10 amenazas a su seguridad en las que probablemente no ha pensado

Os propongo una lectura para hoy. El documento se titula Ten Threats Your Probably Didn’t Make Plans y está escrito por Andrew Bycroft. La referencia la he tomado de Infosecwriters.com.

Es un PDF de 9 páginas, un white paper en toda regla, y el objetivo que persigue el autor al redactarlo se centra básicamente en detallar diez prototipos de amenaza para las cuales normalmente no se establecen planes de seguridad de ningún tipo.

Bycroft da un giro más de tuerca, ya que el documento parte de la base de que por mucho que nuestras políticas de seguridad estén activas, por muy parcheados que estén nuestros sistemas, por mucha formación que se ofrezca a los empleados y por muchas medidas que tomemos, basta un despiste mínimo para echar por tierra todo el trabajo de una planificación de seguridad. Hay factores en los que no caemos habitualmente, y éstos suelen ser fuente de problemas.

La seguridad perfecta no existe. No es viable, ya que en última instancia siempre depende del ser humano y por tanto, de sus imperfecciones. Tener un nivel de seguridad de 95 puntos sobre 100 está fenomenal, es mucho mejor que un sistema a un 40%, por ejemplo, pero sería mejor tener un 96%, o un 97% de posibles fuentes problemáticas bajo nuestro control. El factor coste es importante cuando nos acercamos a estos límites, y eso hace difícil hallar el punto de equilibrio, pero eso no deja de suponer que la mejor seguridad es siempre interesante (salvo que sus efectos económicos lo desaconsejen)

Los diez focos de inseguridad escasamente contemplados son los siguientes:

1. Shoulder Surfing: O el arte de mirar por encima dle hombro con cautela. Ejemplo típico: fisgar el PIN de un usuario en un cajero automático, o figsar qué clave teclea un operador en una consola determinada.
2. Observación: Técnica similar a la anterior, pero que involucra normalmente distancias mayores y comporta habitualmente la obtención de información preliminar para perpetrar ataques. Controlar si hay o no hay alarmas en una sala de servidores, los horarios de los servicios de vigilancia, quién sale el último de unas dependencias, quién entra primero, etc.
3. Eavesdropping: Esta técnica está orientada a la captura de información privilegiada afinando el oído cuando tenemos conversaciones privadas a nuestro alcance auditivo. Escuchar cómo el sysadmin de una empresa le dice al otro «oye, la clave que puse en el CRM es holahola» estando nosotros relativamente cerca no es tan infrecuente.
4. Dumpster Diving: El buceo en la basura es una técnica a la cual no se le suele prestar atención, pero que comporta riegos. La basura suele ser destino final de muchas cosas: notas, documentos confidenciales, configuraciones, emails, memorandos internos, ordenadores en desuso, y un sinfín de fuentes de información que un dumpster podría extraer de ella.
5. Dispositivos móviles perdidos: La información que se pued extraer de los dispositivos modernos es variopinta. Desde cuentas bancarias a información personal, pasando por notas confidenciales. Todo lo que podamos meter en un smartphone o en una PDA puede ser recuperado por aquel que se la encuentre si la perdemos.
6. Escrutinio de noticias: Muchas veces nos enteramos de qué infraestructura tiene una empresa determinada por la cobertura en los medios de comunicación. «Tal empresa ha adquirido 1000 licencias de tal antivirus», «Tal empresa ha comprado recientemente tal producto», etc. Esa información puede ser en muchos casos determinante. Si por ejemplo se publica que una organización determinada ha adquirido infraestructura Lotus Domino, lo primero que un atacante podría explorar es si Lotus tiene o no acceso vía Web, y tratar de explotar ese factor.
7. Foros online: Otro lugar donde se revela información sensible. «Hola, que tal, he instalado la rama 2.x de Apache en mi servidor y quiero meterle mod_python, ¿dónde puedo documentarme? Y justo al presionar enviar, resulta que nuestra IP queda expuesta como registro de acceso a dicho foro, cosa que en la que reparamos cuando vemos el artículo publicado. Ya sabemos la IP, sabemos que usas Apache 2.x y por tanto, hay un vector de ataque claro.
8. Sitios Web: Revelan mucha más información de la que creemos. Probad a buscar esta cadena y esta otra cadena en Google.
9. Herramientas online: Cualquier escáner de vulnerabilidades o un simple escáner de puertos nos puede ofrecer información cuantiosa y jugosa sobre una IP determinada.
10. Ingeniería social: El método que nunca cambia. El ser humano es estúpido por naturaleza, y este método prueba la veracidad de esta teoría.

La verdad, me tengo que sumar al autor del documento. Estoy totalmente de acuerdo con estos diez factores de riesgo para los cuales no se suele estar preparado.