Bitcora del analista antivirus

Polticas de seguridad: programas de acceso remoto

Kirill Kruglov

29 abril 2013 | 14:22 MSK

Comentar

La experiencia de muchos responsables de seguridad informtica muestra que solo un reducido nmero de incidentes de
seguridad son resultado de ataques dirigidos sofisticados y meticulosamente planificados, y que la mayora se deben a la falta de
medidas efectivas de seguridad y control. Este articulo da inicio a una serie de publicaciones sobre amenazas a la seguridad
informtica asociadas con el uso de software legtimo.

TeamViewer
Muy populares, fciles de usar y prcticas, las herramientas de acceso remoto son muy apreciadas tanto por los administradores
de sistemas como por los desarrolladores, y por cualquiera que en algn momento haya necesitado ingresar a un ordenador en su
oficina desde un lugar remoto, ya sea durante un viaje de negocios, trabajando desde casa, o en caso de una emergencia en
plenas vacaciones. Sin embargo, el uso irrestricto de este software significa una amenaza contra la seguridad corporativa y puede
ocasionar incidentes de seguridad.
Por ejemplo, TeamViewer, una herramienta de acceso remoto relativamente popular, se us para espiar en Europa del Este. Sin
embargo, el uso de software de acceso remoto para penetrar una red corporativa constituye en potencia ms que una amenaza
externa (implica acciones ciberdelictivas y programas maliciosos). Cada bit de una amenaza interna es significativo: los empleados
corporativos pueden potencialmente abusar el acceso remoto con el software instalado y usado por un infiltrado con propsitos
ilegtimos.
Echemos un vistazo a algunas de las amenazas potenciales con un estudio de caso de la vida real realizado por los expertos de
Kaspersky Lab.

Estudio de caso. Una historia de la vida real

En una compaa grande de software, un empleado se quedaba a trabajar varias horas fuera de su horario habitual. Sola ir a la
oficina los fines de semana para cumplir con sus trabajos pendientes. Cansado de esta agotadora rutina, hizo caso al consejo de
sus colegas y se instal TeamViewer. Ahora ya no tena que trabajar horas extra en la oficina ni ir los fines de semana: poda
hacerlo desde su casa, gracias al acceso remoto a su ordenador en su oficina.
TeamViewer le facilito la vida, pero le complicaba el trabajo al responsable de seguridad informtica de la compaa, quien al poco
tiempo observo que ocurran ms incidentes en la red corporativa: la solucin antivirus comenz a detectar ms programas
maliciosos, intentos ms frecuentes para acceder sin autorizacin a datos confidenciales, etc. Un somero anlisis revelo que la
mayor parte de las acciones maliciosas estaban relacionadas con el ordenador de un determinado usuario.
Un anlisis ms profundo realizado en el equipo sospechoso no revelo ningn programa malicioso. El responsable de seguridad
sospecho que quizs algn colega hubiese accedido a la cuenta del empleado y la usara para ocultar sus actividades delictivas.
Sin embargo, cuando analizo los datos del portal de acceso y la vigilancia CCTV, descubri que nadie haba estado en la oficina
en los momentos en que se llevaban a cabo las acciones maliciosas. Exista otra posibilidad: la existencia de un troyano puerta
trasera en el equipo afectado. Un anlisis del trfico de red arrojo que los incidentes de seguridad ocurran al mismo tiempo que
los aumentos de actividades de red en el mismo equipo. Aunque el trfico a travs de los puertos 80 y 443 estaba codificado, se
estableci que el trafico malicioso se comunicaba con servidores con dominios como serverXXX.teamviewer.com.
Un examen del equipo sospechoso mostro que un servidor TeamViewer se ejecuta en el equipo. El responsable de seguridad
entrevisto al empleado y se enter sobre el acceso remoto a la red corporativa, pero el empleado aseguro que no estaba
conectado a la red corporativa cuando sucedan los incidentes de seguridad.
Una inspeccin del ordenador domestico del empleado mostro que hace algn tiempo se haba detectado y eliminado un
programa spyware. El empleado no le haba dado mucha importancia ya que su solucin de seguridad haba neutralizado con
xito la amenaza. Otro anlisis en profundidad demostr que este programa spyware estaba diseado para registrar la informacin
que se generaba en el teclado, y que capturaba reas de la pantalla.
El responsable de seguridad concluyo que un programa spyware instalado en el ordenador domestico del empleado haba
transmitido al ciberdelincuente los datos necesarios para acceder al equipo en la oficina.
Con esta informacin, el ciberdelincuente accedi a la red corporativa, la analizo, instalo programas maliciosos, busco
vulnerabilidades e intento copiar archivos desde los recursos de la red.

Afortunadamente, estas actividades maliciosas se neutralizaron rpidamente gracias a las acciones del equipo de seguridad
informtica, por lo que el dao causado por el ciberdelincuente fue limitado. Al empleado se le llamo la atencin, y el jefe de
seguridad tomo medidas rpidas para prevenir que incidentes similares ocurriesen en el futuro.

Solucin
Un paso importante al procesar los incidentes de seguridad consiste en corregir los defectos en las polticas de seguridad
corporativa que dan lugar a posibles incidentes. Entonces, que es lo que un responsable de seguridad debe hacer en este caso?

Anlisis primario
Cuando se detecta un incidente de seguridad, la primera tarea de un responsable de seguridad informtica es averiguar si se trata
de un incidente aislado, o si potencialmente podra repetirse en otros equipos de la red. Un inventario de programas permite al
responsable recopilar informacin sobre todos los programas instalados en los ordenadores de los usuarios, mientras que el
monitoreo de programas le ayudara a determinar la frecuencia con que se usan. Un anlisis preliminar le proporciona, entre otras
cosas, un cuadro general sobre cmo se usan en la red los programas de acceso remoto, quien los usa, y con qu frecuencia.

Control del trfico en la red

Un control inadecuado de las conexiones que se realizan en la red corporativa es una fuente de incidentes de seguridad. La
herramienta ms apropiada para controlar las conexiones de red es un cortafuegos, as como los es IPS para controlar el trfico
en la red. Sin embargo, aunque las herramientas que controlan el permetro de la red corporativa son importantes, su efecto es
limitado en un caso como el que acabamos de describir. Un cliente TeamViewer estableci una conexin con otro a travs de
servidores remotos, mientras que los datos en forma de paquetes codificados HTTP pueden comunicarse mediante los puertos 80
y 443. No es factible bloquear este trfico ya que esto provocara la paralizacin total de la red. Por otra parte, el bloqueo de las
conexiones a todos los dominios o direcciones IP de los servidores TeamViewer significa mucho trabajo, ya que se deben
identificar todos los nombres de dominios y direcciones IP relacionados, y estas listas se deben mantener actualizadas.

Control de aplicaciones
El control de aplicaciones es evidentemente una herramienta apropiada para disminuir el riesgo de penetraciones en una red
corporativa mediante TeamViewer, ya que puede detener el uso descontrolado.

El control de aplicaciones le permite al responsable de seguridad informtica atender dos problemas:

1.

El control del uso de TeamViewer.

TeamViewer es una herramienta conveniente. Por ejemplo, le permite al administrador de sistemas prestar asistencia a los
usuarios desde cualquier lugar. El uso de TeamViewer (o una alternativa segura) puede permitirse a los usuarios que realmente
necesiten el acceso remoto a su red corporativa. Para los otros empleados, no debe permitirse el acceso remoto.
Esta decisin parece compleja: la bsqueda, compilacin y mantenimiento de una lista completa y actualizada de todos los
programas de acceso remoto consume tiempo y esfuerzo. Sin embargo, el uso del control de aplicaciones en Default Deny
mode resuelve el problema de mantener y actualizar listas de programas no autorizados.
Cuando se resuelve el asunto de quien no necesita TeamViewer, la tarea del responsable de seguridad informtica se simplifica al
control de un determinado grupo de empleados que estn en la zona de riesgo.
2.

Restringir acceso a TeamViewer y sus capacidades, para reducir la posibilidad de que los ciberdelincuentes penetren
la red corporativa.

Supongamos que un empleado tiene la autorizacin y permiso para usar TeamViewer, pero que un ciberdelincuente logra
robrselos. Como se puede minimizarse el dao potencial?
Aparte de bloquear ciertas actividades, el control de aplicaciones le permite al responsable de seguridad restringir las capacidades
de la aplicacin con la aplicacin de las polticas HIPS, como la restriccin a los recursos de la red, la restriccin de privilegios
para ejecutar y/o cargar aplicaciones, desactivar cualquier cambio en las configuraciones, etc. Esto ayuda a limitar las
capacidades de TeamViewer en caso de que caiga en manos de un ciberdelincuente.

Polticas de seguridad:
Aunque Teamviewer posee una amplia lista de capacidades funcionales, no incluye herramientas para que el administrador ejerza
un control centralizado en una red corporativa. Algunas configuraciones en TeamViewer que ayudan a reducir el riesgo de
penetraciones son: la generacin de una nueva contrasea de conexin cuando se ejecuta TeamViewer, la opcin de limitar la lista
de ID de clientes a los que se permite conectarse, y el establecimiento de una conexin VPN entre dos clientes TeamViewer. Sin
embargo, es el usuario quien decide si se usan o no determinadas restricciones. Por supuesto que el administrador puede instalar
y configurar TeamViewer, y protegerlo con una contrasea para evitar cambios en su configuracin. Sin embargo, no tiene sentido
imponer un control sobre las modificaciones a la configuracin, ya que los usuarios pueden recurrir a una versin porttil y liviana
en un dispositivo USB.
Todos los empleados deben estar conscientes de las polticas corporativas de seguridad. Una de las tareas del responsable de
seguridad informtica consiste en informar a los empleados sobre la seguridad con regularidad y asegurarse de que se estn
cumpliendo las polticas vigentes. Por ejemplo, los usuarios deberan:

Ejecutar TeamViewer con un mnimo de autorizaciones, sin posibilidad alguna de que aumenten;

Generar una nueva llave con cada ejecucin;

Usar TeamViewer solo cuando sea necesario y no dejarlo en funcionamiento si no se usa;

No guardar autorizaciones de conexin ni pasarlas a otros en forma descodificada;

Informar inmediatamente al departamento de seguridad informtica si se sospecha de un ciberataque.

Conclusin
Desde el punto de vista de la seguridad informtica, los programas de acceso remoto comprometen la seguridad del permetro de
la red corporativa. Este es el caso cuando estos programas se usan sin control, y cuando se omiten las regulaciones de seguridad
al conectarse a la red corporativa desde el exterior. Las actividades de estos programas en la red complican mucho la
identificacin de actividades maliciosas entre las actividades legtimas. La deteccin del uso programas de acceso remoto sin
previa autorizacin del departamento de seguridad informtica debe considerarse como evidencia suficiente de penetracin de un
ciberdelincuente.
Para minimizar los riesgos de estos incidentes de seguridad, se debe restringir en lo posible el uso de programas de acceso
remoto, lo cual se logra con la ayuda del control de aplicaciones. Cuando los empleados realmente tienen que usar estos
programas por razones empresariales, se deben tomar todas las precauciones para minimizar el riesgo de ciberataques. El
establecimiento de polticas HIP, la ejecucin con autorizaciones mnimas, y la autorizacin obligatoria de dominios,
preferiblemente en dos etapas, ayudan a disminuir a un nivel aceptable los riesgos derivados de los programas potencialmente
peligrosos.