jueves, 15 de septiembre de 2011
LAS PEORES PRÁCTICAS EN CONTRASEÑAS
Basado en Artículo de Imperva “Las Peores Prácticas en Contraseñas : Latinoamérica”
Diego Samuel Espitia Montenegro <dsespitia@gmail.com>
Agosto de 2010
Resumen
Debido a una vulnerabilidad detectada y explotada por un criminal electrónico que uso la SQL injection sobre el sitio rockyou.com, se lograron extraer 32 millones de contraseñas, brindando un volumen de información que nunca antes se había tenido y que permite un análisis detallado sobre las características que los usuarios más usan en las contraseñas, en Latinoamérica.
Teniendo en cuenta que nunca se había tenido tal cantidad de contraseñas del mundo
real, fue una oportunidad que el Centro de Defensa de Aplicaciones (ADC) de la empresa Imperva no pudo dejar pasar y aprovechó para realizar un análisis a profundidad de las características que los usuarios usan para crear sus contraseñas, que son en algunos casos el único medio de protección para salvaguardar datos muy privados.
Usando como muestra las contraseñas que se encontraron en español y las combinaciones alfanuméricas usadas en todo el mundo, se tiene una base de 1.830.196 contraseñas que se pueden catalogar como hispanoparlantes y son la base sobre la cual se realizó el estudio.
Los datos encontrados no son nada favorables para los usuarios desde el punto de vista de la seguridad, ya que las características de las contraseñas analizadas no provee un buen grado de seguridad en contra de piratas informáticos, que con unos conocimientos no muy altos puedan acceder a la información que estas protegen. Esto se puede deducir a partir de un análisis de lo encontrado, donde la mayoría de las contraseñas son muy cortas y de contenidos muy simples, permitiendo que con un ataque sencillo se encuentren las contraseñas del usuario.
Los principales problemas que se han detectado es el mal uso de las contraseñas por parte de los usuarios, ya que no tienen en cuenta que en la actualidad son la puerta de
acceso a la mayoría de los servicios informáticos que ellos usan, tales como correo electrónico, sistemas operativos, mensajería instantánea, redes sociales y demás.
Este mal uso hace que para los criminales informáticos sea de gran utilidad obtener la
mayor cantidad de contraseñas de todo este tipo de sistemas, basándonos en un estudio
realizado por los laboratorios de ESET1 en latinoamericana se encontró que el 15% de
los usuarios nunca modifica su contraseña y más del 60% de los consultados cambia la
contraseña menos de una vez al año.
(Figura1)
Figura 1. Cambia usted periódicamente sus contraseñas
Teniendo en cuenta esta información de ESET y los datos entregados en el informe
de Imperva, podemos ver cómo este comportamiento no ha variado en muchos
años, lo que ha sido demostrado en múltiples estudios de Unix, de tech herald, hotmail,
entre otros .
Este comportamiento es inducido por una mala gestión por parte de la mayoría de administradores, pues no se aplican los controles y restricciones que las nuevas
tecnologías permiten para el control de contraseñas, tales como políticas de
contraseñas seguras, caducidad de las contraseñas, detección activa de ataques a
contraseñas, entre otras que analizaremos más adelante.
Esta permisividad de los administradores permite que los usuarios usen contraseñas
simples por facilidad y desconocimiento de los riesgos que implica, no sólo para sus
datos personales sino para las organizaciones a las que pertenecen.
Análisis de las Contraseñas en Español
Revisando los resultados del análisis sobre las contraseñas en español se pueden
evidenciar y catalogar las características de su composición en unas categorías muy
específicas, donde la más predominante es el uso de nombres ocupando el 48% de las
preferencias de los usuarios, con una leve tendencia en preferir los nombres femeninos
a los nombres masculinos.
Esta tendencia es muy típica en países latinoamericanos donde los principales
consumidores de servicios de informáticos son los hombres y para este tipo de usuarios
es más sencillo recordar datos como el nombre de su madre, esposa o hija, o en su
defecto la forma cariñosa en que llama a alguna de estas mujeres, generando la
preferencia de nombres femeninos en las contraseñas.
Las categorías principales en las que se pueden caracterizar las contraseñas usadas
en el 1'8 millones de contraseñas encontradas en español son las siguientes:
· Nombre de Personas (48%)
· Secuencias de Teclado (23%)
· Cosas Favoritas (17%)
· Términos Cariñosos (8%)
· Términos Computacionales (2%)
· Términos Religiosos (2%)
Como se puede apreciar de forma gráfica en la Figura 2, mostrada a continuación:
Figura 2. Categorías de contraseñas Latinoamericanas
En las secuencias del teclado se mantiene la tendencia mundial de uso de solo números en las contraseñas siendo la más usada “123456” y el “abc123” que son las más
comunes en cualquier idioma.
Siguiendo con las características propias de los países latinoamericanos, una de las cosas favoritas más usadas como contraseñas son los nombres de los equipos de fútbol, tales como América, Arsenal, Barcelona, entre otros. Las otras cosas favoritas más usadas son superhéroes y marcas de productos.
En la cuarta categoría se encuentran los términos cariñosos donde se mantiene la
tendencia del género femenino y le siguen las palabras de amor compuestas, tales como
teamo, tequiero, y miamor.
Las últimas categorías son términos de informática y términos religiosos, donde se
refleja el uso de los términos más comunes de cada una de éstas tales como contraseña,
hotmail, jesus, angel, entre otros. De esta manera se puede ver cómo las culturas y
creencias de los pueblos latinoamericanos son bien definidas y muy arraigadas en las
personas.
Comparación con las Recomendaciones
Ya tomando el total de 32 millones de contraseñas el Centro de Defensa de las
Aplicaciones (ADC) usó los parámetros de seguridad entregados por la NASA en la
sección 8 de la comunicación técnica SP800-472 de Noviembre de 2007, donde se marcan
cuatro características que como mínimo todas las contraseñas deben cumplir.
La primera recomendación indica que la longitud mínima de la contraseña es de 8
caracteres, lo cual sólo lo cumple el 49.8% de las contraseñas analizadas en el estudio.
Ésto comprueba que restricciones como la de rockyou.com de un mínimo de 5
caracteres en la contraseña permite que los usuarios cometan errores que ponen en
riesgo la seguridad de sus datos.
La segunda recomendación indica cómo debe ser la composición de la contraseña, la
cual debe tener letras mayúsculas, minúsculas, números y caracteres especiales.
El análisis sobre esta recomendación entregó datos alarmantes, demostrando que casi en
la totalidad de las contraseñas usan un conjunto bastante limitados de
combinaciones entre los tipos de caracteres, con un 41.69% que solo usa letras
minúsculas y solo el 3.81% usan caracteres especiales.
La tercera recomendación indica que el contenido de las contraseñas no se debe
encontrar directamente en ningún diccionario, ni ser una palabra común, ni
incluir fragmentos de éstas o datos personales del usuario, más del 20% de las
contraseñas utilizadas no cumplían esta recomendación.
La cuarta recomendación de la NASA no pudo ser analizada en este estudio pues
indica que la frecuencia con la que se debe modificar la contraseña es de mínimo cada
90 días. Pero en la figura 1 se muestra, gracias al análisis realizado por ESET, que
ésta no se cumple en Latinoamérica.
Estas comparaciones muestran un crítico panorama sobre el cumplimiento de las
buenas prácticas recomendadas por la industria, demostrando la falta de
conocimiento por parte de los usuarios y la falta de control por parte de los
administradores.
En el análisis realizado por el Centro de Defensa de las Aplicaciones usaron una lista
de las 5000 contraseñas más usuales en las listas de ataque por diccionario usadas por
los piratas informáticos para hacer una laboratorio de un ataque simulado contra
estos 32 millones de contraseñas, descubriendo que con solo esta lista de 5000
se habrían comprometido la seguridad del 20% de las cuentas y en menos de 17
minutos se tendría el control de 1000 cuentas.
En la figura 3 se ve cual es el porcentaje de cuentas comprometidas contra el número de
contraseñas probadas, y se puede apreciar la efectividad del ataque es exponencial, donde una vez se va aumentando la cantidad de contraseñas probadas va disminuyendo el número de cuentas comprometidas y donde en el primer tercio de la muestra se
compromete la mayor cantidad.
Figura 3. Resultados de ataque por diccionario
Conclusiones
Los administradores de los diferentes sistemas deben hacer cumplir las políticas de
contraseñas seguras, evitando que los usuarios tengan la capacidad de decidir
características que no cumplan con las buenas prácticas establecidas por la
industria.
Por medio de los avances en la tecnologías de seguridad, existen diversas herramientas
que, complementadas con una correcta concienciación y educación a los usuarios
permiten incrementar la confiabilidad de las contraseñas, no solo en su composición sino
en su uso y transmisión.
Los usuarios deben ser consientes de los riesgos que se generan para sus datos
personales y para las organizaciones a las que pertenecen, cuando el único sistema que
puede proteger sus datos de intrusiones no permitidas es débil y no cumple con unos
niveles mínimos de seguridad.
El no cumplimiento de los parámetros de seguridad de las contraseñas en su
composición y transmisión, facilita a los piratas informáticos comprometer un
número muy alto de cuentas con unos ataques relativamente sencillos.
Las 10 vulnerabilidades más comunes en Windows
Autor: Kevin Beaver, CISSP
Fuente: Search Enterprise Desktop
http://searchenterprisedesktop.techtarget.com/tip/0,289483,sid192_gci1331487,00.html
Fecha Publicación: 27/09/2008
Todos sabemos que los sistemas basados en Windows tienen
potencialmente muchos riesgos de seguridad. Pero, ¿son vulnerables sus
sistemas?. Probablemente sí. Cualquier red está llena de vulnerabilidades de
Windows. Es una ley natural y un efecto colateral de hacer negocios con redes
de computadoras. Pero con los miles de vulnerabilidades que hay por allí
sueltas, ¿en donde necesita enfocar realmente sus esfuerzos? Bien, permítame
compartir con Ud. las debilidades de Windows que más estoy viendo en mi
trabajo, cosas que le pueden acarrear problemas si las ignora.
1. Permisos de archivos y carpetas compartidas que
permiten todo a todos
Esta es fácilmente la vulnerabilidad más grande que estoy viendo en los
sistemas Windows, sin importar que tipo de sistema o tipo de Windows se
trate. Los usuarios que crean recursos compartidos para poner a disposición
sus archivos locales a través de la red son los culpables típicos. A veces son
administradores descuidados; otras son honestamente errores.
Desafortunadamente, demasiado a menudo se le da acceso total al
“grupo Todos” en todos y cada uno de los archivos de un sistema. En
consecuencia, todo lo que queda es que un atacante interno busque palabras
clave sensibles en cada archivo .pdf, .xls, .doc y otros formatos usando una
herramienta de búsqueda como Effective File Search o FileLocator Pro. Las
posibilidades son – cerca del 100% de las veces – que el atacante se cruce con
información sensible (nros de seguro social, de tarjetas de crédito, lo que ud.
imagine) a la cual no debería tener acceso. En el mejor de los casos, esto
resultará en un robo de identidad, en el peor, esto se convierte en una seria
brecha en la seguridad que sale en los titulares de los diarios.
2. Falta de protección contra malware
Ya lo sé, ya lo sé, esto es algo realmente básico pero lo estoy viendo
ahora más que nunca antes. He visto software antivirus y antispyware
instalado y deshabilitado, y no instalado y nadie que estuviera conciente del
problema.
3. Falta de cortafuegos personal
Este es otro control básico de seguridad que sigue sin estar habilitado
en muchos sistemas Windows. Aún el Cortafuegos básico integrado de
Windows (gratuito) puede impedir conexiones a los recursos compartidos IPC$
y ADMIN$ que a menudo están abiertos y proveen información y acceso que no
debería divulgarse. Los cortafuegos personales también pueden impedir
Vulnerabilidades comunes en Windows www.segu-info.com.ar
2 de 3
infiltraciones de malware, intrusiones inalámbricas y otras. No se me ocurre
ninguna buena razón para no usar un firewall personal en toda PC y en la
mayoría de los servidores.
4. Cifrado de disco débil o inexistente
La maquinaria de marketing de cifrado de discos está hacienda su
magia, pero sigo viendo que la mayoría de las organizaciones (grandes y
pequeñas) no usan cifrado. Soy de la creencia que el cifrado completo del
disco es el único camino. Si una máquina portátil o de escritorio es robada o se
pierde, la única forma de impedir que alguien quiebre la contraseña de
Windows y tenga acceso al disco rígido es cifrar todo usando frases de
contraseña (passphrases) razonables. Depender del Sistema de Archivos
Cifrados de Windows (EFS) u otro cifrado de archivo/carpeta/volumen pone
demasiado control de la seguridad en manos del usuario y es quedarse a la
espera que suceda una brecha.
5. Sin estándares mínimos de seguridad
Los usuarios con redes inalámbricas, necesitan cumplir políticas de
seguridad de la compañía en sus hogares, tales como requerir SSL para el
Acceso Web a Outlook (OWA), una conexión VPN PPTP para la conectividad de
red remota, o WPA-PSK con una frase de contraseña fuerte para ayudar que
todo esté seguro y sólido. Se puede forzar esto sin necesidad de un IDS/IPS
inalámbrico instalado en la PC (componente típico de sistemas inalámbricos de
administración empresarial) o un sistema de Control de Acceso a la Red (NAC)
bien configurado. No obstante, hágalo parte de su política e impóngalo cuando
sea posible.
6. Parches faltantes en Windows y en software de
terceros
Tales como VNC, RealPlayer y otros. Este es un gran problema que a
menudo es pasado por alto. No digo que deba buscar y encontrar ese tipo de
agujeros, solo señalo que los parches que no se aplican. Usando Metasploit o
sus alternativas comerciales CANVAS y CORE IMPACT, muchos parches
olvidados pueden ser explotados por un pícaro atacante interno o por un
atacante externo que se metió en su red de alguna forma. ¿Acceso remoto
para todos?
7. Configuración débil de políticas de seguridad de
Windows
Algunos ejemplos de esto incluyen los registros de auditoria no
configurados para eventos fallidos; salvapantallas sin protección de
contraseña; no requerir Ctrl+Alt+Del para ingresar; no requerir contraseñas
complejas; y mostrar el ultimo usuario que ingresó al sistema. Las políticas
para controlar esta cosas son fáciles de implementar localmente en cada
sistema Windows en una instalación pequeña que no utilice Directorio Activo.
Es aún más sencillo para compañías grandes mediante Políticas de Grupo de
Directorio Activo (GPO).
8. Sistemas ignorados para correr servicios desconocidos
y no administrados, tales como IIS y SQL Server Express
A menudo estos son sistemas Windows heredados que no están en la
visión de la seguridad y conformidad de la compañía. A veces, ni siquiera son
soportados por los sistemas de seguridad de terceros y entonces son dejados
de lado. Estos sistemas (típicamente Windows 98, NT y 2000) a menudo están
des-asegurados y no emparchados y están a la espera de ser explotados.
Inevitablemente también habrán algún sistema usado para entrenamiento o
pruebas y olvidado por todos. Pero sistemas como esos son los que necesita
alguien con malas intenciones para meterse en la red y hacer cosas malas.
9. Contraseñas débiles o inexistentes
No puedo decirle cuantos sistemas (especialmente portátiles Windows)
he visto que no tenían una contraseña asignada a la cuenta del administrador o
que la cuenta del usuario por defecto es igual al nombre del usuario. El
problema de la contraseña ha estado por allí desde el comienzo de los
tiempos, así que no hay excusa para esto.
10. Windows Mobile y otras debilidades de dispositivos
móviles
En el mundo móvil de hoy no debo dejar de mencionar las
vulnerabilidades asociadas con Windows Mobile y otros dispositivos móviles
parecidos. Es esencial tener en el rada algunos temas específicos de los
dispositivos móviles. En un consejo llamado Seguridad Windows mobile
security: Manténgalo cerrado, he descripto varias cosas para tener en cuenta..
Para encontrar estas vulnerabilidades, necesitará buenas herramientas,
incluyendo escáner de puertos y herramientas de enumeración de sistemas,
tales como SuperScan o, idealmente, escáneres de vulnerabilidades que hacen
todo en una sola vez, tal como QualysGuard. Un analizador de red fácil de usar
como OmniPeek o CommView son necesarios, tanto como un buen editor
hexadecimal. Por ultimo, pero no menos importante, deberá usar su propia
habilidad para analizar manualmente sus sistemas para buscar puntos débiles.
Es fácil verificar cuando está instalada una protección contra malware, pero
no es tan sencillo determinar cuan débiles son los permisos en archivos,
Políticas de grupo que faltan o cosas similares que pueden ser explotadas.
Ahora que sabe en que enfocarse, puede empezar a ver que es cada
cosa. El balance final es conocer que hay en sus sistemas y que se puede
hacer con sus sistemas. Esta es la receta para un entorno Windows seguro.
About the author: Kevin Beaver is an information security consultant, keynote
speaker, and expert witness with Atlanta-based Principle Logic LLC, where he specializes in
performing independent security assessments. Kevin has authored/co-authored seven books
on information security including Hacking For Dummies and Hacking Wireless Networks For
Dummies (Wiley). He's also the creator of the Security On Wheels information security audio
books and a blog providing security learning for IT professionals on the go. Kevin can be
reached at kbeaver @ principlelogic.com.
miércoles, 14 de septiembre de 2011
Suscribirse a:
Entradas (Atom)