miércoles, 2 de junio de 2010

Google no entiende "su problema de seguridad" y adopta la estrategia del avestruz

Cuando uno lee noticias que llenan grandes titulares y que resultan significativas o llamativas debe coger siempre el contenido con pinzas. La de hoy es el anuncio por parte de Google de suprimir internamente el uso de Windows por motivos de seguridad. Obviamente detrás de un titular similar debe haber motivos económicos, estrategias empresariales y otras causas que lleven al Gran Hermano a hacer un salto tecnológico tan importante pero desde luego, no parece razonable que sea "solo" por la seguridad.

Básicamente porque el incidente relacionado con la Operación Aurora podría repetirse perfectamente en las nuevas plataformas que quiere utilizar, ya sea Linux, Mac Os o su futuro sistema operativo. Voy a tratar de justificar mi planteamiento en base a lo que sucedió en la operación Aurora que es utilizado como coartada para el salto.

Los hechos
    Tal como explica excelentemente en la noticia Una-al-día de hoy de Hispasec Sergio de los Santos y que voy a ir citando "En enero, Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras, por el que habían robado código de ciertos programas. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail. El objetivo final era la obtención de información sobre activistas chinos para los derechos humanos. En la investigación abierta (que se llamó "Aurora") descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar. El malware utilizaba varias vulnerabilidades 0-day."

    Lo que supimos después es que Google usaba Internet Explorer 6, un producto bastante antiguo en el mercado y obviamente muy vulnerable dado que su programación no consideraba en su momento muchos de los vectores de ataque que han sido descubiertos con posterioridad. En la noticia de una-al-día se explican los detalles técnicos de cómo sucedió para los más curiosos. Por tanto, el primer problema de Google respecto a la seguridad es no entender la seguridad como un proceso. Además resulta curioso que la propia Google no utilice su tan venerado Chrome o que se vaya a versiones tan antiguas de IE cuando es gratuita la descarga de IE8.
    Por tanto, la primera lección de Google debería haber aprendido es que los fallos de seguridad ya no se mueven solo en la capa del sistema operativo. Eso no lo va a solucionar el saltar a Linux o Mac Os.


El campo de batalla
    Como se supo después del incidente y tal como recogen las noticias del mismo, el ataque fue altamente sofisticado, dirigido y basado en mucha información previa sobre el propio Google. Por tanto, cabe discernir que el enemigo hizo y hubiera hecho lo que hubiera sido necesario para lograr la intrusión en Google. El segundo problema de Google puede ser desconocer o subestimar a su enemigo. La motivación es muy alta y una protección elemental no disuade al agresor a desistir. Por tanto, quizás como efecto colateral, lo que Google está haciendo a Linux o Mac Os es ponerles ahora directamente una diana dado que los atacantes van a tener que empezar a investigar sobre como lograr la intrusión en estos sistemas operativos. Cierto es que la lógica de ambos sistemas operativos es robusta dado que son Unix pero... hasta ahora también han gozado de un desinterés por parte de los que intentan ver cuanto puede aguantar el sistema operativo. Quizás ahora la cosa cambie si el uso de otros sistemas operativos se va generalizando y empecemos a ver que no son tan seguros como aparentan y que su robustez se ha basado más en la no motivación de atacantes que en el propio mérito del SO. La primera prueba de fuego la van a sufrir las versiones para móviles dado que Android y el sistema operativo de Apple para el Iphone si son mayoritarios dentro del mundo de la telefonía y por tanto, objetivo prioritario de atacantes. Sólo el tiempo podrá ser juez en esta situación.


La estrategia
    Quizás lo que Google no valora es el conocimiento que tiene la propia Microsoft sobre la gestión de la seguridad. Como suele decir el dicho popular, "la letra con sangre entra" y Microsoft lleva mucho tiempo sufriendo y además en varios escenarios (entorno doméstico y empresarial). Por tanto, en este cambio de estrategia lo que Google deja atrás son herramientas de administración corporativas que permiten de forma cómoda o ágil el despliegue de actualizaciones, servicios de gestión de incidentes que intentan resolver vulnerabilidades Zero-day con una velocidad inusitada, un Microsoft Malware Protection Center (MMPC) que a diario lucha frente al crimen organizado y que además intenta vigilar antes de que el propio malware se elabore, en las primeras fases de diseño. A ello se suma una política de actualización del software madura que dispone de publicación de parches con una regularidad mensual y que tiene entornos de prueba sobre los propios parches para evitar efectos colaterales no deseados. Que le cuenten a Mcafee que consecuencias tiene el no probar bien las actualizaciones. El tercer problema de Google puede ser no disponer de procesos internos de gestión y operación de la seguridad independientemente del sistema operativo que utilicen.


Las amenazas
    Empieza ya a ser un tópico de la seguridad eso de que Linux y Mac Os no tiene problemas de seguridad. Es cierto que tienen un espectro pequeño de amenazas "conocidas" pero haberlas hailas, como las meigas. Es cierto que son limitadas,no muy numerosas y que suponen normalmente un error de usuario dado que el perfil con el que corren los procesos no suele ser el de administración, pero hay constancia ya con noticias cada cierta frecuencia de problemas en estos entornos. Hoy se conoce que ciertas Webs de distribución de software han incluido spyware en sus descargas. Por tanto, el peligro real para Google está en el cuadrante de amenazas que se situan en el lado de lo desconocido.

    Además, a Google lo que debiera precisamente de preocuparle no son las amenazas conocidas sino las desconocidas, las zero-day de las que nada se sabe hasta que se detecta la intrusión. Por tanto, el cambio de escenario para nada va a relajar las medidas preventivas o de detección de anomalías que hubiera que instalar y por tanto, el cambio de plataforma no evita muchos riesgos que actualmente tiene.El cuarto problema de Google puede ser pensar que este cambio de estrategia va a solventar sus problemas de seguridad o que los hace menos vulnerables..


Conclusión
    El anuncio de Google debe tener una justificación puramente empresarial porque no cuela que la coartada sea la seguridad. Quizás sea su futuro Google-Os aunque lo mismo nos llevamos la sorpresa dentro de unos años de tener otra "Operación Aurora II" donde entran a Google a través de Mac Os porque ni la propia Google utiliza su sistema operativo. Lo que Google debe entender es que para tener más seguridad debe trabajar y hacer cosas por la seguridad y las deficiencias que dieron lugar a la operación Aurora ponen de manifiesto el fallo de los "procesos que deben velar por la protección de sus activos", es decir, una gestión y configuración adecuada del software, una política de actualización y gestión de vulnerabilidades, una concienciación a usuarios, unas restricciones en los entornos de escritorio, etc. Cosas que hay que hacer todos los días para luchar contra el enemigo invisible que cualquir día te crea un problema gordo y se lleva tu "codigo fuente". Tanto valgan tus activos,tanto deberás gastar en protegerlos.

    Y comparto también la reflexión de Sergio de los Santos, "el problema de los ataques dirigidos no es que se centren en un software concreto, sino que rara vez yerran su objetivo si están suficientemente motivados para ello". Para estas situaciones es mejor estar al lado de un proveedor tecnológico muy maduro en estos temas a base de años de batallas que frente a nuevas organizaciones más inexpertas o poco atacadas para las que puede que un nuevo escenario de amenazas les pueda pillar por sorpresa. Solo hay que ver cómo Adobe se plantea "ahora" pasar a una política de actualización de parches mensual cuando está ya en medio del ojo de huracán de los desarrolladores del malware (y que todavía está que se lo piensa)
.

Como se suele decir, lo que no te mata te hace más fuerte y ahora Microsoft puede rentabilidar los años de sufrimiento que siempre se han vivido como oportunidades de mejorar día a día.


De todas formas, Microsoft también ha respondido con sus argumentos frente a esta migración.

Quiero acabar también comentando que yo he saltado a Mac OS hace relativamente poco, pero por el cambio en el uso que doy a mi equipo doméstico. Mi migración está relacionada con que quiero un ordenador en casa sobre todo para temas multimedia, edición de fotografías, video y consultar a Internet. Y nada más. A ello se suma que el diseño de los equipos de Apple para escritorio tienen una estética muy atractiva y sobre todo, ocupan un espacio muy reducido integrando pantalla y equipo en un mismo elemento. Además, con ello también paso a un escenario de menor riesgo al existir un número muchísimo menor de amenazas dirigidas al usuario común y porque estoy concienciado de la importancia que tienen las conductas seguras que intento practicar. El sistema operativo puede que no lo sea, pero mis usos cotidianos y mis actividades con el equipo tienen poca interacción con Internet y muy pocas instalaciones de software de fuentes desconocidas. En esto de la seguridad de los sistemas operativos tanto tiene que ver el propio sistema como el conductor del mismo. Si el sistema es seguro pero el conductor no, hay problemas. Si el sistema no es muy seguro pero el conductor es prudente, puede también tener pocos accidentes. Soy consciente de que este escenario de pocas amenazas durará un tiempo limitado pero para contrarestarlo estarán mis buenas prácticas y hábitos que me llevan a ser muy cauto con el uso del sistema. Tanto que mi primera aplicación instalada sobre el equipo fue iAntivirus, un monitor de conexiones Tcp/Ip y una vez por mes está en mi To-do actualizar todas las aplicaciones que tienen parches utilizando Appfresh para esto último. Pero esta filosofía vale en el entorno doméstico aunque no me parece adecuada para un entorno empresarial donde el usuario final no puede ser responsable de la protección de su equipo. Quizás una futura filosofía basada en escritorio virtuales si permita implantar una gestión centralizada y controlada pero creo que a día de hoy, se hace más compleja la gestión con este cambio. Las políticas de grupo aplicadas sobre un dominio hacen que el diseño de la seguridad se pueda ajustar como un guante a las necesidades de las diferentes unidades organizativas y las opciones de configuración de seguridad que pueden ser establecidas son casi infinitas. El problema suele ser tener claro que permitir o cortar, más que el poder o no hacerlo.

6 comentarios:

Abel dijo...

Grande, Javier. Felicidades por el artículo.

Paco Arcas dijo...

Como te he dicho por chat: Chapó.

David S. J. dijo...

Hola. Estás muy acertado en tu artículo.

No es lo mismo atacar equipos con Windows que tiene "todo el mundo" y por tanto tu ataque puede ser más productivo, que descubrir un fallo en equipo linux y/o Mac y aprovecharte porque tendrá "menos repercusión".
Vamos, como descubrir un método para robar a viejecitos que van a cobrar a primeros de mes y por contrapartida, descubrir como robar una oveja a un pastor = Menos victimas = menor repercusión = menor botín. Quizás no es el mejor ejemplo pero creo haber conseguido expresarme.


No me puedo creer que sigan usando IE6, sin gestión de pestañas en lugar de IE8 o Firefox ó evidentemente su propio producto. Suena totalmente a invento para migrar a Linux, creo que es una buena elección, pero muy mala excusa. Creo que Google sabe bastante más de lo que quiere contar sencillamente y se acoge a "errores de seguridad del sistema operativo" cuando de siempre se sabe que "las personas somos el eslabón más débil de la cadena de seguridad" (no instalando antivirus, no actualizando tu sistema operativo, bicheando en páginas que no debes ejem ejem y así un largo etcétera)

Enhorabuena por tu artículo

Javier Cao Avellaneda dijo...

Imagino que la noticia forma parte de una estrategia por vendernos su maravilloso sistema operativo que casi seguro que no tendrá coste (porque no se puede decir que es gratis algo que te regalan a cambio de la información que tu generas al usarlo).
De todas formas, lo más coherente y correcto como empresa sería que utilizan sus propios productos.

Paco Arcas dijo...

La respuesta de MS:
http://europapress.mobi/tecnologia/internet-00446/noticia-microsoft-responde-google-incluso-hackers-reconocen-gran-trabajo-20100602184838.html?completa=S

Audea Seguridadd dijo...

Cpmpletamente de acuerdo con lo que planteas.
Tiene que haber más razones de ámbito empresarial para dejar de utilizar las plataformas de Microsoft.

Un saludo y felicidades por el artículo.

 
;