martes, 29 de septiembre de 2009

importancia de la seguridad de la informacion

La importancia de la seguridad de la información
Mayo 10th, 2009 · 3 Comentarios
La importancia que tiene la seguridad de la información y el poder que implica manejar información es un tema muy delicado que no está en el conocimiento de muchos. En el contexto de internet, muchos usuarios no le dan mayor importancia a su información que publican en la red y de qué forma lo hacen y más aún, muchos no diferencian lo privado de lo público, no por que no quieran o por que no saben como diferenciar una cosa de la otra, simplemente es por ignorancia. Para mucha gente es normal pertenecer en redes sociales y publicar su vida, mientras más conocidos sean y más amigos tengan en esa red social más importante se creen y es esta “vulnerabilidad” la que se está explotando: La ingenuidad y/o ignorancia del usuario. Por otro lado están las empresas, quienes son las encargadas de manejar la información privada y/o pública que los usuarios les confían, por ejemplo en el caso de un concurso, típicamente los datos que piden son nombre, apellido, ciudad, rut/dni, etc. Personalmente me pregunto ¿Para qué quieren mi rut/dni en un concurso, si con mi teléfono es suficiente para que me puedan ubicar? La respuesta es simple, todos esos datos van a una base de datos que puede ser vendida o usada para enviar publicidad no deseada, más conocido como spam. Estoy seguro que a nadie nos gustaria que esto fuese realidad, pero lo es. Por más que la empresa nos intente explicar por medio de “letra chica” o “términos y condiciones” que el uso de nuestra información está fuera de peligro y que serán usados sólo para tal y tal fin. Pues eso es mentira. He tenido experiencias y tengo las pruebas necesarias que eso no ocurre, ni si quiera las entidades del gobierno son capaces de cumplir con algo tan básico como es la protección de la información privada y, de hecho, ni si quiera los mismos usuarios son capaces de proteger su información.
En Chile, la falta a la protección de datos es algo que se da demasiado seguido, ya sea por empresas privadas o publicas (estatales o gubernamentales).
Hace un tiempo se publicó una base de datos con la información de más de 5 millones de chilenos y posteriormente, se publicó un buscador que nos permitia encontrar los datos de cualquier persona. Existen entidades encargadas de proteger esa información, en este caso es el sitio web de el Servicio Electoral (Servel), de donde fue obtenida la información. Poco tiempo despues de ésta publicación, realizamos una prueba de concepto programando un algoritmo capáz de obtener los datos desde ese sitio nuevamente, lo que tuvo un resultado positivo para nosotros. Pudimos obtener más de 4 millones de datos sobre los chilenos. En este intento, el sitio web del servel se cayó dos veces, estando el sitio abajo mas de 12 horas, cada véz que se cayó. Al entrar al sitio se podia ver un mensaje de que el espacio en disco estába lleno debido a los logs, esto quiere decir que cuando reactivaron el sitio, los encargados del sitio debieron haber vaciado ese directorio de logs y obviamente no se dieron el trabajo de analizarlo sino hasta el tercer intento que fue cuando decidieron colocar un captcha y, aunque el captcha es “basico”, no gastariamos tiempo en programar un algoritmo que lo rompa si nustra misión ya cumplió su objetivo. Una véz realizado este experimento procedimos a eliminar toda la información que descargamos.
A mucha gente quizás no les importa que su nombre y rut/dni estén dando vueltas por internet, accesibles por cualquier persona y más aún, ni si quiera se procupan de proteger sus cuentas de correo o de algún servicio en particular. Obteniendo información desde distintos sitios y bases de datos, realicé un estudio interno, donde me dediqué a analizar la información que tenia desde distintos lugares. Es increible como la gente a estas alturas aún usa contraseñas tan dummies como 123456 o la más típica qwerty. Hay distintos tipos de claves que no puedo clasificar por el tipo de usuario, ya que me he encontrado con la sorpresa de que usuarios con conocimientos en informática e internet usan una contraseña tan insegura y dummie como lo hace el que sabe menos sobre estos temas.
Creo que un punto interesante a analizar es lo que muchos dicen: “No importa, si en ese correo no tengo nada”. Para mi, eso no es una excusa ya que por más que el usuario no tenga nada en esa cuenta de correo, le pertenece a el y el hecho de que alguien tenga tu clave y acceda a algo que es tuyo, tengas información importante o no, debería perocuparte.
Otro caso es el de las personas que usan las mismas contraseñas para la mayoría o todas sus cuentas de distintos servicios, creo que es algo totalmente inaceptable y hace que la información de la persona en cuestión sea totalmente vulnerable, en cualquier momento.
Me gustaría hacer un análisis de los tipos de passwords que son inseguros, los he clasificado de la siguiente manera:
Numéricos: Generalmente del 1 al 10000000, por ejemplo 18528287, 20398476, 00000000, todas las combinaciones posibles. Muchas personas utilizan este tipo de contraseña ya que puede pertenecer a su número de identificacion (rut/dni), numero de teléfono de casa o celular o simplemente porque es su número de la suerte. Lo que no saben es lo FACIL que es romper este tipo de password. Si pensamos en 10 millones de posibilidades (como mínimo), seguramente obtendremos el password en 6 o 7 días.
Nombre + número: Con este tipo, me refiero al tipo de password como ‘fernando2008′, es decir, nomhre, apellido, nick + fecha de nacimiento, edad o algún número que lo identifique. La mayoría de los nombres y apellidos están en diccionarios de datos y los números son fácil de generar y no complicarian mucho el querer romper la contraseña. Yo diria que este tipo de password es una de las más fáciles e incluyen claves como: 123nombre456, qwertynombre, nombre123, nombre2009, nombre1975, etc etc.
Nombre: Aunque parezca absurdo e increible, es la realidad. Si, existe gente que utiliza su nombre como contraseña de una o más de sus cuentas. Y si, lo hace con minúscula.
Palabra: Al igual que el anterior, aunque parezca increible, existe gente que usa una palabra comun y corriente como clave, como pajaro, bicharraco, computador, celular, system, etc. Palabras que estan en cualquier diccionario de palabras y que son facilmente crackeables.
Estos 4 tipos de password son, basicamente, los más fáciles de identificar y de romper. Estos tipos de claves son fáciles de romper vía fuerza bruta ya sea con repetidos intentos de login en un sistema inseguro (por ej. Un sistema sin captcha) y son sencillos de encontrar su hash correspondientes ya sea de sha, md5 u otro.
En una de mis publicaciones, demostré como romper un login sin captcha con un sencillo script en bash que, basicamente, lo que hace es mediante una url y nombre de usuario pasado como argumento, consultar una lista de palabras en un diccionario e ir utilizando las palabras como password e intentar un login, hasta lograrlo.Tambien demostré como romper un hash cualquiera, con o sin salt, donde romper hashes de claves como las recien mensionadas era algo muy sencillo. Creo que despues de haber leido esto vale la pena plantearse el usar claves más seguras.
No quiero centrar toda la resposabilidad al usuario, tambien quiero hacer una critica a las empresas o entidades encargadas de la creación de password por defecto para sus usuarios, ya sea de una intranet, un sistema bancario, etc. He tenido experiencias donde el password por defecto que me entregan es mi nombre mas el año actual o bien algo más sencillo como 123456, mi rut o mi fecha de nacimiento. Las password por defecto DEBEN ser aleatorias y no arriesgar a que algún intruso ingrese donde no deba. En uno de los primeros post de mi blog, escribí una historia bien interesante. La empresa a la que hago referencia en ese post era una empresa de hosting, que por cada cliente creaba un usuario fisico (real) en el sistema, dandole shell y dejandole acceso ftp.
El problema es que a todos los usuarios que creaban les asignaban la clave 123456 y esto, acompañado de fallas de programación en sus sitios web, lo que me permitió hacer algún tipo de inclusion de archivos no permitida, que me entregaba la lista de todos los usuarios, fue muy facil ingresar a ese servidor y fue una sorpresa cuando me enteré que podía ingresar a todas las cuentas con el mismo password. Les envié un par de correos a esa empresa pero no me dieron ni bola.En fin, lo que quiero dejar en claro con esto, es que las empresas deben ser más responsables con este tema de la asignación de password por defecto a sus empleados, usuarios, clientes, etc. ya que pueden poner en peligro toda la informacion que los usuarios o empleados depositan en ellas. Por ejemplo, yo necesito hosting y al registrarme me piden todos mis datos, incluyendo tarjeta de credito, yo leo los términos y condiciones, me informo sobre la privacidad de mis datos, etc y termino confiando en la empresa, relleno el formulario y finalmente contrato el servicio. ¿Pero, que va a pasar si esa empresa no cuida mis datos? Finalmente no soy yo quien fallé cuidando mi información, fue la empresa, quien luego de prometerme por cielo mar y tierra que no revelarian mis datos, lo hace, inconcientemente. El problema es que uno no se da cuenta hasta que empiezan a llenarlo de spam o hasta que algo peor que eso pasa, como la perdida de alguna cuenta de correo, robo de informació personal, etc.
Todo esto puede empeorar, cuando pensamos que no asegurar nuestra información puede poner en peligro la información de las demás personas o mejor aún, imagina que tu te proteges, usas un password seguro y distinto para cada servicio, por ejemplo facebook, y quieres que la información que tu publicas en facebook sea solo para gente que tu aceptas, justo tu mejor amigo, quien tiene acceso a todas tus fotos, etc es irresponsable con sus datos y permite el acceso fácil a una tercera persona a mirar toda la información que tu compartes con él, lo peor es que tu no te enteras. Por esto mismo, quiero dejar en claro que proteger la información y distingues lo publico de lo privado, es muy importante, más aun cuando no es solo tu información la que está en juego.

No hay comentarios:

Publicar un comentario