Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Más privilegios, menos seguridad

Pareciera que entre más "importante" es alguien dentro de una organización, más tiene derecho de darle la vuelta a los controles y políticas de seguridad.

Puede suceder a cualquier hora. Cualquier día. Es común que los administradores de sistemas y personal de seguridad informática reciban correos o llamadas de altos jerarcas dentro de la empresa, o hasta administradores que se pavonean de ser de lo más importantes por sus funciones, para pedir que se degrade su seguridad:

  • "Se me olvidó mi token, genérenme un password fijo para entrar remotamente; estoy fuera del país".
  • "Mi navegador no entra al sitio con HTTPS, quítenlo y pónganle HTTP. Urge".
  • "Se me olvidó mi contraseña, denme una nueva [...] Sí, claro que soy yo, ni modo que sea alguien más. Y lo necesito de inmediato porque estoy en una junta importantísima".
  • "Sólo puedo entrar por telnet, así es que si no lo habilitan, no puedo operar. ¿Es lo que quieren que le digamos a los jefes? ¿Que no me dejan trabajar?"

Pareciera que entre más "importante" es alguien dentro de una organización, más tiene derecho de poder darle la vuelta a los controles y políticas de seguridad. Porque lo que quisieran es libertad total, nada de restricciones y cero mensajes de que por seguridad no ha podido hacer esto o aquello.

Por ejemplo, navegar por internet y ejecutar cualquier archivo parece ser parte de esa "libertad" tan ansiada. Porque es bastante molesto no poder entrar a la página de deportes o XXX porque algún control de seguridad dice que es maliciosa. Y si se quiere instalar un ejecutable bajado de internet, es obvio que lo queremos usar sin restricciones, sin importar de dónde venga.

Como dicen por ahí, "la jerarquía mata seguridad". Y parece que entre más rango o importancia tenga alguien dentro de la organización, menos seguridad debe de tener su sistema y las cuentas que usa. A veces pienso que para eso se crearon las excepciones en las herramientas de seguridad, para que los altos mandos puedan disfrutar de su libertad tecnológica.

Y no sólo puede pasar entre las vacas sagradas, también hay administradores y otras personas con cargos rimbombantes que, según ellos, por la criticidad de sus funciones y su "importancia", también piensan que merecen un trato especial, fuera de la protección que brindan los diferentes controles tecnológicos y administrativos de una empresa. Para ellos, deshabilitar controles de seguridad y omitir políticas de seguridad parece ser parte de los privilegios a los que dicen tener derecho.

Y paradójicamente entre más alta la jerarquía o entre más críticas las funciones de un empleado, realmente más seguridad necesitarían. Porque precisamente son un blanco. Ya sea por la información que manejan –que de por sí misma es valiosa–, o porque puedan ser usados como "pivote" para entrar a sistemas críticos a los que estos empleados tienen acceso.

No tengo solución para este problema. Me gustaría decir que es cuestión de convencerlos, platicar con ellos y mostrarles las consecuencias, pero probablemente eso no funcione, o en pocos casos. A veces, desgraciadamente, sólo un ataque informático es lección suficiente para que cambien las actitudes, pero claro, para entonces ya es demasiado tarde y como dicen: "Después del niño ahogado...". 

Por ejemplo, en 2011, una empresa (que irónicamente dentro de sus servicios se encuentra la seguridad informática), fue hackeada. HBGary es el nombre de esta organización, y una de las vías de ataque fue precisamente explotar la cuenta de correo del dueño Greg Hoglund para lograr penetrar a sus sistemas. Los dejo con este fragmento de correos intercambiados entre supuestamente el dueño y personal de sistemas de HBGary. Hay que precisar que en este caso, Greg no era Greg.  Era realmente el atacante haciéndose pasar por él y cómo negarle peticiones si creemos que nos manda correos el mismísimo dueño, ¿cierto?

-------------------------------------

From: Greg

To: Jussi

Subject: need to ssh into rootkit

im in europe and need to ssh into the server. can you drop open up firewall and allow ssh through port 59022 or something vague? and is our root password still 88j4bb3rw0cky88 or did we change to 88Scr3am3r88 ? thanks

-------------------------------------

From: Jussi

To: Greg Subject: Re: need to ssh into rootkit

hi, do you have public ip? or should i just drop fw? and it is w0cky - tho no remote root access allowed

-------------------------------------

From: Greg

To: Jussi

Subject: Re: need to ssh into rootkit

no i dont have the public ip with me at the moment because im ready for a small meeting and im in a rush. if anything just reset my password to changeme123 and give me public ip and ill ssh in and reset my pw.

-------------------------------------

From: Jussi

To: Greg

Subject: Re: need to ssh into rootkit

ok, it should now accept from anywhere to 47152 as ssh. i am doing testing so that it works for sure. your password is changeme123 i am online so just shoot me if you need something. in europe, but not in finland? :-) _jussi

-------------------------------------

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close