Página principal » Internet » Lo que el Hack de Dropbox puede enseñarle sobre el estado de la seguridad web

    Lo que el Hack de Dropbox puede enseñarle sobre el estado de la seguridad web

    La semana pasada, Dropbox había estado en los titulares de un hack que vio el Direcciones de correo electrónico y contraseñas de 68 millones de cuentas de Dropbox comprometidas. Para cualquier usuario de Dropbox, esto es, por supuesto, un motivo de preocupación, especialmente si almacena algo en Dropbox, ya sea personal o para el trabajo..

    Se puede acceder a sus fotos, documentos, datos, etc. sin su conocimiento usando su dirección de correo electrónico y la contraseña perdida en ese hack en particular. La buena noticia es no ha habido ningún informe de que haya algo malicioso saliendo del hack de Dropbox, hasta aquí. Sin embargo, eso no significa que no haya nada de qué preocuparse..

    Acerca del hack de Dropbox

    En primer lugar, quitemos esto: el hack de Dropbox no sucedió la semana pasada. Más de 68 millones de direcciones de correo electrónico y contraseñas son robadas en el hack, sí, pero el mismo hack Sucedió hace 4 años, en 2012..

    En lugar de imaginar una escena de hackers de Hollywood (muchos de los cuales se piratearon terriblemente mal), el hack llegó a ser debido al error humano.

    Los piratas informáticos habían usado nombres de usuario y contraseñas de otra violación de datos para iniciar sesión en cuentas de Dropbox. Una de estas cuentas pertenecía a un empleado de Dropbox, que habían usado la misma contraseña tanto para el sitio violado como para su cuenta de Dropbox.

    Casualmente, el mismo empleado tenía una carpeta llena de Documentos que contienen las direcciones de correo electrónico de 68,680,741 cuentas de Dropbox. tanto como contraseñas de hash. Juego, set y partido..

    1. Dropbox no estaba solo; LinkedIn fue hackeado de manera similar

    En mayo de 2016, LinkedIn anunció algo similar al hack de Dropbox de la semana pasada. Imploraron a los usuarios de LinkedIn que cambien sus contraseñas "como una práctica recomendada" después de conocer el robo de un conjunto de correos electrónicos y contraseñas que ocurrieron (lo adivinó) en 2012.

    Si hizo clic en ese enlace en el párrafo anterior, no encontrará ninguna mención de cuán grande fue la pérdida de datos, aunque el sentido de urgencia es aparente con el actualizaciones frecuentes a esa pagina en particular.

    Lo que pasó fue que más de 117 millones Las cuentas de LinkedIn se vieron afectadas, aunque es posible que el número real podría ser tan alto como 167 millones.

    2. ¿Por qué están resurgiendo las contraseñas hackeadas ahora??

    Los conjuntos de datos para Dropbox y LinkedIn son reportados siendo negociado en la web oscura ahora (o lo fueron, hasta hace una semana).

    El conjunto de LinkedIn estuvo inicialmente a la venta por $ 2,200, mientras que el de Dropbox costará un poco más de $ 1,200, ambos El valor de estos conjuntos de datos disminuye cuanto más tiempo están por ahí, Como una vez que la mayoría de los usuarios han cambiado las contraseñas, los conjuntos de datos tienen poco o ningún valor..

    Pero ¿por qué ahora? ¿Cuatro años después del hack? Lo más cercano que obtuve a una respuesta proviene de Troy Hunt (él es mencionado bastante en este post, y en casi todas partes) quien escribe mucho sobre la ciberseguridad. Solo citaré lo que él tiene que decir:

    Inevitablemente hay un catalizador, pero podría ser muchas cosas diferentes; el atacante finalmente decidió monetizarlo, ellos mismos fueron atacados y perdieron los datos o finalmente los cambiaron por otra cosa de valor.

    3. Hacks y volcados de datos ocurren con más frecuencia de lo que a todos les importa admitir

    Mientras leía acerca de este hack de Dropbox, encontré este directorio de bases de datos, Vigilante.pw, un sitio que ofrece información sobre violaciones de datos. Al momento de escribir este artículo, la base de datos completa contiene información de 1470 infracciones que ascienden a más de 2 mil millones de cuentas comprometidas.

    El más grande de todos es el hackeo de Myspace en 2013. Ese hackeo afectó a más de 350 millones de cuentas.

    En el mismo directorio, los 68 millones de entradas de Dropbox es el noveno más grande en el historial de volcados de datos conocidos, hasta ahora; LinkedIn es el quinto más grande, aunque si el número se corrigiera a 167 millones, lo convertiría en el segundo volcado de datos más grande en el directorio..

    (Tenga en cuenta que las fechas de los volcados de datos de Dropbox y LinkedIn aparecen como 2012, en lugar de 2016).

    Sin embargo, no vale la pena que el infame hack de Ashley Madison, así como el hack de RockYou que cambió el juego, fue no Incluido en el directorio. Entonces, ¿qué está pasando realmente por ahí? es más grande que lo que ves en el sitio.

    haveibeenpwned.com es también otra fuente que puede utilizar para consultar el La gravedad de los hackeos y volcados de datos que afectan a los servicios y herramientas en línea..

    El sitio es administrado por Troy Hunt, un experto en seguridad que escribe regularmente sobre violaciones de datos y problemas de seguridad, incluso sobre este reciente ataque a Dropbox. Nota: el sitio también viene con una herramienta de notificación gratuita que le avisará si alguno de sus correos electrónicos ha sido comprometido.

    Podrá encontrar una lista de sitios empeñados, cuyos datos se han consolidado en el sitio. Aquí está su lista de las 10 principales violaciones (solo mire todos esos números). Encuentra la lista completa aquí.

    ¿Aún conmigo? Se pone mucho peor.

    4. Con cada violación de datos, los piratas informáticos obtienen mejores contraseñas para descifrar

    Este post en Ars Technica por Jeremi Gosney, un cracker profesional de contraseñas vale la pena leerlo. Lo que falta es que Cuantas más violaciones de datos se produzcan, más fácil será para los piratas informáticos futuro contraseñas.

    El hack RockYou ocurrió en 2009: se filtraron 32 millones de contraseñas en texto plano y los crackers de contraseñas obtuvieron una visión interna de cómo los usuarios crean y usan contraseñas..

    Ese fue el hack que mostró prueba de Qué poco pensamos en elegir nuestras contraseñas. p.ej. 123456, te amo, Contraseña. Pero mas importante:

    La ruptura de RockYou revolucionó el craqueo de contraseñas.

    Obtención de 32 millones de contraseñas no dañadas, sin sal, sin protección mejorado el juego de crackers de contraseñas profesionales porque aunque no fueron los que llevaron a cabo la violación de datos, ahora están más preparados que nunca para descifrar los hashes de contraseña una vez que se produce un volcado de datos. Las contraseñas obtenidas del hack de RockYou actualizaron su lista de ataques de diccionario con las contraseñas reales que las personas usan en la vida real, lo que contribuye a un craqueo significativo, más rápido y más efectivo..

    Brechas de datos posteriores vendría: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - y con alguna actualización de hardware, fue posible que el autor (después de asociarse con algunos equipos relevantes para la industria) se rindiera 173.7 millones de contraseñas de LinkedIn en un mero 6 días (eso es 98% del conjunto completo de datos). Tanto para la seguridad, eh?

    5. Hashing contraseñas - ¿Ayudan?

    Hay una tendencia para un sitio que ha experimentado una violación de datos para que aparezcan las palabras Contraseñas hash, contraseñas saladas, algoritmos hash y otros términos similares, como para informarle que sus contraseñas son cifrado, y ergo tu cuenta es segura (Uf). Bien…

    Si quieres entender que hashing y salazón Es decir, cómo funcionan y cómo se rompen, este es un buen artículo para leer..

    A riesgo de simplificar los conceptos, aquí va:

    • Algoritmos hash Cambia una contraseña para protegerla. Un algoritmo oculta la contraseña para que no sea fácilmente reconocible por un tercero. Sin embargo, los hashes se pueden romper con ataques de diccionario (que es donde entra el punto 6) y ataques de fuerza bruta.
    • Salazón agrega una cadena aleatoria a una contraseña antes de que sea hash. De esta manera, incluso si la misma contraseña se divide dos veces, el resultado será diferente debido a la sal.

    Volviendo al hack de Dropbox, La mitad de las contraseñas están bajo el hash SHA-1 (sales no incluidas, lo que hace que sean imposibles de romper) mientras que la otra mitad está bajo el hash bcrypt.

    Esta mezcla indica una transición de SHA-1 a bcrypt, Se adelantó a su tiempo, ya que SHA1 está en medio de ser eliminado para 2017, para ser reemplazado por SHA2 o SHA3..

    Dicho esto, es importante comprender que "el hashing es una póliza de seguro" que simplemente ralentiza a los piratas informáticos y los crackers. Incluso si estas protecciones adicionales hacen que las contraseñas sean "difíciles de decodificar", no significa que sean imposibles de romper.

    En el mejor de los casos, el hashing y la salazón solo. comprar tiempo a los usuarios, lo suficiente para cambiar sus contraseñas para evitar la toma de control de su cuenta.

    6. Las consecuencias de los hacks (violaciones de datos)

    (1) Los hacks podrían ser relativamente benignos como el de Dropbox o tener resultados devastadores como la violación de datos de Ashley Madison.

    En este último, se filtraron 25 GB de datos, incluidas las direcciones reales de las casas, las transacciones con tarjeta de crédito y el historial de búsqueda de sus usuarios. Debido a la naturaleza del sitio web, hubo muchos casos de vergüenza pública, chantaje, extorsión, divorcios e incluso suicidios..

    El hack también expuso la creación de cuentas falsas y el uso de chatbots para atraer a los clientes a que se registren para obtener una cuenta..

    (2) Hacks también Mostrar nuestra indiferencia en la selección de contraseñas. - eso es hasta que ha ocurrido una brecha.

    Hemos establecido esto al discutir la ruptura de RockYou en # 4. Si tiene muchos datos importantes flotando en la Web, es una buena idea utilizar una aplicación de gestión de contraseña. Y habilitar la autenticación de dos pasos. Y Nunca reutilice contraseñas que hayan estado en una violación de datos. Y asegúrate de que otras personas con las que trabajas Adoptar las mismas medidas de seguridad..

    Si desea ir un paso más allá, suscríbase a una herramienta de notificación que le avise cuando su correo electrónico está involucrado en una violación de datos..

    (3) Hacks muestran un sitio Indiferencia para proteger las contraseñas de los usuarios. y datos.

    En el caso de Dropbox vs LinkedIn, puedes ver que Dropbox Tomé mejores medidas, más calculadas para minimizar el daño. de una violación de datos como esta.

    Dropbox utilizó mejores métodos de hashing y salado, envió correos electrónicos a los usuarios solicitándoles que cambien sus contraseñas lo antes posible, ofrece autenticación de dos factores y Universal 2nd Factor (U2F) que utiliza una clave de seguridad, e implementó cambios en las políticas del personal (empleados de Dropbox ahora use 1Password para administrar sus contraseñas, las contraseñas de cuentas corporativas ya no se pueden reutilizar, y todos los sistemas internos están en 2FA).

    Para un desglose de lo que hizo LinkedIn, este artículo es quizás una lectura más completa y adecuada..

    Terminando

    Para ser sincero, aprender sobre todo esto solo por estudiar el hack de Dropbox ha sido una experiencia sorprendente y aterradora. Nosotros, la población en general., subestima la necesidad de contraseñas únicas y seguras incluso después de que se le haya dicho varias veces que nunca comparta o repita contraseñas, o use palabras del diccionario en ellas.

    Si sus datos se vieron afectados por el pirateo de Dropbox, tome las precauciones necesarias para proteger su información personal. Ponga un poco de esfuerzo en sus contraseñas o obtener un administrador de contraseñas. Ah, y coloque cinta adhesiva sobre la cámara de su computadora portátil o cámara web cuando no esté en uso. Nunca puedes ser demasiado cuidadoso.

    (Foto de portada a través de GigaOm)