19 de mayo de 2009

Seguridad Coste 0: Autorun Vs Confincker

No todas las medidas de seguridad son caras, de hecho la mayor parte de ellas son más que asequibles. Como consultores de seguridad vivimos en un constante ciclo de Deming, el conocido Plan-Do-Check-Act, indispensable si nos creemos aquello de “la seguridad es un proceso” o sabemos algo de la ISO 27001 o de ITIL. Dentro del Check detectaremos las cosas que no están funcionando, o aquellas donde es necesario transformar el nivel de riesgo, para ello debemos ser partícipes de los procesos de negocio de nuestra empresa ponderándolos con los riesgos actuales y futuros, informando del estado actual y futuro de sus sistemas. El negocio nunca quiere asumir excesivo riesgo, a no ser que genere mayores oportunidades de negocio (esto es una curiosa paradoja), y tampoco quiere gastar dinero en más seguridad, quiere tener mejor seguridad.

Medidas de seguridad gratuitas y de bajo impacto son las que siempre nos reclamarán, esto muchas veces parece imposible, hace falta inversión, pero otras podemos quitarnos de una tacada un porcentaje alto de riesgos con una mínima cultura de la seguridad, o simplemente estando al día de las amenazas. Si habéis leído el Informe Mcaffe sobre amenazas del primer trimestre de este año) os encontrareis con apartados curiosos como “la exageración del Confincker frente a la realidad del autorun”, con gráficas como la siguiente donde se compara la aparición de gusanos que explotan el autorun de Windows  con el gusano Confincker:

Después de ver cosas así a uno le viene el regustillo de aquellos virus que se transmitían por disquetes y esos antivirus imposibles de actualizar cuando no se disponía de Internet. La in-seguridad, como la moda, siempre se repite. El caso es que la medida para mitigar este tipo de amenazas “nuevas”, aparte de tener antivirus actualizado (se da por supuestísimo) pueden pasar por una sencilla desactivación del autorun. Esto es un inicio à ejecutar à gpedit.msc (edición de las directivas de seguridad de grupo), Sistema y veremos la siguiente ventanita:

Con ello tendremos la falsa sensación de seguridad de que nuestros gusanos autorun no se ejecutarán, craso error. Basta un doble click sobre la unidad extraíble para que se ejecute, por lo que habrá que eliminarlo del registro con Inicio à Ejecutar à regedit y

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Donde configurando los permisos de la clave tendremos:


Y ahora ya tendremos la certeza de que el autorun no nos dará quebraderos de cabeza, esta medida aplicada a todo el parqué de microinformatica en una empresa, ¿Cuántas infecciones evitará?

Ah, y si queréis hacerlo de forma más cómoda tenéis las “Power Toys” disponibles aquí:

Y si teneis Vista un buen artículo de Microsoft aquí. A “nuevas” amenazas, “nuevas” soluciones, todo entre comillas xD

Salu2

2 comentarios:

eduardo abril dijo...

Y qué razón tienes .... las empresas invierten auténticos dinerales en dispositivos que "aparentan" seguridad y olvidan lo más elemental, como puede ser lo del autorun, destruir los discos duros antes de tirarlos y un larguísimo etc.

Y luego, pasa lo que pasa. ¿Conficker? Un virus trivial que usa trucos triviales: más que suficiente. ¿De qué sirve toda la seguridad si luego le damos a ejecutar a los adjuntos y a todos los links?

Saludos,

GigA ~~ dijo...

jeje, lo has contado muy bien Eduardo. ¿La solución? Cultura de Seguridad, Concienciación, buen Gobierno, etc. Por que medidas como la que contaba hoy hay muchas,,, a ver si pongo otro ejemplo prontito :)

Salu2 y gracias por tus comentarios!