Ayer un ransomware nos afectó en unos equipos de red, como a muchas otras empresas de los más de 70 países que han sido detectados ya. El ransomware tiene como objetivo cifrar los archivos del equipo infectado para pedir un rescate vía BitCoins, en este caso 300 USD ( no tiene como objetivo robar datos) , y se distribuía con un dropper enlazado en un correo electrónico que no era detectado por muchos motores de antimalware. A pesar del ruido mediático, este ransomware no ha conseguido mucho impacto real.
Comentarios
Artículo patrocinado por Telefónica.
#4 Esa empresa de la que usted me habla lleva toda la vida contratando a contratas de subcontratas que a su vez contratan a contratas de subcontratas creando los puestos de trabajo más precarios posibles jamás vistos en un país del primer mundo.
La verdad es que es llamativo que un tipo aparentemente majete pueda colaborar con semejante engendro.
#28 Hay que resaltar que Telefónica cobra a las subcontratas por los puestos de trabajo que ocupan los externos en Distrito C.
#28 Chema va de majete pero no lo es. Bueno, por lo menos a mi me parece bastante prepotente, y no pierde (o perdía) oportunidad para echar mierda sobre lo que no le gusta (software libre) y ensalzar compañías como Microsoft o telefónica.
#28 "Voy con gorro guay pero quiero al dinero tanto como tú."
Yo tenía entendido que lo había contratado telefónica para que estas cosas no pasaran, pero se ve que es un funcionario, uno que pasaba por allí. Para mi que fue un fichaje mediático. Si por la tele se ve bueno, que todo el mundo sepa que está con nosotros.
Algo le reconcomería cuando sin ser de su responsabilidad aborta las vacaciones.
#84 A lo mejor no te has parado a leer el artículo entero, pero dice lo que cualquier experto en seguridad informática (o incluso con que sepa un poco te vale): nadie puede asegurar que un sistema está 100% libre de fallos de seguridad. Ningún sistema informático está libre de errores. El que diga eso es que no tiene ni idea de informática.
#84 Precisamente por ser mediático quedaría fatal que se la sudase y siguiera de vacaciones como si nada, al margen de que sea su responsabilidad o no.
No se de Telefonica de ahora, pero TID hace 10 anios tenia una red que era un cachondeo. Yo desarrollaba en un Linux (RedHat, luego Debian) desde el 2003 al 2009 en una contrata sin que nadie me dijera nada, corria mi propio sistema. Durante un par de anios corri un snort y habia de todo. Pero nadie tenia ni idea de que estaba haciendo. Telefonica e Indra tienen un problema gordo con la seguridad, e Indra lo tenia menos (por lo menos hasta que me fui el el 2012).
Por un lado creo que la respuesta del senior Alonso deja que desear. Querria saber si hay sistemas criticos corriendo en servidores windows y si han sido afectados (de mi epoca puedo mencionar el SGTWEB que controlaba las centrales de telefonia, el SERES y el MECA). Recordemos que esto son infraestructuras criticas. Querria saber si los repositorios de codigo han sido comprometidos, porque hay un huevo de proyectos de telefonica que nos afectan a todos que pueden haber sido "modificados" potencialmente. Seria cojonudo que dentro de 5 anios nos enteremos que todo esto ha sido para meter un par de lineas de codigo en algun sitio y todos los que se llaman "Perez" llevan pagando 5 euros mas cada mes sin saber por que. Tampoco me da mucha confianza que los comentarios en la pagina sean del nivel de sexo oral sin condon salvo algunos. Algo de autocritica tiene que haber. Ya nos sabemos lo de que la seguridad es un proceso y todo eso. Pero un analisis del hecho de que esto es una cagada y un marron de proporciones biblicas que solo se ha salvado porque Indra que es contratista de armas y tiene el SACTA que controla el tafico aereo del flanco sur de la OTAN y no ha caido. Si no estariamos en modo: "MECAGONTOOOOO"
Por otro, el no tiene la culpa directa, pero todos nos comemos los marrones aunque no nos toquen directamente, por verguenza torera, y por lo que cobramos. Yo he visto sistemas internos de bancos en varios paises con cosas que no puedo contar por contrato. Pero no puede ser excusa para: "No ha pasado nada", cuando es que pasa algo? Cuando vengan los zombies aporreando en la puerta del piso?
#8 Estoy de acuerdo que la respuesta es una mierda. Pese a que se haga y se asuma como algo normal lo de retrasar los parches... lo cierto es que sigue siendo una cagada que tus aplicaciones sean una basura que es incapaz de mantenerse estable en un sistema operativo.
¿Segmentación de red? ¿En Telefónica? Si le dan toda su seguridad a un firewall perimetral...
#14 Aaaaah..... da gusto leeros cuando el nivel de uno es "Lector de menéame y reddit en tableta"
#22 ¿A que te refieres?
#30 A que os leo y me suena a chino todo.
#14 las empresas no terminan de asimilar que los ataques pueden venir desde dentro, desde su propia red interna, y que no solo de firewalls vive el hombre.
Lo cierto es que todas las empresas que he conocido tienen redes internas inseguras.
#8 Deberías utilizar algún sistema operativo más moderno, que soporte la ñ.
#43 Te ha faltado el
¿o no?
#8 Si conoces como funcionaba TID y como funciona Telefónica sabes perfectamente que si un repositorio ha sido comprometido fa igual, porque hasta dentro de un año o dos no subirá a producción lo que se escriba allí.
Lo que si ha pasado, porque lo he visto hoy, es que en muchos departamentos están los PCs apagados y los sistemas funcionando en modo piloto automático. Y no menciono sistemas concretos ni departamentos concretos porque luego nos conocemos todos,y esos sistemas concretos que mencionar durante una temporada han formado una parte importante de mi actividad.
#8 Totalmente de acuerdo pero te digo yo que no dudaria de "una linea de codigo" que diga que todos paguen 1 o 2 centimos mas al mes (por poner una cantidad), no se notaria, pero serian millones.
#23 aquí en menéame todo es muy sencillo. Aplicas parche y arreglado (como si fuera tu pc de casa, véase #26 que no cae en la cuenta de que aquí hablamos de una infraestructura con decenas de miles de pcs conectados y cientos de sistemas que dependen de la misma red).
O #8, que se remonta a 10 años atrás y sobre telefónica I+D y va dando lecciones.
Todo muy documentado.
"No ha conseguido mucho impacto real"
Solo ha mandado a todo dios para casa ¿Lo descontarán de los sueldos?
#3 Y paralizado 16 hospitales del Reino Unido; nah, mamandurrias.
Vaya mierda de excusa, donde yo curro cuando salió el parche para ésto se mandó un email diciendo: Parchead YA, también se hizo con el de Word del otro día. El equipo de seguridad son solo dos personas, pero están al tanto de lo que parchea cada cosa y estos daban bastante miedito.
SwiftOnSecurity es una cuenta que tiene 182k followers y TODO el mundo de seguridad sigue twiteó que iba
a pasar ésto el 18 de Abril:
> Oh boy ransomware is going to rek shit with MS17-010. Entire domains down the drain.
En serio, no hay excusa si eres una empresa tecnológica y tienes a más de una persona haciendo seguridad.
#26 aunque también puede que como responsable de seguridad pidas que se parcheen y te digan: "Lo siento, este equipo está en producción y no podemos arriesgarnos a jugar con parches".
#67 Depende de como funcionen las cosas en la empresa en cuestión. En la mía somos pocos, menos de 500, y la gente de seguridad tiene autoridad (y responsabilidad) absoluta. Solo se mandan emails de actualiza *YA* en casos muy contados y la gente se lo toma en serio.
#72 ¿y por qué no utilizáis SCCM o equivalentes?
#75 Me suena que estuvieron considerándolo un tiempo (no System Center, otro) pero lo descartaron por algún motivo que desconozco.
#78 ya te digo yo el motivo: 💰
Las excusas de Chema Alonso por no haber aplicado un parche que tiene 3 meses.
#11 El parche no tiene 3 meses sino que hace 3 meses Microsoft avisó de esa vulnerabilidad.
#15 No, pero tiene dos meses, se corrigió el 14 de marzo.
#11 ¿Por qué coño iba él a aplicar ese parche? Eso no es asunto suyo, él está en asuntos de análisis de datos, no en seguridad.
#11 Si tú trabajas en una empresa vendiendo bolis, porque va a ser culpa tuya que las sillas de oficina que también pueda vender tu empresa estén oxidadas?
#34 entonces no digas nada, pero no salgas diciendo que aquí no ha pasado nada y que es más ruido que otra cosa para defender a una empresa que hace las cosas mal, incluyendo la seguridad, porque se dedica a subcontratar todo a cárnicas.
Edito:
Vale, no sé si la seguridad está subcontratada, pero hablo en general. Me refiero a que trata de defender a su empresa, deficiente, tratando de sacar argumentos donde no los hay.
#71 si ha hablado, será (suposición mía) porque le habrán mandado muchos mensajes en redes sociales que España es el país de la envidia y mientras va bien nadie habla, pero cuando va mal salen "expertos" a decirte que eres el peor y como hay que hacer las cosas (seguro que en tú trabajo te pasará) y él habrá hablado porque tendrá que defenderse y si estaba de vacaciones bien por él, no tiene que decir cuando coge o cuando no. Además que ya ha quedado claro que lo que ha pasado no es responsabilidad suya. Un saludo.
Me parece muy bien el articulo pero no esta siendo objetivo porque es parte implicada.
#13 Yo que tu esperaría una semana. La desesperación por perder los datos va creciendo conforme pasa el tiempo.
Vamos,que los parches que un usuario normal tiene a su disposición en una semana,en una empresa tardan meses y durante ese tiempo está expuesta a todo tipo de ciber-ataques...Mucha tranquilidad no da sí es ese el caso.
#6 me estoy partiendo el eje de los que por defecto desactivan windows update, me pregunto, si realmente ha sido por el exploit de la nsa cuantos windows xp no se conectaran nunca mas a internet.
#9 Al final han sacado parche hasta para XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
#16 curioso para W7 no sacaron nada
#58 Para W7 ya estaba disponible aquí: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
#16 El parche será un triste:
ECHO ipWEBvalida dominiochungo >> %windir%/system32/drivers/etc/hosts
#9 Primero tienes que darle a un link que te viene por email, para que se descargue el dropper. Sin eso no hay manera de que se te meta en la red y aproveche la vulnerabilidad. Otra cosa son los otros ataques que puedan surgir a partir de ahora. Seguro que cada vez le hechan más imaginación.
#18 Cuando tienes un red con 200 o 300 usuarios es bastante fácil que alguno le de al link del correo.
#35 Estoy de acuerdo pero lo que quería decir es que en este caso no se transmite directamente a todos los ordenadores de Internet que están conectados sin parchear, sino que primero un usuario necesita abrir un email y luego infecta a los de la red local. Pero si, es un peligro no tener los equipos actualizados, tal como demuestra lo ocurrido.
#76 Sí y menos mal, de esos desde el Blaster y alguno más hace mucho que no aparece ninguno
#86 A miles de dispositivos IoT se les metió hace poco el virus Mirai. Pero la verdad es que si tu tienes un PC con Windows XP solo con sp3 a pelo es raro que se te meta nada solo por estar conectado. Otra cosa es que descargues archivos dudosos o navegues por páginas llenas de anuncios raros. Evidentemente eso es peligroso y en una empresa seria un suicidio. Pero mucha gente quiere seguir usando sus PC's viejos y su Windows pirata. La realidad es la que es.
#92 No sabía lo del Mirai, gracias por la info!
#76 eso te repito que es falso: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
#18 arranca... si eres target estas jodido a forro, da igual lo ke agas para salvarte
#39 En este caso dudo que telefónica fuera el objetivo. Habrá sido casualidad que les entrara. Si no, como se entiende que pidieran solamente 300 dólares en bitcoins?
#80 ¡tresientos btc por computadora! Y el vector de entrada es el mismo siempre, los chinos enviavan un archivo a un luser y que lo abra, eso susede todos los dias, pero este además tenía bicho que se propagava a forro.
#91 Estas confundido, en el pantallazo del virus se ve claramente que pide 300 dólares en BTC. No 300 BTC que vendrían siendo 480.000 euros al cambio de hoy. En este caso el ransomware no iba dirigido a Telefónica sino a cualquiera que abriera un email de spam. De hecho por eso se han dado casos en tantos paises. Y si en algunos casos los ransomwares van dirigidos a un objetivo pero este no era el caso.
#99 si, disculpeme confundi btc con USD, quise desir que esa cantidad la piden por cada computadora i fueron miles. Pero no pagaran por todas, solo por las que tengan informasion sensible.
Ese email no fue de spam fue enviado a asalariados de grandes empresas de todo el mundo porque savian que afectaria al mayor numero de computadoras posibles por propagarse por LAN... Teléfonica es obejtivo con muchas otras más, pero no fue un envio de correos sin sentido, iban dirigidos para la persona, con nombres i apeyidos i solo nesesitas que uno de la organisasion lo abra.
#18 se explota la MS17-010, de mail nada. Eso del dropper no lo ha visto nadie, y en todo caso sería el "paciente 0". Eso se lo inventa, o al menos nadie ha tenido acceso a esa versión del malware.
Lo de la MS17-010 es serio: es una ejecución d código remota no autenticada. sólo que entre en la red se propaga a muerte a cualquier windows no actualizado desde el 14 de marzo.
#96 Si en la red pero no en Internet. Y por cierto tienes más abajo un enlace a un pantallazo del email en cuestión.
Primero envían un email masivo con un enlace a un dropper. Luego alguien abre uno de los emails. Le da clic al enlace. Se descarga el dropper. El dropper descarga el virus. El virus encripta los archivos y se envía a otras máquinas de la misma red interna usando la vulnerabilidad MS17-010. Vuelve a empezar en otro PC.
#9 aguanta el carro, dijiste XP... Eso no utilisa ia jajajaja
#36 mas de lo que te imaginas.
#6 Yo doy fe en lo que dice de que un parche de windows puede tener peligro. En la antigua empresa donde trabajaba se frieron los equipos de un departamento de IT por un parche de Windows y una incompatibilidad de software, hubo que formatearlos.
Eso sí, hay parches y parches, y los parches de Seguridad deberían tener prioridad sobre el resto.
#32 Lamentablemente sucede que lo que algunas vulnerabilidades son utilizadas como funcionalidades en algunos desarrollos de aplicaciones internas. Es decir, que utilizan características poco seguras del sistema ( como ha pasado con directx). Cuando Microsoft por fin parchea esas vulnerabilidades las aplicaciones dejan de funcionar.
#32 Desde que uso windows lo unico que actualizo es el antivirus.
De momento ningún problema.
#83 De momento. Si tienes cosas importantes en ese ordenador más vale que vayas haciendo copias de seguridad.
#32 No te lo discuto,pero una comprobación no debiera tardar más de dos meses. (que estamos de acuerdo vaya)
#88 Te va a dar un jamacuco cuando te enteres de cuando mueren por los recortes, no por un día sin buscaminas.
#93 No mueren a nivel mundial por los recortes en España, aparte, por un lado, en los hospitales las redes internas no se utilizan exclusivamente para jugar al buscaminas, si no para cosas más serias (cree el ladrón que todos son de su condición) y por otro lado, no es el tema discutido aquí, ya sabemos todos que los recortes no son buenos para nadie, excepto para el bolsillo de alguno, toma majo
#98 Si está claro, pero a mi me suena a buambulancia, al famoso "error informático" que usan para cubrir que son unos incompetentes.
Ya me lo estoy viendo venir... "El virus ramonware hace que las listas de espera de la SS aumenten y que suba el paro y el pan."
#13 pues si , es muy poco dinero para un ataque, creo que es un ataque encargado
que se use bitcoins para la delincuencia cuando la delincuencia tiene otros métodos de conseguir dinero sin poder seguir la pista como "el giro postal" . creo que hay algo que esta relacionando los Bitcoins con la delincuencia para desprestigiarlo
incluso "el principe nigeriano" saca mas dinero en menos tiempo
#37 no creo que haya sido por el botín. Para mí, fue una demostración de fuerza.
#100 puede, pero creo que el Bitrcoins esta chocando con el mercado mundial de divisas, y estos saben que si van directamente por el van a darle mas valor, así que primero lo dejan crecer normal para que se confíen solo un poco y después lo desprestigian para destruirlo, de esta manera también arrastra sus inversores a la ruina. la mejor forma de desprestigiarlo es relacionarlo con la delincuencia, terrorismo, pedofilia y tratas de humanos,en los próximos años vamos a asistir el primer intento de destrucción del bitcoins. solo espero que me equivoque
si se saldrá de los choques saldrá muy fuerte, si no la confianza caerá y perderá todos quien tenga esta divisa.
Link a la billetera: https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
#1 #teahorrounclick
#1 Búsque, compare y si encuentra algo mejor...¡Cómprelo! y el hombre de Colón !
#5
#1 no han llegado ni a los 100 pagos. Que birria de ataque.
#13 Pues para ser una birria de ataque ha paralizado a muchas empresas del IBEX35 y a otras muchisimas más a nivel mundial, incluso ha causado muertes en hospitales. No todo se mide en dinero recaudado, el daño hecho es muy grave.
#54 ¿Muertes en hospitales? Afirmaciones tan serías requieren al menos un link.
#81 La red interna de los hospitales de la NHS en Reino Unido comprometida [ENG]
La red interna de los hospitales de la NHS en Rein...
theguardian.comMismamente, ¿Tu crees que por algo así no ha muerto nadie? Iluso. Simplemente el no poder consultar las alergias de una persona inconsciente hace que muera por penicilina. O retrasar una operación de apendicitis, puede hacer que mueras por peritionitis.
#115 Si, en #88 y #89
#88 A mi es que no me gusta creer cosas. Prefiero las cosas objetivas y con numeritos a ser posible.
Víctimas un día después (por el momento): 0.
CC #81 #121
#88 Aun no has contestado.
Yo he trabajado en un hospital y los historiales también se guardan en papel.
#81 https://www.reddit.com/r/worldnews/comments/6arkxt/hospitals_across_england_hit_by_largescale/dhh2ly9/
> I'm a doctor in one of the affected hospitals, a major trauma center in London. Everything has gone down. No blood results, no radiology images, there's no group specific blood available. They've declared an internal major incident, the hospital is diverting major trauma and stroke patients. All elective surgery was cancelled from about 1pm. We're not doing anything in theatre that's not life or limb threatening. There will almost certainly be deaths as a result of this. I sincerely hope whichever cunts were responsible for this get utterly fucked by GCHQ.
Tiene que ser complicado responsabilizar de una muerte a que el sistema esté caido
#89 Muertes en potencia.
#104 Aham, en España no he oido ni leido nada de infección en hospitales, así que dificilmente va a afectar a la sanidad pública, quizá a la privada aunque no haya noticias al respecto tampoco. Y después del relato de #89, que me digas que es una "buambulancia" dice mucho de tu comprensión lectora. Que me digas que van a subir las tarifas de telefonica, las comisiones de los bancos y la factura de la luz para cubrir los gastos derivados de esto, aparte de el paro de informáticos dedicados a la seguridad (o no, porque igual es que estaban en paro antes de esto y ahora deciden contratarlos) vale, pero ¿Las listas de espera en los hospitales? lo dudo muchisimo, al menos en la seguridad social.
#54 ¿Muertes? ¿Tienes fuentes?
#13 Hora mismo va por 18.000€ recaudados entre las tres direcciones BTC, y no se a ti, pero a mi 18.000€ me descuadran el mes...
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
https://blockchain.info/es/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
#13 hay mas billeteras...
Chema en su linea... podria explicar por que al infectar un equipo se puede mover lateralmente por toda la red, pero para eso deberia saber que significa eso
#13 mira #137
#13 He escuchado comentarios tontos en mi vida, pero este parece de los más tontos que quizás pueda llegar a leer.
#1 Las otras dos
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
https://blockchain.info/es/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
#1 Yesa es solo 1. Hay 3. Ya van por los 101 pagos, 23100 euros. Pero en las próximas 48horas seguro que es cuando sube pero bien
En mi empresa tenemos vetados un número de parches vetados por uno de nuestros clientes porque de no hacerlo, no funcionan correctamente sus aplicaciones. Cada vez que vamos a instalar parches tenemos que hacer pruebas porque, a veces, somos nosotros mismos los que tenemos que avisar al cliente de que el parche XXXX tiene incompatibilidades con cierta aplicación concreta.
En su momento, cuando actualizábamos del tirón, y Microsoft había metido 30 parches de golpe, nos daba en toda la cara, y en mi departamento teníamos que ir desinstalando parches uno a uno hasta dar con el que generaba el problema. En estos casos, dichos parches no eran críticos, uno como el que generó el problema de ayer, debe instalarse sí o sí.
Como bien dice uno de los comentarios, si no tuvieran tanto ordenador de sub sub contratado contectado a su red, la cosa habría sido distinta.
Las charcuteras te dan un ordenador de lo más gitano, sin antivirus, que no se va a actualizar nunca. No es lo que explica Chema de que no les ha dado tiempo a actualizar. Hay ordenadores que directamente no se actualizan nunca, y están conectados 40 horas a la semana a la red de Telefónica.
Ayer envié un escombrillo al respecto con algunos datos interesantes:
Vamos a jugar a las suposiciones...
Vamos a jugar a las suposiciones...
Y perdón por el "Wasinton" del primer comentario...
Estoy leyendo desde ayer las tremendas criticas que están recibiendo por no instalar la actualización/parche que estaba publicada desde hace 2 meses.
¿En serio, de los miles de post que he leído en meneame y otras webs, nadie conoce / se acuerda las actualizaciones que microsoft termina retirando de win update porque joden la propia instalación de win? una simple búsqueda de google os lo confirmará
Es que parece que quienes no lleva las actualizaciones instaladas al segundo son gilipollas. En gran empresa me parece más que lógico que las cojan con pinzas y condón y comprueben su correcta integración.
Que sepáis que CAGADAS de microsoft con las actualizaciones de windows las ha habido y las habrá en el futuro.
Y yo sólo soy un simple técnico en un SAT de barrio.
PD: Reconozco que aunque trabaje en el sector cada vez soy mas ludita y me esta costando adaptarme a la externalización de hardware en la nube. Al final, con tanta nube de los cojones pasa lo que pasa. Llevan años comiendoles la oreja a las grandes y medias empresas para que externalizen servidores y puestos de trabajo en las infrestructuras de telefónica, con azure de microsoft y otros servicios similares. Cuando peten como paso ayer a ver que hostias hacen.
alguien tiene pantallazos del mail(s) en cuestion?
#29 http://www.mailguard.com.au/blog/global-cyber-attack-wannacry-ransomware-creates-havoc
#68 Gracias, lo estuve buscando ayer y no fui capaz de encontrarlo. Es increíble como los usuarios son capaces de caer de esta manera. Ese email huele a virus a la milla.
#68 ¿Cuando la gente aprendera a no abrir cualquier cosa?
Ayy dios santo. Cuanto capullo opinando sobre el mal hacer de chema alonso, como si él tuviera siquiera responsabilidad en lo ocurrido. Y eso que no me mola nada lo sectario con microsoft que es cara la galeria. Hice bien en dejar de ser sysadmin e irme a la programacion. Como para aguantar a tanto subnormal que se piensa que con el avast o un ubuntu ya estan seguros
#31 de quien depende la seguridad interna entonces? Del COO? Aún así algo de responsabilidad compartida si tiene, si se han comprometido datos de los que el es responsable
El problema es usar windows.
Yo desarrollaba para este sistema para empresas en el pleistoceno, los programas estaban hechos en visualbasic y librerias en C y eran para windows95 pero los sistemas se fueron actualizando hasta el windows XP sin problema, a partir de windows vista los programas ya no se podían ejecutar binariamente por decisión de Microsoft, y además abandonó el visualbasic para imponer el enjendro .net.
Ninguna empresa que usa estos programas ha podido actualizarse el windows (algunos van con maquina virtual pero no es lo mismo), simplemente no pueden permitirse rehacer esos programas.
Con Linux nunca jamás he tenido problemas, los programas siempre han funcionado con versiones nuevas de kernel y sistema, como máximo se ha tenido que hacer algún pequeño parche, y el control siempre lo tienes TU.
#61 el software noble es agnóstico de plataforma y puede ser compilado para lo que sea con poco trabajo.
Para mí algo que solo funciona en Windows o determinada versión de un SO sin un motivo justificado no está del todo bien hecho.
En general el software hecho en Linux no es muy dependiente de Linux, mientras que el software de Windows es muy dependiente.
Creo que es un problema de cultura en el ecosistema Windows.
Nada nada... ha sido un ataquito de nada, por eso los proveedores seguimos trabajando desde ayer para recuperar el desastraco. pero eh, ha sido muy localizado eh... sigan sigan, que aquí no hay nada que ver. Vaya huevazos gasta el Sr. Chemita. Supongo que le habrán aconsejado desde Comunicación para que escriba esa birria de entrada, en la que nos viene a decir, que él estaba de vacaciones que tenía pedidas de mucho antes y que lo ha dejado todo xq es así de buena gente. En el fondo, me da envidia, xq al resto de gente no nos dan esa puta opción.
Si si. Sólo uno. Claro
Me llama la atención, de entre los pocos anti malware que detectaban ayer esto, kaspersky lo hacía por considerarlo sospechoso. No soy ningún especialista (que venga alguien y me corrija si no es así), pero creo que eso dice mucho de kaspersky.
#60 y tambien de la comparativa de antivirus en donde los tres mejores antivirus no detectaban el malware y ya es la segunda vez que lo veo.
#60 Heuristica.
zzzzzz
"... es decir que la empresa sea ressiliance. " Ale, a usar un palabro, que queda mas guay, y encima usar la forma incorrecta. Dicho esto, y sin tener ni idea de quien es este tipo a nivel mediatico, lo que dice es bastante razonable.
#10 en teoría, a nivel empresarial, se admiten periodos de prueba de 2-3 semanas para confirmar que los parches nuevos no rompen nada de lo anterior (créeme, no quieres tener que hacer una vuelta atrás de una actualización en 10 o 15 mil equipos). Lo que pasa es que en las grandes empresas el ciclo en vez de ser de un mes (se publica el parche, se verifica y al mes siguiente se despliega) viene siendo de varios meses y sin poder corroborar que el despliegue es del 100%.
Además, se está cometiendo el error de medir el impacto sólo con lo que ha recaudado los malos. El impacto son las 4 horas que ayer estuvieron parados los miles de empleados de telefónica en las sedes, lo que valga la información que se ha perdido, el impacto a la imagen de la empresa (uno de los principales productos desarrollados por este señor se supone que te protege del ransomware, de forma que el que le entren en su casa es un problema reputacional muy grande) y el cambio de todos los equipos afectados que no hayan podido recuperarse. Además hay que sumar que, si se hacen las cosas bien, les va tocar revisar todas las máquinas de la empresa para verificar que no tienen muestras que no hayan saltado, y revisar cuanto tiempo llevaba la infección y porque no se ha detectado.
Por otro lado, también es un poco vergonzoso que estuviese más ocupado contestando a mensajes en twitter y a medios, confirmando cosas que hasta el momento eran meros rumores y que caen fuera del ámbito de telefónica, y, en general, metiendo el cazo hasta el fondo a nivel de comunicación.
#10 lo que dice es comunicación corporativa de "no ha sido nada y todo está bien".
Efectivamebte ha afectado a pocos puestos de trabajo, al menos donde yo estoy. Pero están todos apagados y tareas cotidianas que se deberían estar haciendo solo las hacen algunos que estaban a la última versión de parches. Otras personas están con estación de trabajo no no habituales donde todos los automatismos que tenían por ejemplo no funcionan.
Algún administrador de sistemas se debe estar "descojonando" con lo de "ayer" tras echarle horas.
#7 Está vez en mi empresa no ha pasado nada, pero hace cosa de un año y pico se coló un ransomware en el servidor de producción de IB3 encriptado más de 10.000 hojas de Excel (solo afectaba a los Excel ).
En media mañana estaba solucionado, "c:del/s *.xlsx" y restaurar la copia de seguridad, listo.
Hasta le pudimos echar la bronca al "culpable", todos los archivos encriptado estaban modificados por el mismo usuario e la misma hora, el usuario que habrio el correo infectado.
#25 Abrió.
#27 #38 #106 El autocorrector lo cambió por "habría", no me fije bien y sólo corregí la o. Podeis guardar la guillotina.
#25 HABRIO
#25 Me sangran los ojos tío
ABRIÓ
Un dominio de 10 euros, el freno inesperado al ciberataque en EE.UU.
AEDE: http://internacional.elpais.com/internacional/2017/05/13/estados_unidos/1494660056_269061.html#?ref=rss&format=simple&link=link
#44 no lo entiendo. ¿El dominio no estaba registrado antes? ¿Y no se puede saber a nombre de quién?
#74 Yo tampoco entiendo como se puede estar usando un dominio sin tenerlo registrado. Será que la intención del atacante era usarlo solamente como kill switch?
"en redes de empresas con la cantidad de tecnología que generamos diariamente en Telefónica"
"este ransomware no ha conseguido mucho impacto real" me quedo con esa frase del articulo. LOL
#65 unas 90k de maquinas afectadas, eso no es mucho impacto real a nivel mundial, lo que pasa que ha sido muy ruidoso por los objetivos.
Hasta aquí he dejado de leer: Corté mis vacaciones y me sumé a comité de crisis...
Como Técnico Superior en Mantenimiento Electrónico. Decir que el mantenimiento más importante existente ahora mismo es el mantenimiento preventivo el prever que puede haber un problema. Si es cierto que un parche, y más de Microsoft (todo hay que decirlo pero sus programadores a veces no se a que se dedican, cuando dan más problemas con un parche de los que arreglan) podía dar problemas, podrían haber evitado la infección, desactivando Samba o SMB, que dudo que les fuera tan necesario.
Por no hay cosa más idiota en materia de seguridad, que tener una ventana abierta o una conexión remota abierta si no es necesaria. No es llegar al nivel extremo de seguridad y paranoia de algunas personas. Pero se usan mucho las conexiones remotas para provocar y propagar infecciones. Y tener una abierta propicia eso. Es más un servicio de conexión remota sólo debería estar activado mediante demanda o de manera manual no de manera constante y que un fallo de seguridad propicie un ataque.
Por cierto es hora de exigirles a quienes crean productos, software,etc (y no vale la excusa de la complejidad del diseño de este) a que tengan un mínimo de calidad y seguridad. Por eso a pesar de lo que dije, me hace gracia que sólo se le eche la culpa al usuario o a la empresa por no haber paliado la situación. Cuando la realidad es que si el producto no tuviese esos fallos, en este caso el servicio SMB de Windows, la infección no sería posible.
Salu2
Joer cuanto experto en parches.
Yo soy programador, no sysadmin, y no sé mucho de Windows.
Solo diré que cada vez que actualizo mi debian me da ansiedad y eso que no suele fallar.
Si pienso en actualizar miles de equipos me da vértigo.
Normal que pongan los parches en cuarentena.
#64 Yo ese terror solo lo pasaba antiguamente con ubuntu en portátiles. Actualmente, con Debian actualizo sin problemas. La ultima fue pasarme a testing por un problema con el openjdk y 0 problemas. Aunque he de decir que de servidores poco tengo instalado, ya que los virtualizo con docker.