Los usuarios de GitHub son retenidos por el dolor del texto plano
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
El reciente ataque a los repositorios de GitHub pone de manifiesto un problema bien conocido en el sector de la seguridad: la mayoría de los desarrolladores no están suficientemente concienciados en materia de seguridad, y los datos valiosos podrían estar en peligro en cualquier momento.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
