La falacia del borrado remoto
Resumen: Thomas Porter alega que, como un control de seguridad, no se debe confiar en el borrado remoto de los dispositivos móviles como un control de seguridad.
Información publicada recientemente indica que la persona de negocios promedio tiene 3,5 de tales dispositivos móviles - una laptop, tablet o netbook y uno o dos teléfonos celulares. Este número se ha duplicado en los últimos tres años y, seguramente, continuará en aumento.
Quizás esta sea una razón por la cual tantos profesionales de seguridad se concentran en controlar y particularmente en borrar remotamente los dispositivos de usuario final. Aún más sorprendente es la evidencia anecdótica que los profesionales en seguridad desean asignar a este esfuerzo hasta la tercera parte de su presupuestos de administración de dispositivos móviles. Superficialmente, parece ser un enfoque razonable para la protección de los datos remotos en reposo. El algoritmo es simple: si la información confidencial en un dispositivo móvil está amenazada, entonces dinamitarla.
La verdad, sin embargo, es que cuando se usa como un control de seguridad, el borrado remoto representa una forma convencional de solucionar un problema que ya no es convencional.
Esto es particularmente cierto cuando -y a menudo es el caso- el dispositivo móvil es propiedad del empleado. Aún cuando sea implementado y administrado correctamente (la excepción, no la regla), el borrado remoto no disminuye el riesgo de ninguna forma significativa; esto oscurece los procesos viables que funcionan para proteger la información confidencial remota y crea un potencial muy real para un litigio sobre privacidad (Cuando su compañía acaba con su iPhone).
Con esto en mente, los departamentos de TI y seguridad de TI deben aprovechar el creciente consumismo de dispositivos móviles para maximizar la rentabilidad corporativa, mientras que simultáneamente protegen los activos de información corporativa.
Hay una disonancia real aquí. Los proveedores de MDM han (naturalmente) aprovechado este conflicto y han, en muchos casos, impulsado sus soluciones particulares más allá de los parámetros de diseño previstos de esas soluciones - de administración en seguridad, principalmente mediante la integración de algún tipo de capacidad de borrado remoto.
Pues no. No cuando uno da un paso atrás y piensa sobre esto.
En este mundo rápidamente cambiante, virtualizado y móvil, el desafío crucial de la seguridad en la empresa es protegerla de la pérdida de información corporativa confidencial. Con este fin, tenemos muchas políticas, procesos y herramientas que funcionan la mayor parte del tiempo. Si, en sus procedimientos de seguridad, surge una situación en la cual la única opción del administrador es el borrado remoto, entonces ya es demasiado tarde. Uno puede eliminar la puerta del establo (o el establo completo si quiere) pero el caballo se escapó hace tiempo. En nuestro campo, solo se tiene una oportunidad para proteger la información.
Cuando se fue, se fue.
Los proveedores de MDM sostendrán que eso simplemente no es cierto - que los datos en el dispositivo aún pueden ser protegidos destruyéndolos. En un mundo perfecto cuando los astros se alinean, eso podría ser cierto. Pero no es cierto y raramente lo es. Primero: comencemos con la física. La generación actual de dispositivos móviles usa principalmente memoria flash NAND para el almacenamiento, no un disco rígido. Aunque, desde la perspectiva del usuario, la memoria flash parezca funcionar como un disco duro, funcionalmente son totalmente diferentes.
Hay un número de otros asuntos sutiles al asegurarse que un módulo completo de memoria flash haya sido borrado del punto de vista forense. El punto aquí es que borrar todos los archivos de un dispositivo basado en memoria flash es más complicado que sencillamente formatear la unidad, ya que el proveedor debe integrar con una serie de controladores integrados en un entorno cada vez más heterogéneo. En pocas palabras, en el mundo real, el borrado remoto no funciona muy bien.
Segundo: Los usuarios a menudo desbloquean (jailbreak, root) o modifican de alguna forma el sistema operativo del dispositivo. Desde el punto de vista de la seguridad, esto es una espada de doble filo. Por otro lado, los usuarios que modifican sus dispositivos de esta forma a menudo son técnicamente expertos y por lo tanto son probablemente más proclives a estar conscientes de los potenciales problemas relacionados con la seguridad. Por otro lado, los hackers de los jailbreak y kernel contribuyen a una complejidad adicional al MDM en un entorno ya bastante heterogéneo. Y, sobre todo, ¿cómo borramos remotamente esos dispositivos? Bien, primero debemos detectar que un dispositivo ha sido modificado. Para la mayoría de los sistemas operativos remotos, esto es o bien difícil o imposible ya que las llamadas a la API que pueden ser consultadas sobre el estado del jailbreak a menudo son las primeras alteradas como parte del proceso del jailbreak.
Los defensores del borrado remoto podrían alegar, "pero el 95% de nuestros dispositivos son basados en iOS y Apple provee enlaces para nuestras soluciones MDM."
Esto fue cierto hasta diciembre de 2010 cuando Apple - por alguna razón - eliminó la API de detección de jailbreak. Desde aquel momento, los proveedores de MDM se han visto forzados a inventar métodos que les permitan detectar semi-confiablemente dispositivos iOS que sufrieron jailbreak. Todos esos métodos finalmente se basan en la localización de servicios para la validación de iOS, y ninguno de ellos es infalible. Por lo tanto, su capacidad de borrado remoto para los usuarios de iOS depende primero de rastrear la ubicación de todos sus usuarios cada vez que cambien a una nueva antena de celda y luego de la inconsistente habilidad de su solución MDM para acceder a las primitivas de iOS (prohibido por Apple, por cierto). Aun si asumimos que todo esto funciona como fue planeado, su organización aun tiene que lidiar con muchos usuarios que creen (comprensiblemente) que tienen el derecho civil de no ser seguidos 24x7 por sus empleadores.
El resultado es que no se puede confiar en el borrado remoto de dispositivos móviles modificados con un alto grado de certeza.
Tercero: En general, el borrado remoto - cuando funciona- es como una cachiporra. Tiene poco o ningún conocimiento del contexto y a menudo destruye indiscriminadamente tanto información corporativa como personal.
Esto tiene una serie de implicaciones. Están las consecuencias obviamente negativas del borrado remoto erróneo y la privacidad. Para mi lo más interesante son las potenciales consecuencias legales, ya que es cierto (al menos en los EEUU) que las entidades que pulsan el botón del borrado remoto deberán asignar recursos para defenderse en las cortes civiles de al menos tres violaciones graves de responsabilidad civil:
Cuarto: Es trivial a un juego de guerra cualquier número de escenarios donde el borrado remoto puede ser eludido. Si hemos aprendido alfo en la práctica de la seguridad de la información en los últimos veinte años, es que si intentamos cercar a los usuarios, podrán - a propósito o sin advertirlo - inventar formas ingeniosas de eludir los controles que establecemos. Una encuesta mundial realizada recientemente por Fortinet reveló que 1 de cada 3 usuarios de dispositivos móviles infringiría la política de seguridad de su empresa para poder usar su dispositivo personal con propósitos laborales.
"¿Borraron mi correo?" No hay problema. Tengo todo guardado como un PDF o una imagen JPG.
"¿Borraron mi dispositivo por completo?" De acuerdo. Repliqué todo el contenido importante en Facebook, varios proveedores de almacenamiento en la nube y en mi computadora hogareña usando Google+. Evernote, Pocket, Delicious, Direct USB, etc.
El punto aquí es que si el borrado remoto es un componente de un número n de controles específicos de seguridad, no es difícil imaginar al menos n+1 medios de eludir esos controles.
En conclusión, la capacidad de borrar remotamente dispositivos es a menudo un ítem en la lista de verificación cuando se busca un MDM o solución de seguridad móvil. Pero como se describió antes, no se puede confiar en los dispositivos de usuario final. Solo pueden ser autenticados. Bueno ... también se pueden perder o ser robados. La mayoría de los profesionales de la seguridad de la información reconocen esto, y comprenden que, fundamentalmente, la integridad de un dispositivo de usuario final siempre está bajo sospecha. Para eso, el diseño racional de cualquier estrategia de protección de datos depende de la integrar y manejar un numero de controles de seguridad posiblemente relacionados (defensa en profundidad) independientemente del estado del dispositivo.
Ya tenemos herramientas, protocolos y técnicas probadas que pueden ser usadas para administrar económicamente estos riesgos.
Algunos no serán tan cool como el borrado remoto, pero a diferencia del borrado remoto, son técnicamente sensibles, económicamente racionales y funcionan.
Traducción: Raúl Batista - Segu-Info
Autor: Thomas Porter es director senior de seguridad empresaria en Fortinet
Fuente: ZDNet
Información publicada recientemente indica que la persona de negocios promedio tiene 3,5 de tales dispositivos móviles - una laptop, tablet o netbook y uno o dos teléfonos celulares. Este número se ha duplicado en los últimos tres años y, seguramente, continuará en aumento.
Quizás esta sea una razón por la cual tantos profesionales de seguridad se concentran en controlar y particularmente en borrar remotamente los dispositivos de usuario final. Aún más sorprendente es la evidencia anecdótica que los profesionales en seguridad desean asignar a este esfuerzo hasta la tercera parte de su presupuestos de administración de dispositivos móviles. Superficialmente, parece ser un enfoque razonable para la protección de los datos remotos en reposo. El algoritmo es simple: si la información confidencial en un dispositivo móvil está amenazada, entonces dinamitarla.
La verdad, sin embargo, es que cuando se usa como un control de seguridad, el borrado remoto representa una forma convencional de solucionar un problema que ya no es convencional.
Esto es particularmente cierto cuando -y a menudo es el caso- el dispositivo móvil es propiedad del empleado. Aún cuando sea implementado y administrado correctamente (la excepción, no la regla), el borrado remoto no disminuye el riesgo de ninguna forma significativa; esto oscurece los procesos viables que funcionan para proteger la información confidencial remota y crea un potencial muy real para un litigio sobre privacidad (Cuando su compañía acaba con su iPhone).
El Manejo de Dispositivo Moviles (MDM) no es el problema
Me puedo imaginar que si un empleado de una de las 60 compañías de Manejo de Dispositivos Móviles (MDM) que han surgido recientemente fuera a leer el párrafo de arriba, podría en el mejor de los casos no estar de acuerdo conmigo u ofrecer pagar por la cuerda para que me cuelguen, en el peor. No lo culparía. Sin embargo, alegaría que están equivocándose respecto de mi posición. Estoy completamente a favor de la administración de dispositivos móviles. Si se le permite a un dispositivo el acceso a los recursos con información corporativa, entonces debe tener aplicado las políticas de acceso de usuario/grupo y contraseña, debe ser etiquetado, registrado y seguido, respaldado - todos los procedimientos normales y apropiados de administración de activos deben aplicar a cualquier dispositivo, sin importar el tipo ni su ubicación.Con esto en mente, los departamentos de TI y seguridad de TI deben aprovechar el creciente consumismo de dispositivos móviles para maximizar la rentabilidad corporativa, mientras que simultáneamente protegen los activos de información corporativa.
Hay una disonancia real aquí. Los proveedores de MDM han (naturalmente) aprovechado este conflicto y han, en muchos casos, impulsado sus soluciones particulares más allá de los parámetros de diseño previstos de esas soluciones - de administración en seguridad, principalmente mediante la integración de algún tipo de capacidad de borrado remoto.
El caso contra el borrado remoto
De acuerdo. Asumamos por un momento que el borrado remoto está en su lista cuando va a comprar la solución de seguridad móvil. Uno busca tranquilidad cuando un dispositivo se pierda o sea robado o cuando un empleado deje la organización. Uno quiere tener certeza que la información corporativa confidencial en el dispositivo comprometido sea eliminada y que el acceso a las aplicaciones, hardware e información corporativa sea desactivado. El borrado remoto nos da esa seguridad, ¿cierto?Pues no. No cuando uno da un paso atrás y piensa sobre esto.
En este mundo rápidamente cambiante, virtualizado y móvil, el desafío crucial de la seguridad en la empresa es protegerla de la pérdida de información corporativa confidencial. Con este fin, tenemos muchas políticas, procesos y herramientas que funcionan la mayor parte del tiempo. Si, en sus procedimientos de seguridad, surge una situación en la cual la única opción del administrador es el borrado remoto, entonces ya es demasiado tarde. Uno puede eliminar la puerta del establo (o el establo completo si quiere) pero el caballo se escapó hace tiempo. En nuestro campo, solo se tiene una oportunidad para proteger la información.
Cuando se fue, se fue.
Los proveedores de MDM sostendrán que eso simplemente no es cierto - que los datos en el dispositivo aún pueden ser protegidos destruyéndolos. En un mundo perfecto cuando los astros se alinean, eso podría ser cierto. Pero no es cierto y raramente lo es. Primero: comencemos con la física. La generación actual de dispositivos móviles usa principalmente memoria flash NAND para el almacenamiento, no un disco rígido. Aunque, desde la perspectiva del usuario, la memoria flash parezca funcionar como un disco duro, funcionalmente son totalmente diferentes.
Hay un número de otros asuntos sutiles al asegurarse que un módulo completo de memoria flash haya sido borrado del punto de vista forense. El punto aquí es que borrar todos los archivos de un dispositivo basado en memoria flash es más complicado que sencillamente formatear la unidad, ya que el proveedor debe integrar con una serie de controladores integrados en un entorno cada vez más heterogéneo. En pocas palabras, en el mundo real, el borrado remoto no funciona muy bien.
Segundo: Los usuarios a menudo desbloquean (jailbreak, root) o modifican de alguna forma el sistema operativo del dispositivo. Desde el punto de vista de la seguridad, esto es una espada de doble filo. Por otro lado, los usuarios que modifican sus dispositivos de esta forma a menudo son técnicamente expertos y por lo tanto son probablemente más proclives a estar conscientes de los potenciales problemas relacionados con la seguridad. Por otro lado, los hackers de los jailbreak y kernel contribuyen a una complejidad adicional al MDM en un entorno ya bastante heterogéneo. Y, sobre todo, ¿cómo borramos remotamente esos dispositivos? Bien, primero debemos detectar que un dispositivo ha sido modificado. Para la mayoría de los sistemas operativos remotos, esto es o bien difícil o imposible ya que las llamadas a la API que pueden ser consultadas sobre el estado del jailbreak a menudo son las primeras alteradas como parte del proceso del jailbreak.
Los defensores del borrado remoto podrían alegar, "pero el 95% de nuestros dispositivos son basados en iOS y Apple provee enlaces para nuestras soluciones MDM."
Esto fue cierto hasta diciembre de 2010 cuando Apple - por alguna razón - eliminó la API de detección de jailbreak. Desde aquel momento, los proveedores de MDM se han visto forzados a inventar métodos que les permitan detectar semi-confiablemente dispositivos iOS que sufrieron jailbreak. Todos esos métodos finalmente se basan en la localización de servicios para la validación de iOS, y ninguno de ellos es infalible. Por lo tanto, su capacidad de borrado remoto para los usuarios de iOS depende primero de rastrear la ubicación de todos sus usuarios cada vez que cambien a una nueva antena de celda y luego de la inconsistente habilidad de su solución MDM para acceder a las primitivas de iOS (prohibido por Apple, por cierto). Aun si asumimos que todo esto funciona como fue planeado, su organización aun tiene que lidiar con muchos usuarios que creen (comprensiblemente) que tienen el derecho civil de no ser seguidos 24x7 por sus empleadores.
El resultado es que no se puede confiar en el borrado remoto de dispositivos móviles modificados con un alto grado de certeza.
Tercero: En general, el borrado remoto - cuando funciona- es como una cachiporra. Tiene poco o ningún conocimiento del contexto y a menudo destruye indiscriminadamente tanto información corporativa como personal.
Esto tiene una serie de implicaciones. Están las consecuencias obviamente negativas del borrado remoto erróneo y la privacidad. Para mi lo más interesante son las potenciales consecuencias legales, ya que es cierto (al menos en los EEUU) que las entidades que pulsan el botón del borrado remoto deberán asignar recursos para defenderse en las cortes civiles de al menos tres violaciones graves de responsabilidad civil:
- Invasión de la privacidad por intrusión ofensiva (el demandado invade la soledad del demandante, el aislamiento, los asuntos privados o cuestiones personales)
- Transgresión a la propiedad privada (el despojo ilegal de bienes personales)
- Conversión (en general, la conversión incluye una apropiación indebida de la propiedad del demandante para el uso del causante o malhechor)
En en contexto o borrado remoto, estas son todas acusaciones razonables y darán más dolores de cabeza para aquellos que opten por este enfoque.
Cuarto: Es trivial a un juego de guerra cualquier número de escenarios donde el borrado remoto puede ser eludido. Si hemos aprendido alfo en la práctica de la seguridad de la información en los últimos veinte años, es que si intentamos cercar a los usuarios, podrán - a propósito o sin advertirlo - inventar formas ingeniosas de eludir los controles que establecemos. Una encuesta mundial realizada recientemente por Fortinet reveló que 1 de cada 3 usuarios de dispositivos móviles infringiría la política de seguridad de su empresa para poder usar su dispositivo personal con propósitos laborales.
"¿Borraron mi correo?" No hay problema. Tengo todo guardado como un PDF o una imagen JPG.
"¿Borraron mi dispositivo por completo?" De acuerdo. Repliqué todo el contenido importante en Facebook, varios proveedores de almacenamiento en la nube y en mi computadora hogareña usando Google+. Evernote, Pocket, Delicious, Direct USB, etc.
El punto aquí es que si el borrado remoto es un componente de un número n de controles específicos de seguridad, no es difícil imaginar al menos n+1 medios de eludir esos controles.
En conclusión, la capacidad de borrar remotamente dispositivos es a menudo un ítem en la lista de verificación cuando se busca un MDM o solución de seguridad móvil. Pero como se describió antes, no se puede confiar en los dispositivos de usuario final. Solo pueden ser autenticados. Bueno ... también se pueden perder o ser robados. La mayoría de los profesionales de la seguridad de la información reconocen esto, y comprenden que, fundamentalmente, la integridad de un dispositivo de usuario final siempre está bajo sospecha. Para eso, el diseño racional de cualquier estrategia de protección de datos depende de la integrar y manejar un numero de controles de seguridad posiblemente relacionados (defensa en profundidad) independientemente del estado del dispositivo.
Ya tenemos herramientas, protocolos y técnicas probadas que pueden ser usadas para administrar económicamente estos riesgos.
Algunos no serán tan cool como el borrado remoto, pero a diferencia del borrado remoto, son técnicamente sensibles, económicamente racionales y funcionan.
Traducción: Raúl Batista - Segu-Info
Autor: Thomas Porter es director senior de seguridad empresaria en Fortinet
Fuente: ZDNet
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!