Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Diofanor Rodríguez Lozano

Oficial de la Policía Nacional de Bogotá en excedencia.
Certificado Profesional en Protección (CPP), por ASIS Internacional
Especialización en Seguridad Física y de Informática por la Escuela de Comunicaciones Militares de Bogotá

Gerente de Seguridad de Agroindustria UVE, S.A. (Colombia)

Los dispositivos portátiles, un riesgo menospreciado para la seguridad de la información


La tecnología en su avance constante ha hecho, de un tiempo a esta parte, que la  multiplicación de dispositivos portátiles de almacenamiento  haya crecido considerablemente. Dicho crecimiento se refleja en la funcionalidad que le da al usuario común y corriente, como al corporativo. De hecho, la tecnología USB ha incrementado en el usuario las necesidades, como es el caso de los que tienen incorporada tecnología U3, pues lo que hace esta tecnología es ejecutar directamente desde el dispositivo varias aplicaciones como son clientes de correo, navegadores, herramientas de seguridad, herramientas de ofimática y hasta servidores.  Claro esta que los dispositivos traen más funcionalidades, pero junto a esto también traen embebidos riesgos y amenazas que atentan contra la seguridad de la información.

Con esta introducción nos podemos ir haciendo una idea de lo complejo que es el control de estos dispositivos dentro de las organizaciones y que no es solo problema de los responsable de seguridad IT, sino que por el contrario involucra al personal de security y por consiguiente a todos los usuarios.

Los dispositivos portátiles  de almacenamiento están teniendo  uso en muchas aplicaciones de la informática personal: reproductores de música, cámaras digitales, reproductoras de vídeo, e incluso, teléfonos celulares. Todos ellos utilizan tecnologías similares (discos flash) con distintos nombres: Compact Flash (CF), Unidades Flash, Memory Stick, Microdrives, Mini Card, Multi Media Card (MMC), Secure Digital (SD), Smartmedia, y XD-Picture Card.
 
Por otro lado, la introducción de buses universales para la conexión de dispositivos portátiles como son el estándar Universal Serial Bus (USB) y el Estándar Firewire (IEEE 1394) en los ordenadores personales ha llevado a la propagación de dispositivos que utilizan estas interfaces, entre ellos, de nuevo, dispositivos de almacenamiento. Debido a la limitación de capacidad de los basados en tecnología flash, han proliferado en el mercado de consumo los denominados “discos duros externos”, que no son sino discos duros de consumo y tamaño reducido que ofrecen una capacidad de almacenamiento muy superior a los compactos. En la actualidad es posible encontrar, a precios razonables, discos duros USB de 500 GB y Firewire de 1.000 GB. Ello demuestra que el aumento de dichos dispositivos y las economías de escala logran una disminución constante de precio, al mismo tiempo que aumenta la capacidad de estos dispositivos.

Existen muchos riesgos asociados a este tipo de dispositivos, debido a la capacidad de almacenamiento que poseen y a su tamaño, aspectos que facilitan al intruso o al empleado interno cualquier acción en contra de la información. A continuación señalaremos algunos riesgos, como para hacernos a una idea global de contra que nos enfrentamos. Entre las múltiples cosas que se pueden hacer están las  siguientes:

a) Extraer información de la empresa y transportarla fuera de ésta.
b) Introducir programas no autorizados desde el exterior (potencialmente maliciosos), en algunos casos, con ejecución de código automático sin intervención del usuario.
c) Comprometer el equipo a través del arranque de un dispositivo desde la BIOS.
d) “Atacar” al sistema operativo a través de controladores de dispositivos maliciosos o mal programados.

Los tres primeros riesgos no son desconocidos; indiscutiblemente, ya existían incorporados a cualquier dispositivo de almacenamiento externo como lo son los diskettes o CD, por nombrar los más conocidos.  Lo que sucede es que el nivel de riesgo de estos dispositivos es mucho mayor toda vez que no es comparable en ningún orden la cantidad de información que pude guardar un CD o un diskette a la que puede transportar un disco portátil. La diferencia es de gran tamaño, pues si realizamos una comparación de un disco portátil y un DVD-Rom notaremos que hoy en día una persona puede transportar el equivalente a 60 DVD en un dispositivo que fácilmente puede ser llevado en la mano o en el bolsillo de su pantalón.

No podemos olvidar que aquellos que manejan memorias USB con frecuencia no son habitualmente conscientes de que existen memorias modificadas que pueden hacer creer al sistema operativo (Windows) que son un dispositivo de sólo lectura. Así, cuando éstas se conecten a un equipo el código de que dispongan se ejecutará automáticamente a menos que se haya deshabilitado esta función de forma integral. A diferencia de los medios de sólo lectura, que sólo podrían propagar un código malicioso, un atacante podría disponer de un dispositivo USB que duplique de forma automática y “silenciosa”, al ser insertado, todos los contenidos del ordenador al que se ha conectado, dejando en el propio dispositivo USB (por ejemplo, en una carpeta oculta) toda la información recuperada sin que el usuario que lo ha utilizado sea consciente de ello.

Como podemos ver, existen dificultades claras para los encargados de seguridad al momento de establecer controles para gestionar el riesgo asociado a  los dispositivos móviles, que se derivan obviamente del carácter del dispositivo como implemento de uso normal y frecuente.

Cuando en una organización el uso de estos dispositivos esta permitido se convierte en cultura, lo que hace difícil controlar los riesgos y poner limites a su utilización, control que no obstante es de vital importancia si se pretende evitar fugas de información. Esto significa iniciar una labor de toma de conciencia por parte de los usuarios  sobre los riesgos incorporados a estos dispositivos y  controlar  el puesto de trabajo para impedir su mal manejo.

Para casos específicos como el de los dispositivos  de almacenamiento masivo USB (que se cargarían sin intervención del usuario y sin necesidad de tener privilegios especiales), se pueden tomar algunas  medidas que se relacionan a continuación:

  • Deshabilitar la carga de dispositivos USB, bien modificando el registro o bien eliminando el controlador del sistema para que éste no pueda cargarse.
  • Modificar la lista de dispositivos “reconocidos” como dispositivos de almacenamiento masivo modificando la lista definida en usbstor.inf, para que sólo un conjunto de dispositivos autorizados puedan hacer que se cargue de forma automática el controlador usbstor.sys.
  • Deshabilitar la carga de controladores desde Internet.
  • Bloquear el acceso de escritura a dispositivos de almacenamiento modificando la clave del registro. Esta alternativa sólo es posible en sistemas Windows XP SP2 (KB-555443).

En el caso de sistemas Linux es más sencillo ya que es posible:

  • Deshabilitar el servicio hotplug para desactivar la carga automática de dispositivos (en Windows no se puede parar el servicio Plug and Play sin inhabilitar gran parte del sistema)
  • Modificar la configuración del servicio para que no monte automáticamente dispositivos de almacenamiento.
  • Modificar la configuración de los permisos de montaje para usuarios impidiendo el montaje de dispositivos en el sistema de ficheros o limitando las operaciones que se pueden hacer con éstos (solo lectura, sin permisos de ejecución, etc.)

Para ilustrar un poco lo antes dicho recurriré a un experimento  realizado por Secure Network Technologies (empresa  de auditoria de seguridad), cuando a la hora de diseñar una auditoria de seguridad para una entidad financiera norteamericana: diseminaron 20 memorias USB por las instalaciones, como el aparcamiento o la zona de fumadores. Cada memoria contenía un programa troyano, escondido dentro de una imagen, que se auto instalaba en el ordenador, robaba las contraseñas y la información personal del empleado, como los sitios a los que se había conectado y enviaba los datos a los expertos en seguridad. 

El éxito de dicho experimento fue total, pues 15 de las 20 USB terminaron conectadas a ordenadores de la compañía. Ello  demuestra con gran claridad que el uso de memorias USB genera unos resultados asombrosos con menos riesgos de ser sorprendidos por organismos de control. 

Como hemos visto a lo largo de este documento, en muchas de nuestras organizaciones hemos menospreciado este riesgo y aun no hemos tomado conciencia de que debemos controlarlo. Si le sumamos a esto que en múltiples ocasiones se extravían las memorias USB y sus dueños no la reportan, y por consiguiente no se puede realizar una investigación de los hechos, es muy difícil que podamos saber que tipo de información se ha perdido y en manos de quien se encuentra.

Existen en el mercado distintas alternativas para su mitigación,
que van desde software especifico para el bloqueo de los puertos USB, hasta
la aplicación de derechos y permisos por políticas de seguridad, pero por supuesto es importante estar atento a la cantidad de vías de escape de información que esto abre.

Los dispositivos portátiles establecen un riesgo no vigilado hoy en día en la mayoría de las organizaciones, a pesar de disponer de herramientas, tanto en los propios sistemas operativos como las aplicaciones de terceros para restringir y auditar su utilización, y comprimir, por tanto su riesgo. La aparición de nuevos tipos de dispositivos (como las memorias USB con capacidad de ejecución automática), el calamitoso incremento de su capacidad y la seguridad y imprevisión con la que se hace uso de este tipo de dispositivos, no hace sino agravar el problema. A mediano plazo las organizaciones tendrán que diseñar e introducir políticas de control, so pena de exponerse a aparecer en las noticias como otra de las empresas que ha sufrido un robo importante de información interna o de sufrir las consecuencias de la sustracción masiva de información confidencial.

La invitación para hoy es que desde la seguridad corporativa podamos interactuar con la seguridad IT a fin de crear políticas que nos lleven a minimizar este tipo de riesgo en contra de la integridad, disponibilidad y confidencialidad de la información.

Referencias

 


Fuente: Diofanor Rodríguez
Fecha: 24/01/07

   Mas artículos de Diofanor Rodríguez Lozano       Otros Expertos   

Este experto ha sido visto por 3599 personas.