Ransomware WannCry

Ransomware WannCry

¿Qué es y cómo actúa el virus?

El ransomware es un tipo de malware informático que se instala de forma silenciosa en los dispositivos y que una vez se pone en acción cifra todos los datos para bloquear el acceso. Para ser revertido se precisa una clave, por la cual se exige un dinero. Se acostumbra a infectar a la víctima a través de correos con spam y archivos adjuntos maliciosos.

¿Cómo se propaga?

• Tienes protocólo SMBv1 habilitado

• Eres accesible desde internet (WAN)

• No tienes el parche MS17-010

En caso de que no sea posible aplicar los parches de seguridad se debería desactivar el servicio SMBv1. Para ello: - Abre el Panel de control, haz clic en Programas y, a continuación, haz clic en Activar o desactivar características de Windows.

- En la ventana Características de Windows, desactiva la casilla de verificación SMB1.0 / CIFS File Sharing Support y, a continuación, haz clic en Aceptar para cerrar la ventana.

- Reiniciar sistema.

Para desactivar SMB1 abre powershell como administrador y usa estos 2 comandos

SC.exe config lanmanworkstation depend = mrxsmb20/bowser/nsiSC.exe config mrxsmb10 start = disabled 

Para habilitar o deshabilitar SMBv1 en el servidor SMB, configure la clave del registro siguiente:

Subclave del registro:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

entrada del registro: SMB1REG_DWORD: 0 = deshabilitadoREG_DWORD: 1 = habilitadoValor predeterminado: 1 = habilitadoSMBv1 Workstation Key/Hive - "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation"
Subkey - DependOnServiceValue - "Bowser","MRxSmb20","NSI"SMBv1 Server Key/Hive - HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"Subkey - SMB1Value - 0Type - DWORDNote: This is a new subkey you need to create




Recomendaciones de prevención:

• Tener cuidado con archivos adjuntos de correo.
• No descargar archivos de dudosa procedencia.
• Tener actualizado el sistema operativo.
• Tener un respaldo de tus archivos.

Referencias:

- http://blog.elhacker.net/2017/05/detienen-la-propagacion-avance-de-wanna-cry-ransomware.html

- http://www.mundodeportivo.com/elotromundo/actualidad/20170516/422599289255/ciberataque-ataque-informatico-virus-wana-cry-ransomware.html

Ubicación física de los servidores raíz de DNS

Servidores Raíz DNS

Existen 13 servidores raíz en toda Internet, cuyos nombres son de la forma letra.root-servers.net, aunque siete de ellos no son realmente servidores únicos, sino que representan múltiples servidores distribuidos a lo largo del globo terráqueo (ver tabla siguiente). Estos servidores reciben miles de consultas por segundo y a pesar de esta carga la resolución de nombres trabaja con bastante eficiencia.

Un servidor raíz es un servidor de nombres para la zona raíz del Sistema de nombres de dominio de Internet (DNS).  Los servidores de nombres raíz son una parte fundamental de Internet, ya que son el primer paso en la traducción de (resolver) los nombres de host legibles por humanos en direcciones IP que se utilizan en la comunicación entre los hosts de Internet.

El principal funcionamiento del servidor raíz es que proporciona al menos un nombre y una dirección IP del servidor autorizado en la zona de más alto nivel para el dominio que se desea encontrar. Lo que quiere decir que el servidor raíz proporciona una lista de cada uno de los servidores debajo del su nivel hasta el momento que se encuentra una solución a la petición.

Inicial		Empresa	Lugar	IPv4	IPv6
A		VeriSign, Inc.	distribuido	198.41.0.4	2001:503:ba3e::2:30
B	ns1.isi.edu	Instituto para la formación científica	California	192.228.79.201	2001:478:65::53
C	c.psi.net	Cogent Communications	distribuido (anycast)	192.33.4.12
D	terp.umd.edu	University of Maryland	College Park, Maryland, EEUU	128.8.10.90
E	ns.nasa.gov	NASA Ames Research Center	Mountain View, California, EEUU	192.203.230.10
F	ns.isc.org	ISC	distribuido (anycast)	192.5.5.241	2001:500:2f::f
G	ns.nic.ddn.mil	U.S. DoD NIC	distribuido (anycast)	192.112.36.4
H	aos.arl.army.mil	U.S. Army Research Lab	Aberdeen Proving Ground, Maryland, EEUU	128.63.2.53	2001:500:1::803f:235
I	nic.nordu.net	Autonómica	distribuido (anycast)	192.36.148.17	2001:7fe::53
J		VeriSign	distribuido (anycast)	192.58.128.30	2001:503:c27::2:30
K		RIPE NCC	distribuido (anycast)	193.0.14.129	2001:7fd::1
L		ICANN	distribuido (anycast)	199.7.83.42	2001:500:3::42
M		WIDE	distribuido (anycast)	202.12.27.33	2001:dc3::35

Referencias:

- https://es.wikipedia.org/wiki/Servidor_raíz

- http://www.ventics.com/que-es-un-servidor-raiz/

Ensayo web 3.0 y web semántica

Antes de dar alguna conclusión se dará a concoer algunas características de dichos temas.

Web 3.0

En lo que a su aspecto semántico se refiere, la Web 3.0 es una extensián del World Wide Weben el que se puede expresar no sólo lenguaje natural, también se puede utilizar un lenguaje que se puede entender, interpretar utilizar por agentes software, permitiendo de este modo encontrar, compartir e integrar la información más fácilmente.

La Web 3.0 y sus servicios se fundamentan en el colectivo de la Web Semántica, búsquedas de lenguaje natural, data-mining, aprendizaje automático y asistencia de agentes, todo ello conocido como técnicas de la Inteligencia Artificial o Inteligencia Web.

De acuerdo a algunos expertos, “la Web 3.0 está caracterizada y aprovisionada por la acertada unión de la Inteligencia Artificial y la Web”, mientras que algunos expertos han definido la Web 3.0 como el siguiente paso en la progresión de las tuberís que conforman Internet.

¿Entonces qué es la web semántica?

La red semántica no es una red independiente de la actual, sino una ampliación; una red en la cual la información está dotada de significados bien definidos, con el fin de que la coordinación del trabajo entre humanos y ordenadores sea más completa.

La web semántica como un componente de la Web 3.0 y sus elementos necesarios que la componen son así: XML, RDF, PICS, ONTOLOGÍAS y AGENTES.

Conclusión:

El término más exacto para llamar a la web 3.0 es Web de datos, por su naturaleza en capas que interrelaciona e interpretar el mayor número posible de datos. Es una extensión de lo que solemos usar normalmente como "www" y que va de la mano con la web semántica pues esta última es un componente que de igual manera tendencia a la creación de tecnologías para publicar datos legibles por aplicaciones informáticas

Referencias:.

- http://web30websemantica.comuf.com/web30.htm

- http://www.davidam.com/docu/bibdigwebsem/ar01s04.html

- https://wwwhatsnew.com/2011/04/04/¿que-es-la-web-3-0-o-que-dicen-que-es/

- http://www.infotecarios.com/la-web-semantica/

Broadcast Storm Control y Spanning-Tree Protocol

Broadcast Storm Control y Spanning-Tree Protocol

Antes de empezar a análizar estos protocolos, tenemos que que definir unos cuantos conceptos.

¿Qué es el broadcast?

El broadcast es un componente natural de las redes TCP/IP y particularmente las redes Ethernet. Distinguimos 3 tipos básicos de comunicaciones:

• Unicast - Comunicación de una terminal origen a una terminal destino.
• Multicast - Comunicación de una terminal origen a un grupo de terminales destino.
• Broadcast - Comunicación de una terminal origen a TODAS las terminales de un dominio de broadcast (red, subred o VLAN).

¿Qué es una tormenta de Broadcast?

Una tormenta de broadcast es una descripción del marco de comportamiento de las inundaciones que se produce bajo condiciones especiales en una red Ethernet. Durante una tormenta de broadcast las tramas Ethernet se encuentran atrapadas en un bucle sin fin y siguen siendo retransmitidos hasta que el conmutador de red se siente colapsado o el bucle se termina.

¿Cuándo ocurre?

Ocurre cuando los paquetes inundan la LAN, creando tráfico excesivo y degradando el rendimiento de la red. La función de control de tormenta de tráfico impide que los puerto LAN sean interrumpidos Broadcast, multicast o unicast en las interfaces físicas.

Control de tormenta de tráfico (también llamado Supresión de tráfico) supervisa los niveles de tráfico entrantes durante un intervalo de control de tormenta de tráfico de 1 segundo y durante el intervalo compara el nivel de tráfico con el nivel de control de tormenta de tráfico que configure. El nivel de control de tormenta de tráfico es un porcentaje del ancho de banda disponible total del puerto. Cada puerto tiene un solo nivel de control de tormenta de tráfico que se utiliza para todos los tipos de tráfico (difusión, multidifusión y unidifusión).

Protocolo Spanning tree

Este protocolo asegura que exista solo una ruta logica entre todos los destinos de la red, al realizar un bloqueo de forma intencional a aquellas rutas redundantes que puedan ocasionar un bucle. Un puerto se considera bloqueado cuando el trafico de la red no puede ingresar ni salir del puerto. 

STP utiliza el algoritmo de spanning tree (STA) para determinar los puertos del switch de la red que deben de configurarse para el bloqueo a fin de evitar que de generen bucles. El STA designa un unico switch como raiz y lo utiliza como punto referencia para todos los calculos de rutas. 

Descripción de la tecnología

Con STP, la clave es que todos los switches elijan un bridge raíz en la red que se convierta en el elemento fundamental de la red. Todas las demás decisiones en la red, como por ejemplo, qué puerto se bloquea y qué puerto se coloca en el modo de reenvío, se toman desde la perspectiva de este bridge raíz. Un entorno conmutado, que es diferente del de un bridge, suele gestionar varias VLAN. Cuando se implementa un bridge raíz en una red de conmutación, por lo general se refiere al bridge raíz como el switch raíz. Cada VLAN debe tener su propio bridge raíz, ya que cada una de ellas es un dominio de difusión independiente. Las raíces para las distintas VLAN pueden residir todas en un solo switch o en varios switches.

Fuentes:

• http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/storm.html

• http://ciscoccna3.blogspot.mx/2012/07/stp-spanning-tree-protocol.html

• http://www.cisco.com/cisco/web/support/LA/7/73/73037_5.html