martes, 14 de septiembre de 2010

Protección de Laptops ante robos


Debido a algunas consultas en relación a este tipo de incidentes realicé un pequeño lab asociado a la evaluación de 2 productos opensource referidos a la protección/recupero de laptops:

1. PreyProject @ www.preyproject.com
2. The Laptop Lock @ www.thelaptoplock.com

El primero dentro de todo es una solución nueva y el segundo ya tiene un tiempo.

En ambos productos es necesario registrarse, y a través de la instalación de un agente, dar de alta los equipos que quieren monitorearse. En este sentido PreyProject provee muchas más opciones de monitoreo que The Laptop Lock, sin embargo este último provee acciones al denunciar robada la laptop, que el otro producto no provee, por ejemplo, borrar una determinada carpeta, cifrar el contenido de una carpeta, etc.

En los dos productos es necesario denunciar el equipo robado a través de la interfaz web, lo cual dispara las distintas acciones que hayamos configurado en el agente.

A modo de ejemplo les comento algunas acciones:

Preyproject: genera un mensaje en el equipo robado con el texto que nosotros definamos, por ejemplo "Este equipo ha sido extraviado, contáctese con "x"", además se puede disparar una sirena que comienza a reproducirse en el equipo. Una característica importante es que toma una captura de pantalla de la sesión activa, el usuario logueado, los procesos y direccionamiento público y privado. El direccionamiento lo trata de ubicar geográficamente (esto último no está funcionando muy bien). En apple y linux puede cambiar el wallpaper con algún texto que nosotros definamos. Con toda esta información genera un reporte que luego puede ser visualizado vía web, también envía alertas por mail anunciando que el contenido está disponible.
El agente puede configurarse para que trabaje cada "n" cantidad de minutos, en el equipo evaluado no se ha notado caída de performance por el funcionamiento del producto.

Preyproject utiliza unix (cron, bash), sin embargo toda la configuración es a través de un GUI junto con la instalación y desinstalación. Cerrando la sesión activa, e iniciando otra, también ha notificado que el equipo ha sido robado y ha generado un informe con las características antes mencionadas.

Si el usuario logueado posee permisos privilegiados también informa el Default Gateway y la Mac Address.

The Laptop Lock: el producto es mucho más simple que Preyproject, sin embargo provee medidas de protección reactivas que favorecen el resguardo de la información que pudiera contener el equipo robado. Cifrar archivos o carpetas, reproducir un comando, etc son las facilidades que provee este producto, la protección del agente a través de una contraseña es una medida de seguridad que lo diferencia de Preyproject. Los reportes contienen la IP involucrada y un link hacia DNStuff para realizar un WhoIs, etc, pero no tiene el mismo detalle que Preyproject en cuanto a los reportes.

Conclusiones

Los 2 productos son buenos, tienen diferencias que permiten optar por uno u otro según el tipo de tratamiento/protección que queramos implementar. Es importante mencionar que la utilización de estos productos debe estar acompañada de políticas de seguridad asociadas a la gestión de los equipos portables/móviles, dado que un usuario con permisos de administración podría desinstalar el producto. Adicionalmente dado que estos productos requieren de internet para comunicarse con el web service, si no tienen conexión no se podrá relevar ninguna información.

Estos productos no reemplazan una solución de cifrado (si la clasificación de la información lo amerita), sino que son un complemento a estas medidas y podrían facilitar el recupero de los equipos.
Por otro lado, políticas asociadas al uso de la información podrían disminuir la posibilidad de que en los equipos portables se encuentre información de negocio que tuviera algún valor para un posible atacante.

En fin estos productos no son infalibles, pero sin dudas, en conjunto con otros controles podrían ser muy útiles para el recupero de equipos robados.


Fuente: SecureTech

No hay comentarios: