Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 28 de junio de 2007

COMO FUNCIONAN LOS PROGRAMAS DE SEGURIDAD "ESPIAS" DE PC

En Internet existe gran cantidad de herramientas administrativas de utilidad para los responsables de redes informáticas que pueden ser utilizadas con otros fines por personas de la empresa. Cómo prevenirse del mal uso de sniffers, keyloggers, analizadores de servicios y administradores remotos.

Existen distintos tipos de software que pueden ser utilizados tanto de forma genuina como para acciones maliciosas dentro de las empresas, por eso depende completamente del administrador de la red y las políticas existentes para controlar el uso de este tipo de herramientas.

Cuando hablamos de seguridad en redes empresariales, es importante que tengamos en cuenta factores que van más allá de las intrusiones externas y el malware y que están relacionadas con aplicaciones que no son estrictamente maliciosas.

En Internet existe gran cantidad de herramientas administrativas de gran utilidad para los responsables de redes informáticas que pueden ser utilizadas con otros fines por personas de la empresa. Entre dichas aplicaciones podemos encontrar sniffers, keyloggers, analizadores de puertos/servicios y administradores remotos.

Existen versiones comerciales de dichas herramientas que no son creadas con fines maliciosos y se denominan greyware y/o aplicaciones potencialmente no deseadas, dado que pueden ser usadas tanto en forma genuina por responsables de redes empresariales como maliciosamente por atacantes.

Expliquemos cada una de estas aplicaciones para conocer el alcance de las mismas:

  • Los sniffers son programas capaces de monitorear el tráfico de la red y pueden ser utilizados para extraer información como usuarios y contraseñas de servicios internos y externos de la empresa.
  • Los keyloggers son aplicaciones que una vez instaladas en un equipo informático, monitorean todo aquello que se teclea en el mismo, lo almacenan y pueden remitirlo a una persona en forma remota a través de distintos medios como correo electrónico, FTP, etc.
  • Los analizadores de puertos permiten monitorear un equipo informático y detectar qué puertos y servicios están abiertos, para conocer así de qué manera es posible conectarse al mismo.
  • Los administradores remotos son herramientas que, si están instaladas en una computadora o servidor, brindan la posibilidad de administrarla en forma remota, teniendo un control casi total sobre el equipo.
Es normal que un administrador de red utilice alguna de estas herramientas en sus tareas diarias, por lo que no sería raro encontrarlas en una empresa. Sin embargo, no solo pueden ser utilizadas para fines administrativos.

La información es hoy por hoy uno de los principales bienes y la seguridad informática existe para permitir que la misma esté disponible cuando sea necesario y a su vez no pueda ser accedida por personas no autorizadas. Para lograr esto último, se utilizan medidas tales como protección mediante usuarios y contraseñas, los cuales terminan siendo “la llave” para el acceso a la información protegida.

Conocer un usuario y contraseña de algún servicio de una empresa es prácticamente equivalente a ver qué información se encuentra disponible allí. Y son esos datos los más buscados por terceros para diversos fines maliciosos.

Las aplicaciones antes mencionadas permiten conocer y tener acceso a usuarios y contraseñas, y sus servicios. Por ejemplo, un sniffer puede permitir a un atacante interno conocer las claves de acceso a un servicio al cual no debería acceder. Asimismo, un administrador remoto puede permitir a una persona no autorizada acceder y controlar otros equipos dentro de la empresa y realizar acciones en ellos que no estén permitidas.

Estas situaciones son potencialmente peligrosas para una empresa dado que pueden llevar a la disrupción de servicios de importancia y/o al robo de información interna y confidencial. Siendo la información uno de los principales activos de una compañía, controlar que este tipo de aplicaciones no sean usadas erróneamente debe ser tarea primordial del área de seguridad de la información de la institución.

Recomendaciones de seguridad
Hay diversos factores a considerar a la hora de contar con protección contra este tipo de aplicaciones.

Para comenzar, es importante tener en cuenta que dichas herramientas no son maliciosas o dañinas per se, lo cual lleva a que no sean detectadas normalmente por las soluciones de seguridad existentes. Como con cualquier herramienta mal utilizada en cualquier ambiente, no sólo el informático, se debe enfocar la solución del problema potencial desde diversos ángulos.

Es importante que las políticas de seguridad de la información de la empresa especifiquen claramente si el uso de alguna de dichas aplicaciones en particular está autorizado, y si lo está, dejar claro en qué términos y por qué personas.

Las políticas de seguridad también deben prever que solamente usuarios autorizados deben ser capaces de instalar software en los equipos de la empresa, de manera que se evite que se utilicen herramientas como las mencionadas anteriormente. Si sólo los administradores tienen permisos para instalar software, se puede prevenir que se utilicen aplicaciones no deseadas.

Asimismo, existen técnicas y software que permiten monitorear servidores claves y la red misma en busca de sniffers y/o analizadores de puertos; muchas de ellas también de uso e implementación gratuita, por lo que es recomendable que los administradores las utilicen.

Dado que muchos productos antivirus y/o antimalware detectan gran cantidad de administradores remotos y/o keyloggers bajo la categoría de aplicaciones potencialmente no deseadas y/o potencialmente peligrosas, es importante asegurarse que el producto utilizado en la empresa tenga dicha funcionalidad y, en ese caso, que la misma esté activa para que si algún equipo tiene instalado este tipo de software sin autorización, el mismo sea detectado y bloqueado.

Además, es importante que se utilicen protocolos seguros para la autenticación de servicios como el correo electrónico, aplicaciones, web, etc. Por ejemplo, comúnmente, las aplicaciones de correo electrónico son utilizadas para que transmitan usuario y contraseña en forma de texto plano, el cual es fácilmente legible si se pueden monitorear las actividades de red. Utilizando protocolos seguros, esos datos serán transmitidos en forma codificada, evitando su lectura.

La conjunción de las recomendaciones anteriores más una correcta administración de los recursos informáticos y un uso seguro de los mismos, permitirá incrementar el nivel de seguridad ante atacantes internos que utilicen aplicaciones de administración para obtener información interna de la empresa.

Ignacio M. Sbampato es vicepresidente de ESET para Latinoamérica. Especial para Infobaeprofesional.com

Fuente: http://www.infobaeprofesional.com/notas/48568-Como-funcionan-los-programas-de-seguridad-espias-

0 comentarios:

Publicar un comentario en la entrada