La seguridad interna sí es importante…

 Muchas veces se tiene la sensación que la seguridad es “para los de fuera”. Si pones un perímetro de seguridad (lógico o físico), parece ser que aquellas personas con permiso para traspasarlo son de total confianza.

Por poner un ejemplo, en una red de una empresa lo más normal es tener una red perimetral con firewalls en dos o tres niveles, una (o más) DMZ, todo bien segmentadito, con un control de acceso bastante fuerte y, por qué no decirlo, rígido. No sé quiere que entre a la red interna nada que no queramos, e incluso que tampoco salga.

Pero la red interna no suele estar tan bien protegida. O bien los usuarios y los servidores están en la misma red (muy típico en pymes, e incluso en muchas empresas grandes), si está segmentado es por “orden” o mejorar algo el rendimiento de la red, pero los controles de acceso son nulos, delegándose en los mecanismos de autenticación de a) sistemas operativos, b) aplicaciones c) la providencia. Esto tiene un riesgo que suelo comentar. En un test de intrusión interno que hice en una gran empresa, vi que había en las salas de reuniones bocas de red. Ok, me conecto y me da IP. Puede ser una red aislada. Pruebo y veo para mi sorpresa que puedo acceder, al menos a nivel de red, a todos los servidores y estaciones de trabajo de la empresa. Esto, unido a una mala configuración de los equipos que permitían acceso anónimo a los recursos compartidos, permitió que pudiera hacerme con mogollón de información.

Este ejemplo, puede aplicarse también a redes wireless, etc. Podríamos poner un millón más de ejemplo, y compañeros y amigos que se dedican al hacking ético y saben muuucho más que yo de este tema, seguro que se tirarían todo el día hablando de anécdotas. Pero lo importante es entender que la seguridad de la red interna es importante.

Esto lo podemos agravado por dos ideas muy extendidas:

a) Se suele creer que nadie podrá atacar la red interna ya que está protegida por el perímetro de seguridad.

b) Se pìensa que los usuarios internos (empleados) son de confianza.

El razonamiento a) lo podemos echar abajo enseguida, pues hay muchas formas de conseguir acceso a sistemas internos.

Pero el razonamiento b) es el más peligroso. Los usuarios no son de confianza. De hecho, hoy en día que tan de moda está la subcontratación, es algo que deberíamos tener muy en cuenta. Se conocen casos de venganzas ante un despido, e incluso se han hecho análisis de los tipos de “ataques” internos más frecuentes. Fíjense que pongo ataques en comillas. Aunque algunas veces serán ataques deliberados, el desconocimiento es la forma más normal de generar incidentes de seguridad.

¿Por qué me ha dado hoy por contar estas cosas? Porque en Guardian leo una noticia muy relacionada con este tema y que responde a otras preguntas. ¿A quién no le ha llamado alguna vez la operadora competencia de su proveedor de telefonóa móvil con suculentas ofertas? ¿Y no nos hemos preguntado nunca como demonios tienen nuestro teléfono? La respuesta más común es que llaman al azar. Otra es que intercambian bases de datos. Y otra, la que se comenta en el artículo. Un empleado de T-Mobile ha vendido a operadoras de la competencia millones de registros de sus clientes. Es decir, que poco antes de finalizar su contrato, recibirán una llamada con mejoras ofertas de la competencia. ¿Y por qué ha sido esto posible? Sin conocer los detalles, fijo que:

a) Esa persona tenía acceso a más información a la que debiera.

b) La empresa no tenía una solución anti-fuga-de-datos. De este modo se podría haber evitado la copia a CDs/USBs o envío de datos de clientes por mail.

Cierto es que una persona que tiene acceso a la información, es complicado que haga un mal uso de ella. En parte, hay que confiar en la profesionalidad de los trabajadores. Pero como se están venga a ver este tipo de cosas (no sólo de forma manual, hay virus que lo hacen), las aplicaciones de la opción b) son una buena solución para este tipo de probemas.

Como conclusión, podríamos decir que tener en cuenta los riesgos de seguridad existentes en la red interna, y poner controles que los mitiguen. Hasta ahora, no hacerlo ha sido una práctica muy habitual, y en los últimos años se están viendo las consecuencias (multas LOPD, fugas de información, etc.). Esperemos que cambie en el futuro.

Related posts

• [Guía] Vamos a bastionar… (0)
• Métricas de seguridad (0)
• Lista Robinson… ¿Ayuda o estafa? (0)
• Convirtiendo Firefox en una máquina de matar… (0)
• [Howto] Reset iptables (0)

Leido 277 veces