La más reciente conferencia Black Hat en Las Vegas reunió un grupo de investigadores en temas de seguridad que demostraron las nuevas formas de atacar servicios que funcionan a través de cloud computing.
La más reciente conferencia Black Hat en Las Vegas reunió un grupo de investigadores en temas de seguridad que demostraron las nuevas formas de atacar servicios que funcionan a través de cloud computing.
¿Está la tecnología cloud poniéndonos a nosotros y a nuestra información en peligro?
Todos los huevos en una sola canasta
De los peligros más grandes que nos presenta la nube es el equivalente a aquella vieja frase de “poner todos los huevos en una sola canasta”.
Los amigos que hicieron la presentación de Sensepost nos proveen varios ejemplos que incitan a preocuparnos por la integridad de nuestra información. Te recomiendo que veas su trabajo, en formato PowerPoint y por si no habías escuchado de ellos, son una compañía independiente que se especializa en temas de seguridad informática.
El sitio de bookmarking llamado Ma.gnolia experimentó una caída de los servidores que resultó en pérdidas masivas de información, suficientes para que el servicio cerrara debido a que la información de los usuarios no pudo ser recuperada… ni podrá serlo.
Este fue un accidente con poca incidencia a la larga, pero también ha habido otros casos similares en donde los usuarios han sido afectados. Por ejemplo, el servicio de almacenaje MediaMax salió del mercado luego de un error del sistema que eliminó información de los consumidores. También sucedió que los clientes de Salesforce sufrían mientras les era imposible acceder a sus aplicaciones por la interrupción del servicio.
Estas eventualidades solo resaltan algunas de las debilidades de la excesiva confianza que tenemos en los servicios de cloud computing, lo que nos lleva al problema #2.
Exceso de confianza
El caso de Amazon Web Services es emblemático y los de Sensepost lo analizaron con detenimiento. El proceso de utilización del servicio implica iniciar una nueva instancia dentro de la EC2 de Amazon (Elastic Compute Cloud) y crear una AMI (Amazon Machine Image) que contenga tus aplicaciones, librerías, información y datos.
Como una alternativa puedes utilizar una imagen pre-configurada para estar listo para utilizar el servicio en un dos por tres. Solo que hay un problema con eso. Mientras que Amazon nos ha provisto con 47 imágenes de máquina (si se vale la traducción literal), cuando las 2721 restantes fueron construidas por usuarios. ¿Cuántas de esas creen que fueron construidas de forma segura?
El contenido generado por usuarios puede ser descrito en una sola palabra: RIESGOSO.
Lo normal es que las personas utilicen máquinas y protocolos creados por alguien más, porque servicios como el de Amazon demuestran que muchas de las imágenes (o demás instancias en otros servicios, pero igualmente creados por usuarios) dejan muchas puertas traseras para la fuga de información.
El asunto de las contraseñas en cloud computing
Otro asunto preocupante de los servicios de computación en nube es que, a pesar de las medidas de protección que implementan todas las empresas, TODA CUENTA de TODO USUARIO es sólo TAN SEGURA COMO EL PASSWORD QUE LE CONCEDE ACCESO A ELLA.
Un ejemplo reciente de las consecuencias de utilizar contraseñas inseguras fue evidente hace poco tiempo en el caso Twittergate. Este fue un evento en el que un hacker obtuvo numerosos documentos corporativos pertenecientes al popular servicio de microblogging, Twitter, publicados por el sitio de noticias y tecnología TechCrunch.
Estos documentos estaban alojados en Google Docs y a pesar de que Google no puede aceptar la responsabilidad por la fuga de información, los archivos no hubieran sido robados en primer lugar si hubieran estado seguramente albergados detrás de un firewall, algo así como siguiendo el modelo de la vieja escuela. En lugar de eso, la información clave de la compañía estaba a un paso de ser descubierta, “a un password descifrado de distancia”.
La diferencia entre una red corporativa y una cuenta en línea es que en un ecosistema de negocios, los administradores pueden crear políticas para la creación de contraseñas que los obliguen a mantener ciertos niveles de complejidad y pueden obligarlos a crear nuevas contraseñas periódicamente. No obstante, en la nube, tenemos la libertad de establecer lo que sea como contraseña y no volver a cambiarlos nunca más.
Esta es un área que aún necesita mucho trabajo.
Encripción de datos en la nube
Otra de las flaquezas (poco conocidas) de la computación en nube es que pocas máquinas tienen acceso a los números generados al azar que se necesitan para cifrar información.
Los detalles de este lío son excesivamente técnicos pero el resultado es que la mera naturaleza de la computación virtual hace mucho más simple la tarea a los hackers porque les permite adivinar con facilidad los números utilizados para generar las llaves de cifrado.
Si bien este no es un problema inmediato que amenaza la integridad de la nube, sí requerirá investigación al largo plazo.
Usar adecuadamente los servicios de la nube
Si consideramos los problemas ya descritos, probablemente pensaremos dos veces antes de confiar en los servicios que funcionan a través de la nube. Incluso peor, el material de lectura sobre los peligros de esta nueva tendencia no puede sino asustarnos. Aquí hay sólo un par de artículos y podcasts que les ayudará a seguir ampliando el tema:
- Entrevista de BlackHat a Alex Stamos
- Artículo de Forbes sobre seguridad en cloud computing
- Artículo en el Financial Times.
Pero, ¿en verdad es tan malo? ¿es la nube una plataforma peor de lo que ya tenemos?
En realidad, a pesar de que la nube traerá bajo el hombro un paquete de retos y amenazas con las que estaremos lidiando en el futuro inmediato, esto será precisamente durante las primeras fases de la transición. Tampoco presenta amenazas necesariamente peores que las del sistema tradicional.
Al final de cuentas, el mercado como ente regulador y espontáneo hará que los desarrolladores y propietarios de servicios para la nube hagan propuestas cada vez más sólidas y seguras. Serán justamente esas personas quienes serán mejor recompensadas por sus esfuerzos y serán precisamente sus plataformas las que serán adoptadas por los usuarios.
Los servicios que funcionan a través de la nube no son como deberían ser actualmente, pero en poco tiempo podrán competir fácilmente con cualquier otra plataforma. En efecto, podría llegar el día donde sean consideradas incluso más seguras. Hasta entonces, los usuarios deben proceder con precaución cuando se muden a la nube. Al menos, deben hacerlo conscientes de las capacidades Y LOS RIESGOS que ello implica.
¡Excelente artículo!
Hola que tal.
Pues es muy interesante este articulo, hemos visto que la seguridad siempre es un tema muy importante no solamente con los sistemas en la nube, sino en sistemas que esten tras un firewall.
la verdad es que la información nunca estara cien porciento segura en ninguna parte amenos que se encuentre en un lugar que los mismos dueños no puedan acceder.
El trabajo que hacen las empresas por ofrecer la mejor seguridad se tiene que reconocer y esperar que puedan ofrecer lo mejor de sus tiempos pero siempre tambien existira el puberto niño de 15 años con nada que hacer que tenga muchos deseos de demostrar su gran inteligencia burlando cualquier sistema de seguridad.
creo que una tarea importante esta de nuestra parte al usar al maximo las tecnologias en linea para reportar y ayudar al mejoramiento de las mismas y tambien ser responsables y ver las ventajas de ser temeroso y cuidar nuestros nombres de usuario y contraseñas.
Conoceran algun tipo de pruebas para testear las aplicaciones o desarrollos propios en los temas de seguridad.
@Yaro (Bobert): Gracias.
@Pronuer: Creo que es una forma muy simple de explicar la realidad pero que no por eso deja de tener razón. Esta es una lucha continua entre los que innovan en el área de seguridad y los que experimentan tratando de irrumpir en los distintos servicios o máquinas que utilizan esas innovaciones.
[…] estáis interesados en la Computación en Nube (cloud computing), ayer publicaron un artículo en Maestros del Web comentando las principales amenazas de seguridad de esta nueva […]
Como contexto general es muy bueno que estemos hablando de Computación en la nube (para que sea más digerible), en los distintos espacios y por supuesto en este importante medio de comunicación.
Desde mi punto de vista considero que trataste de ser equilibrado en tu artículo, para no atacar directamente la computación en la nube, sin embargo considero que se debe tomar en cuenta por lo menos 2 aspectos que influyen en la manera que se está comunicando el asunto de la seguridad en el cloud.
1. Los más interesados en hacer mucho ruido sobre la “seguridad” del cloud, son las grandes empresas que ven como su presencia en la web no cuaja y se están viendo sobrepasados por una empresa web que no pareciera tan tecnológica como Amazon, y otra de desarrollo de software tal como Salesforce, el mayor referente del software como servicio, entre otras empresas que están destacando y sobre todo ganando segmentos de mercado a un buen ritmo. Por ejemplo en la web se encuentran muchos artículos sobre la opinión de Larry Ellison Ceo de Oracle atacando el Cloud (http://news.cnet.com/8301-13953_3-10052188-80.html). En general pienso que las grandes corporaciones están tratando de ganar tiempo hechando un poco de “tierra al cloud” mientras logran tener una propuesta real que les permita obtener una tajada del mercado del Software como Servicio.
2. En lo personal no voy a dejar de usar Google Apps, porque se metieron a los archivos secretos de Twitter. Yo tengo la mayoría de la información de mis proyectos en Google Apps y no me preocupa en lo más mínimo. Porqué? porque realmente a nadie le interesan mis datos. No hay que sobredimensionar este asunto de la seguridad en el Cloud. Las micro, pequeñas y medianas empresas (incluyendo los freelance) no debemos preocuparnos porque alguien este tratando de accesar a nuestra información, por supuesto que hay que tener una buena política de password, pero no debemos poner en duda el aprovechar toda la tecnología que está a nuestro alcance a través de la computación en la nube, por miedo a que “nos hackeen” nuestra información. Eligiendo un buen Hosting que cumpla con estandares de seguridad, tendremos acceso a un nivel de seguridad que definitivamente no podemos comprar para implementarlo en nuestra empresa. Utilizando google apps, skype, delicious, slideshare y tantos servicios muy buenos que hay hoy en día, ganamos en eficiencia que es lo que realmente interesa.
En mi opinión la pregunta no debe ser si la computación en la nube es el futuro, para mi la pregunta correcta es: ¿Cuanto tiempo voy a dejar pasar antes de aprovechar todos los beneficios de la computación en la nube?
Saludos
@Giovanni Castillo. Creo que tienes razón en ambas cosas.
La primera, sobre que las empresas tradicionales están atacando una nueva tendencia solo demuestra el principio de destrucción creativa, donde la innovación a través de nuevos servicios o productos inevitablemente saca del mercado a los viejos modelos de negocio.
La segunda, difiero en que se esté sobredimensionando el tema de la seguridad. Sin embargo, sí tienes razón cuando dices que a nosotros los “pequeños” no debería preocuparnos mucho porque nadie quiere nuestra información. Ahora, si le preguntas a los directivos de Twitter no estarán muy de acuerdo contigo.
Gracias por tu comentario.
[…] Amenaza de seguridad en la nube. Artículo analizando algunos temas a tener en cuenta en el boom del cloud-computing. Maestros del web. […]
[…] Un articulo sobre las amenazas de seguridad en la nube. En esta nota conoceremos las mayores preocupaciones de los expertos en seguridad en lo que respecta a servicios como Amazon 3S, Mobileme y Salesforce.com. Link. […]
[…] http://www.maestrosdelweb.com/editorial/amenazas-seguridad-en-la-nube-cloud-computing/ […]
Un gran nuevo punto de vista al que muchos ya el futuro mejor e inmedianto al que hay que subirse YA, todavía es pronto para dar ese paso. Y en mi modesta opinión algunos sistemas deberán esperar mas por el simple hecho de contener información aun mas valiosa.
Será que soy un poco antiguo pero aun me da grima dejar datos IMPORTANTE en la cloud.
Salu2
Hola.
Definitivamente no considerar, hoy en día, Cloud Computing, es como no haber prestado interés a Internet hacer ocho años. Para estar al tanto en el mundo de Cloud, los invito a conocer la primera publicación dedicada exclusivamente al tema en Colombia:http://issuu.com/channelplanet/docs/cloudcomputingmagazine03