Hace poco tuve una reunión y fue al propósito de la visita de un experto en seguridad y redes contratado por la consultora que lleva adelante un proyecto en mi empresa. En cierto momento de la charla, el especialista recomendó ubicar equipos de diferente marca dentro del esquema de firewalls internos/externos para reducir la posibilidad de múltiples riesgos asociados al uso de equipos de la misma marca.
En principio el riesgo se da especialmente en la parte humana, por ejemplo al querer crear un esquema de administración más simple suele elegirse la misma clave para equipos de networking de cierta marca; es un error claro: ningún equipo de networking ni server, ni siquiera los clientes, deberían tener claves comunes en ningún esquema de “facilidades de acceso”.
Consultas auspiciadas
Me llamó poderosamente la atención el hecho de que nuestro especialista visitante recomendase equipos de diferente marca, ya que a poco de llegar fue notándose el “aire a Cisco” que tenía. Qué digo? que todos los consultores de cualquier aŕea tienen su sponsor o al menos un acuerdo de porcentajes sobre ventas concretadas gracias a sus consejos, en muchos casos los consultores no solo tienen acuerdo con uno, sino con varios potenciales proveedores para los que consultan, llegando en ese caso al “cielo” los consultores, pues en cualquier recomendación que hagan, ganan (efectivo).
Los acuerdos de porcentajes son un tema aceptado en la consultoría, mantenido fuera del conocimiento de los clientes para evitar desconfianzas, y que aunque lleva a la sospecha de parcialidad en el trabajo, generalmente no influye a los buenos consultores; igualmente es bueno informarse y ante cualquier duda, preguntar explícitamente a nuestro consultor si tiene acuerdos de este tipo con algún proveedor (es dudoso que confirme igualmente las sospechas).
Backdoors auspiciados
El siguiente tema es: “tener más de una marca en los equipos de networking disminuirá en gran medida la posibilidad de que un atacante pueda usar técnicas similares que ya pudieron haber comprometido un equipo, en otro”
Ese fue el consejo final de nuestro consultor y técnicamente es totalmente acertado.
La cuestión siguiente es lo que me recordó ese consejo. Existe un permanente fluir de comentarios en redes de mensajería, foros no tan públicos/serios y en IRC sobre el contínuo avance de la “seguridad nacional” en la actividad privada. En particular se menciona mucho cuanta injerencia real podría ya tener el complejo de fuerzas del orden y seguridad de muchos países (occidentales o no) sobre las empresas privadas de comunicaciones, networking e informáticas nacionales.
A qué me refiero? Backdoors plantadas adrede. Sí, legalmente y por pedido expreso de determinada fueza de seguridad en muchos países, un backdoor puede ser instalado del modo más subrepticio posible en prácticamente cualquier dispositivo hardware y/o software con el objetivo “cuasi-celestial” de resguardar la seguridad nacional.
Por ejemplo, tenemos el caso reciente del bloqueo de la compra de Wildfire, la empresa que produce Snort, el soft IDS más popular del mundo. El bloqueo fue realizado por presión expresa, sutil pero firme y segura, del Pentángono. A qué personaje sospechoso o libre de la confianza del Águila le fue impedida la compra? A Checkpoint de Israel; el país de origen de Checkpoint es posiblemente el aliado más importante y firme de USA en cuestiones geopolíticas pero aún asi no pareció ser merecedor de la “confianza” necesaria para ser el depositario de la tecnología IDS de punta ni de su capital de conocimiento en seguridad de redes. Una de las razones puntuales esgrimidas por los poderes de la seguridad de USA en el paper de bloqueo de la venta de Wildfire a Checkpoint fue más o menos esta (NO es un copy paste aclaro):
“la venta comprometería tecnología potencialmente peligrosa a terceros, lo que podría llevar a una escalada en el riesgo de intrusiones de redes en la infraestructura de USA”
Resumiendo, espionaje.
En el ejemplo se ve qué nadie se siente muy desconfiado por hacerlo de sus aliados más cercanos en cuanto a la posibilidad de backdoors o flaws de seguridad previamente plantados en la arquitectura misma de los dispositivos que terminan manejando la infraestructura de redes de organizaciones con información sensible en otros países.
Como sysadmins/netadmins y más aún si nuestro campo es la seguridad, no es posible abstraerse del mundo real en estas cuestiones simplemente mencionando el argumento de la “paranoia extrema”. El mundo real sigue funcionando fuera de nuestros sistemas y redes y a veces es manejado por fuertes intereses que superan por mucho a cualquier ley o constitución vigente.
Como ejemplo, basta un Syriana.
