Es de esperarse que en este 2011 las organizaciones tomen precauciones ante a las amenazas que la tecnología Web 2.0 trae consigo y éstas sean consideradas dentro de su programa de seguridad desde la fase de análisis de riesgos, así mismo, que estos temas sean tratados en su programa de capacitación de concientización en seguridad.
De la misma manera y siendo más específicos, hoy en día uno de los principales medios de introducción de malware a las empresas, son las redes sociales y el uso de redes peer-to-peer. Teniendo esto como base, cada vez más organizaciones incorporan a sus políticas sobre uso de Internet restricciones de acceso a redes sociales, apoyándose en controles tecnológicos para reforzar dichas políticas.
La Web 2.0, junto con nuestra tendencia a acceder y compartir información desde cualquier lugar, ha comenzado a exponer datos que en primera instancia no parecieran ser importantes, pero que al final del día la extracción de éstos, en conjunto con la extracción de otros, pudiera llegar a ser de gran relevancia para una organización. La confidencialidad de la información puede verse amenazada, a partir de que algunas personas compartan información sensible inadvertidamente cuando usan este tipo de aplicaciones, información que pudiera ser útil para competidores, ya que puede tratarse de situaciones relacionadas con nuestros clientes o bien detalles de nuevos proyectos.
Una de las premisas de los hackers es atacar donde están las masas, y en los últimos años hemos visto incrementarse el número de usuarios de redes sociales, la proliferación de «Apps» (aplicaciones de software) y la incorporación de funcionalidades para mejorar la interacción de los usuarios de Internet, por lo que ahora los criminales apuestan a desarrollar malware para la Web 2.0, siendo su motivo principal el robo de información. Esto les reporta una ventaja por tratarse de una plataforma popular a la cual las personas responderán de manera rápida, obteniendo como resultado ataques altamente efectivos.
Uno de los principales ataques en redes sociales es el clickjacking, el cual hace uso de un sinnúmero de técnicas de ingeniería social para llamar la atención de la víctima con la intención de robo de información privilegiada, como por ejemplo datos de tarjetas de crédito o datos personales que se pueden capitalizar de otras maneras. Ya sea desde un smartphone o desde una laptop estamos cada vez más expuestos a ataques que hacen uso de aplicaciones más sofisticadas con contenido malicioso, ataques de Cross Site Scripting y ataques desde botnets. Tal es el caso de aplicaciones Web 2.0 cuyo objetivo es facilitar la interacción con sus usuarios, y que a la vez abren opciones para que los criminales vulneren nuestra seguridad.
Actualmente un ejemplo real es la geolocalización WiFi que desde 2008 Google ofrece a través de un API (interfaz de aplicación) de localización de dispositivos móviles a cualquier entidad que desee incluir en su sitio Web la facilidad de conocer de manera automática la localización geográfica de un visitante (con margen de error de solo algunos metros), con lo cual se ofrece la funcionalidad de desplegar contenido de interés para el usuario de acuerdo al lugar donde se encuentre.
Este API recaba información referente a los access point WiFi cercanos, así como la fuerza de su señal, SSID, dirección MAC y dirección IP. El cliente del API viene ya incluido en Chrome, Android, Firefox, y está disponible como un Add-In para Internet Explorer y Safari, inclusive existe una especificación W3C para su implementación. La forma en que Google cierra el círculo entre la información de nuestra conexión y la localización geográfica, está basada en el mapeo de access point WiFi y las coordenadas GPS que obtuvieron al circular por las calles del mundo para generar el contenido de Street View y cuya base de datos consulta el servicio de geolocalización.
Su integración a un sitio Web es tan simple como una llamada a un método JavaScript y en implementaciones estándares la solicitud de autorización se lleva a cabo mediante un diálogo JavaScript o bien como opción en el menú del explorador para habilitar/deshabilitar.
Si bien esta funcionalidad trae algunos beneficios al usuario como ahorro de tiempo en búsquedas, resultados más precisos, así como ventajas a los comercios mejorando la exactitud de descubrimiento de targets de mercadotecnia, esto trae consigo una vía para divulgar información que en un momento dado o a ciertas personas no les queremos revelar. Así mismo es una oportunidad para que hackers o inclusive script kiddies obtengan información sobre nuestra última ubicación, nuestra posición actual, los lugares que frecuentamos, basándose en los lugares en que nos conectamos. Haciendo uso del cliente del API de geolocalización, -el cual se distribuye en el paquete Google Gears y que cada vez más frecuentemente lo encontramos ya embebido en más versiones de navegadores- en conjunto con la utilización de técnicas como Cross-Site Scripting, un atacante puede obtener fácilmente nuestra latitud y longitud, almacenar la información, compartirla o simplemente utilizarla para extorsión u otro tipo de ataque.
Si bien, la política de privacidad de Google indica que no almacenan información sobre la localización de los usuarios, advierte que sitios terceros podrían hacerlo. Así mismo, Google establece que el uso o lectura de información del usuario se llevará a cabo a reserva de la autorización del usuario, pero sabemos que un hacker no pedirá permiso para obtenerla.
La recomendación que haré puede parecer irrelevante, partiendo de la idea de que a la mayoría de la gente le gusta publicar en las redes sociales dónde está y a dónde irá. Sin embargo para las personas que no deseamos revelar nuestra ubicación y nos ocupamos de preservar nuestra privacidad, podemos asegurarnos de no habilitar la autorización de lectura de información que solicitan los sitios Web que hacen uso de Google Gears. Esto lo realizamos seleccionando “Deny” en el diálogo de advertencia que nos presenta. Un ejemplo de esta solicitud se muestra a continuación:
Figura 1. Solicitud de autorización de lectura de información para geolocalización
De la misma manera, en el navegador o cliente que ya incluya el paquete Google Gears, podemos administrar la autorización a los sitios a los que hemos otorgado permisos de lectura de nuestra información de ubicación. Un ejemplo, accediendo desde el menú Herramientas > Gears Settings en Internet Explorer, es el siguiente:
Para el caso en que los hackers obtengan la información sobre nuestra localización, esperaría que en los siguientes meses las compañías de antivirus y firewall estuvieran liberando actualizaciones con firmas que bloqueen a nivel aplicativo el envío de información de direcciones MAC y SSID por medio del protocolo HTTP.
En la parte legislativa, algunos países europeos han solicitado a Google dejar de recabar información de redes inalámbricas WiFi a través de los automóviles de Street View, como una medida de protección a la privacidad de sus ciudadanos.
A continuación se describen algunas recomendaciones para implementar dirigidas hacia empresas que deseen reforzar sus políticas de seguridad para preservar la confidencialidad de su información, uno de sus activos más importantes.
- Detectar y remover código malicioso en scripts de páginas Web.
- Soluciones de filtrado Web, a un nivel de gateway, que ayuden a detectar malware que esté siendo descargado.
- La información sensitiva y de negocio debe mantenerse cifrada en la medida de lo posible.
- Implementación de una solución de Data Loss Prevention para detectar cuando la información es movida o extraída de su sitio designado, esto produce protección ante ataques externos, así como ante ataques (intencionales o no) de los propios empleados.
Deja tu comentario