Treballar des de casa amb seguretat (3a part): emmagatzematge i còpies de seguretat

Des de l’Àrea de Tecnologies continuem informant sobre les mesures de protecció que hauríem d’aplicar mentre tenim l’oficina a casa.

L’objectiu és minimitzar els riscos de seguretat en el tractament de la informació de la institució durant aquest període de confinament. 

En aquesta publicació parlarem de l’emmagatzematge de documents que generem i de les còpies de seguretat dels mateixos:

  • Evita emmagatzemar informació relacionada amb les tasques i funcions encomanades en local (en el disc dur) tant si es tracta de dispositius corporatius com particulars.
  • Evita fer còpies de seguretat d’informació institucional en el disc dur de l’ordinador. Tampoc s’han d’utilitzar dispositius externs com memòries USB; excepte si el dispositiu té mesures actives de ciberseguretat (per exemple: el xifrat).
  • Utilitza serveis d’emmagatzematge i compartició d’informació que facilita la Universitat, aquests recursos són el servei de fitxers (T:\)  del que se’n fan còpies de seguretat periòdicament i els serveis al Núvol: SharePoint i OneDrive.
  • Quan acaba la jornada laboral, elimina la informació temporal de les carpetes de descàrregues, paperera de reciclatge i altres carpetes similars si, excepcionalment, has baixat documentació en local.

Addicionalment, volem recordar-te que cal aplicar aquestes mateixes mesures per a dispositius mòbils intel·ligents, corporatius o propis. 

Gràcies per ajudar-nos seguint aquests consells! Per qualsevol consulta, recorda que pots contactar amb el PAU. 

Treballar des de casa amb seguretat (2a part): credencials i navegació

Des de l’Àrea TIC continuem donant pautes de protecció i preventives per tal de treballar des de casa amb seguretat. En aquesta entrada parlarem sobre:

Credencials: 

  • Evita apuntar les contrasenyes corporatives en etiquetes adhesives, papers o qualsevol altre mitjà que pugui ser fàcilment consultable per una altra persona. Consulta la pàgina on parlem de la seguretat en les contrasenyes.
  • Per aquelles aplicacions que necessiten autenticació, no habilitis l’opció de recordar les credencials. Cal introduir-les cada vegada que vols accedir-hi.
  • Si instal·les un certificat digital, habilita l’opció “Escriu la contrasenya per a la clau privada”, així només s’utilitzarà el certificat si coneixes la contrasenya.

Navegació segura: 

  • Abans d’introduir cap dada, quan naveguis per la xarxa, fixa’t que les pàgines web tinguin xifrat HTTPS.
  • Evita pàgines web de poca confiança.
  • Configura tots els navegadors (Edge, Firefox, Chrome, Safari ….) que utilitzis amb les següents opcions:
    • Desactiva les característiques de recordar contrasenyes del navegador.
    • Activa l’opció d’esborrat automàtic de la informació registrada: històric de navegació, galetes, contrasenyes, sessions autenticades…
    • Consulta aquesta entrada antiga del blog que parla sobre la conveniència de deshabilitar l’emplenament automàtic en el navegador.

Gràcies per ajudar-nos seguint aquests consells! Per qualsevol consulta, recorda que pots contactar amb el PAU.

Treballar des de casa amb seguretat: equip de treball i connexió 

Arran de la situació que estem vivint actualment i per tal d’ajudar als membres de la comunitat universitària que heu de continuar desenvolupant les vostres tasques des de casa, tant si ho feu amb un ordinador corporatiu, com un ordinador personal, cal tenir en compte algunes mesures de protecció i preventives relacionades amb l’equip de treball i la connexió a Internet:

  • Comprova que el sistema operatiu estigui actualitzat a la darrera versió. Consulta la pàgina oficial de Microsoft si tens Windows 10.
  • Verifica que tens un antivirus actiu i actualitzat.
  • Comprova l’estat del tallafocs al teu equip. Consulta com activar-lo.
  • Cada cop que t’aixequis i no estiguis al costat del teu equip, bloqueja’l. Aquesta entrada antiga del blog et pot ajudar a entendre la importància de fer aquesta senzilla acció.
  • Crea en el sistema un compte d’usuari per a teletreballar. En cas d’utilitzar un ordinador corporatiu, ja estarà preparat.
  • Comprova que l’encaminador de connexió a Internet (router) de casa no utilitza la contrasenya per defecte de fàbrica.
  • Si bé és cert, que hi ha recursos de la UB disponibles amb una connexió a Internet estàndard, recomanem connectar-te a través de la xarxa virtual privada (VPN) de la Universitat.
  • Quan acabis la jornada laboral, tanca les sessions a les webs o aplicacions de la UB, desconnecta el VPN i tanca o bloqueja la sessió d’usuari.

Gràcies per ajudar-nos seguint aquests consells! Per qualsevol consulta, recorda que pots contactar amb el PAU.

Recomanacions davant les campanyes de malware i de desinformació CiberCOVID19

El Centro Criptológico Nacional ha publicat una sèrie de recomanacions davant les campanyes de programari maliciós (malware) i de desinformació que s’estan generant com a conseqüència  la pandèmia del COVID-19.

Entre altres mesures recomanen:

  • Prestar atenció especial als correus electrònics que incloguin enllaços o adjunts sobre el coronavirus.
  • No descarregar aplicacions no oficials per conèixer l’abast internacional del COVID19.

Si tens qualsevol dubte, pots adreçar-te al PAU a través del correu electrònic.

Ciberdelinqüència, un problema de tots

Desafortunadament ja comencen a ser habituals, en el nostre dia a dia, termes com  phishing (pesca de les nostres credencials),  spam (correu brossa) o spoofing (suplantació de la identitat), tots ells relacionats amb la ciberdelinqüència.

Les nostres credencials: identificador i contrasenya de la UB, són unes dades llamineres que els ciberdelinqüents anhelen aconseguir; una vegada disposen d’elles, en poden fer diferents usos i  ocasionar-nos molts mals de cap.

Us expliquem alguns dels casos on hem treballat últimament:

  • Un professor rep un correu phishing i, sense ser-ne conscient, accedeix a l’enllaç facilitant les seves credencials (el phishing ha estat exitós). Al cap de poques hores, des del seu compte de correu algú comença a enviar, de manera massiva (el spam ha estat exitós), correus amb imatges de pornografia.
  • Una professora rep un correu provinent aparentment d’un altre professor on li demana un examen, fixant-se en l’emissor, la professora se n’adona que el nom del professor és correcte però l’adreça de correu no pertany al professor (el spoofing s’ha detectat a temps).
  • Una persona d’administració i serveis cau en un phishing. Amb les seves credencials, el ciberdelinqüent accedeix al seu compte de correu i li crea una regla de correu i una redirecció: tots els correus que aquesta envia, amb paraules com  factura, banc, pagament…, són reenviats també a una adreça externa fraudulenta.

QUÈ PASSA SI ROBEN LES MEVES CREDENCIALS

A més de poder connectar-se al teu correu,  tafanejar-lo, conèixer els teus contactes, el ciberdelinqüent pot enviar correu a nom teu i vendre les teves credencials en un mercat negre de compravenda de contrasenyes.

QUÈ PUC FER PER EVITAR-HO?

Ho hem dit ja i ho repetirem tants cops com calgui:

  • Desconfia de correus de destinataris desconeguts.
  • Desconfia de correus de destinataris coneguts però que t’envien contingut no habitual per la vostra relació laboral o personal, o en un idioma que no és el que feu servir per comunicar-vos o qualsevol altre detall que et cridi l’atenció. En cas de dubte contacta amb la persona per confirmar si ha estat ella qui ha enviat el missatge.
  • Fixa-t’hi bé si l’emissor és la persona o organisme que apareix com a remitent, compara’l amb l’adreça de correu que veritablement envia el correu.
  • No facis servir mai la mateixa contrasenya UB per accedir a serveis que no són UB.
  • Si et connectes a wifis públiques, no accedeixis a cap servei de la UB emprant les teves credencials ni consultis informació sensible.
  • I sobretot MAI FACILITIS LES TEVES CREDENCIALS: ni a través d’enllaços del correu electrònic ni per telèfon.

I SI SOSPITO O DUBTO

  • Si penses que has picat i has facilitat les teves credencials, canvia- la de manera immediata i:
    • Tria una contrasenya totalment diferent de l’anterior i que no hagis emprat mai, no generis una de nova només canviant una lletra o un número, fàcilment la poden tornar a endevinar.
    • Revisa el teu correu per si tens alguna regla de correu o redirecció cap a una altra adreça que no hagis fet tu.
  • Obre un tiquet al PAU.

I DES DE L’ÀREA TIC QUÈ  FEU?

  • Monitoritzem, revisem i t’informem, si detectem quelcom sospitós, que afecti la seguretat de les teves credencials.

Confiem que aquesta informació ens ajudi a lluitar, entre tots, contra la ciberdelinqüència.

Nou servei d’accés a la xarxa cablejada de la UB

CAX és el nou sistema de Control d’Accés a la Xarxa de cable de la UB. El control d’accés és un dels pilars en la seguretat de la xarxa. Tenir identificats els dispositius que accedeixen a la xarxa permet establir polítiques segures d’accés i oferir nous serveis confiables.

El propòsit del CAX és, mitjançant aquesta identificació dels equips connectats a la xarxa cablejada, prevenir que els equips amb deficiències de seguretat (manca d’antivirus, pegats o software preventiu d’intrusió de hosts) accedeixin a la xarxa posant en risc altres equips UB. D’aquesta forma evitem la propagació del programari maliciós i d’altres amenaces que poden causar danys a les infraestructures, mitigant les vulnerabilitats dels atacs informàtics i la pèrdua de dades.

Aquest nou servei permet:

  • Connectar un dispositiu a la xarxa cablejada de la UB. Entenem per dispositiu qualsevol equip de sobretaula, portàtil o altre aparell que necessiti connectar-se a la xarxa cablejada. Els equips UB que ja disposen de connexió no requeriran cap acció addicional i per registrar nous equips UB, caldrà sol·licitar l’alta al PAU, tal com es feia fins ara.
  • Connectar un ordinador NO UB (equip privat) de qualsevol PDI o PAS  o d’un usuari convidat amb un  procés d’autoregistre.

Tot i permetre la connexió a la xarxa d’aquests ordinadors particulars, la UB podrà limitar el seu accés a alguns serveis (aplicacions corporatives, servidors, impressió…).

Aquestes connexions seran permeses sempre que es compleixi la política d’accés (tenir antivirus i actualitzacions de sistema operatiu) i el seu incompliment implicarà la desconnexió de la xarxa.

Des del mes d’octubre, l’Àrea TIC ha implantat aquest nou sistema d’accés com a prova pilot en alguns serveis i a partir de novembre, s’inicia el desplegament a tota la xarxa cablejada de la UB. Us anirem informant del calendari a través de la nostra secció d’avisos.

Per qualsevol consulta, contacteu amb el  PAU o consulteu la informació en la nostra web.

Signatura electrònica per a les renovacions de contractes de professorat associat

En relació a la notícia Implantació de l’administració electrònica en l’àmbit dels recursos humans publicada a la Intranet i adreçada al professorat associat us volem comentar que, dels diferents mitjans de signatura electrònica que s’enumeren a la notícia:

DNIe: emès per la Direcció General de Policia.
IdCAT: emès per l’Agència Catalana d’Identificació (CatCert).
FNMT persona física: emès per CERES (Reial Casa de la Moneda).
T-CAT: el professorat associat que disposi de T-CAT en el carnet universitari per signar actes de qualificació també el podrà utilitzar si no ha caducat.

us recomanem fer servir el IdCat o el FNMT persona física, si no disposeu del T-CAT, perquè no instal·len cap programari a l’ordinador.

Els equips de la Universitat estan preparats amb el programari necessari perquè funcioni el T-CAT i aquest programari pot ser incompatible amb el del DNIe.

Per qualsevol dubte, i sempre que estiguin relacionats amb tràmits de la Universitat amb certificat digitals, podeu contactar amb el PAU.

Estàs esperant un correu i no t’arriba?

Amb l’ús massiu del correu electrònic rebem molt correu no desitjat.

Per aquest motiu la regulació del correu es fa cada cop més exigent i i encara que el teu correu no sigui correu brossa, pot arribar a parar a la bústia de correu brossa perquè té algun indici que el fa sospitós.

Tots els serveis de correu (Hotmail, Gmail, Microsoft…) tenen filtres per bloquejar certs correus i protegir-nos de correus maliciosos o no desitjats com suplantació d’identitat, estafes, spam…

El problema és que aquests filtres poden ser massa restrictius i, de vegades, correus legítims els trobem a la carpeta de correu brossa.

No hi ha criteris únics per determinar quan un correu acaba a la carpeta de correu brossa, a més dels filtres i regles establertes per l’antivirus, també s’executen les del proveïdor de serveis, les de la xarxa i d’altres. Però també hi ha procediments que tu mateix pots fer indicar que aquell correu és legítim.

Si el filtre de correu no desitjat de l’Outlook classifica incorrectament missatges legítims, els pots reclassificar ràpidament, seguint algun dels procediments que t’indiquem a continuació:

  • Etiquetar el missatge o missatges de la carpeta de correu brossa com correu legítim.
  • Afegir l’adreça com a contacte.
  • Afegir un filtre o una regla per aquesta adreça.
  • Afegir l’adreça com a remitent segur.

Consulta aquesta guia d’ajuda si vols saber com aplicar-los.

Tot i aquests procediments, et recomanem que revisis periòdicament la teva carpeta de correu brossa.

Si tens qualsevol dubte o consulta, contacta amb el PAU.

 

Nou servei de VPN

Amb motiu de la modernització impulsada per l’ATIC, us volem presentar el nou servei de VPN (Xarxa Privada Virtual) de la UB. Aquest nou servei (vpnub.ub.edu) presenta millores importants respecte a l’anterior (vpn.ub.edu): més seguretat, servei redundat i integrat en la estructura de la UB.

El servei de VPN està adreçat a tot el PAS i PDI de la UB, i permet connectar-se als recursos interns de la UB des d’internet.

També es permet accedir a VPN des de wifi/eduroam. Per utilitzar-lo, cal estar connectat a internet. Només el primer cop caldrà instal·lar-se un programari: el client GlobalProtect.

L’antic servei VPN deixarà d’estar actiu el pròxim 15 de desembre. Per tant no funcionarà la connexió a l’antic servidor vpn.ub.edu ni els clients de VPN (Pulse Secure i Network Connect) per connectar amb el nou servei vpnub.ub.edu.

Per saber més sobre aquest servei i la instal·lació dels nous clients, consulteu la pàgina d’ajuda del nostre web.

Per qualsevol dubte, problema o malfunció, contacteu amb el PAU.

Estafa per correu simulant “Sextorsió”

Hem tingut notícia de correus fraudulents que han arribat a alguna bústia del correu electrònic corporatiu de la UB.

Es tracta de correus que tenen l’objectiu d’enganyar i extorsionar a l’usuari amb un suposat enviament  d’imatges i vídeos de contingut sexual a tots els seus contactes si no realitza un pagament en bitcoins en un termini curt de temps.

Suposadament, aquests vídeos i imatges haurien  estat gravats mentre l’usuari visitava pàgines amb contingut pornogràfic.

Els missatges normalment estan en anglès, però també poden estar escrits en castellà. De vegades, en el cos del missatge s’inclou una contrasenya que pot ser (o no) de l’usuari per donar-li més veracitat a l’amenaça.

Què has de fer si has rebut un correu d’aquest tipus?

  1. Contacta amb el PAU i fes-nos arribar el correu per prendre les mesures de seguretat necessàries.
  2. No contestis al correu electrònic, perquè això serveix als ciberdelinqüents per saber si el compte de correu està actiu i poder enviar nous correus fraudulents en el futur. Esborra’l.
  3. Si en el missatge hi ha una contrasenya i correspon a una que fas servir per accedir a qualsevol lloc, canvia-la immediatament.
  4. No paguis cap quantitat de diners als extorsionadors.
  5. Si per qualsevol motiu has accedit al xantatge i has realitzat el pagament, has de reunir totes les proves que puguis (com ara captures de pantalla, missatges, correus, etc.) i contactar amb la policia.

Què has de saber?

  1. Els ciberdelinqüents no han sostret cap contrasenya de la UB.
  2. Els equips personals de la UB no han estat infectats amb cap mena de codi maliciós per aquest fi.
  3. En tractar-se d’un intent d’estafa, el teu equip no ha estat infectat, no s’han aconseguit cap dels teus contactes, ni existeix cap vídeo o fotografia.
  4. Entra a la pàgina web https://haveibeenpwned.com/ i introdueix la teva adreça de correu, comprova si ha estat compromesa i a través de quina aplicació o lloc.

Exemple de correu

Per saber-ne més