Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre seguridad informática para el personal de la Universidad de Granada

Inicio >> Archivos para proteccion

Campaña de correos electrónicos fraudulentos suplanta a la Agencia Tributaria

por

INCIBE nos alerta de esta campaña de Phising.

Se ha detectado una campaña, a través de correos electrónicos fraudulentos, que suplantan a la Agencia Tributaria e intentan robar datos confidenciales de los usuarios alegando para ello que es necesario realizar una devolución o pago sobre el impuesto de la renta.

Como pautas generales, para evitar ser víctima de fraudes de este tipo se recomienda:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes de WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegurarse de que las cuentas de usuario de los empleados utilizan contraseñas robustas y sin permisos de administrador.

Puedes leer el aviso entero y su solución en la página de INCIBE.

Algunos consejos para proteger tu perfil en Redes Sociales

por

El CCN ( Centro Criptológico Nacional), dependiente del CNI (Centro Nacional de Inteligencia), nos da unos consejos básicos para proteger nuestras redes sociales:

  • Emplear contraseñas robustas y modificarlas periódicamente
  • Activar el modo de verificación en dos pasos
  • No repetir la misma contraseña en diferentes perfiles de redes sociales, sitios webs o cuentas corporativas
  • Habilitar la opción de envío de alertas de inicio de sesión
  • Revisar con frecuencia la configuración de los perfiles
  • No acceder a enlaces ni abrir adjuntos sospechosos desde redes sociales
  • No abrir enlaces acortados sin conocer previamente el link original
  • Tener precaución con los enlaces recibidos a través de mensajes directos
  • En caso de detectar una intrusión, notificar a la red social, cambiar la contraseña y denunciar
  • No divulgar información personal.

Como siempre os dejo el resto de la publicación aquí o para ver una infografía.

También os animo a que leais sus ciberconsejos en este enlace.

Ya es posible descifrar GandCrab 5.2 – Rasomware

por

Publicado el:
miércoles, 26 junio 2019 por CCN

  • La nueva herramienta lanzada permite el descifrado de la última versión de este ransomware

En un trabajo en conjunto entre la Europol, el FBI y Bitdefender, ha sido posible la recuperación de las claves de cifrado que empleaba el ransomware GandCrab 5.2 antes del cierre de los servidores empleados por los criminales tras este malware. Anteriormente, Bitdefender ya había lanzado herramientas para el descifrado de versiones anteriores de GandCrab, pero la versión 5.2 se seguía resistiendo hasta este momento.

La recuperación de las claves ha llegado justo a tiempo antes del cierre del servicio. Ya a principios de mes el grupo tras GandCrab anunciaba en los foros de habla rusa exploit.in que cerrarían a finales de mes tras haber logrado 2000 millones de dólares a un ritmo de 150 millones al año, habiendo blanqueado ya todo el dinero.

La nueva herramienta lanzada por Bitdefender permite el descifrado tanto de esta versión como de otras anteriormente lanzadas de GandCrab. Además de poder descargarse gratuitamente desde la web de Bitdefender, es posible encontrarla en No More Ransom, un proyecto que recopila herramientas de descifrado de este y otros ransomware.

El punto y final a GandCrab supone el cierre de uno de los ransomware más difundidos y que más víctimas ha tenido, aunque aún quedan muchas otras amenazas como GandCrab que siguen sin poder descifrarse. Las ganancias obtenidas por este grupo sólo son una evidencia más de que el ransomware ha llegado para quedarse, y la importancia de tener una buena política de seguridad para estar preparados.

Más información: Una al Día

RDP en windows xp , windows server y windows 7 vulnerables, y agujeros última actualización windows 10

por 

Os dejo enlace donde se dice que el RDP es vulnerable, conexión remota a nuestro PC, aconsejamos que utilicéis VPN previo a RDP si no hay mas remedio, podéis leer el
artículo:
https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-servicios-de-escritorio-remoto-de-microsoft-actualice-ahora/

  así que si tienes windows 7, server o windows xp parchea/actualiza según aparece en este artículo . Desde seguridad se están pasando
escaneo para ver las vulnerabilidades de vuestros equipos, ya se ha detectado bastantes. Os llegará correo de incidente de seguridad si se
detecta algo.

   Por otra parte  avisamos de otro artículo donde dice que la última actualización de windows 10, la de mayo que fué global, tiene agujeros
de seguridad:

https://computerhoy.com/noticias/tecnologia/windows-10-llena-agujeros-seguridad-429769

así que de momento no actualizar a la última, esperar un poco.

Con Respecto al RDP esto es lo que estamos enviando en las incidencias de seguridad como ayuda:
Hemos detectado que su sistema operativo Windows no está actualizado y que tiene habilitado el servicio de escritorio remoto de Windows. En concreto le falta el parche para la vulnerabilidad CVE-2019-0708, este permite a un atacante no autenticado realizar la ejecución de código remotamente con los privilegios más elevados del sistema, con lo que podría tomar de manera efectiva el control total del mismo y causar afectaciones, como robo de información y otros daños

Debe actualizar URGENTEMENTE su Windows ejecutando la opción de actualización del mismo (panel de control/Windows update). Así mismo le recomendamos que programe las actualizaciones para que se produzcan de forma automática. 
 
Si su equipo es un Windows que ya no reciben soporte estándar (XP, Server 2003 y Vista) y del que NO SE RECOMIENDA su uso, Microsoft ha publicado el siguientes parches de seguridad que puede descargar y ejecutar desde https://support.microsoft.com/es-es/help/4500705/customer-guidance-for-cve-2019-0708

A continuación pase el antivirus a su equipo por si le hubieran descargado un virus a su equipo, al permitir dicha vulnerabilidad el poder subir y ejecutar archivos en su equipo.

Es muy recomendable limitar las IP's que pueden conectarse a su equipo y no estar expuestos a ataques. Para ello debe indicar al cortafuegos de Windows que solo permita conexiones al puerto 3389 a las IP's de los equipos a los que autorice su conexión. Los pasos serían:
 1. Abrir el programa Windows Firewall with Advanced Security o en castellano Firewall de Windows con seguridad avanzada.
 2. Entramos en reglas de entrada y localizamos el acceso a escritorio remoto entre el inmenso número de entradas. Para ayudarnos un poco ordenamos por Puerto local (pulsamos un clic sobre el título de dicha columna) y localizamos el 3389, que es el que usa el RDP.
 3. Veremos que hay una regla RDP para TCP y otra para UDP.
 4. Hemos de incluir las IP autorizadas. Para ello primero hacemos doble click sobre una de las reglas y en la pantalla que aparece seleccionamos la pestaña Ámbito. Incluimos la/s IP/s autorizadas en Dirección IP remota y aceptamos. Luego hacemos lo mismo con la otra regla, de manera que el acceso a RDP esté limitado a las IPs seleccionadas tanto por el puerto TCP como por el UDP.
 5. Finalmente pulsamos el botón Aceptar y cerramos el cortafuegos.
 
Si precisa hacer conexiones desde fuera de la UGR, como no siempre se conectará con una misma IP, la solución es hacer las conexiones al escritorio remoto a través de VPN (https://csirc.ugr.es/informatica/RedUGR/VPN/ConfVPNSSL/), entonces le debe indicar a su cortafuegos que permita conexiones al rango de IP's 172.20.240.0/20 al puerto 3389 que son las que se le asignará a su equipo cuando se conecte a la VPN de la UGR. 

Cuando realice dicha actualización nos lo indica por email para que verifiquemos que ya no es vulnerable.

Para más información puede consultar: 
https://www.osi.es/es/actualidad/avisos/2019/05/detectada-nueva-vulnerabilidad-en-remote-desktop-services-de-windows
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-el-escritorio-remoto-windows-versiones-antiguas
https://www.incibe-cert.es/en/early-warning/vulnerabilities/cve-2019-0708
https://tutoriales.cect.org/limitar-el-acceso-por-remote-desktop-a-una-maquina-windows/

Protege tus activos web con WAF de código abierto (Open Source WAF)

por

Fuente: Geekflare.

Miles de sitios web son pirateados cada día debido a una configuración incorrecta o un código vulnerable. El servidor de seguridad de aplicaciones web (WAF) es una de las mejores maneras de proteger su sitio web de las amenazas en línea. Si su sitio web está disponible en Internet, entonces puede usar herramientas en línea para escanear un sitio web en busca de una vulnerabilidad para tener una idea de qué tan seguro es su sitio. No se preocupe si se trata de un sitio web de intranet, puede utilizar el código abierto del escáner web Nikto. El WAF comercial puede ser costoso y si está buscando la solución gratuita para proteger su sitio web con WAF, el siguiente Firewall de aplicaciones web de código abierto puede ser útil.

Lista de WAF Open Source

  • 1. ModSecurity
  • 2. IronBee
  • 3. NAXSI
  • 4. WebKnight
  • 5. Shadow Daemon
1. ModSecurity

ModSecurity de TrustWave es uno de los cortafuegos de aplicaciones web más populares y es compatible con Apache HTTP, Microsoft IIS y Nginx.

Las reglas gratuitas de ModSecurity serán útiles si está buscando la siguiente protección.

    Secuencias de comandos entre sitios
    Troyano
    Fuga de información
    inyección SQL
    Ataques web comunes
    Actividad maliciosa

ModSecurity no tiene una interfaz gráfica y si está buscando una, puede considerar el uso de WAF-FLE. Te permite almacenar, buscar y ver el evento en una consola.

2. IronBee

IronBee es un marco de seguridad para construir su propio WAF. IronBee aún no está disponible en el paquete binario, por lo que debe compilar desde la fuente y probarlo en el siguiente sistema operativo.

    CentOS
    Fedora
    Ubuntu
    OS X

Es un marco de seguridad web altamente portátil y muy liviano.

3. NAXSI

NAXSI es Nginx Anti-XSS y SQL Injection. Entonces, como puede adivinar, esto es solo para el servidor web Nginx y principalmente para protegerlo de los ataques de inyección de SQL y los scripts entre sitios.

La solicitud GET y PUT del filtro NAXSI solo y la configuración predeterminada actuarán como un firewall DROP por defecto, por lo que debe agregar la regla ACEPTAR para que funcione correctamente.

4. WebKnight

WebKnight WAF es para Microsoft IIS. Es un filtro ISAPI que protege su servidor web al bloquear las solicitudes incorrectas. WebKnight es bueno para asegurarse de lo siguiente.

    Desbordamiento de búfer
    Directorio transversal
    Codificación de caracteres
    inyección SQL
    Bloqueando robots malos
    Hotlinking
    Fuerza bruta
    Y mucho más…

En una configuración predeterminada, todas las solicitudes bloqueadas se registran y puede personalizar según sus necesidades. WebKnight 3.0 tiene una interfaz web de administración donde puede personalizar las reglas y realizar tareas de administración, incluidas las estadísticas.
5. Shadow Daemon

Shadow Daemon detecta, registra y previene ataques web al filtrar solicitudes de parámetros maliciosos. Viene con una interfaz propia donde puede realizar la administración y administrar esta WAF. Es compatible con PHP, Perl y Python framework de lenguaje.

Puede detectar los siguientes ataques.

    inyección SQL
    Inyección XML
    Inyección de código
    Inyección de comando
    XSS
    Acceso de puerta trasera
    Inclusión local / remota de archivos

El código abierto es gratuito, pero no obtiene soporte empresarial, lo que significa que necesita confiar en su experiencia y soporte comunitario. Por lo tanto, si está buscando el WAF comercial, puede consultar el siguiente.

    CloudFlare (basado en la nube)
    Incapsula (basada en la nube)
    F5 ASM
    Reglas comerciales de TrustWave ModSecurity
    SUCURI (basado en la nube)
    Herramientas Akeeba Admin (para Joomla)

Artículo completo en Geekflare

Mas información en Microsoft o CloudFlare si no deseamos código abierto.