¿Fue un Hackeo de iCloud?

<br /> <div style="text-align: justify;"> A estas alturas, cuando solo una pequeña porción de la humanidad aun no ha visto a la señorita Lawrence posar en una incomoda intimidad, merece la pena analizar lo ocurrido sin las prisas que demandan los titulares en llamas o el siempre juego del hambre por las visitas.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Una mañana te despiertas en tu mansión de Hollywood y después de la ducha matinal para desperezarte, te vistes con tu albornoz más suave y delicado y te pones a leer el guión que te envió ayer tu representante. Cuando vas por el segundo párrafo y la cosa se ponía interesante suena tu teléfono móvil, el mismo que vas a destrozar contra la pared en breves momentos.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> "¡¿Cómo?!....¡¿Qué?!....Me…en…la…" El resto de la historia (completamente inventada) se deja a la imaginación. Cambiemos de personaje.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Días antes de que una docena de iPhones encontraran su fatal destino presas de la rabia y la impotencia, un usuario de 4chan presumía tener en su poder montones de fotos privadas (también vídeos) de famosas que iba a liberar, incluso pedía donaciones a su cuenta de PayPal por si algún alma caritativa le quería agradecer el "esfuerzo". Lo que parecía una fantasmada, fruto de la imaginación incontinente de un púber alienado por las hormonas, término por ser cierto. Cientos de fotos intimísimas de cientos de las mujeres más deseadas en este planeta (y dentro de miles de años quizás en otros) terminaron expuestas a los desorbitados ojos de millones de seres humanos.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Aquí se acaba lo que todo el mundo sabe. Comencemos con lo que nos interesa.</div> <br /> <h3 style="text-align: justify;"> ¿Fue un hackeo de iCloud?</h3> <br /> <div style="text-align: justify;"> Si y no. A pesar de lo que muchos medios generalistas anunciaron, nadie penetró en los sistemas de la nube de Apple. No se explotó ninguna vulnerabilidad directa. El problema se encontraba en la API de "FindMyPhone" de Apple. Concretamente esta llamada REST (hay un supuesto script que parece haber sido usado para el ataque - <a href="https://github.com/hackappcom/ibrute">https://github.com/hackappcom/ibrute</a>):</div> <div style="text-align: justify;"> <br /></div> <code><div style="text-align: justify;"> https://fmipmobile.icloud.com/fmipservice/device/'+apple_id+'/initClient"</div> </code> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Donde el 'apple_id' se debe introducir el correo de la víctima. Exacto, el atacante debe saber de antemano el correo de la cuenta asociada a iCloud a la que quiere acceder. ¿Cómo era posible saber el correo de una famosa? Existen muchas teorías, alguno sería sencillo de averiguar o quizás pululaba por ahí, el caso es que obteniendo la agenda de contactos de una famosa el resto era ir tirando de la caña.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> El ataque se hacía de manera combinada, con listas de correos y listas de contraseñas por lo que se trataba de un ataque de longitud cuadrática. "Por cada correo prueba estas 500 contraseñas…". Esto genera un ruido impresionante en los registros de eventos que ni a un IPS de segunda división se le pasa por alto, en el supuesto claro de que hubiera alguno… ¿Lo habría?</div> <br /> Viendo el código: <br /> <br /> <div style="text-align: center;"> <img border="0" height="345" src="http://3.bp.blogspot.com/-v3D_smH7O2c/VAdJgrTDslI/AAAAAAAABeE/-gdwMIvSPxI/s1600/icloud_1.png" width="540" /></div> <br /> <div style="text-align: justify;"> Observamos como el <i>User-agent</i> y otros valores son fijos. Y vemos algo que llama mucho la atención: El UDID del dispositivo origen de las peticiones es pseudoaleatorio, falso como el cartón piedra y cuando la combinación usuario/contraseña es correcta Apple no hace una comprobación adicional de ese UDID rechazando, a pesar de la validez de la contraseña, la petición. Tarjeta amarilla.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Lo segundo y que es lo que ha llegado a las rotativas, es la falta de límite de intentos de acceso a una cuenta determinada. Como dijimos un par de párrafos arriba los servidores de Apple se tragaban cualquier número de peticiones con resultado erróneo. ¿Os imagináis a Jennifer metiendo 500 contraseñas en 60 segundos en el set de rodaje mientras la esperan para la siguiente toma? Tarjeta roja.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Otro asunto es que la autenticación se hacía a través de la autenticación básica implementada por el protocolo HTTP. Concatenación de usuario y contraseña, símbolo ':' mediante y eso lo pasamos por un codificador en base64. Eso no es un hash, es simplemente una cadena codificada. La lista de passwords, supuestamente usada, no son hashes MD5 o SHA1 o lo que sea. Son contraseñas en texto claro que van a ser codificadas y enviadas para su comprobación al servidor de "FindMyIphone". Luego si no nos equivocamos, en algún momento esas contraseñas podrían estar almacenadas con un simple base64.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Por cierto, varios usuarios de Reddit comprobaron que el script funcionaba hasta que Apple parcheó los servidores que tiene repartidos por el mundo.</div> <br /> <h3 style="text-align: justify;"> La política de contraseñas de Apple</h3> <br /> <div style="text-align: justify;"> Apple mantiene una política de contraseñas estándar, con posibilidad de activar doble factor de autenticación y la extremadamente desaconsejable y completamente insegura segunda vía a través de preguntas personales. Con las redes sociales colmadas de datos personales voluntariamente expuestos, hoy día tiene más sentido ir mintiendo en absolutamente todas las preguntas que decir la verdad.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Volvamos a las contraseñas, que son las protagonistas (con el permiso de la Lawrence) del ataque.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Las reglas son declarativas y siguen una lógica AND:</div> <br /> <ul> <li style="text-align: justify;">Al menos tienen que tener una letra.</li> <li style="text-align: justify;">Al menos una letra capital.</li> <li style="text-align: justify;">Al menos un número.</li> <li style="text-align: justify;">No deben contener caracteres secuencialmente idénticos.</li> <li style="text-align: justify;">No debe ser la misma cadena que el nombre de usuario.</li> <li style="text-align: justify;">Al menos debe contener 8 caracteres.</li> <li style="text-align: justify;">No debe ser una contraseña común (conocida)</li> <li style="text-align: justify;">No ha de haberse usado durante el año anterior.</li> </ul> <div style="text-align: justify;"> Con todas estas reglas y una lista de gritones de contraseñas tenemos, no como construir una contraseña, sino como filtrar esa lista de contraseñas a través de expresiones regulares y quedarnos con una lista más ligerita y certera. Por ejemplo de nada nos serviría ir probando una secuencia de números o palabras que no contengan una mayúscula o passwords con menos de 8 caracteres.<br /> </div> <h3 style="text-align: justify;"> ¿Qué pinta tendría el password de una famosa?</h3> <br /> <div style="text-align: justify;"> Veamos, ¿Alguien se imagina a nuestra actriz favorita activando la doble autenticación? No, ¿verdad? Es posible que Noomi Rapace si, pero el resto seguro que no. ¿Os imagináis también a la famosa metiendo una contraseña robusta y a prueba de hackers?</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Con las reglas arriba mencionadas una contraseña que deje pasar el sistema como válida tendría una pinta parecida a esta. Por cierto, cuando el sistema comienza a responder con mensajes del tipo "Contraseña no válida, debe tener al menos…" vamos relajando la complejidad porque el humano termina cansándose de la dichosa maquinita y cansancio y relax son el efecto y la consecuencia. Una tarea repetitiva termina bajando la guardia del que la realiza.</div> <br /> <ul> <li style="text-align: justify;">Una letra capital: la primera letra</li> <li style="text-align: justify;">Al menos un número: posiblemente dos (días, años, edad…) y al final, es típico.</li> <li style="text-align: justify;">Al menos 8 caracteres: de acuerdo, dos cifras al final nos deja 6 letras al comienzo.</li> <li style="text-align: justify;">No deben repetirse caracteres: perfecto, estrechamos el universo.</li> <li style="text-align: justify;">No debe ser igual al nombre de usuario: menos intentos todavía.</li> <li style="text-align: justify;">Y lo más importante y que está en la cabeza de la gran mayoría: tienes que memorizarlo.</li> </ul> <br /> <div style="text-align: justify;"> <b>Obviemos el resto de reglas. ¿Convincente?: Jlawrence90</b></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Evidentemente no es la contraseña (eso esperamos) simplemente la base sobre la que ir construyendo contraseñas inspiradas en la reglas que en principio deberían servir para robustecerlas y lo que conocemos de la persona objetivo.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Por cierto. <a href="http://unaaldia.hispasec.com/2005/02/la-pregunta-secreta-del-caso-hilton.html">¿Alguien sabe como se llama el perro de Jennifer Lawrence?</a></div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> Fuente: <a href="http://unaaldia.hispasec.com/2014/09/la-arquera-y-su-manzana.html" rel="nofollow" target="_blank">Hispasec</a></div>

A estas alturas, cuando solo una pequeña porción de la humanidad aun no ha visto a la señorita Lawrence posar en una incomoda intimidad, ...

Leer más »

123456, la peor contraseña de 2013

<div style="text-align: justify;"> La empresa de seguridad informática <a href="http://splashdata.com/press/worstpasswords2013.htm" rel="nofollow" target="_blank">SplashData publicó el listado con las claves más utilizadas por los usuarios</a>, basado en millones de contraseñas expuestas por hackers durante el último año.<br /> <br /> De forma habitual, la palabra <i>password</i> suele ser la clave elegida por miles de usuarios incautos, pero durante 2013 hubo una combinación tan popular como insegura, que terminó por desplazarla del ranking de las peores contraseñas de 2013: 123456. El listado analiza las bases de datos que los hackers publican desde 2011 para exponer las fallas en los sistemas informáticos, y elige las peores en función de la facilidad con que pueden ser descubiertas; en este caso, porque son demasiado comunes, y no combinan letras, números, mayúsculas y minúsculas, como sugieren los expertos. </div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidHfhp1cXlZcnjxPAlU5sYsl9ejhdJ8RztzzozuvSy-lXFG3Bj_98SnobF5kILsss_Z7k7ffpjKBNknji1EqIyEutNZK5Wj-zepmHCyuHVdX2eQ06fbhgHNJUvr_uUrc9hHVjvK87DR_2q/s1600/peor+contrase%C3%B1a.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="266" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidHfhp1cXlZcnjxPAlU5sYsl9ejhdJ8RztzzozuvSy-lXFG3Bj_98SnobF5kILsss_Z7k7ffpjKBNknji1EqIyEutNZK5Wj-zepmHCyuHVdX2eQ06fbhgHNJUvr_uUrc9hHVjvK87DR_2q/s1600/peor+contrase%C3%B1a.jpg" width="400" /></a></div> <div style="text-align: justify;"> <br /> <br /> En esta ocasión, SplashData basó gran parte de su análisis en las <a href="http://blog.segu-info.com.ar/2013/11/adobe-130-millones-de-credenciales-en.html" rel="nofollow" target="_blank">130 millones de contraseñas expuestas en una brecha de seguridad en los sistemas de Adobe</a>, junto a otras filtraciones que ocurrieron durante el pasado año. Como antecedente, la empresa de seguridad informática Symantec había detallado que <i> 123456 </i> era la <a href="http://www.symantec.com/connect/blogs/top-500-worst-passwords-all-time" rel="nofollow" target="_blank">contraseña más utilizada de todos los tiempos</a> .<br /> <br /> Otra de las peores combinaciones utilizadas durante el pasado año y que aparecen en el top ten fueron:<br /> </div> <ol style="text-align: justify;"> <li>123456</li> <li>password</li> <li>12345678</li> <li>qwerty</li> <li>abc123</li> <li>123456789</li> <li>111111</li> <li>1234567</li> <li>iloveyou</li> <li>adobe123</li> </ol> <div style="text-align: justify;"> Fuente: <a href="http://www.lanacion.com.ar/1656990-123456-al-tope-del-ranking-de-las-peores-contrasenas-de-2013" target="_blank">La Nación</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

La empresa de seguridad informática SplashData publicó el listado con las claves más utilizadas por los usuarios , basado en millones de c...

Leer más »