5 Lecciones de la brecha de Linkedin
La reciente violación de seguridad a LinkedIn en la cual fueron robadas aproximadamente unas 6,5 millones de cuentas de usuarios y contraseñas y publicadas en Internet, no es algo nuevo. Tales incidente son algo bastante común. Aunque la causa exacta de la brecha no es conocida podemos señalar con seguridad algunas fallas obvias tales como la ausencia de un control de seguridad sofisticado. En esta nota quisiera dar lo que creo son enseñanzas clave del incidente de LinkedIn. Estoy seguro que la mayoría estará de acuerdo con mis puntos de vista y serán bienvenidos los comentarios de aquellos que estén o no de acuerdo.
Enseñanza #1: Tenga un sistema de cifrado robusto
Como secuela del ataque a LinkedIn, se observa que el sitio solía utilizar un sistema de cifrado para las contraseñas muy débil, el cual permitió a los atacantes obtener los hashes de las contraseñas y descifrarlos fácilmente. LinkedIn debería haber usado el "salting" para una mayor seguridad. Es muy importante diseñar una arquitectura de seguridad robusta y un sistema de cifrado fuerte.
Enseñanza #2: Consiga una solución de administración de incidentes de seguridad y ¡úsela!
LinkedIn fue en gran parte inconsciente de los eventos de seguridad que llevaron finalmente a la brecha. El hecho que el sistema de monitoreo de eventos de seguridad de LinkedIn falló en detectar los signos iniciales de la brecha y la brecha en si, nos lleva a creer que la estructura de monitoreo de eventos de seguridad y respuesta de incidentes tienen algunos serios defectos que deben ser identificados, reconocidos internamente, y finalmente resueltos. No es agradable enterarse por los medios que uno ha sido hackeado.
Enseñanza #3: Responda a las divulgaciones de vulnerabilidades y contrate un equipo de seguridad!
LinkedIn esta haciendo buen dinero y no es una mala decisión procurarse un buen equipo de seguridad. No estoy seguro si LinkedIn tuvo el equipo óptimo para responder a las vulnerabilidades de seguridad que les revelaron. Desde iViZ le enviamos varias notificaciones sobre vulnerabilidades en su sitio pero no tuvimos respuesta. Nuestra experiencia con otras compañías como Microsoft ha sido exactamente opuesta. Como parte de la divulgación responsable de vulnerabilidades, primero informamos las vulnerabilidades a los proveedores y los ayudamos a arreglarlas. LinkedIn necesita ser mas receptivo.
Enseñanza #4: Tenga un Equipo de Respuesta a Emergencias
Publicar el descubrimiento de la violación de seguridad, las observaciones formales y comentarios provenientes de los altos funcionarios de LinkedIn fueron ambiguos y poco claros e hicieron poco en términos de aliviar las preocupaciones de sus usuarios. Por ejemplo, LinkedIn no fue capaz de decir exactamente cuantas cuantas contraseñas de cuentas de usuario fueron descifradas y publicadas en Internet, pero calificaron el tamaño de la violación de seguridad de ser sencillamente "pequeña" (poco útil en estimar la dimensión real del daño a sus usuarios!). Además LinkedIn etiquetó a algunos de sus usuarios como "lo de mayor riesgo" y los "potencialmente afectados". Es fundamental tener un Proceso y un Equipo de Respuesta a Emergencias para organizaciones que necesitan seriamente seguridad.
Enseñanza #5: Realice Pruebas de Penetración en su Aplicación en cada nueva versión
LinkedIn es una aplicación enorme y deben estar teniendo versiones liberadas muy frecuentes. Es crítico probar la aplicación en cada nueva publicación. En iViZ la mayoría de nuestos clientes realizan Pruebas de Penetración durante cada liberación lo que significa mas de 12 pruebas al año. Hemos visto que aquellos que prueban sus aplicaciones en todas las nuevas versiones están al menos 10 veces mas seguros que aquellos que lo hace una vez al año.
PD: Estoy seguro que hay otras enseñanzas críticas. Pero pienso que estas 5 son un buen número al cual atenerse en lugar de tratar de imaginarlas todas.
Traducción: Raúl Batista - Segu-Info
Autor: bikash
Fuente: iViZ Blog
Enseñanza #1: Tenga un sistema de cifrado robusto
Como secuela del ataque a LinkedIn, se observa que el sitio solía utilizar un sistema de cifrado para las contraseñas muy débil, el cual permitió a los atacantes obtener los hashes de las contraseñas y descifrarlos fácilmente. LinkedIn debería haber usado el "salting" para una mayor seguridad. Es muy importante diseñar una arquitectura de seguridad robusta y un sistema de cifrado fuerte.
Enseñanza #2: Consiga una solución de administración de incidentes de seguridad y ¡úsela!
LinkedIn fue en gran parte inconsciente de los eventos de seguridad que llevaron finalmente a la brecha. El hecho que el sistema de monitoreo de eventos de seguridad de LinkedIn falló en detectar los signos iniciales de la brecha y la brecha en si, nos lleva a creer que la estructura de monitoreo de eventos de seguridad y respuesta de incidentes tienen algunos serios defectos que deben ser identificados, reconocidos internamente, y finalmente resueltos. No es agradable enterarse por los medios que uno ha sido hackeado.
Enseñanza #3: Responda a las divulgaciones de vulnerabilidades y contrate un equipo de seguridad!
LinkedIn esta haciendo buen dinero y no es una mala decisión procurarse un buen equipo de seguridad. No estoy seguro si LinkedIn tuvo el equipo óptimo para responder a las vulnerabilidades de seguridad que les revelaron. Desde iViZ le enviamos varias notificaciones sobre vulnerabilidades en su sitio pero no tuvimos respuesta. Nuestra experiencia con otras compañías como Microsoft ha sido exactamente opuesta. Como parte de la divulgación responsable de vulnerabilidades, primero informamos las vulnerabilidades a los proveedores y los ayudamos a arreglarlas. LinkedIn necesita ser mas receptivo.
Enseñanza #4: Tenga un Equipo de Respuesta a Emergencias
Publicar el descubrimiento de la violación de seguridad, las observaciones formales y comentarios provenientes de los altos funcionarios de LinkedIn fueron ambiguos y poco claros e hicieron poco en términos de aliviar las preocupaciones de sus usuarios. Por ejemplo, LinkedIn no fue capaz de decir exactamente cuantas cuantas contraseñas de cuentas de usuario fueron descifradas y publicadas en Internet, pero calificaron el tamaño de la violación de seguridad de ser sencillamente "pequeña" (poco útil en estimar la dimensión real del daño a sus usuarios!). Además LinkedIn etiquetó a algunos de sus usuarios como "lo de mayor riesgo" y los "potencialmente afectados". Es fundamental tener un Proceso y un Equipo de Respuesta a Emergencias para organizaciones que necesitan seriamente seguridad.
Enseñanza #5: Realice Pruebas de Penetración en su Aplicación en cada nueva versión
LinkedIn es una aplicación enorme y deben estar teniendo versiones liberadas muy frecuentes. Es crítico probar la aplicación en cada nueva publicación. En iViZ la mayoría de nuestos clientes realizan Pruebas de Penetración durante cada liberación lo que significa mas de 12 pruebas al año. Hemos visto que aquellos que prueban sus aplicaciones en todas las nuevas versiones están al menos 10 veces mas seguros que aquellos que lo hace una vez al año.
PD: Estoy seguro que hay otras enseñanzas críticas. Pero pienso que estas 5 son un buen número al cual atenerse en lugar de tratar de imaginarlas todas.
Traducción: Raúl Batista - Segu-Info
Autor: bikash
Fuente: iViZ Blog
Cambiaría la oración:
ResponderBorrarNo es interesante enterarse por los medios que uno ha sido hackeado
Por: No es agradable...
Cambiaría la oración:
ResponderBorrarNo es interesante enterarse por los medios que uno ha sido hackeado
Por: No es una gran put***...
buena artículo!