martes, julio 21, 2015

Los "Malicious Insiders" y el Control de Cuentas Privilegiadas

Hace años, cuando esto de la nube estaba comenzando a tomar cuerpo, la Cloud Security Alliance reconoció como uno de los grandes Threats para los entornos de Cloud Computing eran los "Malicious Insiders". De hecho, era amenaza número 3 dentro de una lista compuesta por solo 7 grandes peligros. En el mundo de la seguridad tradicional son los denominados traidores, que se vuelven contra su organización matriz para volverse una de las mayores amenazas para la organización. Estos "Malicious Insiders" suelen tener acceso a información privilegiada, que puede ser usada para hacer un verdadero daño a la organización.

Figura 1: Los "Malicious Insiders" y el Control de Cuentas Privilegiadas

La organización Wikileaks, en su objetivo de que la información sea conocida, ha sido alimentado en el pasado por muchos "Malicious Insiders" que han querido que la gente fuera consciente de lo que sucedía en sus vidas. Casos como el de Edward Snowden con los documentos robados a la NSA, el caso de Bradley Manning y los cables de las embajadas de EEUU, Hervé Falciani y los datos de la banca privada del HSBC o el caso de Rudolf Elmer con las filtraciones del Banco de las Islas Cayman son ejemplos de cómo personal interno puede destrozar una organización con la información que tiene en sus manos en el ejercicio diario de su trabajo. Esta parece que ha sido también la  causa que hay detrás los recientes casos de Hacking Team y Ashley Madison.

Hacked Hacking Team

En el primero de los casos, la compañía dedicada al software de espionaje está ya en juicio contra seis ex-empleados que son sospechosos de haber, primero liberado el código fuente y la documentación del software RCS de la compañía hace varios meses, y ahora de haber puesto los 400 GB de datos de información en el reciente incidente de fuga de información.

Figura 2: Ex-empleados en el caso de Hacking Team

De ser esto así, la cosa sería bastante triste en el control de la información de la compañía. En primer lugar por dejar que esos empleados tuvieran acceso a tanta información - incluidos los buzones de correo personales de muchos de los miembros de la empresa - y en segundo lugar por no haber cambiado las contraseñas de toda la organización cuando se sospechaba de ellos - que por algo estaban en juicio - cuando ya no estaban en la compañía.

Figura 3: Cuenta de Twitter de Hacking Team robada

Gracias a que no cambiaron las contraseñas de las cuentas de Twitter, o de los correos electrónicos asociados a esas cuentas, probablemente pudieron robar las identidades de la compañía en las redes sociales y hacer la filtración mucho más dolorosa. Al final, un fallo brutal en el control de las cuentas de usuario.

Ashley Madison: Cheaters are Cheated

El caso de Ashley Madison es más o menos la misma historia. Una empresa dedicada a ayudar a tener relaciones extra-maritales garantizando el máximo secretismo y confidencialidad de los casos, demuestra que prometer esto en un mundo como el de hoy es bastante complicado. En la publicidad de la web - muy agresivos en esto - muestran el número de miembros que se encuentran dados de alta en la base de datos de forma anónima, pero con todos los datos de la tarjeta de crédito usada para realizar los pagos, con lo que no es tan anónimo.

Figura 4: La publicidad en la web de Ashley Madison

En la entrada se pueden ver todos logos de certificaciones de seguridad que supuestamente tienen que ayudar a la empresa a demostrar su seguridad y la privacidad de tus datos - si te has dado de alta ahí -, pero la experiencia nos ha enseñado que eso suele valer para poco. Yo en muchas de las entrevistas que he hecho a lo largo de mi vida he dicho que "asumas que todo dato que subas a Internet por el medio que sea, un día u otro puede ser público". Este es un ejemplo más de este caso.

La compañía, con un tono bastante duro ha declarado que tras las investigaciones pertinentes tienen casi la certeza de quién es el culpable detrás de esta filtración. Según sus palabras:
"I’ve got their profile right in front of me, all their work credentials. It was definitely a person here that was not an employee but certainly had touched our technical services.”
Es decir, un caso muy similar al de Edward Snowden y la NSA. La cosa es aún más crappy con Ashley Madison ya que, además le ha salpicado la mala reputación que tenían por querer cobrar a los usuarios una cantidad de 15 Libras por dar de baja las cuentas definitivamente.

Figura 5: Ser discreto del todo costaba un poco más. ¿Borrarían todo?

No sabemos si eso lo hicieron o no de verdad, pues aún no se tiene información de usuarios que se dieron de baja y se hayan visto retratados en la filtración. Habrá que esperar.

Y si no es un "Malicious Insider" es un "Stolen Insider"

Viendo estos casos, el control de cuentas privilegiadas dentro de la organización debe ser una prioridad para todas las grandes empresas, pero aún debe serlo más cuando analizamos algunos de los últimos escándalos, como las intrusiones de Sony Pictures, TV5 Monde o la RSA Conference. En la mayoría de los últimos casos de intrusión el ataque que se realiza es un Spear Phishing o correo de phishing dirigido a algún miembro de la organización cocinada con un "mucho" de ingeniería social para conseguir robar la cuenta interna de los sistemas de algún empleado interno de la organización.

Figura 6: Esquema del ataque a RSA Conference. Comenzó por un spear phishing
a la identidad de un usuario de un proveedor de un proveedor.

El resto de la historia es campar por la red, conectarse a los sistemas y aprovechar la ausencia de segundos factores de autenticación y sistemas de control y monitorización del uso de las cuentas privilegiadas en muchas de las organización. Recoger muchos datos y cuando ya se tienen todos los documentos, realizar el ownage público y listo.

Control de Cuentas Privilegiadas

Los servidores de Microsoft Windows y los servidores GNU/Linux cuentan con sistemas de auditoría avanzados que pueden reportar las acciones de los usuarios - sean quién sea - en repositorios centralizados para poder establecer alarmas de accesos anómalos. Se puede tener un control de quién accede a qué documentos, a qué horas o con qué acciones. 

Figura 7: Alerta de auditoría de acceso a una carpeta de un servidor de ficheros

Además, existen herramientas de monitorización de las acciones que realizan todas las cuentas privilegiadas en una máquina que graban la sesión en vídeo e indexan por metadatos todos los comandos que teclea un determinado usuario en el sistema. Esto ayuda a detectar el uso de comandos peligrosos por parte de los administradores.

Figura 8: Securonix, una solución de montiorización de uso de cuentas privilegiadas

Nosotros, cuando pensamos Latch, lo pensamos pensando incluso en estos escenarios y hemos implantado en algunas empresas Latch como sistemas de 4-Eyes Verification, 2-Keys Activation o Supervisión, para conseguir que a una persona, no le sea suficiente con su usuario y contraseña y necesite la autorización de un igual o un superior para acceder a determinadas aplicaciones, ya sea por que su Latch está controlado por un igual o superior, o porque es otro el que necesita abrir el Latch del activo al que se quiere conectar.

Figura 9: Escenario de 2-Keys Activation con Latch

Dicho esto,  y volviendo al principio del artículo, mientras que algunas empresas se gastan grandes cantidades de dinero en tecnologías super-fashion, los BASICS de muchas empresas siguen estando sin resolverse de forma segura, y uno de ellos es el control de identidad y la información a la que tienen acceso los usuarios. Yo, hasta me inventé una startup para esto a la que llamé You Leak IT. Ahora, una vez leído todo el artículo haz una prueba en tu compañía y dime: ¿Cuántos sistemas críticos de tu organización tienen como único control un usuario y contraseña?

Saludos Malignos!

6 comentarios:

Javier dijo...

Eso siempre ha sido asi y más en empresas informaticas. Cuando un trabajador se va o es despedido hay que tener cuidado con qué puertas ha podido dejar abiertas y cerrar todo posible usuario creado por él.

Personalmente, cuando nos echaron de la empresa (no voy a decir nombre) el control sobre nuestros datos y accesos fue exhaustivo. Lo entiendo porque teníamos acceso a todo y puede que lo sigamos teniendo ;-))

Un saludo

Anónimo dijo...

Pues en la mía los técnicos de sistemas que se fueron siguen teniendo acceso a todo. No se ni como no ha reventado todo ya.

Arsenio Aguirre dijo...

Hace un par de años implementé una plataforma de gestión de cuentas privilegiados y se consideraron todos los temas expuestos en este blog, no solo se necesita una herramienta sino también definir procesos, procedimientos y estándares para el uso de cuentas privilegiadas.

Actualmente estoy documentando la experiencia en la implementación de la plataforma y me servirá como Trabajo Final de la Especialización en Seguridad Informática.

Saludos,

Unknown dijo...

Me pregunto entonces lo que debe suponer en términos de riego la modalidad BYOD, tan en auge en estos momentos.
Me gustaría conocer tu opinión y recomendación sobre esta práctica Chema.

Un abrazo!

Anónimo dijo...

Yo para poder entrar en un sistema solo necesito encontrar una unico agujero, los delegados de seguridad para proteger sus sistema deben conoces todos los agujeros, buena suerte.

Unknown dijo...

Me gusta

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares