SEGURIDAD INFORMATICA Virus, Troyanos y Malware …….. JORNADAS TECNOLOGICAS 1 Cómo defenderte de CryptoLocker, el “malware” más letal Tabla de contenidos 1. Fundamentos de Seguridad informática 2. Porque es necesaria la seguridad informática 3. Tendencia Actual 4. CryptoLocker 2 Cómo defenderte de CryptoLocker, el “malware” más letal Fundamentos de Seguridad informática La Seguridad informática o seguridad perimetral es el área que se enfoca a la protección de la infraestructuras informática y todo lo relacionado con esta. En general, cuando se habla de la seguridad en un sistema informático se hace referencia a los activos (recursos del sistema necesarios para que ése funcione), amenaza (evento, individuo o entidad que presenta un riesgo para el sistema), impacto (medición de las consecuencias de la materialización de un riesgo o amenaza), vulnerabilidad (posibilidad de que una amenaza tenga lugar), ataque, desastre o contingencia. Para minimizar el impacto negativo provocado por ataques, existen procedimientos y mejores prácticas que facilitan la lucha contra las actividades delictivas y reducen notablemente el campo de acción de los ataques. Uno de los pasos más importantes en seguridad, es la educación, comprender cuáles son las debilidades más comunes que pueden ser aprovechadas y cuáles son sus riesgos asociados, permitirá conocer de qué manera se ataca un sistema informático ayudando a identificar las debilidades y riesgos para luego desplegar de manera inteligente estrategias. “Si utilizas al enemigo para derrotar al enemigo, serás poderoso en cualquier lugar a donde vayas.” Sun Tzu, El arte de la guerra Sin embargo, más allá de cualquiera de los esquemas de seguridad que una organización pudiera plantear, existen estrategias de ataque que se basan en el engaño y que están netamente orientadas a explotar las debilidades del factor humano: la Ingeniería Social. Los atacantes saben cómo utilizar estas metodologías y lo han incorporado como elemento fundamental para llevar a cabo cualquier tipo de ataque. EL PRIMER VIRUS El primer virus atacó a una máquina IBM Serie 360 (y reconocido como tal). Fue llamado Creeper, creado en 1972. Este programa emitía periódicamente en la pantalla el mensaje: «I'm a creeper... catch me if you can!» («¡Soy una enredadera... agárrame si puedes!»). Para eliminar este problema se creó el primer programa antivirus denomin ado Reaper (cortadora). Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro programadores (H. Douglas Mellory, Robert Morris, Victor Vysottsky y Ken Thompson) desarrollaron un juego llamado Core War, el cual consistía en ocupar toda lamemoria RAM del equipo contrario en el menor tiempo posible. Después de 1984, los virus han tenido una gran expansión, desde los que atacan los sectores de arranque de disquetes hasta los que se adjuntan en correos electrónicos. Si bien esta técnica es utilizada en cualquier ámbito, en lo que a informática se refiere, consiste en la obtención de información sensible y/o confidencial de un usuario cercano a un sistema u organización explotando ciertas características que son propias del ser humano. 3 Cómo defenderte de CryptoLocker, el “malware” más letal La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos. Consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. ► Principios de Seguridad Informática Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático: ►Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, Basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados. ►Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma información. ►Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deber reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran, este principio es importante en sistemas informáticos cuyos compromiso con el usuario, es prestar servicio permanente. Necesidad de un enfoque global para la atenuación de riegos Frecuentemente, la seguridad de los sistemas de información es objeto de metáforas. A menudo, se la compara con una cadena, afirmándose que el nivel de seguridad de un sistema es efectivo únicamente si el nivel de seguridad del eslabón más débil también lo es. De la misma forma, una puerta blindada no sirve para proteger un edificio si se dejan las ventanas completamente abiertas. Lo que se trata de demostrar es que se debe afrontar el tema de la seguridad a nivel global y que debe constar de los siguientes elementos: Concienciar a los usuarios acerca de los problemas de seguridad Seguridad lógica, es decir, la seguridad a nivel de los datos, en especial los datos de la empresa, las aplicaciones e incluso los sistemas operativos de las compañías. Seguridad en las telecomunicaciones: tecnologías de red, servidores de compañías, redes de acceso, etc. Seguridad física, o la seguridad de infraestructuras materiales: asegurar las habitaciones, los lugares abiertos al público, las áreas comunes de la compañía, las estaciones de trabajo de los empleados, etc. 4 Cómo defenderte de CryptoLocker, el “malware” más letal Porque es necesaria la seguridad informática La información constituye el activo más importante de las empresas, pudiendo verse afectada por muchos factores tales como robos, incendios, fallas de disco, virus u otros. Desde el punto de vista de la empresa, uno de los problemas más importantes que debe resolver es la protección permanente de su información crítica. Debido a la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos, teniendo como resultado la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de euros. La necesidad de implantar un sistema de seguridad informática y de la información es lógica y apremiante para toda empresa, ya que no solo implica la posible sustracción de información o pérdida de la misma, sino las responsabilidades legales frente a tercero. 5 Cómo defenderte de CryptoLocker, el “malware” más letal Tendencia Actual Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario conocer los recursos disponibles para protegerlo. Mientras algunas técnicas son evidentes (seguridad física por ejemplo) otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensación de falsa seguridad. Muchas de las vulnerabilidades estudiadas son el resultado de implementación incorrecta de tecnologías, otras son consecuencias de la falta de planeamiento de las mismas pero, como ya se ha mencionado, la mayoría de los agujeros de seguridad son ocasionados por los usuarios de dichos sistemas y es responsabilidad del administrador detectarlos y encontrar la mejor manera de cerrarlos. A continuación mencionaremos algunos protocolos y utilidades de seguridad: FIREWAL: es un sistema ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet). 6 Cómo defenderte de CryptoLocker, el “malware” más letal ANTIVIRUS: son programas cuyo objetivo es detectar y/o eliminar virus informáticos, Un antivirus compara el código de cada archivo con una BD de los códigos de los virus conocidos, por lo que es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea detectado. También se les ha agregado funciones avanzadas, como la búsqueda de comportamientos típicos de virus o la verificación contra virus en redes de computadores. COPIAS DE SEGURIDAD: La información constituye el activo más importante de las empresas, pudiendo verse afectada por muchos factores tales como robos, incendios, fallas de disco, virus u otros. Desde el punto de vista de la empresa, uno de los problemas más importantes que debe resolver es la protección permanente de su información crítica. La medida más eficiente para la protección de los datos es determinar una buena política de copias de seguridad o backups. Este debe incluir copias de seguridad completa (los datos son almacenados en su totalidad la primera vez) y copias de seguridad incrementales (solo se copian los ficheros creados o modificados desde el último backup). Es vital para las empresas elaborar un plan de backup en función del volumen de información generada y la cantidad de equipos críticos. Un buen sistema de respaldo debe contar con ciertas características indispensables: Continuo El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario. Seguro Muchos software de respaldo incluyen cifrado de datos, lo cual debe ser hecho localmente en el equipo antes del envío de la información. Remoto Los datos deben quedar alojados en dependencias alejadas de la empresa. ACTUALIZACIONES: Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad. CONTRASEÑAS: difíciles de averiguar que, por ejemplo, no puedan ser deducidas a partir de los datos personales del individuo o por comparación con un diccionario, y que se cambien con la suficiente periodicidad. Las contraseñas, además, deben tener la suficiente complejidad como para que un atacante no pueda deducirla por medio de programas informáticos. El uso de certificados digitales mejora la seguridad frente al simple uso de contraseñas. 7 Cómo defenderte de CryptoLocker, el “malware” más letal PRINCIPALES AMENAZAS A LA SEGURIDAD INFORMÁTICA Un ataque informático es un intento organizado e intencionado causada por una o más personas para causar daño o problemas a un sistema informático o red. Los ataques en grupo suelen ser hechos por bandas llamados "piratas informáticos" que suelen atacar para causar daño, por buenas intenciones, por espionaje, para ganar dinero, entre otras. Los ataques suelen pasar en corporaciones. Un ataque informático consiste en aprovechar alguna debilidad o falla en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; para obtener un beneficio, por lo general de condición económica, causando un efecto negativo en la seguridad del sistema, que luego pasa directamente en los activos de la organización. Consecuencias Los ataques informáticos tienen varias series de consecuencias o daños que un VIRUS puede causar en un sistema operativo. Hay varios tipos de ataques los cuales los más notables o reconocidos son los siguientes: Ingeniería Social Ingeniería Social Inversa Trashing (Cartoneo) Ataques de Monitorización Ataques de Autenticación Denial of Service (DoS) Ataques de Modificación – Daños Phishing Pharming El caso más común hoy en día se da cuando un atacante, por medios informáticos o personales, obtiene su información personal y la utiliza ilegalmente. Conocido como El robo de identidad o usurpación de identidad es la apropiación de la identidad de una persona: hacerse pasar por esa persona, asumir su identidad ante otras personas en público o en privado, en general para acceder a ciertos recursos o la obtención de créditos y otros beneficios en nombre de esa persona. 8 Cómo defenderte de CryptoLocker, el “malware” más letal Existen varios métodos para obtener datos de la información personal: correos falsos: esta técnica permite pasar a un atacante por una organización, banco o empresa verdaderos para obtener información que garantice acceso a algún recurso que usted utilice en esa organización, banco o empresa. personal: cualquier persona maliciosa podría obtener información que escuchó o vio de parte suya que le garantice acceso a algún recurso valioso. ataque organizado: cualquier atacante podría intentar superar la seguridad de un banco, empresa u organización para obtener información personal de los clientes para luego acceder a algún recurso de esa empresa o cliente. ataque a servidores de almacenamiento de información online: el atacante puede tratar de obtener datos de un servidor de almacenamiento de datos en la nube; obteniendo contraseñas, DNI, cuentas bancarias, etc. LSSI: La legislación española1 LSSI, artículo 10) obliga a cualquier autónomo que tenga una página web, o cualquier persona con página web que ponga adsense o recomendaciones de libros de Amazon, a poner su nombre y apellidos completo, su DNI y la dirección de su domicilio personal2 frente a multas que superan los 30001 euros por infracción grave. Con esos datos, es razonablemente fácil el robo de identidad, y dar de baja la línea fija, el ADSL, o modificar aspectos del recibo de la luz o del agua al particular al que la ley le ha obligado a poner sus datos en Internet. 9 Cómo defenderte de CryptoLocker, el “malware” más letal Cryptolocked CryptoLocker, es un programa malicioso conocido como ransomware. Algunos ransomware sólo se congela la computadora y le pide que pagar una cuota. (Estas amenazas generalmente se puede desbloquear sin tener que pagar para arriba, con un programa antivirus decente como una herramienta de recuperación.) CryptoLocker es diferente: el equipo y el software siguen trabajando, pero sus archivos personales, como documentos, hojas de cálculo e imágenes, son cifrados. Los delincuentes retienen la única copia de la clave de descifrado en su servidor - no se guarda en el equipo, por lo que no se pueden abrir los archivos sin su ayuda. Forma de infección ❶ CryptoLocker utiliza técnicas de ingeniería social, para conseguir que sea el propio usuario quien lo ejecute. Concretamente la victima recibe un correo, simulando provenir de una empresa de logística, que lleva adjunto un ZIP con contraseña. SISTEMAS CIFRADOS Cifrado Simetrico El cifrado simétrico consiste en el uso de una misma llave para cifrar y descifrar el mensaje cifrado. El hecho de que exista un secreto compartido entre emisor y receptor constituye una vulnerabilidad que ha sido resuelta únicamente por el cifradoasimétrico. Cuando el usuario abre el zip introduciendo la contraseña que le viene en el email, cree que dentro hay un fichero PDF y al abrir el falso PDF es cuando ejecuta el troyano. CryptoLocker se aprovecha de la política de Windows de ocultar las extensiones por defecto, de tal forma que el usuario es engañado “gracias” a esta característica de Windows. ❷ Tras esto todos los datos del disco duro en los que el usuario tenga permisos de escritura, quedan encriptados, incluidas unidades de red (mapeadas) o discos duros externos conectados por USB (con letra asignada). Realiza una copia de sí mismo en una ruta del perfil del usuario (AppData, LocalAppData) Crea una entrada en los autoruns para asegurarse la ejecución al reinicio. Ejecuta dos procesos de sí mismo fichero. Uno es el principal y otro para proteger el proceso original frente a cierres. Cifrado Asimetrico Con el cifrado asimétrico el problema del secreto compartido se resuelve: los mensajes se cifran con una clave pública, y sólo el receptor con su clave privada podrá descifrarlo. El "virus" CryptoLocker usa cifrado asimétrico. Esta nueva variante cifra los archivos con la extensión .encrypted Las primeras versiones de CryptoLocker en lugar de utilizar una implementación personalizada criptográfica como muchas otras familias de malware, utilizan criptografía fuerte certificada de terceros ofrecida en este caso por CryptoAPI de Microsoft. Mediante el uso de una adecuada ejecución y siguiendo las mejores prácticas, los autores de malware han creado un programa robusto que es difícil de eludir. El malware utiliza el "RSA y AES Cryptographic Provider Cómo defenderte de CryptoLocker, el “malware” más letal 10 Microsoft Enhanced" (MS_ENH_RSA_AES_PROV) para generar las llaves y para cifrar los datos con algoritmos RSA (CALG_RSA_KEYX) y AES (CALG_AES_256). Cada archivo se cifra con una llave AES única, que a su vez se cifra con la clave pública RSA recibida desde el servidor C2. La clave cifrada, una pequeña cantidad de metadatos y el contenido de archivos cifrados se vuelven a escribir en el disco, reemplazando el archivo original. Los archivos cifrados sólo se pueden recuperar mediante la obtención de la clave privada RSA retenida exclusivamente por los creadores del malware. También hay una variante llamada TeslaCrypt que se aprovecha de una vulnerabilidad en Adobe Flash Player (usa el Angler Exploit Kit) y además secuestra partidas guardadas de juegos. Algunas variantes, además de cifrar los ficheros del equipo infectado, roban la libreta de direcciones para lograr nuevas víctimas a quién enviar estos mensajes maliciosos. Para empeorar todo, falsifica la dirección del remitente. Así, es probable que la dirección que se muestra en el correo sea la de uno de nuestros contactos. En esta variante encripta archivos de ofimática, pst, pdf, jpg, wmv, mp4, m4a, vbs, zip. No afecta a mp3, gif, png, rar o exe. Las primeras variantes de CryptoLocker (también llamadas TorrentLocker) utilizaban un cifrado con AES-256 con CTR(Counter) que consiguió ser descifrado y ahora son cifrados con AES-256-CBC (Cipher-block chaining) ❸ El malware no revela su presencia a la víctima hasta que todos los archivos específicos han sido cifrados. La víctima se presenta con una pantalla de bienvenida que contiene instrucciones. En versiones anteriores se mostraba un temporizador de cuenta atrás. 11 Cómo defenderte de CryptoLocker, el “malware” más letal En cada carpeta afectada del pc, te genera un .txt y un .html con la siguiente "solución", con enlaces a la red tor. (relays tor) Contenido del Fichero: INSTRUCCIONES_DESCIFRADO.txt =================================================== ============================ !!! NOS CIFRAR SUS ARCHIVOS CON Crypt0L0cker !!! =================================================== ============================ Los archivos más importantes (incluidos los de los discos de red, USB, etc): fotos, vídeos, documentos, etc. se cifran con nuestro virus Crypt0L0cker. La única manera de restaurar los archivos es pagarnos. De lo contrario, se perderán los archivos. Utilice este enlace para pagar por la recuperación de los archivos: http://zoqowm4kzz4cvvvl.torlocator.org/pi6nf5.php?user_code=1e cyep9&user_pass=9071 ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ [=] ¿Qué pasó con mis archivos? Sus archivos importantes: fotos, vídeos, documentos, etc. se cifran con nuestro virus Crypt0L0cker. Este virus utiliza muy fuerte algoritmo de cifrado ­ RSA­2048. Fracción del algoritmo de cifrado RSA­2048 es imposible sin la llave especial de descifrado. [=] ¿Cómo puedo restaurar mis archivos? Sus archivos ahora son inservibles e ilegibles, puede comprobar que al tratar de abrirlos. La única manera de restaurarlos es utilizar nuestro software de descifrado. Usted puede comprar este software de descifrado en nuestro sitio web (http://zoqowm4kzz4cvvvl.torlocator.org/pi6nf5.php?user_code=1 ecyep9&user_pass=9071). 12 Cómo defenderte de CryptoLocker, el “malware” más letal ¿Cómo recuperar los archivos y ficheros secuestrados? Usando un backup (copia de seguridad) Usando versiones anteriores Shadow copy (Volume Snapshot Service, Volume Shadow Copy Service, VSS) Usar herramientas específicas. Ver en Otras soluciones ¿Cómo restaurar archivos cifrados por Crypt0L0cker? ► Método 1: copias de seguridad El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo? ► Método 2: Software de recuperación de archivos Parece que cuando CTB-Locker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como RStudio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar. ► Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies) Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos. Cómo defenderte de CryptoLocker, el “malware” más letal 13 PREGUNTAS «Mi sistema no es importante para un hacker» Esta afirmación se basa en la idea de que no introducir contraseñas seguras en una empresa no entraña riesgos pues « ¿quién va a querer obtener información mía?». Sin embargo, dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus y de posibles atacantes. Otra consideración respecto a esta afirmación que la llevan a ser falsa es que muchos ataques no tienen otro fin que el destruir por destruir sin evaluar la importancia. «Estoy protegido pues no abro archivos que no conozco» Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas, si bien la medida es en sí acertada y recomendable. «Como tengo antivirus estoy protegido» En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicación, además los antivirus son vulnerables a desbordamientos de búfer que hacen que la seguridad del sistema operativo se vea más afectada aún, aunque se considera como una de las medidas preventivas indispensable. «Como dispongo de un cortafuegos (firewall) no me contagio» Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos, además los firewalls de aplicación (los más usados) no brindan protección suficiente contra técnicas de suplantación de identidad (spoofing). En todo caso, el uso de cortafuegos del equipo y de la red se considera altamente recomendables. «Tengo un servidor web cuyo sistema operativo es un Unix actualizado a la fecha y por tanto seguro» Puede que esté protegido contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de dicha aplicación puede permitir que el atacante abra una shell y por ende ejecutar comandos en el unix. También hay que recordar que un sistema actualizado no está libre de vulnerabilidades sino que no se tiene ninguna de las descubiertas hasta el momento. Cómo defenderte de CryptoLocker, el “malware” más letal 14 Documento elaborado por: Kconsultora de Comunicaciones y Energías. Teléfono de contacto: 959 22 99 09 E-Mail:[email protected] Web: www.ktelecom.es Parque Huelva Empresarial, Nave 3 CP: 21007 Huelva (España) Cómo defenderte de CryptoLocker, el “malware” más letal 15 Cómo defenderte de CryptoLocker, el “malware” más letal 16