banner

El caso Stratfor: cuando los password son debiles

En el pasado mes de Diciembre (24/Dic/2011) una vez más [1][2], una empresa era víctima del grupo ANONYMOUS (ver vídeo), Stratfor Global Intelligence había sufrido una brecha de seguridad que le costaría la publicación de una lista con 860,000 passwords hashes de sus usuarios.

Hash = Resumen de datos mediante algoritmos | Password Hash =  Resumen de los password


Este ataque comprometería la información personal de los usuarios (dirección, email, contraseñas), incluyendo información de las tarjetas de crédito.

De hecho, todavía hoy se puede leer en su página web es siguiente texto:
As you may know, an unauthorized party illegally obtained and disclosed personally identifiable information and related credit card data of some of our subscribers.
We are currently investigating this unfortunate event and are working diligently to prevent it from ever happening again. As a result, we have delayed restoring our website until we can perform a thorough security review. Stay tuned for our relaunch.
Lo interesante son las conclusiones que se han obtenido tras el análisis, llevada a cabo por The Tech Herald, de la lista de password filtrada.
... has examined the list of 860,160 passwords hashes that were leaked, and the results of our tests were both expected and pitiful.
Lamentablemente, la utilización de password débiles sigue siendo el factor predominante en la consecución exitosa de algunos tipos de ataques, y por supuesto durante el análisis del caso Stratfor, se han encontrado, contraseñas tan "flagrantes" como: "qwerty", nombres ("Robert","Hanna"), fechas ("19871987","1996linda"), o incluso marcas ("1996ford").

Algunos datos para que tengamos una idea de lo realmente lamentable que ha sido lo detectado en la lista de password de Stratfor, sobre todo teniendo en cuenta el tipo de empresa (sector de Inteligencia), y el tipo de clientes (agencias gubernamentales (CIA / US Air Force)).

Datos / Estadísticas

La debilidad mostradas en el análisis de la lista de password es tal que las contraseñas eran "comprometidas" en cuestión de segundos, de hecho, la política de contraseñas recomendada por Stratfor en el momento de registro era de tan solo 6 caracteres, comenzando con un número y al menos 1 carácter alfabético.

La herramienta utilizada por "The Tech Harold" es hashcat, una excelente y rápida herramienta  en crackear hashes de password, al alcance de cualquiera. El coste total para conseguir obtener 81,833 contraseñas de las 816.000 fue el tiempo empleado. No fue necesario emplear recursos adicionales (cloud hosting o grid cracking) y caros ( "$$$") en crackear estas contraseñas, simplemente un equipo convencional y la herramienta "gratuita" hashcat.


La técnica empleada para crackear los password fue un ataque de fuerza bruta basada en diccionario / lista de palabras típicas, es lo que se conoce como "ataque por diccionario". El análisis se planteo de forma progresiva, y escalonada con objeto de optimizar el tiempo empleado en ello, de modo que se utilizaron tres tipo de lista de palabras:
  1. Pequeña (Small word list)
  2. Mediana (Medium word list)
  3. Grande (Large word list)
Con el primer grupo (1) de palabras se consiguieron 25.690 password, con el segundo grupo (2) 47.623 password, para finalizar el análisis con el (3) grupo de palabras obteniendo el total de 80.507 password. El tiempo total empleado no llevo más de 3 horas y 5 minutos.


¡Ese tipo de contraseñas nunca deberían de haber sido autorizadas, ni permitidas!

El Análisis

Una vez se habían obtenido las contraseñas, TechHarold procedió a analizar el tipo de password, sacando patrones e información sobre la "debilidad" de las password crackeadas.

Cómo dato curioso os dejo la siguiente gráfica: del total de 83.833 password, la distribución de la longitud de los caracteres utilizados fue:


Comprobar si tu Password ha sido comprometido

Se ha creado una página web para comprobar si tu password (asociada a una cuenta de correo electrónico) aparece en las bases de datos publicadas por los distintos grupos de hackers! (Anonymous, AntiSec, LuizSec, etc).

https://shouldichangemypassword.com/

Conclusiones
De entre todo yo "destacaría": primero la longitud utilizada en las password, y segundo la "falta" de una política de contraseñas robusta.

Esto vuelve a poner en evidencia que el eslabón más débil es el "usuario", y que se debe de seguir potenciando la educación, capacitación y formación en "Seguridad de la Información".

Para finalizar os dejo algunos consejos y buena prácticas para establecer una correcta "política de contraseñas" y evitar utilizar contraseñas débiles:
  • Usar una longitud mínima de caracteres, entre 8 y 12.
  • Cambiar con regularidad de contraseña (periodicidad 3, 2 o incluso cada mes).
  • Establecer el número mínimo de rotaciones (5 cambios de password sin repetición del mismo).
  • No usar palabras del diccionario, datos personales (nombres, fechas de nacimiento, lugares, DNI, etc), o cualquier información que nos relacione directa o indirectamente (número PIN del teléfono, de la tarjeta de crédito, DNI, Matricula del coche, hermanos, mascotas, etc).
  • No compartir la contraseña con nadie.
  • No guardar la contraseña en un sitio visible.
  • Intentar no utilizar la misma contraseña en más de un sitio.
  • Y por supuesto, utilizar mayúsculas, minúsculas, números y caracteres especiales combinados. La mejor forma de crear contraseñas robustas, es utilizar formulas memotécnicas, por ejemplo, formar frases mediante la sustitución de vocales por números y algunas consonantes por caracteres especiales.
Para comprobar como de fuerte (robusto) puede llegar a ser un password, basta con leer el artículo que ya publique en este Blog llamado: "Make your password more secure".


No hay comentarios :

Publicar un comentario en la entrada