemente también tienen que vivir y lo que nos suena a "gratis" no siempre lo es a la larga. Y nuestros datos... cotizan en una bolsa aparte.

 

 

Imagenes de Pixabay / Editadas en GIMP

Phishing en Google Calendar

Phishing en Google Calendar

Imagen de base Ryan McGuire en Pixabay

Estos días, he visto y sufrido, una nueva campaña de phishing basada en añadirnos a un evento via Google Calendar.

Cuando hablamos de Google Calendar, no estamos haciendo referencia a la aplicación en sí, sino a tener una cuenta en dicha solución, da igual a que gestor de agenda usemos, iOS, Calendar nativo, etc…

El problema es que nos invitarán a un evento que a priori, es interesante, en el cual incluyen un link para recibir mayor información; desde «Has ganado un premio de X», hasta «Sorteo por una cuenta de 10 años en Netflix» o lo que se os ocurra como recompensa, además, añaden recordatorios para que, si no eliminamos el evento, nos lo recuerden.

Si hacemos click en dicho link, la mayoría de las veces nos enfrentaremos a un formulario donde terminan por obtener gracias a nuestra ayuda, datos sensibles, como contraseñas o incluso dinero.

Y ¿cómo lo logran? fácil, nos envían un email con dicha invitación y aunque Gmail, lo puede llegar a detectar como Spam y el mismo acaba rápidamente en la carpeta de Correo Basura, la función de invitación se salta el filtro y acaba en nuestra agenda.

Por suerte la solución es sencilla, y consiste en básicamente, crear el filtro de «SPAM» en nuestra agenda para que no nos pueda agregar a eventos que nosotros no tengamos validados desde direcciones desconocidas.

¿Cómo defenderse del Phishing en Google Calendar?

Bloquear invitaciones no deseadas = Evitar el fraude

La solución pasa por entrar vía Navegador (Chrome, Chromium, Firefox, Edge, Opera, Brave, etc…) y realizar los siguientes pasos:

Entramos en nuestra cuenta de Calendar en el navegador: https://calendar.google.com

En la zona superior derecha, veremos el icono de un engranaje, hacemos click en él y luego donde el dice «Configuración«.

Google-Calendar-Configuracion

Ya dentro de los ajustes, buscamos donde dice: «Configuración de los eventos«.

Google_Calendar_Configuraciondeeventos

Y aquí tendremos un desplegable en la zona que dice «Añadir invitaciones de forma automática«.

Google_Calendar_Invitaciones

Elegimos «No, mostrar únicamente las invitaciones a las que he respondido«.

Google_Calendar_Invitaciones_Opciones

Además, buscamos «Opciones de visualización» y desmarcamos la casilla de «Mostrar eventos rechazados» y de esa manera podemos evitar que los intentos de phishing sigan enviando notificaciones aunque se hayan eliminado.

¿Y en el móvil? ¿Puedo hacerlo sin entrar via navegador?

Si, siempre y cuando se entre vía la aplicación oficial de Google y los pasos son los siguientes:

  • Abrimos la App de «Google Calendar»
  • Nos dirigimos a la hamburguesa o menú de la zona superior izquierda.
  • Nos desplazamos hacia abajo hasta encontrar «Ajustes«
  • Y dentro de la opción eventos, debemos desactivar las diferentes cuentas que tengamos.
  • A más, dentro del apartado «General» debemos desactivar la opción «Ver eventos rechazados».

Aconsejamos hacerlo via web, ya que no siempre usamos la aplicación oficial ni queremos instalarla, y además, con los usuales cambios en las versiones de las apps y sus apartados, de la otra manera, nos aseguramos ir por los pasos correctos.

Really, Do you wanna cry?

¿Qué está ocurriendo estos días?

No hay duda que WannaCry/WannaCrypt y derivados llevan de cabeza el mundo de la informática desde que se destapó su entrada en la central de Telefónica y varios hospitales de UK el pasado viernes (12.5.2017).

Nunca se habia hecho tanto eco de una noticia de la afección de un malware, pero hacía tiempo que no veíamos una infección a esta escala (Blaster y ILoveYou eran los mas recordados pero no habia la saturación informativa actual).

Los comienzos de la repercusión del ataque.

Entrar en Telefónica no es baladí, el gigante de las telecomunicaciones cuenta en su haber con un excelente equipo de Informática liderado por Chema Alonso, que los propios empleados de la compañía hayan confirmado que desde la dirección le pedían apagar sus máquinas y que no tendrían plena seguridad hasta hoy miércoles era una noticia que nos llamó la atención y mucho; pasamos de un ransomware detectado y muy visto pero no difundido a este nivel como el Cryptolocker a tener en todos los medios el mismo viernes a WannaCry sobre la mesa. ¿Los atacados? Telefónica, Petro China, NHS, Nissan, FedEx, el Ministerio del Interior de Rusia, Universidades... además de PyMEs y usuarios particulares.

Lo siguiente fue comprender que no había sido un ataque dirigido... la verdad, es que no es un ataque dirigido para nada, es una lluvia de código que secuestra tus archivos lanzada en la red, y al que le caiga mala suerte, nadie estaba a salvo.

Así como tampoco está claro de donde viene... incluso en la Deep Web hay kits a la venta que posibilitan la creación de este tipo de malware.

La NSA...

Pero ¿de dónde sale el exploit? Pues lo desarrolló la NSA, luego de su filtración por parte de Shadow Brokers en Wikileaks, Microsoft lo parcheó el 14 de Marzo de 2017 en la SU4013389.

Es una herramienta de avanzada... Pues la verdad que no, tampoco, simplemente se aprovecha de un fallo de seguridad del Sistema Operativo Windows que estába documentado en el conjunto de herramientas que habia desarrollado la agencia norteamericana para su uso de "vigilancia". Luego paso a ser pública en Wikileaks, y el tiempo corrió a favor de los cybercriminales.

¿A que versiones de Windows afecta?

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2003
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016
  • Windows XP

Por increíble que pueda parecer, y pese a que hace 3 años que terminó el soporte oficial a Windows XP, está aún tan masificado su uso, que Microsoft ha decido cubrir dicho sistema con un parche oficial.

Si tenemos las actualizaciones automáticas en Windows 10, no debemos preocuparnos, puesto que el 14 de Marzo de 2017, fue lanzada la actualización de seguridad que solucionaba dicho problema. Por eso se "entiende" que las máquinas con Windows 10 no son vulnerables.

Si tenemos otras versiones de Windows, debemos corroborar que cumplimos con ciertas actualizaciones y en todo caso parchear a mano.

El problema es, que comienzan a salir variantes que se comportan de otro modo, en otras cuentas, y como siempre, el lado delictivo está un paso por delante de lo documentado.

Y aviso, los usuarios con Windows XP deben preparse para una pesadilla pues la mayoría de los exploits publicados recaen sobre este sistema y se verá convertido en un coladero de problemas próximamente.

¿La solución?

Pues el mismo día viernes un empleado de Proofpoint, encontró dentro del malware un dominio que actuaba como kill-switch y detenia la infección, compró dicho dominio por 10 U$S y problema acabado...

 

...hasta que a los minutos ya habia otras versiones con otros kill-switch o sin ellos...

¿Baja recaudación?

Realmente curioso es ver como los "ransomware" originales, pese al ruido que han hecho en todo el globo, no han recaudado hasta la fecha 80.000 (ochenta mil) dólares Actualización: hoy 18/5/2017 han recaudado poco mas de 85.000 U$S. Podéis ver en tiempo real en esta cuenta de Twitter lo que publica un robot (en una Raspberry Pi) que comprueba todo el tiempo los ingresos en las cuentas de Bitcoin "oficiales". ¿Cuántas infecciones lleva? Hasta hoy, se calcula que unas 250.000 distribuidas en 185 paises. Contemos que cada "rapto" pide entre 300 y 600 U$S.

Pero ¿y los no oficiales? ya se sabe que hay copias Chinas de estos que no hay aún contabilizadas, ni con kill-switch..  si quieren ver cuales son las versiones actuales, aquí los tienen.

¿Cómo funciona?

Básicamente, es un dos en uno, por un lado hay un gusano que explota la vulnerabilidad MS17-010 y propaga un troyano del tipo ransomware que cifra los archivos en disco dejandolos inaccesibles si no realizamos un pago.

El gusano en cualquier momento podría comenzar a propagar otro malware como un banker o un miner de Bitcoin además.

¿Y a qué extensiones de archivo afecta?

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der (y creciendo).

WannaCry en vivo

En el momento 0:32 entra en acción y en el 1:25 podéis ver como se autopropaga por la red e infecta al sistema que está en la derecha.

¿Pago o no pago?

Entendemos que vuestros datos son sensibles, pero aquí ya entramos con varios aspectos a discutir sobre el problema. Lo primero sería evaluar los backups que tiene el usuario/empresa; lo segundo, las shadow copy que pueda tener el sistema; lo tercero es si todo esto tiene una calidad que nos haga entender que estamos fuera de peligro.

Ante todo, debemos evaluar concienzudamente antes de dar cualquier paso, y cuanto antes mejor.

La gran resolución es antes que nada, NO PAGAR. Nadie debería pagar a un ladrón para que le devuelva una copia de la llave maestra que robó; no evitará que pueda volver.

Poco más queda por decir, el tema es incluso resumido, demasiado largo y seguirá.

Desde Vi-Consulting, el mismo Viernes y durante esta semana ya hemos comprobado que todos nuestros clientes que tienen planes contratados con nosotros están libres y fuera de peligro.

Instamos a que si tienen alguna duda nos consulten, la evaluación de vuestro problema no conlleva ningún coste.

En caso de que vuestro sistema operativo no sea legal, permítanos avisarle que está en peligro, y que no hará mas que empeorar de aquí a futuro al no tener las actualizaciones activadas. Igualmente podrá ponerse en contacto con nosotros si desea que evaluemos su situación.

Curiosidades de última hora:

  • Un equipo Linux, con Wine (Un conjunto de herramientas de desarrollo para portar aplicaciones Windows a Unix.) instalado para ejecutar aplicaciones Windows, SI puede verse afectado, bajo los directorios que dependen del mismo. Hay una broma por cierto, que dice que al fin es un programa de windows que funciona en Wine correctamente XD.

 

  • Los equipos con OS X si bien usan SMB (el protocolo por el que se cuela la infección), es una implementación diferente por ende, no se ve afectado a priori... ahora si la pregunta es si hay Ransomware en OS X/Macs/Apple, por supuesto que los hay, no nos olvidemos de KeRanger (2016) que bastantes dolores de cabeza dió y FileZip (2017) que viene impactando con fuerza desde Febrero. Pero esto da para otro artículo.