viernes, 8 de marzo de 2019

Linux más seguro: claro que no guapiiii !!!

Estimados amigos de Inseguros !!!

Hoy voy a reflexionar o contar una pequeña anécdota laboral pero que realmente aporta valor en la reflexión de muchos de mis argumentos cuando discuto con algún fanboy/talibán de mi también querido Linux.



Me gusta lo mismo Mac, Windows, Linux... son herramientas con las que trabajo, es como a quien quiero más, a Papá o Mamá...


Por supuesto, tengo mis preferencias, prefiero MICROSOFT, pero lo que tengo claro es que los 3 son válidos, y siempre intento ser objetivo a la hora de usar unos u otros en beneficio del cliente/solución/necesidad, etc. Los que sólo reivindican uno u otro, sois unos pringuis, jejejeje.

Entonces ahora sigo con la reflexión.

Auditoría interna a empresa NORMAL, ni ibex35, ni banca, ni pyme, empresa NORMAL, con 150 equipos, no muchas medidas de seguridad, un montón de fallos, un montón de cosas que también hacían bien...si si, has leído bien, aunque esto no lo ponemos en los informes hay empresas que también hacen algunas cosas bien.


En esta empresa usaban una red Active Directory basada en 2012 server. Los equipos eran medio recientes con Windows 10. No es esa mirda de escenario de algunas demos con DC 2008, windows 7, smb1, wdigest y Mimimatz hasta la cocina porque no hay antivirus en el servidor. Esta empresa no era así, eran normales !!!! su sysadmin hacía las cosas normal, ni muy pro seguridad ni muy cafre.

Tenía un Wsus para actualizar los equipos y una herramienta de gestión y monitorización de equipos. Ahora es cuando un fanboy me diría un Nagios... un Zabbix.... NO, una RMM tools. Con sus indicadores, gestión de parches de aplicaciones cliente, soporte, etc... * no digo que las dos herramientas Software Libre que menciono no sean buenas, sino que no son RMM, son solo M*

Los equipos tenían un antivirus normalito, con su consola centralizada empresarial. La verdad es que el antivirus no era el más pelado, pero tampoco era un EDR, simplemente que aparte de por firmas, detectaba algún comportamiento raro, algo de Threat I... eso, que no era como ClamAv...

La empresa tenía departamento de programación y diseño (marketing), tanto para la web como para procesos internos de integración, reporting, tambien algo normal. En estos departamentos se usaban 3 equipos MAC para diseñadores y 4 linux, 3 debian y 1 ubuntu creo.

El resultado de la parte interna fué el esperado, cocina, clave del administrador y un porrón de servicios vulnerados.

La cuestión es, que es a donde voy, en cómo medimos la seguridad. Si me apuras, podría incluso medio aceptar que el diseño del kernel de linux y su funcionamiento puede ser un poco más seguro que el de Windows. Quizás borre esto algún día, pero la vida no es Kernel, la vida es MUY compleja.


Dentro del catálogo de recomendaciones generales que hicimos a dirección, encontramos que:

1.- los antivirus en linux/mac no existían. Y que no me digan que no hay virus en LINUX porque virus quizás no, pero cuando auditas un equipo que tiene un AV y te pilla la webshell, o la shell meterpreter, o la ejecución de algún exploit conocido, te complica más el asunto, y si tienen monitorización ponen al perro en guardia...

2.- las actualizaciones de los equipos regían por el criterio del usuario, osea, ninguno. Encontramos en el entorno Microsoft un relación de software más o menos bien controlado, mientras que en linux/mac, a pesar de usar la misma herramienta RMM, tenían disparidad de versiones, por las particularidades del diseñador/programador.

3.- los entornos no cumplian la LOPD ni la gestión centralizada del servicio de directorio,en este caso Active Directory, porque no tenían instalado los agentes. complejidad de contraseña, revocación, bloqueo de escritorio, GPO´s varias, NADA.

4.-en estos equipos se encontró un montón de software no controlado por permisos de instalación. Máquinas virtuales de pruebas al antojo del usuario eran la tónica general de estos sistemas. Normal, el programador levantaba su entorno de PRE. sin control ninguno. Insisto, eran una empresa normalita, no había team master, DEVops y ni versionado de aplicaciones.

Al final de las muchas recomendaciones que emitimos en el informe, y de los fallos que aparecieron, muchos estaban relacionados a cómo se gestionaban o como NO-gestionaban estos equipos.

Como es normal, para estos 4 casos que os pongo, si eres un buen sysadmin, tiene solución. Una buena monitorización, un directorio activo LDAP standard, Ansible, etc etc, pero hablo de la REALIDAD de las empresas. De las empresas en las que he trabajado que el usuario Linux suele ser el avanzado, el de departamento de informática, los programadores, y al final, son puntos habituales de fallos. ya sabes, dejale el root del servidor al programador y que haga lo que quiera...

Entonces, vuelvo a mi planteamiento inicial, Es más seguro Linux? en este caso NO. Como siempre, abogo porque la seguridad está en las manos de quien administra, pero insisto en que esta tendencia que indico en el post, no es de un o dos clientes, suele ser la tónica general respecto a linux, igual que tener un AD bien configurado no es la tónica general, también tengo que aclarar...

No obstante, las cosas están cambiando. Esta mañana he leído en Barrapunto que era el año del Escritorio basado en Linux...

Gracias por leerme.