sábado, 30 de julio de 2016

Cómo desincentivar el uso de gestores de contraseñas

Una llave de oro abre todas las cerraduras.- Christoph Wieland

Desde hace años accedo a ese sitio en internet y siguiendo una de las recomendaciones de seguridad informática, uso una contraseña difícil de adivinar. Dado que este portal también pide token para acceder a él, mi contraseña no es demasiado compleja y tiene solo 10 caracteres. 


Recordemosun token genera contraseñas dinámicas diferentes cada vez que lo prendemos. Sirve como segundo factor de autenticación. 
También sigo otra sugerencia de seguridad informática: usar un gestor de contraseñas

¿Y eso qué es? Existen decenas si no es que cientos de contraseñas usadas por las personas para entrar a diferentes sitios en internet o en la empresa. Sin mencionar contraseñas del ruteador de la casa para entrar al WiFi, el de la computadora personal, etc. 

Los gestores de contraseñas son programas que las guardan para evitar recordarlas. Ese gestor pide una sola contraseña de acceso, pero con esa sola llave, me permite acceder al resto de llaves. Es como un llavero: colecciona la llave de Twitter, FaceBookGMail, etc. También un gestor permite usar diferentes contraseñas. 

Los gestores pueden de manera automática ponerlas cuando un sitio las pide, o bien, uno puede entrar al gestor y copiarla para pegarla en el portal. Ambas opciones son válidas. 

Mi sorpresa fue cuando ese sitio mencionado al inicio, de un día para otro impidió usar mi gestor. Intenté, como siempre, que el gestor detectara el sitio para poner de manera automática la contraseña: no sirvió. 

El portal estaba rechazando esta forma de ingresar la contraseña. ¿Cómo acceder ahora al sitio? Fácil, pensé; hay otra manera. Entro al gestor, copio la contraseña y la pego en la página de internet.

¿Qué sucedió esta vez? El portal rechazó pegar la contraseña: ni con las teclas (CTRL-V), ni con el menú del navegador...no hubo forma. "Increíble", pensé. Los encargados del sitio impidieron hacer esto en su página. 

¿Pero por qué? Imagino: Chavita, de seguridad informática, tuvo esta idea porque, según él, así es más seguro. No tenía muy clara la razón, algo leyó "por ahí" y un día lo propuso en la empresa: lo vendió como una "mejor práctica". Este argumento nunca falla. 

Durante la reunión, Chavita titubeó antes de decir palabra alguna, pero explicó: podría ser que un virus robara la contraseña al momento de copiar-pegar. También comentó: los usuarios podrían tener sus contraseñas en un archivo cualquiera en su computadora y de ahí copiar-pegar. Y eso no es seguro: tener una contraseña dentro de un archivo Word o Notepad sin protección. 

Notemos el uso de las palabras "podría ser". ¿Nunca expuso casos concretos o alguna referencia? No, con tan solo unir los conceptos de "mejores prácticas" y el famoso "podría ser", por arte de magia todos le creyeron. 

De inmediato le dieron la instrucción al encargado del sitio para impedir pegar contraseñas en el portal. Nadie cuestionó que los virus tienen otras varias formas de conseguir una contraseña, por ejemplo: cuando un usuario la teclea (con programas llamados keyloggers). 

Tampoco nadie comentó que los hackers desean robar cientos o  miles de contraseñas en un solo robo: un solo golpe maestro. Por eso centran sus esfuerzos en hurtar grandes cantidades de ellas de sitios de internet en lugar de robar una contraseña a la vez de cada equipo personal de los usuarios. 

¿Qué hago para acceder a ese sitio? A veces abro el gestor, memorizo un tramo de la contraseña y la escribo manualmente en el sitio y así de manea sucesiva hasta completar los 10 caracteres

Otras veces abro NotePad, pego ahí la contraseña y dejo la ventana del sitio y la ventana de Notepad abiertas al mismo tiempo para ir ingresando mi contraseña manualmente. Como dice Chavita que debe de ser. 

Pero Chavita no pensó en el esfuerzo para usar gestores de contraseñas porque tienen diversos beneficios. Y estos sitios que impiden el uso de copiar-pegar para contraseñas solo limitan y dificultan el uso de los gestores. 

A menos que encuentre trucos (busquen en internet: "Enable Copy-Paste in Web Pages That Disallow It"), haré lo indicado por Chavita respecto a la "mejor práctica" para evitar que una amenaza "pudiera" robarme mi contraseña. 

a ti Chavita te digo: de nada le serviría a esa amenaza tener mi contraseña. Porque cada vez que quiero entrar a tu sitio, también pide una contraseña dinámica única y diferente proporcionada por el token y solo yo lo poseo. 

sábado, 25 de junio de 2016

Cómo explotar una vulnerabilidad informática

 ¿Cómo un hacker explota una debilidad informática? Leemos en las noticias: "explotaron" una "debilidad" y lograron entrar sin permiso a un sistema. Listemos los tipos de huecos comunes de sistemas informáticos: 

  1. Configuraciones inseguras. 
  1. Obsolescencia de mecanismos de seguridad. 
  1. Vulnerabilidades en software. 

1.- Configuraciones inseguras. El personal de TI configura los sistemas. Por ejemplo, cuando la computadora nos pide ingresar una contraseña o nos obliga a tener más de 10 caracteres, es porque la gente de sistemas así lo configuró. 

¿Podemos  por ejemplo configurar en nuestro móvil una contraseña de acceso? Sí, y es deseable porque si lo perdemos, alguien más no podrá usarlo. Imaginemosconfiguramos la contraseña de un solo número. Cuando lo extraviamos, el atacante ingresará un 1, luego 2 y así hasta el 9. Un número de esos nueve lo desbloquearáDesgraciadamente ya logramos configurar con inseguridadLo mismo sucede al hacerlo con los sistemas y pueden quedar inseguros.  

¿Un atacante es feliz de encontrar una deficiente configuración? Sí, y lo será más sabiendo de la existencia de sistemas y software configurados por default, el cual no tiene garantía de ser seguro (aunque venga "de fábrica") como lo demuestran numerosos casos. Los "defaults" persiguen que un sistema opere y funcione de manera fácil; la seguridad es secundaria. 

2.- Obsolescencia Las puertas de los autos tenían una seguridad basada en una llave con cerradura hace 30 años y en su tiempo proveía protección. Pero los ladrones ya saben cómo abrirlas y los autos modernos usan nuevas tecnologías para impedir el robo de la unidad. La cerradura ochentera es obsoleta. Lo mismo sucede con varios mecanismos de seguridad informática de hace 30 años: no resisten ataques modernos que usan novedosas técnicas. 

Quedan indefensos ante poderosos ataques, rompiendo la antigua seguridad. 
¿Vemos circular autos de hace 30 años con la misma seguridad de antaño? Desde luego e Igual hay sistemas de hace 3 o más años operando aún con mecanismos del pasado. Recordemos: en tecnologías de información, "el pasado" fue hace algunos meses. 

Un sistema obsoleto es resultado de varias causas:  
  • Si funciona, para qué actualizarlo 
  • Cuesta tener uno moderno.  
  • Ignoramos que un sistema viejo es inseguro por los mecanismos de seguridad empleados. 
  • Negligencia porque "hay cosas más importantes en la lista de pendientes" y "luego lo haremos". 

3.- Vulnerabilidades en software. Un programa son instrucciones seguidas por un sistema. Word es software, también PowerPoint o un navegador de internet. Un atacante encuentra un hueco de seguridad cuando las instrucciones están mal planteadas o incompletas, logrando una acción imprevista. Por ejemplo, imaginen estas instrucciones para beber: 

  1. Toma el vaso 
  1. Llévalo a tu boca. 
  1. Ingiere el contenido del vaso. 

El atacante vierte un laxante en el vaso, si la intención era beber agua, entonces ya logró lo imprevisto: la víctima irá al sanitario en los próximos minutos. También el atacante puede dar múltiples vasos con agua. 

La víctima beberá uno tras otro porque las instrucciones así lo dicen, causando malestar estomacalSi el vaso contiene un sólido (pollo), la víctima deberá "beberlo". ¿Qué pasa si está vacío? Tal vez tenga veneno. ¿Y si es un vaso con agua recién hervida? 

El programador de software pensó en estas 3 simples indicaciones "claras" para beber agua de un vaso. Simple. Pero el atacante logró encontrar deficiencias en las instrucciones. Esos "huecos" fueron aprovechados para crear situaciones imprevistas no deseadas con consecuencias nefastas. 

¿Queda claro el ejemplo? Los desarrolladores de software programan código (instrucciones para el sistema)a veces las instrucciones deben enfrentar pruebas no pensadas ideadas por atacantes para hacer dañoCuando la víctima beba veneno, ella morirá: el hacker encontró un hueco de seguridad en las instrucciones permitiendo "matar" al sistema, o al menos obligarlo a hacer una actividad maliciosa. 

Este artículo pretende acercarnos a estos términos para incrementar nuestra capacidad de entender la información publicada en diversos medios de comunicación. Aprovechémosla y leamos con nuevos ojos el próximo artículo de "esos de sistemas".