miércoles, 3 de septiembre de 2014

Passwords de famosos... serán sencillos? Acá un script para averiguarlo.

Hola! Por estas fechas ya es un trending topic la noticia de las fotos de Jennifer  Lawrence y de otras actrices norteamericanas. Pues no serán las últimas, ni fueron las primeras. Sin contar a los millones de desconocidos por la farándula que les ha pasado lo mismo.

Primero lo primero, reglas doradas:
  1. Asegura tus contraseñas, hazlas basadas en frases. No hay que ser astro-físico para eso.
  2. No subas a Internet lo que no quieras que se comparta... igual que lo anterior, no hay que esperar la carta de aceptación de Yale para suponer lo obvio.
  3. Asegura bien tus dispositivos móviles. Claves basadas en frases, bloqueo remoto, etc. Falta de leer un poco, alegar ignorancia en la época de la tecnología es un absurdo.
  4. No te hagas fotos íntimas con los aparatos móviles (smartphones, tablets, etc.), mucho menos las compartas en Internet... aplica explicación de la regla 1.
  5. Cierra bien las sesiones antes de abandonar cualquier servicio o App que necesite logeo que estés utilizando. La magia se quedó en Hogwarts, tu tienes que buscar el botón de logout.
  6. No te fíes de ningún servicio on-line. DE NINGUNO! Para esta regla se necesita tener un poco de "malicia indígena" y es tan rara de encontrar como el sentido común.
Aclarado el punto anterior, vamos al fútbol. Muchos medios indican que el leak ha sido culpa de iCloud y otros indican que los usuarios usaron claves sencillas de hackear. Yo diría que, ambos.

Razones para segurar lo anterior:
  1. El lunes 01/09/2014 fue publicado en github un script (en Python) que parece haber permitido a los usuarios realizar fuerza bruta contra cuentas en iCloud, gracias a una vulnerabilidad en el servicio Find My iPhone.
  2. Los ataques por fuerza bruta resultan simples y rápidos de realizar cuando las contraseñas de las víctimas son, relativamente sencillas de analizar. Recuerden que descubrieron bastantes contraseñas, lo que supone una omisión de la regla dorada número 1 de arriba.
Resumiendo, la vulnerabilidad descubierta en dicho servicio parece haber dejado a los usuarios realizan fuerza bruta sin ningún tipo de bloqueo o de alerta (dejo acá la duda de si lo probé o no). Una vez que la contraseña ha sido obtenida mediante esta técnica, el atacante puede utilizarla para acceder a otros servicios de iCloud con total libertad.

Notas finales:
  • El script que han liberado, aplica fuerza bruta, o sea, prueba y error. Recuerda que al utilizar la herramienta, la cuenta queda bloqueada después de cinco intentos, ya que Apple se dió cuenta de la filtración.
  • Si conoces cuentas de Apple donde probar el script, date por enterado que lo más probable es que las bloquees. Básicamente estarías haciendo un ataque DoS.
  • Queda bajo tu responsabilidad usar o no el script!

Nos vemos.

Publicadas por a la/s
Etiquetas: ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)