Español | English
rss facebook linkedin Twitter

BlackBerry y entornos BES: esos grandes desconocidos (parte I)

Atrás quedaron los tiempos en los que los teléfonos móviles se usaban únicamente para realizar y recibir llamadas/SMS’s. Hoy en día, nos basta con mirar a nuestro alrededor para ser conscientes de que nos encontramos en una sociedad totalmente vinculada a este tipo de dispositivos. Si nos fijamos bien, difícilmente podrás tener a algún amigo o conocido que no disponga de un teléfono móvil. Cada día proliferan más los móviles que permiten mantener conexión constante a Internet, mediante las tan aclamadas tarifas planas que ofertan todas las operadoras móviles. Dispositivos como la BlackBerry, los SmartPhones y el IPhone han marcado un antes y un después.

Centrándonos en el mundo empresarial, este tipo de dispositivos son de uso obligado. No encontraremos hoy en día un solo comercial que no lleve un móvil pegado a su bolsillo, así como tampoco encontraremos a ninguna empresa vinculada a las tecnologías de la información que no haga uso masivo del correo electrónico. Y como no hay dos sin tres, dentro de poco tiempo (prácticamente ya), nos encontraremos que la mayoría del mundo que hace uso del correo electrónico lo hará directamente desde su dispositivo móvil. Y eso, a día de hoy, y de forma mayoritariamente popular, apunta hacia un nombre: B.E.S (BlackBerry Enterprise Server).

Cada vez son más las empresas que implementan una solución de mensajería electrónica de este tipo. Ello les permite gestionar de forma interna y centralizada todo el correo y contenido que se envía a los distintos dispositivos móviles (en nuestro caso nos centraremos en las BlackBerry). Realmente este mismo servicio lo ofertan también la mayoría de operadores de telefonía móvil, haciéndose ellas cargo de todo el sistema de forma externa. Para nuestro caso, nos centraremos en aquellas instalaciones que se encuentran implementadas directamente dentro de las empresas.

La típica instalación de un sistema de este tipo, se basa en instalar un servidor intermedio BES que sea capaz de gestionar los dispositivos móviles, y actúe de enlace entre estos y el sistema de correo principal. Posteriormente, el servidor BES redireccionará todos los correos electrónicos a las cuentas que se hayan preestablecido para cada uno de los dispositivos.


Lo que la mayoría de gente desconoce, es que la instalación de estos sistemas conlleva una serie de riesgos inherentes a la propia plataforma, que son necesarios gestionar, para mantener un nivel de seguridad adecuado. El principal de estos riesgos, ( aparte de todo riesgo específico del propio terminal), es que cada BlackBerry pasa a ser un dispositivo integrado en la propia Red Corporativa de la empresa, tal y como lo pudiera ser un servidor interno, una estación de usuario normal, un servidor de BB.DD, etc.

A día de hoy, se conocen técnicas y métodos que permiten manipular el software del dispositivo móvil, para usar el servidor B.E.S al que se encuentra enlazado como proxy inverso, de manera que desde la propia terminal, se puedan establecer conexiones internas hacia los servicios de la LAN.

Por poner un ejemplo, desde un dispositivo BlackBerry que no disponga de un servidor BES adecuadamente configurado a nivel de políticas y restricciones de terminales, es posible acceder a los servidores Web de la Intranet de la empresa, así como a los servicios SSH, etc., que se encuentren publicados internamente. Y todo esto con la comodidad de poder estar realizándolo a cientos de kilómetros de distancia. Esta situación, genera un escenario totalmente nuevo y atípico, que un atacante que haya robado uno de estos dispositivos puede usar para realizar acciones no controladas sobre la red interna de la empresa a la que corresponda dicho dispositivo.

Si esta situación se combina con la posibilidad de usar el dispositivo conectado a un sistema portátil, se abre una ventana de posibilidades enorme, con la que se cuenta con una conexión directa a la red Interna de la empresa, mediante el uso de la red GPRS/3G. De aquí en adelante, todo depende de la habilidad del atacante y la combinación de políticas, procedimientos y mecanismos de seguridad que se hayan implementado en la empresa atacada, para poder acceder a los diversos sistemas internos de la red.

Desde el departamento de auditoría de S21sec, queremos lanzar un mensaje de alerta y concienciación a las organizaciones, debido principalmente, a que estas plataformas incorrectamente configuradas son una puerta de entrada directa al resto de las infraestructuras de la empresa.

En la segunda parte de este artículo, hablaremos de riesgos añadidos a los propios dispositivos BlackBerry, así como la importancia de mantener una política adecuada para estos y sus servicios.


Oscar Romero

S21sec, Dept. Auditoría

1 comentario:

Álvaro Del Hoyo dijo...

Óscar,
Imagino que la probabilidad de los riesgos inherentes a la instalación de estos servidores de BlackBerry se viene arriba dado que ahora parece que RIM ofrece una versión libre de servidor ;-p

http://www.theregister.co.uk/2010/02/16/blackberry_enterprise_server_express/

Un saludo, pirata


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login