Herramientas de acceso remoto por conexión inversa

Dentro de las herramientas ciertamente peligrosas (aunque muy útiles en algunas ocasiones), durante estos últimos años se están popularizando las de acceso remoto a los PCs de escritorio, a pesar de que en realidad son muy antiguas y desde siempre han traido importantes problemas de seguridad, como por ejemplo, el Back Orifice (cuyo nombre estarán de acuerdo conmigo que es bastante descriptivo).

Las últimas versiones de estas herramientas que les comento están diseñadas para saltarse todas las políticas de seguridad perimetral implantadas en las organizaciones; por supuesto, el uso de dichas herramientas puede ser perfectamente lícito, pero puede también no serlo (y en ese caso, convertirse en un riesgo de seguridad) si no son controladas y validadas por la normativa de la organización.

La manera de funcionar de estas herramientas es mediante conexiones inversas, de modo que es el equipo interno a la organización el que inicia la conexión hacia el exterior, para luego pasar el control al sistema externo. La manera que tienen de realizar esto es iniciando la conexión, algo que suele estar más abierto o si quieren “permitido” en los cortafuegos. No obstante, en aquellos casos (debería ser en la mayoría) en que las conexiones estén cerradas y sólo se permita la conexión a navegación a través de un proxy, estos programas son capaces de utilizar una tunelización http, saltándose virtualmente cualquier protección perimetral.

Algunas de estas herramientas, que en algunos casos hemos tenido la ocasión de ver en pleno “uso y abuso”, son las siguientes:

Webex: Esta herramienta es utilizada por muchos grandes proveedores de cabinas de disco, de BBDD, etc. Se utiliza mucho en grandes catástrofes en sistemas críticos, ya que permite al especialista que se conecte directamente para resolver la incidencia sin que medie una persona intermedia. En muchas organizaciones grandes con este tipo de equipamiento, y ante la aparición de problemas no siempre críticos, los administradores de estos equipos tienden a habilitan el acceso remoto al proveedor para que le arregle el problema, sin que este acceso se encuentre auditado, controlado y registrado en ningún sitio.

Logmein: Esta herramienta, que recientemente se ha popularizado, hemos tenido la ocasión de verla instalada por algun usuario “espabilado” en su propio PC de oficina para conectarse en remoto (según él, para adelantar trabajo). Este servicio/herramienta tiene grandes funcionalidades, es sencilla de instalar, se pueden realizar conexiones bajo demanda (con lo que se puede uno conectar cuando quiera), pero tiene como riesgo adicional que la empresa que da el servicio también tendria la posibilidad teórica de conectarse.

Zebedee server: Este aplicativo es un tunelizador de IP opensource, con capacidad de tunelizar por http, que permite el redireccionamiento de cualquier puerto, para que sea accesible desde el otro extremo, lo que lo hace prácticamente “a prueba” de cortafuegos.

Por supuesto, existen configuraciones de los proxys, y restricción en los permisos de instalación de software que pueden evitar este tipo de software malicioso, pero no siempre están presentes o se controlan correctamente, y este tipo de aplicaciones de acceso remoto es algo que hay que tener muy en cuenta. ¿Está usted seguro de quien tiene acceso remoto a su organización?

Comments

  1. Jose L. Villalon says

    Como bien indicas, este asunto no es nada nuevo. De hecho, muchos grandes proveedores que actualmente están ‘migrando’ a soluciones tipo Webex, lo que históricamente han usado para la resolución de incidencias especialmente críticas, son conexiones telefónicas mediante módems, usando para ellos sistemas de dial-back con el centro de soporte.

  2. Hace algún tiempo recuerdo que corté conexiones a logmein.com junto con algunas aplicaciones de similares características en los proxies de mi organización precisamente por el problema que comentas acerca de estas aplicaciones. Reconozco que, sin embargo, me viene estupendamente para resolver problemas de amigos y familia cuando estoy, tranquilamente, en casa y así no me tengo que desplazar para cualquier tontería.

    Obviamente en un entorno empresarial este tipo de programas son peligrosos y si es necesario la conexión desde fuera de la organización existe herramientas como las VPNs que solventan el trámite.

    Por otra parte, reconozco que webex y zebedee server no los conocía por lo que mañana mismo me pongo a investigar el uso en mi organización

  3. Precisamente el otro día hablaba de este tema con Dani. La semana pasada acudí a una presentación conjunta entre Nextret e Incide sobre aspectos de fraude y análisis forense. Nos expusieron un caso real y entre otras cosas señalar que fue mediante la “utilidad” logmein con la que remotamente se encargaron de modificar la configuración del sistema y hacer unos cuantos destrozos más. Obviamente, los malos estaban dentro……

  4. Hola buenas tardes he leído el blog y me he dado cuenta de que su nivel en seguridad es bastante alto.
    Por mi parte soy estudiante de la carrera de telemática quisiera poder charlar con usted si es posible dejo mi correo electrónico un saludo desde Durango México.

    (N.d.E.: correo electrónico borrado del comentario)

  5. Ya hace tiempo que internamente hemos discutido el tema de los accesos tipo ‘pasarela’ y realmente no está claro que se puedan limitar solo con filtrados en el proxy (más aun si se trata de una organización grande y no todo el mundo sale a través del proxy). La conexión se realiza con SSL y puede que no se conozcan las Ips de todos los servidores ‘pasarela’.
    :~$ paranoid mode on
    Si nos limitamos al uso/abuso que puedan hacer los empleados internos, no es tan crítico como si las mafias lograran utilizarlos para sus fines. En este último caso con un servidor ‘mafia-in’ (zebedee?) y un phishing dirigido con enlace a una url comprometida que analice el pc que accede para instalarle un malware consistente en un cliente de ‘mafia-in’ …
    :~$ paranoid mode off

  6. Hola xavim:
    Si, tienes razón. Puede ser casi imposible evitar conexiones a través de http y además con cifrado; en todo caso ése seria el lugar donde poner algunos controles. La medida más efectiva seria limitar la instalación de software en los equipos de usuario, aunque eso también tiene sus complicaciones.

    Por supuesto, estoy de acuerdo con los comentarios paranoicos sobre las cosas malas que se pueden hacer (y seguro que alguno ya hace) con troyanos dirigidos a PCs concretos.

    La conclusión esta clara: la seguridad perimetral no es tan sencilla como el proxy o cortafuegos.

  7. Creo que lo del acceso remoto, si en realidad fuese un problema, puesto que en realidad muchas veces es una verdadera solucion, no se arregla más que con una periodica auditoria sobre el tráfico de red y sus distintas variables a analizar (horarios, tipo de trafico, etc). Ya que es casi imposible, y a la vez indeseable, precaverse contra todas las variopintas formas de conectarse que tienen los modernos softwares de administracion remota. Los más pícaros incluso, solo necesitan el puerto 80 y ningun privilegio de administrador para ejecutar el server. De modo, pues, que salvo que se deje al usuario sin conectividad, el acceso remoto es un mal no erradicable.

  8. Buenas.

    Como bien dice Edgard, el otro día hablábamos de este tema, peliagudo donde los haya. Personalmente, y en caso de “extrema” necesidad yo suelo recomendar el software Inquiero, de NTR (vaya publicidad que les hago, y sin cobrar, un detalle por navidad no estaría mal), es un software más orientado a helpdesk, y la conexión se genera habiendo habilitado primero usuarios (primer punto de control) y después generando códigos de sesión (segundo control). De esta forma, y configurándolo adecuadamente, podemos hacer que el responsable de seguridad trate las altas de los usuarios y genere sesiones cuando lo estime oportuno, por ejemplo, cuando conozco perfectamente quein va a ser el receptor de la sesión.

  9. La solución que apuntaba Damiá de impedir que los usuarios puedan instalar programas es necesaria y no creo que haya muchas empresas en las que se preocupen de la seguridad de su red que den a los usuarios privilegios de administración. Pero aún con todo no es suficiente debido a la proliferación de programas portables que se ejecutan desde una memoria USB por ejemplo. De hecho el programita de Logmein es portable.
    Saludos.

  10. Me gustaria saber si hay algun medio para controlar la nueva hola de programas portables, ya que representan un serio peligro para la estabilidad de una organizacion, red o maquina de uso personal, ya que sin previa instalacion se ejecuta y tiene libre acceso al contenido de la maquina, red y es por lo que estoy seriamente preocupado, gracias de antemano
    P.D: quisiera saber si existe algun programa o aplicacion que controle esto