Falla la seguridad de Apple y Amazon: hora de un cambio
Se le puede llamar “la experiencia de la falla de seguridad” para Amazon y Apple. El 3 de agosto pasado, un hackeo épico comprometió la cuenta de Twitter del periodista de tecnología Mat Honan. Al mismo tiempo, el atacante (conocido como Phobia) también se las ingenió para borrar de manera remota el contenido de la laptop, iPhone y iPad Apple de Honan. Además, Phobia lo hizo por medio de métodos de ingeniería social, engañando a representantes de servicio a clientes de Amazon y Apple, lo que le permitió obtener información suficiente para accesar a las cuentas de iCloud y Gmail de Honan.
Es obvio que la habilidad del que se describe a sí mismo como un adolescente de 19 años de ejecutar un ataque de ingeniería social de múltiples niveles hace surgir la pregunta de quién más (agencias de inteligencia, criminales o legiones de adolescentes aburridos) pueden haber estado ya poniendo en operación estas técnicas, sin que las víctimas siquiera se dieran cuenta.
¿A quién culpar?
Si se busca culpar a alguien, se puede comenzar con el sistema de verificación de identidad que emplean los gigantes de la tecnología. “El sistema de Amazon tiene una falla parcial, pero el vínculo más débil es por mucho Apple”, dice Marco Arment, cofundador de Tumblr, en su blog. “Resulta atroz que den control de su cuenta en iCloud a cualquier persona que sepa su nombre y domicilio (lo que cualquiera puede averiguar muy fácilmente), y los últimos cuatro dígitos de su tarjeta de crédito (que en general se considera seguro mostrarlos en sitios Web y recibos)”.
Cuando se trata de hacer revisiones a consumidores, las empresas son perezosas. “A lo que se reduce esto es a la autenticación (¿cómo verifica que alguien es quien dice ser?). Ahora mismo, la norma de la industria señala que usted proporcione un poco de información personal”, dice en conversación telefónica el gerente de Inteligencia de Amenazas de Trustwave SpiderLabs, quien se presenta como Space Rogue. Para él, el problema es obvio: “Nada de eso es información secreta. Toda se consigue fácilmente por medio de Google o de otros métodos”
La falla de los equipos de seguridad de Amazon y Apple al no poder detectar (o molestarse por contemplar) de forma proactiva los ataques al estilo de Phobia es patente. (Se ha informado que ambas compañías están revaluando sus verificaciones y consecuencias.)
En la conferencia Black Hat Europa, realizada en Ámsterdam a principios de año, comprobadores de penetración describieron trabajos temporales en los cuales habían sido contratados por una empresa para identificar sus vulnerabilidades a la seguridad de la información.
En ocasiones encontraron las fallas esperadas en aplicaciones Web. Pero muy a menudo también hallaron literalmente puertas traseras sin llave a la oficina misma, además de impresiones de nombres de usuario, contraseñas u otra información confidencial indizada cuidadosamente en archiveros sin llave.
Comprobadores de penetración profesionales se habrían comido completitas a Amazon y Apple, dada la facilidad con la que se puede robar la identidad de los consumidores. “Las personas hacen esto todo el tiempo; no es un caso aislado lo que le sucedió a Honan”, dice Space Rogue, quien ayudó a fundar la destacada agencia de consultores @Stake, y quien ha trabajado antes para el ‘think tank’ (u organismo de políticas) L0pht Heavy Industries.
Usuarios flojos
Si las empresas son perezosas, también lo son los consumidores, y Honan admitió su culpabilidad en el ataque contra su identidad en línea. “Esos lapsos de seguridad son culpa mía, y en verdad me lamento por ellos”, escribió en un resumen de los ataques. No obstante, tras hacer esa declaración al principio de su artículo, Honan dedicó después 3,300 palabras a analizar lo que los demás, incluidos Amazon y Apple, hicieron mal.
Para reiterar: No hay que aprender de Honan. Él no hizo una copia de seguridad de sus dispositivos en un disco duro, a pesar de contar con el sorprendente software de respaldo “dispara y olvida” Time Machine, incluido con su laptop Apple con OS X. Además, utilizó prefijos de direcciones de correo electrónico idénticos (primer nombre, apellido) en numerosos servicios, lo que hizo que las direcciones de sus cuentas fueran fáciles de adivinar para un atacante. Y vinculó numerosas cuentas unas con otras, creando con ello un punto de falla único.
Honan es difícilmente la primera persona con conocimientos técnicos que comete este tipo de errores. El acusado de LulzSec y participante de Anonymous, Donncha O’Cearrbhail, afirmó haber comprometido el AppleID del principal investigador del crimen cibernético de Irlanda. Como el policía re-enviaba también sus correos de trabajo a una cuenta de Gmail que había configurado en su iPhone para revisarla, O’Cearrbhail pudo escuchar a escondidas una conferencia telefónica entre el FBI y agencias internacionales de procuración de justicia.
Por desgracia, cuando se trata de proteger los estilos de vida cada vez más conectados de las personas, no hay respuestas fáciles. “Las personas desean aprovechar la tecnología para facilitar sus vidas, de modo que vinculan todas estas cuentas entre sí, y al hacerlo las pone en riesgo”, señala Space Rogue. “¿Es culpa de las compañías IT, por permitir a las personas hacer esto, o es culpa de las personas? Esto es algo con lo que la sociedad tendrá que lidiar conforme pase el tiempo.”
Por fortuna, la historia aleccionadora de Honan (y el excelente análisis de cómo fue hackeada su vida, que Phobia hizo posible al contarlo, a cambio de la garantía de que Honan no lo demandara) ha puesto este problema bajo el reflector central.
Quien llege a sufrir una desgracia similar no debe esperar el trato con guantes blancos que obtuvo Honan, el cual incluyó el trabajo de Apple para recuperar los archivos que fueron eliminados de manera remota de su disco duro. “La víctima aquí es un conocido periodista de tecnología, de modo que obtuvo el nivel de soporte técnico del cual no disponemos la mayoría de nosotros”, sentencia Bruce Schneier, director IT de seguridad de BT, en una publicación en el blog. “Creo que esto será cada vez un problema más grande, y que los proveedores de servicios de Nube necesitarán soluciones mejores y más automatizadas.”
¿Qué aspecto podrían tener estas soluciones de seguridad mejoradas? Como se ha dicho, Apple y Amazon pueden comenzar al menos ofreciendo autenticación bifactorial. Dado que ambas compañías ganan mucho dinero operando tiendas de aplicaciones para smartphones y cuentan con esos canales de distribución, crear una aplicación bifactorial para teléfonos inteligentes será un próximo paso natural. O simplemente podrían usar la aplicación para smartphones de Google.
Mientras tanto, conviene someter a interrogatorio a quienes deseen llamar al servicio a clientes para restablecer una contraseña, pero que (al igual que Phobia cuando contactó a Apple) carecen de las respuestas a las preguntas de seguridad archivadas. Por ejemplo, después de permitir que un usuario solicite restablecer una contraseña por vía telefónica, ¿por qué no “hacer que la persona vuelva a llamar al día siguiente?”, propone Marco Arment, cofundador de Tumblr: “Si olvida su contraseña y las respuestas a sus preguntas de seguridad, no es irracional esperar un poco de incomodidad”, en especial si no desea ver su vida digital comprometida por un atacante con conocimientos de ingeniería social.
Fuente: Information Week
Es obvio que la habilidad del que se describe a sí mismo como un adolescente de 19 años de ejecutar un ataque de ingeniería social de múltiples niveles hace surgir la pregunta de quién más (agencias de inteligencia, criminales o legiones de adolescentes aburridos) pueden haber estado ya poniendo en operación estas técnicas, sin que las víctimas siquiera se dieran cuenta.
¿A quién culpar?
Si se busca culpar a alguien, se puede comenzar con el sistema de verificación de identidad que emplean los gigantes de la tecnología. “El sistema de Amazon tiene una falla parcial, pero el vínculo más débil es por mucho Apple”, dice Marco Arment, cofundador de Tumblr, en su blog. “Resulta atroz que den control de su cuenta en iCloud a cualquier persona que sepa su nombre y domicilio (lo que cualquiera puede averiguar muy fácilmente), y los últimos cuatro dígitos de su tarjeta de crédito (que en general se considera seguro mostrarlos en sitios Web y recibos)”.
Cuando se trata de hacer revisiones a consumidores, las empresas son perezosas. “A lo que se reduce esto es a la autenticación (¿cómo verifica que alguien es quien dice ser?). Ahora mismo, la norma de la industria señala que usted proporcione un poco de información personal”, dice en conversación telefónica el gerente de Inteligencia de Amenazas de Trustwave SpiderLabs, quien se presenta como Space Rogue. Para él, el problema es obvio: “Nada de eso es información secreta. Toda se consigue fácilmente por medio de Google o de otros métodos”
La falla de los equipos de seguridad de Amazon y Apple al no poder detectar (o molestarse por contemplar) de forma proactiva los ataques al estilo de Phobia es patente. (Se ha informado que ambas compañías están revaluando sus verificaciones y consecuencias.)
En la conferencia Black Hat Europa, realizada en Ámsterdam a principios de año, comprobadores de penetración describieron trabajos temporales en los cuales habían sido contratados por una empresa para identificar sus vulnerabilidades a la seguridad de la información.
En ocasiones encontraron las fallas esperadas en aplicaciones Web. Pero muy a menudo también hallaron literalmente puertas traseras sin llave a la oficina misma, además de impresiones de nombres de usuario, contraseñas u otra información confidencial indizada cuidadosamente en archiveros sin llave.
Comprobadores de penetración profesionales se habrían comido completitas a Amazon y Apple, dada la facilidad con la que se puede robar la identidad de los consumidores. “Las personas hacen esto todo el tiempo; no es un caso aislado lo que le sucedió a Honan”, dice Space Rogue, quien ayudó a fundar la destacada agencia de consultores @Stake, y quien ha trabajado antes para el ‘think tank’ (u organismo de políticas) L0pht Heavy Industries.
Usuarios flojos
Si las empresas son perezosas, también lo son los consumidores, y Honan admitió su culpabilidad en el ataque contra su identidad en línea. “Esos lapsos de seguridad son culpa mía, y en verdad me lamento por ellos”, escribió en un resumen de los ataques. No obstante, tras hacer esa declaración al principio de su artículo, Honan dedicó después 3,300 palabras a analizar lo que los demás, incluidos Amazon y Apple, hicieron mal.
Para reiterar: No hay que aprender de Honan. Él no hizo una copia de seguridad de sus dispositivos en un disco duro, a pesar de contar con el sorprendente software de respaldo “dispara y olvida” Time Machine, incluido con su laptop Apple con OS X. Además, utilizó prefijos de direcciones de correo electrónico idénticos (primer nombre, apellido) en numerosos servicios, lo que hizo que las direcciones de sus cuentas fueran fáciles de adivinar para un atacante. Y vinculó numerosas cuentas unas con otras, creando con ello un punto de falla único.
Honan es difícilmente la primera persona con conocimientos técnicos que comete este tipo de errores. El acusado de LulzSec y participante de Anonymous, Donncha O’Cearrbhail, afirmó haber comprometido el AppleID del principal investigador del crimen cibernético de Irlanda. Como el policía re-enviaba también sus correos de trabajo a una cuenta de Gmail que había configurado en su iPhone para revisarla, O’Cearrbhail pudo escuchar a escondidas una conferencia telefónica entre el FBI y agencias internacionales de procuración de justicia.
Por desgracia, cuando se trata de proteger los estilos de vida cada vez más conectados de las personas, no hay respuestas fáciles. “Las personas desean aprovechar la tecnología para facilitar sus vidas, de modo que vinculan todas estas cuentas entre sí, y al hacerlo las pone en riesgo”, señala Space Rogue. “¿Es culpa de las compañías IT, por permitir a las personas hacer esto, o es culpa de las personas? Esto es algo con lo que la sociedad tendrá que lidiar conforme pase el tiempo.”
Por fortuna, la historia aleccionadora de Honan (y el excelente análisis de cómo fue hackeada su vida, que Phobia hizo posible al contarlo, a cambio de la garantía de que Honan no lo demandara) ha puesto este problema bajo el reflector central.
Quien llege a sufrir una desgracia similar no debe esperar el trato con guantes blancos que obtuvo Honan, el cual incluyó el trabajo de Apple para recuperar los archivos que fueron eliminados de manera remota de su disco duro. “La víctima aquí es un conocido periodista de tecnología, de modo que obtuvo el nivel de soporte técnico del cual no disponemos la mayoría de nosotros”, sentencia Bruce Schneier, director IT de seguridad de BT, en una publicación en el blog. “Creo que esto será cada vez un problema más grande, y que los proveedores de servicios de Nube necesitarán soluciones mejores y más automatizadas.”
¿Qué aspecto podrían tener estas soluciones de seguridad mejoradas? Como se ha dicho, Apple y Amazon pueden comenzar al menos ofreciendo autenticación bifactorial. Dado que ambas compañías ganan mucho dinero operando tiendas de aplicaciones para smartphones y cuentan con esos canales de distribución, crear una aplicación bifactorial para teléfonos inteligentes será un próximo paso natural. O simplemente podrían usar la aplicación para smartphones de Google.
Mientras tanto, conviene someter a interrogatorio a quienes deseen llamar al servicio a clientes para restablecer una contraseña, pero que (al igual que Phobia cuando contactó a Apple) carecen de las respuestas a las preguntas de seguridad archivadas. Por ejemplo, después de permitir que un usuario solicite restablecer una contraseña por vía telefónica, ¿por qué no “hacer que la persona vuelva a llamar al día siguiente?”, propone Marco Arment, cofundador de Tumblr: “Si olvida su contraseña y las respuestas a sus preguntas de seguridad, no es irracional esperar un poco de incomodidad”, en especial si no desea ver su vida digital comprometida por un atacante con conocimientos de ingeniería social.
Fuente: Information Week
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!