El virus CrytoLocker és un programa maliciós de la família dels troians. Arriba als nostres ordinadors mitjançant un correu electrònic i ens “segresta” les nostres dades si tenim el sistema operatiu Windows.

Fa servir enginyeria social, és a dir, el correu sembla normal i a més d’un emissor de confiança. El cos del missatge ens informa d’un petit problema que podem solucionar clicant en un enllaç. Es descarrega un programa i aquest és el que s’apropia dels nostres fitxers. S’instal·la en el sistema i comença a xifrar els nostres documents. Quan acaba, mostra un missatge demanant diners per enviar-nos la clau i recuperar els documents originals.

                            Correu exemple amb un enllaç que conté el virusEs conegut des de l’any 2013 pels fabricants d’antivirus, però sempre hi ha versions noves que fins que no surti la detecció efectiva per part del fabricant d’antivirus, es propaga i fa la malifeta. Amb aquest virus en concret, tenim un problema afegit. Encara que l‘antivirus el detecti, si ha xifrat els nostres arxius, aquest son pràcticament irrecuperables. No hi ha garanties que pagant ens enviïn la clau per desxifrar els arxius. El sistema de xifratge fa que sigui impossible recuperar-los de forma manual provant claus. La solució és tenir còpies de seguretat dels nostres arxius. Aquestes còpies han d’estar fora del nostre ordinador: discos durs externs (no connectats en el moment de la infecció), discos com CD, DVD, etc. i discos durs en altres ordinadors.

Us passem un enllaç amb informació sobre un servei que, en versions anteriors, ha permès recuperar gratuïtament sistemes xifrats pel ransoware cryptoloker,  ofert per l’empresa FireEye.  Per aquesta versió no hem pogut comprovar si és funcional.

                               Pantalla exemple quan estem infectats pel virusLes nostres recomanacions són fer còpies de seguretat de les nostres dades, mai clicar a enllaços de correus que no hem sol·licitat, visitar pàgines segures i de confiança, descarregar fitxers de llocs segurs, tenir un antivirus a l’ordinador, activar el tallafocs de Windows com a mínim (si tenim coneixements avançats, podem instal·la un més potent), no treballar amb el codi d’administrador ni navegar per internet amb aquest codi i per últim, tenir sentit comú en l’ús de l’ordinador igual que el tenim a la resta de les nostres accions.

En cas que l’equip estigui afectat per aquest virus, obriu incidència amb el PAU .

Per saber-ne més:

• Informació addicional  de Sophos sobre virus i troians que xifren les dades
• Informe detallat de Sophos sobre els nous virus que xifren dades i demanen rescat
• Web detallada amb informació sobre aquesta última versió

El passat mes d’octubre es van presentar els resultats de l’estudi anual que l’institut Ponemon porta a terme anualment per avaluar el cost del ciber-crim sobre les organitzacions, l’eficàcia de les mesures que es prenen per al seu control, i la tendència de les variables analitzades.

Entre els punts més rellevants de l’estudi d’enguany, i sempre des del punt de vista d’una organització educacional i de recerca de grans dimensions com és la UB, tenim:

• L’impacte econòmic del ciber-crim sobre les organitzacions continua augmentant (un increment del 90% des del 2009) però no afecta per igual a cadascuna: el sector energètic i el financer són els que acusen més pèrdues, mentre que el de la salut és el que menys. El sector educacional i de recerca es troba en el grup dels menys afectats.
• El nombre de ciber-atacs que s’arriben a concretar per companyia i per setmana també augmenta:
  • 2014 – 1,7
  • 2013 – 1,4
  • 2012 – 1,3
•  Sens dubte, el tipus de ciber-crim que més dany fa és el que es du a terme des de dins de l’organització, més que els atacs provinents de l’exterior. L’única manera de mitigar aquest dany és recorrent a l’ús de tecnologies específiques de seguretat: controls perimetrals i tallafocs, eines de prevenció de pèrdua de dades, sistemes intel.ligents de seguretat, eines de gestió automàtica de polítiques, etc.
• Les organitzacions amb major nombre de llocs de treball (>20.000), evidentment, són les que tenen les pèrdues econòmiques més grans en aquest escenari però, sorprenentment, les organitzacions més petites (sobre els 1000 llocs de treball) són les que tenen la ratio “pèrdua econòmica / lloc de treball” més elevada.

Tipificació emprada per als ciber-atacs

• L’impacte econòmic d’un ciber-atac augmenta amb el nombre de dies que l’organització empra en contenir-lo. Aquest nombre de dies depèn del tipus d’atac; s’ha registrat un màxim de 58 dies i un mínim de 2 o 3.
• Quan s’analitza l’import econòmic que les organitzacions destinen a les 6 capes de seguretat de les TIC (xarxa, dades, aplicacions, recursos humans, recursos físics i màquines-host) el resultat sorprèn: per què s’inverteix tan poc en la capa d’aplicacions, que hauria de ser la més resistent i tant, en comparació, en la de xarxa?

Durant la ronda de preguntes van preguntar al ponent, en Larry Ponemon, Ph. D., per “l’atac que més cal témer”. La resposta va ser la “SQL injection”. L’autor de l’estudi considera que aquesta modalitat d’atac amb la qual es fa executar codi maliciós contra una base de dades SQL està a l’arrel d’un volum molt significant de la totalitat dels ciber-atacs.

Per saber-ne més visiteu la web

Aquests dies, lamentablement, han sigut notícia als mitjans de comunicació paraules del nostre vocabulari com “denegació de servei”, “tràfic”, “hacktivisme”, etc., i hem pogut veure el desenvolupament temporal dels ciberatacs del 8N i del 9N en uns mapes molt i molt descriptius.

Ens sembla, doncs, oportú donar una mica d’explicació i comprensió sobre aquests termes tècnics, però primer de tot volem deixar esment de que el ciberatac no va afectar ni a les infraestructures ni a les dades de la UB.

• DoS: Denial of Service o Denegació de Servei. És la modalitat d’atac més barroera, gens sofisticada. Consisteix en fer un nombre ingent de peticions a un servei (demanar una pàgina web, p.e.) o a una màquina amb el propòsit de que el servei “caigui” o “es pengi” per no poder atendre-les a totes. Es diu que aquest atac és de “quantitat, no qualitat” però així es pot deixar inservible temporalment una web o l’ordinador/s que l’allotja o la xarxa que feia possible el servei o fins i tot trencar el sistema i arribar a dades sensibles.
• DDoS: Distributed Denial of Service o Denegació de Servei Distribuïda. És l’atac que es va patir el 9N. L’atac es fa des d’un nombre elevat d’ordinadors zombis (veure més avall), que estan sincronitzats per llançar simultàniament un DoS contra l’objectiu, amb la qual cosa s’aconsegueix engrossir l’atac. Això es reflecteix en un increment substancial del tràfic d’Internet cap a l’objectiu de l’atac.
• Tràfic: el volum de dades que “viatgen” per les xarxes de comunicacions en un moment determinat, en direcció a tal o qual destinació. Està completament monitoritzat: es fan mesuraments a cada moment i es poden graficar o visualitzar per fer-les més comprensibles.
• Ordinador zombie: ordinador control.lat per un programa maliciós que el converteix en esclau del hacker. Un col.lectiu d’ordinadors zombis constitueix una Botnet (literalment, “xarxa de robots”).
• Hacktivisme (Wikipedia): acrònim de hacker i activisme. Utilització no violenta d’eines digitals il.legals o legalment ambigües perseguint fins polítics.

Els mapes d’atacs que hem vist a la televisió els elabora una col·laboració entre entitats anomenada Digital Attack Map. Visualitzen el tràfic format per atacs DDoS entre els diferents països del món i són molt fàcils de comprendre i fer servir: si moveu el cursor inferior fins al 9 de novembre, veureu clarament que aquest dia es va incrementant de manera alarmant el tràfic distribuït que entrava en Espanya, identificat posteriorment com un 90% d’atacs contra les webs de la Generalitat i d’altres entitats de Catalunya.

L’equip de resposta a incidents de seguretat de la informació del Centro Criptológico Nacional (CCN-CERT) ha publicat el document Ciberamenazas 2013 y Tendencias 2014, disponible en el portal CCN-CERT per a usuaris registrats i que conté una anàlisi internacional i nacional de les ciberamenaces detectades durant l’any passat i la seva evolució prevista per a enguany. Per ciberamenaça entenem qualsevol event que pugui atemptar contra la seguretat de sistemes, serveis (informàtics), ja siguin presents al ciberespai o assolibles a través d’aquest.

Al llarg de més de cent pàgines el document estudia les dades mundials i nacionals registrades al 2013, per posteriorment identificar les principals tendències en ciberatacs d’enguany.

Infeccions per país d’origen
(Font: Lavasoft Security Bulletin 2013)

Entre les tendències negatives es destaquen:

• Ciberespionatge i APT (Advanced Persistent Threat: atacs subrepticis i continuats contra nacions o organitzacions per motius polítics o econòmics)
• Codi maliciós amb un augment significatiu en mòbils, sistemes de control industrial, televisors, càmeres de seguretat, equips mèdics, tabletes, domòtica…
• Exploits (aprofitament de les vulnerabilitats d’un ordinador) i botnets (ordinadors zombies sota control remot)
• Atacs contra sistemes operatius i navegadors
• Watering hole (abeurador: infectar la web que més visiten un grup d’usuaris) i més atacs en el cloud computing (informàtica en núvol)
• Hacktivisme (utilització d’eines digitals amb fins polítics)

Com a contrapartida, també s’han identificat tendències positives en les organitzacions durant aquest 2014:

• Ciberseguretat: increment de l’ús de mecanismes de xifrat
• Més i nous serveis de ciberseguretat amb l’obligació legal d’oferir més transparència i certificacions
• Més implicació institucional amb l’increment de cooperació entre Agències Nacionals de Ciberseguretat i Cosos Policials

Aquestes previsions fan més èmfasi en els països del nostre entorn occidental.

En el cas de l’Estat Espanyol, a l’informe s’aporten dades del 2013 sobre els incidents gestionats pel CCN-CERT contra les Administracions Públiques, empreses i organitzacions d’interés estratègic nacional, tot arribant a la xifra de 7.260 incidents gestionats al 2013, un 82% més que a l’exercici anterior.

Com a política de seguretat, el personal de la UB està obligat a canviar-se la contrasenya com a mínim cada 6 mesos. Des d’avui,  dilluns 17 de febrer, el canvi de contrasenya ja és efectiu per a tot el personal de la universitat: PAS, PDI i personal extern.

Aquesta política de seguretat s’ha anat aplicant de manera esglaonada com vam informar en anteriors notícies:

• https://bloctic.ub.edu/canvi-de-contrasenya-activat-a-mundet/
• https://bloctic.ub.edu/canvi-de-contrasenya-activat-en-mes-centres/

Us fem un resum dels punts més importants recollits en les dues notícies anteriors i que convé recordar:

La UB, com administració pública, està obligada a aplicar l’Esquema Nacional de Seguretat i una de les  regulacions que contempla l’anomenat Esquema és que totes les contrasenyes han de ser “dures” (formades per una combinació de lletres, números i símbols), i han de tenir una vigència màxima de 6 mesos. L’incompliment d’aquesta normativa preveu auditories i sancions econòmiques.

Pantalla exemple de notificació de canvi de  contrasenya

Quan canviem la contrasenya d’entrada a la intranet, ens canviarà automàticament la contrasenya del correu electrònic però hem de tenir en compte què, a tot arreu a on tinguem configurat el correu, també haurem de fer aquest canvi:

• Si tenim instal·lat un client de correu com Outlook o Thunderbird.
• Si tenim un dispositiu mòbil amb el correu configurat.
• Si tenim el correu en l’ordinador de casa o en un portàtil.
• Si tenim un dispositiu mòbil connectat a la xarxa sense fils de la UB (eduroam)
• Si tenim discos de xarxa

A més, per a la nostra comoditat, l’usuari Windows de l’ordinador té la mateixa contrasenya que la de la intranet i d’aquesta manera només cal que introduïm la contrasenya un cop quan engeguem l’ordinador. També haurem, doncs,  de canviar la contrasenya de l’usuari de Windows.

Per a més informació consulteu les pàgines sobre la política de contrasenyes i seguretat de la informació