04 junio 2009

Cuando el problema está dentro de tu organización

No es nuevo, se ha dicho infinidad de ocasiones 'la mayoría de ataques mas severos contra una organización se producen desde dentro', lo que los americanos llaman 'the insiders'.

Valgan los siguientes y recientes ejemplos de ello:

  • Abdirahman Ismail Abdi que se ganaba la vida como auditor en la compañía 'California Water Services' tuvo la brillante idea de auto transferirse 9 millones de dolares a cuentas de las que era titular en Qatar. Después de eso, embarcó a su familia destino Frankfurt e intentó marcharse destino Londres, finalmente y después de tener a la policía tras sus pies, huyo a Canadá (que típico)
  • Wilbur Fondren que ejercía labores de dirección de la organización militar PACOM fue acusado de conspiración por vender datos clasificados a un agente Chino
  • Terry Childs, sysadmin de la ciudad de San Francisco, tuvo la ingeniosa ocurrencia de resetear la contraseña de los switches y routers que administraba y se negó a decir cual era la nueva contraseña sin una contraprestación económica.
Es una constante, la historia de la informática esta plagada de casos similares a estos, alguien en quien se deposita una confianza y se le otorgan privilegios especiales dándole acceso a aspectos críticos, decide que puede sacar partido de ello.

¿Soluciones? Descartando el polígrafo y el pentotal, solo nos queda la auditoría, un buen sistema de alarmas asociado a determinados eventos, usar inteligentemente la criptografía, desterrar las contraseñas y cambiarlas por smartcards, controlar los mecanismos de acceso usando roles, otorgar accesos de la forma mas granular posible y cubrirse muy muy bien las espaldas legalmente.

La noticia original, aquí

7 comments :

Zatxio dijo...

Lo mejor del post es la foto del Dioni :D

Daniel M. dijo...

Eso mismo he pensado yo nada más cargarse la página, y mira que después de leerlo, es una entrada de manual para auditores y personas que deben encargarse de la seguridad de la información.

Yago Jesus dijo...

La verdad es que es un ejemplo muy gráfico de 'Insider'

tayoken dijo...

Este tema siempre me ha parecido un callejón sin salida, me explico.

Si en nuestra empresa de no-informática, trabaja un administrador de sistemas, que tiene acceso a todos los ordenadores y únicamente él tiene acceso a sus contraseñas de admin, pueden haber dos peligros (tirando bajo). Que se le "suba a la cabeza" y la lie al estilo sysadmin de San Francisco, o que, dado que no puede estar siempre físicamente allí (las fábricas suelen trabajar 24/7 y el horario de un administrador es como el de oficina) acabe teniendo que dar su contraseña a alguien que la necesite con "urgencia", de modo que al final la sabe todo el mundo y cualquiera la puede liar al estilo Dioni.

Otra situación es la de que varios comparten privilegios de administración, cubriendo la mayor parte de las horas, para evitar lo anterior, aún así, hay tareas de las que no quieren ni oir hablar (ninguno) como por ejepmlo, cambiar las cintas de seguridad de los discos, tarea tediosa y aburrida, de manera que... hay que contratar a un becario, y claro, un día, te puede pedir que le pongas la contraseña, otro también, pero al tercero... se la das.

Así que yo creo que con esto siempre estás en un callejón sin salida de donde sólo puedes salir confiando en la gente que trabaja contigo, como bien dices, la cosa está en gestionar al máximo el riesgo, porque está claro que, dependiendo de humanos es imposible eliminarlo.

eduardo dijo...

Al hilo de lo que comentáis, es interesante leer esto: h**p://www.sahw.com/wp/archivos/2008/07/04/incidentes-de-seguridad-factor-interno-vs-factor-externo/

De este mismo artículo:

Otros datos significativos

* 3 de cada 4 incidentes no fueron descubiertos por las víctimas
* La mayoría de los ataques no eran sofisticados
* El 85% de los objetivos son oportunísticos, y no dirigidos
* El 87% de los incidentes podría haber sido prevenido mediante aplicación de medidas de seguridad

Vamos, que más claro agua. ¿Cómo entraría uno en un banco a robar visas? ¿con un 0-day? ¿con una vulnerabilidad en el servidor de correo? Así, ¿cómo conseguimos transferirnos dinero? No parece fácil ...

Todo esto supone demasiada complicación: ataque interno al canto y asunto arreglado.

Saludos,
Eduardo.

Yago Jesus dijo...

Al final la dimensión real de las cosas la adquieres cuando 'ves' en primera persona entornos: CPDs militares, Policiales, Banca ... Y hasta aquí podemos leer ;)

tayoken dijo...

Este tema siempre me ha parecido un callejón sin salida, me explico.

Si en nuestra empresa de no-informática, trabaja un administrador de sistemas, que tiene acceso a todos los ordenadores y únicamente él tiene acceso a sus contraseñas de admin, pueden haber dos peligros (tirando bajo). Que se le "suba a la cabeza" y la lie al estilo sysadmin de San Francisco, o que, dado que no puede estar siempre físicamente allí (las fábricas suelen trabajar 24/7 y el horario de un administrador es como el de oficina) acabe teniendo que dar su contraseña a alguien que la necesite con "urgencia", de modo que al final la sabe todo el mundo y cualquiera la puede liar al estilo Dioni.

Otra situación es la de que varios comparten privilegios de administración, cubriendo la mayor parte de las horas, para evitar lo anterior, aún así, hay tareas de las que no quieren ni oir hablar (ninguno) como por ejepmlo, cambiar las cintas de seguridad de los discos, tarea tediosa y aburrida, de manera que... hay que contratar a un becario, y claro, un día, te puede pedir que le pongas la contraseña, otro también, pero al tercero... se la das.

Así que yo creo que con esto siempre estás en un callejón sin salida de donde sólo puedes salir confiando en la gente que trabaja contigo, como bien dices, la cosa está en gestionar al máximo el riesgo, porque está claro que, dependiendo de humanos es imposible eliminarlo.