jueves, 17 de julio de 2008

Teléfonos inteligentes: ¿productivos pero riesgosos?

En este informe de Ezequiel Sallis, uno de los disertantes de la próxima conferencia de delitos informáticos de infobaeprofesional.com, y Claudio Caracciolo, describen los ataques que realizan sobre equipos como el BlackBerry, el iPhone y los PDA, y cómo se debe proteger a estos dispositivos.

El acceso a la información en cualquier momento y lugar se ha vuelto hoy en día parte de nuestras acciones cotidianas. Forma parte de una arista más que el negocio necesita para mantenerse competitivo en el mundo actual. Los dispositivos móviles, como los teléfonos inteligentes (smartphones), facilitan esta tarea en combinación con las tecnologías de conectividad emergentes y tradicionales (GPRS, EDGE, 3G, 802.11, Bluetooth y otras).A partir de estas tecnologías, algunas de las funcionalidades corporativas se extienden fuera de los límites de la organización, permitiendo a los usuarios interactuar en donde quiera que se encuentren, como por ejemplo:
  • Acceso al correo corporativo.
  • Acceso a los aplicativos corporativos.
  • Sincronización de calendarios.
  • Sincronización de contactos.
  • Almacenamiento y edición de documentos de ofimática.

Los "smartphones" y las "Pocket PC" (computadoras de bolsillo) ampliaron las funciones de los asistentes personales digitales (PDA, sigla en inglés) permitiendo utilizar dichos dispositivos tanto para fines personales como corporativos. A partir de ello surgen entonces dos frentes con diferentes tipos de problemas:
- En implementaciones corporativas de soluciones móviles, la aplicación de políticas de seguridad apropiadas, al igual que en una estación de trabajo, plantea la misma pregunta: ¿Cómo evito que el usuario use el dispositivo con fines no relacionados con el negocio?
- Por lo general, usuarios finales, casi siempre de alta jerarquía, deciden, sin el más mínimo análisis, incorporar estos dispositivos a las redes de la organización o bien incluir información sensible en las memorias de almacenamiento de estos dispositivos.Si bien no es novedad que los dispositivos móviles ya están ocupando un espacio en los entornos corporativos, preguntas como las siguientes rondan de vez en cuando en nuestras cabezas:

  • ¿Se han evaluado los riesgos que estas tecnologías pueden introducir en los modelos de seguridad de mi organización?
  • ¿Cuáles son los riesgos más representativos en el uso de estas tecnologías?
  • ¿Cómo puedo aplicar políticas de seguridad corporativas a dispositivos de uso personal y con información privada dentro?
  • Si monitoreo el uso de estas tecnologías, ¿estoy invadiendo la privacidad de los usuarios?
  • ¿Conozco todas las tecnologías de conectividad y sistemas operativos que usan los dispositivos móviles?

Si bien los ataques a estos dispositivos parecen tener muchos orígenes y causantes, creemos que para un mejor entendimiento deberíamos centrarnos en tres perspectivas principales:

  • Debilidades inherentes a la tecnología.
  • Debilidades inherentes a las aplicaciones.
  • Debilidades inherentes al factor humano.


Debilidades tecnológicas
Cada uno de los diferentes tipos de smartphone’s - Pocket PC vienen con su propio sistema operativo dedicado, similares en algunos aspectos a los habitualmente utilizados en las estaciones de trabajo, pero muy diferentes en otros de ellos. Cada uno de estos sistemas operativos pueden introducir, además de nuevas funcionalidades, nuevos agujeros de seguridad que permitan la ejecución de código arbitrario o la denegación de servicio, tanto sea de manera remota como local.Por otro lado, e independientemente del sistema operativo, muchos de estos sistemas introducen bugs (errores) a nivel de diseño en sus sistemas de control de acceso, permitiendo el ingreso no autorizado mediante técnicas de evasión o bien, el ataque directo a pobres implementaciones criptográficas.
Desde el punto de vista de capacidad de almacenamiento de datos, cada fabricante ha decidido implementar diferentes medios y tamaños, como SD, MiniSD, MicroSD, Memory Stick, y otros.
Independientemente de su tipo y forma, todos estos medios son vulnerables a la ya remanencia de datos, lo que da lugar a la recuperación con cierta facilidad de archivos que el usuario creía eliminados.
Con respecto a la remanencia de datos pueden darse varias situaciones a tener en cuenta donde suelen centrarse los ataques:

  • Reutilización de los equipos dentro de la organización.
  • Venta del equipo por parte del usuario.
  • Donación de los equipos por política corporativa.

Como recomendación general, todos los equipos móviles (al igual que las estaciones de trabajo) deben someterse a procesos de borrado seguro de los datos de la organización.

Debilidades en las aplicaciones
Uno de los puntos más interesantes es el gran crecimiento que ha tenido la navegación web desde estos dispositivos. Hoy la experiencia es muy parecida a la navegación desde una PC, tan similar que casi se sufren los mismos problemas, y es aquí en donde entra la seguridad de los navegadores móviles.

Debilidades humanas
El factor humano es el eslabón más débil en la cadena de seguridad de la información. Y en el caso de la utilización de las tecnologías móviles, tampoco es la excepción, lo realmente curioso es que si bien todos estamos de acuerdo con lo arriba expuesto, son muy pocas las organizaciones que realmente realizan acciones formales y efectivas al respecto.
Los usuarios de estas tecnologías corren riesgos de robo o pérdida de los equipos más de lo que habitualmente sucede con otras tecnologías. Por ejemplo, sólo en Chicago se dejan olvidados 160.000 dispositivos en taxis por año. La pérdida física de éstos implica un potencial compromiso contra la confidencialidad, la integridad y la disponibilidad de la información de los usuarios y de la organización si no se toman las medidas adecuadas a tiempo y si no se tienen procedimientos de respuesta que contemplen a estos tipos de incidentes también.

Vulnerabilidades
Si bien todos tienen diferentes características, prestaciones y niveles de integración con las redes corporativas, hay algo que tienen en común: vulnerabilidades. En mayor o menor medida el uso de estos dispositivos, sin la implementación de adecuados controles y conciencia por parte de los usuarios finales, introduce riesgos en la organización que no pueden dejar de ser analizados. Algunos ataques a dispositivos móviles son los siguientes:

Blackjaking (sistema operativo RIM/Blackberry)
Esta técnica está relacionada con la implementación de las infraestructuras de Blackberry típicamente en las empresas. Si quisiéramos tener el servicio directamente en nuestra empresa, básicamente conectaríamos el BES (Blackberry Enterprise Server) en nuestras oficinas. El tema está en que la mayoría de los proveedores no analizan la situación desde el punto de vista de la seguridad de la compañía y terminan colocando estos dispositivos en la red LAN de la empresa con conectividad hacia el exterior para que pueda comunicarse el BES con los celulares. ¿Por qué en la LAN? Porque el BES necesita acceder al servidor de correo electrónico corporativo para poder redireccionar los correos. Pero el problema es obvio, tenemos un equipo público conectado directamente al exterior.

Blueline (Motorola PEBL U6/Motorola V3)
Motorola sufrió mucho los duros golpes por las implementaciones de Bluetooth en sus primeros pasos, por lo cual ha desarrollado muchas mejoras a dicha implementación. Es un excelente ataque que combina técnicas de ingeniería social con bugs de la implementación, ya que básicamente se basa en la falsificación de la interfase del celular camuflando un pedido de autorización de conexión entrante real con un mensaje que fácilmente haga que el usuario presione "OK". A partir de dicho momento, cuando el usuario acepta un mensaje engañoso enviado por nosotros, estaremos en condiciones de realizar un ataque a partir de la ejecución de comandos AT sobre el teléfono.

Bluespam (sistema operativo Palm)
No es una técnica nueva pero sí molesta quizás. Es un ataque que nos ha fastidiado y nos sigue complicando si es que nuestro equipo tiene Bluetooth encendido en modo descubrimiento. BlueSpam es un ataque basado en la búsqueda de dispositivos en Modo Descubrimiento, a los cuales luego les enviará mensajes arbitrarios creados por el atacante. Por lo general, este ataque es utilizado en lugares donde existe un gran volumen de gente como técnicas de marketing directo, sin costos asociados fuera de la adquisición de una Palm. Es decir, que básicamente consiste en enviar spam sobre Bluetooth… No es un problema de seguridad, el problema estaría del lado del usuario si acepta la recepción de archivos sin haberlos solicitado, por lo cual podemos decir: "estamos en problemas si dependemos de ellos".

Iphone Exploit Code (Iphone)
El foco de este tipo de dispositivos no es el mercado corporativo. Sin embargo, al ser un dispositivo tan elegante e innovador y que además trae funcionalidades poco comunes de interoperabilidad, como por ejemplo, la posibilidad de conectarse a cuentas de MS-Exchange, no es poco común verlo dentro de las empresas… El Iphone ha traído consigo muchas fallas de seguridad que principalmente eran utilizadas para desbloquear el teléfono o para ampliar su funcionalidad, no obstante, dos vulnerabilidades referentes a Safari han llamado la atención y han sido implementadas en el Framework de Explotación más famoso (metasploit).
Básicamente el ataque consiste en colocar la PC del atacante a través del metasploit como un webserver a la escucha de solicitudes de conexión provenientes de estos móviles navegando por Internet. Aquí vuelven a entrar en juego las técnicas de ingeniería social para lograr que una víctima llegue inocentemente con, por ejemplo, un mail y un link a nuestro webserver malicioso. Cuando la víctima acceda hasta nuestro webserver, el navegador Safari se cerrará automáticamente, el usuario, podrá levantarlo nuevamente y continuar utilizándolo como así también el resto de las funcionalidades del dispositivo, sin embargo, en nuestro equipo tendremos un Shell remota con permisos privilegiados sobre el sistema, pudiendo acceder a los correos configurados en el equipo, a los contactos, a los archivos de sistemas a fin de modificar los archivos de host o dns de forma de convertirlo en una víctima permanente, etc etc.

Software espía (Symbian, RIM/BlackBerry, Windows Mobile)
Existe una gran variedad de software malicioso y principalmente está dirigido a Symbian OS. Así, hemos tenido la oportunidad de encontrarnos con un software comercial que es capaz de asombrarnos una vez más por la peligrosidad de su implementación… Este software en particular puede ser instalado en Palm, en Windows Mobile, en Blackberry.
Lo que hace esta herramienta es instalar una aplicación que se encargará de monitorear nuestros dispositivos y enviará toda la información que necesitemos a un sitio Web para que podamos accederla directamente.

Recomendaciones de seguridad
Si bien hoy la mayoría entiende la necesidad de implementar y mantener políticas de seguridad acordes a las buenas prácticas, muchas veces éstas dejan fuera a las nuevas tecnologías y sus diferentes aplicaciones en el negocio. Es por ésto que debe existir una norma de seguridad que haga referencia exclusivamente a la utilización de dispositivos móviles, que cuente con el apoyo de la alta dirección y contenga entre sus objetivos:

  • Proteger los datos sensibles de la organización almacenados en ellos.
  • Evitar que sean causa de la infección y distribución de código malicioso dentro de la organización.
  • Prevenir que sean estos dispositivos el origen de accesos no autorizados a las redes de la organización.

No solo smartphones y Pocket PC deberían incluirse dentro de lo que se conoce como dispositivos móviles, sino que también se deberían abarcar por lo menos los siguientes:

  • Notebooks
  • Dispositivos de almacenamiento USB
  • Cámaras digitales
  • Reproductores de audio
  • PDA
  • Pocket PC
  • Smartphones
  • Teléfonos celulares tradicionales

¿Si o no a los smartphones y Pocket PC?
Quizás ésta sea una de las preguntas que se plantean con mayor frecuencia en relación con este tema, el cómo tratar la autorización o la prohibición de estos dispositivos con fines personales o del negocio y, si lo autorizo, cómo lo controlo.
Una de las primeras recomendaciones que podemos dar es la importancia de dejar en claro por parte de la compañía de cuál será la expectativa de privacidad de los usuarios respecto de la utilización de las distintas tecnologías cuando sean provistas por la organización, o bien, cuando ésta sea personal pero se encuentre conectada a las redes corporativas.
Por otro lado, recomendar la utilización de estos dispositivos únicamente con fines que sirvan al negocio, debido a que los mismos serán monitoreados a través de los controles implementados con estos fines, puede ayudarnos a evitar unos cuantos dolores de cabeza.
Algunos de los aspectos no deseables por la organización sobre el uso de estas tecnologías y sobre los cuales deberían aplicarse controles son:

  • Instalación no autorizada de software.
  • Navegación irrestricta por Internet.
  • Descarga y uso del correo electrónico personal.
  • Conexión a redes inalámbricas inseguras (WI-FI 802.11).
  • Establecimiento de relaciones de confianza con equipos no autorizados (Bluetooth).
  • Abuso de la red de voz.
  • Abuso de la red de datos.
  • Almacenamiento de información no autorizada (Mp3, archivos personales y otros).
Como existe hoy una gran variedad de controles de seguridad, creados exclusivamente para estos dispositivos, independientemente de la particularidad de cada uno, se deberían tener en consideración los siguientes factores:
  • Identificación y autenticación.
  • Cifrado de información sensible.
  • Software para la prevención de código malicioso.
  • Filtrado de tráfico.
  • Conexiones seguras.
  • Borrado seguro.

Conclusiones
La utilización de dispositivos móviles con fines de negocio incrementa de manera muy favorable la productividad, pero puede transformarse en una nueva vía de ataque si no se implementan los controles adecuados. Lo mismo que sucede con toda nueva tecnología.
Antes de decidir incorporar o no estas tecnologías, se debe analizar los riesgos que pueden introducir en nuestra organización de manera directa e incluso de manera indirecta. Se debe analizar cómo pueden impactar en el modelo actual de seguridad de la organización.
Está claro que no podemos frenar el crecimiento tecnológico de nuestras empresas, tampoco es el objetivo hacerlo, solo debemos asegurar que el crecimiento sea dentro de un marco de riesgos acotados y aceptados por la empresa.
Si bien las Blackberry, las PDA, los celulares y los "smartphone" no son los dispositivos de red móviles a los que estábamos acostumbrados a proteger dentro de nuestro espectro de trabajo, hoy no podemos ignorarlos si conocemos la potencialidad de sus ataques.
No hay peor incidente de seguridad que aquel que ocurre y no nos enteramos, pero más frustrante es aquél que ocurre, nos enteramos, pero no podemos determinar por dónde vino. Desarrollar metodologías de defensa es la única forma de acortar las distancias entre los atacantes y nosotros.
Claudio Caracciolo y Ezequiel Sallis son especialistas en seguridad informática de la empresa Root Secure.

Visto en Infobaeprofesional.com

No hay comentarios: