Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de proteccion

Riesgos para la privacidad al iniciar sesión con tus cuentas de redes sociales en otras aplicaciones.

La AEPD (Agencia Española de Protección de Datos) nos deja este mensaje:

Cuando instalamos una nueva aplicación en nuestro dispositivo móvil o accedemos por primera vez a un servicio en una web es habitual tener que crear una cuenta de persona usuaria para poder utilizarla. Como alternativa, cada vez más servicios ofrecen la posibilidad de registrarnos utilizando nuestra cuenta de Google, Apple, Instagram, TikTok, Twitter, Facebook y demás redes sociales, permitiendo de esta manera no tener que darse de alta en cada una de las webs o apps que usamos. Si bien esta práctica facilita la cada vez más abrumadora tarea de gestionar las credenciales de nuestra vida digital, por otro lado, no está exenta de ciertos riesgos para la privacidad.

Lee el post completo aquí: https://www.aepd.es/es/prensa-y-comunicacion/blog/riesgos-privacidad-iniciar-sesion-cuentas-rrss-otras-aplicaciones

Huella en la red.

Cada vez que navegamos dejamos nuestra huella en la red, pero tenemos varios métodos para reducirla.

Podemos ver lo que hay en internet sobre nosotros practicando “egosurfing”. Mira algunas pautas para hacerlo en https://www.osi.es/es/actualidad/blog/2021/04/21/egosurfing-que-informacion-hay-sobre-mi-en-internet

Aquí tienes consejos de la OSI para reducir la huella  https://www.osi.es/es/como-disminuir-tu-rastro-en-internet

Vídeo de la OSI donde indica como borrar la huella https://youtu.be/FT1FjR1XQ2w

Ya publicamos en el blog algo al respecto hace un tiempo. Aprovecha para echarle un vistazo.

 

Como borrar nuestros datos en internet y redes sociales

 

Ultimamente desde el Área de Seguridad Informática del CSIRC estamos trabajando en el proyecto Trillion, es posible que os hayamos enviado algún correo referente a este tema. Básicamente estamos detectando el uso de vuestro email institucional en servicios externos como dropbox…. Hay servicios externos a UGR que los han pirateado ‘los malos’ y tienen las claves de esos servicios. A través de la plataforma Trillions nos llegan avisos cuando detectan esto sobre usuarios @ugr.es  y os lo avisamos. Como consejo no está permitido utilizar el correo institucional en servicios que no sean de UGR.

ALERTA: Vulnerabilidad en Apache Log4j 2

ALERTA: Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se  utilice herramientas Java. Literalmente nos dicen desde el CCN:” Nos consta que esta vulnerabilidad esta operativa en el arsenal de más de 12 grupos de ataque y nos consta que esta siendo explotada desde, al menos, el 1 de diciembre.

Por lo que es interesante revisarlo.

Os dejo contenido el mensaje de la alerta:

Actualización vulnerabilidad en Apache Log4j 2
Fecha de publicación: 14/12/2021
Nivel de peligrosidad: CRÍTICOEl Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

  • Revisar si se está usando log4j
    • PowerShell
    • Linux
      • find / 2>/dev/null -regex “.*.jar” -type f | xargs -I{} grep JndiLookup.class “{}”
    • Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.
  • Revisar si se ha tenido un aumento de conexiones DNS.
    • Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
  • Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
  • Revisar en logs los siguientes IOC:
    https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
    En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi”, se pueden apoyar en los siguientes scripts:
    https://github.com/Neo23x0/log4shell-detector/
  • Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
  • Actualizar a la versión versión de Log4j, se ha publicado la versión 2.16 https://github.com/apache/logging-log4j2/blob/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d/RELEASE-NOTES.md
  • La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema “log4j2.formatMsgNoLookups” en “true” o eliminando la clase JndiLookup del classpath.
  • En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se está usando
  • En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca  log4j-core jar. La eliminación de  JndiManager causara que no funcione JndiContextSelector y  JMSAppender.

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: incidentes@ccn-cert.cni.es

Posibles vectores de entrada

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.

Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:

  • X-Api-Version
  • User-Agent
  • Referer
  • X-Druid-Comment
  • Origin
  • Location
  • X-Forwarded-For
  • Cookie
  • X-Requested-With
  • X-Forwarded-Host
  • Accept

IOC

La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:

Referencias:

Atentamente,

Equipo CCN-CERT

Medidas mínimas de seguridad en nuestros equipos de trabajo.

Dentro de nuestros equipos de trabajo debemos tener una serie de cuidados en materia de ciberseguridad para ponerselo dificil a los ciberdelincuentes. A continuacion os detallo algunas pautas que debemos tener si o sí.

  • Activación de firewall. Limitar las peticiones entrantes a la justo necesarias.
  • Antivirus. Se puede utilizar en windows 10 el que trae por defecto.
  • Instalacion en los equipos windows del software antiransomware MicroClaudia.
  • Autobloqueo de pantalla cuando nos levantamos del puesto de trabajo.
  • Cambios de contraseñas cada 3 ó 6 meses como mucho.
  • Utilizar un usuario sin permisos de administración para nuestro trabajo diario.
  • Copias de seguridad periódicas en unidades que no se queden pinchadas continuamente en nuestro equipo, para evitar efectos de cifrado de forma colateral
  • Actualizaciones automáticas del sistema.
  • Revision de actualizaciones de los programas que tengamos instalados al menos una vez al mes.
  • Revisar las politicas, en caso de windows, para activar el control de accesos. Revisar de forma periodica los ultimos accesos por si detectamos alguna anomalia.
  • No utilizas software no licenciado o descargado de sitios no oficiales, pueden llevar troyanos  o descargar malware una vez se ejecuten.
  • Utilizar sistemas de cifrado de disco del sistema, como bitlocker. Esto complica mas a los malos.
  • Evitar la comparticion de recursos desde nuesta máquina, compartir a traves de servidores, esto disminuye la superficie de exposicion a malware.
  • Evitar conexiones escritorio remoto, en caso de usarlas limitar los accesos en el firewall a ip’s controladas, utilizar VPN y contraseñas muy fuertes.
  • Activar politicas de bloqueo de usuario en el caso de 5 reintentos de Login fallidos, por ejemplo bloquear el usuario durante 10 minutos.
  • NUNCA guardes las claves en el navegador para entrar en sitios que puedan comprometerte a ti o a la empresa.

 

Seguir lo consejor que nos marca la herramienta CLARA del CCN, descargarla y pasarla en sistemas windows. Herramienta CLARA del CCN

 

Por último se puede echar un vistazo a las medidas de proteccion que aconsejamos a traves de la Oficina de Proteccion de Datos https://secretariageneral.ugr.es/pages/proteccion_datos/documentos/documentosobremedidasdeproteccion