Situado en el extremo de la red y raramente configurado o supervisado para evitar un compromiso activo, el cortafuegos es hoy un objetivo vulnerable para los ataques persistentes y dirigidos.
No hay tecnología de seguridad de red más omnipresente que el cortafuegos. Con casi tres décadas de historia de despliegue y una creciente miríada de políticas de cumplimiento corporativo e industrial que obligan a su uso, no importa lo irrelevante que pueda pensar que es un cortafuegos para prevenir el espectro actual de ciberamenazas, cualquier corporación que sea descubierta sin esta tecnología puede esperar ser colgada, arrastrada y descuartizada tanto por los accionistas como por los expertos de la industria.
Dado que la mayor parte del tráfico de red de norte a sur atraviesa puertos asociados a HTTP y SSL, los cortafuegos corporativos suelen quedar relegados a la supresión de ruido, es decir, a filtrar o descartar servicios y protocolos de red que no son útiles o necesarios para las operaciones empresariales.
Desde el punto de vista de un pirata informático, dado que la mayoría de los sistemas objetivo ofrecen servicios HTTP o HTTPS, los cortafuegos rara vez han sido un obstáculo para penetrar en una red y desviar datos.
Lo que mucha gente no sabe es que el propio cortafuegos es un objetivo de especial interés, sobre todo para los adversarios más sofisticados. Situado en el borde mismo de la red y raramente configurado o supervisado para un compromiso activo, el cortafuegos representa una cabeza de playa segura y valiosa para ataques persistentes y dirigidos.
La perspectiva de conseguir una puerta trasera persistente a un dispositivo a través del cual pasa todo el tráfico de red tiene un valor insuperable para un adversario, especialmente para las agencias de inteligencia extranjeras. Al igual que todos los bandos combatientes de la Primera Guerra Mundial enviaron equipos de inteligencia a las trincheras para encontrar líneas telegráficas enemigas y empalmar equipos de escucha, o los túneles que se construyeron bajo el Muro de Berlín a principios de los años 50 para permitir a las agencias de espionaje del Reino Unido y Estados Unidos intervenir físicamente las líneas telefónicas de Alemania Oriental, las comunicaciones de hoy en día atraviesan Internet, lo que convierte al cortafuegos en un nudo crítico para la interceptación y el espionaje.
El cortafuegos físico ha sido durante mucho tiempo un objetivo de ataque, sobre todo por las puertas traseras integradas. Hace dos décadas, el Ejército de Estados Unidos envió un memorando advirtiendo de las puertas traseras descubiertas por la NSA en el cortafuegos Checkpoint y aconsejando su retirada de todas las redes del Departamento de Defensa. En 2012, se colocó una puerta trasera en los cortafuegos y productos de Fortinet que ejecutaban su sistema operativo FortiOS. Ese mismo año, el gobierno federal prohibió al proveedor chino de dispositivos de red Huawei el acceso a todas las infraestructuras críticas de Estados Unidos tras descubrirse numerosas puertas traseras. Y más recientemente, Juniper alertó a sus clientes de la presencia de código no autorizado y puertas traseras en algunos de sus cortafuegos, desde 2012.
Los adversarios patrocinados por el Estado, cuando no pueden penetrar en el cortafuegos de un proveedor a través de la puerta principal, están desgraciadamente asociados con el pago para que se introduzcan debilidades y defectos, facilitando su explotación en una fecha posterior. Por ejemplo, se ha informado ampliamente de que el gobierno de EE.UU. pagó a los desarrolladores de OpenBSD para que introdujeran una puerta trasera en su pila de red IPsec en 2001, y en 2004, la NSA pagó 10 millones de dólares a RSA para asegurarse de que el algoritmo de generación de números pseudoaleatorios Dual_EC_DRBG fuera el predeterminado en su conjunto de herramientas criptográficas BSAFE.
Si esos vectores no fueran suficientes, como se ha demostrado a través de las revelaciones de Snowden en 2013 y la caída de datos de Shadow Brokers de 2016, las agencias gubernamentales tienen un historial continuo de explotación de vulnerabilidades y desarrollo de conjuntos de herramientas de puerta trasera que se dirigen específicamente a los productos de cortafuegos de los principales proveedores internacionales de infraestructuras. Por ejemplo, el catálogo Tailored Access Operations (TAO) de la NSA de 2008 proporciona detalles de las herramientas disponibles para tomar el control de los cortafuegos Cisco PIX y ASA, los cortafuegos Juniper NetScreen o SSG de la serie 500 y los cortafuegos Huawei Eudemon.
Por último, pero no por ello menos importante, no debemos olvidar la inclusión de puertas traseras diseñadas para ayudar a la aplicación de la ley -como las funciones de "interceptación legal"- que, por desgracia, pueden ser controladas por un atacante, como ocurrió en el caso griego de escuchas telefónicas de 2004-2005, en el que un adversario técnico no autorizado se apoderó de las capacidades de interceptación de una compañía nacional.
Como se puede ver, hay una larga historia de puertas traseras y amenazas que se dirigen específicamente a las tecnologías de cortafuegos que el mundo despliega como el primer paso para la seguridad de todas las redes corporativas. Por lo tanto, ¿es de extrañar que a medida que nuestra estrategia de defensa en profundidad se hace más fuerte, y las nuevas tecnologías mantienen un ojo más cerca de las amenazas que operan dentro de todas las redes corporativas, que el firewall se convierte en un objetivo aún más valioso y más suave para el compromiso?
Los cortafuegos son notoriamente difíciles de proteger. Esperamos que atajen los ataques de todos los atacantes con la expectativa (obviamente falsa) de que ellos mismos no son vulnerables al compromiso. Ahora, al pasar cada vez más a la cloud, estamos posiblemente más expuestos que nunca a puertas traseras y a la explotación de tecnologías de cortafuegos vulnerables.
Tanto si la tarea consiste en proteger el perímetro como las operaciones en la cloud, las organizaciones necesitan una mayor vigilancia a la hora de supervisar sus cortafuegos en busca de riesgos y puertas traseras. Como profesional de la seguridad, debe asegurarse de tener una respuesta defendible para "¿Cómo detectaría el funcionamiento de una puerta trasera dentro de su cortafuegos?".
Obtenga más información sobre el papel oculto de la infraestructura en la superficie de ataque del centro de datos y aprenda a detectar puertas traseras en su centro de datos.