Monday, October 22, 2012

¿Y quién vigila al vigilante? ¿y a ‘root’ y a ‘Sysadmin’?


Siempre he pensado que el área TI (Tecnologías de Información), mejor conocida como “Sistemas”, está subvalorada; sin embargo, también pienso que algunos responsables de TI, deberían buscar, de manera más vehemente, que TI sea un área estratégica; dar soluciones que aporten a la compañía, y no sólo a las actividades cotidianas del día a día o “apagar incendios” o “bomberazos”. Desafortunadamente la gente percibe así a TI, pero haré a un lado mi trauma impresión y hablaré de algo que me inquieta particularmente desde que me pasé al lado oscuro de la fuerza área de Seguridad de la Información hace varios años.


Una situación recurrente es que algunas posiciones de TI por su propia naturaleza requieren de accesos privilegiados o elevados, es decir, que pueden administrar, borrar, crear o modificar información o datos, códigos fuente de los sistemas, bases de datos; insisto, como parte natural de sus funciones. Sin embargo, y como dicen en Spider-man: “Un gran poder conlleva una gran responsabilidad”


Y es que de acuerdo a un estudio que realizó la firma de seguridad Lieberman Software a más de 450 profesionales TI, se detectó que el 39% del personal TI accede sin autorización a la información más sensible de su organización, incluyendo documentos privados, y que uno de cada cinco ya ha accedido a datos que no debía. Y es que es una cuestión de ética personal y profesional, pero si tienes la puerta abierta a algo que causa curiosidad, y cuentas, además, con las herramientas para verlo sin que nadie lo note o incluso borrar tus huellas de la cerradura de la puerta, ¿lo harías? Sé honesto(a)... Quizás sí, quizás no; lo cierto es que muchos administradores sí lo realizan. La información es poder, y partiendo de esa acepción, muchos al tener al alcance ese “poder”, simplemente lo toman.

¿Qué información confidencial podrían ver? La que se te ocurra: nómina, salarios, bonos, aumentos, próximos despidos, estrategias comerciales, datos personales de empleados o clientes; fórmulas, estados de salud, archivos, emails o fotos personales que los empleados tengan en sus equipos o directorios; y un sinfín de documentos provocando brechas de seguridad y fugas de información. Pero no sólo se podría limitar a ver, ya que un administrador podría modificar la información, copiarla, enviarla por email, llevársela en medios de almacenamiento, subirla a la nube, etc. y además, borrar el rastro. ¿Cuántas personas se van de un trabajo a otro y se llevan información que consideran de ellos, o que les podría servir en algún punto? Ahora imagínense que mucha gente de TI tiene todas las herramientas y conocimientos para “brincarse” las barreras y hacer lo mismo y más.  Y esta situación me lleva a esta pregunta reflexiva del poeta romano Juvenal: «Quiscustodiet ipsos custodes?»,  o lo que es lo mismo: «¿Quién vigilará a los vigilantes?». Es analogía.

«¿Quién vigilará a los vigilantes?»  
¿Se deberían supervisar los accesos privilegiados de los superusuarios? Por supuesto que sí, y para eso hay herramientas que permiten y facilitan dicha tarea; sin embargo es una labor ardua y tiene varias aristas. Algunos sistemas generan logs o bitácoras, siempre y cuando estén activados, o permiten esa funcionalidad. Pero no es sólo cuestión de que existan los logs, sino qué información queremos que arroje, quién los revisará, con qué periodicidad, qué objetivo tiene revisarlos y muchas preguntas que hay que concretar primero para que la estrategia de monitoreo de logs, sea efectiva. Pero finalmente, revisar un log es un control detectivo, cuando en realidad queremos un control preventivo. Si nadie puede usar el puerto USB, un administrador tendría la facultad de otorgar dicho permiso para sí mismo. Si nadie puede navegar libremente en internet por filtros de contenido, un administrador podría quitarse dicha restricción. 


Para continuar el texto, requiero hacer un cambio. Permítanme tantito.

$ su - root
Password: ************   
$ Ahora siendo root puedo continuar mi texto al fin puedo controlar todo. Inclínense ante mí, que soy root. 
(Ya sé que no es necesario haber escrito “root” en el su -. )
 


Entre otros procedimientos o herramientas que ayudan a segregar y limitar el acceso privilegiado, existe el “Break Glass”. En éste, el password de la cuenta administradora es resguardado en un sobre físico o electrónico. En el caso del físico, es custodiado por alguna persona ajena al área o función, de tal manera que existe segregación de funciones y se minimiza el conflicto de intereses. El sobre sólo se puede solicitar una vez que se cumplan ciertos patrones o que exista justificación para usar la cuenta privilegiada. En el caso del electrónico, podría estar ligado al sistema de Control de Cambios, el cual revisaría que el número de cambio existe y fue autorizado por las partes definidas en el proceso y sistema. Una vez terminado el uso de la cuenta y contraseña privilegiada; se requiere que sea cambiada para prevenir el uso a posteriori. En ambos casos (físico y electrónico) necesitamos que haya un “tercero” que cambie la contraseña para que nuevamente se cumpla el principio de segregación de funciones donde ninguna persona o departamento realiza todas las etapas de una transacción, o en este caso, de un cambio. El “tercero” puede ser otra persona o un sistema, job, robot o similar, que cambie la contraseña y meta en el sobre la nueva. Quizás la parte más complicada de implementar algo así, es romper el paradigma de las personas que usan de manera indiscriminada regular, estas cuentas.



De acuerdo a un estudio que realizó Forrester, el 63 % de los problemas de seguridad en las empresas es por un fallo interno por el propio personal. Los datos de empleados y clientes son los que más se ven afectados se en los fallos de seguridad, y exiten en un 22% de los casos, seguido de  la propiedad intelectual de la compañía la cual es la información más vulnerada, con un 19 %. Y es que con privilegios de administrador y ningún control para el (ab)uso indebido de estas cuentas, podría resultar arriesgado confiar en la ética de los administradores. Aquí dejo una lista de buenas prácticas que he observado en diferentes compañías. Cabe señalar que no son la panacea, pero tal vez les den una idea de lo que les es posible implementar:
 


  • Desarrollar política de accesos y uso de cuentas privilegiadas
  •  Identificar todas las cuentas privilegiadas, genéricas, y que sirvan para procesos automáticos
  • Tener cuentas personalizadas, únicas e identificables en lugar de genéricas, default y built-in como: root, SA, SYS, Sysadmin, admin, administrator, dbo, dba, etc., y no compartirlas
  • NO usar las cuentas arriba mencionadas a menos que sea estrictamente necesario y por medio de un control definido; quizás como el break glass que contemple proceso de autorización
  • Documentar el propósito y duración de cada solicitud de acceso privilegiado
  • Tener cuentas para los administradores que sean identificables y diferentes a su cuenta de usuario regular (es decir, mi cuenta de usuario sería: ARAMIREZ, y la administradora: ARAMIREZ_ADMIN)
  • Hay más, pero cada escenario es distinto por lo que habría que evaluar lo que se debe y puede hacer
¿Y usted? ¿Sabe que está haciendo su Sysadmin? 

¿Y quién vigilia a su vigilante?




 kill -s 1337
$ shutdown -r

Mind the Information Security Gap…
Alberto Ramírez Ayón, CISM, CISA, CRISC, CBCP