Bueno me tome el atrevimiento de parafrasear a Thomas Jefferson, dado que este post habla sobre eso, la necesidad de estar siempre atentos.
Imaginemos que tenemos una empresa que factura muchos millones de dolares anuales, que ademas invertimos cientos de miles de dolares en equipos de seguridad.
Hay quienes piensan que la seguridad es directamente proporcional a la inversion....wrong !!!!
Podemos invertir millones de dolares en equipos, pero si no contamos primero con una politica de seguridad, procedimientos adecuados y capacitacion de la gente el hardware no vale nada. ( a menos que estemos hablando de tener un Terminator )
Este fin de semana encontre problemas de todos los colores, desde webservers con los permisos mal configurados exponiendo directorios privados con informacion critica, pasando por sql injection en sitios que permiten tomar el control de la aplicacion y por ultimo routers de borde que permiten ser administrados sin usuario y password.
Voy a referirme al ultimo caso, dado que el router de borde pertenece a una empresa multinacional de comunicaciones, que deberia tener procedimientos rigurosos. Por supuesto que el cliente debe o confiar totalmente en el nombre o no tiene idea de buenas practicas de seguridad ( ni hablar el ISP !!!).
Este router de borde, por el cual pasan todas las comunicaciones de la empresa tiene una configuracion deplorable. Por medio de Nipper rapidamente tenemos una auditoria del dispositivo.
Ya hablamos sobre hardening de routers en este post y aca tenemos la guia oficial de hardening de Cisco.
Lo ironico del caso es que el printscreen del router muestra el SDM, una interfaz de Cisco para ayudar a configurar en forma segura el IOS !!!!
Con la publicacion el ultimo año de un PoC rootkit para utilizar en los IOS de Cisco ( presentado por Sebastian Muñiz de CoreLabs ), a los problemas de seguridad de la actual configuracion, se suma la posibilidad de que este equipo pueda ser owned por alguien que instale un rootkit.
Creanme que descubrir que un router tiene un rootkit no es algo trivial.
Por ultimo sumado a los problemas del router, el Firewall de esta empresa tenia la interfaz de administracion publicada en internet.
Eterna vigilancia
Ahora le pregunta es : Como es que nadie verifica en forma regular la seguridad perimetral ?
Toda empresa deberia ejecutar anualmente un Pentest y al menos mensualmente un validacion de ports publicos. Algo relativamente sencillo de hacer en forma automatica con herramientas como Nmap o Nessus.
Comenzariamos con un baseline y luego todos los meses verificariamos que no existan diferencias.
Si pensamos en Defense in Depth, esto seria una capa mas de proteccion.
2 comments:
Hello,
this is a very interresting post. Thank you for that. Do you believe that there is an sustainable economical model for a company that would propose an automated service for permimeter security testing ?
Best regards
Christophe (UK)
Hello Christophe
Well, is possible to offer this type of service, something like "Security as service".
Today in Argentina, few companies put money in security ( believe me ), small to medium companies ( until 500 employees ) not have a security officer. All the work is in the hands of network administrator.
I feel that can be a interesting field to offer this service.
Thanks for your visit !!!
Post a Comment