Lo que el hack de Dropbox puede enseñarte sobre el estado de la seguridad web

En la última semana, Dropbox había estado ocupando titulares en un hack que vio comprometidas las direcciones de correo electrónico y las contraseñas de 68 millones de cuentas de Dropbox . Para cualquier usuario de Dropbox, este es un motivo de preocupación, especialmente si almacena algo en Dropbox, ya sea personal o por trabajo.

Se puede acceder a sus fotos, documentos, datos, etc. sin su conocimiento, utilizando su dirección de correo electrónico y contraseña perdidos en ese truco en particular. La buena noticia es que hasta el momento no ha habido informes de nada malicioso que salga del truco de Dropbox . Sin embargo, eso no significa que no haya nada de qué preocuparse.

Acerca del truco de Dropbox

Antes que nada, eliminemos esto: el truco de Dropbox no ocurrió la semana pasada. Más de 68 millones de direcciones de correo electrónico y contraseñas son robadas, sí, pero el truco en sí ocurrió hace 4 años, en 2012.

En lugar de imaginar una escena de hackers de Hollywood (muchos de los cuales piratearon terriblemente mal), el truco se debió a un error humano .

Los hackers usaron nombres de usuario y contraseñas de otra violación de datos para iniciar sesión en cuentas de Dropbox. Una de estas cuentas pertenecía a un empleado de Dropbox, que había usado la misma contraseña tanto para el sitio violado como para su cuenta de Dropbox.

Casualmente, el mismo empleado tenía una carpeta llena de documentos que contenían las direcciones de correo electrónico de 68.680.741 cuentas de Dropbox, así como contraseñas hash . Juego, set y partido.

1. Dropbox no estaba solo; LinkedIn fue pirateado de manera similar

En mayo de 2016, LinkedIn anunció algo similar al hack de Dropbox de la semana pasada. Implicaron a los usuarios de LinkedIn que cambien sus contraseñas "como una cuestión de buenas prácticas" después de darse cuenta del robo de un conjunto de correos electrónicos y contraseñas que habían ocurrido, lo adivinaron, en 2012.

Si hizo clic en ese enlace en el párrafo anterior, no encontrará ninguna mención de cuán grande fue la pérdida de datos a pesar de que el sentido de urgencia es evidente con las frecuentes actualizaciones de esa página en particular.

Lo que sucedió fue que más de 117 millones de cuentas de LinkedIn se vieron afectadas, aunque es posible que el número real sea ​​de 167 millones .

2. ¿Por qué las contraseñas pirateadas vuelven a allanar ahora?

Según los informes, los conjuntos de datos de Dropbox y LinkedIn ya se comercializan en la web oscura (o lo fueron, hasta hace una semana).

El set de LinkedIn estuvo inicialmente a la venta por $ 2, 200 mientras que Dropbox cuesta poco más de $ 1, 200. Tanto el valor de estos conjuntos de datos disminuyen cuanto más tiempo pasan, ya que una vez que la mayoría de los usuarios han cambiado las contraseñas, los conjuntos de datos son poco o ningún valor.

Pero, ¿por qué ahora? Cuatro años después del hack? Lo más cerca que llegué a una respuesta viene de Troy Hunt (lo mencionan bastante en este post, y prácticamente en todos lados) que escribe mucho sobre ciberseguridad. Voy a citar lo que tiene que decir:

Inevitablemente hay un catalizador, pero podría haber muchas cosas diferentes; el atacante finalmente decide monetizarlo, ellos mismos son atacados y pierden la información o finalmente la cambian por otra cosa de valor.

3. Los hacks y los volcados de datos suceden con más frecuencia de lo que todos quieren admitir

Mientras leía sobre este truco de Dropbox, me encontré con este directorio de base de datos, Vigilante.pw, un sitio que presenta información de infracciones de datos. En el momento de escribir esto, la base de datos completa contiene información de 1470 incumplimientos que ascienden a más de 2 mil millones de cuentas comprometidas .

El más grande del lote es el truco de Myspace en 2013. Ese hack afectó a más de 350 millones de cuentas .

En el mismo directorio, las 68 millones de entradas de Dropbox es la novena más grande en la historia de los vertederos de datos conocidos, hasta el momento; LinkedIn es la quinta más grande, aunque si se corrigiera el número a 167 millones, eso lo convertiría en el segundo volcado de datos más grande en el directorio.

(Tenga en cuenta que las fechas de los depósitos de datos para Dropbox y LinkedIn se enumeran como 2012, en lugar de 2016).

Sin embargo, no vale la pena que el infame hackeo de Ashley Madison, así como el hackeo de RockYou, que cambió el juego, no se incluyeron en el directorio. Entonces, lo que está sucediendo realmente es más grande que lo que ves en el sitio.

haveibeenpwned.com es también otra fuente que puede utilizar para analizar la gravedad de los hacks y volcados de datos que afectan las herramientas y los servicios en línea .

El sitio está dirigido por Troy Hunt, un experto en seguridad que escribe regularmente sobre infracciones de datos y problemas de seguridad, incluido el reciente hack de Dropbox. Nota: el sitio también viene con una herramienta gratuita de notificación que lo alertará si alguno de sus correos electrónicos se ha visto comprometido.

Podrá encontrar una lista de sitios empeñados, cuyos datos se han consolidado en el sitio. Aquí está su lista de las 10 infracciones principales (solo mire todos esos números). Encuentra la lista completa aquí.

4. Con cada violación de datos, los hackers mejoran al descifrar contraseñas

Vale la pena leer esta publicación sobre Ars Technica de Jeremi Gosney, un cracker de contraseñas profesional. A falta de esto, cuantas más brechas de datos ocurran, más fácil será para los hackers descifrar futuras contraseñas.

El truco de RockYou ocurrió en 2009: se filtraron 32 millones de contraseñas en texto plano y los crackers de contraseñas tuvieron una idea de cómo los usuarios crean y usan contraseñas.

Ese fue el truco que demostró la poca atención que le damos a la selección de nuestras contraseñas, por ejemplo, 123456, iloveyou, Contraseña . Pero mas importante:

La brecha de RockYou revolucionó el crackeo de contraseñas.

Obtener 32 millones de contraseñas sin salvedades, sin saltos, aumentó el juego para crackers profesionales de contraseñas porque aunque no fueron ellos quienes llevaron a cabo la violación de datos, ahora están más preparados que nunca para descifrar contraseñas una vez que se produce un volcado de datos. Las contraseñas obtenidas del hack de RockYou actualizaron su lista de ataques de diccionario con contraseñas reales que las personas usan en la vida real, contribuyendo a un agrietamiento significativo, más rápido y más efectivo.

Las siguientes filtraciones de datos vendrían: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial, y con algunas actualizaciones de hardware, fue posible para el autor (después de asociarse con algunos equipos relevantes para la industria) crackear hasta 173.7 millones de contraseñas de LinkedIn en solo 6 días (es decir, el 98% del conjunto completo de datos). Demasiado para la seguridad, ¿eh?

5. Contraseñas hash: ¿ayudan?

Hay una tendencia para un sitio que ha experimentado una violación de datos para mostrar las palabras contraseñas hash, contraseñas saladas, algoritmos hash y otros términos similares, como para decirle que sus contraseñas están encriptadas, y ergo su cuenta es segura ( phew ) Bien…

Si quieres entender qué es el hashing y la salazón, cómo funcionan y cómo se rajuran, este es un buen artículo para leer.

A riesgo de simplificar los conceptos, aquí va:

• Los algoritmos hash cambian una contraseña para protegerlo. Un algoritmo oscurece la contraseña para que no sea fácilmente reconocible por un tercero. Sin embargo, los hashes se pueden descifrar con ataques de diccionario (que es donde entra el punto 6) y ataques de fuerza bruta.
• Salting agrega una cadena aleatoria a una contraseña antes de que sea hash. De esta manera, incluso si la misma contraseña es hash dos veces, el resultado será diferente debido a la sal.

Volviendo al truco de Dropbox, la mitad de las contraseñas están bajo el hash SHA-1 (sales no incluidas, lo que las hace imposibles de descifrar) mientras que la otra mitad están bajo el hash bcrypt.

Esta combinación indica una transición de SHA-1 a bcrypt, que fue un adelanto de su tiempo, ya que SHA1 está en fase de eliminación en 2017, para ser reemplazado por SHA2 o SHA3.

Dicho esto, es importante entender que "hashing es una póliza de seguro" que simplemente ralentiza a los hackers y crackers. Incluso si esta protección adicional hace que las contraseñas sean "difíciles de decodificar", no significa que sean imposibles de descifrar .

En el mejor de los casos, el hash y el salado solo les dan tiempo a los usuarios, lo suficiente como para cambiar sus contraseñas y evitar que se tomen sus cuentas.

6. Las secuelas de los pirateos (violaciones de datos)

(1) Los hacks pueden ser relativamente benignos, como el hack de Dropbox, o tener resultados devastadores como la violación de datos de Ashley Madison.

En este último, se filtraron 25 GB de datos, incluidas direcciones reales, transacciones con tarjetas de crédito y el historial de búsqueda de sus usuarios. Debido a la naturaleza del sitio web, hubo muchos casos de vergüenza pública, chantaje, extorsión, divorcios e incluso suicidios.

El truco también expuso la creación de cuentas falsas y el uso de chatbots para atraer a los clientes que pagan para registrarse en una cuenta.

(2) Los hacks también muestran nuestra indiferencia al seleccionar las contraseñas, es decir, hasta que se produce una infracción.

Hemos establecido esto cuando discutimos la brecha RockYou en el # 4. Si tiene muchos datos importantes flotando en la Web, es una buena idea usar una aplicación de administración de contraseñas . Y habilite la autenticación en dos pasos . Y nunca reutilice las contraseñas que han estado en una violación de datos . Y asegúrese de que otras personas con las que trabaja adopten las mismas medidas de seguridad .

Si desea ir un paso más allá, regístrese para obtener una herramienta de notificación que le avisará cuando su correo electrónico esté involucrado en una violación de datos.

(3) Los hacks muestran la indiferencia de un sitio para proteger las contraseñas y los datos de los usuarios .

En el caso de Dropbox vs LinkedIn, puede ver que Dropbox tomó medidas mejores y más calculadas para minimizar el daño de una violación de datos como esta.

Dropbox utilizó mejores métodos de hash y salazón, envió correos electrónicos a los usuarios solicitándoles cambiar sus contraseñas lo antes posible, ofrece autenticación de dos factores y Universal 2nd Factor (U2F) que utiliza una clave de seguridad e hizo cambios en la política del personal (empleados de Dropbox ahora use 1Password para administrar sus contraseñas, las contraseñas de cuentas corporativas ya no se pueden reutilizar, y todos los sistemas internos están en 2FA).

Para un desglose de lo que hizo LinkedIn, este artículo es quizás una lectura más completa y adecuada.

Terminando

Para ser sincero, aprender sobre todo esto simplemente estudiando el truco de Dropbox ha sido una experiencia reveladora y aterradora. Nosotros, la población en general, subestimamos seriamente la necesidad de contraseñas únicas y sólidas, incluso después de que nos dijeron varias veces que nunca debemos compartir o repetir contraseñas, ni usar palabras del diccionario en ellas.

Si sus datos se vieron afectados por el truco de Dropbox, tome las precauciones necesarias para proteger su información personal. Pon algo de esfuerzo en tus contraseñas u obtén un administrador de contraseñas . Ah, y cinta adhesiva sobre su cámara portátil o cámara web cuando no esté en uso. Nunca puedes ser muy cuidadoso.

(Foto de portada a través de GigaOm)

5 aplicaciones gratuitas de Android para controlar tu computadora a distancia: lo mejor de

¿Deseas acceder a tu PC de forma remota o acceder de forma remota a tu Mac desde otro dispositivo? Las aplicaciones de control remoto ayudan a acceder de forma remota y controlar de forma segura su escritorio, un dispositivo móvil o un servidor. Estas aplicaciones son útiles en diversas situaciones en las que no puede acceder a su sistema en forma personal.El

(Consejos de tecnología y diseño)

Oficinas de Google en todo el mundo [Fotos]

Antes de que los gigantes tecnológicos comenzaran a ofrecer ventajas para levantar las cejas (como pagar los costos de las empleadas para congelar sus huevos), el gran atractivo de trabajar en lugares como Google era el salario, las instalaciones y sus impresionantes oficinas. Al ser una parte importante de la Web durante 16 años, Google ha acumulado una gran reputación por ser sus oficinas el lugar de trabajo ideal.Lo

(Consejos de tecnología y diseño)