Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de seguridad

Ataques DDoS contra servidores web de universidades españolas

  desde el Centro Criptológico Nacional nos avisan de ataques de denegación de servicio que estamos recibiendo en las universidades españolas. Me dirijo a vosotros para que los servidores web los configurareis siguiendo las medidas de seguridad que nos indican en el comunicado que cito mas abajo en el apartado servidores web.

Ataques DDoS contra servidores de universidades españolas

Fecha de publicación: 07/05/2020

Nivel de peligrosidad: ALTO

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, avisa del incremento de ataques de Denegación de Servicio (DDoS) contra servidores de diferentes universidades españolas. La campaña, apoyada en algunos casos desde diferentes cuentas de Twitter, viene promovida por la situación acaecida en los campus españoles tras la docencia virtual provocada por la crisis del COVID-19.

En este sentido, conviene reseñar que los ataques registrados de DDoS, además de la perturbación que ocasiona a los servicios online de la Universidad en un momento como el actual, pueden, además, ocultar otro tipo de ataques como inyección de SQL dirigidos a la exfiltración de información del organismo objetivo.

Medidas de mitigación:

  • Activar los servicios de mitigación anti DDoS que tengan a su disposición y tener preparada una copia estática de la página web por si los atacantes tuvieran éxito.
  • Contratación de un servicio anti-DDoS también del servidor donde se publique la web o el suministrado por diversos fabricantes.
  • Limitar los accesos a las bases de datos por si un ataque de inyección SQL tuviera éxito y los atacantes consiguieran exfiltrar información.
  • Uso de firewall a nivel de aplicación.
  • Usar procedimientos de almacenado o “prepare-statements” con comprobación de parámetros y tipificación de los mismos.
  • Usar Frameworks para la programación de las webs.
  • Todo texto introducido a través de la web debe ser utilizado como texto y formateado como tal.

Medidas en las configuraciones de los dispositivos perimetrales:

Para aplicar en routers:

  • Ajustar los parámetros de trafficshaping y rate-limiting.
  • Despliegue de Unicast Reverse Path Forwarding.

Para aplicar en firewalls:

  • Activar la protección contra SYN flood.
  • Activar el módulo de IPS para las conexiones entrantes a los servicios expuestos en internet.
  • Los umbrales de las conexiones por segundo establecerlos o bajar el umbral.
  • Permitir únicamente IPs con origen España en los servicios que no se vean afectados por recibir conexiones de otros países (medida de carácter temporal).
  • Bloquear IPs relacionadas con los ataques perpetrados estos días.
  • Eliminar conexiones con “User-Agents” relacionados con herramientas de test de intrusión o hacking.

Para Servidores web:

  • Activar Mod_security o/y instalar firewall de aplicaciones destinado al servidor de aplicaciones.
  • Activar Dynamic IP Restrictions (DIR)
  • Regular el número de conexiones máximas simultaneas (MaxClients).
  • Controlar el número de descargas desde una única IP (mod_limitpconn).
  • Activar mod_bwshare para permitir conexiones basado en histórico.
  • Activar mod_dosevasive módulo de apache destinado contra DDOS
  • Instalar fali2ban para regular los accesos de Login junto con la inclusión de captchas en los logins o formularios.

Más información:

Atentamente,

Equipo CCN-CERT

Puedes obtener mas información en este enlace https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/10067-ataques-de-denegacion-de-servicio-distribuido-recomendaciones-y-buenas-practicas.html

Algunas pautas de seguridad TIC a tener en cuenta en el Teletrabajo

Hoy, por gentileza del área de seguridad informática  de la Universidad de Pablo Olavide, os dejo unas pautas de seguridad de la información asociadas al teletrabajo y que han enviado a todo su personal , que podemos aplicárnoslas en UGR igualmente.

De igual forma os recuerdo que tenéis algunas medidas de seguridad a nivel general establecidas para trabajar con datos personales o cualquier tipo de información http://secretariageneral.ugr.es/pages/proteccion_datos/documentos/documentosobremedidasdeproteccion

Por supuesto he adaptado algunos emails y URL’s a nuestra universidad.

Proteja su equipo
➢ Intente realizar la conexión desde equipos cuyo sistema operativo tenga soporte de actualizaciones de seguridad (Windows 8.1 en adelante).
➢ Mantenga su equipo actualizado. Aplique las actualizaciones de sistema operativo y actualizaciones de aplicaciones instaladas, con especial atención a herramientas ofimáticas y navegadores.
➢ Instale una herramienta de detección y eliminación de malware y manténgala actualizada. Puede seguir las recomendaciones de herramientas de la página oficial la Oficina del Internauta https://www.osi.es/es/herramientas
➢ Realice escaneos periódicos con la herramienta de detección y eliminación de malware.
➢ Realice análisis con herramientas de detección de malware de unidades externas (pendrive, discos duros, etc.) antes de acceder a su contenido.
➢ Tenga precaución en la instalación de aplicaciones en su ordenador. Acuda siempre a la página de proveedores oficiales para la descarga de software. Extreme las precauciones en la instalación y uso de extensiones en los navegadores. Ante la duda sobre garantías de seguridad, deshabilite las extensiones de los navegadores.
➢ Si transporta equipo corporativo, manténgalo siempre bajo custodia, no lo abandone en coches ni en lugares visibles. Si el equipo sufre daños o es sustraído, proceda a comunicarlo de forma inmediata a la Universidad.

➢ Desde ubicaciones remotas no dispone de las medidas de protección perimetrales corporativas, por lo que debe extremar las precauciones frente a la llegada de correo no deseado o fraudulento:

       • Asegúrese que el remitente del correo no ha sido suplantado, y que la cuenta corresponde una cuenta corporativa con dominio oficial (por ejemplo, @ugr.es  para remitentes de la Universidad).
      • Desconfíe de información no oficial sobre temas que despierten especial alerta (coronavirus, suspensión de servicios, situaciones de emergencia,etc.). No siga enlaces, ni descargue documentos desde ningún dispositivo.
     • Desconfíe de correos de remitente desconocido, o de remitente conocido cuyo contenido no corresponda con la actividad usual del remitente.
    • Desconfíe de correos que alertan sobre situaciones excepcionales (extravío de paquetes, caducidad o hackeo de cuentas de correos o cuentas de redes sociales, gangas o premios), que requieran acciones urgentes (registrarse en una página, facilitar datos personales, descargar un documento, instalar una aplicación, etc.), y cuyas consecuencias sean desfavorables que soliciten  datos (pérdida de una ganga, perder cuentas de correo o redes sociales).
     • No abra el correo los correos sospechosos. Si lo ha hecho, no siga ningún enlace, no abra documentos adjuntos, ni responda al propio correo. Si sospecha que ha podido ser víctima de un correo sospechoso, denúncielo  y proceda a cambiar de forma inmediata sus contraseñas corporativas.
     • Remita una copia del sospechoso a seguridadinformatica@ugr.es, le ayudaremos a identificar correos fraudulentos y denunciaremos a las autoridades cuando  lo sea.
    • No facilite en ningún caso datos personales como contraseñas o datos bancarios. Ningún servicio oficial se los solicitará por estos medios. Ante la duda, confirme con el remitente por una vía distinta (teléfono o presencial) sobre la acción requerida en el correo.

➢ No instale ninguna aplicación que le proponga una página web para poder visualizarsu contenido de forma correcta. Si necesita actualización o instalación de algún componente, acuda a la página web de sus distribuidores oficiales.

Proteja su conexión
➢ Conecte su equipo a redes seguras. Evite conectarse en redes wifi públicas o en locales públicos (hoteles, estaciones, aeropuertos, cafeterías…). Si necesitara conectarse a este tipo de redes inseguras, evite el intercambio de información confidencial o sensible (contraseñas, datos bancarios, datos de salud, etc.). Si, aun así, ha necesitado registrarse, cambie las contraseñas en cuanto se pueda conectar a una red segura.
➢ Evite conectarse desde equipos de uso compartido.
➢ Si conecta con un dispositivo móvil, fuera del hogar, recuerde que la red de datos de telefonía es más segura que la conexión wifi.
➢ Extreme las precauciones en la custodia de credenciales, en especial aquellas de uso temporal, que le puedan ser facilitadas para conexión excepcionales a los servicios de la Universidad. No las anote en un sitio visible, no las comparta y si sospecha que hayan podido ser sustraídas, proceda a cambiarlas de forma inmediata. Elija contraseñas siguiendo las recomendaciones de la política de contraseñas de la Universidad. http://secretariageneral.ugr.es/pages/seguridad-de-la-informacion/_doc/np04normasdecreaciaanyusodecontrasenaaasv02/%21
➢ Siga las recomendaciones de configuración segura de su proveedor de red Wifi. Protéjala con contraseñas seguras.

Proteja la información
➢ Proteja la información manteniendo su pantalla a salvo de miradas indiscretas.
➢ Bloquee la sesión de trabajo (tecla de Windows + L) cuando se ausente del equipo para evitar accesos no autorizados o acciones accidentales.
➢ Configure el bloqueo de sesión automático tras un tiempo de inactividad para que, si olvida bloquear la sesión de trabajo, el equipo lo haga de forma automática.
➢ Cuando inicie sesión en algún servicio corporativo (webmail, aula virtual, myapps,etc.). recuerde finalizar la sesión o realizar la desconexión cuando deje de utilizarlo.Esto liberará recursos y evitará accesos no autorizados.
➢ Si instala certificados personales en equipos de uso no habitual, proteja su uso concontraseñas y desinstálelo cuando ya no sea necesario.
➢ Evite almacenar en los navegadores información sobre contraseñas. Borre los archivos temporales y el historial antes de finalizar una sesión de trabajo.
➢ Evite transportar información corporativa en unidades extraíbles. Si fuera necesario,garantice que la información esté protegida de accesos no autorizados (protéjala con contraseñas u otros sistemas de encriptación). No etiquete el dispositivo de forma que pueda reconocerse el contenido del mismo. Custódielo en todo momento, evitando dejarlo abandonado o en sitios de fácil acceso. Extreme las precauciones para evitar pérdidas u olvidos accidentales.
➢ Evite descargar información corporativa en dispositivos propios (teléfonos, equipos personales, etc.). Si fuera necesario, mantenga las medidas de seguridad para que no sea accedida por terceras personas, incluidas aquellas que puedan compartir el equipo. Protéjalas con contraseña, no identifique la documentación de forma que pueda saberse el contenido de la misma.
➢ Evite imprimir o transportar información en soporte papel. Caso de realizarlo,mantenga las medidas de seguridad, extreme las precauciones en su custodia para evitar pérdidas o sustracciones, no etiquete la información que pueda reconocerse el contenido. Asegure que no se realizan accesos no autorizados.
➢ Con carácter general, no serán elegibles para su realización en modo de teletrabajo actividades que requieran el tratamiento de información y/o documentos que contengan datos de carácter personal u otros de especial relevancia que puedan comprometer, en caso de incidentes de seguridad o violaciones de seguridad, la obligada protección de los sistemas de información de la Universidad y, en particular, de los datos personales o la seguridad de instalaciones y personas. No obstante, en caso de que la tarea a desarrollar en teletrabajo sea identificada como susceptible de afectar a la protección de datos personales, seguridad de la información o derechos de las personas, deberá aplicar las medidas de seguridad adecuadas al tratamiento concreto que vaya a realizar. Con carácter general, en estos casos, evite descargar información sensible o que contenga datos de carácter personal. Antes de realizar cualquier descarga de este tipo de información,
reflexione sobre si es completamente necesario. Si así fuera, asegúrese que lo realiza con las medidas de seguridad requeridas para esto casos. Realice la descarga por canales de conexión segura. Protéjala por contraseña antes de realizar la comunicación. Cuando sea posible, disocie los datos. Custodie la información y las contraseñas de acceso para asegurar su confidencialidad. Tome medidas para que no sea accedido por personas no autorizadas.

➢ Elimine los datos o copias locales realizadas, incluso de forma automática, en cuanto dejen de ser necesarias. Para la información sensible o que contenga datos de carácter personal, asegúrese de realizar un borrado seguro que no permita la recuperación posterior. En este último caso, debe hacerlo al finalizar la jornada laboral. Para la información en soporte papel, elimine con procedimiento de destrucción segura.
➢ Si se produce cualquier pérdida o sustracción de información corporativa, con especial atención a información sensible o que contenga datos de carácter personal, comuníquelo de inmediato a protecciondedatos@ugr.es o a seguridadinformatica@ugr.es siguiendo el siguiente protocolo http://secretariageneral.ugr.es/pages/proteccion_datos/documentos/ugrprotocolonotificacioanbrechasdeseguridaddatospersonales

 

Aprovechan el COVID-19 para enviar correos electrónicos con malware adjunto

LA OSI INFORMA

Fecha de publicación: 2020-03-18 17:26:19
Gravedad: alta

Recursos afectados

Cualquier usuario que haya recibido uno de estos correos y haya descargado y ejecutado en su dispositivo el archivo adjunto malicioso.

Descripción

Se han detectado varias campañas de envío de correos electrónicos con archivos adjuntos que contienen malware. Los correos presentan diferentes asuntos y sus mensajes están personalizados según la empresa a la que pretenden suplantar. Todos ellos utilizan una llamada de atención sobre la crisis sanitaria causada por el COVID-19. Estos correos tienen como objetivo que el usuario se descargue el archivo adjunto para infectar el dispositivo y obtener información confidencial de la víctima.

Solución

Si has descargado y ejecutado el archivo malicioso, es posible que tu ordenador se haya infectado.