viernes, 12 de julio de 2013

La posibilidad de backdoors en productos de software y hardware: la ruleta

Esa sensación de que algo no anda bien
Desde ayer u hoy (según tu zona horaria), el consenso general en foros y chats entre gente del ambiente de seguridad IT por todo el mundo es que si corrés un producto de software o hardware, relativamente popular (digamos por arriba de las decenas de miles de usuarios), y si el producto es un componente de infraestructura (sistemas operativos, bases de datos, software de CRM/ERP, gestión documental, servidores, SANs, switches de core, firewalls, dispositivos de threat management, appliances de correo/antivirus, etc. etc), cuanto más caro sea, mejor (o peor en realidad); y si además el producto fue fabricado en algún país con leyes poco favorables a la privacidad de datos, las chances se dan a favor de que en algún momento, alguien descubra que la mayoría corrieron o corren un backdoor y/o vulnerabilidades críticas explotables remotamente, como máximo, o como mínimo backdoors y/o vulnerabilidades explotables localmente (con previo acceso físico y/o acceso con permisos bajos, de usuario). Ellas codeadas por el mismo fabricante, con las consiguientes dificultades que ello implica (legales, prácticas, de management, de seguridad, etc. etc.).

La posibilidad de permanecer indiferente está siendo desafiada ahora mismo por una certeza probabilística, "tienen que estar backdoreados", "alguno debe estar backdoreado", y el premio va a ser grande, en reconocimiento de la comunidad de seguridad y en negocios + éxito económico para quienes descubran primero cuales son los productos de soft y hard que tienen backdoors funcionales (o inclusive, si en versiones viejas los tuvieron).

Ni hablar de que los "chicos malos" del ambiente de seguridad IT de siempre (desde los script kiddies hasta - especialmente - las grandes organizaciones criminales ), son los primeros que se anotaron en una tarea, que si bien puede ser desafiante desde lo económico (por la inversión necesaria en I+D), puede devolver ganancias extraordinarias si pueden descubrir un mínimo de uno o dos productos de soft/hard backdoreados o con vulnerabilidades plantadas.

Ya hay evidencia más que suficiente de lo fiable de estas previsiones, devenidas de las experiencias de los últimos tres años: caros appliances de threat management con backdoors, hardware de storage con backdoors, etc.


Cómo sabemos que es un backdoor
¿Cómo sabemos que es un backdoor y no una "característica oculta al cliente" (por más anti-ético que esto sea igualmente)?

Cuando es un backdoor en toda la regla, los usuarios legítimos del sistema (incluídos los de mayor privilegio: los administradores), no tienen ninguna evidencia en el sistema de que este ha sido accedido y/o sus recursos han sido utilizados por un tercero no autorizado.

No hay logs, los procesos no figuran en la lista del sistema, el tráfico de red originado desde estas sesiones se oculta, no hay evidencia de accesos realizados en ninguna interfaz gráfica, los rastros de archivos temporales en el sistema están ocultos, sino es que directamente se borran automáticamente al terminar la sesión iniciada desde el backdoor.

Inclusive tenemos el caso de una línea completa de hardware - sumamente costoso - de storage SAN que corre una copia completa del sistema operativo que corre la SAN (justo al lado del sistema operativo que usan los administradores de la SAN), copia que estaba oculta - hasta hace muy poco - y era totalmente desconocida para los dueños de esas SAN, y clientes de una empresa de las "grandes", que figura entre varias de las cuales escuché opiniones como "son de confianza", "son de prestigio mundial, no se van a ensuciar así", etc.


La gran ruleta
En fin, solo queda sentarse a esperar a ver cual de todos los jugadores del tablero de la seguridad IT a nivel mundial hace el primer descubrimiento, si es que llegan a hacerlo, ya que sabemos que están compitiendo contra los mejores hackers del mundo, aquellos que pueden hackear millones de sistemas simultáneamente y no ser detectados más que unas pocas veces (sobran dedos, etc.), de entre millones de trabajos exitosos (y que pasaron completamente desapercibidos), simplemente por eso les vale la pena el desafío.

¿Quiénes serán los primeros? Algun/os bancos importantes? Tal vez alguna empresa de energía? Filtraciones masivas de información estatal, provincial, judicial, fiscal, militar, etc.?

Seguramente cualquiera que esté usando software o hardware construído en países con leyes poco favorables a la protección de datos privados es ahora mismo un lugar más en una gran ruleta, que ya empezó a girar. A alguno le va tocar.

No hay comentarios: