Autores
Cada uno tiene sus aplicaciones preferidas: un navegador favorito o un programa de mensajería instantánea, un reproductor multimedia, cliente de correos, etc. Muchos usuarios están tan acostumbrados a tenerlos en su vida diaria que se sienten incómodos cuando no pueden usarlos en su oficina o lugar de estudios. Por eso se crearon las aplicaciones portátiles que discutiremos en este artículo.
Las aplicaciones portátiles, que se guardan en dispositivos removibles, son muy prácticas: no necesitan instalación y se pueden usar en casi cualquier ambiente. Para los usuarios, esto significa que sus herramientas favoritas están siempre a mano y listas para hacer cualquier cosa, desde reproducir música, películas y música hasta analizar y restaurar el sistema.
Pero estas aplicaciones también son una amenaza para la seguridad informática. Los usuarios que no tienen beneficios de administrador no pueden instalar programas en el equipo, pero pueden burlar esta restricción aprovechando las aplicaciones portátiles que no requieren instalación. Como estas aplicaciones son móviles y están guardadas en dispositivos removibles, a menudo pasan desapercibidas cuando se revisan las aplicaciones del LAN. Esto complica la investigación de los incidentes causados por el uso de aplicaciones portátiles, ya que la información sobre el dispositivo removible y el programa que tiene instalado no suele estar a disposición de los especialistas de seguridad.
Estudio de caso
Una compañía analítica que procesa grandes cantidades de información personal ofreció trabajo de tiempo parcial a estudiantes y personas sin especialización en informática. El trabajo consistía en que, por un par de días a la semana, debían trasladar los datos del papel al ordenador, buscar errores y ponerse en contacto con gente para pedirle más información.
Por razones de seguridad, todos los ordenadores que utilizaban estos empleados estaban integrados en una subred sin acceso a Internet. Uno de los administradores del sistema de la compañía estaba a cargo de este grupo de ordenadores.
La compañía contrató a programadores externos para que desarrollaran un programa para estos formularios electrónicos. El programa era un catálogo de varios formularios electrónicos idénticos a los de papel. Para llevar un registro de su trabajo, cada empleado de tiempo parcial debía escribir su nombre de usuario y contraseña al inicio de la jornada. Después podía escoger entre llenar un nuevo formulario o buscar errores en uno que ya estaba lleno. Tanto los datos nuevos como los modificados se guardaban en una base de datos intermedia. Para extraer los datos que debían revisarse y actualizarse, el programa enviaba una solicitud a la base de datos intermedia que, a su vez, recibía los datos directo de la base de datos principal. Para evitar que los empleados revisaran el mismo formulario una y otra vez, se agregó una restricción a la base intermedia: sólo se podía acceder a los formularios después de 5 meses de haberlos revisado por última vez. El administrador de la base de datos estaba a cargo de crear y mantener ambas bases de datos.
El trabajo era simple y los trabajadores cambiaban constantemente, por lo que el administrador tomó medidas para asegurar los equipos: todos los usuarios tenían derechos muy limitados, no podían instalar programas nuevos ni cambiar sus configuraciones, y sólo podían acceder al servidor en el que se guardaba la base de datos intermedia. Tan pronto se detectaba alguna señal de riesgo en un ordenador, el administrador restauraba el sistema por completo desde una copia de referencia.
Todo iba bien hasta que la base de datos intermedia comenzó a tener fallas regulares, complicando el trabajo de los empleados. Mientras buscaban las razones de esta inestabilidad, el administrador de las bases de datos se dio cuenta de que se habían acumulado muchos mensajes de error en poco tiempo. La mayoría de estos errores estaban causados por una sobrecarga en la base de datos debido al gran número de solicitudes recibidas. Pero algunos errores se causaron por los intentos de leer/escribir las tablas de acceso prohibido. El administrador descubrió que todas las solicitudes de bases de datos que generaban errores se habían enviado desde el programa para llenar los formularios electrónicos.
Después de hablar con los desarrolladores del programa, el administrador de la base de datos se dio cuenta de que este comportamiento no era normal ni había sido causado por un error en el código. Entonces, comenzó a estudiar en detalle los registros de los acontecimientos y vio que todas las solicitudes irregulares provenían de una misma dirección IP. Pidió ayuda al administrador del sistema y, sin pensarlo dos veces, el sysadmin restauró el sistema desde la copia de referencia, como siempre.
Los días siguientes, la base de datos siguió inestable y las quejas de los usuarios continuaron. El administrador del sistema analizó el equipo sospechoso, pero no detectó ningún virus, programa externo ni cambios en la configuración. Las conversaciones entre los administradores del sistema y los usuarios del equipo no aportaron mucho: nadie había notado nada raro mientras trabajaba en el sistema.
Después, el administrador de la base de datos informó al del sistema que habían más fuentes de error: ahora los errores estaban asociados con diferentes direcciones IP en días diferentes. Después, el administrador del sistema activó el registro detallado de los acontecimientos en todos los sistemas. Allí se encontró el registro de un error que había causado una falla en un programa del disco “F: ” en uno de los sistemas. Pero todos los equipos de esta red tenían un solo disco duro, el disco “C: ”. El administrador del sistema sospechó que algún empleado temporal estaba tratando de manipular la base de datos intencionalmente con programas que traía en su disco removible.
El administrador pudo encontrar al supuesto usuario malintencionado después de comparar los tiempos en los que ocurrieron los errores con las direcciones IP de los equipos sospechosos de los usuarios que estaban trabajando en ese momento. Después, durante una inspección por sorpresa que se realizó en horas de trabajo, se descubrió que uno de los estudiantes tenía un disco removible conectado a su equipo de trabajo. El disco contenía programas portátiles: un desensamblador y una herramienta para conectarse a la base de datos. El estudiante dijo que había utilizado el desensamblador para estudiar el programa para llenar formularios electrónicos y había encontrado en su código las credenciales necesarias para acceder a la base de datos. También dijo que había tratado, pero no había podido acceder a la base de datos principal. Después trató de copiar más información personal (nombres, direcciones, números de teléfono y direcciones de correo electrónico) para venderla a los spammers. Para automatizar el proceso, escribió un script que enviaba solicitudes en bucles a la base de datos. Esto explicaba la sobrecarga a la base de datos y su inestabilidad.
El estafador logró vender una gran cantidad de datos personales a personas externas. La compañía había sufrido graves daños. Se despidió al estudiante y se lo entregó a las autoridades para que lo procesaran. Se multó y reprendió al jefe del departamento de informática y al administrador del sistema. Los administradores de la compañía comenzaron a considerar la necesidad de invitar a profesionales de la industria para resguardar las actividades para procesar datos personales y a la compañía en sí.
Solución
Aunque la compañía había tomado medidas para garantizar su seguridad, esto confirmó que eran insuficientes. Es importante notar que estas medidas estaban diseñadas para evitar una amenaza directa, como la intrusión fraudulenta a la red corporativa desde una subred. Por lo tanto, la compañía seguía vulnerable a amenazas indirectas. Es por eso que el filtrado de datos personales fue el resultado de una combinación de factores: el hecho de que no se tomara en cuenta la posibilidad de que se usaran dispositivos removibles y aplicaciones portátiles, la ubicación de los datos codificados para acceder a la base de datos en el código del programa y la falta de control sobre el acceso a la información personal. Está claro que no siempre es posible eliminar estos factores por completo pero, sin duda, controlarlos puede reducir el riesgo.
Control de dispositivos
El primer problema obvio de este caso es que los empleados utilizaban dispositivos USB a pesar de que no los necesitaban para trabajar. Para realizar las tareas que debía cumplir en este caso en particular, el equipo de trabajo temporal sólo necesitaba un ratón, un monitor y un teclado. La mejor solución sería aislar por completo la unidad del sistema en una caja metálica protegida por una llave (como se hace con los cajeros automáticos o equipos públicos). Esto garantizaría la seguridad máxima, pero complicaría el mantenimiento.
Por otra parte, el control de los dispositivos, combinado con otros mecanismos de control, puede garantizar el nivel de protección deseado. La ventaja de esta medida es su flexibilidad: el administrador del sistema puede gestionar los parámetros de seguridad de forma centralizada para determinar qué dispositivos pueden usarse, quién puede hacerlo y desde qué equipos. Otra ventaja de este programa es que ofrece un registro y auditoría de acontecimientos. Esta información es muy útil si se necesita investigar un incidente.
Control de aplicaciones
Como ya hemos mencionado, el control de un dispositivo no es suficiente. Además de las conexiones USB, los estafadores utilizan FireWire, CD / DVD, dispositivos de red (incluyendo los que se conectan directo a Internet) o el puerto COM.
Application Control es una herramienta que permite a cualquier usuario, aunque no sea especialista en informática, mantener un nivel de seguridad adecuado. En particular, teniendo en mente el incidente que acabamos de describir, el bloqueo de aplicaciones que tratan de ejecutarse desde un dispositivo removible ha demostrado ser un método simple y eficaz de protección contra malware y aplicaciones portátiles. Además, el control de aplicaciones es esencial para la seguridad de sistemas “aislados” y redes; el modo “prohibición predeterminada” evita que los usuarios ejecuten programas externos. Es más, la sección de auditoría de acontecimientos del sistema de control de aplicaciones puede ofrecer un análisis detallado de los incidentes.
Codificación
Casi siempre es imposible bloquear el uso de dispositivos removibles por completo, en especial cuando están incluidos en los procesos del negocio. En esos casos, el balance entre seguridad y flexibilidad se logra asegurando la protección de estos procesos. En particular, la codificación completa de los datos de los dispositivos removibles de la compañía evita el uso de los dispositivos fuera de la red corporativa. Sólo se puede escribir y leer su contenido en los equipos de la compañía y, a la vez, el control de dispositivos bloquea el uso de todos los demás dispositivos. Por lo tanto, codificar los discos removibles y los discos duros reduce el riesgo de filtrado accidental de datos (en caso de que se pierda el dispositivo) y de robo deliberado.
Políticas de seguridad:
Los lectores ya habrán notado que la principal falla en el caso fue la mala organización: el administrador del sistema debía ser responsable de la seguridad de la información, el programa externo no se evaluó para ver si cumplía con las expectativas de seguridad, no había ningún procedimiento para lidiar con estos incidentes, etc.
El incidente demostró que las medidas de seguridad que tomaron los administradores del sistema eran inútiles contra las amenazas indirectas, pero daban una falsa ilusión de seguridad. En las compañías grandes, los especialistas en informática desarrollan políticas de seguridad administrativa y recomendaciones específicas para los administradores del sistema (para configurar los servidores y ordenadores de la compañía), para los desarrolladores del programa (requisitos de seguridad informática para los programas), para los encargados de Relaciones Humanas (procedimientos para contratar y despedir empleados), etc.
En las compañías pequeñas, los administradores deben lidiar con estos problemas por su cuenta, lo que obviamente afecta la seguridad informática. Si no hay recursos para la organización de un departamento de informática bien equipado, es importante considerar la automatización de los medios de control y auditoría de la seguridad informática. Cuando se escoge un programa de seguridad, se debe poner atención al su coste total, es decir, a cuánto cuesta comprarlo, ejecutarlo y mantenerlo en el sistema. A menudo, sólo los especialistas pueden utilizar los sistemas de seguridad más sofisticados.
Conclusión
Las aplicaciones portátiles han facilitado la vida del usuario común: tienes a mano tus aplicaciones favoritas cuando quieras, donde quieras. Pero esta movilidad hace que mantener la seguridad sea aún más complicado, en especial para controlar el uso de los programas e investigar incidentes.
Esta historia nos lleva a una conclusión muy simple: ignorar la seguridad informática no sólo arriesga el negocio de una compañía; también puede causar serios problemas a sus clientes. Es por eso que, en muchos países, las leyes exigen que las organizaciones que guardan y procesan datos personales médicos, financieros o de cualquier otra índole cumplan con estándares de seguridad internacionales como HIPAA, PCIDSS y otros. Después de todo, las compañías son responsables de la seguridad de la información personal de sus clientes, de su confidencialidad, disponibilidad e integridad.
Autores
De los mismos autores
En la misma categoría
Parámetros de seguridad: aplicaciones portátiles