Llegamos a ustedes gracias a:



Reportajes y análisis

Deslices de seguridad de los archivos compartidos

FSS, File Sync and Share

[27/06/2014] Los servicios gratuitos de sincronización y compartición de archivos (FSS – File Sync and Share) como Dropbpox típicamente vienen con una configuración de seguridad y privacidad establecida como pública por defecto. Cuando un usuario comparte un enlace compartido hacia los datos corporativos, cualquiera que tenga ese enlace puede tener la información potencialmente confidencial. Algunas apps FSS no ofrecen ajustes de privacidad. Inclusive si un usuario lo quisiera, no puede cambiar los ajustes públicos a privados para proteger sus datos.

Aquí hay una manera en que los enlaces compartidos escapan hacia terreno abierto. Cuando un destinatario intencional recibe un enlace por e-mail, su correo de cliente/o sus ajustes de seguridad pueden evitar que haga clic en ellos como un enlace vivo. Así que copian el enlace e intentan pegarlo en el campo de URL del navegador. Muchos usuarios erróneamente pegan el enlace compartido en el campo de búsqueda, el cual normalmente utiliza Google, el buscador que la mayoría emplea, para presentar resultados de búsqueda para ese enlace.

La gente está condicionada más y más a poner las URL en el campo de búsqueda en lugar de hacerlo en el campo de URL. En el iPhone, por ejemplo, el campo de búsqueda es el campo de URL, señala Hugh Thompson, jefe de comité de programa de The RSA Conference.

Este error humano expone enlaces compartidos, porque Google automáticamente recolecta los términos de búsqueda de los usuarios para sus herramientas de AdWords y Analytics, las cuales los usuarios empresariales y los socios de publicidad de Google usan para establecer palabras de búsqueda óptimas para campañas de publicidad. Cuando el proveedor de FSS, Intralinks, ingresó el nombre de su competidor, Dropbox, para ver qué palabras clave usaba la gente para buscarlo, encontró enlaces compartidos que incluían el nombre Dropbox en los resultados. Esos enlaces compartidos eran en vivo, cliqueables, fueron abiertos y hechos públicos, y conducían a datos confidenciales.

Este incidente abre algunas interrogantes: ¿Quién es responsable? ¿Qué puede hacer la empresa, si es que hay algo que pueda hacer, para prevenir que los datos confidenciales se filtren de esa manera?

Responsabilidad
De acuerdo a Richard Anstey, CTO de Intralinks, su compañía descubrió y develó esta vulnerabilidad de Dropbox (y de Google) en noviembre del 2013. Dropbox publicó una entrada de blog abordando estas preocupaciones entre otras cosas, en mayo de este año (la parte sobre esta vulnerabilidad aparece en un solo párrafo que comienza con Actualización [6/5/14].

Al momento de redactar este artículo, la entrada del blog actualizada no revela cómo algún parche arregla la capacidad de las campañas de Google Adwords de recoger URL de enlaces compartidos. Tampoco aborda los documentos en vivo que ya están ahí y que cualquiera puede descargar fácilmente y compartirlos usando los enlaces compartidos que Google Adwords muestra.

Pero la configuración pública por defecto entre las apps gratuitas de FSS no tiene toda la culpa. Entre los usuarios finales y los empleados la usabilidad y la conveniencia, ha superado a la seguridad y las políticas hace bastante tiempo. No es raro que un pequeño grupo de empleados que trabajan juntos acuerden informalmente usar una app gratuita de FSS como Dropbox para un determinado proyecto, ilustra Thomson. Acuerdan usarla sin los estándares de TI, agrega Thomson.

Y la gente que utiliza apps FSS gratuitas fácilmente supone que solo las personas a las que comparten los enlaces podrán verlos y usarlos. Pero un hacker delincuente astuto, sabiendo la construcción por defecto de un enlace compartido, podría adivinar las combinaciones de caracteres que podrían aparecer al final de la URL del enlace compartido, e intentar acceder a los enlaces compartidos en vivo. Eso podría llevarlos hasta información confidencial de la corporación, señala Thomson. Ha habido toda clase de ataques basados en la generación de caracteres aleatorios, confirma Thompson.

Así que esta idea podría no ser nada nuevo.

Tapando el agujero
De acuerdo a Anstey, es poco probable que cualquiera haya sido deliberadamente malicioso en esta etapa de esta vulnerabilidad, desde los usuarios finales potenciando la herramienta gratuita de FSS y enviando los enlaces compartidos, hasta los destinatarios, que los colocan en el campo equivocado en el navegador.

La forma de mitigar esto, además de las políticas personalizadas para este tipo de servicio, es -entonces- mediante una educación efectiva y confirmada del usuario. Los medios efectivos de entrenamiento en seguridad del empleado deben permitir a la empresa hacer preguntas sobre su comprensión y retención de las políticas de información. Las empresas deben tener la firma de los empleados en la aceptación de sus políticas.

Luego hay que agregar tecnología para fortalecer la política. Combine las fronteras de la red con las políticas para asegurar que los datos corporativos confidenciales no pueden alcanzar la clase de vulnerabilidad que existe en un servicio gratuito de compartición de archivos, anota Anstey. A través de una combinación de educación y tecnología, la empresa puede reducir al mínimo las infracciones y justificadamente disciplinar a los transgresores.

Pero la cuestión causal requiere una solución más amplia. La empresa tiene que darse cuenta de que los empleados desean y necesitan trabajar tan eficazmente como sea posible; eso es lo que los lleva a utilizar el software de FSS. La empresa debe reconocer y aceptar que las herramientas FSS son útiles. "Se debe encontrar una solución, estandarizarla, y apoyarla", señala Anstey. Seleccione una herramienta de FSS que la empresa haya probado y aprobado. Garantice la eficacia, la facilidad de uso y la satisfacción de los empleados con la herramienta autorizada, o correrá el riesgo que continúen utilizando otras herramientas que prefieren.

Recabe información sobre la gestión del ciclo de vida en el aseguramiento de los datos en las apps FSS. Determine si, y por cuánto tiempo, cualquier dato debería residir en el servicio FSS. Determine cuándo dejar de compartir datos previamente compartidos, como cuando los proyectos o sociedades culminan. Considere eDescovery, ya que la empresa debe disponer de algunos datos bajo determinado calendario y mantener otros datos por ciertos períodos de tiempo. Esto ayudará a la empresa a limitar el área de superficie de vulnerabilidades relacionadas, anota Anstey.

Hacia una mentalidad más flexible
Thomson coincide en que las empresas pueden adoptar políticas escritas y aplicar la fuerza para frenar el uso las apps FSS gratuitas con datos corporativos por parte de los empleados. Las empresas pueden usar tecnología para restringir el acceso desde la intranet a sitios web que usan las apps gratuitas de FSS. Y si un empleado está fuera de la oficina pero está conectado a la red/intranet corporativa, la empresa puede utilizar herramientas de nube para disminuir la probabilidad de que la gente utilice esas apps gratuitas de FSS, anota Thomson.

Pero las personas están tratando de terminar sus trabajos, añade Thomson. Y ellos intentarán usar tecnologías que los ayudan a cumplir con sus metas más rápidamente, explica Thomson. Considerando que históricamente TI ha sido el Ministerio del No, al establecer límites en base a los riesgos de la compañía, este nuevo ambiente con todas estas apps útiles está forzando a TI a volverse un facilitador de esas tecnologías, afirma Thomson.

De acuerdo a Thompson, las empresas pueden por un lado ver este problema de los FSS como uno aislado, o como parte de un patrón más grande de asuntos similares. También pueden reaccionar a las deficiencias de estas apps o darse cuenta de que las mismas son parte de la realidad del proceso de hacer negocios hoy en día. Si eligen lo último, será necesario hacer una recalibración de la función de seguridad con el fin de atender el negocio. De acuerdo a Thomson, la empresa debería preguntarse a sí misma cómo volverse un facilitador de seguridad en su entorno, mientras permite a las personas cierto uso de esta tecnología.

Según Thomson, este es el enfoque que ve de forma creciente en la conferencia RSA, por ejemplo, un cambio desde la seguridad absoluta a proteger los datos tan bien como sea posible, entendiendo que porque hay atacantes muy sofisticados, ocurren fallas e intrusiones. Y si las fallas ocurren, hay conjuntos de tecnologías subyacentes, de modo que podemos determinar de manera forense qué ocurrió y entonces optimizar las políticas de seguridad de la empresa, afirma Thomson.
David Geer, CSO

[Nota de redacción] El blog de Dropbox advierte de vulnerabilidades al manejar los archivos compartidos en su servicio, bajo diversos escenarios, por lo que procedieron a desactivar los enlaces que podían estar en peligro. Menciona que el que el 5 de mayo finalmente rehabilitaron los enlaces que sabían que podían ser vulnerables y avisa a los usuarios que si alguno de sus archivos aún está deshabilitado puede recibir un e-mail en el que se le pedirá que cree un nuevo enlace seguro, o que vuelva a habilitar los enlaces previos. Entre los escenarios de peligro, el post no menciona la posibilidad de colocar el enlace en el campo de búsqueda de un buscador.