La seguridad no importa a los usuarios


Un curioso experimento demuestra la pesadilla de todo administrador de red. La seguridad no es, ni mucho menos, prioritaria para los empleados. No importa cuántas advertencias se le indiquen, es probable que un importante porcentaje de usuarios no se atenga a unas mínimas normas de seguridad y ponga en riesgo toda una red corporativa por descuido o ignorancia.





El experimento ha sido realizado en Londres, en una zona de gran
actividad comercial. El pasado 14 de febrero, supuesto día de los
enamorados, algunos empleados de la compañía "The Trainning Camp"
entregaron en mano a viandantes en general que acudían a su lugar
habitual de trabajo, un CD. Bajo la excusa de que el disco contenía
información sobre una promoción especial motivada por el señalado día
de San Valentín, se iba regalando a los ejecutivos.

Sin embargo, los compactos no contenían en realidad tal oferta, sino un
simple código que permitía informar a la compañía de quién había
ejecutado el programa en su interior. Entre ellos, según la noticia, se
encontraba personal de grandes bancos y aseguradoras multinacionales. Lo
más grave es que en la carátula del CD se advertía claramente sobre los
peligros de la instalación de software de terceros no confiables, y de
que el hecho de hacerlo podría suponer una violación de las políticas de
seguridad del lugar donde se instalase. Parece ser que el consejo no
fue suficiente para muchos, que simplemente se dedicaron a explorar e
incluso ejecutar los programas en el CD sin dar mayor importancia a la
advertencia.

"The Training Camp" es una compañía del Reino Unido dedicada a la
impartición de cursos "acelerados" destinados a la obtención de
certificados oficiales de seguridad. Rob Chapman, su director, pretendía
de esta forma promocionar sus cursos. Afirma que el código en el CD no
infringía ningún daño sobre el sistema ni tomaba información alguna del
mismo, aunque, según él, queda implícito que cualquier otro tipo de
acción malintencionada hubiese sido posible además de haber tenido
desastrosas consecuencias.

El hecho de haber tomado el disco compacto en la calle y haberlo
introducido en sus sistemas, viola toda regla básica de seguridad. "Los
empleados deben reconocer que suponen el primer y más sencillo paso
hacia la red de la compañía en la que trabajan", concluyó Chapman.

La nota de prensa del experimento no ofrece ningún tipo de dato objetivo
sobre el porcentaje de empleados que "cayeron en la trampa", número de
"señuelos" repartidos, método utilizado para conocer quién había
ejecutado el programa o a qué nivel lo había hecho (introducir el CD,
explorarlo, ejecutar programas en su interior...). Tampoco se habla en
la nota sobre la posibilidad de que, aunque se hubiese ejecutado el
contenido del disco, los sistemas de seguridad de la red en la que se
utilizase impidiesen de alguna forma la notificación de que la acción se
había realizado. Es probable que "The Training Camp" se sirviera de una
petición a un servidor web o a través de correo para saberlo, pero esto
no siempre es permitido por cortafuegos y otros sistemas de seguridad.
Además de ser posible que se haya ejecutado el señuelo y no haya sido
notificado, no se pueden sacar porcentajes concluyentes sobre el
estudio al no disponer de cifras significativas. Todo esto limita
considerablemente el poder sacar contundentes consecuencias de un
estudio de estas características.

En todo caso, resulta curioso un experimento de este tipo en el que,
sobre cualquier otra conclusión, prima el hecho de que muchos usuarios
hagan caso omiso de claras advertencias expuestas. Las advertencias de
que el software no es seguro, pierden impacto cuando se hacen sobre
cualquier tipo de programa ejecutable que llegue de fuentes confiables
(o no). Esta actitud relaja a la larga las defensas de la mayoría de los
usuarios. Advirtiendo de los potenciales peligros de "todo", se obtiene
el efecto contrario: si constantemente "todo" es potencialmente
peligroso y se advierte sobre ello, a la larga, el usuario asociará esa
característica (peligroso) con todo el software; se volverá un concepto
ligado siempre a cualquier programa, aprenderá a asumirlo como riesgo
intrínseco y se le prestará cada vez menor atención. Si "todo" software
es potencialmente peligroso, entonces, con el tiempo y en la práctica,
"ninguno" lo será para el que es constantemente advertido sobre ello.

Aunque necesaria, si se mantuviese a rajatabla esta actitud conservadora
y se acatara estricta y constantemente las advertencias, también se
produciría una situación insostenible. Se limitaría en exceso la
capacidad de trabajo y reduciría la comodidad de uso en el sistema
que es en realidad lo que el usuario y administrador deben buscar
por consenso en un entorno seguro.

Pero esto ocurre no solo en el software, sino en gran cantidad de los
productos que usamos cada día. Prácticamente, hemos aprendido a obviar
ciertos peligros por repetitivos y asumidos. El problema es que no por
ello pueden resultar menos dañinos.

Otra conclusión ya observada en muchas ocasiones, es el peligro que
representan los empleados en la cadena de seguridad de cualquier
empresa. Como decía Champan, suponen el mayor riesgo de seguridad, por
la confianza intrínseca depositada en ellos y los derechos inherentes
que deben poseer sobre la red. Si no son correctamente formados, pueden
suponer un riesgo para cualquier red corporativa y, ya sea consciente o
inconscientemente, provocar un incidente de seguridad importante en el
sistema.

Lejos de poder sacar conclusiones objetivas, lo que viene a recordar
el experimento es que el hecho de que empleados utilicen habitualmente,
sin ningún tipo de problema ni cortapisas, sistemas corporativos para
ejecutar programas de dudosa procedencia en los que se advierte
explícitamente sobre su potencial peligro, es que queda mucho camino
por recorrer en este sentido. Es igualmente aconsejable invertir en
recursos técnicos que nos protejan del exterior como en recursos
humanos preparados para el trabajo con sistemas informáticos, que
sean conscientes de las amenazas reales y que estén convenientemente
formados en seguridad.

Más información:

Proof: Employees don't care about security
http://software.silicon.com/security/0,39024655,39156503,00.htm

Una al día 07/07/2005: El enemigo puede estar dentro
www.hispasec.com/unaaldia/2448

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Cuidado: Apple vigila tus movimientos
Los movimientos de unos 100 millones de personas están siendo grabados por Apple. Un archivo oculto registra los pasos que dan los dueños de un iPhone o un iPad al menos durante un año. Lo que le hubiera supuesto un escándalo monumental a otras e...
Inician en Venezuela la formación de programadores de software
El curso piloto comenzará en aulas de la Universidad Marítima del Caribe en Catia La Mar, Estado Vargas y en el Colegio de Ingeniero de Caracas, allí estará un primer grupo de 96 alumnos, quienes salieron exitosos de la prueba de admisión e inic...
El 60 por ciento de los ex-empleados roba información confidencial con la que trabajaban
Entre la información más buscada se encuentra el listado de contactos de clientes o los correos electrónicos recibidos mientras aún trabajaban en la compañía....
Descubren fallos de seguridad en Snapchat
Tal vez dejarse seducir por grandes compañías no sea tan positivo para las start-ups emergentes porque crean expectativas que luego son difíciles de cumplir. No en vano, la aplicación de mensajería Snapchat aumentó su popularidad tras rechazar ...
El Gusano de Morris
Robert Tappan Morris, un joven graduado de Harvard que estaba completando su formación en la Universidad de Cornell, estaba programando un gusano para demostrar las vulnerabilidades en el trabajo de su padre, ...
Explicación de Ley #SOPA for dummy
La Ley SOPA fue presentada en el Congreso EEUU para poder cerrar cualquier sitio Web a nivel DNS, sospechoso de contener material que viole los derechos de autor o propiedad intelectual de su propietario original y que esté siendo utilizado sin su c...
Ejecución remota de código a través de archivos TTA en VLC Media Player
Ha sido descubierta una vulnerabilidad en el reproductor de archivos multimedia VLC que podría ser aprovechada para causar una denegación de servicio o para ejecutar código arbitrario. ...
Google actualiza Postini para frenar ataques de JavaScript
El equipo de seguridad de Google ha mejorado el motor de Postini para frenar un nuevo tipo de ataque JavaScript causante del reciente incremento en los volúmenes de spam de los últimos meses....
Los PDF se abrirán en una sandbox con Adobe Reader
Una buena noticia para los usuarios de Adobe Reader, el popular lector de archivos PDF que generalmente está en la mira de los ciberdelincuentes....
¿Quien me bloquea en MSN Messenger?: Lista de servicios basura
¿Quien me bloquea en el MSN Messenger? es la pregunta que se hacen muchos usuarios, y buscan en varios sitios la forma de saberlo....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • importa
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usuarios
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra