Privacidad y monitorización de redes

Con relativa frecuencia aparecen en prensa noticias sobre demandas judiciales entre empleados y empresas por violaciones deliberadas de la privacidad en el correo electrónico, pero poco se habla de los posibles problemas de privacidad que surgen fortuitamente durante el análisis que realizan los sistemas de detección de intrusos (IDS).

Para los no familiarizados con el término —aunque imagino que habrá pocos—, un IDS es un equipo que analiza el tráfico de red, generalmente entre Internet y la red corporativa, aunque puede ser ubicado en cualquier otro punto de la estructura de red. Cualquier comunicación sospechosa de ser un ataque, virus, o comunicación ilícita es registrada para ser analizada por técnicos, quienes se encargan de diferenciar los falsos positivos —comunicaciones válidas que parecen ataques— de ataques reales. Puesto que estamos hablando de un sniffer, al monitorizar el tráfico es posible interceptar comunicaciones en texto plano que contengan información sensible, como pueden ser comunicaciones personales, detalles de navegación o contraseñas.

Sin una correcta configuración podemos encontrarnos con los siguientes escenarios:

  • Al enviar un correo electrónico con un adjunto o contenido sospechoso, tanto el adjunto como parte del contenido del correo quedan registrados.
  • Existen páginas de dudosa reputación, por ejemplo de contenidos para adultos, que contienen virus o malware. Al navegar un usuario por ella, además de arriesgarse a ser infectado, se arriesga a que el IDS clasifique la navegación como vírica y que por ello los técnicos encargados de la revisión vean por donde ha navegado.
  • Al utilizar servicios de mensajería instantánea con clientes comprometidos las conversaciones quedan registradas.
  • Al utilizar servicios de IRC sobre servidores configurados en puertos distintos de los estándares, estos son considerados como posibles comunicaciones entre bots y por tanto registradas.
  • Al conectar con servicios de red que utilizan protocolos de autenticación no cifrados, en caso de realizar muchos intentos de conexión simultáneos como es el caso de usuarios lícitos navegando desde un mismo proxy, puede interpretarse como un ataque de fuerza bruta quedando registradas las credenciales.

Con Snort, un IDS muy extendido, estos casos se pueden mitigar en gran medida configurando las variables $HOME_NET, $EXTERNAL_NET, $DNS_SERVERS , $SMTP_SERVERS, $HTTP_SERVERS, $SQL_SERVERS, $TELNET_SERVERS, $FTP_SERVERS y $SNMP_SERVERS, evitando así que conexiones internas a servidores de la DMZ o Internet sean registradas por confundirse con ataques.
Esto se debe a que generalmente se crean las firmas de detección buscando ataques desde la red externa ($EXTERNAL_NET) hacia los servidores definidos en las variables que acaban en “SERVERS”, por lo que las comunicaciones que provienen de la red interna ($HOME_NET), quedan fuera de esté análisis. Puede parecer que esta configuración deja desprotegidos a los usuarios, pero no es así ya que las reglas destinadas a los usuarios apuntan hacia la ($HOME_NET). Además ha de realizarse un análisis de cada red y sus necesidades de monitorización con el fin de eliminar todas las reglas que no sean necesarias, ya que además de aumentar el rendimiento del IDS, podremos eliminar o afinar las reglas que puedan violar la privacidad de los usuarios (y de paso, eliminaremos falsos positivos).

Merecen una mención especial ciertos paquetes de reglas diseñados para monitorizar las actividades de los usuarios en lugar de detectar exclusivamente ataques. Algunos ejemplos son los paquetes policy, porn, p2p, chat o multimedia, todos ellos deshabilitados por defecto. Frente a la posibilidad de que las comunicaciones privadas de los usuarios puedan quedar expuestas a los técnicos que revisan los eventos, en ocasiones se opta por ocultarlo para así evitar el descontento de los empleados, o incluso para no preocupar a clientes ante la posibilidad de que se revele información sensible al contratar un servicio de detección de intrusos. Esta actitud errónea lleva a quedar expuesto innecesariamente a denuncias de los empleados o rupturas de contrato por el simple hecho de no informar debidamente a las partes implicadas.

Por todo esto, en caso de disponer de un servicio de detección de intrusos ya sea propio o para terceros, existen una serie de medidas básicas a adoptar:

  • Si no disponemos de un fichero o tratamiento LOPD que cubra ya esta finalidad, debe darse de alta.
  • Los empleados deben ser informados de que sus comunicaciones pueden ser analizadas, dejando totalmente claro el alcance y objetivo de dicho análisis. Esta información debe constar en la normativa de seguridad, y se ha de tener la certeza de que todos los empleados la leen y aceptan, preferiblemente por escrito.
  • Los clientes deben ser informados de que el IDS puede capturar tráfico legítimo de la organización que será analizado por causas siempre justificadas, y debe firmarse el correspondiente contrato de confidencialidad y contrato de acceso a datos.
  • El personal que gestiona el IDS debe firmar (al igual que cualquier otro empleado) el correspondiente contrato de confidencialidad.
  • La información del IDS, más allá del nivel de los datos de carácter personal que gestiona, debe ser accesible únicamente al personal autorizado, dada la sensibilidad de la información que puede contener desde perspectivas personales o corporativas.

Dicho esto, para el fin de semana quiero dejarles una pregunta: Imaginen que en una revisión del IDS se detectan accesos hacia páginas web de contenido “no apropiado”, o el envío de información sensible hacia direcciones de e-mail “sospechosas” ¿hasta qué punto deberíamos informar al cliente sobre las actividades de sus empleados en una red que monitorizamos, si no nos han contratado para dicha tarea?

Esperamos sus respuestas. Pasen un buen fin de semana.

Comments

  1. Me surge una duda:
    ¿Se puede negar el empleado a que monitoricemos sus comunicaciones?
    ¿Se pueden negar todos y entonces no hacemos nada?
    Creo que en esta misma dirección se pueden incluir software de monitorización de equipos para atención al cliente en remoto.

  2. Branwen, la situación que ha planteado Adríán -por otra parte y a mi modesto entender de manera muy acertada- se refiere a un contexto corporativo, en el que los empleados están utilizando una serie de recursos que la organización esta poniendo a su disposición para que puedan llevar a cabo correctamente el desempeño de las funciones que tienen asignadas.
    Partiendo de este contexto, y siempre dando por hecho que se ha comunicado formal y adecuadamente la política de seguridad de la entidad, y que existe una normativa de uso de los recursos donde se refleja claramente lo que se puede y lo que no se puede hacer, la empresa está en su perfecto derecho de monitorizar el uso que se da a dichos recursos, puesto que un uso inadecuado de los mismos podría poner en peligro no sólo la información de la empresa, sino también la información de clientes y de otras personas (empleados, clientes finales, etc.).
    Se acepta un uso privado comedido y adecuado del correo electrónico corporativo o del acceso a internet, pero el empleado debe ser consciente de en qué condiciones se realiza dicho uso. Si no quiere que un correo privado enviado desde la cuenta corporativa sea monitorizado, que no lo mande.

Trackbacks

  1. […] IDS son ampliamente utilizados en las redes corporativas, en Security Art Work analizan las implicaciones en privacidad que tiene su […]