El malware aprovecha la mayor debilidad de los equipos de seguridad: …



La desconfianza de los usuarios hacia los equipos de seguridad corporativos está exponiendo a las empresas a vulnerabilidades innecesarias.

A principios de enero, Colin McMillen, el desarrollador principal de SemiColin Video games, tuiteó una advertencia sobre una well-known extensión de Google Chrome, The Terrific Suspender. La utilidad fue criticada después de que McMillen se enteró de que el desarrollador la vendió a un tercero que lanzó silenciosamente una versión que podía espiar los hábitos de navegación de un usuario, inyectar anuncios en sitios web o incluso descargar datos confidenciales.

Después de una protesta comunitaria, el nuevo propietario eliminó el código ofensivo. Ahora conscientes del cambio de propiedad y el abuso de confianza, muchos usuarios inteligentes eliminaron la extensión.

Aun así, The Great Suspender permaneció disponible en Chrome World wide web Retail store hasta el 3 de febrero, cuando Google finalmente lo desconectó. Muchos de los 2 millones de usuarios de la extensión se enteraron cuando recibieron una advertencia que simplemente decía: «Esta extensión puede ser peligrosa. The Excellent Suspender ha sido deshabilitado porque contiene malware».

Si bien Google finalmente arregló las cosas, tomó demasiado tiempo. El tweet de McMillen arrojó una luz brillante sobre esto en enero, pero comentarios sobre el rastreador de problemas de la extensión indican que los usuarios informaron del problema a Google ya en octubre de 2020. Esto dejó a los usuarios de Chrome en una posición potencialmente vulnerable durante más de tres meses.

Cómo las computadoras personales ponen en riesgo los dispositivos de trabajo
A veces, las extensiones de Google Chrome instaladas en computadoras personales se instalan y sincronizan automáticamente con los dispositivos de trabajo. Esto lleva sus problemas al ámbito del equipo de seguridad, que luego debe tomar decisiones difíciles porque:

  1. Los riesgos asociados con la ejecución de extensiones sospechosas como The Excellent Suspender suelen afectar más al empleado, no a la empresa.
  2. Antes de que la extensión fuera prohibida en febrero, los usuarios finales no tenían ninguna indicación oficial de que la extensión fuera potencialmente maliciosa.
  3. A pesar de los riesgos asociados con la extensión, los usuarios la instalaron intencionalmente y, presumiblemente, la estaban usando con gusto.

Los equipos de seguridad están acostumbrados a manejar herramientas impresionantes que pueden bloquear, contener y remediar amenazas claras. Funcionan mejor en un mundo de absolutos, donde el application es bueno o malo y los sistemas son seguros o vulnerables. En el caso de The Terrific Suspender, una situación con muchos tonos de gris, su equipo de seguridad promedio no puede tomar medidas inmediatas sin una reacción violenta de los usuarios. En cambio, estos equipos deben acercarse con cuidado al empleado afectado individualmente y guiarlo para que tome decisiones prudentes por su cuenta. Es un músculo que rara vez se ejercita y una actividad inadecuada para las herramientas a mano.

La intervención individual abre preguntas sobre la vigilancia
Los equipos que estén dispuestos a afrontar esta tarea manualmente encontrarán una montaña alta para escalar. Acercarse a un empleado sobre esto obliga a todo tipo de temas incómodos al frente y al centro. Los usuarios curiosos ahora pueden sentir curiosidad por el alcance y la veracidad del seguimiento de la empresa. Ahora que están trabajando desde casa y rodeados de familia, se preguntan dónde se traza la línea con la recopilación de datos personales, y ¿existe un registro de auditoría para la vigilancia? Para muchos equipos, los beneficios de ayudar a los usuarios finales no valen la pena correr el riesgo de caer sobre el carrito de manzanas ya tambaleante. Así que extensiones como The Good Suspender permanecen esperando el momento adecuado para desviar datos, redirigir a los usuarios a sitios world-wide-web maliciosos o algo peor.

Esto parece una debilidad significativa en la forma en que operan los equipos de seguridad y TI. Debido a que muy pocos equipos de seguridad tienen relaciones sólidas basadas en la confianza con los usuarios finales, los autores de malware pueden aprovechar esta reticencia, afianzarse y causar un daño serious.

Cómo solucionar estos problemas
Los equipos con visión de futuro se están poniendo manos a la obra y desarrollando herramientas para solucionar este problema. Dan Jacobson, quien dirige la TI corporativa en Datadog, me contó acerca de una herramienta que su equipo creó para manejar este tipo de enigmas. Crearon una aplicación de Slack que envía mensajes privados a los usuarios finales sobre las riesgosas extensiones de Chrome descubiertas por el software de administración, con instrucciones paso a paso para eliminarlas. «La transparencia ha sido un inquilino essential de lo que hacemos aquí, por lo que brindar este servicio a nuestros empleados fue una obviedad», dice Jacobson.

Netflix también está haciendo su parte en este espacio. Su equipo de seguridad no solo brindó comentarios cruciales para mi Seguridad honesta guía, pero también ha hecho que algunas de sus herramientas centradas en el usuario sean de código abierto. Esto incluye Estetoscopio, que Netflix utiliza internamente para salvar las brechas de comunicación entre el equipo de seguridad y los usuarios finales.

En una entrevista, Jesse Kriss, un miembro clave del equipo de ingeniería de seguridad centrado en el usuario de Netflix, dijo: «Netflix tiene una cultura de transparencia y valora la libertad y la responsabilidad. Estos principios no se alinean muy bien con el enfoque típico de administración de sistemas. Software package invisible con derechos de administrador que presionan nuestras políticas administradas centralmente funcionan en contra de ese suitable, además de tener riesgos de seguridad bastante significativos si los controles de administración se ven comprometidos … Dadas todas estas cosas, preferimos tener un modelo en el que podamos verificar la configuración de la máquina en el momento del acceso, la gente tiene una guía clara sobre cómo realizar cambios simples ellos mismos, y no depender de un inventario estricto o un proceso de arranque confiable. El estetoscopio nos brinda esa capacidad «.

No hay tiempo para esperar
A pesar de los heroicos esfuerzos de los equipos con visión de futuro, Google no se puede librar del apuro. Su reacción a The Good Suspender fue demasiado lenta y opaca, y dejó a los usuarios sin respuestas a preguntas básicas que cualquiera haría cuando se les dijera que están ejecutando una extensión maliciosa.

Si bien podemos esperar que los proveedores como Google lo hagan mejor, los equipos de seguridad no pueden esperar al próximo incidente para establecer relaciones para abordar los problemas que plantean las extensiones sospechosas. Necesitan comenzar a invertir en relaciones con usuarios finales y métodos para comunicarse con ellos a escala. Esto significa hacer el arduo trabajo de definir reglas de participación que respeten la privacidad de los usuarios pero también protejan los intereses de la empresa. También significa deshacer las herramientas de vigilancia que dañan la confianza subyacente a cualquier relación positiva. La inversión de tiempo puede ser substantial pero, dado que la próxima amenaza podría estar cerca, los dividendos son invaluables.

Jason Meller es el fundador y director ejecutivo de Kolide, que proporciona seguridad de punto closing para el usuario para equipos que valoran la seguridad honesta. Jason ha dedicado su carrera de 10 años a desarrollar tecnología que permite a los profesionales de la ciberseguridad proteger sus intereses y defender con éxito … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic