Pla Bàsic
Inclòs en tots els allotjaments
En un primer bloc, us presentem un apartat de Preguntes Freqüents, introductòries i generalistes sobre la seguretat en internet, en el lloc web, en WordPress i què cal fer en cas d’atac o infecció.
En un segon bloc, les nostres propostes de Plans de Seguretat (bàsic, professional, corporatiu), tant aplicables als nostres allotjaments, com externs i on cada pla de seguretat, inclou les pròpies prestacions, afegides a les del pla anterior.
Si teniu qualsevol dubte, conceptual o tècnic, gustosament us atendrem.
FAQS
::: Introducció generalista sobre seguretat a internet
CONTINGUTS
1. LA SEGURETAT AL MÓN DIGITAL
·······1.1 Quins són els riscos?
·······1.2 Protecció empresarial i de la clientela
·······1.3 Normes bàsiques i bones pràctiques
·······1.4 Política de protecció de dades (externa i interna)
·······1.5 Ciber Seguretat: Inversió o despesa?
2. PROTEGEIXI LA SEVA INFORMACIÓ (PERSONAL I IDENTITAT)
·······2.1 Còpies de seguretat
·······2.2 Encriptació. Com fer-la
·······2.3 Suplantació d’identitat (phishing)
·······2.4 Contrasenyes
3. PROTEGEIXI ELS ESTRIS DE LA SEVA FEINA
·······3.1 Anàlisi d’equips i pla de seguretat
·······3.2 Antivirus i antiprogramari maliciós
·······3.3 Operacions bancàries
·······3.4 Seguretat pels smartphones
4. PROTEGIU-VOS DINS D’INTERNET
·······4.1 Wi-Fi
·······4.2 Xarxa privada (VPN)
·······4.3 Router
·······4.4 Gestor de continguts (CMS)
·······4.5 Dades de comerç electrònic
·······4.6 Xarxes socials
·······4.7 Protocols d’actuació
·······5.1 Gran volum de dades: compartir i emmagatzemar
·······5.2 Vulneracions seguretat i privacitat
·······5.3 Denúncies
1. LA SEGURETAT AL MÓN DIGITAL
1.1 Quins són els riscos?
Actualment les riscos més freqüents exposats al nostre negoci/activitat són:
• Malware
Programari maliciós que invadeix, danya o desactiva equips, pot robar, xifrar, esborrar dades i alterar/segrestar funcions bàsiques del dispositiu, així com espiar-nos.
És un terme ampli que inclou:
·· Virus, un segment de línia de codi que altera el funcionament normal de l’ordinador, sense el permís o el coneixement de la persona usuària.
·· Troians, que simulen ser un programari legítim innocu que s’introdueix en un programa ja existent al sistema, per tal d’enganyar la persona usuària i obrir la porta a altres tipus de malware que infectin l’ordinador.
·· Spyware, que té com a objectiu espiar les persones usuàries i guardar les seves contrasenyes, dades de targetes de crèdit, dades personals i patrons de comportament en línia (exemple: registra les pulsacions del teclat de l’ordinador), per enviar aquesta informació al delinqüent.
·· Cucs, que ataquen xarxes senceres de dispositius saltant d’un ordinador a un altre amb l’objectiu de propagar i afectar el major nombre de dispositius possible. Creen còpies de si mateixos a l’ordinador afectat, que distribueixen posteriorment a través de diferents mitjans, com el correu electrònic, missatgeria instantània o continguts amb temes que criden l’atenció com ara sexe, personatges famosos, temes d’actualitat o programari pirata.
·· Ransomware, que segresta arxius, els xifra i exigeix diners a la víctima a canvi d’una clau de desxifrat, que sovint no funciona.
·· Adware, que inunda les pantalles de les víctimes d’anuncis no desitjats i crea vulnerabilitats de seguretat perquè es pugui introduir una altra classe de malware sense adonar-nos-en.
• Phishing
Tècnica molt estesa que es basa en la suplantació d’identitat d’una marca o entitat amb reputació, com pot ser algun organisme oficial o empresa coneguda o banc, per tal d’adquirir informació compromesa.
Habitualment, es presenta sota la forma de correu electrònic, però també a través de missatgeria (SMS, Whatsapp) i trucades de veu. En tots els casos, es demana que la persona usuària confirmi o doni dades generalment relacionades amb comptes bancaris, targetes de crèdit o números d’assegurança i, sovint, sota l’amenaça de cancel·lar els serveis en un temps determinat, si no es fa.
1.2 Protecció empresarial i de la clientela
En general, les amenaces digitals són més freqüents i exitoses contra els més vulnerables, petits negocis, més fàcils d’infiltrar, rastrejar i amenaçar, que les grans corporacions.
Si patim algun ciberatac a la nostra empresa, podem perdre gran quantitat d’informació i documents si no tenim al dia les nostres còpies de seguretat i a banda, deixem totalment exposades tant les nostres dades com les de la nostra clientela. Tenim una responsabilitat tan ètica com legal de custodiar correctament aquestes dades.
1.3 Normes bàsiques i bones pràctiques
Les següentes propostes, especialment dirigides a persones autònomes, petites i mitjanes empreses, així com la seva plantilla, són aplicables en qualsevol dels mitjans o dispositius digitals que involucren la nostra empresa, com:
• El BYOD (Bring Your Own Device), tots els dispositius a través del quals nosaltres o el nostre personal accedeix a informació de l’empresa: ordinadors, tauletes o telèfons mòbils, tan particulars com corporatius.
• Cloud computing i big data, l’emmagatzematge i gestió de dades, tant al núvol com en local.
• Internet de les coses, com ara els rellotges intel·ligents, la bitlletera electrònica…
• Aplicacions mòbils.
• Les múltiples identitats digitals en xarxes socials.
Normes bàsiques
• Instal·lar un programari de seguretat.
• Fer còpies de seguretat diàries de tots els documents.
• Mantenir el correu electrònic net i utilitzar filtres de correu brossa.
• Utilitzar contrasenyes complexes i canviar-les regularment.
• Mantenir al dia els sistemes operatius dels dispositius relacionats amb l’empresa amb les darreres actualitzacions, així com la pàgina web.
• Entendre i tenir present com actuen les nostres empreses interlocutores que tracten amb dades vulnerables. És més fàcil detectar una comunicació potencialment perillosa si sabem com es comporten determinades interlocutores, per exemple: correus, bancs, empreses de missatgeria, etc. Per exemple, sabem que el banc mai ens demanarà el codi PIN en un correu electrònic, si detectem faltes d’ortografia o logos antics o pixelats, és altament possible que aquella comunicació es tracti d’un frau. En cas de dubte, no obriu les comunicacions.
• Verificar l’origen de les comunicacions que rebem. • No accedir a llocs web o aplicacions amb informació delicada, com ara bancs, a través d’una xarxa Wi-Fi pública.
• Vulnerabilitats off-line: no escriure els codis PIN, cal firmar les targetes de crèdit i dèbit, revisar els comptes bancaris periòdicament, triturar els documents confidencials no necessaris.
• Crear una cultura de la seguretat amb les persones treballadores. Proporcionar criteris clars i normes per a la seguretat preventiva i protecció de dades en tots els processos de l’empresa, i impulsar formacions sobre el tema.
A partir del 25 de maig del 2018 es va instaurar a Europa una normativa de protecció de dades que afecta a totes les empreses. Aquesta llei exigeix documentar com actua la nostra empresa internament a l’hora de recollir, processar i emmagatzemar dades, així com quines mesures de seguretat prenem per prevenir fallides de seguretat. Aquesta llei parteix de la premissa que les dades personals que recollim de la nostra clientela representen a persones reals i, si es fa un ús indegut de les dades, pot tenir un impacte negatiu en les seves vides. Per tant fa responsable a les empreses de la seva seguretat en el tractament i custòdia. En cas d’incompliment, les sancions poden ser quantioses.
1.4 Política de protecció de dades (externa i interna)
Amb la normativa europea de protecció de dades (GDPR), a partir del 25 de maig del 2018, estableix que totes les dades que recollim han de ser amb consentiment, informant de per què les farem servir i usant-les exclusivament per allò que hem comunicat que les farem servir. A més de tot això, hem d’emmagatzemar les dades per un temps limitat i, a l’hora de tractar-les, hem de garantir la seguretat en el procés.
La llei GDPR implica:
• Documentar com es compleix la RGPD
L’Autoritat Catalana de Protecció de Dades ha desenvolupat una aplicació per crear, mantenir i gestionar el registre de les activitats de tractament: https://apdcat.gencat.cat/ca/documentacio/programari/aplicacio-per-gestionar-el-registre-de-les-activitats-de-tractament/
• Anàlisi de riscos
Cal analitzar quin tipus de dades tenim, d’on les hem obtingut, el nombre de persones usuàries que involucren i la quantitat i varietat de dades que la nostra empresa està tractant. Després, cal classificar aquestes dades en funció de l’impacte que tindria per a les persones usuàries, si hi hagués una bretxa de seguretat i aquestes dades es veiessin exposades. L’Autoritat Catalana de Protecció de Dades ens ofereix: https://apdcat.gencat.cat/ca/documentacio/programari/aipd-programari/
• Mesures de seguretat a adoptar en funció del risc.
• Fallides de seguretat
En el cas que totes les mesures de seguretat hagin fallat, hem de notificar la bretxa de seguretat a l’Agència Espanyola de Protecció de Dades (AGPD) en un termini sempre inferior a 72 hores, que ens ofereix, la Guía para la gestión y notificación de brechas de seguridad
1.5 Ciber Seguretat: Inversió o despesa?
En general en l’àmbit de la ciber seguretat, costa entendre, si no s’ha patit un atac, el haver de pagar per quelcom que no ha succeit -no pasa en altres àmbits com en l’assegurança del cotxe, de la llar, de vida, etc-.
Compensa la inversió?
• El cost dels ciber-atacs sempre superen als de la inversió. El cost mig de les grans empreses és de 500.000 €, mentre que les PYMES malgrat el cost és inferior, solen desapareix al voltant de 6 mesos després de l’atac. Fins ara, 100.000 € és el cost mitjà que pot produir-se per a una PYME, en cas de ransomware.
• Proporcionalment al nombre d’atacs, la principal motivació es econòmica i el 48% de forats de seguretat involucren a PYMES.
• Per assolir una política completa i adient en ciber seguretat, és necessari recorrer a una empresa especialitzada i de reconegut prestigi. Les solucions que us podem aportar en el nostre cas, van adreçades a a PYMES i especialment a les que fan ús d’un web sota WordPress.
2. PROTEGEIXI LA SEVA INFORMACIÓ (PERSONAL I IDENTITAT)
2.1 Còpies de seguretat
Un backup o còpia de seguretat es refereix al procés de còpia i emmagatzematge de dades de qualsevol dispositiu digital, ja sigui un ordinador, tauleta o mòbil. Són vitals per a la recuperació d’un desastre (ciberatac, errors de maquinari, col·lapse de disc, etc).
Com cal fer la còpia?
· Emmagatzemar les còpies de seguretat en llocs diferents
És recomanable disposar de còpies de seguretat tant en l’àmbit local, com en servidors en altres llocs o al núvol. Totes les opcions es poden fer de manera manual, a través d’USB o en memòries externes i programaris específics. Nosaltres un oferim còpies de l’entorn web (lloc web i correu) diàries fins a 30 dies.
En cas d’optar per contractar els serveis d’una empresa proveïdora, per tal d’ampliar la còpia a la pròpia instal·lació local (servidor i clients de l’organització), us recomanen el nostre partner expert en còpies en remot d’àmbit d’àmbit local (empresarial i a particulars), https://agoobackup.es, tant en cloud de google com de microsoft. Ofereixen auto-gestió remota dels servei en l’àrea de client.
· Seleccionar quina informació és rellevant o no
És probable que no calgui fer una còpia de tots i cadascun dels fitxers. En el nostre cas, fem còpies totals de tot allò que hi ha en el vostre allotjament (web, fitxers del lloc i correu).
· Automatitzar les còpies
El millor és confiar en algun dels programaris per establir la periodicitat o automatitzar les còpies de seguretat. Us oferim còpies automatitzades diàries (30 dies).
· Calendari
La periodicitat mínima general recomanada per fer còpies de seguretat seria un cop a la setmana. En el nostre cas portem a terme còpies diàries automatitzades, durant 30 dies.
· Encriptar les dades que considerem més rellevants
Cal una encriptació de les dades, especialment aquells arxius amb informació sensible, punt clau per complir amb la GDPR.
· Comprovar les còpies de seguretat
És vital comprovar de tant en tant que les còpies de seguretat que anem fent són correctes.
· Fer còpies de tots els dispositius
Recordar fer backups no només de l’ordinador, sinó també dels mòbils i tauletes, per tal de no perdre contactes, agenda, llistes de tasques, etc.
2.2 Encriptació. Com fer-la
L’encriptació de dades és un procediment mitjançant el qual els arxius, o qualsevol tipus de document, es tornen completament il·legibles gràcies a un algoritme que desordena els seus components. Així, qualsevol persona que no disposi de les claus correctes no podrà accedir a la informació que conté.
Gran part de la informació que enviem per internet ja està encriptada, gràcies als protocols HTTPS, però què passa amb la informació que tenim emmagatzemada als nostres dispositius? És segura?
Pel que fa als ordinadors, una de les dades més sensibles que podem tenir a la nostra empresa són els noms d’usuaris i contrasenyes (credencials). És la nostra responsabilitat procedir a encriptar aquesta informació i la resta de dades que puguin ser compromeses en el cas de robatori o pèrdua. Alguns programaris poden ser: BitLocker per a entorns de Windows i FileVault per a entorns de Mac.
Cal apuntar que en els cas dels mòbils, les empreses proveïdores de sistemes operatius mòbils han desenvolupat diferents funcions de xifrat disponibles per a totes les persones usuàries. La informació important es guarda en format xifrat i es desxifra cada vegada que la persona usuària introdueix el PIN de desbloqueig. Així que, pel que fa a les dades que emmagatzemem als
nostres dispositius mòbils en principi, ho tenim bastant cobert.
Com podem encriptar les nostres dades?
La majoria de programaris per fer còpies de seguretat inclouen l’opció d’encriptació de les dades. Si hem decidit fer les còpies de seguretat de manera manual, podem emprar alguns softwares per encriptar les dades. En els sistemes operatius relativament actuals, inclouen programari d’encriptació (Windows: BitLocker i Mac: FileVault); si no en disposem, podem recórrer a altres
programaris com: AESCrypt, AxCrypt o 7-Zip.
2.3 Suplantació d’identitat (phishing)
El phishing és un frau de suplantació d’identitat que es fa per correu electrònic, missatgeria instantània, SMS o fins i tot trucada telefònica, on es demanen a les persones usuàries dades com ara targetes de crèdit, claus bancàries o altre tipus d’informació altament compromesa.
Per justificar la necessitat d’aquestes sol·licituds de dades, recorren a tot tipus d’arguments:
· Problemes de caràcter tècnic
· Deteccions recents de fraus
· Noves recomanacions de seguretat
· Canvis en la política de seguretat de l’entitat, etc
Tipus
· Per email: per capturar informació rellevant i/o descarregar mailware, normalment via enllaç.
· SMSishing: similar al d’email. Demana fer clic a un enllaç o trucada telefònica.
· De llança: Utilitza els mateixos mètodes que les estafes anteriors, però es dirigeix a una persona o entitat específica.
· Whaling: Semblant al phishing de llança, la cacera de balenes també es dirigeix a una persona o organització, amb molt per perdre, com ara amb un càrrec a la directiva, celebritats, personatges públics o persones vinculades a la política.
Com podem prevenir un atac de phishing?
• Comprovar des de quin correu electrònic s’envia en realitat: dades de l’emissor (email descriptiu és diferent de l’email que fa realment l’enviament).
• Assegurant-nos bé de quina empresa proveïdora hi ha al darrere, per entreveure si es tracta d’una imitació.
• Comprovar que la URL no redirigeixi a un altre lloc.
• Les entitats bancàries sempre diuen que no demanaran mai el PIN d’una targeta a una persona usuària.
• Revisa l’ortografia i la gramàtica, sovint els correus electrònics o missatges tenen incorreccions.
• Analitzar el missatge, per veure si fa servir tàctiques de la por o és massa bo per ser de veritat.
• Evitar clicar a enllaços dels quals no tinguem la seguretat que són autèntics.
Què hem de fer, si la nostra empresa és víctima d’un atac de phishing?
1. Canviar les claus d’accés de la informació més sensible o vulnerable el més aviat possible.
2. Revisar el correu electrònic i assegurar-nos que no tenim correus d’inicis de sessió en altres dispositius o elements nous a la paperera.
3. En els gestors de correu com ara Outlook o Gmail, hi ha una opció disponible a habilitar que es diu “Denunciar suplantació de la identitat”.
4. Bloquejar la nostra targeta bancària i comprovar amb l’entitat financera que no s’hagi realitzat cap càrrec fraudulent al nostre compte.
5. Denunciar el cas a les autoritats competents. En el cas de l’Estat espanyol, a l’Institut Nacional de Ciberseguretat (INCIBE).
2.4 Contrassenyes
La gestió correcta de contrasenyes en la política de seguretat es vital.
Propostes per fer-les el més invulnerables possible i utilitzar un gestor de contrasenyes per recordar-les:
• No fer servir la mateixa contrasenya en tots els serveis o eines.
• Que sigui d’una extensió mínima de 8 caràcters, però el recomanable seria de 12 caràcters.
• Que combini lletres i números, majúscules i minúscules, amb algun símbol.
• Evitar escriure-la o guardar-la a la cartera.
• Procurar fer contrasenyes basades en paraules sense connexió.
• Canviar-la cada sis mesos.
3. PROTEGEIXI ELS ESTRIS DE LA SEVA FEINA
3.1 Anàlisi d’equips i pla de seguretat
Cal que tinguem un control de tots (tauletes, mòbils, portàtils o USB) els elements tecnològics que accedeixen a les nostres dades digitals i que prenguem mesures per protegir-los.
Com puc protegir els dispositius tecnològics?
1. Fer una llista de tots els aparells emprats per totes les persones treballadores.
2. Anotar-ne el número d’identificació IMEI, per tal que l’operadora i els cossos de seguretat puguin localitzar-los i bloquejar-los en cas de robatori o pèrdues.
3. Definir unes polítiques d’ús i dur a termes accions formatives.
4. Emprar una contrasenya forta de més de quatre dígits.
5. Instal·lar barreres antimalware, la majoria d’antivirus per a ordinadors tenen format d’aplicació mòbil gratuïta.
6. Desactivar les notificacions, quan la pantalla està bloquejada, i les sincronitzacions amb altres servidors externs.
7. Tenir instal·lat el menor nombre d’aplicacions possible.
També convé definir un pla de ciberseguretat perquè tots els membres de l’empresa tinguin coneixement de com procedir a l’hora de protegir-se i en cas de vulneració.
El document del pla de ciberseguretat hauria de contemplar:
• Accés: de quina manera es protegeixen els controls d’accés en plataformes digitals, per exemple: com es gestionen les contrasenyes.
• Informació: classificació i manipulació de la informació.
• Seguretat: consells per a la seguretat física i ambiental.
• Ús: ús adequat d’actius, programes o empreses proveïdores.
• Transferències: com actuar en la transferència d’informació, per exemple, en el cas de discs durs o USB.
• Dispositius: consells en l’ús de dispositius mòbils, portàtils o tauletes a la feina.
• Restriccions: restriccions d’ús i instal·lació de programari.
• Backups: la política de còpies de seguretat que s’utilitza.
• Antimalware: protecció de programari maliciós.
• Vulneracions: gestió de vulnerabilitats, informació de riscos.
• Incidents: gestió d’incidents de ciberseguretat, informació dels passos a seguir en cas de vulneració.
• Continuïtat: pla de continuïtat del negoci que expliqui com es recuperaran les dades, en cas de crisi.
• Formació: formació i conscienciació en ciberseguretat.
3.2 Antivirus i anti-programari maliciós
El malware és el programari que intenta envair, danyar o desactivar ordinadors, sistemes informàtics, xarxes, tauletes i dispositius mòbils. Pot robar, xifrar o esborrar les nostres dades, alterar o segrestar funcions bàsiques dels nostres aparells tecnològics i espiar-nos.
La millor defensa és la prevenció, és a dir, no fer ús de pàgines web no segures, no fer clic a enllaços sospitosos -aconsegueix enganyar fins i tot a usuaris força experimentats-.
També és convenient: instal·lar un antivirus en tots els nostres dispositius, actualitzar tot el programari -especialment l’antivirus/antimalware- i instal·lar un firewall que protegeixi l’entrada i sortida de dades.
Tipus:
A hores d’ara, els que més podríem destacar són:
• Adware: dissenyat per mostrar anuncis a la pantalla, normalment en un navegador. Per instal·lar-lo, o bé es fa passar per legítim o bé s’adossa a un altre programa per enganyar a la persona usuària.
• Spyware: observa les activitats dels usuaris i usuàries en secret, sense permís i les comunica a la persona autora del programari.
• Virus: malware que s’adjunta a un altre programa i, quan s’executa, es replica modificant altres programes de l’ordinador, infectant-los.
• Cucs: similar als virus, que es repliquen per si sols, per tal de disseminar per altres ordinadors en una xarxa provocant, normalment, danys i destruint dades i arxius.
• Troià: força perillosos. Normalment es presenta com alguna cosa útil per enganyar a la persona usuària. Una vegada que entra en el sistema, les persones atacants que s’oculten darrere del troià obtenen accés no autoritzat al dispositiu infectat. Solen robar informació financera o instal·lar altres amenaces com virus i ransomware.
• Ransomware: bloqueja l’accés de la persona usuària al dispositiu o xifra els seus arxius i demana un rescat per retornar-los. Atac molt popular en la ciberdelinqüència, perquè exigeix un pagament ràpid i que us cop fet el pagament, en la majoria de casos, no desencripten res.
• MITM (Man-In-The-Middle): intercepten comunicacions o les alteren, amb l’objectiu d’instal·lar programari maliciós, generalment a través de la tècnica del phishing.
També trobem altres malwares com ara el rootkit, el keylogger, el cryptojacking o els exploits. Recordem que el malware està en constant evolució i cal estar al dia.
3.3 Operacions bancàries
En l’internet banking, les dades que es tracten són particularment sensibles i objecte de molts ciberatacs.
Alguns consells per utilitzar-les de manera segura són:
• No revelar mai les nostres claus.
• No donar ni fotografiar les dades bancàries o números de targetes de crèdit per WhatsApp, Telegram o correu.
• Accedir des de xarxes i terminals segurs.
• No guardar dades confidencials.
• Teclejar sempre la pàgina web del banc.
• Comprovar que la pàgina té un cadenat.
• Controlar els comptes de manera regular.
• Tancar la sessió.
• Desactivar l’accés de Bluetooth.
• Utilitzar l’aplicació mòbil del banc, sovint més segura que la de la pàgina web.
• Anar amb precaució amb el phishing.
Normativa:
El 14 de setembre de 2019 va entrar en vigor una llei europea (PSD2) que concerneix els pagaments digitals. Els usuaria hauran d’emprar diferents accessos per confirmar les seves accions a través de la banca online, com poden ser el DNI, la clau d’accés o un codi de confirmació enviat per SMS.
3.4 Seguretat pels smartphones
En contra del que habitualment es creu, els telèfons intel·ligents són especialment vulnerables als ciberatacs, potser fins i tot més que els ordinadors. Així doncs, cal prendre mesures de seguretat com ara descarregar-se aplicacions oficials, gestionar bé els permisos, vigilar l’accés a xarxes Wi-Fi públiques, instal·lar un antivirus, mantenir el sistema operatiu actualitzat o fer còpies de seguretat sovint, entre d’altres.
Els atacs habituals solen ser anàlogament als dels ordinadors, troians (a la banca mòbil: tot i que l’aplicació del banc és més segura que la pàgina web, igualment s’han detectat casos i tamble a la banda dels SMS), ransomware, spyware (fonamentalment extracció de dades) i darrerament, stalkerware (espionatge complet i registre en un servidor de tota l’activitat del mòbil) i el juicejacking (l’ús de ports USB per carregar la bateria dels dispositius mòbils en llocs públics).
4. PROTEGIU-VOS DINS D’INTERNET
4.1 Wi-Fi
Atacs a través de la xarxa Wi-Fi
Tenir la Wi-Fi oberta o d’accés fàcil implica, tenir la nostra connexió a internet compartida amb qualsevol i ens exposa a diferents riscos:
• Reducció de l’amplada de banda.
• Robatori de la informació transmesa.
• Connexió directa amb els nostres dispositius i a la informació que contenen.
• Responsabilitat davant d’accions il·lícites
Accions per protegir la nostra Wi-Fi:
• Canviar la contrasenya per defecte.
• Assignar un sistema de seguretat més avançat, com ara el WPA2.
• Modificar la contrasenya per canviar la configuració del router.
• Activar la restricció a MAC per connectar els dispositius que escollim a la nostra xarxa.
• Apagar el router, si no l’hem de fer servir en diversos dies.
• Mesurar la propagació del senyal perquè estigui dins dels límits de la nostra oficina.
• Rastrejar quins dispositius estan connectats a la nostra xarxa.
• Evitar l’ús de xarxes Wi-Fi públiques.
4.2 Xarxa privada (VPN)
Una xarxa VPN és una xarxa en la que no és necessària la connexió física dels dispositius (mòbils, tauletes, ordinadors…), que es pot portar a terme mitjançant internet i on les nostres dades viatgen de manera aïllada (tunel), aportant seguretat (encriptació, habitualment de 256 bits), disponibilitat geogràfica i privacitat (un servei de VPN no hauria de guardar registres de les connexions, de manera que el registre de connexions del nostre operador només mostrés connexions als servidors de VPN, no als punts finals als quals es realitza la connexió).
Què ha de tenir una VPN per considerar-se segura?
L’encriptació no sempre és suficient, hi ha una sèrie de funcionalitats que ens calen per reforçar la seguretat:
• KillSwitch
Mecanisme pel qual la comunicació s’interromp, si es perd la comunicació amb l’altre extrem de la VPN. Si no s’inclou aquesta funcionalitat a la nostra VPN, el sistema operatiu pot continuar enviant paquets d’informació a través de connexió normal, en lloc
d’enviar-los a través de la VPN.
• Pèrdues de DNS (DNS leaks)
Algunes VPN no proporcionen mecanismes de seguretat davant de fuites de DNS: quan hi ha una vulnerabilitat en el túnel de xifrat de VPN implicant que les consultes o operacions que fem estan exposades a ser vigilades. Les peticions de DNS es realitzen
per fora de la VPN, posant en risc la nostra informació i accessos.
• Pèrdues de WebRTC
Algunes VPN no proporcionen mecanismes de prevenció de fuites de WebRTC (tecnologia que permet comunicació en temps real) i ens podem trobar que, malgrat comptar amb una bona VPN en el nostre sistema, les nostres videoconferències s’emetin per un canal no protegit.
• Registres
Les lleis de molts països obliguen a empreses operadores i proveïdores de serveis de VPN a demanar registres que estiguin disponibles a petició. Si realment volem tenir una privacitat total, necessitarem utilitzar un servei de VPN que resideixi en
una regió que no obligui a demanar registres de persones usuàries.
Hi ha moltes empreses que ofereixen serveis de VPN. Tot i que n’hi ha de gratuïtes, les més segures i completes són les versions de pagament. Algunes empreses són NordVPN, ExpressVPN o PureVPN, amb un rang de preus de 3 a 5€ al mes.
4.3 Router
Algunes maneres d’augmentar la seguretat del nostre router són:
• Actualitzar el firmware del router.
• Desactivar l’accés remot.
• Configurar el router WLAN per cable, la primera vegada que el connectem a l’ordinador i quan en fem actualitzacions o manteniment.
• Canviar la contrasenya que el router té per defecte.
• Canviar l’SSID (nom o identificador que té el router) o ocultar-lo.
• Canviar els canals d’accés, si comprovem que altres routers veïns circulen pel mateix canal que nosaltres.
• Aprofitar la banda de 5 GHz, ja que és més estable i té menys interferències.
• Accés concret a persones convidades: crear una subxarxa amb la seva pròpia SSID i la seva pròpia contrasenya, sense accés a la nostra xarxa principal.
4.4 Gestor de continguts (CMS)
La majoria de vulnerabilitats a les quals ens exposem a la nostra pàgina web venen a través dels plugins, mòduls o temes que no són part del codi font del gestor de continguts.
Riscos i atacs habituals:
• Injecció de SQL: infiltració de codi intrús que aprofita un error del programari per realitzar consultes de bases de dades.
• Cross SiteScripting (XSS): permet executar un codi d’scripting, com ara VBScript o JavaScript en un lloc web.
• Atacs de força bruta: intent d’accedir a les nostres credencials per poder manipular la nostra pàgina web. Es basen en provar milions de combinacions de noms d’usuària i contrasenya fins a trobar els correctes.
• Clickjacking: enganyar a un usuari per a que faci clic en algun element (com ara un botó) que no és el que sembla. Aquest engany pot revelar informació confidencial o permetre que altres persones prenguin el control del nostre ordinador. Per exemple, una persona usuària fa clic a un enllaç a veure un vídeo i en realitat fa clic a comprar un producte en una pàgina
web aliena a la que està visitant.
• Cross SiteRequestForgery (CSRF): atac que força al navegador web de la víctima, validat en algun servei (com ara correu o internet banking) a enviar una petició a una aplicació web vulnerable. L’objectiu específic són les sol·licituds de canvi d’estat, no el robatori de dades.
Bones pràctiques per evitar vulneracions:
• Activar les actualitzacions automàtiques del CMS i els plugins.
• Usar una contrasenya forta i segura.
• Descarregar continguts només de webs oficials.
• Introduir CAPTCHAS als nostres formularis.
• Buscar un CMS amb comunitat forta per tenir suport, en cas de vulneració de la seguretat.
• Contractar un hosting segur.
• Disposar d’un certificat SSL.
4.5 Dades de comerç electrònic
Els comerços electrònics són víctimes habituals d’atacs potencials, especialment en períodes de campanyes (nadal, black friday, rebaixes).
Riscos als que ens exposem:
• Targetes de crèdit robades
Quan una persona compra un producte a la nostra botiga online amb una targeta de crèdit robada, ja que molt possiblement el banc reclamarà aquest pagament. Aquest tipus de frau resulta especialment perillós en
aquells comerços electrònics que tracten amb productes digitals i que s’han de lliurar a la clientela de manera immediata, ja que és possible que ja haguem lliurat el producte.
• Una vulnerabilitat a la pàgina web
Per exemple, que algú canviï el preu dels productes per adquirir-los a un preu més baix. A efectes legals, és molt difícil provar que l’atac es va realitzar de manera intencionada (i no com a fruit d’un error) i, en la majoria de les vegades, el comerç haurà d’assumir el cost, sense opció a poder reclamar.
• Robatori d’informació
La sostracció de dades
Emmagatzemades a la pàgina web, com ara informació bancària de la nostra clientela, contrasenyes, dades d’accés…
• Phishing
Que ens suplantin la identitat i utilitzin el nostre nom per aconseguir informació de la nostra clientela.
• Atacs DDoS o denegació de servei
La persona atacant utilitzarà una botnet (xarxa d’ordinadors infectats i que estan sota el seu control) per llançar milers de peticions de connexió per segon al nostre comerç electrònic. El resultat serà que el servidor no podrà fer front a totes les peticions i el nostre negoci estarà inaccessible durant l’atac.
Bones pràctiques per protegir el nostre comerç electrònic:
1. Triar una plataforma de comerç electrònic segura.
2. Implementar certificats SSL.
3. Oferir formes de pagament segures, com ara les passarel·les de pagament que tenen els bancs.
4. No emmagatzemar dades sensibles, només les estrictament necessàries i per un temps determinat.
5. Instal·lar alertes d’activitats sospitoses al sistema i revisar contínuament la pàgina web.
4.6 Xarxes socials
Així mateix, les xarxes socials també poden ser font de riscos de ciberatacs.
Alguns consells per prevenir-los són:
• Correu alternatiu per registrar-se.
• Emprar contrasenyes segures.
• Vigilar l’intercanvi d’informació confidencial.
• No fer clic a enllaços de missatges de persones usuàries sospitoses.
• Compte amb les aplicacions que es descarreguen.
• Controlar els permisos d’administració atorgats amb les persones que hi treballen en les nostres xarxes socials.
• Tancar sempre la sessió, quan haguem acabat..
4.7 Protocols d’actuació
És important que tinguem traçat un protocol d’actuació (contingència) per facilitar la implementació de mesures reactives, en cas d’atac, en la major brevetat possible.
D’entrada, comencem traçant un pla bàsic i anar-lo completant a mesura que la quantitat de dades que gestionem o la complexitat de l’empresa vagi augmentant.
Punts bàsics d’actuació:
• Definició dels paràmetres d’una crisi de seguretat
Hem de definir el risc, per al nostre cas i en funció del que marca la llei, les dades i els sistemes crítics. És a dir, cal que determinem quin tipus de dades tractem i qui hi té accés, així com quins són els elements més crítics de ser vulnerables i on estan ubicats (còpies de seguretat, accés a les sales de servidors, la localització de les contrasenyes, etc.).
• Escalat d’accions i responsabilitats
Cal garantir que les persones adequades tinguin les eines necessàries per actuar en cas de crisi, com ara els telèfons i correus de
contacte de persones o empreses clau per a la gestió d’una crisi (l’empresa informàtica que gestiona les còpies de seguretat, l’empresa gestora de la pàgina web o del hosting, o l’Institut Nacional de Ciberseguretat, per exemple), així com accés àgil a les
contrasenyes o autenticacions necessàries.
• Implicacions legals en cas de crisi de seguretat
En funció de les dades que manipulem, un incident de seguretat està subjecte a diferents requisits legals, pel que fa a obligacions i terminis per exercir-los. Hem de tenir clar, doncs, quina de les nostres empreses proveïdores o personal està potencialment implicat en una situació de crisi.
• Organigrama d’acció les primeres 24-48 hores
Hem de tenir clares les tasques, funcions i comunicacions que els i les membres de l’equip han de dur a terme en un termini concret. Com, per exemple, revisar comptes bancaris, xarxes socials, gestors de correu electrònic, la pàgina web i el comerç electrònic, canviar contrasenyes a tot arreu, restablir la informació vulnerada a través d’una còpia de seguretat o avisar a INCIBE.
Cada empresa ha de desenvolupar el seu en funció de les dades que es manegen i les dimensions.
En general el protocol d’actuació ha de contemplar els següents sis passos:
1.- Preparació: Capacitar el personal per gestionar possibles incidents.
2. Identificació: Determinar si l’esdeveniment és realment un incident de seguretat.
3. Contenció: Limitar el dany de l’incident i aïllar els sistemes afectats per evitar danys afegits.
4. Erradicació: Trobar la causa de l’incident i eliminar-la.
5. Recuperació: Permetre que els sistemes afectats tornin a l’entorn de producció i garantir que no queda cap amenaça.
6. Documentar: fer un informe del cas i analitzar com ha succeït perquè el personal pugui aprendre d’això i millori els esforços de resposta futurs.
5. ALTRES
5.1 Gran volum de dades: compartir i emmagatzemar
Les plataformes d’emmagatzematge (Dropbox, Google Drive o Microsoft One Drive) i transmissió de dades (WeTransfer, Hightail o Wesendit) també poden ser font de problemes en la seguretat i privacitat de les dades de la nostra empresa.
Emmagatzament:
Dropbox: convé activar unes opcions, que no ho estan per defecte: “Verificació en 2 pasos”, revisar amb detall “Comprovació de seguretat” i activar totes les “Notificacions”. En Dropbox per a negocis, de pagament, tenen algunes opcions de seguretat més exigents.
Google Drive: activar la verificació en 2 pasos.
One Drive: activar la verificació en 2 pasos i ús de “Personal Vault”, que protegeix amb una clau extra les carpetes que seleccionem dins del nostre compte.
Aquestes plataformes tenen un sistema d’encriptació de les dades baix, podem fer servir programes gratuïts com ara Cryptomator.
Compartir:
Wetransfer: Lloc assenyalat com a força insegur i que ha patit nombrosos atacs. Es recomana l’ús de serveis alternatius com, plataforma de Mozilla Firefox, Hightail o Wesendit.
5.2 Vulneracions de seguretat i privacitat
Altres vies d’atac per les quals la nostra empresa pot ser atacada poden ser:
• Els navegadors web, ja que cal anar amb compte amb la instal·lació d’extensions.
• El personal, perquè gran part de les vulneracions venen de males praxis en l’equip de treball, i cal fomentar la formació.
• Ús de dispositius externs, que convé formatar-los abans d’inserir-los en el nostre ordinador.
Per altra banda, per protegir la privacitat dels nostres contactes, si hem d’enviar un correu electrònic a diferents persones destinatàries, les hem de posar en CCO o còpia oculta o fer els enviaments a través de programes de gestió de correus electrònics com ara Mailchimp, SendInBlue o MailRelay..
5.3 Denúncies
Depenent del tipus d’atac i del seu abast, els protocols d’actuació, en cas de vulneració de les dades de la nostra empresa o de la privacitat, són diversos.
Cal notificar-ho, ales autoritats, a les persones afectades i denunciar-ho a les plataformes gestores de les xarxes socials (twitter, facebook, instagram, etc) o correu electrònic (gmail, outlook, etc).
En el cas que la vulneració posi en risc els drets i llibertats d’alguna persona, han de notificar a l’autoritat de control sense demora i, com a molt tard, 72 hores després que haguem tingut constància de l’atac. Si la vulneració de la seguretat de les dades suposa un alt risc per a les persones afectades aquestes també han de ser informades de manera immediata.
::: Mínima introducció sobre seguretat en el món web (wordpress)
CONTINGUTS
2. TIPUS D’ATACS HABITUALS SOBRE WORDPRESS
4. MÍNIMES PRÀCTIQUES NECESSÀRIES
La seguretat és el tema tecnològic en aquests dies, perquè els llocs web han estat piratejats i la tendència és creixent. Però hi ha moltes coses que podeu fer per protegir el seu lloc web.
Farem alguns breus comentaris sobre seguretat i WordPress, tractant alguns conceptes generals per ajudar-te a mantenir el lloc segur:
IDEES PRELIMINARS
- Sempre hi ha un risc
El vostre lloc web mai no pot ser 100% segur. Els pirates informàtics sempre innoven i descobreixen noves vulnerabilitats per explotar. El món en línia canvia ràpidament i el mateix passa amb la seguretat. Una bona seguretat consisteix a minimitzar el risc. Si algú intenta vendre-vos una solució 100% segura, us estafarà. Mai estaràs completament segur, però hi ha moltes coses que pots fer per minimitzar el risc. - No culpeu al WordPress
La ciberdelinqüència es força activa especialment en l’entorn de major implantació web: WordPress.
És WordPress una plataforma insegura? No, depenent com de com configuris i utilitzis WordPress i sempre que s’apliquin i actualitzin les mides de seguretat adients.
Molts problemes de seguretat tenen poc a veure amb WordPress i més a veure amb les vulnerabilitats del servidor, la contaminació creuada i les contrasenyes deficients.
Conclusió: cal estar protegit i actualitzat constantment. - Seguretat i Usabilitat
Hi ha d’haver un bon equilibri entre seguretat i usabilitat. De vegades, bloquejar el lloc ho fa segur, però és difícil d’utilitzar. De vegades, fer que el seu lloc web sigui més fàcil d’utilitzar fa que sigui menys segur. Cal trobar l’equilibri. - Tipus de seguretat que necessita el seu lloc web
La seguretat té tres fases: protecció, detecció i resposta/restauració i cal complir-les totes:4.1 Protecció
En primer lloc, cal bloquejar el lloc i mantenir-lo segur:
· Impedir la intromissió en l’àmbit que ens és propi (servidor, bases de dades, web, correu, transferència de fitxers). Concretament en WordPress, substituint les portes d’accés habituals per altres amb diferent ubicació i validació reforçada.
· Amagar informació d’interès pel delinqüent (servidor, bases de dades, WordPress en quasevol dels seus àmbits).
· Protecció de l’entorn (blindatge sobre canvis en fitxers i carpetes del sistema, del servidor, configuració segura de tots els àmbits de WordPress).4.2 Detecció
Per molt bona que sigui la seva protecció, els delinqüents podrien trobar una manera de fer mal al seu lloc. I cal saber quan s’està produint un atac. L’atac no sempre serà un atac frontal complet que fa que sigui dolorosament evident que el seu lloc ha estat piratejat. De vegades, els robots insereixen un munt de codi ocult al vostre lloc, sense símptomes aparents. Mai no ho sabràs sense la detecció, per la qual cosa és necessària una monitorització constant a la cerca de codi maliciós.4.3 En cas d’atac i/o infecció
· Resposta immediata
Cancel·lació de les sessions i ips involucrades, desinfecció i eliminació de portes d’entrada per evitar la re-infecció.
· Recuperació, si s’escau
Finalment, necessita un pla per tornar a posar en marxa el seu lloc després d’haver estat malmès. Les millors estratègies de protecció i detecció encara es poden frustrar i cal estar preparat. Una bona còpia de seguretat és vital, també a banda de les acciones de seguretat existent.
Cal una política de còpies, automatitzada i comprovada per tal d’estar preparats per a qualsevol situació.
TIPUS D’ATACS HABITUALS SOBRE WORDPRESS
Fins hores d’ara, hi han força possibles atacs al seu lloc, ja que hi han molts possibles punts d’accés, ja siguin pel mateix WordPress, però també pel servidor, els usuaris, comentaris, codis de script (petits programes que executen ordres), etc.
Alguns dels més habituals poden ser aquests:
- Authentication Bypass: Forat de seguretat que permet saltar-se el formulari d’accés i accedir a el lloc.
- Brute Force: S’intenta iniciar sessió endevinant el nom d’usuari i la contrasenya del compte d’administrador (o d’un usuari).
- Cross-Site Request Forgery (CSRF): El codi s’introdueix i s’executa des de la URL.
- Cross-site Scripting (XSS): Es pot injectar codi en un lloc, normalment a través d’un camp de formulari.
- Denial of Service (DoS): Un lloc cau a causa d’un atac constant de trànsit que sol procedir d’una xarxa de màquines controlades.
- Path Traversal: Possibilitat de llistar els directoris d’un lloc i executar ordres fora de directori arrel de servidor.
- Distributed Denial of Service (DDoS): Similar a un atac DOS, excepte que les xarxes de màquines solen haver estat infectades.
- File Upload: Es pot pujar un fitxer amb codi maliciós en un servidor sense restriccions.
- Full Path Disclosure (FPD): S’exposa la ruta d’accés a la carpeta arrel de el lloc; habitualment és a causa que estan actius els missatges d’error que les mostren.
- Local File Inclusion (LFI): Un atacant és capaç de controlar quin arxiu s’executa en una hora programada que va ser configurada anteriorment.
- Malware: Un lloc o programa maliciós amb el propòsit d’infectar a l’usuari o una altra màquina.
- Open Redirect: El lloc redirigeix a un altre a causa d’alguna vulnerabilitat, sovint un lloc d’spam o de suplantació d’identitat.
- Phishing (Identity Theft): Un lloc que s’assembla a un altre conegut i de confiança, però que s’utilitza per recopilar credencials d’inici de sessió, números de targetes de crèdit, etc, enganyant l’usuari.
- Remote Code Execution (RCE): Capacitat d’executar codi en un lloc des d’una màquina diferent.
- Remote File Inclusion (RFI): Possibilitat d’executar un script extern en un lloc a què se sol carregar malware, des d’un lloc diferent.
- Security Bypass: Similar a l’Authentication Bypass, però en aquest cas permet saltar-algun sistema de seguretat establert.
- Server-side Request Forgery (SSRF): Presa de control d’un servidor, ja sigui parcial o total, per obligar-lo a executar peticions de forma remota.
- SQL Injection (SQLI): Es produeix quan en consultes SQL es poden introduir i executar des de la URL d’un lloc.
- User Enumeration: Possibilitat de trobar la llista d’usuaris d’un lloc des de la zona pública, per a posteriorment realitzar un atac de Brute Force.
- XML External Entity (XXè): Un fitxer XML que per la generació d’errors deixa exposat algun tipus de ruta, missatge o accés a informació confidencial.
CAPES DE SEGURETAT
La seguretat dels llocs web dels nostres clients és la nostra prioritat en els nostres serveis d’allotjament web, tant a nivell de servidor, com d’allotjament individual i a nivell d’aplicació.
La seguretat no és una acció en concret, sinó múltiples en una sèrie de capes que afegeixes al seu lloc web -especialment en WordPress-.
Per exemple:
- La capa superior és un tallafocs de xarxa.
- La següent capa és el tallafoc de la seva aplicació (en WordPress, això sol ser un complement).
- La següent capa són les contrasenyes segures.
- La següent capa és la verificació de dos passos per a connectar-se com a administrador.
- La següent capa és moure el seu directori wp-admin a un nom diferent.
- La següent capa, no fer servir el nom “admin” per iniciar sessió.
- La propera capa és desactivar XML-RPC.
- Etc…
Cap d’aquestes polítiques aplicades a les diferents capes, per si soles farà que el seu lloc sigui segur. No obstant això, totes juntes poden fer que el seu lloc estigui prou protegit perquè els delinqüents es vagin a per una altra web amb menys seguretat.
MÍNIMES PRÀCTIQUES NECESSÀRIES
- Mantenir-ho tot actualitzat
Una de les vulnerabilitats de seguretat més grans de WordPress és el programari antic. WordPress s’actualitza amb força freqüència i, sempre que hi ha un nou problema de seguretat, llança una actualització immediatament. Però això, no et serveix de res si no mantens la instal·lació actualitzada. També has de mantenir els temes i els connectors (plugins) actualitzats, ja que també poden tenir problemes de seguretat -un connector desactivat, també és una amenaça, cal suprimir-lo-. - Contrasenyes fortes
La seva seguretat només és tan bona com la seva contrasenya. Si teniu una contrasenya senzilla, teniu un lloc senzill per piratejar. Cal utilitzar contrasenyes segures. La seva contrasenya ha de tenir números, majúscules, caràcters especials (@, #, *, etc.) i ser llarga i única. La seva contrasenya de WordPress pot incloure espais i ser una frase.
No utilitzes la mateixa contrasenya en diversos llocs. Recordar contrasenyes diferents per a diferents llocs és difícil, però un lloc piratejat és pitjor. - Gestió dels usuaris
La seva pròpia contrasenya segura no serveix de res si un altre administrador en té una de feble. Cal gestionar els seus usuaris. No tothom necessita accés d’administrador. Com més persones tinguin accés d’administrador, més possibilitats de piratejar el vostre lloc. Assegurat que només dones accés d’administrador a les persones que realment ho necessiten. I assegurat que aquests pocs administradors segueixen bones pràctiques de seguretat. - Fes còpies de seguretat
Si alguna cosa falla amb al seu lloc, és menester recuperar-lo ràpidament. Necessita un pla de còpia de seguretat. Per tal que la còpia de seguretat funcioni, ha de ser completa i automàtica. No és suficient fer una còpia de seguretat de la vostra base de dades. D’aquesta manera es desarà el contingut, però haurà de reconstruir tot el lloc, inclosos e-ls ajustaments del tema i la configuració dels connectors. I si la còpia de seguretat no és automàtica, se n’oblidarà.
En general, als ÀMBITS D’ACTUACIÓ són:
- Entorn servidor:
Cal procurar una base el més segura possible via:
· Certificat d’encriptació (SSL/TLS).
· Còpies de seguretat distribuïdes (data-centers geogràficament diferents) i redundants d’arxius, bases de dades i emails (30 dies).
· Supervisió i administració server 24h.
· Pegats de seguretat actualitzats constantment (intel·ligència artificial contra bots maliciosos, programari base i php, escaneig i personalització).
· Regles afegides al firewall web (WAF).
· Reforçament de les polítiques de seguretat, via capçaleres de seguretat, fonamentalment per a la desactivació de portes susceptibles d’atacs. - Entorn WordPress:
Algunes accions recomanables serien:
· Assegurar la pàgina d’accés i sessions (url d’accés personalitzada, inici de sessió per ip, identificació de 2 factors -2FA-, limitar intents accés) i registre d’activitats dels visitants (registrats, desconeguts, bloquejats i hora, ip, pàgina, resposta).
. Ocultar versió wp.
· Desactivar editor temes i plugins.
· Desactivar XML-RPC: desactivació del protocol, porta de relació amb l’exterior.
· Forçar http amb seguretat de transport estricta (HSTS), via capçalera.
· Desactivar feeds RSS i ATOM: desactivació del protocol, porta de relació amb l’exterior -excepte pels blogs-.
· Protecció XSS avançada: via capçaleres en .htaccess per evitar injeccions de codi.
· Desactivar usuaris comuns.
· Tot el programari actualitzat: plataforma, tema, plugins. - Comú als 2 entorns anteriors. Infeccions:
· Desconnexió de tots els usuaris.
· Forçar restabliment de contrasenyes.
· Monitorització, detecció i neteja de malware.
· Protecció post-infecció:
·· Reinstal·lació de WordPress, si s’escau.
·· Reinstal·lació del repositori de connectors gratuïts i temes.
·· Repàs de tancament de vulnerabilitats.
· Tornar a monitoritzar, cercant sospites de re-infecció.
::: Com sabeu si teniu el web piratejat o infectat?
Simptomes directes:
Comportaments obvis entre d’altres, en l’operatòria de l’entorn productiu:
- Generació de finestres i anuncis emergents no sol·licitats.
- Canvi de continguts en el propi web -normalment canvis a pàgines estàtiques i enllaços nous o modificats-.
- Impossibilitat d’accés a entorns de gestió, per exemple el panell de WordPress -normalment el hacker canvia la contrasenya o elimina el compte d’usuari-
- Redireccions a pàgines no sol·licitades i/o enganyoses.
- Augment de les tasques no programades -normalment execucions malintencionades-.
- Un web lent o que no respon -normalment erros de connexió o lentitud extrema i sobtada-.
- Desactivació del web per part de l’empresa de hosting.
- Rep notificacions del plugin de seguretat.
- Impossibilitat d’enviar o rebre correus electrònics amb wordpress.
- Comptes d’usuari sospitosos -normalment amb perfil d’administrador-.
- Caiguda sobtada del trànsit -normalment per segrest del trànsit del seu lloc wordpress i el redirecciona-.
- Advertència de google sobre la possibilitat que el seu web estigui hackejat.
- Aparició de programari instal·lat sense el seu coneixement i aprovació -normalment scripts desconeguts-.
- Encriptació de l’entorn local, amb missatges intimidatoris i/ o sol·licitud de pagaments per recuperar informació.
- Connexions de xarxa entrants i sortints per ports i protocols comunament no utilitzats.
No es mostren simptomes directes…:
Aquest és un context especialment conflictiu perquè permet al delinqüent piratejar a més llarg plaç, habitualment per:
- Robar informació (contactes, contingut de correspondència, dades econòmiques o privades, etc). En general, a banda de la tàctica d’explotar de la manera més ràpida el delicte, també hem de tenir en compte que es pot tractar de permetre un delicte més elaborat i perillós, per exemple: ens intercepten un email on es fa referència a una comanda i on els delinqüents, via email i/o telèfon, es posen en contacte amb l’empresa i exposen un cas d’urgent resolució, que argumentat pels detalls de la comanda, dóna credibilitat a la trampa, com podria ser, el canvi del nombre de compte a l’hora de fer la transferència de pagament o qualsevol altra acció -habitualment són d’acció ràpida, però es pot donar el cas en el que es vagi iniciant una trama força ben construïda i a un termini major-.
- Fer ús de la màquina infectada per a portar a terme delictes quan ho estimin: spam, incorporació a un exercit “zombie”, habitualment per a l’execució d’atacs massius.
- Convertir-nos en distribuïdor de malware via correu o fitxers (pàgines, documents, tot tipus de material).
- Comunicar col·laborativament entre ciberdelinqüents, habitualment són robots, tant per informar de les portes d’accés a l’entorn, com per a propiciar major vulnerabilitat amb l’execució de codi extern, de tal manera que diferents codis maliciosos de diferents delinqüents, actuen per obrir / augmentar vulnerabilitats i executar atacs més importants i qüantiosos.
Conclusió
Cal previndre: sempre és menester fer ús d’accions de seguretat constants i actualitzades, en forma de monitorització a diferents nivells -en cas contrari, podem estar infectats i no saber-ho- i al mateix temps, portant a terme respostes immediates al davant d’una sospita o crisi manifesta.
::: Tinc el web piratejat o infectat: Què faig?
Si no teniu capacitat/familiaritat d’administració sobre els serveis d’internet:
- Passeu un antivirus / anti-malware sobre el vostre parc informàtic i paral·lelament, contacteu-nos.
Si teniu capacitat/familiaritat d’administració sobre els serveis d’internet:
- Protegiu els visitants redirigint-los a una pàgina de manteniment via un fitxer .htaccess -existeix abundant documentació en internet al respecte de redireccions via .htaccess-. Si aquest .htaccess estigués manipulat, canvia-li el nom i crea un de nou-. Així també evitaràs que el seu lloc no aparegui a la llista negra de motors de cerca com Google. O també, simplement creant un fitxer index.html, amb el text informatiu corresponent.
- No modifiqueu ni suprimiu cap fitxer (fitxer infectat, portes posteriors d’escolta, etc). Feu una còpia de seguretat del web infectat, tant per tal de portar a terme una revisió profunda, intentant detectar la causa de la vulnerabilitat, com la possibilitat de recuperar fitxers no infectats i en el cas de les entrades, pàgines, productes, fer una exportació des de “Eines” > “Exportar”, per disposar-ne.
- Analitzeu el vostre ordinador i el web: Connecteu-vos per FTP i descarregueu tot el seu lloc web. Segons es vagi descarregant el lloc s’anirà passant l’antivirus de manera que si hi ha algun virus o malware conegut el sistema ho detectarà i podreu eliminar-lo i pujar els fitxers via FTP al servidor -els virus que s’executen en els llocs web, en general, no són virus que afectin al vostre ordinador, de manera que si aneu amb compte no hauria de passar res indesitjat-.
- Si teniu una còpia de seguretat neta (web i bases de dades), borreu tota la instal·lació i restaureu-la.
- Si no teniu una còpia de seguretat neta, cal una neteja i desinfecció (web i bases de dades) -> contacteu-nos o bé, instal·leu-ho tot des de zero, amb les darreres versions i feu una còpia de seguretat.
- Passeu un antivirus / anti-malware, actualitzats a la seva darrera versió, sobre tot el vostre parc informàtic i paral·lelament, contacteu-nos.
- Canvieu totes les contrasenyes (FTP, cPanel / Plesk, SSH, etc.).
Assegureu-vos de fer-ho des d’un ordinador segur, no està infectat per cap virus o keylogger. - No atureu o reinicieu cap servei (servidor HTTP, etc.) ni tampoc i especialment, el servidor, perquè eliminaria detalls importants per al nostre treball.
- Regenereu els permisos sobre carpetes i fitxers.
- Repasseu el WordPress a la recerca de configuracions o coses rares que no hagin de ser-hi.:
· Valideu les les entrades i categories per revisar que no trobeu cap article que no hagi de ser-hi; el mateix que amb les pàgines.
· En els mitjans, reviseu la galeria, verificant que no hi hagi imatges, fitxers ZIP o similars desconeguts.
· En les plantilles i plugins, elimineu aquells que no en feu ús i els que utilitzeu, han d’estar actualitzats.
· Reviseu tots els usuaris de el lloc. En cas de tenir dubtes, obligueu als usuaris, a una accés amb un sistema de doble verificació.
· Forçau un canvi de contrasenya i canvieu els Security Keys al wp-config i revisant en el fitxer wp-config que no hi hagi cap element estrany.
· Confirmeu que els textos i configuracions generals són les correctes.
· Regenereu els enllaços permanents.
· Assegureu-vos que en les carpetes en les que es pugen fitxers (per exemple, en la galeria o alguna carpeta requerida a través d’algun plugin) no es pugui executar qualsevol tipus de codi, ni que existeixi cap fitxer executable.
· En ocasions, el servidor web envia correus degut a algun servei web específic. Si és el cas, plantejeu-vos externalitzar aquest servei d’enviament i tancareu una porta d’entrada als intrusos. - Si teniu el web allotjat amb nosaltres, immediatament desactivarem l’accés via FTP, SSH, la càrrega de fitxers per PHP i l’execució de comandes de shell través de PHP. Si no el teniu amb nosaltres, també és convenient que seguiu aquestes directrius.
::: Post-Hackeig: Què cal fer?
Per tal de procurar que no torni a passar, aquestes recomanacions:
- Fer ús i també forçant, la connexió segura https.
- Com a mínim, activar les capçaleres de seguretat HSTS i CSP.
- Fer ús d’una bona estratègia de còpies de seguretat.
- Instal·lar un bon plugin de seguretat.
- Realitzar o contractar un bon manteniment de WordPress, mantenint-lo sempre actualitzat.
- Imposar el canvi periòdic de contrasenyes i que aquestes siguin fortes.
- Instal·lar un connector de registre d’activitat -potser el plugin de seguretat, ja l’incorpora- , per controlar i analitzar el trànsit i ús del web.
- Protegir contra escriptura els fitxers de configuració.
- Analitzar si la vostra empresa d’allotjament fa prou per protegir el seu allotjament.
- Analitzar sovint tota la instal·lació per trobar possibles vulnerabilitats.
::: Quin accés necessitem per accedir al seu lloc web i/o al servidor?
Necessitarem les vostres credencials per accedir directament -no per aplicatius de connexió remota (anydesk, teamviewer, etc)- via FTP / SFTP o SSH, així com un accés al tauler d’administració de WordPress. També si hi ha un tauler d’administració de servidors (cPanel / WHM, Plesk, Webmin, etc.), poder accedir-hi per investigar.
::: No tinc el web amb vosaltres: En que consisteix la supervisió post-neteja?
Pels clients externs, que no teniu allotjat el vostre web en la nostra infraestructura, després de netejar el vostre web -WordPress o no-, el supervisarem 24/7 durant 30 dies per assegurar-nos que s’han solucionat tots els problemes i que no s’ha produït cap re-infecció durant aquest període.
Les nostres propostes de PLANS DE SEGURETAT
- · BÀSIC ·
- Encriptació. Seguretat WordPress. 30 còpies
- 0 € anuals
- · PROFESSIONAL ·
- + Alta Seguretat WordPress
+ Escaneig - 400 € anuals
- · CORPORATIU ·
- + Alta Personalització en Allotjament
+ Ràpida Resposta en cas d’Infecció - 800 € anuals
Apliquem una robusta política de seguretat a diferents nivells: encriptació del tràfic web, forçar https, còpies de seguretat (30 dies), firewall, inteligència artificial, actualitzacions i pegats proactius de seguretat:
- Implementació de certificat d’encriptació SSL
SSL gratuït: sistema d’encriptació de dades transferides entre el navegador i el servidor, que afegeix una capa de seguretat per evitar intrusions i robatori de dades.
Forçar l’ús de https (encriptació). - Vigilància i prevenció proactiva constant:
· WordPress: mides especials anti-hackers.
· Servei de seguiment de vulnerabilitats wordpress.
· Actualització constant de pegats de seguretat i de regles afegides al firewall. WAF, customització contra exploits
· IA (intel·ligència artificail) contra bots maliciosos.
· SSL gratuït: sistema d’encriptació de dades transferides entre el navegador i el servidor.
· Còpies diàries (30 dies) - Còpies diàries
Tant les còpies de seguretat manuals comles automatitzades es conserven durant 30dies després de la creació i 7 dies per al núvol.
Possibilitats de recuperació:
· Tots els arxius i bases de dades
· Els arxius
· Les bases de dade
· El correu
Pla Professional
Subscripció Anual: 400 € (inclou les prestacions del pla bàsic)
Major personalització de la plataforma WordPress.
Hi han determinats ajustaments de paràmetres de la instal·lació i accions a portar a terme, de caire general i aplicables en:
Àmbits d’actuació WP:
- Protecció d’arxius i bases de dades:
- Assegurant la darrera versió estable de wp.
- Canviar el prefixe de les bases de dades.
- Eliminar l’usuari instal·lador i crear-ne un nou administrador.
- Deshabilitar les notificacions de pingbacks i trackbacks per entrada per a possibles atacs massius de denegació de servei (DDoS).
- No llistar directoris, bloquear arxius sensibles, bloquear arxius d’instal·lació
- Repassar l’arxiu robots.txt, perquè no aparegui informació relacionada amb la instal·lació.
- Verificar / arreglar permisos de fitxers i carpetes.
- Bloquejar PHP en determinades carpetes.
- Deshabilitar l’edició de fitxers en WordPress.
- Lloc Web > protecció contra malware, exploits i accions malintencionades
- Bloquejar i protegir les carpetes del sistema
- Amagar la versió de WordPress
- Desactivar l’editor de temes i connectors
- Desactivar XML-RPC
- Desactivar l’HTTP TRACE / TRACK > per evitar alguns atacs possibles de Cross Site Tracing (XST) i Cross site Scripting (XSS)
que podrien robar les dades de les galetes i alguna altra informació de servidor web. - Desactivar els canals RSS i ATOM -excepte si hi han lectors RSS del propi lloc-
- Protecció XSS: per evitar execucions de scripts i evitar injeccions en missatges de formularis de contacte, comentaris, etc
- Suprimir el document Readme.html per defecte
- Afegir capçaleres de seguretat HSTS, XSS i X-Content-Type
- Accions de recuperació post-hackeig
- Assegurar la pàgina d’accés i sessions > Dificultem l’entrada al hacker i accessos no desitjats:
- Accés d’inici de sessió IP (específica o rang) > només poden accedir les IPs que designem, per evitar atacs de força bruta.
- Autenticació de dos factors per a usuaris d’administradors i editors.
- Forçar HTTPS.
- Desactivar suggeriments de sessió per donar la menor informació possible a l’atacant.
- Moure l’accés de la pàgina d’administració a url personalitzada.
- Limitar els intents fallits d’accés.
- Registre d’activitats > per conèixer l’activitat dels visitants (registrats, desconeguts i bloquejats):
- Què: Hora, tipus, IP, pàgina, resposta.
- Qui: Desconeguts, usuaris, bloquejos.
- Filtres diversos, inclosos per IP.
- Mantenir la instal·lació de WordPress segura:
- Plugins i temes només de llocs reconeguts. Actualitzacions.
- Elimina informació de versió de WordPress.
- Desactivar el report d’errors per pantalla.
- Amaga la informació de servidor web apache i de PHP.
- Plugins i temes només de llocs reconeguts. Actualitzacions.
Àmbits d’actuació generals:
- Sistema d’escaneig.
Un sistema que detecta i adverteix de la presència de malware. El sistema et permet fer escanejos del seu lloc web a demanda i realitzar escanejos complets per detectar llistes negres de dominis i malware.
La base de dades de malware s’actualitza constantment, permetent la detecció de les últimes amenaces. Rastreja i analitza constantment els seus arxius, pàgines i domini.
Un cop identificada l’amenaça, t’ho notifica immediatament per tal de prendre mesures i netejar el seu lloc web. - Escanejos diaris
Escaneja els seus arxius, URL i noms de domini diàriament i detecta el malware més recent i les amenaces potencials. - Informes programats
Pots rebre informes setmanals i estar informat sobre l’estat de la seva pàgina web via email. - Alertes immediates
Si es troba una amenaça, rebràs una notificació immediata per e-mail per prendre mesures i evitar el temps d’inactivitat, la violació de dades o altres problemes.
Pla Corporatiu
Subscripció Anual: 800 € (inclou les prestacions del pla professional)
Impedeix atacs via:
- Plugin de tipus Firewall
- Capçaleres de seguretat:
- Prevenir que una de les nostres pàgines pugui ser oberta en un frame o iframe extern, ajudant-nos a prevenir atacs de tipus clickjacking
- Atacs XSS (cross-site scripting) en navegadors antics
- Especificar quins continguts estan permesos carregar dinàmicament del nostre lloc o de tercers.
- Protegir-nos de càrregues no desitjades en estils i scripts
- Impedir atacs XML-RPC · Desactivar algunes aplicacions i programes puguin comunicar-se amb WordPress o és d’alta el seu ús només per a la IP des d’on volem.
- Tancar la porta davant de possibles atacs al nostre lloc, sobretot per a atacs tipus DDoS.
Potent motor de desinfecció ràpida i escaneig:
Apliquem accions de desinfecció i defensa preventiva per rebutjar atacs, a través de la implementació i depuració de programari i polítiques de seguretat en:
:: MONITORITZACIÓ I DETECCIÓ
Incorporem un nou sistema d’escaneig que detecta i adverteix de la presència de malware. Aquest sistema permet fer escanejos de l’allotjament web a demanda i realitzar escanejos complets per detectar malware i etiquetatge en llistes negres de dominis.
La base de dades de malware s’actualitza constantment, permetent la detecció de les darreres amenaces.
Trets:
- Protecció del vostre lloc web
Ajuda a protegir el vostre lloc web rastrejant i analitzant constantment els vostres arxius, pàgines i domini. Pot identificar fins i tot les últimes amenaces de malware i, quan ho fa, us notifica immediatament per tal de que prenem mesures i netejar el vostre allotjament.
La detecció i explotació de vulnerabilitats es fa via OWASP TopTen (https://owasp.org/www-project-top-ten/). - Escanejos cada 12h
Escaneja els seus arxius, URL i noms de domini i detecta el malware més recent i les amenaces potencials. Alertes opcionals sobre canvis de contingut i integritat de fitxers principals, cada 12h. - Informes programats
Pots rebre informes diaris o d’altra periodicitat o només quan es disparin alarmes, via email. - Alertes immediates
Si es troba una amenaça, rebreu una notificació immediata per e-mail per estar informat i prendre mesures i evitar el temps d’inactivitat, la violació de dades o altres problemes. - Monitorització i enviament de notificacions, si s’escau, en canvis en els registres DNS, cada 24h.
- Monitorització i enviament de notificacions, si s’escau, en canvis en el certificat SSL, cada 24h.
:: PROTECCIÓ (infraestructura i programari especialitzat)
- Web Application Firewall (WAF basat en el núvol que filtra i bloqueja activament l’accés no autoritzat i/o el trànsit maliciós).
- Atacs DDoS: protecció i mitigació:La nostra xarxa distribuïda a nivell mundial d’Anycast i el lliurament de contingut segur mantenen el vostre lloc en línia durant grans pujades de trànsit i atacs massius de DDoS.
- Atacs de Força Bruta: el nostre tallafoc d’aplicacions web (WAF) i el sistema de prevenció d’intrusos (IPS) proporcionen la protecció necessària contra les amenaces al lloc web.
- Zero-day Exploits: atura els intents d’explotació de vulnerabilitats desconeguts.
- Correlació Heurística: màquina que aprèn a detectar comportaments maliciosos a tota la nostra xarxa.
:: RESPOSTES EN CAS D’INFECCIÓ
- Desinfecció ràpida de malware, abans de que perjudiqui la vostra reputació.
- En cas de necessitat demanem en nom vostre, l’eliminació del vostre lloc web de les llistes negres, argumentant les accions portades a terme per demostrar la desinfecció i la correcció de vulnerabilitats.
- Eliminem les portes amagades(backdoors), trobant i corregint la vulnerabilitat per evitar la re-infecció.
Si l’allotjament no està amb nosaltres, fem un seguiment post-neteja durant 30 dies. - Realitzem una còpia de seguretat de tots els fitxers manipulats durant el procés d’eliminació de programari maliciós.
- Realitzem un informe que identifica els canvis i passos portats a terme en cas d’infecció.