Llegamos a ustedes gracias a:



Reportajes y análisis

Los 10 errores más tontos

Que pueden cometer los administradores de red

[14/07/2009] Cuando usted observa las peores brechas de seguridad corporativas, es claro que los administradores de red siguen cometiendo los mismos errores, una y otra vez, y que muchos de esos errores son fáciles de evitar.

En el 2008, Verizon Business analizó 90 brechas de seguridad que representaban 285 millones de archivos comprometidos. La mayoría de estos incidentes -que llamaron la atención de los titulares- involucraron al crimen organizado, encontrando una apertura desprotegida en una red y usándola para robar datos de tarjetas de crédito, números del Seguro Social u otra información de identificación personal.
10 desafortunadas historias de datos que se pierden
Lo que es sorprendente es cuán seguido estas brechas de seguridad son el resultado de administradores de red que olvidan tomar pasos obvios para asegurar sus sistemas, particularmente servidores no críticos. Simplemente no estamos haciendo lo básico, señaló Peter Tippett, vicepresidente de innovación y tecnología en Verizon Business, quien ha estado auditando las brechas de seguridad por 18 años.
Tippett nos ayudó a compilar una lista de los pasos más simples que un administrador de red puede tomar para eliminar la mayoría de las brechas de seguridad. No seguir los ítems en esta lista sería, simplemente, estúpido.
1. No cambiar las contraseñas por default en todos los dispositivos de red
Tippett dice que es increíble cuán a menudo las corporaciones tienen un servidor, switch, router o aparato de red con la contraseña predeterminada -usualmente password o admin- todavía activada. La mayoría de los CIO piensan que este problema nunca podría pasarle a ellos, pero Tippett lo ve cada día.
Para evitar este problema, necesita correr un escáner de vulnerabilidad para cada dispositivo en su red con una dirección IP, no solo los sistemas críticos o que dan la cara a internet, señala Tippett. Luego, necesita cambiar las contraseñas predeterminadas que encuentre por algo más. Más de la mitad de todos los archivos que fueron comprometidos el año pasado, fueron el resultado de usar una contraseña predeterminada en un dispositivo de red, de acuerdo con el estudio de Verizon Business.
2. Compartir una contraseña a través de múltiples dispositivos de red
Los departamentos de TI generalmente usan la misma contraseña entre múltiples servidores, y mucha gente conoce la contraseña. Puede ser una buena contraseña -una complicada cadena de números y letras- pero una vez que es compartida entre varios sistemas, estos sistemas están todos en riesgo.
Por ejemplo, una de las personas que conoce la contraseña podría irse a otra compañía y reutilizar la contraseña en su nueva compañía. O un subcontratista que maneja un sistema no crítico -como un sistema de enfriamiento de un data center- podría usar la misma contraseña en todos los sistemas que opera para todos sus clientes. En cualquier caso, si la contraseña es descubierta por un hacker, el hacker puede entrar a muchos servidores e infligir más daño.
Tippett señala que los departamentos deTI necesitan un proceso -automatizado o manual- para asegurar que las contraseñas de servidor no son compartidas entre múltiples sistemas, que son cambiadas regularmente y que se mantienen seguras. Él dice que es tan simple como mantener las contraseñas actuales de los servidores escritas en tarjetas que se guardan en una caja de seguridad, la cual es controlada por una persona.
3. Fallar en encontrar errores de código SQL
El ataque de hacking más común -representando el 79% de todos los archivos comprometidos- es contra una base de datos SQL que está conectada a un servidor web. La forma en que los hackers se meten a estos sistemas es ingresando un comando SQL en un formulario basado en web. Si el formulario está codificado adecuadamente, no debería aceptar comandos SQL. Pero algunas veces los desarrolladores accidentalmente crean lo que se llama errores de inyección SQL.
Tippett indica que la forma más fácil de prevenir estos errores es correr un firewall de aplicaciones en modo aprendizaje, de modo que pueda observar cómo los usuarios ingresan datos en un campo y luego poner el firewall de aplicaciones en modo operar, para que los comandos SQL no puedan ser inyectados en un campo. El problema de codificación SQL está muy extendido. Si una compañía examina 100 servidores, probablemente encuentre un problema de inyección SQL en 90 de ellos, señala Tippett.
Generalmente, las compañías arreglan únicamente los errores de inyección SQL en sus servidores críticos, olvidando que la mayoría de hackers se meten en sus redes a través de sistemas no críticos. Tippett sugiere que los administradores de red segmenten sus redes usando listas de control de acceso para restringir los servidores de conversar con dispositivos no esenciales. Esto podría prevenir que un hacker gane acceso generalizado a los datos a través de un inevitable error de codificación SQL.
4. Configurar mal sus listas de control de acceso
Segmentar su red usando listas de control de acceso es la forma más simple de asegurar que los sistemas se comunican solo con los sistemas que deberían. Por ejemplo, si permite a sus socios de negocios acceder a dos servidores en su red a través de su VPN, debería usar las listas de control de acceso para asegurarse de que esos socios de negocios solo tienen acceso a esos dos servidores. Luego, si un hacker ingresa a su red a través de la apertura para los socios de negocios, el hacker solo puede acceder a los datos en estos dos servidores.
Generalmente, un tipo malo que entra en la red a través de la VPN tiene acceso a todo, señala Tippett. Ciertamente, tener listas de control de acceso configuradas apropiadamente podría haber protegido a 66% de los archivos que fueron comprometidos el año pasado, de acuerdo con el reporte de Verizon. La razón por la cual los CIO no dan este simple paso es que involucra usar sus routers como firewalls, y muchos administradores de red no quieren hacer eso.
5. Permitir acceso remoto y software de administración no seguros
Una de las formas más populares que tienen los hackers para entrar a sus redes es usar un acceso remoto y un paquete de software de administración, como PCAnywhere, Virtual Network Computing (VNC) o Secure Shell (SSH). Generalmente, a estas aplicaciones de software les faltan las más básicas medidas de seguridad, como buenas contraseñas.
La forma más simple de encontrar este problema es correr un escaneo externo a lo largo de todo su espacio de direcciones IP para buscar tráfico de PCAnywhere, VNC o SSH. Una vez que encuentre estas aplicaciones, ponga medidas de seguridad extra en ellas como tokens o certificados en adición a las contraseñas. Otra opción es examinar los datos del flujo de red de sus routers que miran hacia el exterior, y ver si tiene algún tráfico de administración de acceso remoto fluyendo a través de su red.
Este problema es lo suficientemente común para llegar al 27% de los archivos comprometidos en el reporte de Verizon Business.
6. Fallar en probar aplicaciones no críticas por vulnerabilidades básicas
Cerca del 80% de todos los ataques de hacking son el resultado de agujeros de seguridad en aplicaciones web, de acuerdo con el reporte de Verizon Business. Los administradores de red conocen que su mayor vulnerabilidad está en las aplicaciones web, así que ponen todo su esfuerzo en probar sus sistemas críticos y que enfrentan en la internet.
El problema es que la mayoría de ataques de hacker aprovechan errores de seguridad en sistemas no críticos dentro de las redes. El principal problema es que estamos examinando como locos las aplicaciones web críticas, y no estamos examinando las aplicaciones que no son web, señala Tippett. Él recomienda que los administradores de red examinen todas sus aplicaciones buscando vulnerabilidades básicas.
A la gente le han enseñado desde siempre a enfocarse en el principio de qué tan críticas son las cosas, pero los tipos malos no saben qué es crítico y qué no. Ellos siguen el principio de qué es lo fácil, señala Tippett. Una vez que entran en su red, pueden establecerse, tomarse su tiempo y observar su tráfico.
7. No proteger adecuadamente sus servidores del malware
El malware en servidores es responsable del 38% de todas las brechas de seguridad, señala Verizon Business. La mayoría del malware es instalado por un atacante remoto y es utilizado para capturar datos. Típicamente, el malware es personalizado, de modo que no pueda ser descubierto por software antivirus. Una forma para que los administradores de red encuentren malware, tales como keylogger o spyware, en sus servidores es correr un software de sistema para la detección de intrusos basado en host en cada servidor, no solo en lo servidores críticos.
Tippett sugiere una forma simple de prevenir muchos de estos ataques: restrinja los servidores, de modo que no se puedan correr nuevas aplicaciones en ellos. Los administradores de red odian hacer eso porque podrían querer añadir nuevo software después, señala Tippett. Yo les digo que solo abran el seguro, instalen el nuevo software, y luego lo cierren otra vez.
8. Fallar en configurar sus routers para prohibir tráfico no deseado hacia el exterior
Una forma popular de malware involucra poner una puerta trasera o un shell de comando en un servidor. Un modo de prevenir que un hacker tome ventaja de una puerta trasera o un shell de comando, es la segmentación de la red usando listas de control de acceso. De esta forma puede prevenir que los servidores envíen tráfico que no deberían estar enviando. Por ejemplo, un servidor de correo debería enviar solo tráfico de correo, no tráfico SSH. Otra opción es usar sus routers para qu, por default, nieguen el filtrado de salida, lo cual bloquea todo el tráfico hacia el exterior, excepto el que quiera que salga de su red.
Solo el 2% de las compañías hacen esto. Me desconcierta por qué el otro 98% no lo hace, señala Tippett. La negación del filtrado de salida es trivial.
9. No saber dónde están almacenados los datos de tarjetas de crédito u otros datos críticos de los clientes
La mayoría de las compañías piensan que saben dónde están almacenados datos críticos como información de tarjetas de crédito, números del Seguro Social u otra información de identificación de las personas, y ellos fortifican estos servidores con los niveles más altos de seguridad. Pero generalmente estos datos son almacenados también en algún otro lugar de la red, como un sitio de respaldo o en el departamento de desarrollo de software.
Son estos servidores secundarios, no críticos, los que generalmente son atacados y llevan a la mayoría de brechas de datos. Una forma fácil de averiguar dónde están almacenados los datos críticos es conduciendo un descubrimiento de red. Nosotros típicamente metemos un sniffer en la red y vemos dónde se supone que deben estar los datos críticos, y luego vemos adónde más van, señala Tippett.
10.   No seguir los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago
Denominado PCI DSS, este conjunto de 12 controles para proteger la información de los tarjeta-habientes funciona, señala Tippett. La mayoría de la gente ni siquiera trata de cumplir los estándares PCI, indica. A veces una compañía sigue estos controles para los servidores donde sabe que se almacenan los datos de las tarjetas de crédito, pero no en los otros servidores desconocidos que hospedan estos datos críticos.
A pesar de que 98% de todos los archivos comprometidos involucran datos de tarjetas de pago, solo 19% de las organizaciones con brechas de seguridad siguieron los estándares PCI, de acuerdo con el reporte de Verizon Business. Es obvio. Siga las reglas PCI. Básicamente funcionan, finaliza Tippett.
Carolyn Duffy Marsan, Network World (US)