viernes, 14 de julio de 2017

Sistemas sin Conexión a Internet

¿Es momento de desconectar a sistemas de internet y aislarlos? La mayoría de los ataques actuales que vienen desde “afuera” están basados en el hecho de que computadoras cliente tienen acceso a internet. Y son estas mismas computadoras cliente que a su vez interactúan con servidores críticos. La fórmula del ataque es simple entonces: comprometer esa computadora cliente desde internet y explotar alguna debilidad del servidor crítico para extraerle su información valiosa.

La anterior descripción de ataque puede ser ejemplificada con un “phishing”, donde atacan a una computadora cliente y de ahí “saltan” al sistema de interés. Ahora bien, qué pasaría si esa computadora cliente no tuviera acceso a internet? Sin correo y sin navegación seguro le complicamos la vida al atacante que tendrá que trabajar más para lograr su objetivo.
Cada vez veo más entendimiento en la comunidad de que los servidores críticos deben estar con conexiones puntuales hacia sitios de internet o de plano no tener esa conexión hacia “afuera”. Un servidor debe “nacer” por default sin salida a internet y el acceso puntual es otorgado bajo demanda. Pero todavía no veo una tendencia a también hacerlo con las computadoras personales de operadores que acceden a esos servidores críticos.
Si bien muchas empresas protegen a sus servidores críticos, no lo hacen así con las computadoras cliente de operadores que interactúan con esos servidores. Luego entonces el atacante no puede comprometer directamente a ese servidor y lo que hace es atacar a la computadora cliente que sí tiene los permisos para acceder a ese servidor crítico. Es un ataque indirecto y puede ejecutarse por medio del ya famoso phishing. ¿Cómo funciona? Es aquel donde un delincuente envía un correo con una liga que dirige a un sitio malicioso que a su vez descarga un virus a la computadora del usuario.
Así es que por más que protejamos al servidor crítico, la computadora personal que accede a él permanece con una seguridad promedio, en el mejor de los casos. Desde esa máquina, el operador no solo accede al servidor crítico, también lee su correo electrónico, navega en internet, mete USB. Es una máquina para el trabajo diario y también sirve para administrar o interactuar con servicios críticos. Y ahí está la debilidad aprovechada por los ciber-atacantes.
¿Qué podemos hacer? Primero, revisar que esos servidores críticos estén debidamente protegidos, como con listas blancas, con hardening, antivirus, aislados de internet (o con accesos puntuales a ciertos URL). Y que solo puedan ser contactados por una lista definida de computadoras internas de operadores y administradores.
En segundo lugar, y es la idea central de este artículo, debemos voltearnos a revisar las computadoras personales de operadores o administradores que acceden a ese servidor crítico. Y aquí viene la bomba. Deben de tener una computadora para operar/administrar (sin acceso a internet) y otra diferente para trabajar en el día a día, obvio con acceso a internet. Es decir, una para operar pero sin acceso a internet, otra para las actividades mundanas cotidianas. ¿Cómo resolverlo?
Lo óptimo es tener dos computadoras físicas: una para entrar a servidores críticos y otra “normal” para el día a día. En este momento pensarán en cuánto dinero les costará tener una implementación de este tipo y yo les contestaré cuánto creen que puedan perder por un ciber-ataque. Tener dos computadoras separadas dificultará enormemente el trabajo del atacante, tal vez hasta tal punto que desistirá e irá a otra empresa que no tenga esta arquitectura segura. ¿Por qué? Porque por un lado el servidor crítico estará bien protegido, y cuando comprometa la computadora “normal” del operador/administrador, verá que no tiene acceso a ese servidor crítico. El atacante entenderá que tiene el control de una computadora “normal”… sin privilegios a la zona segura corporativa.
Un nivel mayor de seguridad (¿o paranoia?) es si el servidor crítico y esa computadora para operar/administrar inclusive están aislados de la red corporativa. Así el hacker tampoco podrá penetrar a esa zona segura que ahora forman los servidores críticos y computadoras cliente para operar. Pero me estoy desviando del tema, regresemos.
Tener dos sistemas para una misma persona es difícil, sobre todo desde el punto de vista económico. Y también representa retos técnicos que deben ser superados. Por ejemplo:
  • ¿Qué pasa si la operación del día a día requiere acceso a internet por alguna razón?
  • ¿Qué pasa si la computadora para operar necesita intercambiar datos con la computadora “normal” del día a día?
  • ¿Cabe otra computadora en el lugar del operador?
  • ¿Hay contactos eléctricos disponibles?
Me llama la atención la segunda pregunta. Porque es una mala idea es permitir intercambiar datos vía USB entre la máquina de la zona segura y la de operación normal. Ese intercambio de datos puede ser aprovechado por maleantes como lo confirma este artículo (http://bit.ly/2sv4tjN) que sugiere la existencia de software malicioso que “salta” entre una zona segura y una “normal”. En todo caso, si existe el intercambio de datos vía USB, tendríamos que prohibir la ejecución de programas desde esos USB. Pero insisto, aún con esta restricción, es riesgoso estar usando los USB entre ambos tipos de computadora.
En conclusión, es mala idea tener una PC para entrar a redes sociales y para entrar a administrar un servidor crítico. Es un mal plan tener una misma PC para recibir correo y desde ahí hacerle clic a decenas de sitios para luego interactuar con el servidor de nómina y realizar órdenes de pago. Hay un hueco cuando una misma computadora sirve para asuntos sensibles y para aquellas actividades típicas que debe hacer un empleado. Piénsenlo, hagan cuentas y decidan.

Publicado por Fausto Cepeda

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)