Llegamos a ustedes gracias a:



Reportajes y análisis

Nueve Prácticas de seguridad TI que no funcionan

La verdad es que los productos y técnicas de seguridad TI no funcionan como se anuncia, dejando a las empresas mucho más expuestas al código malicioso.

[24/08/2012] Cuando se trata de la seguridad informática, el FUD (miedo, incertidumbre y duda, por sus siglas en inglés) es algo más que una herramienta de los vendedores que esperan vender su gran nuevo producto. Es la realidad con la que conviven los profesionales de seguridad TI experimentados, en gran parte gracias a las -a veces impresionantes- deficiencias de los enfoques tradicionales para asegurar los sistemas y datos de TI.
La verdad es que la mayoría de productos y técnicas comunes de seguridad TI no funcionan como dicen, dejándonos más expuestos al código malicioso. Esto se debe a que la seguridad tradicional de TI toma un enfoque Whack-A-Mole ante las amenazas, lo que hace que tengamos que ponernos al día con la siguiente ola innovadora de malware, la mayoría de la cual está a la vista en Internet.
Hasta que resolvamos ese problema -es decir, cuando una masa crítica de personas quiera ponerle fin a este problema- vamos a diseñar, implementar y depender de las soluciones de seguridad que nunca nos mantendrán tan seguros como deberíamos estar, dada la diaria escalada de malware dirigido a poner en peligro nuestros sistemas y extraer datos valiosos.
En la línea de hombre prevenido vale por dos, aquí hay diez prácticas comunes y productos de seguridad de TI que no cuidan sus sistemas tan bien como usted piensa.
Falla de seguridad N º 1: El escáner de su antivirus no descubrirá a los verdaderos asesinos (killers) de la red. Los tradicionales escáneres antivirus todo en uno, tal como los conocemos, fueron inventados en la década de 1980. Antes de eso, si sospechaba que tenía una aplicación de malware en particular, encontraba un programa detector construido específicamente para ese malware y lo ejecutaba. Si encontraba el malware, buscaba el programa de eliminación que acompañaba al primero. ViruScan de John McAfee y VirexPC estuvieron entre los primeros programas antivirus todo en uno, moviéndonos de la era de un solo malware, una sola solución.
Ya en la década de 1990, estos programas todo en uno, ahora conocidos como escáneres antimalware, podían detectar de manera confiable cada una de las decenas de virus, gusanos y troyanos existente. En ese momento, me ofrecí como voluntario en la PC Antivirus Research Foundation, fundación iniciada por Paul Ferguson, ahora de TrendMicro, para desmontar y probar virus informáticos recientemente encontrados. Recuerdo que todos pensaban que los programas antivirus se habían vuelto muy precisos y disponibles de forma gratuita, y todos asumieron que los virus informáticos y los de su calaña desaparecerían en un par de años.
Nos equivocamos. Los chicos malos profesionales ahora ponen cientos de miles -sino millones- de nuevos programas de malware al mes, demasiados para que un solo programa antivirus los detecte. Esto persiste a pesar de que casi todos los vendedores de antivirus afirman que pueden detectar de forma fiable el 100% del malware común que se les presenta. Ellos le pueden mostrar sus múltiples premios que certifican su increíble exactitud, pero la realidad afirma lo contrario.
Cada uno de nosotros se enfrenta constantemente con el nuevo malware que nuestro particular motor antivirus no detecta. No es un evento raro. Si alguna vez ha presentado una muestra de malware a uno de los sitios de motores de verificación, como VirusTotal, usted sabe que es muy común que los antivirus pierdan los nuevos brotes, a veces durante días. Semanas más tarde, los motores del antivirus todavía pueden pasar por alto un troyano o un gusano en particular.
No culpo a los vendedores. Con más archivos maliciosos que archivos buenos, el análisis antivirus es un trabajo duro y exige programas de listas blancas. Ellos tienen que almacenar las firmas de base de datos de cientos de millones de programas tortuosos, y detectar nuevas amenazas para las que no existe una firma, todo sin frenar las operaciones de protección del anfitrión.
Si bien la Internet es un lugar demasiado peligroso para prescindir de un antivirus, hace mucho que dejaron de ser confiables tal y como lo promocionan sus vendedores.
Falla de seguridad N º 2: Sus firewalls proporcionan poca protección. En cuanto concierne a la seguridad TI, el firewall es cada vez menos relevante que los escáneres antivirus. ¿Por qué? Debido a que la mayoría de programas de malware engañan a los usuarios finales con el fin de que ejecuten un programa prohibido en sus escritorios, lo cual invalida la protección del firewall. Por otra parte, los malos programas "llaman a casa" utilizando el puerto 80 o 443, que está siempre abierto en el firewall.
La mayoría de las personas están protegidas por varios firewalls en el perímetro, en el escritorio, y el filtrado de aplicaciones. Pero todo ese bastión de acogida de aislamiento del puerto no parece estar funcionando. Estamos tan explotados como siempre.
Falla de seguridad N º 3: Los parches no son la panacea. Durante años el consejo de seguridad número uno era hacer parches perfectos. Todo el software tiene múltiples vulnerabilidades y debe ser parcheado. A pesar de la existencia de más de una docena de sistemas de gestión de parches que prometen cambios perfectos, por la razón que sea, parece que no se puede hacer.
Muchas veces no es culpa del software de gestión de parches -son los gerentes. Solo parchan algunas cosas, pero olvidan los objetivos más populares, tales como Java, Adobe Reader, Flash, y muchos más. O no parchar de manera oportuna. O no hacen un seguimiento de porqué un porcentaje de su población no tiene aplicado el último parche, por lo que siempre hay una porción de usuarios vulnerables. Incluso en los mejores casos, conseguir que los parches cubran a la masa toma días o semanas, mientras que los últimos malware se propagan a través de Internet en cuestión de minutos u horas.
Peor aún, los troyanos de ingeniería social han hecho desaparecer ese consejo número uno. Considere esto: si todo el software tuviera cero puntos vulnerables (es decir, nunca ha tenido que parchar), se reducirían los ataques maliciosos en solo 10% o 20%, de acuerdo con la mayoría de los estudios. Si se deshizo de los ataques que requerían presentar software sin parches, los hackers que necesitan software sin parchar para hacer su trabajo sucio se trasladarían a las avenidas de la maldad (léase: la ingeniería social), y la reducción real de la delincuencia cibernética, probablemente sería mucho menor.
 
Falla de seguridad N º 4: La educación para el usuario final obtiene una nota desaprobatoria. Desde los albores de la computación personal, le hemos advertido a los usuarios que no inserten un disco en sus unidades de disquete, que no permitan que un macro inesperado se ejecute, que no hagan clic en un inesperado archivo adjunto, y ahora, que no ejecuten el inesperado programa antivirus. Sin embargo, no funciona.
Si las políticas de educación de nuestros usuarios finales tuvieran éxito, habríamos derrotado a los hackers y al malware por ahora. Y si las tendencias recientes son un indicador, la concientización del usuario final está peor que nunca. Los troyanos de ingeniería social, que engañan a los usuarios finales con la ejecución de programas maliciosos, son la mayor amenaza por el momento. La mayoría de los usuarios finales renuncian fácilmente a toda privacidad ante cualquier aplicación o portal de medios sociales, y lo hacen sin pensar en las consecuencias, lo que aumenta en gran medida sus probabilidades de convertirse en un objetivo y sucumbir a la ingeniería social.
Yo culpo firmemente a quienes están detrás de la mayoría de los educativos para usuarios finales. En sus manos, la educación de los usuarios se convierte en una tarea forzada. La educación se lleva a cabo al azar, usando un currículo irregular que por lo general no contiene la información pertinente sobre los últimos ataques. Déjame hacerle una pregunta: si la forma principal por la que los usuarios finales son engañados para ejecutar troyanos es a través de falsos programas antivirus, ¿su empresa le dice a los empleados cómo se ve su antivirus real? Si no es así, ¿por qué?
Ese tipo de desconexión pone en peligro los sistemas de TI. En promedio, se necesitan dos años para que las amenazas más recientes aparezcan en los programas educativos para usuarios finales y solo un minuto para que los chicos malos cambien los temas, lo que nos coloca otra vez dos años atrás.
¿Sabe qué funciona mejor que la educación para el usuario final? Software más seguro y mejores avisos predeterminados. No espere que los usuarios finales tomen la decisión correcta, decida por ellos. Los virus macro no desaparecerán hasta que la opción por defecto sea no ejecutar la macro. Los virus de archivos adjuntos no disminuyeron hasta que la mayoría de ellos fueron bloqueados y se hizo más difícil ejecutarlos. Los gusanos Autorun USB no desaparecieron hasta que Microsoft se vio forzado a sacar un parche que deshabilita la autoejecución de las llaves USB como una característica predeterminada.
La educación del usuario final nunca se ha trabajado completamente porque solo se necesita a una persona, que cometa un error, para infectar a toda su empresa. Pero puede reducir el riesgo mediante una educación mejor dirigida y más orientada al usuario final.
Falla de seguridad N º 5: La fortaleza de la contraseña no lo salvará. Éste es un mantra de seguridad muy repetido: cree una contraseña fuerte, larga, compleja y cámbiela con frecuencia. No importa que los usuarios sean famosos por la reutilización de sus contraseñas a través de múltiples sitios web y dominios de seguridad, por haber sido engañado para escribir su clave en pantallas falsas de autenticación, y por darle sus contraseñas a correos electrónicos al azar. Demonios, una gran parte de la población le daría su contraseña a un extraño de la calle a cambio de unos pocos dólares. (La última declaración ha sido probada durante muchos años, en diferentes países, por muchas compañías de reconocimiento, y el resultado es sorprendentemente el mismo.) A muchos de los usuarios finales simplemente no les importa la contraseña como usted quisiera.
El mayor problema ahora es que a la mayoría de los hackers no les importa. Engañan a un usuario final para que ejecute un programa troyano, obtiene acceso de administrador, recoge los hashes de contraseñas, y a continuación, vuelve a utilizarlos. Un hash de la contraseña es un hash de la contraseña, y el de una contraseña segura se ve y se siente como el de una contraseña débil.
Falla de seguridad N º 6: Los sistemas de detección de intrusiones no pueden determinar las intenciones. Los sistemas de detección de intrusos (IDS) son el tipo de tecnología de seguridad en la que usted quiere creer. Define un grupo de firmas "atacantes", y si el IDS detecta una de esas cadenas o comportamientos en el tráfico de su red, lo alertará anticipadamente o posiblemente detendrá el ataque. Pero al igual que el resto de las tecnologías y técnicas de seguridad presentes aquí, simplemente no funcionan como se anuncia.
En primer lugar, no hay manera de poner todas las firmas de ataques válidas para dar cuenta de la actividad maliciosa acumulada en su empresa. Los mejores IDS pueden contener cientos de firmas, pero decenas de miles de intentos maliciosos llegarán a sus sistemas. Podría añadir decenas de miles de firmas a su IDS, pero eso frenaría todo el tráfico que controla hasta el punto en que no valdría la pena el esfuerzo. Además, IDS ya ha generado tantos falsos positivos que todas las alertas de eventos terminan siendo tratada como registros del firewall: descuidados e ilegibles.
Pero la caída de los IDS se debe al hecho de que la mayoría de chicos malos están montándose sobre el acceso legítimo. ¿Cómo puede un IDS decir la diferencia entre el CFO que consulta su base de datos financiera y un atacante extranjero que utiliza la computadora del CFO y accede a hacer lo mismo? No puede -no hay manera de determinar la intención, lo cual es necesario para determinar si el flujo de red debe crear una alerta o dejarla pasar como una operación empresarial normal.
Falla de seguridad N º 7: PKI quebrado. PKI, Public Key Infraestructure (infraestructura de clave pública) es matemáticamente hermosa en todos los sentidos. Me encanta, e instalo una buena cantidad de PKI en las empresas cada año, o mejoro las que ya tienen. El problema es que muchas de las PKI están terriblemente configuradas, son terriblemente inseguras y son mayormente ignoradas, incluso cuando funcionan a la perfección en el sector público.
En el último año, o dos, hemos visto que varias autoridades de certificaciones públicas legítimas han sido horriblemente hackeados. Han permitido que los hackers accedan a sus claves de firma, que debería haber sido protegidas con más fuerza que cualquier otra información en su entorno, y han generado claves fraudulentas para ser utilizadas por otros hackers, malware, y posiblemente otros gobiernos interesados.
Pero incluso cuando PKI es perfecto, manteniéndose fuerte y sin ataques de hackers, a la gente no le importa. La mayoría de los usuarios finales, cuando son advertidos por su navegador que el certificado digital presentado no es de confianza, no puede esperar a hacer clic en el botón Omitir. Ellos están felices de pasar por alto el inconveniente de seguridad y seguir adelante con sus vidas informáticas.
Parte del problema es que los sitios web y programas que utilizan certificados digitales han sido displicentes en su uso, permitiendo que los mensajes de errores de certificados se vuelvan un hecho cotidiano. Los usuarios finales que no pasaron por alto los mensajes de error de certificados digitales no serían capaces de participar en un gran segmento de la vida en línea, a veces incluyendo el acceso remoto a sus propios sistemas de trabajo. Los proveedores de navegadores podrían hacer cumplir los errores de certificados digitales de manera que cualquier error, merecido o equivocado, se traduzca en que el sitio o servicio no se presente, pero los clientes se rebelarían y elegirían otro navegador. En su lugar, todo el mundo ignora alegremente nuestro sistema PKI quebrado. En general, a las masas no les importa.
Falla de seguridad N º 8: Sus dispositivos son el sueño de un atacante. El beneficio principal de los dispositivos -aumento de la seguridad- no se ha analizado detalladamente. Al tener una huella más pequeña del sistema operativo, por lo general una versión bloqueada de Linux o BSD, los dispositivos prometen ser menos explotables que las computadoras completamente funcionales que ejecutan sistemas operativos tradicionales. Sin embargo, en más de diez años de probar los dispositivos de seguridad de InfoWorld, solo una vez he enviado un dispositivo que no contenía una violación conocida. Los dispositivos no son otra cosa que sistemas operativos encerrados en los discos duros o el firmware, y esos diseños son innatamente más difíciles de parchar.
Por ejemplo, la semana pasada, en medio de las pruebas de red-team contra una compañía Fortune 100, me encontré con que cada uno de los cientos de controladores de red inalámbrica ejecutaba servicios sin parchar de Apache y Open SHH; ambos habrían dejado que los piratas de la red inalámbrica pública lleguen a sus redes internas corporativas como administradores. Sus IDS y dispositivos de firewall contenían escrituras públicas que tenían un largo historial de vulnerabilidades remotas y autenticaciones tontas. Su dispositivo de correo electrónico ejecutaba un servicio inseguro FTP que permitía cargas anónimas.
Estos no son hallazgos inusuales. A menudo los dispositivos contienen vulnerabilidades al igual que muchos de sus homólogos de solo software; son difíciles de actualizar y muchas veces no lo hacen. En lugar de ser dispositivos de seguridad templados, son el sueño de un atacante. Me encanta hacer pruebas de penetración en entornos con una gran cantidad de dispositivos. Se me hace la vida mucho más fácil.
Falla de seguridad N º 9: Las cajas de arena ofrecen una línea recta al sistema subyacente. Yo suspiro cada vez que se anuncia una nueva caja de arena de seguridad. Las cuales, se supone, hacen que las violaciones sobre el software que protegen sean imposibles, o al menos mucho más difíciles de lograr. La realidad es que cada caja de arena de seguridad desarrollada hasta el momento, ha caído bajo la atención de los piratas cibernéticos.
Hoy en día las cajas de arena de seguridad más grandes probablemente estén mejor representadas por Java y el navegador Google Chrome, y ambos han sufrido más de cien violaciones que han perforado la caja de arena, y permitido el acceso directo al sistema subyacente. Sin embargo, eso no impide que los soñadores crean que van a encontrar una que le pondrá fin a todas las violaciones y alejen la maldad para siempre.
Desafortunadamente, mucha de la seguridad informática es más teatro que seguridad. Su trabajo consiste en escoger entre la multitud de soluciones y emplear las que realmente reduzcan el riesgo. Las prácticas de seguridad antes mencionadas están sobreestimadas. ¿Cómo lo sabe? Debido a que TI está aplicando cada una de ellas, y la piratería y violaciones informáticos son más populares que nunca. No puede ignorar los hechos.
Roger A. Grimes, InfoWorld (EE.UU.)