En la lista de las aplicaciones más difundidas
de los servicios “en la nube” entran: almacenamiento de imágenes
escaneadas del pasaporte y otros documentos personales; sincronización
de bases de datos de contraseñas, contactos y cartas; almacenamiento de
diferentes versiones de códigos fuente, etc. Cuando el servicio de
almacenamiento de datos “en la nube” Dropbox
notificó que había neutralizado una vulnerabilidad en el generador de
enlaces, en Internet se empezó a hablar de nuevo de la importancia que
tiene cifrar los datos confidenciales antes de almacenarlos en algún
recurso, incluso si se trata de uno privado. El cifrado de datos (FLE)
de verdad permite garantizar la defensa de la información confidencial
“en la nube”, incluso si se descubren vulnerabilidades en el control de
acceso a los documentos de los usuarios en uno u otro servicio.
Podría
parecer que si no se guardan datos secretos “en la nube” o se los
cifra, no habría ningún riesgo. Pero… ¿es así? La realidad ha
demostrado que no lo es del todo.
En Internet encontramos con
frecuencia recomendaciones de cómo “usar con efectividad los servicios
de almacenamiento de ficheros en la nube”, por ejemplo: instrucciones
de administración remota de equipos, vigilancia del equipo durante la ausencia del dueño, administración de descargas torrent y muchas más.
En otras palabras, son los mismos usuarios quienes crean toda clase de
brechas que usan con facilidad los troyanos, gusanos, y con más razón
lo hackers, sobre todo si se trata de ataques selectivos.
No hicimos la pregunta ¿cuán grande es el riesgo de que una red corporativa se contagie mediante un servicio “en la nube”?
En la conferencia Black Hat 2013 Jacob Williams), científico en jefe de CSRgroup Computer Security Consultants dio una ponencia
sobre el uso de Dropbox para penetrar en la red corporativa. Durante
la ejecución de una prueba de penetración hecha a pedido (pen test)
Jacob usó un cliente thin de Dropbox instalado en un portátil
que se encontraba fuera de la red corporativa para propagar software
malicioso en los dispositivos que estaban dentro de la red.
Al
principio, usando phishing, Jacob infectó el portátil de un empleado y
más adelante incrustó scripts maliciosos en los documentos almacenados
en el directorio “en la nube” del equipo. Dropbox actualizó
automáticamente (sincronizó) los documentos infectados en todos los
dispositivos relacionados con la cuenta del usuario. En este sentido
Dropbox no es el único sistema que tiene este comportamiento: la
función de sincronización automática está presente en todas las
aplicaciones populares de acceso a servicios “en la nube”, entre ellas
Onedrive (Skydrive), Google Disk, Yandex Disk, etc.
Cuando el
usuario abrió el documento infectado en su equipo de trabajo, dentro de
la red corporativa, los scripts incrustados en el documento instalaron
en el sistema el backdoor DropSmack, creado por Jacob especialmente
para esta prueba de penetración. Como se puede adivinar por su nombre,
la función clave de DropSmack es usar el sistema Dropbox como canal de
administración del backdoor y enviar los documentos corporativos al
mundo externo a través del cortafuegos corporativo.
Esquema del experimento de Jacob Williams
El
método de penetración en la red corporativa usado por Jacob durante la
prueba sorprende por su simplicidad… sí, es una brecha evidente.
Nosotros
decidimos verificar si los verdaderos delincuentes usan Dropbox,
OneDrive, Yandex Disk y Google Disk para propagar software malicioso.
Habiendo recopilado información de KSN sobre las detecciones de malware
en los directorios “en la nube” de los equipos de los usuarios de los
productos de Kaspersky Lab descubrimos que estas infecciones se
registraron en un número muy pequeño de usuarios: en mayo de 2014 sólo
8700 personas se toparon con infecciones de sus directorios “en la
nube”. Entre los usuarios domésticos de los productos de Kaspersky Lab
estos programas maliciosos representaron el 0,42% de todas las
detecciones, y el 0,24% entre los usuarios de los programas
corporativos.
Es necesario remarcar un importante detalle: si el
programa malicioso ingresa a la nube desde un dispositivo, todos los
otros dispositivos vinculados a la cuenta infectada lo descargarán
usando el protocolo HTTPS. Incluso si en uno de los dispositivos el
antivirus detecta y elimina la infección en el directorio sincronizado,
el software cliente, cumpliendo su deber, luchará contra la
desincronización descargando una y otra vez el malware de “la nube”.
Según
nuestros datos, cerca del 30% del software malicioso detectado en los
directorios “en la nube” en los equipos domésticos ingresa mediante
mecanismos de sincronización. Entre los usuarios corporativos este
índice alcanza el 50%. De esta manera, el mecanismo usado por el
software en la prueba de Jacob Williams conduce a infecciones en la
vida real. Por suerte, todavía no hemos detectado ataques selectivos
que usen los servicios de almacenamiento de datos “en la nube”.
Entre
el software malicioso que hemos detectado en los directorios “en la
nube” en los ordenadores de los usuarios predominan los ficheros de
formatos Win32, MSIL, VBS, PHP, JS, Excel, Word y Java. Merece la pena
mencionar que entre los usuarios domésticos y corporativos existe una
pequeña diferencia: en los equipos de los primeros se detectan con
mayor frecuencia ficheros MS Office infectados, en los de los segundos
en la lista hay unas criaturas peculiares: aplicaciones maliciosas para
Android.
TOP 10 de veredictos:
| Usuarios particulares | Usuarios corporativos | |
| 1 | Email-Worm.Win32.Runouce.b | Email-Worm.Win32.Brontok.dam.a |
| 2 | Email-Worm.Win32.Brontok.q | Virus.Win32.Sality.gen |
| 3 | not-a-virus:AdWare.Win32.RivalGame.kr | Virus.Win32.Tenga.a |
| 4 | Virus.Win32.Nimnul.a | Trojan-Dropper.VBS.Agent.bp |
| 5 | Trojan-Clicker.HTML.IFrame.aga | Trojan.Win32.Agent.ada |
| 6 | Exploit.Win32.CVE-2010-2568.gen | Trojan.Win32.MicroFake.ba |
| 7 | Virus.Win32.Sality.gen | Exploit.Win32.CVE-2010-2568.gen |
| 8 | Worm.Win32.AutoRun.dtbv | Worm.Win32.AutoRun.dtbv |
| 9 | Trojan-Dropper.VBS.Agent.bp | Trojan.Win32.Qhost.afes |
| 10 | Trojan.Win32.Genome.vqzz | Virus.Win32.Nimnul.a |
En
la mayoría de los casos los escritores de virus no usan los sistemas
de almacenamiento “en la nube” como plataforma de distribución, sino
como hospedaje para programas maliciosos. Durante la investigación no
encontramos ni un solo gusano o backdor (sin contar a DropSmack)
especialmente dirigido a los sistemas de almacenamiento de ficheros “en
la nube”. Por supuesto, los servicios en sí tratan de luchar
activamente con los programas maliciosos que usan el espacio libre en
“la nube”. Además, el hospedaje de programas maliciosos ejerce una
influencia negativa en la reputación de los servicios, a pesar de que
estos no asumen responsabilidad sobre qué ficheros guardan los clientes
en el sistema. Es evidente que el escaneo regular de todos los
ficheros contenidos en la nube exigiría demasiados recursos, que los
servicios prefieren usar para almacenar ficheros.
El resultado de
la investigación llevada a cabo es la comprensión de que el riesgo de
infección de la red corporativa mediante sistemas de almacenamiento en
la nube es comparativamente pequeño: durante un año uno de cada mil
usuarios corporativos que usen sistemas en la nube corre el riesgo de
infectarse. Pero hay que tomar en cuenta que en algunos casos incluso
un caso aislado de infección de un equipo en la red corporativa puede
provocar daños graves.
Para proteger la red corporativa se pueden usar los siguientes métodos:
- Apretar las tuercas en el cortafuegos o IDS, bloquear el acceso a los servidores de servicios conocidos. Un gran defecto de este método es que ocupa muchos recursos: hay que estar atento a la aparición de nuevos candidatos para la lista negra.
- Instalar una suite de seguridad multifuncional que incluya un antivirus heurístico y de comportamiento, funciones de limitación de acceso (HIPS), control del funcionamiento del sistema operativo (System Watcher o Hypervisor), protección contra la explotación de vulnerabilidades, etc. Y es necesario configurar todo esto con mucho cuidado.
- Debido a que incluso la suite de seguridad más sofisticada puede dejar pasar APT, hay que prestar atención a la tecnología de control de aplicaciones (en el modo “prohibido por defecto”). En nuestra opinión este es uno de los métodos más seguros de bloquear cualquier software desconocido (incluso el que se usa durante los ataques específicos). La tarea más compleja que surge durante la implementación del Control de aplicaciones es la configuración de las reglas que haga que todas las aplicaciones permitidas puedan ejecutarse y actualizarse sin problemas. Con este objetivo los fabricantes de productos que tengan la función Control de aplicaciones han desarrollado instrumentos especiales: la función de actualización del software mediante programas de confianza, listas blancas predeterminadas de software que incluyen todos los ficheros del sistema y del usuario, acceso a enormes servicios en la nube y bases de información sobre toda la diversidad de software “blanco”.
- En casos especiales hay que usar el Control de aplicaciones para limitar el uso de servicios en la nube en la red local, es decir, permitir la ejecución de aplicaciones de sincronización de directorios en la nube solo a los empleados de confianza.
Y para los sistemas más cerrados, aquellos que
controlan el funcionamiento de centrales eléctricas, sistemas de agua
potable, o que guardan secretos de estado, o que permiten lanzar
misiles intercontinentales recomendamos no utilizar de ninguna forma
los servicios de almacenamiento en la nube.
Fuente
Saludos.
Lexer Pars.
Fuente
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario