Seguridad en la Mensajería Instantánea (IM)

Anuncio
Seguridad en la Mensajería Instantánea (IM)
Lic. Julio C. Ardita - CYBSEC S.A. (jardita@cybsec.com)
Introducción
Hoy en día mas de 450 millones de personas utilizan la mensajería
instantánea (IM). Las organizaciones hoy encuentran un desafío con la IM, ya que
la adopción de la tecnología esta siendo presionada por el usuario final y sobre
todo teniendo en cuenta que los clientes de IM fueron desarrollados pensados
para entornos hogareños y no empresariales, con el consecuente énfasis de la
funcionalidad sobre la seguridad.
La IM cada vez va ingresando más a las organizaciones creando una nueva
capa a tener en cuenta en relación a la seguridad. Los clientes de IM pueden
poner en riesgo la información de la compañía a hackers, virus, troyanos,
gusanos, robo de información confidencial, etc.
Funcionalidad
La gran mayoría de los Clientes de IM contiene numerosas funciones de
comunicación que permiten que se puedan “tunelizar” a través de los Firewalls de
las Organizaciones y es una nueva puerta que queda sin ningún tipo de control. La
gran mayoría de los usuarios de IM no conocen los riesgos de seguridad
existentes.
Riesgos
Sin una adecuada gestión de el ambiente de IM, se pueden generar los
siguientes riesgos a la Organización:
Vulnerabilidades en el Cliente de IM: Como cualquier software, los clientes de IM
poseen vulnerabilidades de seguridad que permiten que los intrusos puedan
explotarlas en forma remota generando ataques de denegación de servicio
consumiendo ancho de banda o comprometiendo la propia Estación de Trabajo.
Tráfico no controlado: Típicamente las Organizaciones poseen equipos que
protegen el perímetro (Firewalls, IDS, Filtro de Contenido, Antivirus, etc) y
bloquean el tráfico malicioso. Muchos Clientes de IM utilizan otros puertos que no
son controlados por estas herramientas. A través de esta vía la persona puede
recibir programas troyanos.
1
Conexiones abiertas: Cuando se transfieren archivos, se tienen conversaciones
por voz o se comparten archivos, en muchos casos se relevan las direcciones IP
reales.
Robo de identidad: Los Clientes de IM en su mayoría no utilizan niveles de
encriptación en el proceso de login. Es muy sencillo capturar el tráfico y obtener
usuarios y claves de acceso y luego impersonar a cualquiera robándole la
identidad.
Robo de información: La habilidad de tener un túnel que pasa todos los equipos
para proteger la Organización hace que estos Clientes de IM se puedan utilizar
para el envío de información confidencial fuera de la compañía sin ningún tipo de
control.
Inexistencia de autenticación: Como cada usuario puede elegir su propio nombre
de usuario, no hay garantía de que los mensajes que se reciban sean genuinos.
Un empleado puede pensar que esta hablando con un colega y en realidad puede
estar hablando con un competidor.
Uso masivo de Ingeniería social: La IM cada vez se está utilizando más para
lanzar ataques de Ingeniería social creando relaciones de confianza con las
personas involucradas y luego explotando esas relaciones para obtener
información.
Análisis de Clientes de IM
Muchas organizaciones piensan que bloqueando ciertos puertos conocidos
de los programas de IM se soluciona el problema. La realidad demuestra que
muchos clientes de IM son “port-agile”, es decir, tratan de localizar puertos que no
estén filtrados y tratan de “tunelizar” el tráfico a través de esos puertos.
MSN Messenger: Los usuarios se deben loguear en un servicio centralizado para
poder localizar otros usuarios. Una vez que la conexión esta establecida, los
usuarios se envían mensajes entre ellos directamente. El puerto default del MSN
Messenger es el 1863. Si el puerto esta bloqueado, automáticamente trata de
utilizar el 80. La transferencia de archivos sucede a través del puerto TCP 6891.
Para las conferencias de audio y video se utilizan los puertos UDP 13324 y 13325.
Yahoo Instant Messenger: Los usuarios se loguean de forma centralizada para
poder localizar otros usuarios. Una vez autenticados y on-line, el usuario puede
elegir intercambiar mensajes de forma directa o a través de salas de chateo. El
puerto por defecto que utiliza es el 5050. Si el puerto esta bloqueado,
automáticamente trata de utilizar el 80. La transferencia de archivos se realiza a
través del puerto TCP 4443.
2
Recomendaciones de seguridad
Las Organizaciones para poder gestionar la IM deberían implementar lo
siguiente:
Establecer una política corporativa: Se debería desarrollar un Estándar para la
utilización y manejo de la mensajería instantánea, como existe con Internet y el
Correo Electrónico. Es importante definir el rol de la mensajería instantánea. La
política debería contener que servicios estarán disponibles, que tipo de
información puede ser intercambiada, el status del monitoreo y registro, etc.
Configuración de los Firewalls: Se deberían bloquear los puertos por defecto de
los Clientes comunes asegurándose que solamente las conexiones autorizadas
podrán salir por los puertos definidos.
Configuración de herramientas de seguridad: Se debe controlar los archivos que
se transmiten por esta via, poniendo esta nueva vía bajo el control de Anti-virus,
Anti-Spyware, etc.
Restricción de Estaciones de Trabajo: Las estaciones de trabajo deberían estar
configuradas para no permitir que el propio usuario instale software no autorizado
(otros Clientes de IM).
Segundad de la Estación de Trabajo: Se deben instalar anti-virus, personal firewall
y en lo posible IDS locales para prevenir intrusiones en las Estaciones de Trabajo,
ya que son el uso de IM son un posible blanco de ataque. Estas herramientas se
deben administrar de forma centralizada. También se deben aplicar patches de
seguridad.
Centralizar los seteos de los Clientes de IM: Como la configuración del Desktop,
se debe trabajar para establecer una política de configuración centralizada para
los programas de IM. En este caso se podría activar la encriptación para el tráfico.
Monitoreo del tráfico: Se debe monitorear el tráfico de la IM en la propia Compañía
para determinar si se están cumpliendo con las políticas definidas. Existen
herramientas que permiten capturar el tráfico incluyendo conversaciones, archivos
transferidos, etc.
Deployment de islas de IM: Si el IM es necesario para trabajar, se puede realizar
un implementación interna sin salida a Internet, instalando un Servidor
centralizado en la propia Organización y los Clientes de IM se conectarían a este
Servidor.
CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales
especializados en Seguridad de la Información. Su área de servicios cubre Latinoamérica y más de
200 clientes acreditan la trayectoria empresaria. Para más información: www.cybsec.com.
© 2007 CYBSEC S.A.
3
Descargar