Brechas en la defensa de la red corporativa: servicios “en la nube”

En la lista de las aplicaciones más difundidas de los servicios “en la nube” entran: almacenamiento de imágenes escaneadas del pasaporte y otros documentos personales; sincronización de bases de datos de contraseñas, contactos y cartas; almacenamiento de diferentes versiones de códigos fuente, etc. Cuando el servicio de almacenamiento de datos “en la nube” Dropbox notificó que había neutralizado una vulnerabilidad en el generador de enlaces, en Internet se empezó a hablar de nuevo de la importancia que tiene cifrar los datos confidenciales antes de almacenarlos en algún recurso, incluso si se trata de uno privado. El cifrado de datos (FLE) de verdad permite garantizar la defensa de la información confidencial “en la nube”, incluso si se descubren vulnerabilidades en el control de acceso a los documentos de los usuarios en uno u otro servicio.

Podría parecer que si no se guardan datos secretos “en la nube” o se los cifra, no habría ningún riesgo. Pero… ¿es así? La realidad ha demostrado que no lo es del todo.

En Internet encontramos con frecuencia recomendaciones de cómo “usar con efectividad los servicios de almacenamiento de ficheros en la nube”, por ejemplo: instrucciones de administración remota de equipos, vigilancia del equipo durante la ausencia del dueño, administración de descargas torrent y muchas más. En otras palabras, son los mismos usuarios quienes crean toda clase de brechas que usan con facilidad los troyanos, gusanos, y con más razón lo hackers, sobre todo si se trata de ataques selectivos.

No hicimos la pregunta ¿cuán grande es el riesgo de que una red corporativa se contagie mediante un servicio “en la nube”?

En la conferencia Black Hat 2013 Jacob Williams), científico en jefe de CSRgroup Computer Security Consultants dio una ponencia sobre el uso de Dropbox para penetrar en la red corporativa. Durante la ejecución de una prueba de penetración hecha a pedido (pen test) Jacob usó un cliente thin de Dropbox instalado en un portátil que se encontraba fuera de la red corporativa para propagar software malicioso en los dispositivos que estaban dentro de la red.

Al principio, usando phishing, Jacob infectó el portátil de un empleado y más adelante incrustó scripts maliciosos en los documentos almacenados en el directorio “en la nube” del equipo. Dropbox actualizó automáticamente (sincronizó) los documentos infectados en todos los dispositivos relacionados con la cuenta del usuario. En este sentido Dropbox no es el único sistema que tiene este comportamiento: la función de sincronización automática está presente en todas las aplicaciones populares de acceso a servicios “en la nube”, entre ellas Onedrive (Skydrive), Google Disk, Yandex Disk, etc.

Cuando el usuario abrió el documento infectado en su equipo de trabajo, dentro de la red corporativa, los scripts incrustados en el documento instalaron en el sistema el backdoor DropSmack, creado por Jacob especialmente para esta prueba de penetración. Como se puede adivinar por su nombre, la función clave de DropSmack es usar el sistema Dropbox como canal de administración del backdoor y enviar los documentos corporativos al mundo externo a través del cortafuegos corporativo.




Esquema del experimento de Jacob Williams

El método de penetración en la red corporativa usado por Jacob durante la prueba sorprende por su simplicidad… sí, es una brecha evidente.

Nosotros decidimos verificar si los verdaderos delincuentes usan Dropbox, OneDrive, Yandex Disk y Google Disk para propagar software malicioso. Habiendo recopilado información de KSN sobre las detecciones de malware en los directorios “en la nube” de los equipos de los usuarios de los productos de Kaspersky Lab descubrimos que estas infecciones se registraron en un número muy pequeño de usuarios: en mayo de 2014 sólo 8700 personas se toparon con infecciones de sus directorios “en la nube”. Entre los usuarios domésticos de los productos de Kaspersky Lab estos programas maliciosos representaron el 0,42% de todas las detecciones, y el 0,24% entre los usuarios de los programas corporativos.

Es necesario remarcar un importante detalle: si el programa malicioso ingresa a la nube desde un dispositivo, todos los otros dispositivos vinculados a la cuenta infectada lo descargarán usando el protocolo HTTPS. Incluso si en uno de los dispositivos el antivirus detecta y elimina la infección en el directorio sincronizado, el software cliente, cumpliendo su deber, luchará contra la desincronización descargando una y otra vez el malware de “la nube”.

Según nuestros datos, cerca del 30% del software malicioso detectado en los directorios “en la nube” en los equipos domésticos ingresa mediante mecanismos de sincronización. Entre los usuarios corporativos este índice alcanza el 50%. De esta manera, el mecanismo usado por el software en la prueba de Jacob Williams conduce a infecciones en la vida real. Por suerte, todavía no hemos detectado ataques selectivos que usen los servicios de almacenamiento de datos “en la nube”.

Entre el software malicioso que hemos detectado en los directorios “en la nube” en los ordenadores de los usuarios predominan los ficheros de formatos Win32, MSIL, VBS, PHP, JS, Excel, Word y Java. Merece la pena mencionar que entre los usuarios domésticos y corporativos existe una pequeña diferencia: en los equipos de los primeros se detectan con mayor frecuencia ficheros MS Office infectados, en los de los segundos en la lista hay unas criaturas peculiares: aplicaciones maliciosas para Android.

TOP 10 de veredictos:

 

Usuarios particulares Usuarios corporativos
1 Email-Worm.Win32.Runouce.b Email-Worm.Win32.Brontok.dam.a
2 Email-Worm.Win32.Brontok.q Virus.Win32.Sality.gen
3 not-a-virus:AdWare.Win32.RivalGame.kr Virus.Win32.Tenga.a
4 Virus.Win32.Nimnul.a Trojan-Dropper.VBS.Agent.bp
5 Trojan-Clicker.HTML.IFrame.aga Trojan.Win32.Agent.ada
6 Exploit.Win32.CVE-2010-2568.gen Trojan.Win32.MicroFake.ba
7 Virus.Win32.Sality.gen Exploit.Win32.CVE-2010-2568.gen
8 Worm.Win32.AutoRun.dtbv Worm.Win32.AutoRun.dtbv
9 Trojan-Dropper.VBS.Agent.bp Trojan.Win32.Qhost.afes
10 Trojan.Win32.Genome.vqzz Virus.Win32.Nimnul.a

En la mayoría de los casos los escritores de virus no usan los sistemas de almacenamiento “en la nube” como plataforma de distribución, sino como hospedaje para programas maliciosos. Durante la investigación no encontramos ni un solo gusano o backdor (sin contar a DropSmack) especialmente dirigido a los sistemas de almacenamiento de ficheros “en la nube”. Por supuesto, los servicios en sí tratan de luchar activamente con los programas maliciosos que usan el espacio libre en “la nube”. Además, el hospedaje de programas maliciosos ejerce una influencia negativa en la reputación de los servicios, a pesar de que estos no asumen responsabilidad sobre qué ficheros guardan los clientes en el sistema. Es evidente que el escaneo regular de todos los ficheros contenidos en la nube exigiría demasiados recursos, que los servicios prefieren usar para almacenar ficheros.

El resultado de la investigación llevada a cabo es la comprensión de que el riesgo de infección de la red corporativa mediante sistemas de almacenamiento en la nube es comparativamente pequeño: durante un año uno de cada mil usuarios corporativos que usen sistemas en la nube corre el riesgo de infectarse. Pero hay que tomar en cuenta que en algunos casos incluso un caso aislado de infección de un equipo en la red corporativa puede provocar daños graves.

Para proteger la red corporativa se pueden usar los siguientes métodos:

  • Apretar las tuercas en el cortafuegos o IDS, bloquear el acceso a los servidores de servicios conocidos. Un gran defecto de este método es que ocupa muchos recursos: hay que estar atento a la aparición de nuevos candidatos para la lista negra.
  • Instalar una suite de seguridad multifuncional que incluya un antivirus heurístico y de comportamiento, funciones de limitación de acceso (HIPS), control del funcionamiento del sistema operativo (System Watcher o Hypervisor), protección contra la explotación de vulnerabilidades, etc. Y es necesario configurar todo esto con mucho cuidado.
  • Debido a que incluso la suite de seguridad más sofisticada puede dejar pasar APT, hay que prestar atención a la tecnología de control de aplicaciones (en el modo “prohibido por defecto”). En nuestra opinión este es uno de los métodos más seguros de bloquear cualquier software desconocido (incluso el que se usa durante los ataques específicos). La tarea más compleja que surge durante la implementación del Control de aplicaciones es la configuración de las reglas que haga que todas las aplicaciones permitidas puedan ejecutarse y actualizarse sin problemas. Con este objetivo los fabricantes de productos que tengan la función Control de aplicaciones han desarrollado instrumentos especiales: la función de actualización del software mediante programas de confianza, listas blancas predeterminadas de software que incluyen todos los ficheros del sistema y del usuario, acceso a enormes servicios en la nube y bases de información sobre toda la diversidad de software “blanco”.
  • En casos especiales hay que usar el Control de aplicaciones para limitar el uso de servicios en la nube en la red local, es decir, permitir la ejecución de aplicaciones de sincronización de directorios en la nube solo a los empleados de confianza.

Y para los sistemas más cerrados, aquellos que controlan el funcionamiento de centrales eléctricas, sistemas de agua potable, o que guardan secretos de estado, o que permiten lanzar misiles intercontinentales recomendamos no utilizar de ninguna forma los servicios de almacenamiento en la nube.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *