|
|
Seguridad
Ricardo Goldberger
Tanto el spyware como el spam son, en este momento, las amenazas a la privacidad más importantes de la actualidad.
Hablar de seguridad no significa sólo precaverse contra virus. Es también pensar en software con vulnerabilidades, en intrusiones, en protección de los datos, en recuperación contra desastres. Que crackear sistemas es, hoy por hoy, un negocio rentable. Y sobre todo, que el eslabón más débil es el ser humano.
Quien conserve en su memoria la imagen de un cracker como la de un adolescente granujiento y desaliñado, rodeado de cajas vacías de pizza, en un ambiente con olor a vestuario, y con una computadora llena de luces de colores, está equivocado; más exactamente, se quedó en el pasado.
Los crackers de la actualidad (y utilizo ex profeso esta expresión, a diferencia del hacker, el verdadero, que es un apasionado para quien resolver problemas utilizando la informática es su estímulo adrenalínico básico) son técnicos o ingenieros, que trabajan por su cuenta o a cuenta de otros, que tienen una misión específica: encontrar las vulnerabilidades de sistemas por los que pasan transacciones por muchos millones o información sensible de mucho valor, y explotarlas en beneficio propio (o del empleador).
Es por eso que la mayor parte de los códigos dañinos activos en la actualidad (llámense Mitglieder, Sober o SpamNet) buscan las vulnerabilidades de los sistemas operativos o aplicaciones, incluyendo las wold class. Las más de las veces no es para hacerles daño (de hecho, necesitan que las computadoras sigan funcionando) sino para poder ingresar, hacerse con algún permiso de privilegio y tomar el control de la máquina para llevar a cabo sus acciones delictivas. Éstas pueden ir desde la simple reproducción del gusano hasta la captura de contraseñas de altos ejecutivos, pasando por los datos de las transacciones de la compañía.
Nuevas amenazas
Los virus, troyanos o gusanos, de los que hemos estado hablando, no son las únicas amenazas a la seguridad y a la productividad. Cualquiera que haya seguido más o menos de cerca la evolución de los paquetes de software (las ofertas de las empresas como Symantec, McAffee, Sophos o Panda) se da cuenta de que la mayor parte de ellas son ahora suites que contemplan varios productos destinados a distintas amenazas. Las dos más importantes que están de moda, ahora, son el spam y el spyware.
El primero no es otra cosa que correo electrónico no solicitado. Lo que no sería un problema mayor sino fuera que para colectar direcciones de email o enviar esas ingentes cantidades de correos, los spammer recurren a técnicas poco menos que delictivas. Desde utilizar máquinas "intrusadas" (si se nos permite el término) como servidores de mail hasta las tan conocidas pero no por eso menos utilizadas "cadenas" de mails que usuarios no avisados envían y reenvían. Para algunas consultoras, el spam alcanza más del 60 % del mail que llega a las empresas Imagínese cuánto tiempo de trabajo y ancho de banda de red se desperdician con el spam.
El segundo es un programa, generalmente oculto, que recolecta información del usuario (desde las páginas web por las que navega hasta, según el "modelo", las teclas que pulsa) para enviarla a servidores o crackers que la utilizan para actividades non sanctas, la mayor parte de las veces. Originalmente estaba destinado a enviarle al usuario que accediese a bajar ese programa con shareware o freeware, mensajes y ventanas con publicidad dirigida específicamente. Al principio, era una manera de costear el desarrollo de ese tipo de software.
Pero en poco tiempo, las compañías de lo que después se llamó spyware, incluían ese software no sólo en programas sino también en las barras de herramientas suplementarias (el caso de Alexa es paradigmático) o, simplemente, en una página Web oculta que se activaba al ingresar en determinados sitios.
Tanto el spyware como el spam son, en este momento, las amenazas a la privacidad más importantes de la actualidad.
Dime cuántos te usan…
Un mito que se está derrumbando estrepitosamente es el de que hay software que, como por diseño es más seguro, sufre menos o ninguna amenaza de las que andan dando vueltas por ahí.
Una de las razones por las cuales los crackers están a la pesca de vulnerabilidades en ciertos y determinados programas, es su popularidad: de nada vale atacar uno que no conoce nadie, o que no usa nadie, especialmente en el ámbito corporativo. Es más, la clave no sólo es la popularidad sino la calidad de la información que se transmite a través de esas aplicaciones.
La consecuencia directa de esto es que, a medida que los programas alternativos a los propietarios se vuelvan cada vez más populares, serán, cada vez más, blanco de los ataques.
Una demostración de que esto es cada vez más así, es un informe que publicó Symantec y que Jaikumar Vijayan analizó para Computerworld, en el que demuestra que los browsers de Mozilla.org (Mozilla y Firefox, principalmente) están siendo, cada vez más, blanco de los ataques.
Algunos de los datos del informe indican que entre julio y diciembre de 2004 se documentaron 21 vulnerabilidades que afectan a la familia de Mozillas, contra 13 que afectan al Internet Explorer. O sea, por primera vez en su historia, los browsers libres pasaron al frente de la lista de debilidades. La buena noticia es que, en cambio, proporcionalmente, las vulnerabilidades de Internet Explorer son más críticas que las de Firefox: 9 de 13 para Internet
Explorer contra 11 de 21 para Firefox. Además, la vulnerabilidades de Internet Explorer han tardado más en ser corregidas (43 días) que las de los Mozilla (26 días).
Pero lo que es más importante, es que las aplicaciones consideradas habitualmente seguras, como el middleware (ya sea el de IBM, el de BEA o cualquier otro), los servidores de web como Apache, o de aplicaciones como JBoss o las bases de datos enterprise level, tienen ya sus victimarios. Los grupos de crackers están buscando (y encontrando) cada vez más, vulnerabilidades y agujeros de seguridad en este tipo de software.
El eslabón más débil
Por más que el hardware esté bien configurado y el software bien elegido y actualizado, si el usuario no está capacitado para mantener la seguridad, para ejecutar las políticas de seguridad, cualquier inversión (no sólo en seguridad sino en el propio negocio) se encontrará en un notable riesgo.
Hasta qué punto es importante el factor humano en la seguridad, y hasta qué punto es considerado el eslabón más débil, que se generó toda una nueva disciplina llamada ingeniería social para explotar estas fallas. Por supuesto que no es una disciplina académica, ni se va a enseñar en las universidades, pero ese nombre es más que suficiente para hacernos prestar atención a sus implicaciones.
La ingeniería social no es un mal en sí mismo. Un vendedor hace uso muy frecuentemente de una forma de ingeniería social para vendernos algo que, a priori, nunca hubiésemos comprado. La publicidad hace ingeniería social cuando crea una necesidad de consumir allí donde no existe. Cuando está en manos no adecuadas como las de un cracker (para darle el nombre específico al delincuente de la red), la ingeniería social se vuelve peligrosa.
Pero el cracker que hace uso de la ingeniería social, puede conseguir, tan sólo con un mail o un llamado telefónico inofensivo, que cualquier usuario desprevenido entregue su contraseña o reciba un mail con un adjunto peligroso. O puede ser lo suficientemente observador como para descubrir la palabra clave en aquél papelito clavado en la pizarra de corcho o pegado en el borde del monitor.
Hoy en día el CIO que se precie de tal, no puede olvidar que debe incluir un rol, digámosle, docente en su actividad diaria. Ya sea mediante reuniones, seminarios o mensajes reiterativos, debe hacerle entender a sus subordinados o a cualquiera de la compañía que utilice una computadora, cuáles son las amenazas que existen, incluyendo, por supuesto, las actitudes que propician esas amenazas, que las minimizan o desprecian.
Y debe quedarle bien claro que la seguridad no depende de una tecnología involucrada sino de una política general dentro de la cual la tecnología ocupa un lugar, destacado, sí, pero sólo uno de los roles existentes. Por eso a veces resulta más operativo y más rentable, a largo plazo, crear algún puesto de seguridad, elegir a alguien que no sea uno, un especialista, para que se haga cargo de las políticas de seguridad de los datos de una empresa. La información suele ser el activo más importante, en estos días, de cualquier compañía.
Y eso que hoy no hablamos de la integridad de los datos y la recuperación ante las catástrofes.
Autor: Ricardo Goldberger
Tomado con autorización de AADS
|
