Llegamos a ustedes gracias a:



Reportajes y análisis

Diez vulnerabilidades dentro de la red

[22/11/2010] Hoy en día los instrumentos de seguridad de la red hacen un gran trabajo evitando que los monstruos cibernéticos invadan su negocio. Pero ¿qué hacer cuando el monstruo en realidad está dentro del perímetro de seguridad?

Por desgracia, todas las cruces, ajos, estacas de madera y balas de plata del mundo tienen poco efecto sobre las más nefastas criaturas cibernéticas de hoy. Aquí están las 10 maneras más usuales en que su red puede ser atacada desde dentro, y lo que puede hacer para asegurar que su negocio no tenga que realizar un exorcismo en sus servidores.
1. Las memorias USB: Créalo o no, las unidades USB son en realidad uno de las formas -si no la más- más común en que se puede infectar una red al interior del firewall. Hay varias razones para ello: son baratas, pequeñas, tienen una gran cantidad de datos y se puede utilizar entre múltiples tipos de computadoras. La ubicuidad de las unidades flash ha llevado a que los hackers desarrollen malware dirigido, como el famoso gusano Conficker, que se puede ejecutar automáticamente al conectarse con un puerto USB directo. Lo que es peor, las configuraciones del sistema operativo por defecto suelen permitir que la mayoría de los programas (incluyendo los 'malos') se ejecuten automáticamente. Eso es el equivalente a que cada integrante de su vecindario tenga un control para abrir una puerta eléctrica de garaje y sea capaz de utilizarlo para abrir todos los garajes.
¿Qué hacer?: Cambiar las políticas de autorun en la computadora. Puede encontrar información sobre cómo hacerlo dentro de los entornos Windows aquí http://support.microsoft.com/kb/967715.
2. Laptops y Netbooks: Las laptops son discretas, portátiles, incluyen sistemas completos de funcionamiento, pueden funcionar con una batería interna y vienen con un puerto Ethernet para conectarse directamente a una red. Es más, una notebook ya puede tener código malicioso corriendo en el fondo con la misión de buscar en la red y encontrar sistemas adicionales para infectarlos. Ésta portátil le puede pertenecer a un empleado interno o un visitante que esté de paso o trabajando en un cubo abierto o en la oficina.
Más allá de las computadoras portátiles infectadas comprometiendo una red interna, es importante pensar en las laptops en sí. Todas las empresas tienen algún tipo de información sensible que no puede salir de las paredes del edificio (la información de los sueldos, registros médicos, domicilios, números de teléfono y números de seguro social por ejemplo). Es muy peligroso cuando esta información se almacena en una computadora portátil sin garantía, ya que son fáciles sacar. Hemos visto numerosos casos de público conocimiento en que computadoras portátiles con datos sensibles han "desaparecido". A menos que la laptop utilice un fuerte algoritmo de encriptación, los datos suelen ser fáciles de recuperar en cualquier sistema de archivos.
¿Qué hacer?: implementar un sistema de archivos cifrados para la data sensible. Hay un número de soluciones disponibles en el mercado para elegir, junto con las de código abierto, como TrueCrypt. Controlar a los que ingresan y salen del sistema interno también es importante. La información sensible, como VPN, DV y acceso Wi-Fi no se debe almacenar persistentemente en dispositivos tales como computadoras portátiles o netbooks.
3. Puntos de acceso inalámbrico: Los puntos de acceso inalámbrico proporcionan conectividad inmediata a cualquier usuario dentro de la proximidad de la red. Los ataques inalámbricos por wardrivers (personas en vehículos buscando redes WiFi inseguras) son comunes y han causado daños importantes en el pasado. Las tiendas TJ, propietarias de Marshalls y TJMaxx, fueron atacadas con este método, y los intrusos penetraron en los sistemas de las computadoras de la empresa que procesan y almacenan transacciones de sus clientes, incluyendo tarjetas de crédito, tarjetas de débito, cheques y transacciones de mercancía de retorno. Se nos ha informado que esta intrusión le ha costado a las tiendas TJ más de 500 millones de dólares hasta la fecha.
Los puntos de acceso inalámbricos son inseguros por su naturaleza, sin tener en cuenta si el cifrado se utiliza o no. Los protocolos como el protocolo de cifrado inalámbrico contiene vulnerabilidades conocidas que son fácilmente comprometidas con los frameworks de ataque, como Aircrack. Protocolos más sólidos, tales como el acceso inalámbrico protegido (WPA) y WPA2 siguen siendo propensos a ataques si no se utilizan claves fuertes.
¿Qué hacer?: Se recomienda WPA2 Enterprise con RADIUS junto con un punto de acceso que sea capaz de realizar la autenticación y la aplicación de medidas de seguridad. Las contraseñas seguras y mezcladas deben ser usadas y modificadas frecuentemente. En general, los puntos de acceso inalámbricos se conectan por conveniencia, por lo que no es necesario tenerlos conectados en un ambiente laboral.
4. Varios dispositivos USB: Las unidades flash no son los únicos dispositivos con conexión USB de TI de los que debe tener cuidado. Muchos dispositivos también son capaces de almacenar datos en sistemas de archivos comunes que se pueden leer y escribir a través de una conexión USB o similar. Dado que no es la función principal de estos dispositivos, a menudo no se toman en cuenta como una amenaza potencial. El hecho es que si un punto final puede leer y ejecutar datos desde el dispositivo, puede representar una amenaza mayor que una unidad flash. Estos dispositivos incluyen cámaras digitales, reproductores MP3, impresoras, escáneres, máquinas de fax e incluso marcos digitales. En el 2008, Best Buy informó que encontró un virus en los marcos Insignia que vendía por navidad y que venía directamente del fabricante.
¿Qué hacer?: Aplicar y hacer cumplir el control de activos y políticas en torno a qué dispositivos pueden entrar al entorno y cuándo. Y luego continúe con la política de recordatorios frecuentes.
5. Conexiones internas: Los empleados internos de la empresa también pueden inadvertida o intencionalmente acceder a las áreas de la red que no querrían o no podrían acceder de otro modo, y comprometer endpoints usando cualquiera de los medios descritos en este artículo. Tal vez el empleado "toma prestada" la computadora de un compañero de trabajo mientras está almorzando. Tal vez el empleado le pide ayuda a un compañero de trabajo para que le haga acceder a un área de la red a la que no tiene acceso.
¿Qué hacer?: Las contraseñas deben cambiarse con regularidad. Los niveles de autenticación de acceso son una necesidad para cualquier empleado -que solo deberían tener acceso a los sistemas, recursos compartidos de archivos, etc. que se necesitan para que cumpla con sus obligaciones. Cualquier solicitud especial siempre debe escalarse a un equipo (no a un único usuario con autoridad) para que pueda autorizar la solicitud.
6. El troyano humano: Al igual que el caballo de Troya, el ser humano troyano entra en un negocio con algún tipo de disfraz. Podría estar en traje de negocios o vestido como un legítimo reparador (de electrodomésticos, telecomunicaciones, climatización).Este tipo de embaucadores son conocidos por penetrar en algunos entornos muy seguros, incluyendo salas de servidores. A través de nuestro propio condicionamiento social, tenemos la tendencia de no detener e interrogar a una persona adecuadamente vestida que no reconocemos en nuestro entorno de oficina. Un empleado no lo piensa dos veces antes de deslizar su tarjeta de acceso para permitir que un trabajador uniformado ingrese a su entorno para repararlo. Puede tomar menos de un minuto para que una persona en una sala de servidores, sin supervisión, infecte la red.
¿Qué hacer?: Los recordatorios acerca de autorizar a terceros deben ser enviados a los empleados. Identificar la fuente haciendo preguntas, no haciendo suposiciones.
7. Los medios ópticos: En junio del 2010, un analista de inteligencia del Ejército fue arrestado tras ser acusado de robar y filtrar datos confidenciales a las redes públicas. Las fuentes sostienen que el analista lo hizo mediante la incorporación de CD de música etiquetados con grabaciones de artistas populares, utilizando este medio solo como un pretexto. Una vez que tuvo acceso a una estación de trabajo en red, habría tenido acceso a la información clasificada a la que podía entrar con credenciales y guardar los datos en los CD de música como archivos encriptados. Para ayudar a cubrir sus huellas, el analista sincronizó sus labios con la música que supuestamente se almacenaba en los CD, mientras estaba en su lugar de trabajo. Los medios de grabación que parecen legítimos se han utilizado para llevar datos a cuestas dentro y fuera de las redes. Y, al igual que las unidades USB mencionadas anteriormente, pueden ser utilizados como fuente de infección de la red.
¿Qué hacer?: Al igual que con los USB, es importante aplicar y hacer cumplir el control de activos y políticas en torno a qué dispositivos pueden entrar al ambiente y cuándo. Y luego siga con la política de recordatorios frecuentes.
8. La retrospectiva es 20/20: Si bien gran parte de esta lista se centra en la mitigación de las amenazas que se aprovechan de la tecnología digital, no debemos olvidar que la mente humana es también muy eficaz en el almacenamiento de información. ¿Quién te está mirando al iniciar sesión en el escritorio? ¿Dónde están almacenadas sus copias en papel? ¿Qué documentos confidenciales está leyendo en su computadora portátil en la cafetería, en el avión, etc.?
¿Qué hacer?: La mejor protección es estar consciente y alerta sobre esta amenaza, cada vez que trabaje con material sensible -incluso si eso significa dejar lo que está haciendo un momento para observar a su alrededor.
9. Smartphones y otros dispositivos digitales: Hoy en día, los teléfonos hacen más que solo llamar a cualquier persona en el mundo desde cualquier lugar, sino que son equipos totalmente funcionales, con conectividad WiFi, sistemas operativos multitarea, alta capacidad de almacenamiento, cámaras de alta resolución y un amplio soporte de aplicaciones. Y, junto con otros dispositivos portátiles como tabletas, están empezando a tener luz verde en los entornos empresariales. Estos nuevos dispositivos tienen el potencial de plantear las mismas amenazas que hemos visto con computadoras portátiles y memorias USB. Es más, estos dispositivos también tienen la posibilidad de eludir las soluciones tradicionales de prevención de fuga de datos. ¿Cómo no dejar que un usuario tome una foto de alta resolución de la pantalla de una computadora, y luego enviarla por correo mediante la red 3G de un teléfono?
¿Qué hacer?: Las mismas normas para los dispositivos USB y discos ópticos se aplican aquí. Aplicar y hacer cumplir el control de activos y políticas en torno a qué dispositivos puede entrar al ambiente y cuándo.
10. E-mail: El e-mail se utiliza con frecuencia en las empresas para enviar y recibir datos, sin embargo, a menudos es mal utilizado. Los mensajes con información confidencial pueden ser fácilmente transmitidos a cualquier destino externo. Además, los e-mails pueden portar virus desagradables. Un correo electrónico dirigido podría hacer phishing para tener acceso a las credenciales de un empleado. Estas credenciales robadas entonces serán utilizadas en una segunda etapa del ataque.
¿Qué hacer?: Con la seguridad del correo electrónico, la identificación de la fuente es clave. Identificar al remitente utilizando la tecnología como PGP, o una serie de preguntas sencillas antes de enviar información confidencial. El control de acceso a una amplia cantidad de direcciones de correo electrónico, basado en alias, debe aplicarse. Y la política y los recordatorios se deben enviar a los empleados.
Network World (US)