Un curioso experimento demuestra la pesadilla de todo administrador de
red. La seguridad no es, ni mucho menos, prioritaria para los empleados.
No importa cuántas advertencias se le indiquen, es probable que un
importante porcentaje de usuarios no se atenga a unas mínimas normas
de seguridad y ponga en riesgo toda una red corporativa por descuido
o ignorancia.
El experimento ha sido realizado en Londres, en una zona de gran
actividad comercial. El pasado 14 de febrero, supuesto día de los
enamorados, algunos empleados de la compañía «The Trainning Camp»
entregaron en mano a viandantes en general que acudían a su lugar
habitual de trabajo, un CD. Bajo la excusa de que el disco contenía
información sobre una promoción especial motivada por el señalado día
de San Valentín, se iba regalando a los ejecutivos.
Sin embargo, los compactos no contenían en realidad tal oferta, sino un
simple código que permitía informar a la compañía de quién había
ejecutado el programa en su interior. Entre ellos, según la noticia, se
encontraba personal de grandes bancos y aseguradoras multinacionales. Lo
más grave es que en la carátula del CD se advertía claramente sobre los
peligros de la instalación de software de terceros no confiables, y de
que el hecho de hacerlo podría suponer una violación de las políticas de
seguridad del lugar donde se instalase. Parece ser que el consejo no
fue suficiente para muchos, que simplemente se dedicaron a explorar e
incluso ejecutar los programas en el CD sin dar mayor importancia a la
advertencia.
«The Training Camp» es una compañía del Reino Unido dedicada a la
impartición de cursos «acelerados» destinados a la obtención de
certificados oficiales de seguridad. Rob Chapman, su director, pretendía
de esta forma promocionar sus cursos. Afirma que el código en el CD no
infligía ningún daño sobre el sistema ni tomaba información alguna del
mismo, aunque, según él, queda implícito que cualquier otro tipo de
acción malintencionada hubiese sido posible además de haber tenido
desastrosas consecuencias.
El hecho de haber tomado el disco compacto en la calle y haberlo
introducido en sus sistemas, viola toda regla básica de seguridad. «Los
empleados deben reconocer que suponen el primer y más sencillo paso
hacia la red de la compañía en la que trabajan», concluyó Chapman.
La nota de prensa del experimento no ofrece ningún tipo de dato objetivo
sobre el porcentaje de empleados que «cayeron en la trampa», número de
«señuelos» repartidos, método utilizado para conocer quién había
ejecutado el programa o a qué nivel lo había hecho (introducir el CD,
explorarlo, ejecutar programas en su interior…). Tampoco se habla en
la nota sobre la posibilidad de que, aunque se hubiese ejecutado el
contenido del disco, los sistemas de seguridad de la red en la que se
utilizase impidiesen de alguna forma la notificación de que la acción se
había realizado. Es probable que «The Training Camp» se sirviera de una
petición a un servidor web o a través de correo para saberlo, pero esto
no siempre es permitido por cortafuegos y otros sistemas de seguridad.
Además de ser posible que se haya ejecutado el señuelo y no haya sido
notificado, no se pueden sacar porcentajes concluyentes sobre el
estudio al no disponer de cifras significativas. Todo esto limita
considerablemente el poder sacar contundentes consecuencias de un
estudio de estas características.
En todo caso, resulta curioso un experimento de este tipo en el que,
sobre cualquier otra conclusión, prima el hecho de que muchos usuarios
hagan caso omiso de claras advertencias expuestas. Las advertencias de
que el software no es seguro, pierden impacto cuando se hacen sobre
cualquier tipo de programa ejecutable que llegue de fuentes confiables
(o no). Esta actitud relaja a la larga las defensas de la mayoría de los
usuarios. Advirtiendo de los potenciales peligros de «todo», se obtiene
el efecto contrario: si constantemente «todo» es potencialmente
peligroso y se advierte sobre ello, a la larga, el usuario asociará esa
característica (peligroso) con todo el software; se volverá un concepto
ligado siempre a cualquier programa, aprenderá a asumirlo como riesgo
intrínseco y se le prestará cada vez menor atención. Si «todo» software
es potencialmente peligroso, entonces, con el tiempo y en la práctica,
«ninguno» lo será para el que es constantemente advertido sobre ello.
Aunque necesaria, si se mantuviese a rajatabla esta actitud conservadora
y se acatara estricta y constantemente las advertencias, también se
produciría una situación insostenible. Se limitaría en exceso la
capacidad de trabajo y reduciría la comodidad de uso en el sistema
que es en realidad lo que el usuario y administrador deben buscar
por consenso en un entorno seguro.
Pero esto ocurre no solo en el software, sino en gran cantidad de los
productos que usamos cada día. Prácticamente, hemos aprendido a obviar
ciertos peligros por repetitivos y asumidos. El problema es que no por
ello pueden resultar menos dañinos.
Otra conclusión ya observada en muchas ocasiones, es el peligro que
representan los empleados en la cadena de seguridad de cualquier
empresa. Como decía Champan, suponen el mayor riesgo de seguridad, por
la confianza intrínseca depositada en ellos y los derechos inherentes
que deben poseer sobre la red. Si no son correctamente formados, pueden
suponer un riesgo para cualquier red corporativa y, ya sea consciente o
inconscientemente, provocar un incidente de seguridad importante en el
sistema.
Lejos de poder sacar conclusiones objetivas, lo que viene a recordar
el experimento es que el hecho de que empleados utilicen habitualmente,
sin ningún tipo de problema ni cortapisas, sistemas corporativos para
ejecutar programas de dudosa procedencia en los que se advierte
explícitamente sobre su potencial peligro, es que queda mucho camino
por recorrer en este sentido. Es igualmente aconsejable invertir en
recursos técnicos que nos protejan del exterior como en recursos
humanos preparados para el trabajo con sistemas informáticos, que
sean conscientes de las amenazas reales y que estén convenientemente
formados en seguridad.
ssantos@hispasec.com
Más información:
Proof: Employees don’t care about security
http://software.silicon.com/security/0,39024655,39156503,00.htm
Una al día 07/07/2005: El enemigo puede estar dentro
http://www.hispasec.com/unaaldia/2448
Deja una respuesta