OFF-Topic

La Ser, Everis y otras empresas bloqueadas por ransomware

c0ira
c0ira #331 Nov '19

#308 Joer un tío de Everis se folló a tu novia o que? Que adentro la tienes.

A ver si te crees que en Google y Facebook son maravillosos y todo es amor al empleado. En FB es normal tener épocas de currar 6 días a la semana, y 12h al día. Si hace unos meses un empleado puteado se tiró desde el tejado de la sede de FB en Menlo Park xD.

En todos los sitios cuecen habas.

El mayor problema de Indra, Everis etc es que subir de rango y de pasta suele conllevar alejarse de la parte técnica y acercarse a la gestión. El día que se parezcan a las empresas de USA y empiecen a pagar lo mismo a un gerente que no abre un IDE que a un Senior staff engineer, habrán ganado mucho. Por eso mucha gente buena técnicamente se acaba pirando.

Y esto no quita que haya gente muy buena que por estabilidad y sueldo (pq cuando quieren pagan bien) siga en estas empresas.

1
Huk
Huk #332 Nov '19

si se llena de lamers me piro oye

iomegakek
iomegakek #333 Nov '19 :psyduck:

A mi empresa llegó un aviso hace un par de semanas de que había una oleada nueva de ransomware y llevamos ese tiempo reforzando la seguridad y avisando a los compañeros de qué tipo de archivos los pueden infectar.

1 respuesta
AikonCWD
AikonCWD #334 Nov '19 Git Gud

Otro hilo soltando un poco más de info: https://twitter.com/ArnauEstebanell/status/1192018308398297088

2 2 respuestas
NeV3rKilL
NeV3rKilL #335 Nov '19 :psyduck:

#333 Yo creo firmemente que ese tipo de prevención es inútil. La concienciación es importante, pero detrás han de haber mecanismos para evitar el daño en caso de que un humano la cague, porque el humano, evidentemente la cagará. Las reglas para evitar que esto pase suelen ser bastante claras, pero es que aún y así no puedes protegerte ante 0 days o ante exploits no parcheados.

#334 Infinitas gracias por el curro de recolección y filtrado de la info.

1 respuesta
SpiuK
SpiuK #336 Nov '19

#334 Entiendo con eso que a un usuario no administrador "no" le afectaría no?

1 respuesta
AikonCWD
AikonCWD #337 Nov '19 Git Gud

#336 Al contrario. Estos ataques se centran en conseguir acceso a alguna máquina de la red (sea admin o no) y luego con exploits y similares intentar saltar a una máquina con admin, sacar credenciales de admin de la caché o elevando privilegios/exploits para saltar a admin. A partir de ahí ir saltando de PC en PC y de Server en Server para sacar más passwords y poder desplegar finalmente el ransomware afectando el máximo número de equipos.

4 2 respuestas
mongui
mongui #338 Nov '19

Al final si no soy yo, la info se filtrara por otras vías, acojonante lo poco que se calla la gente xDD

1 respuesta
SpiuK
SpiuK #339 Nov '19

#337 A eso más o menos me refería por eso entrecomillaba el no.

Si yo obtengo el bicho pero no soy admin, aunque propague desde mi equipo yo no soy afectado desde el principio por asi decirlo, no?

1 2 respuestas
AikonCWD
AikonCWD #340 Nov '19 Git Gud

#338 ves?? te lo dije. Al final la gente va soltando cosillas.

#339 Es relativo. Un atacante que tenga acceso a un equipo no-admin, podría intentar explotar alguna vulnerabilidad y conseguir permisos de administrador, por ejemplo usando exploits de elevación de permisos como el nuevo de iTunes o Steam (hay muchos más).

Aunque no consiga acceso de admin, un ramsonware ejecutado en un entorno de usuario normal encriptará todos los ficheros de ese usuario y poco más. También encriptará cualquier unidad de red/trabajo al que tenga acceso de escritura.

1 2 respuestas
NeV3rKilL
NeV3rKilL #341 Nov '19 :psyduck:

#337 Parece un trabajo de chinos. Vamos que quizá llevaban dentro de la red 2 o 3 semanas y nadie se dio cuenta hasta que se cansaros y extendireon el ransomware.

#339 Si eres el paciente 0, tu vas a tratar de "infectar" los equipos que tengas alrededor, aún que no seas admin. Tu PC va a buscar exploits no parcheados en los equipos vecinos y en tu propio equipo y como ya estás dentro de la LAN los firewalls y de más trabas son mucho más laxos, si los hay.

1 1 respuesta
mongui
mongui #342 Nov '19

#340 Si es que han filtrado toda la info en ese hilo de twitter, pf, vaya poca moral tiene la gente para filtrar info que es interna de la empresa y que te dicen expresamente que no puedes liberarla.. Le suda los huevos a la gente xDD

1 respuesta
NeV3rKilL
NeV3rKilL #343 Nov '19 :psyduck:

#342 No te puedes fiar de un tío que se hace llamar pussylover en virustotal.com

1
c0ira
c0ira #344 Nov '19

#340 Este tema es muy interesante la verdad, y la mayoría no tenemos ni idea de como funciona ni de como protegernos. Si te animas podías volver a hacer unos vídeos como los de crear cheats pero sobre este tema, escalar privilegios, propagar el ransomwarea otro equipo etc, viendo lo que hay debajo de todo esto.

Me imagino que será un poco coñazo, pero bueno, yo lo dejo caer... :smiley:

2 respuestas
iomegakek
iomegakek #345 Nov '19 :psyduck:

#335 es más bien un trabajo de educación ante los ataques obvios, o en cosas menores como "no habilitar macros en archivos de word descargados de internet".

Ya tuvimos un ataque una vez y por suerte lo vimos a tiempo y solo infectó 1 equipo.

SpiuK
SpiuK #346 Nov '19

#341 A esa conclusión era a la que quería llegar. Muchas gracias

AikonCWD
AikonCWD #347 Nov '19 Git Gud

#344 es un poco coñazo por el tema de tener un mínimo de 2 máquinas virtuales (atacante + víctima) y el OBS grabando todo eso a la vez. No creo que mi PC aguante tanta chicha xd.

Yo sobre estos temas aprendí muchísimo utilizando la distro "Damn Vulnerable Linux" y Metasploitable 2

1 2 respuestas
NeV3rKilL
NeV3rKilL #348 Nov '19 :psyduck:

#344 Como ya dijo, hay suits como la ya mencionada Empire. Que son una recolección de exploits públicos, viejos y nuevos, con el estado del arte mostrados en convenciones de hacking. La mayoría de exploits están parcheados, pero siempre hay algunos que le parche aún no ha llegado o que la empresa directamente suda de sacarlo porque no lo cree prioritario.

También tienes webs públicas como https://www.exploit-db.com , https://sploitus.com/ con chorrocientos exploits. Con eso puedes escalar privilegios y/o ejecutar codigo arbitrario con el que extender la infección, buscar y tomar acceso de bases de datos, etc.

A groso modo, cuanto más software tenga un PC, más números hay de que algun software tenga algún fallo conocido: versión antigua, o sin parchear; y esas suits rollo Empire lo encontrarán y tu (el hacker) apretando 3 botones ya estarás ejecutando código arbitrario.

#347 Ya somos 2. Yo usé la DVL hace bastantes años, supongo que habrá cambiado y ya no será todo un galimatías ncurses.

1 1 respuesta
Kaiserlau
Kaiserlau #349 Nov '19 Penitente

#347 un core virtual por vm (que no van a ir a tope ni del palo) y el obs no chupa tanto, ram y hd y gg.

Lo mejor que pueden hacer es tirar del cable y pasarlo todo por la trituradora ya xD o si no tin foil 24/7

AikonCWD
AikonCWD #350 Nov '19 Git Gud

#348 pues acabo de ver que han sacado Metasploitable 3 :O hoy mismo lo pruebo

1
B
[Borrado] #351 Nov '19

Puede que resulte absurdo lo que voya preguntar, pero ¿Porqué motivo hay tanto secretismo? quiero decir, si se ha sufrido un ataque tal magnitud, ¿porqué ocultarlo?

4 respuestas
HeXaN
HeXaN #352 Nov '19

#351 ¿Porque tu empresa pierde credibilidad?

1 respuesta
mongui
mongui #353 Nov '19

#351 Basicamente a tus actuales clientes les estarías mostrando tus verdaderas vulnerabilidades, las cuales aunque se dan por hecho (dado que han entrado por ahi), afirmarlo seria confirmar que no cumples con los standards mínimos de seguridad que supuestamente vendes o dices tener xD

1 respuesta
Rayven
Rayven #354 Nov '19

#351 Porque si ademas de la perdida de credebilidad que te dar ser una tecnologica a la que han hackeado añades a la informacion que dicho hackeo es por alguna chorrada facilmente arreglable en vez de por un equipo de super hackers milagrosos que han necesitado desencriptar tu sistema con ayuda divina entonces se te jode el invento...

1 respuesta
B
[Borrado] #355 Nov '19

#352 #353 #354 ya avisé de la posible absurdez :person_shrugging: y gracias :D

B
[Borrado] #356 Nov '19

#351 Por razones comerciales. A ver con que cara se presenta esta mañana un comercial de Everis a vender una solución que tenga un componente de seguridad. A ver como presenta la newdatabasesoluciondetodostusmales sin que se le caiga la cara de vergüenza al citar las certificaciones de seguridad que tienen y dicen cumplir... Esto es un marrón para los comerciales y responsables de comunicación muy muy gordo. Date cuenta que aunque el detonante haya sido por phishing y la cagada de un usuario incompetente se les ha levantado que tenían servidores con el escritorio remoto abierto y sin aplicar parches de seguridad críticos... la imagen de Everis en el sector, ahora mismo está por los suelos y no hay ni un solo responsable de proyectos que no mire con recelo hoy a un proyecto de Everis en cuanto a seguridad se refiere.

1 1 respuesta
c0ira
c0ira #357 Nov '19

#356 A ver quien vende esto ahora xDD

Global Solutions for Critical Systems implementation based on innovative and reliable technologies

La seguridad es un área crítica para cualquier organización. Sin embargo, el enfoque tradicional de la seguridad se ha visto superado por la realidad. El mundo actual, plagado de nuevos desafíos, exige tanto estrategias como herramientas que garanticen una seguridad global e integrada. Hoy la gestión de la seguridad debe contemplar las amenazas externas, pero también las internas; debe proteger las infraestructuras a la par que los datos; debe vigilar y reaccionar, pero también anticipar lo que pueda ocurrir y ayudar a proteger la reputación de las organizaciones.

La visión de la seguridad de everis pasa tanto por la convergencia entre seguridad física y lógica bajo un único enfoque en el que ambas se complementan, apoyan y protegen mutuamente, como por el desarrollo y aplicación de tecnologías punteras en biometría, gestión inteligente de imagen y audio o monitorización. De esta forma, everis ofrece a sus clientes soluciones que integran tecnologías avanzadas para una gestión global de sus necesidades seguridad.

1
AikonCWD
AikonCWD #358 Nov '19 Git Gud

Lo suyo de todo este embrollo es que seguramente se podría salvar más y más rápido si publicasen abiertamente lo que ha ocurrido.
Pero evidentemente prefieren callar y ocultar aunque eso les provoque una mayor pérdida de tiempo en arreglar el problema.

1 2 respuestas
SikorZ
SikorZ #359 Nov '19 El Gran Carlemany

#358 Quizás soy un poco perri por esto pero yo prefiero que sufran las grandes empresas.

Tarde o temprano deberá cambiarse el paradigma tecnológico y darse cuenta que se debe invertir recursos en IT.

Porque para mí eso de que firmen proyectos de millones de euros y luego pongan a 5 recien salidos de la carrera a hacerlo tiene que petar, tarde o temprano. Necesitamos concienciarnos de que invertir en seguridad y recursos es invertir en tu propia empresa, que no es dinero malgastado.

Aunque eso en España va a costar que entre.

1 1 respuesta
AikonCWD
AikonCWD #360 Nov '19 Git Gud

#359 hasta donde yo se, los proyectos que lleva everis están bien redactados. La gente de everis que trabaja en clientes grandes (orange, telefonica, etc) hacen bien su trabajo y cumpliendo los standares.

El problema es cuando en tu propia empresa tienes a trabajadores con WindowsXP y Win7 corriendo programas en admin local.

En casa del herrero... cuchillo de palo.

Usuarios habituales

  • Shikoku
  • CaNaRy_r00lz
  • SikorZ
  • mongui
  • AikonCWD
  • Vedrfolnir
  • ColdZimeh

Tags