Wednesday, October 21, 2009

Black Holes en la empresas



Muchas veces me cuesta encontrar un titulo a un post, en algunas ocasiones es difícil expresar en pocas palabras las cosas que veo.

Ayer un cliente pidio verificar si un proveedor estaba ingresando a sus servidores sin su consentimiento.

Hace pocos meses atras instale una solucion UTM, y realice algunos cambios en la infraestructura de red para cerrar los huecos de seguridad que encontraba.

Hay mucho trabajo por hacer, pero vender seguridad es como vender paraguas un dia soleado.

Accedí al server para verificar si alguien se habia conectado en forma remota y entre los documentos que me llamaron la atención, encontré uno titulado logmein.txt

Este documento de texto tenia la descripción sobre como acceder al sitio www.logmein.com con una cuenta en particular, ademas la password de esta cuenta.

Para quienes no conozcan este sitio, el mismo permite tomar control remoto de un sitio sin necesidad de abrir puertos en los firewalls, ya que la aplicación se conecta por medio del puerto de http.

Casualmente la password era idéntica a la del usuario administrador del server, algo que evidentemente definió el proveedor en su momento.

Accedí al sitio de logmein con esta cuenta y para mi sorpresa, encontré esto :


Esta cuenta tenia el acceso remoto a mas de 20 equipos en diferentes empresas.

Mi curiosidad termino alli, pero no tengo dudas que la misma password utilizada por este proveedor, debe encontrarse en otros clientes.

Cuantos de sus clientes conocen de este problema ?

Ya hablamos en este post sobre el problema de la de-perimetrizacion , este es un excelente ejemplo sobre estos agujeros negros que existen dentro de las empresas y que permanecerán ocultos hasta que un dia, se traguen la información critica de un server.

Como prevenirse de estos problemas ?

Lo primero es contar con una política de Soporte Remoto donde se defina claramente las responsabilidades y herramientas a utilizar por parte de los proveedores.

El acceso debe realizarse mediante un sistema de autenticación doble ( ej : tokens ).
Para quienes no cuenten con esta infraestructura Webex Support Center es una aplicación que permite dar acceso a un equipo o una aplicación, previo permiso otorgado por el dueño de la aplicación.

Los accesos de proveedores siempre deben realizarse desde un equipo que permita monitorear y loguear todas sus actividades.

Monitorear regularmente los logs es fundamental para encontrar el ruido de aplicaciones que no se encuentren aprobadas, como en el caso de los agujeros negros, estos no se detectan en forma visual, se los detecta por la energía que emiten en forma de rayos X o por el impacto que tienen sobre el espacio circundan te.

2 comments:

Gabolonte Blasfemus said...

Yo también tengo bastante en mente esas preocupaciones, hay muchas empresas donde simplemente son demasiadas las manos que tocan. Ahora... en una empresa donde no exista un depto de IT competente o que directamente no exista, quién controla a al que controla? Quién me controla a mí, o a vos, mientras establecemos políticas y revisamos logs? Al menos ese alguien tiene que ser de muuuucha confianza...

Seymus said...

según mi experiencia el Log Me In requiere la instalación del software en el cliente.

Creo que con un monitoreo constante de los servicios que ejecuta cada servidor podemos robustecer la seguridad, aunque sabemos que ninguna red es 100% segura.