Protéjase contra amenazas externas

En una columna anterior, revelé cómo la gran mayoría de las amenazas de seguridad informática que enfrenta su entorno viven del lado del cliente y requieren la participación del usuario final. Los usuarios deben estar diseñados socialmente para hacer clic en un elemento de su escritorio (un correo electrónico, un archivo adjunto, una URL o una aplicación) que no deberían tener. Esto no quiere decir que los exploits verdaderamente remotos no sean una amenaza. Son.

La columna de Roger Grimes ahora es un blog! Obtenga las últimas noticias sobre seguridad de TI en el blog Security Adviser. ]

El desbordamiento del búfer remoto y los ataques DoS siguen siendo una seria amenaza para las computadoras bajo su control. Aunque son menos frecuentes que los ataques del lado del cliente, la idea de que un atacante remoto pueda lanzar una serie de bytes contra sus equipos y luego obtener el control sobre ellos siempre genera el mayor temor a los administradores y captura los titulares más importantes. Pero también existen otros tipos de ataques remotos contra servicios de escucha y demonios.

Un guante de hazañas remotas

Muchos servicios y daemons están sujetos a ataques y escuchas de MitM (man in the middle). Demasiados servicios no requieren autenticación de punto final ni utilizan cifrado. Con las escuchas clandestinas, las partes no autorizadas pueden conocer las credenciales de inicio de sesión o la información confidencial.

La divulgación de información inapropiada es otra amenaza. Solo se necesita un poco de pirateo de Google para asustarte. Encontrará las credenciales de inicio de sesión a simple vista y no pasará mucho tiempo antes de encontrar documentos realmente secretos y confidenciales.

Muchos servicios y demonios a menudo están mal configurados, lo que permite un acceso privilegiado anónimo desde Internet. El año pasado, mientras impartía una clase sobre piratería de Google, encontré la base de datos de salud y bienestar social de todo un estado (EE. UU.) Accesible en Internet, sin necesidad de credenciales de inicio de sesión. Incluía nombres, números de seguro social, números de teléfono y direcciones: todo lo que un ladrón de identidad necesitaría para tener éxito.

Muchos servicios y demonios permanecen sin parches, pero expuestos a Internet. Apenas la semana pasada, el experto en seguridad de bases de datos David Litchfield encontró cientos o miles de bases de datos de Microsoft SQL Server y Oracle sin parches en Internet sin protección por un firewall. Algunos no tenían parches para vulnerabilidades que se habían solucionado hace más de tres años. Algunos sistemas operativos nuevos se lanzan a sabiendas con bibliotecas obsoletas y binarios vulnerables. Puede descargar todos los parches que el proveedor tiene para ofrecer y seguirá siendo explotable.

¿Qué puedes hacer?

* Haga un inventario de su red y obtenga una lista de todos los servicios de escucha y demonios que se ejecutan en cada computadora. 

* Deshabilitar y eliminar servicios innecesarios. Todavía tengo que escanear una red que no ejecutó toneladas de servicios innecesarios (y a menudo maliciosos, o al menos potencialmente peligrosos) que el equipo de soporte de TI no conocía.

Empiece con activos de alto valor y riesgo. Si no se necesita el servicio o el demonio, desactívelo. En caso de duda, investigue. Hay muchos recursos útiles y guías disponibles de forma gratuita en Internet. Si no puede encontrar una respuesta definitiva, comuníquese con el proveedor. Si aún no está seguro, desactive el programa y restáurelo si algo se estropea.

* Asegúrese de que todos sus sistemas estén completamente parcheados, tanto el sistema operativo como las aplicaciones. Este único paso reducirá significativamente la cantidad de servicios configurados correctamente que se pueden explotar. La mayoría de los administradores hacen un excelente trabajo al aplicar los parches del sistema operativo, pero no lo hacen tan bien al asegurarse de que las aplicaciones estén parcheadas. En esta columna en particular, solo me preocupan las aplicaciones de parches que ejecutan servicios de escucha.

* Asegúrese de que los servicios y demonios restantes se estén ejecutando en un contexto con privilegios mínimos. Los días de ejecutar todos sus servicios como administrador raíz o de dominio deberían llegar a su fin. Cree y use cuentas de servicio más limitadas. En Windows, si tiene que usar una cuenta con muchos privilegios, elija LocalSystem en lugar de administrador de dominio. Contrariamente a la creencia popular, ejecutar un servicio en LocalSystem es menos riesgoso que ejecutarlo como administrador de dominio. LocalSystem no tiene una contraseña que se pueda recuperar y usar en todo el bosque de Active Directory.

* Requiere que todas las cuentas de servicio / demonio utilicen contraseñas seguras. Esto significa largo y / o complejo: 15 caracteres o más. Si usa contraseñas seguras, tendrá que cambiarlas con menos frecuencia y no necesitará bloquear la cuenta (porque los piratas informáticos nunca tendrán éxito).

* Google hackear su propia red. Nunca está de más saber si su red está liberando información confidencial. Una de mis herramientas favoritas es Site Digger de Foundstone. Básicamente, automatiza el proceso de piratería de Google y agrega muchos de los controles propios de Foundstone.

* Instale servicios en puertos no predeterminados si no son absolutamente necesarios en los puertos predeterminados; esta es una de mis recomendaciones favoritas. Ponga SSH en algo que no sea el puerto 22. Ponga RDP en algo que no sea 3389. Con la excepción de FTP, he podido ejecutar la mayoría de los servicios (que no son necesarios para el público en general) en puertos no predeterminados, donde los piratas informáticos rara vez Encuéntralos.

Por supuesto, considere probar su red con un escáner de análisis de vulnerabilidades, ya sea gratuito o comercial. Hay muchos excelentes que encuentran la fruta madura. Siempre tenga primero el permiso de administración, pruebe fuera de las horas de trabajo y acepte el riesgo de que probablemente desconecte algún servicio importante durante el análisis. Si está realmente paranoico y quiere superar las vulnerabilidades reveladas públicamente, use un fuzzer para buscar exploits de día cero no revelados. He estado jugando con un comercial estos días (vigile el Centro de pruebas para mi revisión) contra varios dispositivos de seguridad, y el fuzzer está encontrando cosas que sospecho que los proveedores no conocen.

Y, por supuesto, no olvide que el riesgo de ataques maliciosos proviene principalmente de los ataques del lado del cliente.