White Paper Seguridad y Auditoria del uso de Dispositivos de Almacenamiento Móviles RIESGOS DE SEGURIDAD DE LOS DISPOSITIVOS USB Y SIMILARES (USB, Bluetooth, FireWire, Infrared, etc)
Step Process to Protect Your Network PROCESS DELIVERABLES TOOLS Discovery and Audit Data / Statistics on USB & Mobile Device Usage Vulnerability Develop Usage Policy Creates a usage policy based on results of the audit Communicate Policy Communicate the policy throughout the organisation Enfore Policy Enforce the policy by technology Monitor and Review Ongoing monitoring and review on usage policy and refinement Source: Gartner - How to Ensure PDAs and Smartphones Don t Compromise Business Security, 13 April 2005 Source: Gartner Market Trends: USB Flash Drives, Worldwide, 2001-2010, 1 September 2005 Source: Gartner - Worldwide Smartphone Shipments More than Triple in 2Q05 27 September 2005 Source: Layton Technology PTY LTD : White Paper Mobile, USB Device and File Security
DISPOSITIVOS DE ALMACENAMIENTO MÓVILES Seguridad Auditoria Administración ÍNDICE 1. El fin del reinado de la seguridad perimetral...4 2. Los cambios tecnológicos...4 3. Hackeo y malware utilizando dispositivos USB...6 4. La seguridad de los dispositivos de almacenamiento móviles...7 5. Herramientas para la administración y auditoria de los dispositivos móviles...9
USB, FireWire, Bluetooh, Infrared, etc DISPOSITIVOS DE ALMACENAMIENTO MOVILES Seguridad Auditoria Administración 1. El fin del reinado de la seguridad perimetral: Si bien la seguridad perimetral no ha perdido vigencia, las conexiones inalámbricas y los dispositivos de almacenamiento móviles han introducido variantes fundamentales a ser consideradas por los responsables de seguridad de la información y muy en especial por quienes deben cumplimentar normativas como normas ISO, BCRA 4609, Protección de Datos Personales, etc. Los dispositivos móviles son de costos bajos y sencilla utilización. Información sensible puede ser descargada o códigos maliciosos introducidos, sin conocimiento de los responsables de sistemas, ya que no pasan a través de los firewalls y otras protecciones perimetrales. A ello debemos agregar la pérdida de productividad producida por la descarga o transferencia de MP3, videos, fotos, etc. 2. Los cambios tecnológicos: Si bien los dispositivos con conexión USB (pendrives y similares) son los que generan más preocupación, los riesgos son mucho más complejos, por ello, a efectos de una planificación adecuada de la seguridad resulta importante conocer los puertos de entrada y salida y los dispositivos que deberíamos considerar en la misma. Cuando más adelante tratemos sobre soluciones para la seguridad, temática de este White Paper, se debe tener especial cuidado en analizar los alcances de la protección que brinda cada una, pues muchas de ellas están acotadas solamente a la tecnología USB y no protegen de las amenazas que utilizan las restantes tecnologías. 2.1 En puertos de entrada y salida podemos encontrar los siguientes: PCMCIA COM Serial FIREWIRE Bluetooth WiFi IrDA USB LPT Estos puertos son los que permiten el ingreso y egreso de información de los equipos y con el correr del tiempo, han crecido en su tecnología y velocidades de traspaso, por lo que el hecho de transportar datos de gran tamaño se ha vuelto simple y rápido.
2.2 En cuanto a dispositivos de uso mas generalizado, podemos mencionar: ipod, MP3/MP4 Dispositivos PalmOS/ Windows CE BlackBerry Scanner/Cámara DVD/CD Dispositivos de almacenamiento magnético Floppy Periféricos USB Modem 2.3 Que es el U3 smart driver? Esta tecnología, sintéticamente definida, permite transportar aplicaciones en la unidad USB e iniciarlas en cualquier equipo. Pero en realidad permiten mucho más, por lo que sugerimos su estudio en www.u3.com. U3 engaña al Sistema Operativo haciéndole creer que se está ejecutando un CD-ROM. Las versiones de Windows 2000, XP y 2003 tienen por defecto la ejecución automática de programas indicados con el Autorun.inf en las unidades de CD o DVD, por lo que en dispositivos U3 sucederá lo mismo haciendo que se ejecuten aplicaciones de manera instantánea. U3 es una atractiva tecnología, pero detrás de toda innovación tecnológica se abren nuevas amenazas potenciales. El U3 Hack es una técnica de sustracción de información, que aprovecha la operatoria de los sistemas operativos Windows 2000, Windows XP SP2 y Windows 2003. Muchos Malwares y herramientas de explotación de bugs de seguridad sustituyen el lanzador del U3, por lo que al momento de ser insertado el pendrive se ejecutara la aplicación de manera automática. En Windows Vista la operatoria es algo distinto, la ventana de AutoPlay ofrece elegir para abrir archivos y carpetas del dispositivo y hasta ejecutar Windows ReadyBoost (utilizar como caché del sistema al Pendrive), pero lo recomendado es cambiar la configuración predeterminada de reproducción automática desde el Panel de Control, y elegir la opción Preguntar cada vez en Software y Juegos.
3. Hackeo y malware utilizando dispositivos USB: Los delincuentes informáticos suelen ser de los primeros en aprovechar nuevas tecnologías. Vamos a mencionar algunos ejemplos, para que el lector comprenda que no está frente a posibles amenazas sino ante situaciones reales que ya han acontecido. 3.1 SwitchBlade http://wiki.hak5.org/wiki/usb_switchblade El objetivo es obtener información sensible almacenada en los equipos con Windows 2000 en adelante. Ej: contraseñas de correo electrónico y mensajera instantánea, contraseñas de WiFi, historial de navegación de Internet, contraseñas de vnc, contraseñas hexadecimales wifi, contraseñas SAM, contraseñas de red, contraseñas de Firefox e IE, caché, LSA secreta, Products Keys de Microsoft Windows y Office. Si bien para poder ejecutarse requiere privilegios de administrador en la PC conocemos que esta importante medida de seguridad no está habitualmente cuidado. 3.2 HackSaw http://wiki.hak5.org/wiki//usb_hacksaw Se instala en modo automático y silencioso en las versiones de Windows 2000, XP y 2003 un aplicativo, el cual reside en la carpeta %systemroot%\$ntuninstallkb931337$. El mismo instala, de manera oculta, algunas herramientas conocidas como pwdump y mailpassview y queda a la espera de que alguien inserte un dispositivo USB para poder copiar todo el contenido del mismo. Luego, lo comprime en formato RAR y envía vía mail estableciendo una comunicación segura SSL SMTP a smtp.gmail.com. Además, instala la herramienta de administración remota VNC, enviándole por correo electrónico la dirección IP de la victima con la contraseña yougathacked. 3.3 Malware utilizando dispositivos USB Los códigos maliciosos han encontrado en los dispositivos USB una nueva vía de propagación. Sugerimos la lectura del informe redactado por Jorge Mieres, analista de Seguridad de ESETLatinoamérica en http://www.eset-la.com/threat-center/1705-propagacion-malware-usb
4. La seguridad de los dispositivos de almacenamiento móviles: 4.1 Web de Microsoft: Existen algunas soluciones básicas que provee Microsoft, limitada a los dispositivos de almacenamiento USB (USB Store). No hemos encontrado recursos para las restantes tecnologías. Deshabilitar los puertos USB mediante grupo de políticas: http://support.microsoft.com/kb/555324/en-us Es una solución para aplicar a nivel de grupos de política (Group Policy) en donde lo que debe hacerse es copiar el script que menciona Microsoft para importarse en el mismo. Este script lo único que hace es modificar la variable de registro, en formato hexadecimal, USB services por otro valor, haciendo que cuando un USB Storage sea conectado no se cargue en el equipo. Bloqueo de acceso a los dispositivos USB, personalizado por usuarios (requiere trabajar con cada equipo) http://support.microsoft.com/kb/823732 Similar a lo anterior, pero limita el uso por usuarios. Lo que hace es establecer permisos por usuario a dos archivos que se encuentran en la carpeta %SystemRoot%\Inf. Aquí establecemos de manera manual a los usuarios que deseamos denegar el uso de los USB Store. La aplicación de estas sugerencias de Microsoft puede verse facilitada mediante la utilización del USB Blocker, herramienta gratuita (si bien existe una versión comercial con alguna granularidad adicional y soporte. Ver nuestro comentario más adelante) 4.2 Web de IM Firewall: IM Firewall es una empresa de origen chino, representada por ZMA, que desarrolla herramientas para monitorear la utilización Internet por parte del personal de las empresas. Si bien la seguridad de los dispositivos móviles no forma parte del ámbito de IM Firewall, ha elaborado un interesante resumen que transcribimos a continuación. Deshabilitar el uso del USB en el BIOS Si se cuenta con permisos de administrador, puede deshabilitar el Puerto USB accediendo al BIOS de la PC. Para ello se debe encender la computadora y manteniendo apretada la tecla Delete antes que cargue el Sistema Operativo ingresará al Setup de la misma. Luego, deberá seleccionar Advance chip settings y elegir la opción Stop USB ON Board.
Deshabilitar el uso de los dispositivos de almacenamiento USB en el sistema Aquí nos podemos encontrar con dos variantes: Variante 1: Si un Dispositivo de almacenamiento USB no fue instalado en la computadora Se podrá inhabilitar la instalación de un dispositivo USB en la computadora mediante el siguiente procedimiento: 1. Acceder a Windows Explorer, y localice la siguiente carpeta %SystemRoot%\Inf folder. Luego haga botón derecho en el archivo USBStor.pnf, y elija la opción propiedades 2. Haga clic en la solapa de Seguridad 3. Y elija los grupos o usuarios a los cuales quiere denegar el acceso, haciendo click en el check box, a continuación haga clic en OK. Nota: Agregue la cuenta Sistema para Denegarlo de la lista 4. Haga Clic en el archivo Usbstor.inf y luego elija la opción propiedades. 5. Elija la solapa de Seguridad 6. Y elija los grupos o usuarios a los cuales quiere denegar el acceso, haciendo click en el check box y a continuación haga clic en OK Variante 2: Si un Dispositivo de Almacenamiento ya fue agregado al equipo Será necesario acceder a Remedir y establecer el valor de Inicio en 4 en el siguiente registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor, con lo que el dispositivo no será entonces reconocido en el equipo. El procedimiento es el siguiente: 1. Acceder al menú inicio y elegir la opción Ejecutar 2. Tipee Regedit y haga clic en OK 3. Localice el siguiente registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 4. En la ventana derecha elija la entrada llamada Stara 5. En el campo de valor establezca el valor 4 6. Salga del editor de registro
5. Herramientas para la administración y auditoria de los dispositivos móviles. Poco a poco van apareciendo herramientas de software para asistir en la temática. Algunas brindan protección completa, con diferente granularidad, mientras que otras están acotadas a tecnología USB, dejando expuestas las restantes tecnologías. En ZMA hemos realizado una evaluación de muchas de ellas, y seleccionando las siguientes, sobre las que encontrará información ampliada en www.zma.com.ar 5.1 USB Blocker Es una herramienta de administración centralizada que facilita aplicar las políticas de seguridad para impedir el uso no autorizado de dispositivos de almacenamientos removibles que conectan a las computadoras mediante los puertos USB, como por ejemplo: pendrives, memory sticks, discos duros removibles, ipods y más. No requiere instalar agentes en cada PC y se administra de modo centralizado. La versión gratuita posibilita proteger todas las PCs de un dominio, excluyendo determinados equipos cuya información debe ingresarse manualmente. La versión comercial posibilita además excluir Unidades Organizativas. Recordar que también está acotada a tecnología USB; pero como ésta es la que más preocupa a los administradores de seguridad, es posible utilizar una solución económica combinando USB blocker, excluir algunos equipos y sobre estos utilizar Device Shield o Sanctuary Device Control. 5.3 Device Shield DeviceShield es una completa herramienta de administración y auditoria. Controla la conexión a cualquier dispositivo portátil, incluyendo USB, Firewire, CD/DVD drives, SD Cards, Blackberries, Infrarrojo, dispositivos Bluetooth, Wifi y más. Refuerza la codificación automática de todos los downloads o codificación selectiva de archivos sensibles y crea múltiples downloads y políticas de acceso para cada nivel de la organización. Permite downloads selectivos a dispositivos externos (por ejemplo: permite el download de.doc pero no de archivos.exe. Permite especificar los dispositivos que pueden ser utilizados por fabricante, modelo, marca o tipo, por ejemplo, excluye dispositivos de música como ipods. Captura un historial completo de auditoria de usuarios que intentan acceder a puertos bloqueados, media o archivos. DeviceShield le permite ganar, rápidamente, control absoluto de cada puerto, drive y dispositivo individual en cada estación de trabajo. El despliegue es simple y controlado desde una central fácil de utilizar Interface. Se pueden crear múltiples políticas de download para cada nivel de la organización: compañía, dominio, grupos y usuarios individuales. El presente White Paper fue elaborado por ZMA Febrero 2008 Cualquier consulta técnica o comercial Gimena Avila atc9@zma.com.ar +54 11 4825-1602