Las desprolijidades de mi mutualista

con la seguridad de la información.

Si, así como lo leen, en muchos sentidos mi mutualista es muy desprolija, como casi todas las de Uruguay, mejores peores, por mil cosas.

Pero no voy a hablar de la prestaciones que me da, de las cuales no me puedo quejar, sino de la proteccion de datos y la seguridad de información.

Hace mas de un año, luego de que presentaran una app de celular la instalo y como buen curioso la examino, ahi encuentro que no solo pasaba los datos en plano, sino que lo hacia hacia un windows server en EEUU.

TLS para que!

Un nmap después veo que tienen abierto al mundo no solo el puerto del MS SQLserver abierto sino un ftp… con las claves por defecto y dentro… la app con los fuentes y los hashes de las DB ahi nomas..

Me quedo mas tranquilos, sin virus…

Bueno, esto se notifico por mail a ellos y al cert.uy.

Lo arreglaron y no seguí, no me corresponde hacerlo ni tenia permisos, pero me puse a las ordenes, me dieron las gracias y nunca mas.

Poco tiempo salió un llamado para el puesto de seguridad de la información, pero como no tengo titulo profesional habilitante no me podia presentar, alguien seguramente se presento, agarro ese trabajo y esperaba que pudieran mejorar la seguridad de en definitiva, mis datos. Parece que no.

En diciembre de 2019 me pongo a mirar unos resultados de análisis clínicos personales (la edad pesa) y me encuentro que los resultados están en una carpeta temporal en la web (a la que le pusieron https!) con un nombre de archivo numérico secuencial, cambiando los números del nombre del archivo pdf puedo acceder a los resultados de cualquier otra persona…. de nuevo, notifico telefónicamente a la institución y por mail al cert.uy estos me informan luego que también se pusieron en contacto con la institución.

Este caso es el resultado de analisis de VIH de un paciente, el nombre y el num soc estaban ahi publicos…

Esto no es contra nadie, sino que se visibilize la importancia de la seguridad en la información. No solo que nadie tiene por qué saber mis temas medicos, sino que alguien maliciosamente puede llegar a tener datos suficientes para otro tipos de delitos.

En este tipo de cosas siempre se criminaliza al que encuentra e informa de estos problemas, pero raramente se hace responsable a quienes en en la omisión no velan por la seguridad de nuestra información, en estos casos se notifico a la institución y solucionaron los problemas, no me corresponde realizar un seguimiento del estado, pero de encontrar cosas así como siempre reportar al cert.uy y a la institución/empresa.

La institución he invertido y esta realizando cosas muy destacables y pioneras a nivel nacional en informática medica, pero este tipo de errores son muy básicas como para dejarlos pasar por alto.

Ransomware infecta a compañías a través de RDP

En Uruguay una búsqueda rápida en shodan nos da que puede haber más de 2000 equipos vulnerables (Equipos Windows), lo que demuestra una vez más la falta de conciencia en la seguridad de las redes y los datos.

Posibles afectados por ransomware via RDP expuesto en Uruguay

Los atacantes armados con ransomware buscan vulnerar a empresas a través de un hoyo encontrado comúnmente en los mal asegurados servidores de escritorio remoto visibles desde Internet de la red de las organizaciones.

Según Wouter Jansen, especialista forense en TI de Fox-IT, la compañía ha sido llamada últimamente por una serie de empresas que se han visto afectadas con ransomware, y un subconjunto de estas ha dejado que los atacantes y el ransomware entren a través del canal mostrado en la imagen:

“Las entradas en los archivos de bitácoras muestran que los atacantes consiguieron acceso a los servidores mediante ataques de fuerza bruta a usuarios y contraseñas en los servidores de escritorio remoto visibles desde Internet. Día tras día, los intentos fallidos de inicio de sesión que se registran provienen de cientos de direcciones IP únicas probando cientos de nombres de usuario únicos”, señaló Jansen. “Después de atacar a las credenciales por fuerza bruta para obtener acceso a un servidor de escritorio remoto, los atacantes pueden hacer cualquier cosa en el servidor o la red con los permisos que tenga la cuenta de usuario comprometida.”

En el pasado eso significaba que los atacantes, en general, intentaban obtener datos que pudieran vender en el mercado negro, añadir al sistema comprometido a una red de bots o usarlo para enviar correos electrónicos no deseados. Sin embargo, algunos de los atacantes han cambiado al uso de ransomware en un esfuerzo para obtener ganancias forma rápida y evitar complicaciones posteriores.

“Dependiendo de la segmentación y segregación de la red, el impacto del ransomware que se ejecuta desde una estación de trabajo en un cliente de la LAN puede estar limitado a los segmentos de red y recursos compartidos de la estación de trabajo y los que la cuenta de usuario afectado puede alcanzar. Desde un servidor, sin embargo, un atacante podría ser capaz de encontrar y llegar a otros servidores y cifrar los datos críticos de la empresa para aumentar el impacto”, señaló Jansen.

Los atacantes también pueden tratar de descubrir cuándo se llevan a cabo las copias de seguridad con el fin de decidir cuándo ejecutar el ransomware para obtener la máxima eficacia. Por lo general son exitosos manteniendo oculta su presencia en la red corporativa hasta que desencadenan el malware.

Afortunadamente, este tipo de ataque puede ser fácilmente frustrado por los administradores. Hacer que el servidor de escritorio remoto sea inaccesible de forma remota no es posible, por lo que las cuentas de usuario con acceso remoto deben tener una contraseña compleja y difícil de adivinar, adicionalmente se puede implementar la autenticación de dos factores o la verificación de dos pasos y la conexión remota debe estar cifrada.

Fuente: Help Net Security RC

Shodan Creepy Stuff

Con un tiempo libre, me puse a jugar con Shodan y las cosas que puedes encontrar son interesantes ( como la cantidad de equipos afectados por DROWN en Uruguay)

Acá no estamos libres, me he encontrado con varias cosas de este tipo, algunas de reconocidas empresas de sistemas, es evidente la falta de cultura en seguridad de sistemas.

Algunos ejemplos:

Algo por china

Algo por China

en Singapure puntuas el toilet
en Singapure puntuas el toilet

Scada Analogico.

clock
Sera para el work from home?

creepy webcam
creepy webcam

creepy webcam
creepy webcam

monitoreo remoto
monitoreo remoto

algun scada ruso
algun scada ruso

scada noruego
scada noruego

planilla polaca
planilla polaca

login de la tienda
login de la tienda

Scada Turco
Scada Turco

 

 

Protección contra el SCAM

Esta es una pequeña guía para evitar se víctima de un ataque basado en Ingeniería Social mediante uso del correo electrónico, pero no limitado a este. Los comentarios son bienvenidos.

Evite el uso de servidores de correo gratuito (Outlook, Gmail,Adinet,etc ) Estos están bien para un uso “domestico” pero no para una empresa. Establezca un dominio corporativo y que ese sea el canal de comunicación oficial de su organización.

Tenga cuidado con lo que publica en las redes sociales, incluso en su web institucional, sobre todo información especifica sobre una tarea/trabajo, información jerárquica detallada o simples “out-of-the-office” la ingeniería social hace uso intensivo de muchas fuentes de información y realiza inteligencia sobre la misma.

Desconfíe de solicitudes de confidencialidad/reserva o de realizar algún tipo de operación con mas celeridad de lo normal, sobre todo si esta operación es fuera de lo común.

Considere otras medidas de seguridad adicionales tanto a nivel de IT, Financieras o de autenticación/autorización. Incluya métodos de autenticación/autorización complementarios.
Tenga cuidado con los cambios bruscos en las prácticas organizacionales, si un cliente/socio pide de repente ser contactado a través de su dirección de correo electrónico personal cuando todo el intercambio se a realizado a travez de el correo corporativo, esta solicitud podría ser fraudulenta. Siempre verifique por otros canales que posea con su cliente/socio antes de realizar algún tipo de operación que sea fuera de lo normal.

Establecer otros canales de comunicación, tales como llamadas telefónicas/Videoconferencia, para verificar las operaciones delicadas y sensibles.
Trate de implementar otro método de autenticación para las operaciones fuera del correo electrónico.

Uso de Firmas electrónicas: Ambas lados de una transacción deberían utilizar firmas electrónica, estas pueden ser usadas para firmar o encriptar la información. Sin embargo, esto no funciona con muchos servicios de correo electrónico basados en la web.

Eliminar Spam: Tratar de eliminar inmediatamente correo electrónico no deseado (spam).
NO abra el correo electrónico no deseado (SPAM).
NO haga clic en los enlaces o abra archivos adjuntos de estos correos, a menudo contienen malware que podrían facilitar el acceso a sus sistemas o ser víctima de algún tipo de ataque.

Reenviar vs. Responder:
Es deseable que no utilice la opción “Responder” para responder a todos los correos electrónicos empresariales que puedan ser sensibles o tenga dudas sobre su origen, en su lugar utilice la opción de “Reenviar” y escriba la dirección de correo electrónico de la persona a contactar o seleccionela de la libreta de direcciones para garantizar que es la dirección correcta de su contacto.

Basado en recomendaciones del FBI para empresas