Evitar una infección con WannaCry o EternalRocks: hablamos con los expertos

Antes de pasar a hablar de qué nos han contado los expertos, no está de más contextualizar un poco EternalRocks. Lo primero que lo hace especial son los exploits que utiliza, concretamente concretamente EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch. Todos ellos salen del ataque de Shadow Brokers a la NSA.

La segunda característica que lo hace interesante es su particular método de infección:

  • Infección, descarga del navegador Tor y contacto con los ocultos del gusano.
  • 24 horas después: los servidores ocultos responden, y es ahí cuando ya es detectable. Por ello saca una ventaja mínima de un día a los equipos de ciberseguridad.

La preocupación por este tipo de malware ha aumentado sensiblemente a raíz de WannaCry y EternalRocks, pero esto está muy lejos de terminar. Es sólo el principio, de hecho, ya que aún podría haber más consecuencias derivadas de los exploits de la NSA. Y ahora, sin más dilación, veamos qué nos cuentan los expertos.

 

Estándar

Latch ARW: Nueva arma de Eleven Paths contra el ransomware

Latch ARW es capaz de añadir una capa de autorización en sistemas operativos Windows sobre las carpetas “protegidas”, además de los permisos existentes en esas carpetas, tendremos un permiso adicional. Si el Latch o “pestillo” está cerrado en esas carpetas, no se podrá modificar ni eliminar ningún archivo dentro de dichas carpetas protegidas.

Aunque Latch ARW aún no está disponible de manera pública, lo estará muy pronto, además lo hará de forma totalmente gratuita, igual que el Latch original. Gracias a esta nueva herramienta podremos añadir fácilmente una capa adicional de protección, para evitar que nuestros archivos sean modificados o eliminados por un ransomware u otro tipo de malware.

 

Estándar

Kali Linux

Características de Kali Linux

Kali Linux es una distribución de Linux avanzada para pruebas de penetración y auditorías de seguridad.

Kali es una completa re-construcción de BackTrack Linux desde la base hacia arriba, y se adhiere completamente a los estándares de desarrollo de Debian. Toda la nueva infraestructura ha sido puesta en el lugar, todas las herramientas fueron revisadas y fueron embaladas, y hemos cambiado a Git para nuestro VCS.

  • Más de 300 herramientas de pruebas de penetración: Después de revisar todas las herramientas que se incluyen en BackTrack, hemos eliminado una gran cantidad de herramientas que, o bien no funcionaban o tenían otras herramientas disponibles que proporcionan una funcionalidad similar.
  • Gratis y siempre lo será: Kali Linux, al igual que su predecesor, es completamente gratis y siempre lo será. Nunca, jamás, tendrás que pagar por Kali Linux.
  • Git – árbol de código abierto: Somos partidarios enormes de software de código abierto y nuestro árbol de desarrollo está disponible para todos y todas las fuentes están disponibles para aquellos que desean modificar y reconstruir paquetes.
  • Amplio apoyo a dispositivos inalámbricos: Hemos construido Kali Linux para que soporte tantos dispositivos inalámbricos como sea posible, permitiendo que funcione correctamente en una amplia variedad de hardware y hacerlo compatible con varios USB y otros dispositivos inalámbricos.
  • Multi-lenguaje: Aunque las herramientas de penetración tienden a ser escritas en Inglés, nos hemos asegurado de que Kali tenga soporte multilingüe, lo que permite a más usuarios poder operar en su idioma nativo y encontrar las herramientas necesarias para el trabajo.
  • Totalmente personalizable: Estamos completamente conciente de que no todo el mundo estará de acuerdo con nuestras decisiones de diseño por lo que hemos hecho lo más fácil posible para nuestros usuarios más aventureros puedan personalizar Kali Linux a su gusto, todo el camino hasta el núcleo.

Kali está diseñado específicamente para las pruebas de penetración y, por tanto, toda la documentación de este sitio asume el conocimiento previo del sistema operativo Linux.

Estándar

PFSense

Según wikipedia:

pfSense es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración. El proyecto es sostenido comercialmente por Electric Sheep Fencing LLC

 

Características

La siguiente lista muestra algunas funcionalidades que se incluyen predefinidamente en el sistema.
  • Firewall
  • State Table
  • Network Address Translation (NAT)
  • Alta disponibilidad
  • Multi-WAN
  • Balance de carga
  • VPN que puede ser desarrollado en IPsec, OpenVPN y en PPTP
  • Servidor PPPoE
  • Servidor DNS
  • Portal Cautivo
  • Servidor DHCP
Estándar

EXIF

Según Wikipedia:

Exchangeable image file format (abreviatura oficial Exif, no EXIF ) es una especificación para formatos de archivos de imagen usado por las cámaras digitales. Fue creado por la Japan Electronic Industry Development Association (JEIDA). La especificación usa los formatos de archivos existentes como JPEG, TIFF Rev. 6.0, y RIFF el formato de archivo de audio WAVE, a los que se agrega tags específicos de metadatos.

 

Estos metadatos son peligrosos, ya que contienen una información muy precisa del archivo en cuestión. Incluso puede incluir ubicaciones GPS

Para borrar este EXIF hay varias páginas o aplicaciones que nos permiten hacerlo.

Resultado de imaxes para como borrar ixif

El propio Windows te permite quitar el EXIF de algunos archivos.

Estándar

Virus Total

Esta página web nos permite analizar nuestros archivos para comprobar si hay virus en dicho archivo. Para comprobar su funcionalidad, analizo el mismo archivo, solo cambiandole unos bits.

 

Aquí el archivo original:

 

Aqui el archivo con los bits cambiados:

Hay un aintivirus que dio un falso positivo, que complica la acción de detección de virus.

También se puede apreciar que el HASH es diferente en ambos archivos.

Estándar

HeartBleed

Según Wikipedia:  (https://es.wikipedia.org/wiki/Heartbleed)

https://upload.wikimedia.org/wikipedia/commons/thumb/d/dc/Heartbleed.svg/200px-Heartbleed.svg.png

Heartbleed (hemorragia de corazón) es un agujero de seguridad (bug) de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor.1 Investigaciones de auditorías muestran que, al parecer, algunos atacantes han explotado este error desde hace al menos cinco meses antes de que fuera descubierto y publicado

 

Este fenómeno ha afectado a muchas de empresas conocidas. En esta lista podemos apreciar las que han sido afectadas, cómo o si no han sido afectadas.

 

Facebook. Aunque no está claro si se ha visto afectado, recomiendan cambiar la contraseña.
Instagram. Se ha visto afectado. Hay que cambiar la contraseña.
Linkedin. No se ha visto afectado.
Pinterest. Se ha visto afectado. Hay que cambiar la contraseña.
Tumblr. Se ha visto afectado. Hay que cambiar la contraseña
Twitter. No está claro si se ha visto afectado. Apple. No se ha visto afectado.
Amazon. No se ha visto afectado. Google. Se ha visto afectado. Hay que cambiar la contraseña.
Microsoft. No se ha visto afectado.
Yahoo. Se ha visto afectado. Hay que cambiar la contraseña.
AOL. no se ha visto afectado.
Gmail. Se ha visto afectado. Hay que cambiar la contraseña.
Hotmail / Outlook. No se ha visto afectado. Yahoo Mail. Se ha visto a afectado. Hay que cambiar la contraseña.
Amazon. No se ha visto afectado.
Ebay. No se ha visto afectado.
Etsy. Se ha visto afectado. Hay que cambiar la contraseña.
GoDaddy. Se ha visto afectado. Hay que cambiar la contraseña.
Groupon. No se ha visto afectado.
Nordstrom. No se ha visto afectado.
PayPal. No se ha visto afectado.
Target. No se ha visto afectado.
Walmart. No se ha visto afectado.
Box. Se ha visto afectado. Hay que cambiar la contraseña.
Dropbox. Se ha visto afectado. Hay que cambiar la contraseña.
Evernote. No se ha visto afectado.
Minecraft. Se ha visto afectado. Hay que cambiar la contraseña.
Netflix. No está claro si se ha visto afectado.
SoundCloud. Se ha visto afectado. Hay que cambiar la contraseña.
Estándar