Lo que puede enseñarte el truco de Dropbox sobre el estado de la seguridad web

La semana pasada, Dropbox había estado en los titulares de un ataque que vio comprometidas las direcciones de correo electrónico y las contraseñas de 68 millones de cuentas de Dropbox . Para cualquier usuario de Dropbox, esto es, por supuesto, un motivo de preocupación, especialmente si almacena algo en Dropbox, ya sea personal o laboral.

Se puede acceder a sus fotos, documentos, datos, etc. sin su conocimiento utilizando su dirección de correo electrónico y contraseña perdidas en ese truco en particular. La buena noticia es que hasta ahora no ha habido informes de nada malicioso proveniente del hack de Dropbox . Sin embargo, eso no significa que no haya nada de qué preocuparse.

Sobre el truco de Dropbox

En primer lugar, dejemos esto fuera del camino: el hack de Dropbox no sucedió la semana pasada. Más de 68 millones de direcciones de correo electrónico y contraseñas son robadas en el hack, sí, pero el hack en sí ocurrió hace 4 años , en 2012.

En lugar de imaginar una escena de hackers de Hollywood (muchas de las cuales se equivocaron terriblemente ), el hack se debió a un error humano .

Los piratas informáticos habían utilizado nombres de usuario y contraseñas de otra violación de datos para iniciar sesión en cuentas de Dropbox. Una de estas cuentas pertenecía a un empleado de Dropbox , que había utilizado la misma contraseña tanto para el sitio violado como para su cuenta de Dropbox.

Casualmente, el mismo empleado tenía una carpeta llena de documentos que contenían las direcciones de correo electrónico de 68.680.741 cuentas de Dropbox , así como contraseñas hash . Juego, set y partido.

1. Dropbox no estaba solo; LinkedIn fue pirateado de manera similar

En mayo de 2016, LinkedIn anunció algo similar al hack de Dropbox de la semana pasada. Le imploraron a los usuarios de LinkedIn que cambiaran sus contraseñas » como una cuestión de mejores prácticas » después de darse cuenta del robo de un conjunto de correos electrónicos y contraseñas que se había producido, lo adivinó, en 2012.

Si hizo clic en ese enlace en el párrafo anterior, no encontrará ninguna mención de cuán grande fue la pérdida de datos a pesar de que la sensación de urgencia es evidente con las actualizaciones frecuentes de esa página en particular.

Lo que sucedió fue que más de 117 millones de cuentas de LinkedIn se vieron afectadas, aunque es posible que el número real sea ​​tan alto como 167 millones .

2. ¿Por qué están resurgiendo ahora las contraseñas pirateadas?

Según los informes, los conjuntos de datos de Dropbox y LinkedIn se comercializan en la web oscura ahora (o lo estaban, hasta hace una semana).

El conjunto de LinkedIn estaba inicialmente a la venta por $ 2,200, mientras que el de Dropbox cuesta un poco más de $ 1,200 ; ambos El valor de estos conjuntos de datos disminuye cuanto más tiempo están , ya que una vez que la mayoría de los usuarios han cambiado las contraseñas, los conjuntos de datos son de poco o ningún valor.

¿Pero por qué ahora? ¿Cuatro años después del hack? Lo más cerca que estuve de una respuesta proviene de Troy Hunt (se le menciona bastante en esta publicación y casi en todas partes) que escribe mucho sobre ciberseguridad. Solo citaré lo que tiene que decir:

Inevitablemente, hay un catalizador, pero podría ser muchas cosas diferentes; el atacante finalmente decide monetizarlo, ellos mismos son atacados y pierden los datos o, en última instancia, los cambian por otra cosa de valor.

3. Los ataques y los volcados de datos ocurren con más frecuencia de lo que todo el mundo está dispuesto a admitir.

Mientras leía sobre este truco de Dropbox, encontré este directorio de base de datos, Vigilante.pw , un sitio que presenta información sobre violaciones de datos. En el momento de escribir este artículo, la base de datos completa contiene información de 1470 infracciones que ascienden a más de 2 mil millones de cuentas comprometidas .

El más grande de todos es el hack de Myspace en 2013. Ese hackeo afectó a más de 350 millones de cuentas .

En el mismo directorio, las 68 millones de entradas de Dropbox son la novena más grande en la historia de volcados de datos conocidos, hasta ahora; LinkedIn es el quinto más grande, aunque si el número se corrigiera a 167 millones, eso lo convertiría en el segundo volcado de datos más grande en el directorio.

(Tenga en cuenta que las fechas de los volcados de datos para Dropbox y LinkedIn se enumeran como 2012, en lugar de 2016).

>Es>

haveibeenpwned.com también es otra fuente que puede utilizar para ver la gravedad de los ataques y los volcados de datos que afectan a los servicios y herramientas en línea .

El sitio está dirigido por Troy Hunt, un experto en seguridad que escribe regularmente sobre violaciones de datos y problemas de seguridad, incluido este reciente ataque a Dropbox . Nota: el sitio también viene con una herramienta de notificación gratuita que le avisará si alguno de sus correos electrónicos ha sido comprometido.

Podrá encontrar una lista de sitios empeñados, cuyos datos se han consolidado en el sitio. Aquí está su lista de las 10 principales infracciones (solo mire todos esos números). Encuentre la lista completa aquí .

¿Aún>>4. Con cada violación de datos, los piratas informáticos mejoran en descifrar contraseñas

Vale la pena leer esta publicación sobre Ars Technica de Jeremi Gosney, un descifrador de contraseñas profesional. En resumen, cuantas más violaciones de datos se produzcan, más fácil será para los piratas informáticos descifrar contraseñas futuras .

El hack de RockYou ocurrió en 2009: se filtraron 32 millones de contraseñas en texto plano y los crackers de contraseñas pudieron ver cómo los usuarios crean y usan contraseñas.

Ese fue el truco que demostró lo poco que pensamos en la selección de nuestras contraseñas, por ejemplo , 123456 , iloveyou , Password . Pero mas importante:

La violación de RockYou revolucionó el descifrado de contraseñas.

Obtener 32 millones de contraseñas sin hash, sin sal y sin protección mejoró el juego para los crackers de contraseñas profesionales porque, aunque no fueron los que llevaron a cabo la violación de datos, ahora están más preparados que nunca para descifrar los hashes de contraseñas una vez que se produce un volcado de datos. Las contraseñas obtenidas del hack de RockYou actualizaron su lista de ataques de diccionario con contraseñas reales que la gente usa en la vida real, contribuyendo a un craqueo significativo, más rápido y más efectivo.

Se producirían violaciones de datos posteriores : Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial, y con algunas actualizaciones de hardware , fue posible que el autor (después de asociarse con algunos equipos relevantes de la industria) descifrara hasta 173.7 millones de contraseñas de LinkedIn en tan solo 6 días (eso es el 98% del conjunto de datos completo). Tanto para la seguridad, ¿eh?

5. Hashing de contraseñas: ¿ayudan?

Existe la tendencia de que un sitio que ha experimentado una violación de datos muestre las palabras contraseñas hash, contraseñas saladas, algoritmos hash y otros términos similares, como para decirle que sus contraseñas están encriptadas y, por tanto, su cuenta está segura (¡ uf! ). Bien…

Si desea comprender qué es el hash y la salazón , cómo funcionan y cómo se resquebrajan, este es un buen artículo para leer.

A riesgo de simplificar los conceptos, aquí va:

  • Los algoritmos hash cambian una contraseña para protegerla. Un algoritmo oculta la contraseña para que un tercero no la reconozca fácilmente. Sin embargo, los hashes se pueden descifrar con ataques de diccionario (que es donde entra el punto 6) y ataques de fuerza bruta.
  • La salazón agrega una cadena aleatoria a una contraseña antes de que se procese. De esta manera, incluso si la misma contraseña se hash dos veces, el resultado será diferente debido a la sal.

Volviendo al truco de Dropbox, la mitad de las contraseñas están bajo el hash SHA-1 (sales no incluidas, lo que las hace imposibles de descifrar ) mientras que la otra mitad está bajo el hash bcrypt.

Esta combinación indica una transición de SHA-1 a bcrypt , que fue un paso adelantado a su tiempo, ya que SHA1 está en medio de ser eliminado en 2017, para ser reemplazado por SHA2 o SHA3.

Dicho esto, es importante entender que «el hash es una póliza de seguro » que simplemente ralentiza a los piratas informáticos y crackers. Incluso si esta protección adicional hace que las contraseñas sean «difíciles de decodificar», no significa que sean imposibles de descifrar .

En el mejor de los casos, el hash y la salazón solo les dan tiempo a los usuarios , lo suficiente como para cambiar sus contraseñas y evitar una toma de control de su cuenta.

6. Las secuelas de los ataques (violaciones de datos)

(1) Los hacks podrían ser relativamente benignos como el hack de Dropbox, o tener resultados devastadores como la filtración de datos de Ashley Madison .

En este último, se filtraron 25 GB de datos, incluidas las direcciones de casa reales, las transacciones de tarjetas de crédito y el historial de búsqueda de sus usuarios. Debido a la naturaleza del sitio web, hubo muchos casos de vergüenza pública, chantaje, extorsión, divorcios e incluso suicidios.

El hackeo también expuso la creación de cuentas falsas y el uso de chatbots para atraer a los clientes que pagan a registrarse para obtener una cuenta.

(2) Los hacks también muestran nuestra indiferencia en la selección de contraseñas , es decir, hasta que se produce una infracción.

Hemos establecido esto al discutir la brecha de RockYou en el n. ° 4. Si tiene muchos datos importantes flotando en la Web, es una buena idea usar una aplicación de administración de contraseñas . Y habilite la autenticación de dos pasos . Y nunca reutilice contraseñas que hayan estado en una violación de datos . Y asegúrese de que otras personas con las que trabaja adopten las mismas medidas de seguridad .

Si desea dar un paso más, regístrese para obtener una herramienta de notificación que le avise cuando su correo electrónico esté involucrado en una violación de datos.

(3) Los hacks muestran la indiferencia de un sitio por proteger las contraseñas y los datos de los usuarios .

En el caso de Dropbox vs LinkedIn, puede ver que Dropbox tomó medidas mejores y más calculadas para minimizar el daño de una violación de datos como esta.

Dropbox utilizó mejores métodos de hash y salazón, envió correos electrónicos a los usuarios pidiéndoles que cambiaran sus contraseñas lo antes posible, ofreció autenticación de dos factores y Universal 2nd Factor (U2F) que utiliza una clave de seguridad e hizo cambios en la política del personal (los empleados de Dropbox ahora use 1Password para administrar sus contraseñas, las contraseñas de cuentas corporativas ya no se pueden reutilizar y todos los sistemas internos están en 2FA).

Para obtener un desglose de lo que hizo LinkedIn, este artículo es quizás una lectura más completa y adecuada.

Terminando

Para ser sincero, aprender sobre todo esto con solo estudiar el truco de Dropbox ha sido una experiencia aterradora y reveladora. Nosotros, la población en general, subestimamos profundamente la necesidad de contraseñas únicas y seguras, incluso después de que se nos haya dicho varias veces que nunca compartamos o repitamos las contraseñas, o que usemos palabras de diccionario en ellas.

Si sus datos se vieron afectados por el hack de Dropbox, tome las precauciones necesarias para proteger su información personal. Ponga un poco de esfuerzo en sus contraseñas u obtenga un administrador de contraseñas . Ah, y coloque cinta adhesiva sobre la cámara o cámara web de su computadora portátil cuando no esté en uso. Nunca puedes ser demasiado cuidadoso.

(Foto de portada a través de GigaOm )

Deja un comentario