¿Una especie de promiscuidad cibernética?
Un espacio para la virtualización
Pasa en el cine, pasa en la vida y ciertamente en alguna cadena de televisión. Una vez al mes con la ayuda de alguna aplicación descargada y distribución gratuita, se prepara el archivo de información de terceros. Son muchos datos, subirlo por Internet no es una opción. Se carga el archivo en una memoria flash. El mismo dispositivo que se usa para eso todos los meses, bueno, y para otras cosas más. Se lleva la USB a la Institución. Se hace la fila. Finalmente se entrega la USB en la ventanilla. En cosa de un minuto y medio se recibe la memoria de vuelta. El archivo fue copiado exitosamente y la obligación cumplida. Hasta el próximo vencimiento.
Una semana después, más de una máquina en la organización del contribuyente está infectada con un malware que en silencio ha instalado un programa que envía cuatrocientos correos electrónicos a una lista de direcciones, descargada silenciosamente desde algún sitio en un país lejano todas las mañanas, ofreciendo con descuento alguna famosa medicina de color azul y sin receta. O, tal vez, el malware le envía un correo electrónico a todos los contactos que encuentra en la máquina, invitando a los amigos a ver “las espectaculares fotos en la playa de Ipanema” que supuestamente colgué en alguna red social y que incluyen unos “voluptuosos paisajes” que no puedes perder y que, en realidad, llevan a algún sitio que se “ve” igual a la cara de esa red social para que cada uno coloque su usuario y clave de acceso. Cuando el phishing dio resultado, ganan acceso a la cuenta del afectado, donde pondrán el anuncio ofreciendo algo, tal vez la misma pastillita, y además colocan como presentes en la foto a los ciento cincuenta amigos que tiene, la mayoría de los que verán la foto para ver en que foto los “pusieron”. Lo que es más, algunos amigos de esos amigos, con certeza querrán ver la “foto” que pusieron de su amigo. El resultado, la publicidad de la pastillita llegó a un número mucho mayor de lectores.
El descrito es un ataque que podría considerarse, en términos relativos, inocuo. El riesgo en el sitio de la infección podría haberse atenuado con algunas protecciones, por ejemplo: si se usa una memoria que con un interruptor impida modificaciones y grabaciones de archivos, si se restringe la ejecución de programas desde memorias flash en todas las máquinas, si se actualiza con frecuencia el antivirus, se pone una regla en el Firewall que impida que máquinas distintas al servidor de correos corporativo puedan enviar mensajes de correo electrónico, se entrena a los usuarios para decidir a que no le deben hacer “click”, etc.
Pero imagine el siguiente escenario. Uno de esos obligados, con no muy buenas intenciones, desarrolla su propio malware. Uno que pretende instalarse en la máquina de la organización que recibe la información periódica de terceros en memorias portátiles. Este malware no copia ningún virus en ninguna otra USB. Silenciosamente va copiando toda o parte de la información que otros obligados van suministrando diariamente, o tal vez solo la relacionada con un grupo predeterminado de números de contribuyente que coinciden justamente con los de la competencia. Cada vez que se conecta una nueva USB verifica si encuentra algún archivo X que dice “soy yo, estoy de vuelta” y entonces el malware traslada a esa USB toda la información que silenciosamente fue recopilando. Ninguna memoria de terceros se vio afectada, y la gran mayoría de antivirus no detectarían el software ya que no es un malware identificado con algún patrón o firma de virus. El resultado final: se obtiene información de la competencia: podrían ser salarios, ventas, precios de referencia, etc.
Algunas administraciones de nuestros países, así como otros órganos incluidos los que administran la seguridad social o el turismo, usan mecanismos similares al descrito para recolectar información de terceros y deben hacer sus mayores esfuerzos para evitar que prácticas como las descritas afecten a sus usuarios. Son muchas cosas que se pueden hacer, con distintos niveles de seguridad, muchas de estas medidas están diseñadas a proteger a la propia organización, solo algunas para defender a los terceros.
Sin embargo, me quería referir a una oportunidad tecnológica interesante que podría ser útil en un escenario como éste. El uso de máquinas virtuales “sin estado” y de tipo cero-cliente en lugar de los equipos tradicionales para recibir los archivos. Cada una de estas máquinas virtuales se usaría una sola vez. El procedimiento, se carga la máquina con una imagen que incluye las herramientas y solo las herramientas necesarias para leer y cargar el archivo de texto o xml, se lee la memoria, se carga el archivo, se lo pone en el repositorio, se cierra la máquina. El procedimiento se repite con el siguiente obligado, se inicializa con la misma imagen original, se usa y se “la tira a la basura”. Nada de lo que haya pasado con los anteriores clientes del día podrá “pegarse”, ningún virus maligno, conocido o no, estará activo esperando acumular información para un día entregarla a su creador. Para fines prácticos, cada vez que se trae un archivo se usa una máquina nueva, sin historia, podríamos decir … virgen. Or wearing a condom.
Saludos y suerte.
939 total views, 2 views today
1 comentario
Excelente post! Felicidades Raul.
La oportunidad tecnológica, a la que te refieres con las maquinas virtuales «sin estado» útil en un escenario como éste. Se esta practicando en algún país en este momento? Nos podrían citar algún ejemplo de como han sido los resultado aplicación? Alguna limitación?
Un fuerte abrazo
Issel P.