domingo, 7 de febrero de 2016

El CCN-CERT publica Informe de Medidas de Seguridad contra el Ransomware

El CCN ha publicado un informe de Medidas de seguridad contra el Ransomware en el que da a conocer determinadas pautas y recomendaciones de seguridad para ayudar a prevenir y tratar los incidentes ocasionados por este tipo de malware.

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como el CERT Gubernamental español. El CCN-CERT tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para el país.

Todos recordamos el famoso "Virus de la policía", claro ejemplo de ransomware, un tipo de malware que secuestra recursos de un sistema informático y pide un rescate por su liberación.

El CCN-CERT, del Centro Criptológico Nacional, ha publicado el "Informe de Amenazas IA-01/16 Medidas de seguridad contra Ransomware", en el que da a conocer pautas y recomendaciones de seguridad para ayudar a prevenir, gestionar y afrontar los incidentes de este tipo, cada día más numerosos y agresivos. De hecho, sólo en 2015, el Sistema de Alerta Temprana en Internet (SAT-INET) del CERT Nacional Gubernamental gestionó 500 incidentes relacionados con este tipo de ataques (frente a los 200 de 2014).

En los últimos años, las acciones dañinas de este tipo de malware han evolucionado para dar lugar a una nueva generación de ransomware denominada "file encryptors", cuyo principal objetivo es cifrar la gran mayoría de documentos del equipo. En este caso, la principal herramienta de extorsión será el pago de cierta cantidad de dinero a cambio de una clave que permitirá recuperar (descifrar) los ficheros originales.

El Informe recoge una pequeña introducción así como un listado de medidas preventivas frente a este tipo de código. Posteriormente, y para el caso de haberse producido una infección, se ofrece una serie de medidas generales, junto con la forma de comunicar el incidente y una valoración de escenarios.

Este informe está disponibles en el portal del CCN-CERT desde:
https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1384-ccn-cert-ia-01-16-medidas-de-seguridad-contra-ransomware/file.html. El "Informe de Amenazas IA-01/16 Medidas de seguridad contra Ransomware" tiene 28 páginas y cubre tanto medidas preventivas como reactivas, restauración de ficheros y descifrado de ransomware. Un material de gran ayuda para tratar ante este tipo de malware cada vez más habitual.


Antonio Ropero
Twitter: @aropero

sábado, 6 de febrero de 2016

Microsoft publica EMET 5.5

EMET (Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de mitigación mejorada) es una gran utilidad para mitigar la explotación de vulnerabilidades mediante la inclusión de capas de protección adicionales. Microsoft ha anunciado la publicación de la nueva versión EMET 5.5 que incluye soporte para Windows 10 y mejora algunas mitigaciones.

En una-al-día hemos mencionado frecuentemente EMET como contramedida para gran parte de las vulnerabilidades que se anuncian, especialmente indicado y recomendado para las de 0-day. EMET 5.5 es un programa de Microsoft gratuito (solo disponible en lenguaje ingles), sencillo de manejar y de gran utilidad.

Básicamente, EMET es un programa para forzar el uso de DEP y ASLR en todos los procesos y programas, pero además previene de las técnicas habitualmente empleadas por los exploits para eludir estas medidas.

EMET se publicó en 2009 como una herramienta independiente para ayudar a las empresas a mejorar la protección de los clientes Windows, a través de una interfaz para gestionar mitigaciones de seguridad además de proporcionar funciones destinadas a detener vectores de ataque conocidos empleados frecuentemente por el malware. Desde entonces, Microsoft ha realizado mejoras en la seguridad del navegador y el núcleo del sistema operativo.

Con Windows 10 la firma de Redmond ha implementado muchas características y mitigaciones que pueden hacer que EMET sea innecesario en dispositivos con este sistema. Las características de Windows 10 que proporcionan mitigaciones equivalentes (o mejores) que EMET incluyen Device Guard, Control Flow Guard (CFG) y AppLocker.

Sin embargo, EMET es más útil para proteger aplicaciones heredadas, y para proporcionar una protección Control Flow Guard (CFG) para el software de terceras partes que no se hayan recompilado utilizando CFG. Por ello, EMET 5.5 ofrece compatibilidad con Windows 10.

De forma similar, debido a las tecnologías empleadas para proteger el navegador Microsoft Edge (incluyendo la sandbox, compilación y técnicas de gestión de memoria), las mitigaciones de EMET 5.5 no se aplican a Edge.

La nueva versión 5.5 también incluye la configuración mejorada de varias mitigaciones a través de Group Policy Object (GPO) y varias mejoras en el rendimiento de pseudo-mitigaciones EAF/EAF+. También se ha mejorado la escritura de las medidas de mitigación en el registro, lo que hace más sencillo aprovechar las herramientas existentes para la gestión de las mitigaciones EMET a través de GPO.

EMET 5.5 está disponible para descarga desde:

Más información:

EMET 5.5 is available

Device Guard overview

CFG. Visual Studio 2015 Preview: Work-in-Progress Security Feature

Información técnica de AppLocker

Microsoft Edge: Building a safer browser

una-al-dia (01/08/2014) Microsoft publica EMET 5.0

una-al-dia (16/11/2014) Microsoft publica EMET 5.1

una-al-dia (18/03/2015) Microsoft publica EMET 5.2

                                                                                                  
Antonio Ropero
Twitter: @aropero