Trojan.TrickBot ha estado presente en el panorama de amenazas desde hace bastante tiempo. Escribimos sobre su primera versión en octubre de 2016 . Desde el principio, era un malware modular bien organizado, escrito por desarrolladores con habilidades maduras. A menudo se le llama banquero, sin embargo, su estructura modular permite agregar libremente nuevas funcionalidades sin modificar el robot de núcleo. De hecho, la funcionalidad de un banquero está representada solo por uno de muchos de sus módulos .

Con el tiempo, los desarrolladores ampliaron las capacidades de TrickBot mediante la implementación de nuevos módulos, por ejemplo, el que roba las credenciales de Outlook . Pero la evolución del bot del núcleo, que se usó para el despliegue de esos módulos, fue bastante lenta. Los scripts escritos para descodificar módulos de la primera versión funcionaron hasta hace unos meses, lo que demuestra que el esquema de cifrado utilizado para protegerlos permaneció sin cambios.

Octubre de 2018 marca el final del segundo año desde la aparición de TrickBot. Posiblemente los autores decidieron celebrar el aniversario con un cambio de imagen de algunos elementos significativos del núcleo .

Esta publicación será un análisis de la ofuscación actualizada utilizada por el módulo principal de TrickBot.

Analisis de comportamiento

El último TrickBot comienza sus acciones desde la desactivación de la supervisión en tiempo real de Windows Defender. Se realiza mediante la implementación de un comando de PowerShell:

Después de eso, podemos observar comportamientos típicos de TrickBot.

Como antes, el bot principal implementa múltiples instancias de svchost, donde inyecta los módulos.

La persistencia se logra agregando una tarea programada:

Se instala solo en% APPDATA%, en una carpeta con un nombre que depende de la versión del bot.

Los módulos cifrados se almacenan en la carpeta de Datos (nombre antiguo: Módulos), junto con su configuración:

Resulta que, recientemente, el cifrado de los módulos ha cambiado (y tuvimos que actualizar los scripts para decodificar ).

El nuevo elemento en la carpeta de instalación principal es el archivo de configuración, que viene con varios nombres, que parece ser elegido al azar de un grupo codificado. Es el nombre que aparece con mayor frecuencia es settings.ini (codificado), pero hay otras variantes, como: profiles.ini, SecurityPreloadState.txt, pkcs11.txt. El formato del archivo parece nuevo para TrickBot:

Podemos ver muchas cadenas, que a primera vista parecen codificadas / encriptadas. Pero como resultado, son entradas basura que se agregan para ofuscación. La configuración real se almacena entre ellos, en una cadena que parece codificada en base64. Su significado se explicará en la parte posterior de este post.

Dentro

Para comprender mejor los cambios, necesitamos profundizar en el código. Como siempre, la muestra original viene empaquetada, esta vez hay dos capas de protección que deben eliminarse antes de que obtengamos el robot principal .

El bot principal viene con 2 recursos: RES y DIAL, que son analógicos a los recursos utilizados anteriormente.

RES – es un archivo de configuración encriptado, en formato XML. Está cifrado de la misma manera que antes (usando AES, con clave derivada mediante rondas de hashing), y podemos decodificarlo usando un script antiguo: trickbot_config_decoder.py . (Tenga en cuenta que el primer DWORD en el recurso es un tamaño y no una parte de los datos cifrados, por lo que debe eliminarse antes de usar el script).

DIAL: es una clave pública de curva elíptica (curva ECC p-384), que se utiliza para verificar la firma de la configuración cifrada mencionada, después de que se descifre.

Ofuscación

En la primera edición , TrickBot no estaba del todo confuso, incluso podíamos encontrar todas las cadenas claras. Durante los dos años de evolución, ha cambiado lentamente. Hace varios meses, los autores decidieron ofuscar todas las cadenas, utilizando un algoritmo personalizado (basado en base64). Todas las cadenas ofuscadas se agregan a partir de una única lista codificada:

Cuando se necesita alguno de ellos, se selecciona por su índice y se pasa a la función de decodificación:

Ejemplo – cadena buscada por el índice 162 :

El proceso de deofuscación, junto con la utilidad utilizada , se describió aquí . Debido al hecho de que la API de las funciones de decodificación no cambió desde entonces, se puede utilizar el mismo método hasta hoy. La lista de cadenas deofuscado, extraída de la muestra analizada actualmente se puede encontrar aquí .

Además, podemos encontrar otros métodos más populares de ofuscación de cuerdas. Por ejemplo, algunas de las cadenas que se dividen en trozos, un DWORD por cada uno:

El mismo método fue utilizado por GandCrab, y se puede desenfocar con el siguiente script t.

Del mismo modo, las cadenas de Unicode se dividen:

La mayoría de las importaciones utilizadas por TrickBot se cargan dinámicamente. Eso hace que el análisis estático sea más difícil, porque no podemos ver directamente la imagen completa: los punteros se recuperan justo antes de que se usen.

Podemos resolver este problema de varias maneras, es decir, agregando etiquetas mediante un trazador automático . El archivo CSV / tags creado para una de las muestras analizadas está disponible aquí (se puede cargar en la base de datos de IDA con la ayuda del complemento IFL ).

La imagen que se muestra a continuación muestra el fragmento del código de TrickBot después de cargar las etiquetas. Como podemos ver, las direcciones de las funciones importadas se recuperan de la estructura interna en lugar de la Tabla de importación estándar, y luego se llaman a través de registros.

Aparte de los métodos de ofuscación mencionados, en el camino de su evolución, TrickBot va en la dirección de aleatorización de cadenas. Muchas cadenas codificadas en las versiones iniciales ahora son aleatorias o generadas por máquina víctima. Por ejemplo, el nombre de exclusión mutua:

Cifrado utilizado

En el pasado, los módulos estaban encriptados por AES en modo CBC . La clave utilizada para el cifrado se derivó del hashing de bytes iniciales del búfer . Una vez que conocemos el algoritmo, podríamos descifrar fácilmente los módulos almacenados junto con su configuración.

En la reciente actualización los autores decidieron complicarlo un poco. Sin embargo, no cambiaron el algoritmo principal, solo introdujeron una capa XOR adicional . Antes de pasar los datos a AES, primero se XORed con una cadena de 64 caracteres de longitud generada dinámicamente, a la que nos referiremos como la clave del bot:

La clave bot mencionada se genera por máquina víctima. Primero, se usa la función GetAdapterInfo:

La estructura recuperada (194 bytes) es procesada por SHA256 y luego el hash se convierte en cadena:

El algoritmo reconstruido para generar la clave del bot (y la utilidad para generar las claves) se puede encontrar aquí .

Esta clave se almacena en el archivo de configuración que se ha caído

Configuraciones de codificación

Como se mencionó anteriormente, las nuevas ediciones de TrickBot eliminan un nuevo archivo de configuración, que contiene información codificada. Ejemplo de la información que se almacena en la configuración:

0441772F66559A1C71F4559DC4405438FC9B8383CE1229139257A7FE6D7B8DE9 1085117245 5 6 13

Los elementos:

1. El BotKey (generado por máquina)

2. una suma de comprobación de una cadena de prueba: (0-256 bytes codificados con el mismo conjunto de caracteres): se utiliza para la validación de un conjunto de caracteres

3. tres números aleatorios

La línea completa está codificada en base64 mediante un conjunto de caracteres personalizado, que se genera basándose en el código codificado: “HJIA / CB + FGKLNOP3RSlUVWXYZfbcdeaghi5kmn0pqrstuvwx89o12467MEDyzQjT”.

Sin embargo, incluso en este punto podemos ver el esfuerzo de los autores para evitar el uso de patrones repetibles. Los últimos 8 caracteres del conjunto de caracteres se intercambian aleatoriamente. El pseudocódigo del algoritmo de generación:

Aleatorización de los n caracteres:

Ejemplo de la transformación:

inp: “HJIA / CB + FGKLNOP3RSlUVWXYZfbcdeaghi5kmn0pqrstuvwx89o12467 M E Dyz Q jT ”

fuera: “HJIA / CB + FGKLNOP3RSlUVWXYZfbcdeaghi5kmn0pqrstuvwx89o12467 jD E zTy Q M ”

El decodificador se puede encontrar aquí:  trick_settings_decoder.py

Poco a poco mejorando la ofuscación

A los autores de TrickBot nunca les importó mucho la ofuscación. Con el tiempo, lentamente comenzaron a introducir sus elementos, pero, aparte de algunos giros, todavía no es nada complejo. Podemos esperar que esta tendencia no cambie rápidamente, y después de actualizar los scripts para nuevas adiciones, descodificar los elementos de Trick Bot será tan fácil para los analistas como lo fue antes.

Parece que los autores creen en un éxito basado en la cantidad de distribución, en lugar de en intentos de ser sigilosos en el sistema. También se enfocan en agregar constantemente nuevos módulos, para diversificar la funcionalidad (es decir, recientemente, agregaron un nuevo módulo para atacar los sistemas de Punto de Venta ).

Guiones

Scripts actualizados para decodificar módulos TrickBot para analistas de malware: 
https://github.com/hasherezade/malware_analysis/tree/master/trickbot

Indicadores de compromiso

Muestra de hash:

9b6ff6f6f45a18bf3d05bba18945a83da2adfbe6e340a68d3f629c4b88b243a8

 

La semana pasada, en Malwarebytes Labs, observamos los armarios de los navegadores que vuelan bajo el radar con una completa ofuscación ,  transporte y logística en nuestra serie sobre cómo comprometer la infraestructura vital, los inicios de sesión de Google que ahora requieren JavaScript , cómo crear un programa de entrenamiento de seguridad cibernética , y una introducción para Proceso Hacker .

Otras noticias de ciberseguridad.

• La policía holandesa ha logrado un gran avance en la interceptación de mensajes cifrados entre delincuentes. (Fuente: TellerReport)
• Si los terroristas lanzan un gran ataque cibernético, no lo veremos venir. (Fuente: El Atlántico)
• ¿Por qué las estafas de bitcoins falsas de Elon Musk se están difundiendo en Twitter ahora? (Fuente: ZDNet)
• VirtualBox Guest-to-Host se escapa del día cero y se explota en línea. (Fuente: HelpNetSecurity)
• Microsoft publica información sobre la protección de BitLocker de los ataques DMA. (Fuente: BleepingComputer)
• Más protecciones de experiencias publicitarias perjudiciales en la web. (Fuente: blog de cromo)
• Los usuarios de Android ahora enfrentan actualizaciones forzadas de aplicaciones, gracias a las nuevas herramientas de desarrollo de Google . (Fuente: ZDNet)
• Explotación activa de la vulnerabilidad ColdFusion recién parcheada (CVE-2018-15961). (Fuente: Volexity Threat Research)
• Los spammers piratean 100.000 enrutadores domésticos a través de UPnP vulns para crear una red de bots con envío de correo electrónico. (Fuente: El Registro)
• Google: las nuevas versiones de Android se ven menos afectadas por el malware. (Fuente: Estante de seguridad)

¡Mantente a salvo, todos!

Conozco a muy pocas personas, aparte de los abogados, que se entusiasman con los casos judiciales corporativos. Pero, quiero compartir con ustedes una decisión reciente que creo que es motivo de celebración para todos los usuarios de computadoras.

Esta semana, un juez del Tribunal de Distrito de los Estados Unidos falló a favor de Malwarebytes y desestimó una demanda presentada contra nosotros por Enigma Software Group USA LLC (“Enigma”). Esencialmente, nos demandaron porque clasificamos dos de sus programas de software como Programas potencialmente no deseados (PUP).

Suena mundano, pero la realidad es que esto no solo es una victoria fundamental para Malwarebytes, sino que también para todos los proveedores de seguridad que continuarán teniendo protección legal para hacer lo correcto para sus usuarios. Esta decisión confirma nuestro derecho de habilitar a los usuarios al darles una opción sobre qué pertenece en sus máquinas y qué no.

Aquellos de ustedes que siguen este blog saben que durante años, hemos adoptado una postura agresiva contra los PUP . Continuamos supervisando todo el software conocido según los criterios PUP de Malwarebytes para que nuestros usuarios puedan elegir qué programas desea mantener o eliminar de su computadora. Creemos firmemente que se le debe permitir tomar esta decisión y continuaremos defendiendo su derecho a hacerlo.

Esta empresa se fundó en un problema real que experimenté y en un sueño que todos en Malwarebytes siguen afirmando: que los usuarios de computadoras tienen derecho a elegir qué hay en sus computadoras. A medida que los PUP se hicieron más frecuentes y problemáticos, también comenzamos a ofrecer protección contra ellos, una opción que ahora está respaldada por el Tribunal de Distrito de los Estados Unidos.

Si está interesado en el breve comunicado de prensa que compartimos hoy, puede encontrarlo aquí .

Una copia de la presentación del Secretario del Tribunal de Distrito de EE. UU. (Caso 5: 17-cv-02915-Documento EJD 105) se puede encontrar en línea aquí.

Process Hacker es una herramienta muy valiosa para usuarios avanzados. Puede ayudarles a solucionar problemas u obtener más información sobre procesos específicos que se ejecutan en un determinado sistema. Puede ayudar a identificar procesos maliciosos y decirnos más sobre lo que están tratando de hacer.

Información de fondo

Process Hacker es un proyecto de código abierto y la última versión se puede descargar desde aquí . El sitio también proporciona una descripción general rápida de lo que puede hacer con Process Hacker y su aspecto. A primera vista, Process Hacker se parece mucho a Process Explorer pero tiene más opciones. Y ya que es de código abierto, incluso puedes agregar algunos de los tuyos si puedes y quieres.

Instalación

Si solo desea comenzar a utilizar la herramienta, es tan fácil como descargar y ejecutar el instalador:

La versión actual en el momento de la escritura es 2.39.

Durante el proceso de instalación verá algunas opciones:

Acepta el eula

Elija la carpeta de destino para el programa.

Seleccione los componentes que desee. No requieren mucho espacio, por lo que no hay necesidad de ser exigentes.

Vale la pena estudiarlos y depende de cómo planea usar Process Hacker. La mayoría se puede cambiar después sin embargo.

¡Y ya está!

La pantalla principal

Cuando ejecutas Process Hacker esta es la pantalla principal.

En la configuración predeterminada, muestra la pestaña Procesos con todos los procesos en ejecución en la vista de árbol y en las listas:

• su identificador de proceso (PID)
• su porcentaje de uso de la CPU (CPU)
• su tasa total de E / S
• sus bytes privados
• el nombre de usuario con el que se está ejecutando el proceso
• una breve descripción

Al pasar el mouse sobre uno de los nombres del proceso, puede encontrar más información sobre ellos.

Las otras pestañas son Servicios , Red y Disco . Cada uno de los dos últimos muestra más información sobre los procesos con respecto a su uso de la red y el disco, respectivamente. La pestaña de servicios muestra una lista completa de los servicios y controladores actuales.

El significado de la codificación por colores de los procesos se puede encontrar y modificar en Hacker > Opciones > en la pestaña Resaltado .

La opción para cambiar al Administrador de tareas de reemplazo con Process Hacker se puede encontrar en Hacker > Opciones > en la pestaña Avanzado .

Mangos de liberación

Una opción muy útil que Process Hacker tiene para ofrecer es que puede ayudarlo a eliminar aquellos archivos que simplemente no quieren desaparecer porque están “en uso por otro proceso”.

Process Hacker puede ayudarte a identificar ese proceso y romper el empate. Aquí está el procedimiento:

• En el menú principal, haga clic en Buscar manejadores o DLLs.
• En la barra de filtros , escriba el nombre completo del archivo o una parte de ese nombre, luego haga clic en Buscar
• En los resultados, busque el nombre de archivo exacto y haga clic con el botón derecho en esa línea.
• En el menú contextual, seleccione Ir al proceso de propiedad.
• El proceso se resaltará en la ventana Procesos .
• Haga clic derecho en el proceso del marcador y seleccione Terminar
• Tenga en cuenta la advertencia en el mensaje de que los datos podrían perderse y tenga en cuenta que Process Hacker puede cerrar procesos donde otros administradores de tareas pueden fallar
• Si elige finalizar el proceso, puede intentar eliminar de nuevo el archivo bloqueado

 

Escapando browlocks

Process Hacker también puede ayudarlo a escapar de algunos de los sitios que utilizan tácticas de bloqueo de cerrojo . Por ejemplo sitios que usan este script de inicio de sesión:

El objetivo de los actores de amenazas es lograr que el visitante del sitio permita primero las notificaciones y, al final, que instale una de sus extensiones. Malwarebytes generalmente detecta estas extensiones como PUP.Optional.ForcedInstalledExtensionFF.Generic. Puede encontrar más detalles sobre estas extensiones en esta guía de eliminación para una extensión sin nombre que proviene de browser-test.info .

Pero de todos modos, para cerrar una pestaña de este tipo en Firefox normalmente se requiere que cierre Firefox por completo, perdiendo todas las demás pestañas abiertas o, si tiene la opción Restaurar sesión anterior habilitada, recupérelas todas, incluido el bloqueo de cejas. Con Process Hacker puedes mirar en la pestaña de Red:

Una vez que haya encontrado la parte culpable, seleccione la línea que muestra el contacto a la IP o al dominio del sitio de bloqueo de cejas. Utilicé tracert para determinar la IP de ffkeitlink.cool. Haga clic con el botón derecho en esa línea, elija Cerrar y esto interrumpirá temporalmente la conexión, impidiendo que el script actualice la solicitud todo el tiempo. Eso le da la oportunidad de cerrar la pestaña y continuar sin tener que forzar el proceso de Firefox.

Dumping cadenas de memoria

Puede utilizar Process Hacker para crear volcados de memoria de procesos. Los analistas usan estos volcados para buscar cadenas y usan scripts o reglas de Yara para hacer una clasificación inicial de un proceso. ¿Es malware? Si es así, ¿qué tipo de malware? ¿Es después de la información, qué información y dónde la envía?

Haga clic con el botón derecho en el proceso en ejecución para el que desea crear un volcado de memoria y seleccione Crear archivo de volcado … y luego use la ventana del explorador para buscar la ubicación donde desea guardar el volcado. El volcado de memoria creado por Process Hacker tendrá la extensión dmp. Dependiendo de lo que esté buscando, el archivo dmp se puede abrir en un editor hexadecimal, un editor de texto o mimikatz (si busca credenciales).

Puede crear los mismos volcados de memoria con Process Explorer, pero Process Hacker también incluye la compatibilidad con .NET que Process Explorer no.

Encontrar recursos de cerdos

Como con la mayoría de los programas de este tipo que identifican recursos, los cerdos son fáciles.

Haga clic en el título de la CPU sobre la columna y la columna se ordenará según el uso de la CPU, que le mostrará si un proceso lo está ralentizando y cuál. El mismo se puede hacer de bytes privados y I O tasa total / .

Versátil y potente

Process Hacker es una herramienta muy versátil que tiene mucho en común con Process Explorer. Dado que tiene algunas opciones más y es más potente que Process Explorer, los usuarios avanzados pueden preferir Process Hacker. Los usuarios menos avanzados que temen las posibles consecuencias de la potencia adicional pueden querer quedarse con Process Explorer. Si necesita ayuda con Process Hacker, tienen un foro bastante activo en el que puede encontrar ayuda.

Notas:

• Algunos AV señalan a Process Hacker como Riskware o potencialmente no deseado porque puede terminar muchos procesos, incluidos algunos que pertenecen al software de seguridad. Malwarebytes no detecta a Process Hacker como malicioso o potencialmente no deseado.
• El proceso de mbamservice no puede ser detenido permanentemente por Process Hacker si tiene el módulo de autoprotección habilitado. Puede encontrar esta configuración en  Configuración  >  pestaña Protección>  Opciones de inicio .

Usuarios de Google: en noticias que pueden sonar alarmantes, ahora es un requisito para que habilite JavaScript.

¿Por qué? Cuando su nombre de usuario y contraseña se ingresan en la página de inicio de sesión de Google, Google realiza una evaluación de riesgos y solo permite el inicio de sesión si no hay nada sospechoso. Recientemente, Google comenzó a mejorar este análisis y ahora requiere JavaScript para ejecutar su evaluación. ¿Desea utilizar algunas de esas mejoras de seguridad integrales para su cuenta? Entonces JavaScript debe estar habilitado o no podrás iniciar sesión. JavaScript es ahora tu amigo para siempre.

¿Qué es JavaScript?

Si utiliza sitios web como portales o plataformas de redes sociales, es probable que se encuentre con JavaScript todo el tiempo. Es un lenguaje de programación utilizado para todo tipo de efectos interactivos en juegos y operaciones básicas como inicios de sesión. Marcha en segundo plano junto con hojas de estilo en cascada y HTML para una experiencia de navegación sólida.

Ahora es una parte central del pastel de inicio de sesión de Google, y absolutamente tendrá que probar una parte.

¿Que ha cambiado?

Al utilizar la página de inicio de sesión de Google, no obtendrá más si tiene JavaScript desactivado. Esto podría ser frustrante para algunos usuarios, dada la cantidad de datos importantes que se pueden almacenar en una cuenta de Google. ¿Por qué ha subido el puente levadizo? En pocas palabras, para mantenerse a salvo de las numerosas estafas y ataques dirigidos a los usuarios de Google.

Las cuentas de Google tienen una gran variedad de medidas de seguridad para mantener a los posibles comprometidos. Si alguien logra obtener su contraseña e intenta iniciar sesión como usted, Google ejecuta algunas comprobaciones. Si marcan cierta actividad inusual, como los inicios de sesión de otro país, solicitarán una verificación adicional.

Google no puede hacer nada de esto sin tener JavaScript activado y en ejecución, por lo que, para avanzar, tendrá que encenderlo .

¿Es esto un problema?

Quiero decir … no, no creo que lo sea. JavaScript aparece en muchos ataques , y no queremos que nadie se vuelva complaciente. Sin embargo, es posible impedir innecesariamente su propio comportamiento de navegación preferido.

Hay una escuela de pensamiento de seguridad que se parece un poco al nihilismo de seguridad. Esencialmente, todo es una amenaza y debemos reducir la superficie de ataque. Bien vale. El problema es que, para algunos, esto se convierte en un juego de “eliminar absolutamente todo del dispositivo”. ¿En qué momento nos detenemos y miramos con asombro nuestra costosa y no funcional caja?

Probablemente tenga JavaScript habilitado ahora, a menos que esté muy centrado en la seguridad o muy interesado en tener los tiempos de carga más rápidos posibles. Por lo general, es una de las quejas más comunes relacionadas con las extensiones del bloqueador de scripts. “Los bloqueé, y nada funciona. ¿Ahora que?”

El sol tiene el bloqueador disparado directamente en su corazón, eso es lo que. Si desea eliminar la funcionalidad de los navegadores, siempre habrá un precio que pagar. Por ejemplo, las primeras herramientas del bloqueador de anuncios / bloqueador de secuencias de comandos a menudo hacen que todo quede casi inutilizable. Afortunadamente, los bloqueadores de anuncios han mejorado su juego y ahora son parte de una rutina de higiene de ciberseguridad saludable y equilibrada.

Buenas noticias, la elección es fácil.

Google estima que es probable que el impacto de su nuevo requisito de JavaScript sea pequeño: se supone que solo el 0.1% de sus usuarios lo han apagado. En este punto, tendrán que tomar una decisión.

Esto no es una decisión absoluta de “una cosa u otra”. No hay absolutamente nada que impida que alguien habilite JavaScript solo para inicios de sesión, y luego se apaga. Sí, hay exploits de JavaScript, pero hay un exploit para casi todo. Es poco probable que encuentre algún tipo de problema al encenderlo solo para iniciar sesión.

Como se mencionó en el blog Daily Swig , es probable que los surfistas como los que usan TOR sean los más afectados. Si está en TOR y trata de usar los servicios de Google, es posible que deba obligarse a cambiar. Si aún no usa un navegador alternativo para buscar en Google, quizás en  última instancia, es posible que tenga que buscar otro proveedor.

Para todos los demás, esto es algo bueno y ayudará a mantener sus cuentas más seguras a largo plazo.

Antes, cuando era un despachador de una empresa de mensajería y camiones, solíamos bromear con el hecho de que solo hacía falta unos pocos accidentes estratégicamente ubicados para provocar un embotellamiento que podía detener la circulación por completo en la ciudad de Rotterdam.

Rotterdam es uno de los puertos más importantes del mundo y, en consecuencia, hay mucho tráfico entrando y saliendo. Las carreteras alrededor de la ciudad pueden manejar el tráfico normal, pero se congestionan durante las horas pico y cuando ocurren accidentes. Si vives o trabajas cerca de una ciudad, es probable que también te encuentres en un atasco de tráfico regularmente.

En nuestra serie sobre infraestructura vital , esta vez estamos considerando el transporte. Y si piensa que el transporte no es tan vital, está subestimando los procesos logísticos que hacen posible llegar y llegar a diferentes lugares.

En este post, nos centraremos en el esqueleto principal de nuestra infraestructura logística: el transporte masivo de mercancías a través de la superficie de la tierra. ¿Cómo llegan los productos que usamos todos los días a los almacenes, tiendas o fábricas que los necesitan? Trataremos el transporte aéreo y público por separado, ya que utilizan infraestructuras completamente diferentes para funcionar.

Envío por mar o por mar

Muchos de los productos que consumimos se fabrican muy lejos de casa. La primera etapa de su viaje suele ser transportada por barco a través de aguas internacionales. Cuando se da cuenta de que los buques portacontenedores más grandes pueden transportar más de 20,000 contenedores de 20 pies, también puede imaginar la cantidad de papeleo y computación necesarios para que cada uno de esos contenedores llegue al destino correcto. Y cada uno de ellos debe pasar por la aduana, generalmente dos veces. Las aduanas querrán saber exactamente qué contienen o demorarán el transporte de los contenedores hasta que lo hagan.

Lanzar una llave en una máquina bien engrasada como esa puede tener graves consecuencias cuando Maersk, una de las compañías navieras más grandes, aprendió de la manera más difícil cuando su organización fue golpeada por NotPetya . Las estimaciones de los daños causados ​​por una “grave interrupción del negocio” fueron de alrededor de $ 300 millones. Esta interrupción también causó un retraso en el suministro masivo, desde horas hasta varios días.

Los sistemas de información crítica utilizados durante estos procesos podrían ser considerados como un medio para interrumpir la red logística, lo que puede ralentizar o incluso detener el sistema económico de todo un país.

Trenes y transporte fluvial.

Dependiendo de las conexiones e infraestructura existentes, los bienes se transportarán en masas desde puertos a destinos interiores típicos en tren o barco. A diferencia de la conducción, estos modos de transporte permiten algunas formas de maniobrar alrededor de una parte bloqueada de la ruta hacia el destino.

Dado que el transporte por tren o por río se utiliza principalmente para grandes cantidades de mercancías, también son viables para ataques en el lado administrativo. Además, los vectores de ataque físico pueden dificultar el transporte y alterar la logística. Algunos ejemplos incluyen:

• Cortando el poder a una vía férrea
• Desactivar las señales ferroviarias.
• Desactivación de los sistemas de gestión del tráfico ferroviario.
• Obtener control sobre las esclusas u otros medios para controlar el nivel del agua en ríos y canales
• Atascar los radares, por lo que los barcos tendrán que reducir la velocidad para evitar colisiones

Transporte por carretera

Si bien un camión es pequeño en comparación con los modos de transporte que hemos analizado hasta ahora, los ataques a las principales empresas de entrega como FedEx pueden ser altamente efectivos. De hecho, los daños debidos a la infección NotPetya en su división TNT fueron aproximadamente en la misma región que los estimados por Maersk después de la misma infección.

A pesar de que los camiones tienen más opciones para evitar bloqueos de carreteras que trenes y embarcaciones fluviales, los frenazos pueden ser causados ​​por ataques tácticos en importantes infraestructuras, como túneles, puentes e intersecciones de carreteras. Y no necesitas causar accidentes para lograr esto. La piratería de los sistemas de control de tráfico es mucho menos peligrosa y, posiblemente, un medio de interrupción más eficaz si puede implementarlo a gran escala.

Partes especiales de la infraestructura logística.

La primera parte que debemos tener en cuenta son los terminales de contenedores. La utilización diaria promedio de las grandes terminales de contenedores en Europa es de unos 10.000-20.000 contenedores, lo que da como resultado unos 15.000 movimientos por día. Manejar un buque portacontenedores de tamaño Post Panamax requiere aproximadamente 150 movimientos por hora, lo que significa usar cinco grúas que pueden manejar 30 movimientos por hora cada uno. La planificación y el seguimiento de todos estos movimientos están muy informatizados y, por lo tanto, son vulnerables a los ataques cibernéticos.

De los miles de puertos en todo el mundo, solo unos cien tienen una importancia global. Estos puertos son un objetivo atractivo para el ataque.

La segunda parte es el abastecimiento de combustible, que es una parte esencial del transporte. Los camiones y barcos eléctricos siguen siendo un producto raro, por lo que la mayoría de ellos necesitarán repostar a intervalos regulares. Cortar el suministro de petróleo a un país que no tiene la capacidad de producir lo suficiente es una forma segura de sofocar el transporte y paralizar su economía.

Amenazas

La mayoría de los ataques cibernéticos que hemos visto hasta la fecha que han tenido un gran impacto en los sistemas de transporte son los  ataques de ransomware . Estas infecciones son difíciles de predecir y, en algunos casos, difíciles de detener. Pero puede estar seguro de que la infraestructura logística será un objetivo en el caso de una guerra cibernética a gran escala.

Hasta el momento, el conocimiento de este hecho por sí solo no ha sido suficiente para implementar contramedidas adecuadas, al menos no lo suficiente para contrarrestar una infección de ransomware como NotPetya. Y no olvidemos que WannaCry lanzó la red ferroviaria de Alemania en el caos , interrumpida unidad de entrega de FedEx , y causó estragos entre muchos otros.

Si se puede hacer mucho daño con un ataque de ransomware sin sentido, ¿puedes imaginar qué tipo de destrucción podría causar una APT dirigida ? Si puedes obstaculizar la capacidad del enemigo para mover mercancías, suministros y tropas, eso es una gran ventaja en la guerra. Este hecho sobre la logística militar se conoció e implementó ya en la Guerra Civil Americana (1861–65), donde ambos ejércitos utilizaron los ferrocarriles ampliamente para el transporte de personal, suministros, caballos y mulas, y piezas pesadas de campo. Ambas partes intentaron interrumpir la logística del enemigo destruyendo el seguimiento y los puentes.

Pagando el precio

En una línea de negocios como la logística, donde cada centavo cuenta, la ciberseguridad puede ser una de las últimas cosas que preocupan a los gerentes. Pero eso no lo hace menos importante. El daño causado por una infección de ransomware en toda la organización puede poner a las empresas fuera del negocio. Tener que reconstruir su red mientras que el negocio principal debe realizarse de forma manual (y de memoria) no solo es frustrante; es costoso Recuperarse de un ataque cibernético requiere tiempo y atención que no se puede gastar en otras tareas.

Mantener la infraestructura de transporte segura es una tarea del gobierno, ya que también es una cuestión de seguridad nacional proteger estos activos durante un ataque cibernético. La tecnología detrás de nuestra infraestructura juega un papel importante en la determinación tanto de las capacidades logísticas como del control que tenemos sobre ellas.

El gasto en mejoras infraestructurales críticas debe incluir la ciberseguridad como una consideración importante. Las empresas de logística, desde las principales líneas navieras hasta las empresas de camiones locales, son conscientes de la importante tarea que están cumpliendo y no deben evitar echar un buen vistazo a sus medidas de seguridad existentes. ¿Reflejan la importancia de su negocio para la economía general de la región? ¿Están preparados para sobrevivir a un ataque de ransomware ? ¿Su personal está capacitado para reconocer los intentos de phishing ? ¿Están sus sistemas informáticos protegidos contra malware y ataques dirigidos?

Confíe en nosotros, la primera vez que necesite la protección, una sólida política de ciberseguridad, un programa de capacitación para empleados y una solución técnica que ya se habrá amortizado mil veces.

¡Mantente a salvo, todos!

La semana pasada, en Malwarebytes Labs, vimos una aplicación de criptomoneda roma que instalaba puertas traseras , nos sumergimos en el mundo de la seguridad de las impresoras , exploramos los ajustes de privacidad del navegador , destacamos una brecha relacionada con un festival de música e introdujimos Malwarebytes para Chromebook .

Otras noticias de ciberseguridad.

• Hacks de memoria ? (Fuente: Lista segura)
• Gandcrab: enormemente popular (Fuente: BitDefender)
• Grandes multas para personas que llaman en frío (Fuente: ICO)
• Micro: proveedor de bits violado (Fuente: El Registro)
• Espías acusados ​​de robo de planos (Fuente: Departamento de Justicia de los Estados Unidos)
• Seguridad de Google Home (in) (Fuente: Jerry Gamblin)
• Microsoft, Amazon más suplantado en ataques de correo electrónico (fuente: BetaNews)
• Las técnicas exponen el historial del navegador (fuente: Help Net Security)
• Los micrófonos de Mac se apagan cuando la tapa está cerrada [PDF] (Fuente: Apple)
• Picos privados de salud y phishing (fuente: ZDNET)

¡Mantente a salvo, todos!

¿Has estado pensando en cambiarte a Chromebook porque no necesitas todos los programas de software integrados de una PC o el elegante diseño de una Mac? O quizás ya haya dado el salto porque los Chromebook son mucho más baratos que un sistema Windows o Mac. De cualquier manera, ¿te preocupaste de no usar Malwarebytes? ¡Ya no necesitas tener miedo!

Malwarebytes para Chromebook

Estamos orgullosos de presentarte Malwarebytes para Chromebook. En la búsqueda de Malwarebytes de una existencia libre de malware, queremos proporcionar seguridad para la mayor cantidad posible de computadoras, dispositivos y puntos finales. Ofrecer un producto que proteja y limpie los Chromebooks de malware es solo el siguiente paso natural en ese proceso.

Los Chromebooks están en marcha en el mercado debido a sus menores costos de producción asociados con una menor necesidad de hardware de primera línea. (Traducción: son mucho más baratos que otras computadoras). Los Chromebook almacenan sus datos en la nube para que no necesiten discos duros grandes y rápidos. Y como no puede ejecutar juegos pesados ​​con ellos, tampoco necesitan una CPU rápida ni una tarjeta gráfica de uso intensivo, lo que significa que probablemente no serán objetivos de criptografía malintencionada. ¡Prima!

Chromebooks también son fáciles de usar. Si puedes usar un navegador, puedes usar un Chromebook, por así decirlo. Esto los convierte en una buena opción para las personas que acaban de comenzar a usar computadoras, como los niños en edad escolar y otros principiantes en computadoras con más experiencia en la vida. Pero también son una buena alternativa a las costosas computadoras portátiles que se utilizan en el lugar de trabajo. Si los empleados dependen en gran medida de la nube o utilizan aplicaciones basadas en la web de todos modos, tiene sentido ahorrar costos y hacer el cambio.

¿Qué es Malwarebytes para Chromebook?

Malwarebytes para Chromebook ofrece a los usuarios de Chromebook protección al bloquear estafas, proteger su privacidad y buscar malware. Es capaz de detectar amenazas como ransomware, programas potencialmente no deseados (PUP) y adware. Su Chromebook está protegido por diseño contra las amenazas habituales que enfrentan los usuarios de Windows y Mac, pero es susceptible a las mismas amenazas que los sistemas Android. Y ahí es donde Malwarebytes para Chromebook puede ayudarte.

¿Por qué necesitas Malwarebytes para Chromebook?

A pesar de que los Chromebook vienen con algunos mecanismos de defensa incorporados, como el sandboxing y el arranque verificado y el modo de recuperación, todavía pueden infectarse. Malwarebytes para Chromebook no ralentiza tu máquina de Chromebook pobre y mala. Protege su privacidad y seguridad de datos al tiempo que lo protege contra ransomware, adware y otros programas maliciosos modernos.

¿Cómo funciona Malwarebytes para Chromebook?

Las características de Malwarebytes para Chromebook se centran tanto en la protección como en la reparación. Eso:

• Detecta y bloquea el ransomware antes de que pueda ejecutar y bloquear el dispositivo.
• Realiza una auditoría integral de privacidad, identificando los privilegios de acceso de cada aplicación en su dispositivo Chromebook para que sepa exactamente qué información está compartiendo.
• Encuentra y elimina adware y otro malware. Busca en todos los archivos y aplicaciones de forma rápida y efectiva en busca de malware o programas potencialmente no deseados, como bloqueadores de pantalla o adware.

Fácil en los ojos

Malwarebytes para Chromebook proporciona al usuario información fácil de entender sobre el estado de su seguridad en una interfaz que es limpia y simple. Los usuarios que estén familiarizados con Malwarebytes para Android reconocerán el popular diseño de interfaz de usuario.

¿Dónde puedo obtener Malwarebytes para Chromebook?

Malwarebytes para Chromebook solo se admite en Chromebooks con acceso a Google Play Store.

Puede encontrar información sobre las versiones disponibles y los idiomas en nuestra página de productos . Puede descargar e instalar Malwarebytes para Chromebook desde Google Play Store . Si necesita ayuda, puede hacer preguntas en nuestros foros o ponerse en contacto con nuestro equipo de soporte .

Incluso cuando utiliza dispositivos alternativos de ahorro de costos, Malwarebytes cree que usted tiene derecho a proteger su privacidad, así como a estar protegido contra amenazas como el malware. Los ciberdelincuentes no discriminarán según la máquina que utilice. Sus datos personales, credenciales de inicio de sesión e información de tarjeta de crédito son igual de valiosos para ellos. ¡Así que manténganse seguros, todos! Incluso, o más bien, especialmente , en tu Chromebook.

Tomorrowland, un importante festival internacional de música, ha revelado una violación de datos que podría afectar a unos 60.000 asistentes .

Sin embargo, este es un poco diferente, ya que los datos a los que se accede sin permiso no son recientes. De hecho, se remonta cuatro años a un evento desde hace mucho tiempo. Según un portavoz de Tomorrowland, los gerentes del sistema de tickets de Paylogic notaron “actividad inusual” en un servidor más antiguo. Este servidor contenía datos para el evento de 2014, pero los hackers dejaron todo lo demás solo.

“Sensible” versus “no sensible”

El servidor pirateado ahora está fuera de línea, y cualquier persona potencialmente afectada debería haber sido informada de lo que ocurrirá a continuación. Al igual que con la mayoría de las violaciones, implica correos electrónicos de notificación y un conjunto útil de sugerencias para las mejores prácticas de ciberseguridad.

Conflicto de cuentas sobre lo que específicamente se violó, se accedió y se robó en el ataque de Tomorrowland. Esto puede deberse a que las fuentes de noticias principales están en otros idiomas además del inglés, y las cosas se están perdiendo en la traducción.

Los representantes de Tomorrowland afirman que el acceso a datos confidenciales no tuvo lugar. Aquí es donde las cosas dependen de su definición personal de lo que constituye “malo” o simplemente “algo malo”.

Los datos tomados incluyen nombre, correo electrónico, género, edad y código postal. Los datos no tomados incluyen detalles de pago, contraseñas y direcciones.

Sospecho que el kilometraje de todos puede variar mucho con respecto a lo que constituye “datos confidenciales” aquí. Dependiendo de la región del mundo de la que provenga, solo con un código postal puede llegar a un par de casas o una sola calle. En ese punto, la dirección específica probablemente no importa demasiado. Con el código postal y un nombre, puede encontrar fácilmente la casa exacta a través de la información que aparece en la lista pública, un registro de votación o una venta de casas.

Eso me parece bastante sensible.

Riesgos de phishing

Un dudoso intento de phishing es más que factible aquí como resultado de los datos tomados por los estafadores. Cualquier comunicación relacionada con la venta de entradas, ofertas, promociones o cualquier otra cosa que se pueda imaginar debe ser recibida con una buena dosis de sospecha.

Vuelva a visitar su buzón y verifique cualquier interacción con los organizadores del evento en el momento en que reciba cualquier comunicación oficial. Eche un vistazo a todo lo que ha respondido relacionado específicamente con Tomorrowland. En particular, preste atención a cualquier cosa relacionada con pagos, restablecimientos de contraseñas o envío de información personal adicional. Ignore todos los correos electrónicos deshonestos y envíelos directamente a la papelera de reciclaje.

Sin más información sobre cuándo se produjo la violación, es difícil decir cuánto tiempo debería estar preocupada la gente. No sabemos si el acceso no autorizado tuvo lugar la semana pasada, el mes pasado o el año pasado. No podemos decir cuánto tiempo estuvieron sentadas las personas sobre la información robada, o si son noticias antiguas para los estafadores. Potencialmente, cualquier cosa que valga la pena en el recorrido ha dejado de ser relevante o útil.

Tirando del enchufe: una buena idea

Es extraño que un servidor que contenía datos de un evento único en 2014 todavía estuviera en línea. A pesar de esto, es totalmente posible que estuviera en línea por razones específicas que no podemos adivinar. Aun así, es una buena advertencia de advertencia para recordar a los administradores que desconecten cualquier cosa que realmente no necesite estar allí. Incluso los datos que definitivamente deberían estar en línea por varias razones a menudo serán víctimas  de ataques y estafas.

Una auditoría completa, una política de copia de seguridad razonable y los datos antiguos almacenados de forma segura resolverán muchos de estos posibles dolores de cabeza. A todo el mundo le gusta que un festival de música sea lo más lleno de acontecimientos posible, pero esto quizás sea un poco demasiado lleno de acontecimientos. Esperamos que experimente cero brechas, hamburguesas a precios razonables y colas cortas para una gran cantidad de inodoros portátiles.

Las impresoras son un componente importante, invisible, aunque a veces ruidoso, de la oficina. Pero con demasiada frecuencia están llenos de íconos misteriosos, luces parpadeantes o mensajes de error sin instrucciones manuales. No hay problema, simplemente puede imprimir en la siguiente estación!

Incorrecto. Las impresoras también operan en línea en múltiples aspectos de su red. Así que no solo no puede imprimir el formulario de política de atención médica que tuvo que firmar, sino que ahora debe preguntarse: ¿qué otra cosa pudo haber sido interceptada?

Esta frustración con las operaciones básicas de impresora / dispositivo híbrido generalmente se extiende al lugar de trabajo con resultados perjudiciales. Cuando la funcionalidad básica sigue siendo un misterio, puede causar muchos problemas en otros lugares. En una era de tostadoras en línea y sistemas de seguridad para el hogar que se pueden hackear para mantener a las personas fuera de sus hogaresdurante el mantenimiento, no es de extrañar que olvidemos algunos de los peligros más mundanos que se sientan más cerca de casa.

Pero espera … ¿impresoras?

No piense que las impresoras simplemente salen de la caja completamente aseguradas y listas para rodar. Probablemente deba realizar algunas configuraciones, tanto para la impresora como para cualquier dispositivo que la utilice. Sin mencionar, también hay que tener en cuenta la seguridad física.

Hay varias formas en que las impresoras pueden causar problemas de seguridad, y en algunos casos ni siquiera necesitan estar en línea. Aproximadamente el 80 por ciento de las oficinas de los EE. UU. Tienen un plan de piso abierto  ahora, y la mayoría de las veces, las impresoras y su contenido se dejan tirados para que todos puedan acceder. Algo tan básico como un diseño de oficina mal implementado podría causar problemas esencialmente al darle a docenas de empleados acceso físico a documentos confidenciales, y ese es solo uno de los peligros a considerar.

Fuera del acceso físico, también hay vulnerabilidades de red para las cuales un administrador debe asegurarse de actualizar y ejecutar todos los parches. Además, las fugas accidentales o intencionadas de documentos escaneados o impresos son un motivo de preocupación para el contenido altamente sensible, como cheques de pago o información valiosa de propiedad de objetivos de alto perfil.

Es posible que ni siquiera haya considerado su impresora como un problema de seguridad hasta este momento, pero no lo estamos inventando. La configuración predeterminada permitió que esta impresora sirviera potencialmente como almacenamiento de archivos anónimos para uso malicioso. En otros lugares, 150,000 impresoras de todo el mundo se comprometieron a “crear conciencia sobre las impresoras expuestas”. ¿Tiene una impresora con extras como la capacidad de enviar faxes y hacer retroceder el reloj a 1991? Vaya, un fax malicioso ayuda a controlar una PC .

Si todo esto es horriblemente nuevo para ti, no te preocupes. Lo guiaremos a través de algunos de los puntos de destello de seguridad más comunes para las impresoras y, con suerte, lo orientaremos en la dirección correcta. 

Seguridad física: para su comodidad?

El objetivo de una impresora en la oficina es que cualquiera puede usarla, sin importar en qué piso se encuentre, o incluso si trabaja desde casa. No es raro que alguien sea el único responsable de imprimir un documento que alguien que se encuentra a unos cientos de kilómetros de distancia necesita recibir. Pero, ¿cómo puede garantizar que el destinatario correcto está parado frente a la bandeja cuando el documento abandona el dispositivo? ¿Y qué puede hacer para garantizar que los datos estén cifrados de forma segura mientras viajan dentro de su red?

La buena noticia es que gran parte de esta funcionalidad ahora está incorporada en las impresoras modernas, por lo que puede planificar en consecuencia. Muchos modelos ofrecen varios niveles de seguridad física para adaptarse a sus necesidades.

Por ejemplo, es posible que desee un bloqueo seguro en su bandeja de papel si el papel que se encuentra dentro debe usarse para algo crítico para el negocio. ¿O qué tal una variedad de patrones de estilo de marca de agua que aparecen cuando se produce una impresión no autorizada ? 

Algunos fabricantes ofrecen una impresión pull segura, donde los documentos no se liberarán de la cola de la impresora sin que el destinatario correcto presente un PIN, una tarjeta de identificación o incluso un código QR. Esto significa que no hay documentos confidenciales en una bandeja para que alguien los recoja y, además, ayuda al medio ambiente al no derramar papel desechado por todo el lugar.

Los fabricantes también pueden proporcionar encriptación donde sea que el documento esté almacenado en la cola de impresión, ya sea en el sitio o en la nube, y ofrecer encriptación para cada pasodel viaje del documento a través de la red.

Con este tipo de procesos implementados, es posible que no tenga que preocuparse por las medidas de seguridad adicionales de una variedad de alta tecnología. Estos pueden incluir:

• Hacer que el personal recargue las tarjetas de identificación con “fondos de impresión” para garantizar la falta de desperdicio de papel y copias falsas por todo el lugar
• Instalación de la impresora en una habitación segura con llave con CCTV
• Acceso restringido a ciertos tipos de papel utilizados para transferencias de dinero o reclamos de gastos / facturación

Si está atascado con un modelo de impresora que no hace la mayoría o todo lo anterior, estas son las medidas de respaldo que querrá tener en cuenta. 

Bloqueo de archivos digitales y autenticación de red.

No encontrará muchas impresoras que carezcan de la capacidad de escanear, y si bien los trabajos de impresión bloqueados están muy bien, existe un riesgo evidente de que los archivos en papel se conviertan en archivos digitales, que luego pueden enviarse a todos.

Esta es la razón por la que algunos dispositivos ofrecen servicios como el bloqueo de escaneados PDF, que generalmente implica colocar automáticamente una contraseña en el archivo: para abrirlo, debe tener autorización para recibir la contraseña en primer lugar. Otros incluso cifrarán el escaneo , agregando a un sentido general general de “Esto probablemente no terminará en eBay”. Si necesita un dispositivo para permitir algunas formas de protocolo pero negar otras, o operar dentro de ciertas políticas de seguridad de red, existen hay algunos que potencialmente pueden hacer eso también (vaya a la Sección 3 ).

En el extremo superior del hardware de impresión, los dispositivos pueden hacer todo, desde garantizar la integridad del BIOS y la creación de listas blancas hasta la ejecución de la protección contra intrusiones en tiempo real. Esto está bastante lejos de que me sienta razonablemente logrado cuando libero mi décimo atasco de papel del día, pero la mayor complejidad de la seguridad del dispositivo definitivamente vale la pena para las organizaciones que necesitan rastro de papel, auditoría y bloqueo hasta el último centímetro. su potencial de ataque a la superficie.

Retención de la memoria: todo en la mente

Las impresoras modernas tienden a tener un poco de espacio de almacenamiento haciendo ruido en su carcasa de plástico, junto con el soporte para memorias USB y tarjetas de memoria. La buena noticia es que la mayor parte es temporal y se supone que se desvanecerá en una nube de humo (ojalá no sea un humo literal, o si tiene que preocuparse por un nuevo conjunto de problemas) cuando desenchufe el dispositivo.

Aun así, si va a deshacerse de una impresora, querrá asegurarse de haber hecho algunas cosas. Primero: quite todo el almacenamiento externo, como memorias USB y tarjetas de memoria. Después de eso, consulte el manual y vea exactamente qué tipo de almacenamiento está incluido en el hardware y cómo lo borra. Las posibilidades de que alguien se encuentre con su impresora antigua y trate de reconstruir o extraer contenido de ella es extremadamente remota, por lo que este es un último paso absoluto.

10 por ciento de tinta restante

Hay mucho que pensar acerca de la seguridad de la impresora, junto con algunas consideraciones especiales. El flujo casi infinito de personas que tienen que usar un puñado de dispositivos en una organización a diario es único y presenta preocupaciones adicionales en lo que respecta a la ingeniería social y las amenazas internas. Algunas de las soluciones de seguridad más sólidas para impresoras pueden ser bastante caras, y no todas las personas tienen un presupuesto para acomodar ese tipo de decisiones de compra.

Dicho esto, incluso si no puede arrastrar la última y mejor tecnología a la oficina, puede presentar algunos Plan B como algunos de los enumerados anteriormente. Una vez que te das cuenta de lo vulnerable que puede ser una impresora insegura en la red, algo es definitivamente mejor que nada.