Cuidado, Pietro Paolo ¡Cuidado!

Ya sabeis que hace tiempo que ando detrás de un tablet, aunque van pasando las semanas y no acabo de decidirme.  Mientras, cada vez que tengo ocasión aprovecho para probar y trastear cualquier tableta que se cruce en mi camino, así que el otro día estuve un buen rato probando los que tenían expuestos en esa conocida multinacional francesa del ocio y la cultura.

Tablets expuestos en un centro comercial

Estaba entretenido revisando las aplicaciones de uno de los tablets cuando, al pulsar sobre el icono del correo, ¡Zasca! se abre el buzón de Gmail del bueno de Pietro Paolo (el nombre es ficticio, pero el despreocupado usuario tenía un nombre claramente italiano, como Enzo, Francesco o Marco, y un apellido también claramente italiano, como pueden serlo Garibaldi, Rossi o Antonietti).

A mí, se me hace impensable que alguien consulte su correo personal en un ordenador de prueba de unos grandes almacenes, pero encima que cuando se vaya deje el equipo sin preocuparse de cerrar la sesión “es de ser inútiles, eh?” [sic].

Por supuesto,  no accedí a ninguno de los correos del italiano, pero estaba todo ahí, al alcance de cualquiera, y supongo que no hace falta que os cuente lo que se puede llegar a hacer teniendo acceso a una sesión iniciada en Google, ¿no?

En estos casos, siempre hago la misma reflexión: los que nos dedicamos a la seguridad informática o a la privacidad damos por consabido determinados conceptos y comportamientos (que forman parte de nuestro día a día) aunque luego la realidad nos demuestra que los usuarios no están lo suficientemente concienciados en estas materias. Para ello, aquí os dejo las recomendaciones de la OSI (Oficina de Seguridad del Internauta) en relación al uso de ordenadores públicos:
“Consideraciones a tener en cuenta al utilizar ordenadores públicos”

Aprovechando que hoy es el “Día Mundial de la Sociedad de la Información”, más conocido como el “Día de Internet” (http://www.diadeinternet.org) dejo algunos enlaces de iniciativas relacionadas con la concienciación sobre la seguridad y la privacidad en Internet:

Pienso luego clico, campaña dirigida a jóvenes: www.piensoluegoclico.com
Menores OSI, dirigida a los más pequeños: http://menores.osi.es
Protege Tu Información, promovido por ISMS Forum: www.protegetuinformacion.com
A Internet, posa-hi seny! (en catalán), campaña del CESICAT (Centre de Seguretat de la Informació de Catalunya): http://internetambseny.cesicat.cat/

Y, por si mi "amigo" Pietro Paolo lee este post, este es el portal de seguridad Portale Sicurezza (en italiano) promovido por Infostrada: http://www.infostrada.it/it/sicurezza

Ransomware: peleando contra el Virus de la Policía

Llevo ya unas cuantas semanas encontrándome con ordenadores infectados por el llamado "virus de la policía".  Se trata de un malware que bloquea el ordenador solicitando el pago de un importe para desbloquearlo.  El mensaje, que acusa al usuario de haber accedido a páginas de pornografía, zoofilia, violencia sobre menores, etc. utiliza los logos y la imagen de la Policía Nacional (aunque también de cuerpos de policía de otros países).

Técnicamente se trata de un "Ransomware" (del inglés "ransom", extorsionar o pedir un rescate).  El programa maligno modifica determinadas claves del Registro para que se cargue al iniciar el sistema, mostrando el mensaje de aviso y bloqueando por completo el equipo.

He observado que algunas versiones de este malware cambian la "shell" (interfaz gráfica) de Windows (típicamente "Explorer.exe") por el nombre del programa en la siguiente ruta del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon

De este modo se asegura su ejecución en el inicio de Windows, bloqueando el equipo.  Por suerte, siempre configuro los equipos con la cuenta del Usuario con permisos restringidos; en este caso, los permisos del usuario impiden al malware que modifique esa clave del Registro y pueda autoejecutarse.

En este link de Hispasec hay más detalles sobre como una adecuada asignación de permisos nos protege de este virus:
http://unaaldia.hispasec.com/2012/02/vuelve-el-troyano-que-se-hace-pasar-por.html

Otras versiones, en cambio, modifican una clave del Registro en la que el usuario sí que tiene permisos:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Esta clave (en Windows XP) corresponde a la carpeta  C:\Documents and Settings\Usuario\Menú Inicio\Programas\Inicio  donde aparecen los programas que -para ese usuario- se cargan al iniciar sesión.

Si estamos en esta situación, basta con reiniciar el equipo en "Modo Seguro" o iniciar sesión con otro usuario para acceder a la carpeta de Inicio y eliminar el acceso directo al programa maligno.

En este caso, el troyano se llamaba "ch8l0.exe".  Pero ¡atención!, al eliminar el acceso directo de la carpeta de inicio, impedimos que el malware se cargue al arrancar el equipo, pero el ejecutable dañino sigue estando ahí.  Antes de eliminar el acceso directo hay que ver a que archivo apunta y en que ruta se encuentra.  En mi caso estaba en la carpeta temporal del usuario (C:\Documents and Settings\Usuario\Configuración local\Temp).  Con un "DIR /O:D" se muestran los archivos ordenados por fecha, nos interesan los últimos, además la fecha y hora del ejecutable coinciden con la del acceso directo.  Tras eliminar estos archivos, reiniciamos y el ordenador arrancará con normalidad.

Por cierto, subí el ejecutable a VirusTotal.com y ¡sólo lo detectaron 2 de 42 antivirus!

He realizado varias pruebas (consigo infectarme a propósito, en menos de 5 minutos, navegando por determinadas páginas de dudosa reputación ;-)) y no he encontrado más variantes que modifiquen otras claves del Registro, aunque aquí hablan de que una nueva versión que impide el arranque en "Modo Seguro".

Como curiosidad, en alguna ocasión, la página que ha aparecido es la de la policía alemana (BundesPolizei) ¿será porque mi operador de Internet es una compañía alemana?

Y para acabar, y ya que estaba en ello, revisando los logs del firewall, observo que cuando el equipo infectado se pone en marcha, se conecta inmediatamente a una IP ubicada, aparentemente, en Rusia.

Si bloqueo esa IP, no se muestra la pantalla con el supuesto mensaje de la Policía, aunque el ordenador continúa infectado y bloqueado.  En su lugar aparece una ventana de error de Internet Explorer que no puede cerrarse.



Privacidad y Protección de Datos Personales (Conferencia UE/EUA)

El 19 de marzo se realizó simultáneamente en Washington y en Bruselas la conferencia de alto nivel "EU Conference: Privacy and Protection of Personal Data" en la que Viviane Reding (Comisaria de Justicia de la UE y Vicepresidenta de la Comisión) y John Bryson (Secretario de Comercio norteamericano) mostraron el compromiso de la Unión Europea y los Estados Unidos para garantizar la protección de datos personales en los intercambios comerciales.

Se trata de un acercamiento con el fin de "reforzar la confianza de los consumidores y promover un crecimiento continuo de la economía global en Internet y la evolución del mercado digital común transatlántico".

En la web de la Comisión Europea se encuentran disponibles los vídeos de las ponencias así como la transcripción de algunas de las intervenciones:

http://ec.europa.eu/justice/events/eu-us-data/index.html

En lo que va de año han sido diversas la iniciativas surgidas a ambos lados del atlántico con el ánimo de reforzar el derecho a la privacidad de los consumidores y usuarios:

Propuesta de reforma de la normativa de Protección de Datos en la Unión Europea

Viviane Reding, Comisaria de Justicia de la UE y Vicepresidenta de la Comisión, ha presentado hoy la propuesta de reforma general de la normativa de protección de datos en la Unión Europea.

La normativa actual fue aprobada en 1995 (Directiva 95/45/CE del Parlamento Europeo y del Consejo), cuando -según palabras de Viviane Reding- "menos de 1% de los europeos usaba Internet".  La nueva propuesta incluye, además de la Directiva, un Reglamento que sería de común aplicación en toda la Unión Europea.

La Comisión ha creado un mini-site para informar sobre la necesidad de esta reforma:

http://ec.europa.eu/justice/data-protection/minisite

(más información extendida: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm)

Según la Nota de Prensa publicada hoy estos son los cambios esenciales de la reforma:

• Se impondrá un conjunto único de normas sobre protección de datos válido en toda la UE y se eliminarán requisitos administrativos innecesarios como los requisitos de notificación para las empresas. Esto les supondrá un ahorro cercano a 2 300 millones EUR anuales.
• En lugar de la disposición actual que obliga a todas las empresas a notificar todas las actividades de protección de datos a los supervisores de protección de datos (requisito que ha generado a las empresas trámites y costes por un valor de 130 millones EUR anuales) el Reglamento intensifica la responsabilidad y la obligación de rendir cuentas de todos aquellos que procesen datos personales.
  
  

Principales ataques de seguridad en 2011

A través de CSO España, el portal del grupo IDG de información y recursos para el Responsable de Seguridad, hemos conocido cuales han sido los ataques de malware y fallos de seguridad más destacados en el año 2011.

Fuente: CSO España (http://www.csospain.es)

Link a la noticia original: http://www.csospain.es/Principales-ataques-de-seguridad-en-2011/seccion-Actualidad/noticia-116674

Según este resumen (elaborado por BitDefender), esta ha sido la cronología de 2011:

• Enero: Las estafas para redes sociales se vuelven móviles
• Febrero: Downadup, el virus más activo del año
• Marzo: Likejacking, una nueva amenaza para redes sociales
• Abril: Los eventos y el etiquetado de fotos en Facebook, fuentes de peligro
• Mayo: La muerte de Bin Laden utilizada para propagar troyanos bancarios
• Junio: Los hackers asaltan a los gigantes de los videojuegos
• Julio: Jay Leno, la celebridad de Hollywood más mencionada en el spam
• Agosto: 20.000 credenciales de agencias gubernamentales de Estados Unidos filtradas
• Septiembre: 11-S los ciberdelincuentes también tratan de sacar partido de la tragedia
• Octubre: La conferencia de seguridad VB 2011, usada para distribuir malware a través de Twitter
• Noviembre: La pornografía toma Facebook
• Diciembre: Un "dialer" a la cabeza de las infecciones en dispositivos Android

30 de noviembre: Día Internacional de la Seguridad de la Información (Nota de prensa AEPD)

Desde 1988, cada 30 de noviembre, se celebra el "Día Internacional de la Seguridad de la Información".  Instituciones y Organismos aprovechan esta fecha para concienciar sobre la importancia de la seguridad de los datos y los sistemas que los albergan.

A continuación transcribo la nota de prensa publicada hoy por la Agencia Española de Protección de Datos (AEPD) con motivo de esta jornada.

En el marco del Día Internacional de la Seguridad de la Información

La AEPD reclama que empresas, organizaciones y ciudadanos asuman la seguridad de la información en el uso de las Nuevas Tecnologías como una prioridad

(Madrid, 30 de noviembre de 2011). Hoy se celebra el Día Internacional de la Seguridad de la Información, un evento anual que se lleva a cabo el 30 de noviembre desde el año 1988 y tiene por objetivo concienciar acerca de la importancia de la seguridad de la información en el uso de las Nuevas Tecnologías.

Con motivo de esta celebración, la AEPD hace un llamamiento a empresas y organizaciones públicas para que afronten la seguridad de la información en Internet como algo prioritario en el desarrollo de su actividad. En este sentido se recuerda que -al igual que en el mundo off-line-, en el uso de las Nuevas Tecnologías, empresas y organizaciones deben respetar las obligaciones en materia de seguridad y confidencialidad de los datos personales establecidas en la legislación de protección de datos, teniendo un grado de diligencia específica para evitar vulnerabilidades o accesos no autorizados en los servicios prestados a través de Internet.

La AEPD junto con el resto de Autoridades de Protección de Datos de la UE han trabajado activamente para que el proceso de revisión de la Directiva de Protección de Datos del 95, actualmente en curso, que tiene como objetivo adaptar sus disposiciones al mundo de las nuevas tecnologías, introduzca nuevos principios, como la noción de privacidad desde el diseño o “privacy by design”. Este principio exige la realización de un análisis escrupuloso de las implicaciones que un servicio -antes de ofrecerlo a los usuarios- tiene para la privacidad y la adopción de las medidas necesarias para garantizar la seguridad de los datos personales.

Por otra parte, se recuerda que tanto la AEPD como otras Autoridades de Protección de Datos vienen reclamando y exigiendo a la industria y a las empresas que prestan sus servicios a través de Internet, y especialmente a los prestadores de servicios de redes sociales, que establezcan por defecto los parámetros de configuración más garantistas y respetuosos con la privacidad de sus usuarios.

Se acaban las direcciones IPv4. ¡Bienvenido IPv6!

Hace unas semanas tuve la ocasión de asistir a una de las Jornadas de Formación IPv6 organizadas por 6DEPLOY como parte del "Plan de fomento para la incorporación del protocolo IPv6 en España" (aprobado por el Consejo de Ministros de 29 de abril de 2011).

Las Jornadas las está impartiendo Jordi Palet, CTO de Consulintel, experto mundial en IPv6 que ha colaborado junto con otros expertos en la edición del libro "IPv6 para todos. Guía de uso y aplicación para diversos entornos" (descargable en PDF desde la web de The IPv6 Portal).

Otra de las medidas aprobadas en el citado Plan de fomento consistía en la creación de un portal específico sobre IPv6 "que contendrá información explicativa y didáctica de carácter técnico sobre IPv6 y recogerá noticias relevantes de organizaciones de referencia en materia de IPv6 en el ámbito internacional ...".  La dirección de este portal es:

http://www.ipv6.es/

Cuando se adoptó IPv4, en 1983, Internet (que hasta entonces era ARPANET) servía para interconectar diferentes universidades y algunos organismos militares.  IPv4 proporciona más de cuatro mil millones de direcciones de 32 bits distintas (exactamente 2^32 = 4.294.967.296), cifra que -en aquellos años- nadie pensó que iba a ser insuficiente.

IANA (Internet Assigned Numbers Authority) es el organismo que reparte las direcciones IP y está organizado en 5 registros regionales:

RIPE NCC (Europa y Oriente Medio)

APNIC (Asia/Pacífico)

AfriNIC (África)

ARIN (Norteamérica)

LACNIC (Latinoamérica y Caribe)

Cuando un Registro necesitaba más direcciones, solicitaba nuevas IP a IANA, que las repartía en bloques "/8" (prefijos de 8 bits, o lo que es lo mismo 2^24 = 16,6 millones de direcciones por bloque).  El 3 de febrero de 2011, IANA repartíó los últimos 5 bloques "/8" que le quedaban, un bloque para cada región.

APNIC, que provee a países como China o India, en un mes "gastó" 24 millones de direcciones IP, agotando todas sus direcciones antes de verano de este año.  A finales de 2011 o principios de 2012 se prevé que se agoten en Europa (RIPE NCC) y unos 6 meses después en Norteamérica (ARIN).  AfriNIC y LACNIC aún dispondrán de direcciones IPv4 durante unos 2 años.

No obstante, aunque ni IANA ni los Registros regionales no dispongan de más direcciones IPv4 para entregar, no significa que se hayan agotado completamente, ya que los ISP podrían tener muchas de ellas guardadas, sin asignar.

Aún así, la adopción de IPv6 debe realizarse cuanto antes.  Si bien este protocolo está disponible desde 1999, su proceso de despliegue ha sido muy lento.  Si en Asia/Pacífico (donde ya no disponen de direcciones IPv4) empiezan a desplegar servicios y soluciones solo-IPv6, los usuarios de solo-IPv4 no tendrán acceso a esos servicios.  Igualmente, aunque en Latinoamérica o África aún dispongan de direcciones libres, no pueden esperar a agotarlas para hacer el cambio, ya que en ese periodo no podrán acceder a los servicios IPv6 ofrecidos en las otras regiones.

Aquí dejo el enlace a los vídeos de una de las interesantes sesiones de Jordi Palet (la que se impartió en la Universidad de Valencia el pasado 16 de septiembre):

http://www.6deploy.eu/workshops2/videos-ipv6.php

Por cierto, las posibles direcciones IPv6 (de 128 bits) son 340 sextillones (2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.456) y los expertos auguran que no se agotarán, como mínimo, hasta el año 3000.  ¡Volveremos a hablar de ello dentro de mil años!