Uno de los errores mas comunes en la organización de la seguridad informática, es la de presuponer situaciones y características, con la consiguiente marcha hacia el desastre.
Es curioso, como cuando vas ha realizar una auditoria de seguridad a cualquier empresa de supuesto alto nivel (Mucha Pasting Bank, Ministerio de Desastres Varios, etc), y en el cual se cumplen muchos de los procedimientos de seguridad, encriptación de contraseñas y comunicaciones, control de acceso, gestión y monitorización de las comunicaciones a través de los múltiples firewal, DMZ, etc, nos encontramos de repente con un error básico, que es la confianza ciega en un producto.
Y ese producto, es ni más ni menos, que nuestros flamantes antivirus.
Cuando instalamos un antivirus en nuestra red corporativa, pensamos que con mantenerlo actualizado y monitorizado ya se terminaron nuestros problemas. Pero las ultimas experiencias de la industria y algún que otro susto, provocado por los chicos del Dep. de Desarrollo nos han devuelto a la cruda realidad, y esta no es otra, que si nuestro flamante antivirus mete la pata de manera intencionado o por error , la situación, es que estamos en un buen lió!.
Como es esto posible?
Pues muy sencillo, los antivirus se instalan con permisos de administración local, con lo cual tienen acceso a todos los ficheros del S.O. y pueden hacer con ellos lo que les plazca (como moverlos a cuarentena o borrarlos!) se supone que solo harán estas cosas con ficheros malos (infectados), pero en la realidad la cosa cambia.
Si una empresa de antivirus, en su ultima actualización, , publica por error una firma la cual se corresponda con alguna que otra función del sistema operativo, al actualizar automáticamente los clientes antivirus, esto ejecutaran la cuarentena a los ficheros sospechosos y se llevaran por delante la mayor parte de nuestros queridos clientes, estaciones de trabajo y servidores, tanto los de explotación como los de pruebas, base de datos etc. Así que, en el lapso de varios minutos, nuestra infraestructura quedara completamente liquidada como si hubiese sido atacada por el más eficaz de los virus (y estos errores ya han pasado y volverán a pasar!).
Esta situación es optimista (dentro del desastre, que es, todos los sistemas fritos y bien fritos, y a reinstalar todo) pero, ¿que pasaría si este error fuese planificado y utilizado en un ataque premeditado?.
La forma de actuación podría ser así de sencilla, se desarrolla un virus nuevo y a “medida” para la empresa objetivo, este al no estar catalogado se podría infiltran dentro del sistema sin problemas y reproducirse y asentarse, modificando los ficheros críticos que nos interesasen, claves de registro, etc. y una vez finalizado su “implantación” nuestro amigo se quedaría a la espera, sin hacer nada, ya que su función es no hacer nada.
Luego en el momento elegido se publicaría un virus señuelo para las empresas de antivirus, que contiene las claves o cadenas criticas que ya implanto nuestro anterior amigo. La empresa antivirus publica la nueva firma, la distribuye y los clientes infectados por la modificación, inserción de las anteriores cadenas son identificados automáticamente por el antivirus como peligrosos y son puestos en cuarentena tumbando automáticamente todo la infraestructura de la empresa en cuestión.
La simplicidad de este plan y su elegancia, radica en que dejamos que otros realicen todo el trabajo duro por nosotros. Ya que la mayoría de las grandes empresas no se molestan en tener servidores o entornos de validación y pruebas de actualizaciones y parches.
Así que tras realizar una auditoria y revisar que todo esta correcto y se cumplen las recomendaciones, no encontramos con que depositamos toda nuestra confianza y seguridad en una empresa tercera, en cuyo contrato de licencia nos indica claramente que no se responsabilizan de los daños que su producto pueda causar.
Suscribirse a:
Enviar comentarios (Atom)
Entradas
No hay comentarios:
Publicar un comentario