Google no entiende "su problema de seguridad" y adopta la estrategia del avestruz
Cuando uno lee noticias que llenan grandes titulares y que resultan
significativas o llamativas debe coger siempre el contenido con pinzas.
La de hoy es el anuncio por parte de Google de suprimir internamente el
uso de Windows por motivos de seguridad. Obviamente detrás de un titular
similar debe haber motivos económicos, estrategias empresariales y
otras causas que lleven al Gran Hermano a hacer un salto tecnológico tan
importante pero desde luego, no parece razonable que sea "solo" por la
seguridad.
Básicamente porque el incidente relacionado con la Operación Aurora podría repetirse perfectamente en las nuevas plataformas que quiere utilizar, ya sea Linux, Mac Os o su futuro sistema operativo. Voy a tratar de justificar mi planteamiento en base a lo que sucedió en la operación Aurora que es utilizado como coartada para el salto.
Los hechos
El campo de batalla
De todas formas, Microsoft también ha respondido con sus argumentos frente a esta migración.
Quiero acabar también comentando que yo he saltado a Mac OS hace relativamente poco, pero por el cambio en el uso que doy a mi equipo doméstico. Mi migración está relacionada con que quiero un ordenador en casa sobre todo para temas multimedia, edición de fotografías, video y consultar a Internet. Y nada más. A ello se suma que el diseño de los equipos de Apple para escritorio tienen una estética muy atractiva y sobre todo, ocupan un espacio muy reducido integrando pantalla y equipo en un mismo elemento. Además, con ello también paso a un escenario de menor riesgo al existir un número muchísimo menor de amenazas dirigidas al usuario común y porque estoy concienciado de la importancia que tienen las conductas seguras que intento practicar. El sistema operativo puede que no lo sea, pero mis usos cotidianos y mis actividades con el equipo tienen poca interacción con Internet y muy pocas instalaciones de software de fuentes desconocidas. En esto de la seguridad de los sistemas operativos tanto tiene que ver el propio sistema como el conductor del mismo. Si el sistema es seguro pero el conductor no, hay problemas. Si el sistema no es muy seguro pero el conductor es prudente, puede también tener pocos accidentes. Soy consciente de que este escenario de pocas amenazas durará un tiempo limitado pero para contrarestarlo estarán mis buenas prácticas y hábitos que me llevan a ser muy cauto con el uso del sistema. Tanto que mi primera aplicación instalada sobre el equipo fue iAntivirus, un monitor de conexiones Tcp/Ip y una vez por mes está en mi To-do actualizar todas las aplicaciones que tienen parches utilizando Appfresh para esto último. Pero esta filosofía vale en el entorno doméstico aunque no me parece adecuada para un entorno empresarial donde el usuario final no puede ser responsable de la protección de su equipo. Quizás una futura filosofía basada en escritorio virtuales si permita implantar una gestión centralizada y controlada pero creo que a día de hoy, se hace más compleja la gestión con este cambio. Las políticas de grupo aplicadas sobre un dominio hacen que el diseño de la seguridad se pueda ajustar como un guante a las necesidades de las diferentes unidades organizativas y las opciones de configuración de seguridad que pueden ser establecidas son casi infinitas. El problema suele ser tener claro que permitir o cortar, más que el poder o no hacerlo.
Autor: Javier Cao Avellaneda
Fuente: Apuntes de Seguridad de la Información
Básicamente porque el incidente relacionado con la Operación Aurora podría repetirse perfectamente en las nuevas plataformas que quiere utilizar, ya sea Linux, Mac Os o su futuro sistema operativo. Voy a tratar de justificar mi planteamiento en base a lo que sucedió en la operación Aurora que es utilizado como coartada para el salto.
Los hechos
- Tal como explica excelentemente en la
noticia Una-al-día de
hoy de Hispasec Sergio de los Santos y que voy a ir citando "En
enero, Google reconocía en su blog oficial haber sido objeto de un
ataque "altamente sofisticado" de origen chino sobre sus
infraestructuras, por el que habían robado código de ciertos programas.
En su evaluación de daños declaraban el robo de propiedad intelectual y
un ataque limitado sobre dos cuentas de correos de GMail. El objetivo
final era la obtención de información sobre activistas chinos para los
derechos humanos. En la investigación abierta (que se llamó "Aurora")
descubrieron que alrededor de veinte grandes compañías de varios
sectores habrían sido atacadas de manera similar. El malware utilizaba
varias vulnerabilidades 0-day."
Lo que supimos después es que Google usaba Internet Explorer 6, un producto bastante antiguo en el mercado y obviamente muy vulnerable dado que su programación no consideraba en su momento muchos de los vectores de ataque que han sido descubiertos con posterioridad. En la noticia de una-al-día se explican los detalles técnicos de cómo sucedió para los más curiosos. Por tanto, el primer problema de Google respecto a la seguridad es no entender la seguridad como un proceso. Además resulta curioso que la propia Google no utilice su tan venerado Chrome o que se vaya a versiones tan antiguas de IE cuando es gratuita la descarga de IE8.
Por tanto, la primera lección de Google debería haber aprendido es que los fallos de seguridad ya no se mueven solo en la capa del sistema operativo. Eso no lo va a solucionar el saltar a Linux o Mac Os.
El campo de batalla
- Como
se supo después del incidente y tal como recogen las noticias del
mismo, el ataque fue altamente sofisticado, dirigido y basado en mucha
información previa sobre el propio Google. Por tanto, cabe discernir que
el enemigo hizo y hubiera hecho lo que hubiera sido necesario para
lograr la intrusión en Google. El segundo problema de Google
puede ser desconocer o subestimar a su enemigo. La motivación
es muy alta y una protección elemental no disuade al agresor a desistir.
Por tanto, quizás como efecto colateral, lo que Google está haciendo a
Linux o Mac Os es ponerles ahora directamente una diana dado que los
atacantes van a tener que empezar a investigar sobre como lograr la
intrusión en estos sistemas operativos. Cierto es que la lógica de ambos
sistemas operativos es robusta dado que son Unix pero... hasta ahora
también han gozado de un desinterés por parte de los que intentan ver
cuanto puede aguantar el sistema operativo. Quizás ahora la cosa cambie
si el uso de otros sistemas operativos se va generalizando y empecemos a
ver que no son tan seguros como aparentan y que su robustez se ha
basado más en la no motivación de atacantes que en el propio mérito del
SO. La primera prueba de fuego la van a sufrir las versiones para
móviles dado que Android y el sistema operativo de Apple para el Iphone
si son mayoritarios dentro del mundo de la telefonía y por tanto,
objetivo prioritario de atacantes. Sólo el tiempo podrá ser juez en esta
situación.
- Quizás lo
que Google no valora es el conocimiento que tiene la propia Microsoft
sobre la gestión de la seguridad. Como suele decir el dicho popular, "la
letra con sangre entra" y Microsoft lleva mucho tiempo sufriendo y
además en varios escenarios (entorno doméstico y empresarial). Por
tanto, en este cambio de estrategia lo que Google deja atrás son
herramientas de administración corporativas que permiten de forma cómoda
o ágil el despliegue de actualizaciones, servicios de gestión de
incidentes que intentan resolver vulnerabilidades Zero-day con una
velocidad inusitada, un Microsoft Malware Protection Center (MMPC) que a
diario lucha frente al crimen organizado y que además intenta vigilar
antes de que el propio malware se elabore, en las primeras fases de
diseño. A ello se suma una política de actualización del software madura
que dispone de publicación de parches con una regularidad mensual y que
tiene entornos de prueba sobre los propios parches para evitar efectos
colaterales no deseados. Que le cuenten a
Mcafee que consecuencias tiene el no probar bien las actualizaciones.
El tercer problema de Google puede ser no disponer de procesos
internos de gestión y operación de la seguridad independientemente del
sistema operativo que utilicen.
- Empieza ya a ser un tópico de la seguridad eso
de que Linux y Mac Os no tiene problemas de seguridad. Es cierto que
tienen un espectro pequeño de amenazas "conocidas" pero haberlas hailas, como las
meigas. Es cierto que son limitadas,no muy numerosas y que suponen
normalmente un error de usuario dado que el perfil con el que corren los
procesos no suele ser el de administración, pero hay constancia ya con
noticias cada cierta frecuencia de problemas en estos entornos. Hoy
se conoce que ciertas Webs de distribución de software han incluido
spyware en sus descargas. Por tanto, el peligro real para Google
está en el cuadrante de amenazas que se situan en el lado de lo
desconocido.
Además, a Google lo que debiera precisamente de preocuparle no son las amenazas conocidas sino las desconocidas, las zero-day de las que nada se sabe hasta que se detecta la intrusión. Por tanto, el cambio de escenario para nada va a relajar las medidas preventivas o de detección de anomalías que hubiera que instalar y por tanto, el cambio de plataforma no evita muchos riesgos que actualmente tiene.El cuarto problema de Google puede ser pensar que este cambio de estrategia va a solventar sus problemas de seguridad o que los hace menos vulnerables..
- El
anuncio de Google debe tener una justificación puramente empresarial
porque no cuela que la coartada sea la seguridad. Quizás sea su futuro
Google-Os aunque lo mismo nos llevamos la sorpresa dentro de unos años
de tener otra "Operación Aurora II" donde entran a Google a través de
Mac Os porque ni la propia Google utiliza su sistema operativo. Lo
que Google debe entender es que para tener más seguridad debe trabajar y
hacer cosas por la seguridad y las deficiencias que dieron
lugar a la operación Aurora ponen de manifiesto el fallo de los
"procesos que deben velar por la protección de sus activos", es decir,
una gestión y configuración adecuada del software, una política de
actualización y gestión de vulnerabilidades, una concienciación a
usuarios, unas restricciones en los entornos de escritorio, etc. Cosas
que hay que hacer todos los días para luchar contra el enemigo invisible
que cualquir día te crea un problema gordo y se lleva tu "codigo
fuente". Tanto valgan tus activos,tanto deberás gastar en protegerlos.
Y comparto también la reflexión de Sergio de los Santos, "el problema de los ataques dirigidos no es que se centren en un software concreto, sino que rara vez yerran su objetivo si están suficientemente motivados para ello". Para estas situaciones es mejor estar al lado de un proveedor tecnológico muy maduro en estos temas a base de años de batallas que frente a nuevas organizaciones más inexpertas o poco atacadas para las que puede que un nuevo escenario de amenazas les pueda pillar por sorpresa. Solo hay que ver cómo Adobe se plantea "ahora" pasar a una política de actualización de parches mensual cuando está ya en medio del ojo de huracán de los desarrolladores del malware (y que todavía está que se lo piensa)
De todas formas, Microsoft también ha respondido con sus argumentos frente a esta migración.
Quiero acabar también comentando que yo he saltado a Mac OS hace relativamente poco, pero por el cambio en el uso que doy a mi equipo doméstico. Mi migración está relacionada con que quiero un ordenador en casa sobre todo para temas multimedia, edición de fotografías, video y consultar a Internet. Y nada más. A ello se suma que el diseño de los equipos de Apple para escritorio tienen una estética muy atractiva y sobre todo, ocupan un espacio muy reducido integrando pantalla y equipo en un mismo elemento. Además, con ello también paso a un escenario de menor riesgo al existir un número muchísimo menor de amenazas dirigidas al usuario común y porque estoy concienciado de la importancia que tienen las conductas seguras que intento practicar. El sistema operativo puede que no lo sea, pero mis usos cotidianos y mis actividades con el equipo tienen poca interacción con Internet y muy pocas instalaciones de software de fuentes desconocidas. En esto de la seguridad de los sistemas operativos tanto tiene que ver el propio sistema como el conductor del mismo. Si el sistema es seguro pero el conductor no, hay problemas. Si el sistema no es muy seguro pero el conductor es prudente, puede también tener pocos accidentes. Soy consciente de que este escenario de pocas amenazas durará un tiempo limitado pero para contrarestarlo estarán mis buenas prácticas y hábitos que me llevan a ser muy cauto con el uso del sistema. Tanto que mi primera aplicación instalada sobre el equipo fue iAntivirus, un monitor de conexiones Tcp/Ip y una vez por mes está en mi To-do actualizar todas las aplicaciones que tienen parches utilizando Appfresh para esto último. Pero esta filosofía vale en el entorno doméstico aunque no me parece adecuada para un entorno empresarial donde el usuario final no puede ser responsable de la protección de su equipo. Quizás una futura filosofía basada en escritorio virtuales si permita implantar una gestión centralizada y controlada pero creo que a día de hoy, se hace más compleja la gestión con este cambio. Las políticas de grupo aplicadas sobre un dominio hacen que el diseño de la seguridad se pueda ajustar como un guante a las necesidades de las diferentes unidades organizativas y las opciones de configuración de seguridad que pueden ser establecidas son casi infinitas. El problema suele ser tener claro que permitir o cortar, más que el poder o no hacerlo.
Autor: Javier Cao Avellaneda
Fuente: Apuntes de Seguridad de la Información
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!