2020/03/21

Consideraciones de ciberseguridad y coronavirus

Con el asunto de las cuarentenas de coronavirus, comparto algunas reflexiones, algunas con conocimiento de causa, algunas de mi sentido común ciberseguro resultado de mi profesión. Pese a que me había prometido evitar las notas poco técnicas y teñidas de opinión como va a ser esta, me parece que la situación lo amerita.

Esto no es una guía o manual de trabajo y estudio remoto, sólo algunas ideas rápidas que pueden ser útiles. Al no ser muy técnica tambien está orientada más al usuario final que a quien deba armar soluciones.

Cuando digo conferencia me refiero de modo genérico a conferencia, charla, clase, reunión o lo que sea en que varios participantes intercambian streams de audio y video, provenientes de una cámara o de la pantalla.

Si en el correr de los días de la cuarentena ocurre algo interesante, actualizaré.

Primero lo más evidente:

Atención al phishing y las estafas



Han habido estafas que se han aprovechado incluso de las torres gemelas, esta es una oportunidad tan buena como cualquier otra.




Servidores de conferencias


¿Propio o ajeno? ¿cloud u on premise? Si te lo instalás en tu propio servidor (que puede ser cualquier máquina, sólo hace falta que tenga IP pública, no necesariamente fija), el problema que tenés es que ante un ataque dirigido probablemente seas presa fácil, pero ante esquemas de vigilancia generalizada estás mejor, sobre todo si el tráfico está cifrado. Un ataque a un servidor ajeno en cloud tiene la ventaja de que probablemente afecte a innumerables otras personas y empresas, con lo cual el impacto se distribuye, si no sos importante, vas a estar abajo en la lista de explotación.


El cifrado puede ser:

Inexistente: cualquiera con acceso al tráfico que conozca los protocolos y formatos utilizados puede escuchar.

Entre servidor y cliente: el servidor determina las keys utilizadas, es su elección inspeccionar o grabar las conversaciones.

End-to-end, esto es, entre cada cliente: el servidor no entiende las conversaciones.

Sin duda el cifrado aumenta la latencia y el procesamiento, no sé si lo hace de modo significativo.

Lo más probable es que no te importe mucho y termines en google algo o zoom.

Documentos compartidos


Quizás antes no tenías que hacerlo tanto, pero seguramente ahora sí, compartir documentos con terceros. Fijate que hay opciones de acceso, evitá como la peste "todo el mundo" y "cualquiera con acceso al link", a menos que sea tu propósito.

Tambien reducí el acceso de "total" a "lectura" o "comentarios" según corresponda y explorá la posibilidad que al menos google ofrece de no permitir copiar ni salvar, pero no cuentes con eso, siempre se pueden sacar fotos de pantalla desde la compu o afuera.

Tené en cuenta que al estar accediendo a un documento compartido otras personas que accedan simultáneamente te verán y quizás no querías divulgar esa información.

Redes sociales y chats


Imaginate que estás compartiendo tu pantalla con gente de tu organización y de otra y alguien de la otra organización es muy infla pies y alguien de la tuya te hace un comentario al respecto. Y aparece abajo a la derecha el mensajito "qué pesado que es Estaban!!". ¡Qué momento incómodo!


Mitigación: desactivar notificaciones.

Mitigación: virtualizar, el uso de una máquina virtual en una conferencia tiene el efecto colateral extra de evitar los popups con mensajes si tenés las cuentas separadas.

La responsabilidad


Cuando entré a mi trabajo de ciberseguridad, que en ese momento se llamaba de otra manera, una de las primeras cosas que me enseñaron en los pasillos fue: "Siempre cuidate el trasero". No fué exactamente con esas palabras, te podrás imaginar...


Si tu organización te da unas herramientas de acceso remoto, usá esas y no otras, si algo sale mal, siempre podés decir "yo seguí los lineamientos dictados". Puede parecer señal de cortedad de entendederas, pero que tu astucia no te haga ser instrumento de un ataque.

Si hay alguna actividad que no podés hacer o es muy incómodo o te lleva mucho tiempo de modo remoto sin violar las reglas de la organización, no la hagas, mala suerte, elevá y que la organización resuelva.

Que no te pase como a alguien que me contaron que puso su número personal de celular en el contestador del trabajo como contacto de emergencia siendo una persona sin rango ni responsabilidad por que el dueño no puso el suyo.

Registro


¿Vas a querer que lo ocurrido quede registrado o no? Si así lo deseás, no olvidés revisar y activar las opciones que la plataforma te brinde. Está bueno hacer algunos ensayos hasta dominar esas opciones a encontrarte con que perdiste el registro.

Si perdés le registro, decimos que afecta a la Disponibilidad de la Información.

Si no deseás que haya registro, no hagas la actividad, ya que no importa lo que la aplicación te prometa, que no almacena, que borra, con una simple cámara de video apuntando a la pantalla de cualquier participante va a haber registro.

La Confidencialidad de la Información abarca al registro no deseado, una vez que ésta es comprometida, tambien lo es el registro. Si te preocupa la confidencialidad sobremanera, no hagas la actividad.


Amo de mis silencios, esclavo de mis palabras.


Pérdida colateral de información


Tenés que detectar toda la información que estás compartiendo, evaluar que aporta compartirla y en qué te afecta. Si no aporta, aunque no te afecte, no la compartas, no sabés si en el futuro lo puede, ese banderín de tu partido o tu arco iris de respeto de género se te puede cobrar si los vientos cambian.

...o el afiche de New Kids on The Block...


La experiencia más imporante de pérdida accidental de información que he presenciado es que es común mostrar en pantallas compartidas en vivo credenciales, por lo general de acceso a alguna aplicación o a la plataforma de conferencias.


Mitigación: usar keepass o similar, que permite copiar y pegar url, usuario y clave sin que se muestren en pantalla y además tras unos segundos se borra del portapapeles el dato, reduciendo la posibilidad de pegarlo accidentalmente luego. Es lo mejor ya que las claves están cifradas y la ventana de ataque dura desde que se copia el dato en el portapapeles hasta unos pocos segundos despues.


Mitigación: esta es la más, usar fondo del mismo color que la letra para que no se vea accidentalmente. Es un excelente ejemplo de camouflage, seguridad por oscuridad. Aunque es increiblemente inseguro, es muy efectivo contra el escenario de exposición accidental, observá:

Usuario: el usuario
Clave: la clave

Ahora pintá el texto, si no está pintado no se vé, no sale en capturas de pantalla, videos, streaming. Este invento se debe a la gente de CESE/CAPSE/CEIoT.

Un aspecto extra de pérdida de información es que estás mostrando los contenidos de tu máquina. He visto varias veces que alguien busca en su sistema de archivos algo para mostrar y de paso vemos nombres de proyectos y empresas que quizás no era la idea mostrar.



Mitigación: armar una máquina virtual con la información necesaria para la conferencia. Si algo falta, suspender el modo compartido, transferirlo y retomar.


Otro aspecto es qué estás mostrando en el fondo de tu cámara o el ruido ambiental del micrófono. Podés estar revelando información personal, caras de familiares, gustos, composición familiar.

Mitigación: elegir el fondo de cámara, acordar si es posible con el resto de las personas habitantes que no se acerquen ni manifiesten. Ya sé que en lugares pequeños o en ciertas circunstancias de cuidado con niños se dificulta, pero la idea es hacer la evaluación aunque luego no puedas cumplir.

Hay un reflejo que he notado que es ocultar rápido lo que ha sido expuesto accidentalmente. No tiene mucho sentido, si hay registro basta pausar y con que haya quedado en al menos un cuadro, ha sido perdido.

Hay que cambiar las credenciales.

Más sobre esto he escrito en antes y antes.

En pocas palabras...

  • Evaluar la información que se va a compartir de modo directo e indirecto.
  • Usar protección de credenciales.
  • Actuar ante detección de falla.
  • Virtualizar para reducir exposición de información.
  • No correr riesgos que no te paguen.

 

Reflexión final


Nunca olvides que los grandes líderes y empresarios VIAJAN para resolver sus chanchullos, esto no es sólo por la ventaja del cara a cara, donde pueden seguir el lenguaje corporal, si no por que tienen el control real sobre la situación, pueden tener conversaciones realmente confidenciales y sin registro.

Por más que exista un producto carísimo que provea confidencialidad, no olvides que no lo hiciste vos, por que te dedicás a otra cosa y aunque te dedicaras probablemente lo harías mal.




Ya sé, ya sé que vos y yo somos perejiles, pero los fenómenos mejor se comprenden en las situaciones extremas.


No hay comentarios:

Publicar un comentario