viernes, 26 de marzo de 2010 4 comentarios

¿Qué elegir, gestionar vulnerabilidades o detectar ataques con IDS?

Esta semana he podido participar en un evento sobre gestión de vulnerabilidades a través de la asociación murciana de temas tecnológicos CTICRM que pretende compartir y difundir conocimientos sobre aspectos incipientes o productos de interés para sus asociados.

El caso es que en la rueda de preguntas una de las que se lanzó fue la que da título al post, ¿si tengo un IDS o IPS, para qué quiero un gestor de vulnerabilidades? En este post quiero dar mi opinión al respecto.

Lo primero que quiero hacer es dibujar el escenario de batalla. Joseba Enjuto lo definió muy bien en su post El universo de las amenazas y que queda resumido en el juego de palabras "Lo que sé que sé, lo que sé que no sé, lo que no sé que sé y lo que no sé que no sé". Tal como explica Joseba, serían estos cuatro cuadrantes.

  • Sector 1: Probable y conocido. Este es nuestro mayor campo de actuación y el que definimos tradicionalmente como la gestión “convencional” de la seguridad. Es el enemigo que viene de frente y que sabemos que hay que combatir a diario. Entrarían las rutinas de protección frente a virus, accesos no autorizados y en este cuadrante suelen estar desplegadas el mayor número de las medidas que suelen existir en una organización.


  • Sector 2: Improbable y conocido. Este es el área en la que los fenómenos que se suceden, por la falta de costumbre, nos sorprenden. Aquí somos nosotros mismos quienes decidimos limitar nuestra capacidad de predicción.
  • Este sería quizás uno de los cuadrantes donde habría que meter la gestión de las vulnerabilidades. Al fin y al cabo, la gran parte de las vulnerabilidades son conocidas y disponen de parche. Es nuestra tarea cerrar estos agujeros potenciales dentro de nuestra organización para que, aunque parezca improbable, a nuestro enemigo no se le ocurra hurgar donde no debe.

  • Sector 3: Probable y desconocido. Aquí entra la osadía del individuo en juego para ser capaz de romper la barrera del conocimiento actual y ponerlo a disposición del resto, es lo que se viene conociendo comúnmente como “descubrimientos”. En este sector es donde más valor proporcionan las herramientas de descubrimiento de vulnerabilidades y de errores de configuración. Este sería el otro cuadrante donde encajar la gestión de vulnerabilidades dado que muchas herramientas sirven también para auditar que no se dan ciertas circunstancias o que los sistemas no se encuentran mal configurados.


  • Sector 4: Desconocido e Improbable. Todo aquello que pasa al lado de nuestra existencia sin siquiera percibirlo y que además la probabilidad de que suceda a pesar de nuestro desconocimiento es mínima. En este cuadrante se situarían las temidas y famosas "vulnerabilidades zero-day" que mientras permanecen ocultas y sin ser conocidas por los fabricantes, son un peligro para todos aquellos que no disponen de una monitorización preventiva del uso de sus sistemas. Puedes desconocer si eres o no vulnerable pero si puedes monitorizar su uso y descubrir que hay anomalías aun cuando desconoces lo que las causan.


La gestión de vulnerabilidades supone una actividad preventiva que intenta minimizar la posibilidad de sufrir un ataque. Se basa simplemente en ir cerrando aquellos errores o fallos que son dados a conocer por los fabricantes de los diferentes productos que podamos tener instalados y operativos en nuestros sistemas de información. En este caso, la base de datos de vulnerabilidades del producto que utilicemos es su mayor activo dado que sólo solventaremos aquellas vulnerabilidades que sean identificadas por el producto utilizado. Es por ello que se suele recomendar contrastar los falsos positivos e incluso cruzar resultados de varias herramientas.

La existencia de herramientas de detección y protección perimetral del tipo IDS supone una actividad de detección que intenta minimizar tanto la posibilidad de sufrir un ataque como su posible daño si consiguen pararlo. Cuando se trata de IDS se basan simplemente avisar que se producen intentos de ataque pero cuando estos ya se están produciendo. Cuando se trata de IPS además de lo anterior, se intenta responder o reaccionar también a los ataques que están produciendo. En este caso, la fiabilidad del dispositivo es muy importante dado que sólo evitaremos aquellos ataques que el sistema detecte bien sabiendo que ya los intentos de agresión se están produciendo. Los tiempos de reacción también son más cortos en este caso.

La gestión de vulnerabilidades por tanto, permite a los responsables de sistemas planificar y programar sus actividades de mantenimiento para hacer las cosas cuando ellos consideran siempre que las vulnerabilidades detectadas no están siendo empleadas en oleadas masivas de ataques como ocurrió con malware como Downadup o Conficker. Incluso en aquel caso, la vulnerabilidad explotada tenía una antigüedad de varios meses por lo que quien hiciera una gestión eficiente de vulnerabilidades podía ser inmune al ataque cuando se popularizó su explotación por parte del malware específicamente diseñado.

Aquí es cuando es útil de nuevo recordar lo que ya expuse en el post "La ventana de exposición" y "Explotar vulnerabilidades y la ventana de exposición".

La ventana de exposición es el tiempo transcurrido entre la publicación de la vulnerabilidad y la aplicación del parche y es el periodo que intenta minimizar toda gestión de vulnerabilidades, hacer que la ventana de exposición tienda a cero.



Y respondiendo a la pregunta que da titulo al post, la elección debe ser ambas estrategias. La estrategia de gestión de vulnerabilidades como una actividad más de la operación de la seguridad sobre los sistemas de información y las herramientas IDS o preferiblemente IPS como un control complementario para evitar cualquier otro incidente que pudiera ser peligroso y que no consista en explotar exactamente una vulnerabilidad.
Si hubiera que elegir sólo una de ellas, dependerá de cada organización y cómo de preocupante sea tanto lo que pudiera ocurrir si hay una intrusión como lo frecuentes que son los intentos de ataque detectados para optar por prevenir o detectar. De nuevo es de aplicación la gran máxima de "El arte de la guerra" que dice "Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla."

En este caso, la gestión de vulnerabilidades se centra en conocernos a nosotros mismos. Al menos, supone el 50% de lograr la victoria.

Y para quien quiera ver lo común y habitual es que las Webs sean hackeadas, en la Web Zone-h llevan un histórico de las páginas que han sido hackeadas y notificadas. Como podéis comprobar hay decenas de registros a diario e incluso podéis consultar por dominios para ver cómo de habitual es este tipo de incidentes. Seguro que os sorprende comprobar cómo han caido algunas Webs. En los enlaces mirror se encuentra la captura de pantalla que evidencia que la Web fue hackeada, aunque posteriormente haya podido ser restablecida.
lunes, 22 de marzo de 2010 1 comentarios

Oiga, ¿es el enemigo? ¿Puede parar la guerra, por favor?

Estaba leyendo el blog de Samuel Parra sobre el problema de autenticación del portal de consulta de puntos de la DGT que explica en El sistema de consulta de puntos del carnet de conducir es ilegal, pero no lo van a cambiar.

Me llama mucho la atención las declaraciones realizadas a El Mundo de Luis de Eusebio, responsable de informática de la DGT en afirma que:

“Tráfico reconoce la vulnerabilidad del sistema actual pero no está dispuesto a cambiarlo. A pesar de la contundencia con que Protección de Datos describe cómo de expuesta está la información personal de millones de conductores en los archivos de la DGT, el organismo no se ve obligado desde un punto de vista jurídico a tomar medidas y, por otra parte, tampoco ve factible realizar nuevos cambios en el sistema.” Y añade:“El sistema actual de consulta fue aprobado en 2006 por la AEPD y que hasta ahora no se han conocido casos de suplantación de identidad de los conductores.”


Lo que me resulta curioso de todo esto es pensar que las soluciones solo vendrán tras la puesta en conocimiento de un incidente. Me sigue sorprendiendo comprobar lo cotidiano que es entender la seguridad de la información como "el arte de apagar fuegos" cuando es más que manifiesto que toda estrategia (y más cuando se habla de proteger la confidencialidad) pasa por la prevención y detección temprana.

Tras leerlo me ha venido a la mente una actuación de Gila sobre la guerra.



La versión actual de este sketch de Gila sería:
Responsable de informática (RI):"-Oiga, ¿son los hackers?"
Hackers(HK):"-Si, digame."
RI:"-¿Pueden parar el ataque un momento? Es que me están saturando la página Web y tengo aquí al jefe cabreado."
RI:"-¿Ustedes van a atacar mañana?"
HK:"-Si."
RI:"-¿A qué hora?, Es que mañana tenemos el fin de plazo de un impuesto y nos viene muy mal que la página esté caida."
HK:"-A las 11."
RI:"-Jolín, es la hora del desayuno. ¿Y no lo puede dejar para otro día?"
HK:"-Bueno, el domingo entonces."
RI:"-¿El domingo?, Hombre es el día de descanso del señor. Es que en ese horario ese día no hay nadie aquí para resolver incidencias. ¿Y va a ser muy duro el ataque?. Por cierto, ayer entró en nuestro sistema uno de ustedes, se copio la base de datos de ciudadanos y nos borró la que teníamos. ¿Nos la puede devolver? Es que hemos visto que es la única que tenemos porque las copias de seguridad no se hacen desde hace más de tres meses"

El sarcasmo de Gila parece ser una realidad en los pensamientos de algunos irresponsables de informática que esperan a ver los incidentes para pensar que habrá problemas. Una demostración empírica más de las máximas de la seguridad y del principio Backwards Maxim: Most people will assume everything is secure until provided strong evidence to the contrary--exactly backwards from a reasonable approach. (la mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, justo lo contrario de lo que sugiere una aproximación razonable)

Sin embargo, luego se pasea Mr Bean por la Web y entonces se rasgan las vestiduras y todo el mundo se pregunta cómo pudo suceder. La seguridad es el arte de hacer las pocas tareas de operación de seguridad todos los días pero de forma contínua, sin bajar nunca la guardia.
jueves, 11 de marzo de 2010 3 comentarios

Ya sois más de 3500 lectores vía RSS

Lo siento pero hoy toca un post de autobombo. Aunque no suelo darle mucha importancia al tema de las estadísticas del blog y tampoco publico con ningún objetivo amortizador o lucrativo, hoy he podido comprobar que las suscripciones vía RSS superan ya los 3500 usuarios.

Las cifras redondas siempre hacen a uno reflexionar y en este caso, cada vez soy más consciente de la responsabilidad que se adquiere al tener a tantos lectores visitando el blog con asiduidad.

Hace menos de un año agradecía haber alcanzado los 2000 subscriptores y este año, en menos tiempo puede que la cifra acabe doblándose.

Como novedad también he abierto otro canal vía twitter donde espero enlazar y referenciar aquellas noticias que no pueda dar salida en un post pero que sean interesantes para la temática general del blog.

Espero seguir aportando cosas al escenario de la seguridad de la información y que la calidad de mis textos logre seguir manteniendo estas cotas. Como creyente convencido de la "mejora continua" y ahora del GTD he incorporado tareas periódicas a esto de postear y al menos creo que seguiré publicando una vez por semana.

También deseo también recibir vuestras críticas/opiniones/sugerencias para poder hacer aquellas correcciones que permitan al blog ser mejor cada día.


Un saludo a todos y mil gracias. Es reconfortante pensar que uno no escribe al vacio sino que hay detrás un público interesado en estos temas.
lunes, 8 de marzo de 2010 4 comentarios

Análisis de riesgos en la fase de desarrollo software

Hace un par de post, cuando hablaba de la operación Mariposa, un comentario anónimo apuntaba que además de las estrategias de defensa que planteaba a nivel de gestión de los sistemas informáticos, otra de las piezas claves es la programación segura ( o más bien, la programación considerando los requisitos de seguridad). En este sentido, no es la primera vez que en este blog comento la iniciativa SDLC (Secure Development Life Cycle) de Microsoft como parte de su estrategia global para lograr la mejora de la seguridad en sus productos.

Sin embargo, no dejan de sorprenderme las iniciativas que Microsoft utiliza para dar a conocer las herramientas que han desarrollado para dar a conocer SDLC.


La más importante es Threat Modeling Tool que básicamente sirve para elaborar el análisis de riesgos básico que todo desarrollo debe contemplar. Es esencial que un programador entienda que su aplicación puede ser atacada y cuales son los puntos posibles de ataque. Para ello, lo primero que todo lector de este post debe ver es el video A walk through the Threat Modeling Tool donde podrá comprobar la importancia que puede tener esta herramienta dentro de la fase de análisis de requisitos software.

Identificar a priori los puntos de control o las verificaciones técnicas que hay que realizar en una aplicación antes de empezar a tirar líneas de código es esencial. Básicamente esto es lo que se realiza en la fase de análisis de requisitos de toda metodología de desarrollo.

Contar además con un completo análisis de las amenazas que pueden darse una vez que el producto esté funcionando sirve para diseñar una aplicación que esté preparada para "defenderse o resistir". Esto es el nuevo matiz que hay que aprender. Hacer una aplicación utilizando "programación defensiva", es decir, pensar en los "casos de uso", pero también en los "casos de abuso".

La herramienta SDL Threat Modeling Tool proporciona las siguientes características:
  • Integración: Un sistema de seguimiento de los problemas detectados durante el análisis.

  • Automatización: orientación e información en la elaboración de un modelo de seguridad para la aplicación en desarrollo.

  • Análisis STRIDE por elemento del sistema: guía de análisis de amenazas y mitigación de los vectores de ataque STRIDE.

  • Informes: Actividades sobre el diseño de la seguridad y ensayos en la fase de análisis y verificación.


STRIDE es un acrónimo que resume 6 categorías de amenazas: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege. Dado que cada categoría tiene un conjunto específico de medidas de seguridad que las puede evitar, una vez que se analizan las amenazas y las clasificamos, ya podemos saber que será necesario para mitigarlas. Voy a explicar cada una de las categorías aglutinadas bajo el acrónimo STRIDE:
    S Suplantación (Spoofing)
    Un ataque de suplantación se produce cuando un atacante se hace pasar por alguien que no es.

    T Manipulación (Tampering)La manipulación ataques se producen cuando el atacante modifica los datos en tránsito.

    R Repudio (Repudiation)
    Negar la autoría de una acción o evento en los sistemas de información.

    I Revelación de información (Information Disclosure)
    Cuando la aplicación revela información sensible de forma no controlada debido a un error en la programación o un fallo en la configuración del servicio o aplicación.

    D Denegación de servicio (Denial of Service)
    Introducción de información maliciosa que logre la saturación o el bloqueo de la aplicación y de los servicios que esta proporciona generando como consecuencia la caída de la aplicación o el sistema informático.

    E Elevación de privilegios (Elevation of Privilege)
    Una elevación de privilegios se produce cuando un atacante tiene la capacidad para obtener privilegios que normalmente no tendrían. Esto se logra mediante la alteración o ataque a la aplicación obteniendo unos niveles de acceso mayores de los inicialmente otorgados, saltándose así la política de control de acceso predefinida.


Con mucho ingenio, la gente de Microsoft ha sacado un juego llamado Elevation of Privilege (EoP) card game que plantea al programador los diferentes escenarios de amenazas para que piense en ellos y cómo evitarlos.

Las cartas del juego las podéis descargar aquí. El resto de información sobre esta herramienta de análisis de requisitos de seguridad puede ser obtenida en The Microsoft SDL Threat Modeling Tool.
Get Microsoft Silverlight
jueves, 4 de marzo de 2010 0 comentarios

Luz sobre la problemática de la propiedad intelectual

Hoy Carlos Sánchez Almeida nos deleita con un extenso post sobre la problemática de la propiedad intelectual y el mal intento de regular Internet que se quiere hacer a través de la Ley Sinde. El artículo que titula ¿Libertad o propiedad? Antorchas en la biblioteca y es todo un repaso a los acontecimientos y una visión completa de la profundidad del problema.

Este es un tema sobre el que no tengo todavía una posición definida y del que me cuesta pronunciarme aunque para evitar problemas si que he hecho que este blog no tenga publicidad ni ningún otro tipo de mecanismo de lucro.

Sin embargo, el verdadero problema con la propiedad intelectual es realmente su compleja protección, la seguridad de esa información. Desde la perspectiva técnica tradicional, siempre nos posicionamos en el supuesto de tener un bien que proteger y una amenazas sobre las que protegerlo. Sin embargo, en la problemática de la propiedad intelectual no podemos considerar que hay amenazas, hay abusos del uso. No existe realmente nada que dañe a la información (precisamente porque interesa que esté correcta y completa).

Lo que realmente ocurre es que el elemento a proteger viene limitado a un soporte o un tipo de uso y es el consumidor (legítimo o ilegítimo) el que decide que quiere guardarla en otro medio, formato o soporte.

La protección así planteada es realmente casi una entelequia. Es complejo proteger una información en soporte digital que tiene que estar autorizada para el usuario legítimo y protegida frente a los demás con la premisa de que cualquiera es un usuario legítimo. Además, es difícil proteger algo que puede ser reproducido por el usuario legítimo y que puede decidir grabar en ese momento a otro soporte. Por tanto, la protección es un problema de difícil solución cuando es el usuario el que decide no ser la medida de seguridad y todas las premisas de protección se basan en su comportamiento legítimo. Es quizás por ello que la legislación siempre ha contemplado el derecho de copia. Puede que fueran conscientes en su momento que no tenía sentido prohibir lo imposible de evitar.

Imaginemos que las tecnologías DMR hubieran funcionado. La manera de piratear los contenidos habrían sido buscando unos equipos de muy alta calidad para grabar la información que sale en la reproducción legítima que realizaría un usuario legítimo.


Es realmente lo que ocurre hoy en día con el cine. Un cliente que asiste a una exhibición pagada decide recoger esa información para conservarla en otro soporte o formato. La piratería ataca desde la existencia de la información en cualquiera de las partes de la cadena que tienen acceso a esos datos o a su distribución. Es sorprenderte ver cómo muchas de las películas piratas que circulan tienen la marca de agua de la distribuidora donde avisa que esa película es material para su valoración por parte de los críticos de cine o gente del gremio de la distribución. Ciertamente la industria no está realmente examinando en dónde se producen las fugas porque un alto porcentaje se encuentra dentro, cuando el film se está cociendo o cuando se empieza a dar a conocer supuestamente entre los circulos que "aman" al cine. Es muy típico en seguridad de la información pensar que el enemigo esta fuera, pero la realidad demuestra que suele estar dentro y suele ser necesario cierto acceso privilegiado para poder hacer ciertas cosas.

La legislación quiere controlar al agua metiéndola en una jaula sin entender que lo que hoy prohibe es sólo un pequeño obstáculo que será superado pronto.


Quien quiere hacer daño siempre busca medios alternativos cuando las medidas de seguridad mejoran. Si se prohiben las Webs de enlaces, existirá un medio alternativo de localizar los contenidos.

Creo personalmente que la raíz del problema tiene que atacar dos frentes:
- Gestionar mejor toda la cadena de custodia desde los inicios hasta las salas de distribución, lo cual es complejo y poco viable dada la extensión de los puntos a controlar.
- Luchar contra los repositorios donde se almacenan los ficheros que se descargan en las redes P2P, lo que también es complejo dada la no existencia de un marco legal internacional coherente en temas de propiedad intelectual.

Por tanto, feo panorama hay para quién confíe que la Ley Sinde es la solución a su problema dado que no conoce la Red. Y el siguiente movimiento del mundo de la piratería puede ser volver al P2M. ¿Qué pretenderá entonces la siguiente "legislación sinde", acceder de manera preventiva a tu buzón de correo por si tienes contenidos "delictivos"? ¿Cobrar un canon por correo electrónico?. El agua no puede ser retenida en una jaula.


Por tanto, parece que solo queda la otra alternativa. El cambio de modelo de negocio, pero es la propia industria la que lucha contra este cambio forzado. Quizás en el siglo XXI tenga sentido poder disfrutar del estreno de una peli en el sofá de tu casa previo pago de un módico precio, aun a costa de sacrificar así los ingresos por espectador y conformarse en ingresos por domicilio donde se visiona la película. Aun así habrá quien ponga a grabar la peli para pasarla a sus conocidos, será inevitable.

Es dificil ganar una batalla sin conocer ni al enemigo ni el terreno de la lucha. Yo diría que imposible. La protección de la propiedad intelectual es como un dibujo de Maurits Cornelis Escher, podemos empezar a mirarlo pero es complejo realmente llegar a verlo completamente.

miércoles, 3 de marzo de 2010 3 comentarios

Golpe policial a una red zombi española con casi 13 millones de PC cautivos.

La noticia del día es sin duda la "Operación Mariposa" que ha supuesto la detención de tres delincuentes que controlaban una red de equipos PC zombies de casi 13 millones de PC víctimas, uno de ellos además murciano.
Según explica la propia Web del Grupo de Delitos Tecnológicos de la Guardia Civil, esta operación lleva tiempo cociéndose y ayer se produjeron las detenciones de los presuntos responsables.


"El pasado mes de mayo, técnicos de Defence Intelligence y Panda Security, detectaron e iniciaron el seguimiento de la botnet mariposa. Paralelamente, el FBI inició otra investigación sobre la misma botnet, obteniendo indicios de la posible existencia de un individuo español vinculado a la botnet, que puso en conocimiento de la Guardia Civil.Puestos en contacto investigadores y el Grupo de Trabajo, se avanzó en la investigación de forma coordinada, lo que permitió conocer la existencia de un grupo de habla hispana, identificado como DDPTEAM, que había adquirido en el mercado del malware el troyano, para su distribución y control.
El 23 de diciembre, se procedió, a nivel internacional, a bloquear la botnet, lográndose identificar al máximo responsable del grupo, “netkairo”, detenido el pasado 3 de febrero, y al que se le intervinieron varios equipos informáticos que están siendo analizados. La pasada semana, fueron detenidos el resto del grupo, “OsTiaToR” y “Johnyloleante”.
Por el número de ordenadores que la integran, probablemente sea una de las botnes más grandes que se han detectado y desmantelado"


Es significativo también el hecho de que los detenidos desconocían el poder que tenían entre manos. Su perfil coincide con una nueva generación de ciberdelincuentes, que sin profundos conocimientos informáticos, adquieren en el mercado del malware herramientas que les permiten realizar sus fechorías.

El informe técnico detallado sobre cómo funcionaba la botnet "Mariposa" puede ser descargado de la Web de Defintel: Análisis Botnet Mariposa.

Últimamente mi actividad profesional está relacionada con establecer una estrategia de gestión, detección y mitigación de malware y ciertamente es un problema cuya preocupación por parte de los responsables de seguridad creo que debe ir en aumento. El malware ha cambiado su orientación, sus objetivos y ahora el enemigo se mueve con velocidad y voracidad.

Quizás hayamos asumido como normal la presencia de virus informáticos en nuestros equipos y redes pero es un problema importante de gestión que hay que afrontar. Aun así, creo que debe existir tolerancia cero frente a este tipo de incidentes dado que son la antesala de problemas más graves (sobre todo robo de información, tanto personal, como credenciales bancarias, como corporativa relacionada con la propiedad intelectual o industrial).

En este sentido, las estrategias a implantar deben basarse como siempre en tres planos:
Prevención
  • El usuario como responsable o piloto del PC que puede tomar decisiones ariesgadas y al que hay que concienciar y entrenar para que sea cauteloso.

  • Limitar privilegios y posibles vías de infección como medio de restringir las posibilidades de contagio y sobre todo, lograr de forma preventiva que usuarios no entrenados o intencionados puedan hacer con el equipo PC asignado lo que quieran.

Detección
  • En los tiempos que corren es necesario y diría casi imprescindible vigilar la red y los patrones de tráfico habitual que tiene nuestra organización. La estrategia de monitorización y detección de anomalías puede ser eficaz cuando se trata de perseguir el malware. Los indicios como aumento del uso de puertos, conexiones extrañas a url o ip desconocidas o catalogadas como origen de malware son herramientas básicas con las que contar. La versión automatizada de este tipo de tecnologías son los IDS o IPS (detectores de intrusos) que advierten precisamente de este tipo de comportamientos extraños o no habituales.

Recuperación
  • Una vez que tenemos la certeza de tratar con un equipo infectado, lo único que queda es aplicar un protocolo de desinfección fiable, que tengamos la certeza que una vez revisado el equipo va a quedar descontaminado. En este sentido, depende esencialmente de la sofisticación del malware con la que nos tengamos que enfrentar cual debe ser la dureza de las acciones de limpieza a aplicar, llegando en casos extremos al formateo del equipo.


Posibles soluciones:
A las ya comentadas en el post del año 2007 ¿Soy un zombie? que sigen vigentes, quiero añadir ahora un documento que la propia Microsoft ha elaborado denominado Malware Removal Starter Kit que da las pautas sobre cómo lograr una desinfección eficaz y que se complementa con este enlace a Technet que explica cómo usar este kit.

También me parece interesante comentar la estrategia que se está siguiendo el CERT japones (https://www.ccc.go.jp/en_bot/index.html) y que ha sido comentada por Brian Krebs sobre cómo se está luchando contra las redes zombies.
En concreto existe en Japón un CyberCleanCenter que es una Web donde el usuario siguiendo unas instrucciones de forma sencilla puede intentar limpiar su equipo. El diagrama representa los diferentes pasos que se dan para lograr que el usuario infectado sea consciente de ello y logre librarse del malware.


En España puede sonar muy agresivo ser avisado por correo electrónico sobre el quehacer de tu equipo pero los riesgos para el infectado en caso de no combatir la presencia de malware pueden ser peores. En cualquier caso, disponemos desde hace tiempo de la Oficina de Seguridad del Internauta que está para dar soporte por este tipo de problemáticas y que quizás no sea suficientemente conocida.



Es necesaria una mayor proactividad frente a esta lacra del mundo digital que requiere cada vez más la concienciación del usuario doméstico y la existencia de sitios con la Web japonesa que permiten de forma sencilla lograr que el usuario limpie su equipo. Como dice un proverbio "Si cada uno barre la puerta de su casa, qué limpia estaría la ciudad" que ahora podría ser "si cada uno mantiene su pc desinfectado, qué limpio estaría Internet"
 
;