lunes, 23 de febrero de 2015

El uso de la misma llave para todos los dispositivos/clientes/servicios

Los sufíes (uno de los colectivos iniciadores del Islam) tienen un cuento en el que relatan la historia de un cerrajero que, encarcelado en una prisión por crímenes que no cometió, encuentra la manera de huir de la misma utilizando para ello un elaborado plan. El detonante es la alfombra que su mujer, que después de remover cielo y tierra, consigue hacerle llegar para que pueda realizar sus rezos diarios. Una alfombra finamente tejida con una gran llave en el centro, y todos los pasos que deberá seguir bordados a su alrededor.


La tesis del cuento es que cualquiera puede utilizar aquello que tiene a su alrededor para hacerse con una llave. Una clave única capaz de abrir cualquier obstáculo que se nos presente. Y en nuestros días uno de los mayores obstáculos conocidos es Superfish, el bloat/ad/malware que venía instalado en los dispositivos de Lenovo y que servía a terceros la llave necesaria para realizar cualquier maldad que se les ocurra.

A Superfish le han salido varios competidores serios. Empezando por los descubrimientos de Matt Richard, uno de los investigadores de Seguridad de Facebook, que asegura haber encontrado al menos 10 “Superfish” presentes en diferentes servicios y dispositivos ampliamente utilizados.

Superfish permite incluir adware sin conocimiento por parte del usuario, además de explotar la seguridad de protocolos SSL. Y afecta también a algunas de las herramientas de firmas de antivirus tan reputadas como Lavasoft y Comodo, lo cual no deja de ser curioso, más cuando precisamente esta vulnerabilidad aparece en herramientas enfocadas a reforzar la seguridad en el tráfico SSL como prevención a posibles ataques de publicidad malware…

El problema es tan acuciante, que la fundación Mozilla se está planteando actualmente si incluir en su lista negra los certificados utilizados por Superfish. Certificados que vienen por defecto instalados en la mayoría de dispositivos Lenovo, e incluso presentes en algunos otros servicios digitales.

¿Pero cómo se consigue expandir este tipo de vulnerabilidades? Basta con que alguna de las aplicaciones que usamos en nuestro día a día haga uso de certificados comprometidos, habitualmente con acceso Root, para que al atacante se le abra un abanico inmenso de posibilidades. Para ello, se buscan aplicaciones que tengan los permisos necesarios, y se procede habitualmente a realizar una campaña de phishing hacia el desarrollador. Cualquier excusa es buena para engañar al equipo que está detrás y corromper la buena finalidad del servicio atacado.

Así es como nos damos cuenta que el humano (usuario, trabajador) acaba la mayoría de las veces por ser el eslabón más débil de la cadena. A veces por su propio Síndrome de Diógenes Digital, es decir, la costumbre de guardarlo todo “por si el día de mañana me vuelve a servir para algo”.

Otras, debido al uso demasiado flexible de la información corporativa, al no aplicar normativas que gestionan acertadamente la seguridad de la información como la norma ISO 27001.

Porque quién no ha dejado un post-it al lado del ordenador con la clave de acceso, o quién ha delegado el “recuerdo” de un número de teléfono a la lista de contactos del móvil. La tecnología como vehículo de expropiación y externalización de la información. Como llave, a fin de cuentas, tanto para lo bueno, como en este caso, para lo malo.

0 comentarios:

Publicar un comentario