viernes, 15 de agosto de 2014

Pasen sin llamar

Una contraseña como 'N^a&$1nG' podría ser crackeada en 3,75 días usando una GPU AMD R290X. En cambio, para crackear 'GoodLuckGuessingThisPassword' (igual a "Buena suerte adivinando mi contraseña"), un atacante necesitaría unos 17,74 años. Claro que no todas las contraseñas se rompen por fuerza bruta.

Tú eliges: ¿complejidad a cambio de tamaño de contraseña, o contraseña larga a cambio de ataques de ingeniería social? Elijas lo que elijas, si no dispones de mecanismos de bloqueo o de doble factor, las contraseñas de tus usuarios (o las tuyas propias) irán cayendo una detrás de otra. Si esto es así poniéndolo difícil, en los entornos corporativos las cosas están aun más complicadas. "¿Quién necesita un hacker?", se pregunta Darren Pauli de The Register, cuando Password1 te va a abrir una de cada tres puertas en un sinfín de empresas. La firma de seguridad Trustwave ha llevado a test más de 625.000 contraseñas, y ha logrado romper el 92% de ellas en un mes... la mayoría, en los primeros minutos. En esta ocasión, la contraseña más utilizada era Password1, seguida de Hello123password y welcome1.

La verdad es que cualquiera con poco presupuesto y los suficientes conocimientos puede hacerse con el control de lo que quiera. Eso concluyen al menos en Russia Today al contar cómo un grupo de entusiastas se hizo con el control de un satélite de los años 70, dado de baja por la NASA pero perfectamente operativo. Su sala de control fue nada menos que un antiguo McDonald's abandonado. De las hamburguesas de antaño a tomar el control de un aparato a 20.000 kilómetros de distancia. Parece todo un símbolo de la civilización occidental.

En definitiva, se trata de encontrar el lugar por el que abrir la puerta con el menor ruido posible. De ahí la importancia de encontrar las vulnerabilidades antes de que lo hagan "los malos", que nos pueden armar "la de San Quintín". En el blog de Chema Alonso encontramos un abundante repaso a las múltiples vulnerabilidades que el investigador español Rubén Santamarta ha ido recogiendo en todo tipo de aparatos que utilizan comunicaciones vía satélite, especialmente orientados a la maquinaria militar. Las consecuencias de explotar debidamente estos agujeros ponen los pelos de punta.

Claro que si hablamos de tecnología, contraseñas y vulnerabilidades... pongámonos en un caso quizá no muy lejano: el reconocimiento facial instantáneo gracias a bases de datos conectadas a unas Google Glass. Puede ser que un policía detenga a un sospechoso de asesinato gracias a que su dispositivo reconoce al supuesto delincuente. Hasta ahí, bien, ¿verdad? Pero... ¿y si fuera un ciberdelincuente el que vincula tu reconocimiento facial a tus datos públicos (y algunos quizá no tan públicos) y te chantajea en vivo y en directo, a plena luz del día, y a la vista de todos? Quizá te parezca una locura, pero hay empresas que ya se están especializando en bloquear el reconocimiento facial.

Lo que en ningún caso es una locura es que estamos expuestos por mil y un frentes. Las viejas amenazas que se creían extinguidas resurgen, como la botnet de Gameover Zeus, que rebrota de sus cenizas según la empresa Arbor NetworksGoogle, que está haciendo esfuerzos importantes para liderar la batalla de la seguridad, acaba de anunciar que expande su servicio de navegación segura para poner coto a amenazas que vayan más allá de las propias páginas web. Por ejemplo, aplicaciones maliciosas que se hacen pasar por legítimas, y que buscan conectarse cuando nadie las ha invitado a la "fiesta".

Más allá de contraseñas fuertes y largas, de comunicaciones vulnerables, de tecnología fascinante pero con un lado oscuro, y de posibles equipos infectados, un compromiso ineludible es divulgar y dar a conocer los riesgos, para paliar al máximo las consecuencias. Por eso os pedimos vuestro apoyo y os damos las gracias, siempre, por la difusión de estos asuntos. Buen fin de semana.

0 comentarios:

Publicar un comentario