Los usuarios de GitHub son retenidos por el dolor del texto plano
Los usuarios de GitHub son retenidos por el dolor del texto plano
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
Pieter Danhieux
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Artículos relacionados que recomendamos
Artículos relacionados que recomendamos
Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.
Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.
Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores
Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.
Los usuarios de GitHub son retenidos por el dolor del texto plano
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
