07 febrero 2012

¿Por qué falla la seguridad?


Cada día, cuando abrimos Twitter, las RSS, o nuestras fuentes de información de seguridad favoritas, nos echamos las manos a la cabeza por diversos motivos.

Cuando no es por las cifras del paro, es por el aumento de la prima de riesgo, o las leyes censuradoras de los gobiernos a favor de los "autores".

Al llegar a la sección "Seguridad", siempre hay algo que nos sorprende. Lo normal es encontrar entradas relacionadas con vulnerabilidades parcheadas de diverso software, aunque de vez en cuando leamos que es noticia la publicación de datos personales de miles de clientes, defacements y robos a compañías enormes como Sony, Nintendo, Google,… hechos más graves como el compromiso de bancos o datos internos del gobierno de un país, y ya lo que es el colmo, los hackeos memorables de compañías que se supone, están dedicadas a seguridad como pilar central de negocio: RSA, diversas entidades de certificación como Diginotar o Comodo,  Symantec, HBGary o el último de los escándalos: Verisign!!

La seguridad en una empresa pequeña

Me puedo creer que la empresa de tipo "Maderas Pepe" no disponga, para proteger su día a día, de mecanismos de seguridad que blinden la información importante de su contabilidad y clientes en su único servidor.

Lo habitual, en este tipo de empresas, es que ni haya servidor. Todo lo relacionado con contabilidad suele estar en el portátil de la administrativa, compartiendo sitio con el emule, los juegos online, y la edición online de la revista Hola! abierta. Los "secretos industriales" del cómo cortar la madera, en la cabeza del dueño y de los operarios.



 Este escenario, llevado a empresas un pelín mayores, se cuenta con un sencillo firewall, los PCs de los usuarios tienen el antivirus crackeado que instaló el vecino (con suerte no está bajado de Taringa), y con muy mala suerte, a lo mejor incluso se aprovecha la infraestructura del PC que compraron de oferta en el Mediamarkt que hace las funciones de servidor web, para almacenar ficheros importantes, contratos, información de clientes, datos de negocio, que si los coge la Agencia de Protección de Datos, les "cruje" una multa que provocaría el fin de la empresa, etc,…


La seguridad en empresas medianas

Si seguimos creciendo, observamos compañías de mayor envergadura, que no desean preocuparse ellos de la seguridad, por lo que contratan a una empresa externa, en el que un señor con corbata y maletín, que antes vendía lavadoras, y anteriormente enciclopedias puerta a puerta (no os lo toméis a risa, que me he conocido estos casos), les explica que su empresa tiene el "know-how" de seguridad desde muchos años atrás, porque tienen una experiencia que ni te imaginas, y un montón más de humo, con el objetivo de vender.



La realidad, en muchos de estos casos, es que los técnicos que la empresa con "know-how" lleva como responsables de proteger y securizar los problemas del cliente, han entrado en la compañía hace una semana, gracias a que el comercial vendió este proyecto, y hubo que contratar a la carrera al primero que pasó por la puerta para cubrir la necesidad. El cliente, que lo que quiere es lavarse las manos en el tema de la seguridad, si realmente no tiene ni idea, ni sentido común, deja hacer al chaval que viene con una camiseta que dice "No, no voy a arreglar tu ordenador", y vive feliz confiando en que el contrato que ha firmado, si hay algún incidente de seguridad, la empresa responderá. La conclusión a este escenario es que efectivamente, la empresa pagará por lo que dice su contrato, pero el daño ya estará hecho, la base de datos de la empresa en Pastebin (o aún peor, en manos de la competencia).



La seguridad en grandes empresas

En empresas de tamaño XXL, desde el punto de vista de infraestructura, disponen de servidores dedicados para cada cosa, una correcta segmentación de redes, dispositivos de seguridad que monitorizan eventos, detección de ataques, políticas de seguridad de red definidas de forma correcta, aplicaciones configuradas con permisos mínimos para acceder con lectura (y/o escritura) de lo estrictamente necesario, etc,…

Aquí ya la cosa cambia…. ¿o no? Veamos.

Efectivamente, la seguridad se aplica, en una mayor medida. Sin embargo, no se considera nunca la securización de la mayor de las amenazas: las personas. No estoy descubriendo la pólvora al decir esto, pero cierto es que una de los mayores peligros en las empresas, es el desconocimiento o la inconsciencia a la hora de trabajar de la gente, y sobre todo: las excepciones. En todas las empresas que he estado, con mayor o menor conciencia de seguridad, las necesidades puntuales que tiene un empleado ante un caso determinado, es la ventana de entrada a que todo el blindaje previo se vaya abajo.

¿Queréis ejemplos? el empleado Paquito, que tiene que ser el único que necesita tener habilitado el USB del PC porque hace una tarea todas las semanas que así lo requiere; la existencia de otro gateway que nos lleva a Internet, con una política de seguridad más ligera que el cortafuegos corporativo; que el CEO de la compañía pueda tener una contraseña sencilla tipo "1234" o que esta sea el nombre de la empresa para el acceso remoto. 

En todos estos casos, las excepciones son las que nos tiran por tierra el resto del trabajo: Todo aquel que quiera copiar las fotos del fin de semana, o ese powerpoint tan chulo de colores que trae en un USB, irá donde Paquito que tiene el USB accesible y le pedirá por favor que lo copie por red a su PC…. ¿Total, que puede pasar? Si esto de no poder usar los USB, lo hacen los empresarios por fastidiarnos y que no podamos traer MP3 a la oficina; ¿que el gateway normal no me deja ir a buscar el crack ese que me pidió un amigo que le buscara? Menos mal que está el otro aceso a Internet, para "emergencias como esta" y, como una vez ví al de sistemas meter la clave de administrador (o me la dio directamente por no bajar desde su planta a la mía), pues me cambio el gateway un momento y salgo por el otro cortafuegos; ¿que todos los empleados tienen una política de complejidad en las contraseñas y el CEO no? pues ¿es lo lógico no?, que la persona que mayor visibilidad tiene sobre la empresa, y que maneja información más sensible, tenga una contraseña fácilmente adivinable porque se niega a cumplir con la política de complejidad o a acceder con algún mecanismo de autenticación fuerte por ser más "coñazo".

Conclusiones

Evidentemente, en algunos de los casos que he expuesto, he exagerado para denotar el por qué de la falta de seguridad. Generalizar es siempre un error, y por eso digo abiertamente que, afortunadamente, en el mercado, hay muchas empresas de seguridad que disponen de personal muy bien cualificado y, por supuesto que son capaces de ofrecer al cliente un servicio profesional y con buenas prácticas de seguridad. Sin embargo, estoy completamente convencido que nuestros lectores conocerán casos en los que incluso, me he quedado corto.

No me quiero extender más con las reflexiones. Simplemente he querido expresar que la seguridad falla por múltiples factores, pero que, partiendo de algo bien configurado y optimizado, todas las causas tienen como denominador común, o el desconocimiento, o la inconsciencia, irresponsabilidad o negligencia.

14 comments :

PIU dijo...

Como diria en mi curro "esto es el nuevo testamento", mas razon no se puede tener, sobre todo el el "coñazo" de las contraseñas, usuario remoto = remoto, contraseña= remoto, nunca lo hubiese sospechado.....

Invitado dijo...

para mi el problema  es la falta de "cultura" en seguridad, donde a todo el mundo le importa que entren por la puerta  pero no por el cable.....

Rafael Montero dijo...

Totalmente de acuerdo...

Esto hace que el responsable de seguridad tenga un cargo adjunto al C.E.O porque si no se hace lo que él establece o los usuarios se "niegan" se tienen que asumir unas consecuencias.

Un papel que es similar al que comentas es el de "Controller" de un ERP. Su figura es imprescindible y debe de ser adjunto a la dirección general. Básicamente porque si el Director Financiero decide hacer lo que le salga de las pelotas y luego la facturación sale mal, el responsable es el controller.

En el mundo de la seguridad es lo mismo, nunca pasa nada y por eso nunca le dan la importancia necesaria, y por supuesto ir al despacho del C.E.O y decirle  disculpe no puede hacer esto ni lo otro, y más cuando tienen prisas y estreses y puede llegar a cabrearse por cualquier cosa.

Creo que el próximo curso debería de ser Concienciación de la seguridad informática, orientada a la directivos, mejor escribir#rWl0ck@#2~4 como password que no poner 1234 y estar vendidos. xD

Un saludo :)

Borja Ferrer dijo...

Jejejejeje cuan cierto... Yo no soy un experto en seguridad, pero a diario veo este tipo de casos... Empresas con "varias" salidas a internet, por las que cualquier usuario cambiando el gateway puede salir, politicas "relajadas" de red, antivirus "creakeados"... el caso mas flagrante, entrar "desplazado" en una empresa, pedirme que analizara el estado de la red y encontrarme:
Un router de telefonica, con pass por defecto, que daba salida DIRECTA y publica por el puerto por defecto a un servicio SQL, con la pass: expert (by default) que contenía TODOS los datos de los clientes que pedían un crédito o Hipoteca sobre un conocido Banco de la ciudad... ALA, ahi es ná!
Además para más inri, el antiguo "juanker" al que substituí, habia creado un pipe directo, con acceso publico para que su portatil pudiera conectarse desde su ksa o donde el estubiera por si tenia k "arreglar algo"...
Además de no poseer antivirus corporativo, ahi cada uno se instalaba (y como tu dices crackeaba) el que mejor le gustara... Se pueden cometer MAS errores? Es posible que alguien que se llama "informatico" pueda trabajar en estas condiciones?
En ese momento me di cuenta, de que quizá el sentido común es lo primero que deberían mejorar muchas empresas... 

Pepejons dijo...

Trabajo en una empresa cervezera, en la zona de envasado hay un pequeño laboratorio donde existen 3 ordenadores con acceso a internet y con sus correspondientes usb a la vista y con pleno acceso, funcionan con windows XP sin actualizar y con acceso pleno a internet.... todo el proceso de gestión del producto, bodegas.... filtración... sala de máquinas ..... y algún sistema operativo windows 2000 que controla todo el proceso de envasado que genera millones de euros al día...

Por cierto el informático de turno.... sin comentarios....

No se tiene constancia del daño que puede ocasionar una gestión similar, pero tranquilos que los empleados somos analfabetos jeje.....

Panagon dijo...

Yo estoy harto de vivir que los responsables vean "normal" y "comprensible" que al usuario CEO o al VIP, no se le puede exigir que asuma la complejidad en su contraseña, o que en su acceso vía VPN no se le puedan meter muchos controles, porque va a llamar echo un energúmeno y toca cuadrarse.....

Geminis aka Igor dijo...

Patch today - Get hacked tomorrow ... esa es la realidad.

Saludos
iGOR

f4ust0 dijo...

Jaja..excelente la foto del consultor externo, hace mucho no leía un post tan ameno..tal como lo mencionás, evidentemente en gestión de la seguridad, el eslabón más debil es el homo sapiens..Slds!

Lorenzo_Martinez dijo...

Absolutamente de acuerdo... Algunos sitios tienen hasta Ninjas para vigilancia física, y manga ancha en seguridad de red 

Lorenzo_Martinez dijo...

 Tú y yo sabemos que aunque Seguridad sea adjunto a Dirección General, muchas veces los usuarios son los que tienen el poder en la operativa diaria. Los altos mandos prefieren tener a la gente "contenta" (al menos con lo que pueden hacer en el trabajo, lo de las condiciones laborales ya lo dejamos para otro día) y sacrificar seguridad en sus operaciones, que pueden derivar en incidentes con alto impacto para las organizaciones.

Lorenzo_Martinez dijo...

Se deja por escrito, con protocolo espartano y militar. "Lo que la compañía debe exigir a TODOS los usuarios, para garantizar la seguridad de la entidad"... Luego que ya el CEO haga lo que le de la gana, pero el responsable de seguridad lo deja por escrito. Cuando haya un incidente, que le pregunten al CEO... o al presidente de Siria ayer mismo: http://mashable.com/2012/02/07/anonymous-assad-email-password/

Waldemar Pera dijo...

Simplemente brillante.
Y lamentablemente cierto. :-(

Darthyara dijo...

casos que me han tocado en al vida laboral:

- el CEO manda a bloquear el messenger, el icq, el skype y toda forma de mensajeria instantanea para que las secretarias no chateen con el novio. Lo hago y al dia siguiente llama la de ventas a decir que necesita chatear con un cliente por msn y el CEO lo autoriza. horas mas tarde pesca un virus chateando con el novio...

- como el servidor X tenia poca carga y habia escaces de presupuesto, el CEO me manda a que le conecte una pantalla al servidor X y ponga a la nueva secretaria a trabajar ahi mientras le compran un PC (WTF!)  lo mas que pude hacer fue instalarle una maquina virtual y encomendarme a san iGNUcio!

Xto Expherz dijo...

Brillante !