The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

security

  Analizando un leak de contraseñas con Pipal

Hace unas semanas se publicó un ‘leak’, otro más, con multitud de contraseñas aparentemente asociadas a un servicio web conocido. Ya nos estamos acostumbrando a este tipo de noticias, y esta vez se ha apuntado con el dedo a la todopoderosa Google como fuente de esta publicación, con nada menos que alrededor de 5 millones de usuarios comprometidos.

Desde Google indican que no se trata de un ataque dirigido ni un compromiso de ninguno de los servidores de la empresa, sino que apuntan a que se puede tratar de una recopilación elaborada con mucha paciencia, y que menos de un 2% de las combinaciones de usuario y contraseña podrían haber funcionado. A pesar de ello nunca está de más echar un pequeño vistazo a las credenciales publicadas y, además de comprobar si nosotros o amigos y familiares están comprometidos, poder realizar un pequeño análisis y comprobar el estado de la concienciación en materia de seguridad de las contraseñas.

Para la primera tarea nos ponemos a buscar por el documento de texto y nos quedamos tranquilos tras comprobar que ni nosotros ni ningún conocido aparecen en esta publicación. Si no has podido obtener este ‘leak’ puedes acceder al proyecto Have I been pwned? del investigador de seguridadTroy Hunt, que recopila cuentas de correo comprometidas en este y otros ‘leaks’ importantes, y comprobar tus cuentas de correo.

Para la segunda tarea, vamos a emplear una utilidad que realiza el análisis de forma automática. La utilidad se llama Pipal y ha sido creada por Robin Wood (@digininja) precisamente para esta tarea: analizar los listados de contraseñas obtenidos, en su caso tras realizar las auditorías de seguridad que Robin lleva a cabo durante su trabajo habitual. Como el propio Robin indica “Antes de continuar debo resaltar que lo único que hace esta aplicación es proporcionar las estadísticas e información necesaria para ayudarte a analizar las contraseñas. El verdadero trabajo lo debes realizar tú interpretando los resultados. Yo te doy los números, tú cuentas la historia”.

Veamos como funciona la aplicación y los resultados que nos puede mostrar. Pipal se puede descargar desde github, y es una aplicación en Ruby autocontenida que podemos ejecutar en cualquier instalación estándar de Ruby, sin ningún otro requisito adicional.

$ ./pipal/pipal.rb -?
pipal 3.1 Robin Wood (robin@digi.ninja) (http://digi.ninja)

Usage: pipal [OPTION] ... FILENAME
     --help, -h, -?: show help
     --top, -t X: show the top X results (default 10)
     --output, -o

  EFF: WhatsApp y Telegram son más seguras que BBM

EFF: WhatsApp y Telegram son más seguras que BBM

  • La EFF ha realizado un estudio donde se muestra la falta de seguridad en servicios cotidianos
  • Desde correo electrónico a mensajería por móviles, nuestra información está comprometida
  • Ésta es parte de una campaña de concienciación cuyo objetivo es el usuario

La polémica vuelve a la carga. ¿Hay seguridad en los servicios de comunicación y mensajería? Aunque cada día somos más conscientes de que nuestros correos o mensajes podrían estar siendo espiados por distintas compañías la EFF (Electronic Frontier Foundation) ha dejado claro que no, que muy pocos son los servicios que cumplen con el mínimo.

En un estudio desvelado esta misma semana por la EFF se muestra que ni si quiera los servicios más masivos y utilizados por los usuarios, es decir los que ofrece Apple, Google, Facebook o Yahoo cumplen con algunas cuestiones que deberían ser básicas para proteger nuestra información. Entre estas, por ejemplo, se encuentran la encriptación end-to-end es decir, aquella que codifica el mensaje al salir del emisor y solo vuelve a decodificarlo al confirmarse la llegada a su receptor correcto.

La EFF denuncia la falta de seguridad

De hecho, algunos de los servicios más populares carece completamente de encriptación permitiendo que la información sufra de numerosas vulnerabilidades que podrían usarse para robarla. La EFF ha estudiado más de una treintena de servicios, de los cuales algunos se cuentan entre nuestro uso diario. Correo, mensajería, envío de imágenes, servicios de voz, nada se ha escapado al análisis de la EFF. Además, para analizar dichos servicios, en el extenso informe la EFF se ha parado a analizar siete factores principales.

EFFDetalle de algunas de las Apps analizadas. Fuente: EFF.

Entre ellos la capacidad de codificación, la verificación de contactos, si el proveedor se encuentra comprometido o si el código ha sido objeto de una auditoría de seguridad, por ejemplo. Sus conclusiones son claras: aunque creas que la información que estás publicando se encuentra “segura”, aunque tomes medidas para controlar lo que envías, tu información no está a salvo por mucho que te esfuerces. Pero ¿a salvo de quién? Desde hackers con intenciones dañinas a compañías con una ética dudosa, el acceso a tu información aunque resulte difícil es posible.

Las Apps más y menos seguras

Según el análisis las aplicaciones y servicios más seguros son precisamente lo más desconocidos. Entre ellos se encuentran nombres que suenan vagamente como ChatSecure, Cryptocat, Silent Phone, Silent Text o TextSecure. Estos servicios son de uso minoritario precisamente por que suelen emplearse dentro de círculos cerrados, por su complejidad o sencillamente por que la gente aún siendo consciente de la problemática no valora adecuadamente hasta que punto su información está comprometida en las redes

Los servicios más seguros son los más desconocidos para los usuariosDentro del análisis de la EFF algunos de los servicios populares más seguros son los ofrecidos por empresas como Apple. Apple Mail y Messenger continúan entre los mejores aunque ninguno de los dos, afirman desde EFF, superaría una prueba sofisticada de hackeo. Otros como los de Google, Yahoo o Facebook ofrecen medidas generales de seguridad pero fallan en puntos críticos como la ya mentada encriptación “end-to-end” dejando una vulnerabilidad a explotar muy fuerte.

Otro servicios, especialmente los utilizados para comunicarse de manera más “privada” como Snapchat, Secret o Whatsapp, BlackBerry Messenger o Viber fallan precisamente en las mismas cuestiones o incluso en algunas más básicas, haciéndolos más vulnerables si cabe. EFF ha realizado este estudio en su “campaña por la seguridad y una codificación mas práctica” donde quieren poner en evidencia la necesidad de concienciar a los usuarios y desarrollar herramientas que nos den al mismo tiempo comodidad y seguridad. Podéis consultar las aplicaciones revisadas en el catálogo mostrado por la EFF.