Ataque de fuerza bruta contra usuarios de GitHub

noviembre 21, 2013 § Deja un comentario

Un número sin especificar -aunque se presume elevado- de usuarios del conocido repositorio de software GitHub, ha sido víctima en las últimas fechas de un ataque de fuerza bruta por el que se han comprometido las contraseñas más débiles, informan en el blog oficial del servicio.

Las contraseñas de las cuentas vulneradas han sido reseteadas y las autorizaciones revocadas, indican los responsables de GitHub, que han informado por correo electrónico a los usuarios afectados, quienes deberán crear una nueva contraseña obligatoriamente antes de volver a identificarse en el sitio. Y no podrá volver a ser una frase débil, porque ya no está permitido.

Por precaución, se han reseteado también las contraseñas a usuarios con contraseñas no necesariamente débiles, y advierten al resto a controlar la actividad en sus cuentas y los intentos de ingreso fallidos, información que se puede ver en el historial de seguridad del usuario y que sirve de prueba de un intento de ingreso fallido y fraudulento.

Además de revisar el historial de seguridad y crear una contraseña fuerte, se recomienza activar la verificación en dos pasos, función que GitHub estrenó hace poco más de dos meses y que ha demostrado ser efectiva en otros servicios, especialmente ante ataques de este tipo.

Lo que no deja de ser curioso en este caso es que incluso usuarios que se supone avanzados como son los desarrolladores que pueblan GitHub, se caiga también en el error de las contraseñas débiles.

Fuente: Muy Seguridad

Contraseñas de sitios GOB.AR comprometidas por la filtración de #Adobe

noviembre 15, 2013 § Deja un comentario

Como se sabe, la última semana Adobe ha “perdido” 130 millones de credenciales de sus usuarios. En este archivo figuran el correo electrónico del usuario, su contraseña cifrada en 3DES en modo ECB, y el recordatorio de clave que el usuario haya colocado. El formato es el siguiente:

ID_XXX-|--|-usuario@dominio.com-|-Pass_3DES-|-RECORDATORIO_PASS|--

Esta fuga de información esta considerada como una de las más grande de la historia así que luego de descargar el archivo de 10GB (descomprimido) he buscado algunos dominios que podrían ser interesantes para analizar y así verificar la fortaleza de las contraseñas utilizadas. Específicamente he puesto el foco en dominios .GOB.AR, aunque luego también lo hice con bancos y otras entidades importantes de la República Argentina.

Lo que he encontrado no me extraña en lo más mínimo y sólo es una muestra más de la falta de lineamientos claros del estado argentino con respecto a la seguridad de la información. En esta imagen se puede apreciar el volcado de datos así como los recordatorios de contraseña utilizados por estos usuarios, en donde claramente se puede ver lo sencillo que sería “adivinar” la contraseña, suponiendo que no se utilice ningún método para crackearlas:

He hallado un total de 260 usuarios de distintas dependencias gubernamentales argentinas y, sobre ellas adicionalmente he realizado un pequeño recorrido por las contraseñas más utilizadas resultando lo siguiente:

  • EQ7fIpT7i/Q= - 123456 - 7 usuarios
  • BB4e6X+b2xLioxG6CatHBw== - adobe123 - 1 usuario
  • j9p+HwtWWT/ioxG6CatHBw== - 12345678 - 1 usuario
  • 5djv7ZCI2ws= - qwerty - 1 usuario
  • dQi0asWPYvQ= - 1234567 - 1 usuario

 Por supuesto ya hay varios trabajos relacionados en romper estas contraseñas y varias empresas que han estado trabajando en el descifrado completo del archivo, tratando de deducir información adicional, sin siquiera llegar al extremo de aplicar fuerza bruta con las herramientas disponibles. Doy por descartado que alguien ya ha descifrado el archivo completo o gran parte de él.

Todo lo dicho no es más que una excusa para mencionar que, si trabajas en una entidad de gobierno, no utilices contraseñas triviales, porque ese es el principal motivo para que luego los sitios gubernamentales sean atacados con éxito. Si no trabajas en una entidad de gobierno, cambia tus contraseñas y agradécele a Adobe su pésimo trabajo protegiendo la información. Incluso Facebook ha avisado a algunos usuarios que deben cambiar su contraseña por este motivo.

Mientras tanto, si quieres ahorrar trabajo (y confías en ellos) puedes buscar tu email en línea en el sitio de LassPass.

Cristian de la Redacción de Segu-Info

Guía de Doble Autenticación

noviembre 7, 2013 § Deja un comentario

En la actualidad, la mayoría de las personas utilizan servicios que requieren de credenciales de acceso, es decir, un nombre de usuario y contraseña para poder ingresar a sitios o servicios. En esta línea, la clave actúa como una llave digital que le permite a un usuario identificarse en el sistema para poder acceder a su información. De este modo, dicha contraseña protege los datos privados del acceso no autorizado por parte de terceros.

Sin embargo, el aumento de ataques informáticos sumado a las conductas inseguras de las personas, como el uso de contraseñas débiles e iguales en varios servicios, hacen necesario utilizar métodos de autenticación complementarios más robustos. A raíz de esto, muchas empresas están implementando la doble autenticación.

Esta guía de doble autenticación publicada por ESET tiene como objetivo, explicar qué es la doble autenticación y el modo de activarla en los servicios más populares como Gmail, Facebook, Twitter y otros.

Fuente: ESET Latinoamérica

Adobe: 130 millones de credenciales en 3DES

noviembre 5, 2013 § Deja un comentario

Tras reconocer el robo del código fuente de varios de sus productos y la información personal de casi tres millones de usuarios y clientes, se han ido haciendo públicos varios análisis que ponen en cuestión el procedimiento usado por Adobe para almacenar las credenciales.

Los datos extraídos alcanzan casi los 10Gb. Unos 130 millones de credenciales que Adobe ha ido almacenando a lo largo de varios años. Entre las cuentas robadas pueden observarse algunas que pertenecen a agencias del gobierno norteamericano tales como el FBI.

El problema hubiera sido “menor” si estas credenciales hubieran estado almacenadas en forma de hash usando una función sólida (sin problemas conocidos de seguridad) y aplicando buenas prácticas. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (la contraseña) lo originó. Es lo que se conoce como criptografía asimétrica.

Adobe, sin embargo, no optó por almacenar los hashes de las credenciales. En vez de ello las contraseñas eran cifradas con un algoritmo denominado TripleDES. Este algoritmo simétrico surgió debido a un problema de seguridad en el algoritmo DES relacionado con la longitud de clave (56 bits).

TripleDES es el resultado de encadenar tres veces el algoritmo DES en cada bloque de datos. Un método simple de prolongar la longitud de clave (168 bits) para reusar el DES y no invertir en el diseño de un nuevo algoritmo. Pero como suele ser habitual en seguridad, era cuestión de tiempo para que surgieran ataques sobre TripleDES, como “Meet-in-the-middle” o a través del cifrado aislado de porciones conocidas de texto claro que se sospechen estén incluidas dentro del texto cifrado. Todos estos ataques tienden a reducir la efectividad de la longitud de clave.

Además, en el caso de Adobe se usó TripleDES con el método ECB (Electronic CodeBook). Esto quiere decir que el texto claro se separa el bloques de idéntico tamaño y es cifrado de manera independiente. El resultado final es que dos porciones o bloques que tengan el mismo texto claro tendrán la misma apariencia cuando sean cifrados. No es necesario decir que esto representa una ventaja enorme para el atacante.

Una mala práctica el escoger un cifrado simétrico para almacenar las contraseñas cifradas y otra peor al escoger un algoritmo con problemas conocidos y para terminar de empeorarlo la selección de una configuración débil en la aplicación de la función de cifrado.

En el lado ético de la cuestión nos queda preguntarnos: ¿Por qué Adobe cifró las credenciales con un cifrado simétrico en vez del hash? Esto, significa que Adobe tenía la llave para conocer las credenciales de sus usuarios y clientes. Algo que por hacer una correspondencia mundana es como si cuando compras una casa el que te la vendió se queda una copia de la llave, por si acaso…

Por supuesto los ataques contra el cifrado no se han hecho esperar y ya hay una lista con el top 100 de las contraseñas más usadas. Sin sorpresa alguna dejamos aquí constancia de las 10 primeras:

Posición Cantidad Contraseña 3DES Contraseña
1. 1.911.938 EQ7fIpT7i/Q= 123456
2. 446.162 j9p+HwtWWT86aMjgZFLzYg== 123456789
3. 345.834 L8qbAD3jl3jioxG6CatHBw== password
4. 211.659 BB4e6X+b2xLioxG6CatHBw== adobe123
5. 201.580 j9p+HwtWWT/ioxG6CatHBw== 12345678
6. 130.832 5djv7ZCI2ws= qwerty
7. 124.253 dQi0asWPYvQ= 1234567
8. 113.884 7LqYzKVeq8I= 111111
9. 83.411 PMDTbP0LZxu03SwrFUvYGA== photoshop
10. 82.694 e6MPXQ5G6a8= 123123

Ahora cabría preguntarse de qué lado está la responsabilidad a la hora de elegir una buena llave para la casa.

Fuente: Hispasec

Roban 100 mil dólares a usuarios por malas prácticas en sus contraseñas

octubre 23, 2013 § Deja un comentario

Hace unos días, un grupo de delincuentes realizó un ataque a un proveedor de servicios de Internet en Estados Unidos, logrando acceso a los nombres de usuario y contraseña de los clientes. Las contraseñas obtenidas fueron utilizadas para ingresar a sistemas bancarios de algunas de las víctimas y transferir alrededor de 100 mil dólares, según afirman los cibercriminales en su cuenta de Twitter.

Mediante la utilización de la técnica SQL injection, un servidor vulnerable del proveedor de servicios de Internet Sebastian, de California, fue atacado para obtener los datos de sus usuarios. El ataque pudo ser perpetrado en cuestión de minutos gracias a la automatización con la herramienta SQLmap, la cual busca posibles ataques y los aplica, volcando la estructura y contenido de las bases de datos. Posteriormente el grupo subió un video demostrando no sólo el ataque al ISP, sino también el acceso a las cuentas bancarias de algunos clientes.

La captura corresponde al comando sqlmap con la opción “dbs”, que muestra las bases de datos disponibles en el servidor. En la parte superior de la imagen se ha resaltado el servidor que está siendo atacado, y también puede observarse información como el tipo de ataque y el motor de base de datos. En base al conocimiento de esta información, los cibercriminales pueden buscar las tablas con información de los usuarios, lo cual se muestra en la siguiente imagen:

Se han ofuscado los nombres de usuario y direcciones de correo electrónico, pero los valores resaltados corresponden a las contraseñas. Con esto queremos mostrar una falla grave de seguridad, más bien a nivel conceptual, por parte de los administradores: las contraseñas estaban almacenadas en texto plano y pueden ser usadas en forma directa si caen en manos equivocadas. En este caso, a nivel de seguridad, la buena práctica sería que las contraseñas estuvieran almacenadas como un valor resultante de aplicar una función de hash (como MD5 o SHA1), además de la utilización de “granos de sal”.

Otro factor fundamental en el ataque, que excede la responsabilidad de este proveedor de servicios de Internet y que tiene que ver con los usuarios, es que para algunos de los clientes, la contraseña utilizada era la misma que la de otros servicios de correo electrónico, redes sociales o entidades bancarias. Si bien es cierto que puede ser difícil recordar muchas contraseñas, nunca debe utilizarse la misma contraseña para todos los servicios. En la siguiente imagen puede verse cómo los cibercriminales ingresan al sistema de transacciones bancarias de uno de los usuarios:

En resumen, a partir de una contraseña robada en el servidor del ISP se ha logrado acceso a la cuenta bancaria de un usuario, puesto que la contraseña era la misma. El video luego muestra cómo se puede llevar a cabo un movimiento de fondos, con lo cual los criminales proclaman que han ganado cientos de miles de dólares. Por ello debemos insistir en que nunca debe utilizarse la misma contraseña para distintos servicios.

Fuente: ESET Latinoamérica

Usar un electrocardiograma como contraseña

octubre 1, 2013 § 2 comentarios

Las contraseñas tienen una serie de debilidades por una serie de razones, entre ellos que los seres humanos simplemente tienden a crear contraseñas malas para recordarlas más fácilmente. Las buenas contraseñas son difíciles de adivinar pero también difíciles de recordar; contraseñas malas son fáciles de recordar pero también de adivinar. Durante años, el reemplazo de las contraseñas por algo más simple y más seguro ha sido una prioridad en la industria de la seguridad y, a pesar de ello, casi todo el mundo sigue utilizando contraseñas simples para iniciar la sesión en sus dispositivos.

El corazón contiene un conjunto de células nerviosas en su ventrículo derecho y sinapsis conocidas como “marcapasos cardiacos”. Estos marcapasos emiten impulsos eléctricos que hacen que el corazón humano lata. Estos impulsos eléctricos y el ritmo cardíaco que producen pueden medirse por un electrocardiógrafo, creando una lectura llamada electrocardiograma (ECG). Estos ECGs, si son medidos con suficiente precisión, son únicos y, así como la huella digital, no hay dos seres humanos que produzcan el mismo electrocardiograma, lo cual es una prometedora realidad para la autenticación biométrica.

Una compañía llamada Bionym está trabajando en un nuevo dispositivo portátil que medirá el ECG de sus portadores. Bionym afirma que el dispositivo puede distinguir confiablemente un ECG de otro, incluso en casos donde el corazón está latiendo más rápido o más despacio de lo que normalmente lo haría.

El dispositivo llamado Nymi, es como un reloj de pulsera pero contiene dos electrodos: uno hace contacto con la muñeca del usuario y otro está del lado opuesto. Cuando un usuario toca con su dedo el segundo electrodo (el que no toca la muñeca), se establece un circuito y se monitorea el ritmo cardíaco del usuario, produciendo un ECG. Este ECG es analizado por una pieza de software desarrollado por Bionym y empaquetado con Nymi en una aplicación móvil.

La aplicación podría ser utilizada para autenticar al usuario ante cualquier dispositivos. Bionym planea lanzar el dispositivo durante el año 2014 y actualmente están en proceso de colaborar con los desarrolladores que el dispositivo sea compatible con tantas aplicaciones como sea posible.

Los dos investigadores y expertos en biométria, Karl Martin y Foteini Agrafioti, de la Universidad de Toronto fundaron Bionym y pueden ser los primeros en producir un dispositivo portátil capaz de monitorear un indicador biométrico con fines de autenticación, aunque no son los primeros en tener la idea teórica.

Bruce Tognazzini, un ingeniero de usabilidad y experto en interacción persona-ordenador, escribió un extenso artículo en su blog personal sobre cómo debe ser un mecanismo de autenticación biométrico.

Fuente: Threat Post

FIDO:estándar abierto para autenticación

junio 11, 2013 § Deja un comentario

Varias empresas de Internet, integradores de sistemas y proveedores de seguridad han formado la FIDO Alliance (Fast IDentity Online) para cambiar las formas de autenticación en línea y crear un protocolo abierto basado en estándares.

FIDO es una Alianza fundadada por organizaciones como Agnitio, Infineon Technologies, Lenovo, Nok Nok Labs, PayPal y han estado desarrollando una especificación de productos compatibles con FIDO.

Internet requiere que los usuarios confirmen su identidad para iniciar sesión y acceder a muchas cuentas y servicios en línea. La autenticación actual basada en contraseñas es débil debido a la reutilización, malware y phishing, y deja las empresas y los usuarios finales vulnerables al robo de identidad y financiera.

El enfoque basado en el estándar de FIDO detecta automáticamente cuando un dispositivo FIDO-enabled está presente, y ofrece a los usuarios la opción de reemplazar contraseñas con métodos de autenticación más seguro y más fácil de usar. La Alianza FIDO anima e invita a la participación de todas las empresas y organizaciones que quieran.

La norma FIDO apoyará una amplia gama de tecnologías, incluyendo lectores biométricos de huellas digitales, voz y reconocimiento facial, así como soluciones de autenticación existentes, tales como módulos de plataforma segura (TPM), los tokens de seguridad USB, Near Field Communication (NFC), contraseñas de única vez (OTP) y muchas otras opciones tecnológicas existentes y futuras.

El protocolo abierto está diseñado para ser extensible y para dar cabida a la innovación, así como proteger las inversiones existentes. El protocolo FIDO permite la interacción de las tecnologías dentro de una única infraestructura, permitiendo a las opciones de seguridad que se adaptan a las distintas necesidades de cada usuario y de la organización. A medida que más organizaciones se unen a la Alianza FIDO, más casos y tecnologías de uso pasarán a formar parte de la solución.

La forma de trabajo de FIDO es la siguiente: los dispositivos FIDO se descubrirán dinámicamente por los sitios web a través de un plugin y se le preguntará al usuario si quiere conectar su dispositivosa sus cuentas. Una vez agregado, el usuario puede simplemente pasar el dedo, insertar el USB o introducir un PIN para acceder a esos sitios web.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría contraseñas en Seguridad Informática.