Descubriendo la historia de “contraseña comprometida” de LifeLock: Naked Security


A principios de este mes, el servicio de protección de identidad en línea NortonLifeLock, propiedad de la empresa de tecnología Gen Digital con sede en Arizona, envió una alerta de seguridad a varios de sus clientes.

La carta de advertencia se puede ver en línea, como en el sitio web de la Oficina del Fiscal General de Vermont, donde aparece bajo el título NortonLifeLock: aviso de violación de datos digitales de generación para los consumidores.

La carta comienza con un saludo que suena aterrador que dice:

Le escribimos para notificarle un incidente relacionado con su información personal.

Avanza:

[Our intrusion detection systems] nos informó que una parte no autorizada probablemente conozca el correo electrónico y la contraseña que usó con su cuenta de Norton […] y su Norton Password Manager. Le recomendamos que cambie sus contraseñas con nosotros y en cualquier otro lugar de inmediato.

A medida que avanzan los párrafos iniciales, este es bastante básico y contiene consejos simples, aunque potencialmente lentos: alguien que no sea usted probablemente conozca la contraseña de su cuenta de Norton; es posible que también hayan podido echar un vistazo a su administrador de contraseñas; cambie todas las contraseñas lo antes posible.

¿Que pasó aquí?

Pero, ¿qué sucedió realmente aquí? ¿Fue una violación en el sentido convencional?

Después de todo, LastPass, otro nombre notorio en el juego de gestión de contraseñas, anunció recientemente que no solo había sufrido una intrusión en la red, sino que también se habían robado los datos de los clientes, incluidas las contraseñas cifradas.

En el caso de LastPass, afortunadamente, las contraseñas robadas no fueron de uso directo e inmediato para los atacantes, ya que la bóveda de contraseñas de cada usuario estaba protegida por una contraseña maestra, que no fue almacenada por LastPass y, por lo tanto, no fue robada al mismo tiempo.

Los estafadores todavía tienen que descifrar esas contraseñas maestras primero, una tarea que podría tomar semanas, años, décadas o incluso más para cualquier usuario, dependiendo de qué tan sabiamente se eligieron esas contraseñas.

elecciones equivocadas como 123456 Y iloveyou probablemente se escucharon dentro de las primeras horas de agrietamiento, pero combinaciones menos predecibles como DaDafD$&RaDogS o tVqFHAAPTjTUmOax es casi seguro que durará mucho más de lo que se necesitaría para cambiar las contraseñas en su bóveda.

Pero si LifeLock acaba de sufrir una brecha y la empresa advierte que alguien más ya conocía las contraseñas de las cuentas de algunos usuarios y tal vez incluso la contraseña maestra de todas las demás contraseñas…

… ¿no es eso mucho peor?

¿Esas contraseñas ya han sido descifradas de alguna manera?

Un tipo diferente de violación

La buena noticia es que este caso parece ser un tipo de “violación” bastante diferente, posiblemente causada por la práctica arriesgada de usar la misma contraseña para varios servicios en línea diferentes para hacer que el inicio de sesión en sitios de uso común sea un poco más rápido.

Poco después de la primera recomendación de LifeLock de cambiar las contraseñas, la empresa sugiere que:

[B]A partir del 1 de diciembre de 2022, un tercero no autorizado había utilizado una lista de nombres de usuario y contraseñas obtenidos de otra fuente, como la web oscura, para intentar acceder a las cuentas de los clientes de Norton. Nuestros sistemas no han sido comprometidos. Sin embargo, creemos firmemente que un tercero no autorizado conoce y ha utilizado su nombre de usuario y contraseña para su cuenta.

El problema de usar la misma contraseña en varias cuentas diferentes es obvio: si una de sus cuentas se ve comprometida, todas sus cuentas también se ven comprometidas, porque esa contraseña robada sirve como un esqueleto clave para los otros servicios involucrados.

Explicación del relleno de credenciales

De hecho, el proceso para comprobar si una contraseña robada funciona en varias cuentas es tan popular entre los ciberdelincuentes (y se automatiza tan fácilmente) que incluso tiene un nombre especial: relleno de credenciales.

Si un delincuente en línea adivina, compra en la web oscura, roba o suplanta la contraseña de cualquier cuenta que use, incluso algo de bajo nivel como su sitio de noticias local o club deportivo, casi de inmediato probará la misma contraseña en otras cuentas probables en tu nombre.

En pocas palabras, los atacantes toman su nombre de usuario, lo combinan con la contraseña que ya conocen y cosas aquellos cartas credenciales en las páginas de inicio de sesión de cada servicio popular que se les ocurra.

A muchos servicios en estos días les gusta usar su dirección de correo electrónico como nombre de usuario, lo que hace que este proceso sea aún más predecible para los chicos malos.

Por cierto, usar una sola contraseña “root” difícil de adivinar y agregar cambios para diferentes cuentas tampoco ayuda mucho.

Ahí es donde se intenta crear una “complejidad” falsa a partir de un componente común que es complicado, por ej. Xo3LCZ6DD4+aYluego agregar modificadores simples como -fb para facebook, -tw para Twitter y -tt para Tik Tok.

Las contraseñas que varían incluso en un carácter terminarán con un hash de contraseña encriptado completamente diferente, por lo que las bases de datos robadas de hash de contraseñas no le dirán nada sobre cuán similares son las diferentes opciones de contraseña…

… pero los ataques de relleno de credenciales se utilizan cuando los atacantes ya conocen el texto sin formato de su contraseñapor lo tanto, es fundamental evitar convertir cada contraseña en una sugerencia conveniente para todas las demás.

Las formas comunes en que las contraseñas no cifradas caen en manos de delincuentes incluyen:

  • ataques de phishing, donde inadvertidamente escribe la contraseña correcta en el sitio equivocado, luego se envía directamente a los delincuentes en lugar del servicio al que realmente pretendía acceder.
  • registradores de teclas de spyware, software malicioso que registra deliberadamente las pulsaciones de teclas sin procesar escritas en el navegador u otra aplicación en la computadora portátil o el teléfono.
  • Mala higiene de registro del lado del servidor, donde los delincuentes que ingresan a un servicio en línea descubren que la empresa ha grabado accidentalmente contraseñas de texto sin formato en el disco en lugar de mantenerlas temporalmente en la memoria.
  • RAM raspando malware, que se ejecuta en servidores comprometidos para estar atento a patrones probables de datos que aparecen temporalmente en la memoria, como detalles de tarjetas de crédito, números de identificación y contraseñas.

¿No estás culpando a las víctimas?

Si bien parece que LifeLock en sí no ha sido pirateado, en el sentido convencional de que los ciberdelincuentes irrumpen en las redes de la empresa y husmean en los datos desde adentro, por así decirlo…

… vimos algunas críticas sobre cómo se manejó este incidente.

Para ser justos, los proveedores de ciberseguridad no siempre pueden evitar que sus clientes “hagan algo incorrecto” (en los productos de Sophos, por ejemplo, hacemos todo lo posible para advertirle en la pantalla, alto y claro, si elige una configuración que es más riesgosa que recomendamos, pero no podemos obligarlo a seguir nuestro consejo).

En particular, un servicio en línea no puede evitar fácilmente que establezca exactamente la misma contraseña en otros sitios, sobre todo porque tendrían que asociarse con estos otros sitios para hacerlo, o realizar pruebas de relleno de credenciales en su propio nombre, violando así la santidad. de su contraseña.

Sin embargo, algunos críticos han sugerido que LifeLock podría haber detectado estos ataques masivos de relleno de contraseñas más rápido de lo que lo hizo, tal vez al detectar el patrón inusual de intentos de inicio de sesión, presumiblemente incluyendo muchos que fallaron porque al menos algunos usuarios comprometidos no estaban reutilizando contraseñas o porque la base de datos de contraseñas robadas era inexacta o estaba desactualizada.

Esos críticos señalan que hubo 12 días entre el inicio de los intentos de inicio de sesión falsos y la empresa que detectó la anomalía (2022-12-01 a 2022-12-12), y otros 10 días entre el momento en que notó el problema y se dio cuenta de que el Es casi seguro que el problema se debió a datos comprometidos adquiridos de una fuente distinta a las redes de la empresa.

Otros se preguntaron por qué la empresa esperó hasta el nuevo año 2023 (2022-12-12 a 2023-01-09) para enviar la notificación de “incumplimiento” a los usuarios afectados, si sabía de intentos de llenar masa de contraseñas antes de Navidad 2022.

No vamos a adivinar si la empresa podría haber reaccionado más rápido, pero vale la pena recordar, en caso de que alguna vez te acostumbres, que determinar todos los hechos destacados después de recibir quejas sobre “una infracción” puede ser una tarea gigantesca.

De manera molesta, y tal vez irónica, descubrir que ha sido pirateado directamente por los llamados adversarios activos a menudo es tristemente fácil.

Cualquiera que haya visto cientos de computadoras mostrar simultáneamente una nota de chantaje de ransomware en su cara exigiendo miles o millones de dólares en criptomonedas lo atestiguará con tristeza.

Pero averigüe qué ciberdelincuentes definitivamente no lo hizo a su red, que esencialmente resulta ser mala, es a menudo un ejercicio que requiere mucho tiempo, al menos si desea hacerlo científicamente y con un nivel de precisión suficiente para convencerse a sí mismo, a sus clientes y a los reguladores.

¿Qué hacer?

En lo que respecta a culpar a las víctimas, sigue siendo vital tener en cuenta que, hasta donde sabemos, no hay nada que LifeLock, o cualquier otro servicio en el que se hayan reutilizado las contraseñas, pueda hacer ahora, por sí solo, para resolver la causa subyacente. de este problema

En otras palabras, si los estafadores ingresan a sus cuentas en servicios decentemente seguros P, Q y R simplemente porque descubrieron que usó la misma contraseña en un sitio no tan seguro S, esos sitios más seguros no pueden impedir que obtenga el mismo tipo de riesgo en el futuro.

Entonces, nuestras sugerencias inmediatas son:

  • Si tiene la costumbre de reutilizar contraseñas, ¡no lo haga de nuevo! Este incidente es solo uno de muchos en la historia que llaman la atención sobre los peligros involucrados. Tenga en cuenta que este aviso sobre el uso de una contraseña diferente para cada cuenta se aplica a todos, no solo a los clientes de LifeLock.
  • No utilice contraseñas relacionadas en diferentes sitios. Una raíz de contraseña fuerte combinada con un sufijo fácil de recordar único para cada sitio, literalmente hablando, le dará una contraseña diferente en cada sitio. Sin embargo, este comportamiento deja un patrón obvio que es probable que los estafadores descubran, incluso a partir de una sola muestra de una contraseña comprometida. Este “truco” solo te da una falsa sensación de seguridad.
  • Si ha recibido una notificación de LifeLock, siga los consejos de la carta. Es posible que algunos usuarios reciban notificaciones debido a inicios de sesión inusuales que aún eran legítimos (por ejemplo, durante las vacaciones), pero léalos detenidamente de todos modos.
  • Considere activar 2FA para tantas cuentas como pueda. LifeLock recomienda 2FA (autenticación de dos factores) para las cuentas de Norton y para todas las cuentas donde se admiten los inicios de sesión de dos factores. Estamos de acuerdo, porque las contraseñas robadas por sí solas son mucho menos útiles para los atacantes si también tiene 2FA en su camino. Hágalo tanto si es cliente de LifeLock como si no.

Todavía podríamos terminar en un mundo digital sin contraseñas: muchos servicios en línea ya están tratando de moverse en esa dirección, buscando cambiar exclusivamente a otras formas de verificar su identidad en línea, como usar tokens de hardware especiales o medidas biométricas en su lugar.

Pero las contraseñas ya han estado con nosotros durante más de medio siglo, por lo que sospechamos que estarán con nosotros durante muchos años más, para algunas o muchas, si no todas, de nuestras cuentas en línea.

Si bien todavía estamos atascados con las contraseñas, hacemos un esfuerzo decidido para usarlas de una manera que ofrezca la menor cantidad de ayuda a los ciberdelincuentes.




Source link

Deja un comentario

Translate »