Bretxes de seguretat: protegeix-te davant el ransomware

/in /per

Una de les mesures en què es materialitza el principi de responsabilitat activa de l’RGPD és en l’obligació de notificar les bretxes de seguretat a l’autoritat de control, llevat que sigui improbable que la fallida suposi un risc per als drets i llibertats dels afectats, dins de les 72 hores següents al fet que el responsable sigui conscient que el fet s’ha produït.

A més, en els casos en què sigui probable un alt risc per als drets o llibertats dels afectats, també se’ls ha de comunicar la bretxa. L’objectiu de la comunicació als afectats és permetre que puguin prendre mesures per protegir-se de les conseqüències. Per a la notificació de bretxes de seguretat, l’AEPD posa a disposició dels responsables de tractament un formulari en la seva seu electrònica.

És habitual que usuaris de pimes i grans empreses necessiten tenir accés des d’internet a un servidor o qualsevol altre equip de la seva xarxa per executar determinades aplicacions, realitzar tasques de manteniment o de suport. De vegades, també necessiten proporcionar accés a altres organizacionesque els presten un servei determinat.

Des de Windows NT 4.0, Microsoft incorpora el protocol d’escriptori remot que proporciona accés remot a la interfície gràfica de l’equip i permet resoldre la necessitat anteriorment descrita. És un servei habitualment usat en servidors que tenen instal·lat el sistema operatiu Windows, encara que també s’utilitza en altres sistemes operatius, per evitar haver de desplaçar-se físicament on es troba l’equip.

Coneixent l’adreça d’internet de l’equip (IP o nom DNS) i amb unes credencials vàlides, es pot accedir a la interfície gràfica de l’equip que tingui habilitat el servei i que per defecte utilitza el port de comunicacions 3389 TCP.

Una pràctica no recomanada, però molt habitual per la seva senzillesa d’implementació, és redirigir els ports en el router del proveïdor d’internet per permetre aquest accés remot a algun equip de l’organització. En permetre aquesta connectivitat s’està exposant un servei normalment protegit només per usuari i contrasenya.

En un entorn controlat de proves en què es simulin les condicions anteriorment descrites, es pot comprovar que en menys d’una hora l’exposició del servei és detectada i es realitzen centenars d’atacs per força bruta.

En els últims anys han cobrat una especial importància els atacs de tipus ransomware en què es busca xifrar informació per a posteriorment sol·licitar un rescat per la contrasenya de desxifrat. Encara que sembli una activitat en descens, segueix sent una gran amenaça a tenir en compte especialment en el cas de les pimes, un dels seus grans objectius.

 

La forma en què es produeix aquest atac és tradicionalment mitjançant phishing, en què a través de l’enviament d’un correu suplantant a l’emissor es remet un malware com a fitxer adjunt que acabarà xifrant els arxius de l’equip.

Però en l’actualitat també s’utilitzen altres tècniques, com ara alguns ransomware com Crysis / Dharma o Matrix el vector d’entrada és precisament el protocol d’escriptori remot. Utilitzant cercadors com Shodan, troben equips accessibles que tinguin contrasenyes febles i usuaris per defecte habilitats com “convidat”, “backup”, etc. Un cop accedeixen a l’equip procedeixen a desactivar sistemes de protecció com instantànies de volum o punts de restauració i xifren tota la informació del sistema demanant un rescat per lliurar la contrasenya de desxifrat.

Quan es pateix un atac d’aquest tipus se sol pensar únicament en què s’ha patit una bretxa de disponibilitat fins que s’aconsegueix recuperar la informació, habitualment des de les còpies de seguretat, si es disposa d’elles. Però no sempre es té en compte que han estat compromesos diferents comptes d’usuari que poden pertànyer a un domini, que s’ha pogut accedir a altres equips de l’organització i aconseguir credencials diferents a les del servidor afectat, a més es desconeix si el malware ha pogut enviar alguna informació emmagatzemada en els nostres sistemes cap a l’exterior.

La primera mesura preventiva a dur a terme per evitar aquests atacs és no exposar els serveis d’escriptori remot directament a internet mitjançant la redirecció de ports, en considerar-se una pràctica insegura. Com a mesura correctiva, disposar de còpies de seguretat de les dades és la mesura més eficaç.

Per a més informació sobre mesures preventives i com actuar davant d’un ransomware que hagi xifrat teus dispositius, l’Agència Espanyola de Protecció de Dades recomana consultar la guia sobre Ransomware publicada per INCIBE, l’informe de bones pràctiques del CCN-CERT i les recomanacions de mesures de seguretat davant ransomware també del CCN-CERT.