La seguridad no importa a los usuarios


Un curioso experimento demuestra la pesadilla de todo administrador de red. La seguridad no es, ni mucho menos, prioritaria para los empleados. No importa cuántas advertencias se le indiquen, es probable que un importante porcentaje de usuarios no se atenga a unas mínimas normas de seguridad y ponga en riesgo toda una red corporativa por descuido o ignorancia.





El experimento ha sido realizado en Londres, en una zona de gran
actividad comercial. El pasado 14 de febrero, supuesto día de los
enamorados, algunos empleados de la compañía "The Trainning Camp"
entregaron en mano a viandantes en general que acudían a su lugar
habitual de trabajo, un CD. Bajo la excusa de que el disco contenía
información sobre una promoción especial motivada por el señalado día
de San Valentín, se iba regalando a los ejecutivos.

Sin embargo, los compactos no contenían en realidad tal oferta, sino un
simple código que permitía informar a la compañía de quién había
ejecutado el programa en su interior. Entre ellos, según la noticia, se
encontraba personal de grandes bancos y aseguradoras multinacionales. Lo
más grave es que en la carátula del CD se advertía claramente sobre los
peligros de la instalación de software de terceros no confiables, y de
que el hecho de hacerlo podría suponer una violación de las políticas de
seguridad del lugar donde se instalase. Parece ser que el consejo no
fue suficiente para muchos, que simplemente se dedicaron a explorar e
incluso ejecutar los programas en el CD sin dar mayor importancia a la
advertencia.

"The Training Camp" es una compañía del Reino Unido dedicada a la
impartición de cursos "acelerados" destinados a la obtención de
certificados oficiales de seguridad. Rob Chapman, su director, pretendía
de esta forma promocionar sus cursos. Afirma que el código en el CD no
infringía ningún daño sobre el sistema ni tomaba información alguna del
mismo, aunque, según él, queda implícito que cualquier otro tipo de
acción malintencionada hubiese sido posible además de haber tenido
desastrosas consecuencias.

El hecho de haber tomado el disco compacto en la calle y haberlo
introducido en sus sistemas, viola toda regla básica de seguridad. "Los
empleados deben reconocer que suponen el primer y más sencillo paso
hacia la red de la compañía en la que trabajan", concluyó Chapman.

La nota de prensa del experimento no ofrece ningún tipo de dato objetivo
sobre el porcentaje de empleados que "cayeron en la trampa", número de
"señuelos" repartidos, método utilizado para conocer quién había
ejecutado el programa o a qué nivel lo había hecho (introducir el CD,
explorarlo, ejecutar programas en su interior...). Tampoco se habla en
la nota sobre la posibilidad de que, aunque se hubiese ejecutado el
contenido del disco, los sistemas de seguridad de la red en la que se
utilizase impidiesen de alguna forma la notificación de que la acción se
había realizado. Es probable que "The Training Camp" se sirviera de una
petición a un servidor web o a través de correo para saberlo, pero esto
no siempre es permitido por cortafuegos y otros sistemas de seguridad.
Además de ser posible que se haya ejecutado el señuelo y no haya sido
notificado, no se pueden sacar porcentajes concluyentes sobre el
estudio al no disponer de cifras significativas. Todo esto limita
considerablemente el poder sacar contundentes consecuencias de un
estudio de estas características.

En todo caso, resulta curioso un experimento de este tipo en el que,
sobre cualquier otra conclusión, prima el hecho de que muchos usuarios
hagan caso omiso de claras advertencias expuestas. Las advertencias de
que el software no es seguro, pierden impacto cuando se hacen sobre
cualquier tipo de programa ejecutable que llegue de fuentes confiables
(o no). Esta actitud relaja a la larga las defensas de la mayoría de los
usuarios. Advirtiendo de los potenciales peligros de "todo", se obtiene
el efecto contrario: si constantemente "todo" es potencialmente
peligroso y se advierte sobre ello, a la larga, el usuario asociará esa
característica (peligroso) con todo el software; se volverá un concepto
ligado siempre a cualquier programa, aprenderá a asumirlo como riesgo
intrínseco y se le prestará cada vez menor atención. Si "todo" software
es potencialmente peligroso, entonces, con el tiempo y en la práctica,
"ninguno" lo será para el que es constantemente advertido sobre ello.

Aunque necesaria, si se mantuviese a rajatabla esta actitud conservadora
y se acatara estricta y constantemente las advertencias, también se
produciría una situación insostenible. Se limitaría en exceso la
capacidad de trabajo y reduciría la comodidad de uso en el sistema
que es en realidad lo que el usuario y administrador deben buscar
por consenso en un entorno seguro.

Pero esto ocurre no solo en el software, sino en gran cantidad de los
productos que usamos cada día. Prácticamente, hemos aprendido a obviar
ciertos peligros por repetitivos y asumidos. El problema es que no por
ello pueden resultar menos dañinos.

Otra conclusión ya observada en muchas ocasiones, es el peligro que
representan los empleados en la cadena de seguridad de cualquier
empresa. Como decía Champan, suponen el mayor riesgo de seguridad, por
la confianza intrínseca depositada en ellos y los derechos inherentes
que deben poseer sobre la red. Si no son correctamente formados, pueden
suponer un riesgo para cualquier red corporativa y, ya sea consciente o
inconscientemente, provocar un incidente de seguridad importante en el
sistema.

Lejos de poder sacar conclusiones objetivas, lo que viene a recordar
el experimento es que el hecho de que empleados utilicen habitualmente,
sin ningún tipo de problema ni cortapisas, sistemas corporativos para
ejecutar programas de dudosa procedencia en los que se advierte
explícitamente sobre su potencial peligro, es que queda mucho camino
por recorrer en este sentido. Es igualmente aconsejable invertir en
recursos técnicos que nos protejan del exterior como en recursos
humanos preparados para el trabajo con sistemas informáticos, que
sean conscientes de las amenazas reales y que estén convenientemente
formados en seguridad.

Más información:

Proof: Employees don't care about security
http://software.silicon.com/security/0,39024655,39156503,00.htm

Una al día 07/07/2005: El enemigo puede estar dentro
www.hispasec.com/unaaldia/2448

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Tecnologías de virtualización open source a tener en cuenta
Con la virtualización como una de las tecnologías dominantes para las grandes corporaciones, los principales jugadores como EMC (VMware), IBM y Microsoft están invirtiendo fuerte en opciones propietarias para ejecutar múltiples sistemas operativo...
Carberp, el nuevo virus de Facebook
La compañía de seguridad Trusteer ha afirmado durante la jornada de hoy que el troyano Carberp, está afectando de manera activa a los usuarios de Facebook. ...
IE8, casi obligatorio . ¿Adiós, IE6?
El nuevo navegador de Microsoft parece querer implantarse claramente en todas las ediciones del sistema operativo de Redmond y para ello sus responsables harán que su actualización sea especialmente relevante tanto para Vista, como, sobre todo, par...
Google: Dart traduce JavaScript
Google ha lanzado la herramienta JavaScript to Dart Synonym, que permite traduje expresiones comunes de JavaScritp y otros elementos a su lenguaje Dart....
Los peligros de los Anti-Spywares
Actualmente, existen numerosos productos que se encargan de limpiar los sistemas afectados por estos parásitos. Sin embargo, no todos ellos cumplen lo que prometen, o lo que es peor, muchos agregan a su vez programas espías o realizan modificacion...
Microsoft publica una actualización críticia para Internet Explorer - "* Actualiza tu navegador * "
Microsoft rompe su habitual práctica de publicar boletines y actualizaciones de seguridad los segundos martes de mes, para publicar hoy mismo una actualización crítica para Internet Explorer. Esta actual...
La seguridad es cuestión de rutina
Mientras se anunciaba la aparición de un nuevo gusano que se aprovecha como el Sasser de la vulnerabilidad que reinicia el sistema cuando es explotada, aparece una nueva versión de éste último, creada por un imitador del autor original, quien ...
Redes sociales propician el nacimiento spam 2.0
¿Cuántos correos electrónicos has recibido últimamente donde un amigo te invita a ver su perfil en una red social fantasma nueva? ...
Ejecución remota de código a través de Microsoft WINS
Se ha descubierto una vulnerabilidad en 'wins.exe' de Microsoft Windows que puede ser explotada por atacantes para ejecutar código arbitrario en un sistema afectado. ...
Fallo de validación de certificados en iOS
Apple ha publicado en dos semanas otra nueva versión de iOS. En la primera corregía el fallo que permitía el jailbreak del dispositivo desde jailbreak.me, y en esta segunda actualización, un grave fallo de seguridad en la implementación de SSL c...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • importa
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usuarios
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra