Desconecta internet

 (computer.rip)
1 puntos por GN⁺ 2024-08-02 | 1 comentarios | Compartir por WhatsApp
  • Ocurrió un incidente en el que una empresa de seguridad “virtual” llamada “ClownStrike” dejó fuera de servicio a la mayor parte de la base instalada de Windows debido a una actualización de contenido con pruebas insuficientes
  • Habrá muchas personas a quienes culpar por esta situación, pero la mayoría repite la afirmación de que “estos sistemas no deberían estar conectados a internet”

Consideraciones prácticas de no conectarse a internet

  • Las computadoras empresariales modernas funcionan casi por completo como dispositivos de comunicación
  • Sin interconexión que atraviese organizaciones y fronteras geográficas, resulta difícil generar valor
  • Los sistemas de reservas y programación de aerolíneas, por ejemplo, son en esencia sistemas de comunicación, por lo que no pueden funcionar sin redes

La importancia de la conectividad de red para el mantenimiento y la operación

  • Incluso en sistemas que no requieren comunicación en tiempo real, la conectividad de red es muy útil para mantenimiento, monitoreo y adaptación a cambios en los requisitos del negocio

Los distintos significados de “no estar conectado a internet”

  • Hay muchas formas de no estar conectado a internet, por lo que sin una definición clara es difícil tener una discusión seria
  • Existen escenarios que van desde un solo dispositivo sin conexión de red hasta soluciones cross-domain certificadas por la NSA
  • Hay varias formas de conectividad restringida, como redes WAN privadas, túneles cifrados y VPC privadas de AWS

Lo inconveniente que es operar sistemas sin conexión a internet

  • Casi todos los entornos de software están diseñados asumiendo conectividad a internet, así que en entornos offline todo se vuelve más difícil
  • Las actualizaciones del SO, los gestores de paquetes, los certificados TLS y el licenciamiento en la nube generan trabajo y costos adicionales en muchos frentes
  • También hay muchos casos en los que las interacciones complejas con proveedores de software empresarial aumentan considerablemente el tiempo y el costo

No hay tantos entornos offline

  • Las formas más estrictas de entornos offline se limitan a defensa, agencias de inteligencia y algunos bancos
  • Estas industrias suelen ser conocidas por requerir costos y tiempos excesivos
  • Incluso las formas más flexibles solo se ven en industrias altamente reguladas o en algunas empresas que priorizan la seguridad

Propuestas de mejora

  • Aplicar políticas de red lo más restrictivas posible (la nube, como AWS, facilita esto)
  • Desarrollar software pensando en entornos offline (minimizar conexiones externas, preparar alternativas para endpoints, etc.)
  • Replantear TLS y otros supuestos implícitos, como usar el almacén de confianza del sistema y resolver dependencias en el momento del despliegue
  • Docker es un ejemplo paradójico de algo que dificulta más la administración de entornos offline

Opinión de GN⁺

  • El incidente de CrowdStrike no está relacionado con si hay o no conexión a internet. Incluso en entornos offline, las actualizaciones de seguridad siguen siendo indispensables
  • Sin embargo, en la práctica las actualizaciones offline tienden a retrasarse, y eso a veces incluso termina ayudando a la seguridad
  • El aislamiento de red es atractivo en lo conceptual, pero muy difícil de implementar en la práctica. A futuro, la industria del software necesita prepararse mejor para esto
  • Al mismo tiempo, hay que reconocer las limitaciones fundamentales del entorno de TI moderno, que da por sentada la conectividad a internet, y priorizar mejoras viables como reforzar las políticas de red
  • En áreas que requieren seguridad extrema, como infraestructura crítica y defensa, vale la pena considerar la separación física de la red aunque implique asumir esas dificultades

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-08-02
Comentarios de Hacker News

  • Como alguien que trabaja en seguridad/sistemas/operaciones, la mayoría de la gente hace mal su trabajo, y toda la industria está configurada para sostener eso

    • Al desplegar señalización digital, el acceso de red debería permitirse solo a la dirección IP del servidor, y solo deberían aceptarse actualizaciones firmadas y conexiones con fijación de certificados
    • Los dispositivos IoT suelen tener seguridad débil, con contraseñas por defecto y muchos puertos abiertos
    • La mayoría de las empresas no hacen bien las cosas, y seguir las "mejores prácticas" o las guías del proveedor no significa hacerlas bien

  • En Suecia existe una red privada llamada Sjunet, aislada de internet, que usan los proveedores de salud

    • Sjunet puede verse como un entorno air-gapped a nivel de toda una industria, y mejora la seguridad con un costo bajo

  • Como ingeniero de control, las máquinas que usan cables Ethernet no deberían estar conectadas a internet

    • En las plantas de manufactura, los sistemas PLC y HMI usan Ethernet, pero no están expuestos a internet
    • Las máquinas antiguas, como las soldadoras por resistencia, no necesitan sistemas modernos de seguridad

  • No estoy de acuerdo con la afirmación de que no se deben aislar los sistemas con air gap

    • No deberían usarse prácticas de desarrollo centradas en internet
    • Está mal que una máquina de MRI obtenga dependencias de JS desde NPM

  • Al operar una red privada, es probable que los servicios internos no tengan certificados TLS de una CA popular

    • Se puede perder mucho tiempo por problemas con el trust store del JRE

  • Después de usar un quiosco de McDonald's, probé también equipos de otros lugares

    • Un quiosco en un patio de comidas tenía acceso total a internet, y se podía descargar malware
    • Un quiosco de estacionamiento no estaba reforzado
    • Una pantalla interactiva de una marca de cerveza no podía causar mucho daño, pero dejé un mensaje de "toma agua"

  • La conclusión principal no es que los sistemas no deban conectarse a internet

    • Los sistemas no deberían permitir flujos de red salientes
    • En muchos productos de software empresarial se pueden desactivar las actualizaciones automáticas
    • Las actualizaciones pueden desplegarse gradualmente para minimizar problemas

  • Hamnet permite en parte el enrutamiento hacia internet y usa espectro de radioaficionado

    • Su uso comercial está prohibido

  • Los sistemas de reservas de aerolíneas necesitan estar conectados a una red, pero muchos equipos no necesitan estar en línea

    • Hay muchos dispositivos conectados a internet, como refrigeradores, hervidores y puertas de garaje
    • Todas las medidas de seguridad hacen que el usuario sienta incomodidad

  • Cierto software perdió popularidad y ya no causa daño

    • Sin embargo, todavía existen muchas cajas negras y software propietario, y falta capacidad de recuperación ante desastres