No es una exageración decir que la mayoría de las organizaciones tienen al menos un poco de hardware y software antiguo que todavía está en uso.
Una computadora antigua que todavía está resoplando, corriendo un viejo sistema operativo y tal vez una aplicación que es difícil de reemplazar, que no necesariamente plantea una señal de alerta con el personal de TI.
¿Por qué gastar dinero en nuevos equipos o software si lo que ya está dentro de la empresa es adecuado y funciona?
Walker White, presidente de BDNA, una compañía que rastrea y analiza los datos del final de la vida ﴾EOL, por sus siglas en inglés﴿ de hardware, software y dispositivos médicos, señala que el principal problema con el software pasado de fecha y el hardware heredado, es que una vez que pasan su ciclo de EOL, el proveedor ya no mantiene o da soporte a los productos, dando lugar a vulnerabilidades de seguridad y riesgo para las organizaciones.
Tal como indica el informe Estado de la Empresa (Q2 2016) realizado por BDNA, muchas organizaciones no son conscientes de las posibles responsabilidades, que pueden costar millones de dólares en el caso de un ataque exitoso después de que una vulnerabilidad es explotada.
Aquí está una mirada al hardware, software y las vulnerabilidades de dispositivos móviles que debe abordar ahora, para reducir el riesgo y aumentar la seguridad.
Viejas PCs, laptops y notebooks
White sostiene que, aunque el software representa un riesgo mucho mayor que el hardware, muchas vulnerabilidades de hardware en realidad están basadas en software.
El principal problema con las computadoras más antiguas es que muchos equipos no tienen funciones de seguridad incorporadas, tales como UEFI (Unified Extensible Firmware Interface) con Secure Boot, un sistema básico de auto reparación de salida/entrada (BIOS), autenticación previa al inicio, unidades de cifrado automático y similares. Aunque estas características no pueden impedir las infracciones el 100% del tiempo (¿y quién puede?), mejoran en gran medida la seguridad general de las computadoras personales y de la empresa.
Los elementos a eliminar en el inventario de computadoras de su organización:
* Las computadoras con BIOS convencional: Los equipos antiguos, así como las laptops y notebooks, con el BIOS convencional no pueden ejecutar el arranque seguro, una característica de UEFI que se agregó por primera vez en Microsoft Windows 8 y ahora aparece en las ediciones más recientes, así como en Windows Server. Arranque seguro o Secure Boot ayuda a prevenir que se cargue el malware durante el proceso de arranque de la computadora. Para mayor protección, la tecnología SureStart de HP, que se introdujo en el 2013, detecta el código del BIOS dañado o en peligro antes de que incluso cargue, y luego lo copia con una “buena” versión firmada digitalmente si es necesario.
* Las computadoras sin autenticación previa al arranque (PBA) o un módulo de plataforma segura (TPM): Como otro nivel de protección, PBA impide que el sistema operativo se cargue hasta que el usuario introduzca la información de autenticación, como una contraseña. PBA entra en acción después de las cargas de BIOS, pero antes de que se inicie el sistema operativo. Esta característica ha existido durante varios años y ha sido reemplazada en algunas computadoras por Microsoft BitLocker utilizando TPM.
* Routers viejos: Dirigido principalmente a pequeñas oficinas/oficinas en casa ﴾SOHOs, por sus siglas en inglés﴿, los routers viejos ‐especialmente aquellos fabricados en el 2011 y anteriores‐ pueden tener serias vulnerabilidades.
* Las unidades que no se auto cifran: Disponibles desde el 2009, las unidades de cifrado automático, o SED por sus siglas en inglés, son especialmente importantes para los equipos móviles. Una SED requiere una contraseña, además de la contraseña de inicio de sesión del sistema operativo, y la tecnología cifra y descifra los datos de la unidad de forma automática.
Otra consideración es el uso en general de discos duros antiguos. Deb Shinder, una consultora de tecnología y seguridad, entrenadora y escritora, señala que incluso cuando los viejos discos duros no son una amenaza directa a la seguridad, lo hacen vulnerable a la pérdida de datos, ya que son propensos a fallar.
Abordar las vulnerabilidades de software
Donde las correcciones y actualizaciones de hardware suelen requerir descargas de dinero en efectivo, las vulnerabilidades de software reparado, a menudo implica cambios de bajo costo o incluso gratuitos. La siguiente lista incluye los tipos de software que deben mantenerse actualizados, parchados o que deben ser reemplazados tan pronto como sea posible:
* Sistemas operativos sin parches o desactualizados: En abril del 2014, Microsoft dejó de dar soporte a Windows XP, lo que significa que ni las actualizaciones automáticas ni la asistencia técnica está disponible. De acuerdo con Microsoft, incluso si se ejecuta algún tipo de software antivirus en Windows XP, éste tiene “una eficacia limitada en PCs que no tienen las últimas actualizaciones de seguridad”. Shinder advierte contra el funcionamiento en los sistemas operativos de servidor antiguos, como Windows Server 2003 y versiones anteriores, que proporcionan “un número mucho menor de elementos de seguridad” que los sistemas operativos más modernos, y esos antiguos servidores FTP que se sientan alrededor de la red, por lo general utilizados con poca frecuencia, presentan una superficie de ataque que los administradores podrían pasar por alto.
* Software de productividad sin parchar o desactualizado: Las versiones sin actualizar de Microsoft Office, especialmente las versiones más antiguas como Office 2002, Office 2003 y Office 2007, son arriesgadas. Una vulnerabilidad común es el potencial para la ejecución remota de código si un usuario abre un archivo o una vista previa preparada maliciosamente, o si visita una página web que contiene el contenido que explota la vulnerabilidad. Si tiene éxito, el atacante puede obtener acceso al sistema del usuario, lo que puede suponer un riesgo sustancial si el usuario tiene privilegios administrativos.
* Aplicaciones personalizadas heredadas: De acuerdo con Shinder, muchas organizaciones siguen ejecutando software heredado que fue escrito a medida para ellos, incluso cuando el proveedor se haya ido a la quiebra y ya no puede proporcionar actualizaciones o parches. “Para las organizaciones, la idea de empezar de nuevo con una nueva aplicación o un proyecto de desarrollo personalizado puede parecer abrumadora. Sin embargo, el software heredado no se ha codificado teniendo en mente los ataques sofisticados de hoy”, anota Shinder, dejándolo muy vulnerable si se expone a Internet o en un entorno con controles de seguridad inadecuadas.
* Navegadores web sin parchar: Las vulnerabilidades del navegador están muy extendidas; no hay ningún navegador que esté completamente libre de vulnerabilidades de seguridad. Las vulnerabilidades comunes incluyen la suplantación de URL, scripting cruzado, ataques de inyección, virus explotables, desbordamiento de búfer, violaciones de ActiveX y muchos más. En resumen, ejecute la versión más actualizada de su navegador web preferido y actualícelo tan pronto como las actualizaciones estén disponibles.
* Plug‐ins desactualizados: Un blanco fácil para los atacantes son los plug‐ins desactualizados del navegador para el software utilizado en la web, y los plug‐ins con la mayor cantidad de vulnerabilidades están relacionados con PDF de Adobe y Adobe Flash ﴾también conocido como Shockwave flash﴿, así como Java y Microsoft Silverlight. Los plug‐ins de WordPress también han sido víctimas de una serie de vulnerabilidades de seguridad, tanto es así que WordPress ofrece un plug‐in para comprobar la vulnerabilidad de otros plug‐ins de WordPress.
Cambio de protocolos
Cuando se desarrolló el conjunto de protocolos TCP/IP por primera vez y la Internet estaba en su infancia, la seguridad no era la más alta prioridad. Ahora las cosas han cambiado de forma espectacular. Muchos protocolos de comunicaciones han sido revisados o sustituidos con seguridad incorporada. Uno de los cambios más recientes es el cambio de Secure Sockets Layer (SSL), que se ejecuta por sobre TCP/IP, a su sucesor, Transport Layer Security (TLS).
Ambos protocolos proporcionan encriptación y autenticación de datos entre las aplicaciones y servidores, como el servidor y el navegador web, y están diseñados para permitir comunicaciones seguras a través de Internet. Sin embargo, lo “seguro” en SSL es ahora una contradicción debido a las vulnerabilidades bien documentadas.
De hecho, incluso TLS 1.0 y algunas implementaciones de TLS 1.1 se consideran inseguras, con expertos recomendando el uso de TLS 1.2 y posterior. Eso significa que los servidores web deben estar ejecutando la última versión de TLS, especialmente aquellos que alojan plataformas de comercio electrónico. PCI DSS 3.1, el último estándar para la seguridad de las tarjetas de pago, eliminó a SSL y aquellas primeras versiones de TLS de su lista de estándares de cifrado aprobados.
White de BDNA también advierte contra los defectos en TCP. Cita una grave vulnerabilidad en el TCP que se ejecuta en Linux que utiliza canales secundarios. Un atacante puede tener éxito en la secuenciación de paquetes por conocer las direcciones IP del emisor y el receptor, y luego interceptar paquetes e insertar contenido malicioso. Esta vulnerabilidad ha existido durante varios años, pero se ha descubierto recientemente, lo que ha resultado en parches para la próxima versión del sistema operativo Linux.
Dispositivos móviles o de Internet de las cosas
La explosión del uso de dispositivos móviles y de la Internet de las Cosas ﴾IoT, por sus siglas en inglés﴿ ha hecho que el trabajo y la vida personal sean más fáciles en muchos aspectos, pero al mismo tiempo ha dado paso a un grupo de problemas de seguridad. Estas son algunas de las preocupaciones más urgentes en relación con lo móvil y la IoT:
* Dispositivos y sistemas operativos móviles viejos: Algunos dispositivos con sistemas operativos antiguos no se pueden actualizar, y las actualizaciones de seguridad son soportadas por un tiempo limitado. Por ejemplo, el iPhone 3 y los modelos anteriores (los que se vendieron antes de octubre del 2011) no pueden ejecutar la última versión de iOS, que tiene muchas características de seguridad incorporadas. Los dispositivos Android son más difíciles de definir debido a los múltiples proveedores de teléfonos con múltiples productos que ejecutan el sistema operativo. Tenga en cuenta que Google proporciona actualizaciones de seguridad para Android por tres años a partir de la liberación, y las actualizaciones a una nueva versión de Android por dos años a partir de la liberación.
* Los dispositivos IoT viejos: De acuerdo con Shinder, los viejos dispositivos de la IoT “que están habilitados en red, como las viejas cámaras IP utilizadas para la vigilancia, no reciben actualizaciones regulares y con frecuencia están utilizando protocolos inseguros. Con el carente estado de la seguridad de la IoT, en general, tener dispositivos más antiguos en la mezcla solo lo hace peor.
Próximos pasos
US‐CERT recomienda listas blancas de aplicaciones, mantenimiento de aplicaciones y sistemas operativos parchados y actualizados, y la restricción de privilegios administrativos a las aplicaciones y sistemas operativos como una estrategia para reducir el riesgo.
Las organizaciones también deben automatizarse tanto como sea posible, lo que incluye permitir las actualizaciones del sistema operativo y de las aplicaciones a no ser que los administradores tengan una razón específica para no hacerlo. Para mantener SoHo Routers al día, actualice el firmware mediante el mecanismo de actualización con solo un botón, si está disponible, o descargue una actualización desde el sitio de soporte técnico del fabricante e instálelo. En cuanto a los dispositivos móviles, debe mantenerlos actualizados con el último software, y enseñarles a los usuarios a descargar aplicaciones solo de fuentes de confianza, como la Apple Store o Google Play.
Mantenerse en la cima de la información de la vulnerabilidad es fundamental para la protección de los entornos de TI. Una buena fuente es la página web de alertas US‐CERT, así como la lista de la MITRE Corporation, Vulnerabilidades y exposiciones comunes (CVE por sus siglas en inglés). Para las organizaciones que ejecutan productos de Microsoft, revise los avisos y boletines de seguridad de Microsoft TechNet, o suscríbase para recibir notificaciones de seguridad, a través de RSS o correo electrónico.
Otra opción es suscribirse a un catálogo de terceros sobre los proveedores y detalles de productos, como Technopedia de BDNA. Este tipo de servicios reúne los datos, y luego los traduce y normaliza para utilizar el lenguaje y las condiciones normales, eliminando las variantes de nombres para un solo proveedor, producto único y/o versión de un producto.
-Kim Lindros, CIO.com
