Security Paper sugiere eliminar McAfee de las PC, encuentra problemas en dispositivos OEM

Un reciente El análisis de seguridad de las computadoras portátiles OEM que ejecutan Windows 10 realizado por Duo Security Inc concluyó que todos los dispositivos analizados tenían problemas relacionados con la privacidad y el protocolo de red.

Las siete computadoras portátiles, producidas por Dell, HP, Lenovo y Acer, compartían muchos de los problemas de privacidad y seguridad, mientras que algunas computadoras portátiles tenían problemas adicionales causados ​​por el software OEM instalado.

El equipo analizó el tráfico de red que producía cada dispositivo y notó, entre otros hallazgos, lo siguiente:

Hallazgo 1

Seis de las siete computadoras portátiles venían con el software de seguridad McAfee preinstalado. Los investigadores descubrieron que los sistemas en los que se instaló el software estaban conectados a un servidor de etiquetas de terceros en Internet.

Las etiquetas permiten la gestión de cookies, el seguimiento de un navegador / computadora / usuario a lo largo del tiempo y el espacio con fines de marketing, ayudan a un proveedor a cumplir con la configuración de «No rastrear» en los navegadores, permiten la gestión de contenido, como ofertas de nuevos productos basados ​​en numerosos factores que incluyen el tiempo (como los primeros 30 días de una prueba que comienza después de que enciende la computadora por primera vez).

Lo más probable es que McAfee esté usando principalmente etiquetas para este último, pero como no pude encontrar documentación sobre cómo lo están usando realmente, supongo que están recopilando al menos algunos datos de los usuarios.

Sugerencia: desinstale el software de McAfee y utilice otra solución de seguridad en su lugar.

Hallazgo 2

Los servicios de red automatizados ponen en riesgo la computadora tan pronto como comienza a hablar en una red.

Los investigadores encontraron que los siguientes protocolos o servicios son problemáticos desde una perspectiva de privacidad o seguridad:

1. Vincular local

Link-local es un protocolo más antiguo. En términos básicos, permite que una interfaz de red «autoconfigure» una dirección IP cuando otros métodos están ausentes (como DHCP) o simplemente han fallado (no se puede leer un archivo de configuración).

Sin embargo, cuando se introduce una interfaz de red inalámbrica, el segmento de la red local ahora está limitado por la potencia de la interfaz de red inalámbrica. Esto significa que un atacante podría comenzar a manipular la «red local» inalámbrica como mejor le parezca.

2. WPAD y LLMNR

WPAD realmente está tratando de facilitar las cosas al usuario final. Una cosa común que la computadora pregunta es «¿dónde está el proxy web para que funcione la navegación web?» WPAD es el que hace la pregunta y responde a los campos. El problema, mucho más frecuente para la tecnología inalámbrica, es que cualquier persona cercana podría proporcionar esa respuesta, incluso cuando no se requiere un proxy.

LLMNR es la versión IPv6 de link-local y, como mencionamos anteriormente, un atacante podría responder algunas de esas preguntas importantes que hace la computadora víctima, permitiendo la manipulación del tráfico en beneficio del atacante.

3. Resolución de nombre inteligente de múltiples hogares

La resolución inteligente de nombres de múltiples hogares recuerda qué servidor DNS es el más rápido. Te conectas a la red Wi-Fi de la cafetería, el DNS de la cafetería se considera el más rápido (probablemente de forma predeterminada) y luego te conectas a la VPN en el trabajo.

Claro, sus solicitudes de DNS ahora pasan por la VPN, pero aún se envía una copia de las solicitudes al DNS de esa cafetería, filtrando consultas de DNS al ISP de la cafetería o a cualquier otra persona en la cafetería que olfatee el Wi-Fi. .

4. Teredo Tunneling e ISATAP

Teredo Tunneling e ISATAP son tecnologías que se basan en el mismo territorio establecido por nuestro amigo link-local. Ambos están destinados a ayudar a la computadora a operar IPv6 en entornos mixtos de IPv4 e IPv4 / IPv6, respectivamente. Sin embargo, si planea llevar su nueva computadora portátil a la cafetería (o cualquier otro lugar con Wi-Fi gratuito), existe un peligro inherente de ataques MITM

Correcciones para estos problemas:

Toque la tecla de Windows, escriba regedit.exe y presione enter. Es posible que deba confirmar un mensaje de UAC antes de que se abra el Editor del registro. Manténgalo abierto hasta que haya terminado de desactivar todas las funciones a continuación.

Para deshabilitar LLMNR

1. Navegue hasta la clave: HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows NT
2. Haga clic con el botón derecho en Windows NT y seleccione Nuevo> Clave.
3. Nombra la clave DNSClient.
4. Haga clic con el botón derecho en DNSClient y seleccione Nuevo> Valor de Dword (32 bits).
5. Nombra la Dword EnableMulticast.
6. Establezca su valor en 0.

Para deshabilitar la resolución de nombre inteligente de múltiples hogares

1. Navegue hasta la clave: HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows NT DNSClient
2. Haga clic con el botón derecho en DNSClient y seleccione Nuevo> Valor de Dword (32 bits).
3. Nombra la Dword DisableSmartNameResolution.
4. Establezca su valor en 1.
5. En Windows 10, también se requiere lo siguiente.
6. Navegue hasta la clave: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Dnscache Parameters
7. Haga clic con el botón derecho en Parámetros y seleccione Nuevo> Valor Dword (32 bits).
8. Nombralo DisableParallelAandAAAA.
9. Establezca su valor en 1.

Para deshabilitar WPAD

1. Toque la tecla de Windows, escriba cmd.exe, mantenga presionadas las teclas Shift y Ctrl, y presione enter. Confirme el mensaje de UAC. Esto abre una ventana de símbolo del sistema elevado. Manténgalo abierto después de ejecutar el siguiente comando.
2. Ejecuta el comando netsh winhttp restablecer proxy.
3. Toque la tecla de Windows nuevamente, escriba services.msc y presione enter.
4. Localizar el Servicio de descubrimiento automático de proxy web WinHTTP y detenerlo si se está ejecutando haciendo clic derecho sobre él y seleccionando «detener» en el menú contextual.
5. Haga doble clic en el servicio para abrir sus propiedades y cambiar su tipo de inicio a deshabilitado.
6. Cambie al Editor del registro y navegue hasta la clave: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters
7. Haga clic con el botón derecho en Parámetros y seleccione Nuevo> Valor Dword (32 bits).
8. Nombralo UseDomainNameDevolution.
9. Establezca su valor en 0.

Deshabilitar la tunelización teredo e ISATAP

1. Cambie a la ventana del símbolo del sistema elevado y ejecute los siguientes comandos
2. netsh interface teredo establecer estado deshabilitado.
3. interfaz netsh isatap establecer estado deshabilitado.

Hallazgo 3

La configuración relacionada con la privacidad se restableció después de que se instalaron ciertas actualizaciones en máquinas que ejecutan el sistema operativo Windows 10.

Dado que no se puede evitar, se sugiere pasar por la Configuración después de instalar las actualizaciones para asegurarse de que no se hayan restablecido.

Palabras de cierre

Si observa problemas después de realizar cambios en la computadora que ejecuta Windows, se sugiere eliminar las claves de registro que ha creado y cambiar el estado de los servicios a habilitado nuevamente.