Como blindar seu sistema contra o WannaCrypt

Se você segue o Código Fonte de longa data já deve estar consciente das práticas de segurança que irão protegê-lo do WannaCrypt: manter o sistema operacional sempre atualizado, não clicar em anexos suspeitos de email e ter um backup confiável e recente.

Mas é possível blindar o sistema ainda mais contra a “bomba atômica dos ransomwares” que pode ter afetado mais de 200 mil máquinas em todo mundo.

1) Primeiro passo: aplique a atualização do Windows

A Microsoft corrigiu a vulnerabilidade explorada pelo WannaCrypt em Março, mas parece que dois meses não foram tempo suficiente para que usuários e administradores de sistema se mobilizassem e aplicassem a atualização. Como sempre dissemos: cibercriminosos são ágeis e contam justamente com a inércia de suas vítimas para atacar brechas de segurança divulgadas e, na maioria das vezes, consertadas. Raríssimos são os ataques hackers que atingem falhas inéditas.

As correções para todas as versões modernas do Windows estão disponíveis na página oficial da Microsoft.

Ciente da gravidade do problema e da vasta quantidade de versões não mais suportadas do Windows mas atingidas pelo ataque do ransomware, a Microsoft publicou correções de emergência para o Windows XP, Windows 8 e Windows Server 2003, cujo suporte oficial já foi encerrado. Não há qualquer garantia de que a empresa vá fazer isso novamente: juridicamente, ela não tem mais qualquer obrigação nesse sentido. A recomendação, como sempre, é que usuários dessas versões ultrapassadas do Windows migrem para versões mais recentes o mais rápido possível para não serem expostos a falhas de segurança.

2) Segundo passo: desative o sistema de compartilhamento de arquivos Server Message Block v1 (SMB1)

Essa é para o pessoal com mais conhecimento técnico. Se você não tem certeza sobre seu nível de conhecimento, a primeira dica acima será suficiente para se precaver de ataques do WannaCrypt.

Uma vulnerabilidade no sistema de compartilhamento de arquivos em rede Server Message Block 1 (SMB1) é o vetor de disseminação do WannaCrypt, e permite que uma única máquina contaminada na rede possa passar adiante sua carga viral para outros computadores. Desabilitar o sistema funciona como uma camada extra de proteção para aqueles que atualizaram o Windows ou como uma medida emergencial de defesa para aqueles que, por algum motivo, não puderam instalar a atualização.

A Microsoft oferece um guia passo a passo de como desabilitar o SMB1 e recomenda enfaticamente que os usuários não desativem o SMB v2 ou SMB v3. Será necessário reiniciar o sistema.

3) Terceiro passo: bloqueie as portas afetadas no firewall

O SMB1 utiliza as portas 139 e 445 para se comunicar e bloqueá-las no firewall pode oferecer uma terceira camada de segurança ao sistema. Na maioria dos casos, é uma medida extrema e opcional. Em outros cenários (diante da impossibilidade de se aplicar as dicas anteriores em escala global, por exemplo) pode ser uma alternativa valiosa para reforçar a proteção da rede.

Queremos saber sua opinião