jueves, noviembre 21, 2013

Cuando hackean una base de datos te hackean a ti también

Muchas veces la gente que no trabaja en seguridad me pregunta porque esa obsesión mía de estar conectado todo el tiempo y alerta de lo que está pasando, actualizando el buzón de  correo electrónico cada poco tiempo y leyendo lista infinitas de noticias en RSS que vuelven a crecer cada semana con nuevos focos de información que ofrecen nuevos datos de interés.

La respuesta no es demasiado fácil de explicar a la gente que no trabaja en este area profesional, y a sus ojos acabamos pareciendo adictos a Internet, pero lo cierto es que tiene su explicación, ya que lo que sucede en Internet te puede afectar a ti también de forma directa, especialmente cuando hay un hackeo de un sitio y se publican bases de datos de usuarios y contraseñas.

El caso de las contraseñas de Adobe

Con la liberación de las contraseñas de la base de datos de usuarios de Abode, el mundo de la seguridad en la empresa está revuelto. Por supuesto, lo primero de todo ha sido comidilla que supone que una empresa como Adobe sufra una intrusión de esta índole, dejando claro que los algoritmos de almacenamiento de passwords no eran los más adecuados para garantizar una buena estrategia de Defensa en Profundidad que debería haber terminado con "Si acceden a los hashes que no las pueda crackear fácilmente".

Figura 1: Tira de XKCD sobre cómo usar las pistas de las passwords para hacer un juego de palabras cruzadas

Esto ha llevado al cachondeo en XKCD que decía que sería divertida una implementación de un juego de palabras cruzadas usando las pistas que los propios dueños de las credenciales han dejado junto a sus hashes, y ha terminado convirtiéndose en un juego real en Internet.

El análisis de los datos filtrados

Pero lo más importante no es la comidilla que pueda generarse alrededor de un determinado incidente de seguridad, sino lo que todos los equipos de seguridad de todas las empresas han tenido que hacer para contener el impacto de esta intrusión dentro de sus propios sistemas. Aquí es donde los equipos CERT de cada una de las organizaciones deben comenzar a trabajar, para saber cuánto les puede afectar este fallo de "otros".

Figura 2: Cuentas con dominios del IBEX 35 en la base de datos filtrada de Adobe

En Security By Default se alertaba de la cantidad de direcciones de correo corporativas utilizadas para la generación de cuentas de servicio en Adobe, lo que podría llevar, por una mala gestión de sus propias contraseñas, a que un usuario hubiera utilizado la misma password en Adobe que la que utiliza en su compañía.

Si el usuario de nuestra organización hubiera sido lo suficiente descuidado como para utilizar la misma contraseña en ese servicio de Internet para el que le han robado la password que en el sistema de la empresa, entonces tendríamos un problema. Por desgracia, la reutilización de passwords es un mal endémico demasiado difícil de erradicar, tratado también hace tiempo por xkcd.

Los datos de malware y botnets exfiltradas

Los equipos de seguridad de una empresa, cuentan con las políticas de contraseñas, que obligan a no repetir contraseñas, a cumplir grados de complejidad y a cambiarlas periódicamente, así, aunque un usuario repita una contraseña en un servicio perdido de Internet, las probabilidades de que sea la misma que la que se usa en la empresa son menores.

Figura 3: Datos de cuentas filtrados de una botnet con HCStealer

Esto mismo sucede cuando en algún almacén de un malware o una botnet de los amigos del Fraude Online aparecen datos de de cuentas de usuarios de cualquier servicio de Internet con direcciones de correo electrónico pertenecientes a dominios de una empresa. Solo hay que buscar un poco siguiendo las indicaciones que aparecen en el artículo de Enrique Rando para acabar dando con cuentas corporativas junto con la contraseña de algún servicio en Internet que ha acabado siendo robado por cualquier malware.

Imagen corporativa

Aunque se pueda mitigar el impacto de la re-utilización de contraseñas, sigue siendo malo para la compañía la fuga de nombres de direcciones de correo en servicios de Internet no es una buena cosa, por lo que es necesario contar con servicios de ciberseguridad que vigilen el mundo sin fin en que se ha convertido nuestro CPD.

Además de contratar esos servicios, una de las buenas prácticas es la de prohibir por política de uso la dirección de correo electrónico para darse de alta en servicios de Internet. En muchos servicios es posible conocer qué cuentas se han utilizado para registrar servicios por medio de pequeñas fugas de información en los procesos de alta de cuenta, de login o recuperación de contraseñas.

Esto hace que como medida de seguridad los servicios de ciberseguridad o las mismas empresas puedan monitorizar determinadas cuentas de correo electrónico para saber si están cumpliendo o no las políticas de seguridad corporativas.

Protección Personal

El que no se deban utilizar las cuentas de correo electrónico de la empresa para darse de alta en servicios de Internet de uso personal es algo que no deberían prohibir tan siquiera, ya que es de sentido común. Hay que tener en cuenta que una vez que la cuenta de correo ya no sea del empleado la empresa podrá recuperar todas los servicios asociados a ella.

Para uso en servicios al margen de la empresa, lo recomendable para una persona es utilizar una cuenta de correo electrónico de registro de servicios, pero que nunca sea la cuenta de correo que actúa como piedra de clave, para que nunca caiga esa cuenta cuando salgan los logins de cualquier base de datos de usuarios y contraseñas hackeada.

Tampoco deberían utilizarse cuentas de correo corporativas asociadas a personas concretas para darse de alta en servicios, sino que deberían utilizarse cuentas especiales de registro en servicios que además estuvieran inventariadas y controladas, ya que deben perdurar - o no - más allá que la vida profesional de un determinado empleado.

En definitiva, piénsate muy mucho qué identidad vas a dar de alta en un servicio en Internet antes de hacerlo, que si lo haces muy a la ligera puedes estar poniendo en riesgo a tu empresa o a ti mismo.

Saludos Malignos!

4 comentarios:

  1. como siempre, buena entrada, saludos!

    ResponderEliminar
  2. Muy interesante este artículo, gracias por publicarlo.

    ResponderEliminar
  3. Buenas.

    Disculpa que pregunte esto, pero ¿cómo una empresa puede saber qué servicios se ha suscrito una cuenta de correo corpotariva? ¿Cómo se consigue esa información? ¿Es de dominio público? ¿Sucede con cualquier dirección de correo?

    Un saludo

    ResponderEliminar

  4. Genial Chema. A preocuparse por la seguridad en la información nuestra que poseen terceros :S

    saludos

    ResponderEliminar