En enero de 2017, el muy popular MongoDB sufrió lo que parece convertirse en una táctica bastante predecible para los atacantes: tomar datos como rehenes. Una investigación posterior sobre la vulnerabilidad reveló que, en su mayor parte, los atacantes no habían explotado… nada. El problema no estaba en el software sino en la configuración. La configuración predeterminada , que se ejecuta principalmente en AWS, dejó las bases de datos abiertas para cualquier persona con una conexión a Internet.
Esto incluyó el ahora infame drama de CloudPets en el que los mensajes de voz (presumiblemente privados) entre niños y sus padres eran accesibles públicamente para cualquier persona lo suficientemente inteligente como para obtener la base de datos (una instancia no segura de MongoDB) o entender la arquitectura de la aplicación y su uso de Amazon S3. Cloud Pets utilizó S3 para almacenar imágenes de perfil y registros de voz y aparentemente ignoró cualquier tipo de seguridad, dejándolos accesibles a cualquiera con la referencia adecuada.
Ahora bien, para que no piensen que estoy criticando a CloudPets, permítanme señalar que el equipo CSI de RedLock descubrió recientemente que "el 82 % de las bases de datos en entornos de computación en la nube pública, como Amazon Relational Database Service y Amazon RedShift, no están cifradas".
[pausa dramática]
Además, “el 31% de esas bases de datos aceptaban solicitudes de conexión entrantes desde Internet”.
Permítanme señalar además que hubo más de 27.000 servidores MongoDB comprometidos en las primeras semanas de enero de 2017. Mucho más que CloudPets fue afectado por sus propias malas prácticas de seguridad con respecto a este incidente. Como se señaló en un blog de MongoDB cuando se hicieron públicos los primeros ataques: “Estos ataques se pueden prevenir con las amplias protecciones de seguridad integradas en MongoDB. Debe utilizar estas funciones correctamente y nuestra documentación de seguridad le ayudará a hacerlo. [énfasis mío]”
MongoDB no era inseguro, simplemente no era seguro en absoluto. El problema realmente no es el producto, sino las malas prácticas de quienes se apresuran a poner la IoT y las aplicaciones móviles en manos de los consumidores a través de la nube.
En el centro de datos, en las instalaciones, hay puertas, tanto físicas (cortafuegos y similares) como operativas (procesos y aprobaciones), que deben superarse antes de que el software se lance al mundo y se utilice para proporcionar datos. La nube, por diseño, tiene menos puertas físicas y, como lamentablemente suele parecer, menos puertas operativas que las aplicaciones deben atravesar antes de ofrecerse al mundo en general. La reducción de las puertas operativas es realmente donde ha llegado el concepto de “TI deshonesta” o “TI en la sombra”. Las partes interesadas en esta línea de negocios, frustradas por los largos plazos de entrega y los cronogramas de proyectos que abarcaban años en lugar de meses, originalmente comenzaron a recurrir a la nube para "sorprenderse" con la TI. El problema era que también estaban eludiendo las puertas operativas establecidas para garantizar la seguridad y el rendimiento de esas aplicações.
Ese no es un problema de la nube, es un problema de quienes la adoptan. Porque no es solo el cliché de que "toma demasiado tiempo aprovisionar hardware físico" con el que nos han alimentado durante diez años, sino que es el "toma demasiado tiempo pasar por los procesos de aprobación de TI" lo que realmente irrita a los interesados comerciales que solo quieren llegar al mercado ahora, antes que la competencia.
Los encuestados en una encuesta patrocinada por Arxan/IBM en 2017 sobre seguridad móvil e IoT respaldan esto. Los encuestados citaron la presión sobre los equipos de desarrollo de aplicaciones como responsable de la mala seguridad de las aplicaciones IoT y móviles: el 69 % señaló el desarrollo apresurado de aplicaciones móviles como fuente de código vulnerable, y el 75 % dijo lo mismo de las aplicaciones IoT.
Esa misma presión se extiende a la configuración y protección de las bases de datos y el almacenamiento en la nube que hacen que las cosas sean útiles en primer lugar. Toda la premisa de Cloud Pets no se basa en el juguete, sino en la capacidad del juguete de enviar y recibir datos a través de Internet. Esto significa que su éxito reside en que es una de esas aplicaciones de IoT que se están acelerando en su desarrollo e implementación en la nube para llegar a la fecha de lanzamiento del día de Navidad.
Los desarrolladores no son los únicos responsables de proteger las aplicações que deben entregar. Quien sea responsable de proporcionar servicios en la nube que respalden esa aplicación (ya sea una base de datos, intercambio de archivos o servicios de aplicaciones en general) debe asumir parte de la responsabilidad de protegerla. Y lo mismo deberían hacer los actores comerciales que imponen plazos poco realistas y fomentan un mínimo de operaciones para la entrega final.
Sí, TI debe adoptar la transformación digital y agilizar los procesos operativos que conducen a una entrega exitosa y segura de productos a los consumidores. Pero las empresas y los desarrolladores no pueden seguir simplemente evitando esas puertas operativas en la nube y dejar no solo a los consumidores sino también a las partes interesadas corporativas en riesgo con prácticas de seguridad deficientes que dependen de configuraciones "predeterminadas". No se trata tanto de productos como de procesos: se trata de garantizar que se implementen políticas y que las configuraciones sean correctas antes de exponer las aplicaciones (y sus usuarios) a riesgos evitables.
Si desea evitar un incidente embarazoso, debe comenzar por establecer algunas normas básicas de seguridad, definiendo (y haciendo cumplir) al menos algunas normas operativas básicas que deben superarse antes de salir al mercado.
Las organizaciones necesitan esas puertas operativas más que nunca, porque el ritmo de migración a la nube pública para las aplicaciones que respaldan tanto la productividad como las ganancias se está acelerando. Y junto con ese aumento del ritmo de migración viene un aumento de las oportunidades para que los atacantes los exploten.