El lado oscuro de la Cloud Computing
Tanto los proveedores del mercado de cloud computing como los usuarios necesitan mejorar sus prácticas de seguridad.
Aunque la mayoría de las compañías piensan en mover sus aplicaciones a la nube, la seguridad de los servicios de terceros todavía deja mucho que desear, según advirtieron los expertos en el Black Hat, la conferencia de seguridad celebrado a finales de julio.
El clima económico ha hecho que la cloud computing sea uno de los temas candentes del sector TI gracias a los ahorros de costes que consiguen las empresas que se han aprovechado de las máquinas virtuales y de las aplicaciones que las grandes empresas llevan a ellas.
Haroon Meer, director técnico de seguridad de SensePost afirmó en el Black Hat que las empresas pequeñas están utilizando la infraestructura en la nube, pero que “el peligro es que las grandes empresas empiezan a utilizarla sin haber pasado por una auditoría”.
La experiencia de Haroon Meer le llevó a decir que normalmente las empresas no exploran las instancias de las máquinas disponibles de algunos proveedores. Se podría crear fácilmente una instancia maliciosa como si fuera un troyano para acceder a la red interna de la compañía, dijo Meer.
Con estos peligros en mente Haroon Meer estableció cinco lecciones que deberían de tenerse en cuenta a la hora de adentrarse en el mundo de la cloud compunting. La primera es que la nube ofrece menos protección legal; las empresa tienen que darse cuenta de que los datos de la nube están sujetos a una norma jurídica inferior en términos de búsqueda y captura.
Alex Stamos, consultor de iSec Partners y asistente al Black Hat, afirmó que los proveedores de ‘cloud computing’ están más preocupados por protegerse que proteger al cliente por lo que “no hay que esperar servicios legales a favor de tu empresa”.
La segunda lección es que tú no eres el propietario del hardware de forma que para llevar a cabo una exploración de vulnerabilidades, o una prueba de penetración, se necesita el permiso expreso del proveedor del servicio en la nube; si no, el cliente está ‘hackeando’ los sistemas del proveedor.
En la tercera lección se afirma que mientras la ‘cloud computing’ ofrece a las compañías inmensos beneficios, como permitir el acceso a los datos desde cualquier lugar y eliminar los quebraderos de cabeza a los directores de TI, el hecho de que el servicio siempre esté activo también significa que los ataques de phishing que amenazan a los trabajadores en casa también podrían afectar a la compañía. Un remedio clave es aumentar la educación de los usuarios sobre los peligros de Internet, no sólo para ellos, sino para sus compañías.
La cuarta lección de Haroon Meer hace referencia a que cuando se utiliza una máquina virtual de un proveedor, las empresas nunca deberían confiar en el sistema. Los investigadores de su compañía han explorado una serie de instancias preconfiguradas y han encontrado claves de autenticación en la caché, datos de tarjetas de crédito, y código maliciosos escondido dentro del sistema. Y es que, según Meer, la mayoría de sus clientes no tienen en cuenta las implicaciones de seguridad a la hora de utilizar la imagen de una máquina creada por un desarrollador externo; por lo tanto las empresas deberían crear sus propias imágenes para uso interno, o protegerse técnicamente y legalmente de desarrolladores con fines algo turbios.
El quinto y último punto afirma: Reconsidera tus hipótesis, que se refiere a que en todos los casos, cuando está en juego la seguridad, los directores de tecnologías de la información tiene que reconsiderar sus hipótesis sobre la nube.