Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 30 de noviembre de 2007

CUIDADO CON LAS CONTRASEÑAS DÉBILES DE LOS CORREOS. ESPECIALMENTE GMAIL

Hay quienes defienden la opinión de que los sistemas deben ser los que entreguen la seguridad a los usuarios y no que de los usuarios dependa la seguridad completa del sistema. Los argumentos de los primeros son que los usuarios finales no debiesen tener entre sus preocupaciones el hecho de andar pendiente de los posibles problemas que los pueden afectar por el mal uso de sus datos (usuarios, contraseñas, etc) y privilegios. Por otro lado, quienes defienden la postura del lado del usuario indican que este es el principal responsable de que sus datos estén protegidos correctamente.

Lamentablemente en seguridad informática hay que tratar de mantener siempre los equilibrios en cuanto a este tipo de argumentos ya que el simple hecho de incilinarse por una opción y darle más "peso" a esta hará que el otro lado de la balanza esté más expuesto a amenazas por haberlo descuidado. Un ejemplo claro de esto es algún administrador que ama Linux y por eso ignora y "mira en menos" a uno de sus servidores Windows 2003, y gracias a ese descuido permite que existan backdoors donde los intrusos pueden lograr acceder a recursos privados.

Pero ¿qué tiene que ver todo esto con el título del artículo? Mucho, puesto que simplemente el servicio de GMail es vulnerable... a las contraseñas débiles. En estricto rigor no es el servicio en sí, si no que son los usuarios de GMail los vulnerables a este problema.

En el sitio http://www.0x000000.com/ se ha publicado un pequeño pero efectivo script en PHP (Bruteforcer) que permitiría a un atacante malicioso conectarse vía POP Seguro (POP+SSL) con el servidor de correos de GMail para lanzar un ataque de fuerza bruta basándose en listas de palabras con contraseñas simples y comunes. Bastaría con conocer la dirección de correo GMail que se quiera acceder y ejecutar el ataque.

En este caso, como decía, no basta con hacer un sistema súmamente seguro como lo es GMail (por eso no deben creer en tonteras como "¡Aprenda a hackear Hotmail, MSN Messenger y GMail!") y utilizar los más potentes métodos de cifrado de datos, redundancia de servidores, acceso a bases de datos protegidas y similares cuando el que comete el error final es el usuario, el eslabón más débil. A pesar de todas las estrictas políticas de seguridad de GMail, los usuarios que tengan claves como 123456,miperro, 15051975 (y todas las combinaciones posibles de fechas en ese formato) pueden ser fácilmente víctimas de robo de identidad al estar facilitando los medios para que un atacante se apodere de sus contraseñas de correo.

Les recomiendo a TODOS los usuarios de correos electrónicos, no solamente de GMail que cumpla con las siguientes recomendaciones:
1.- NO USE CONTRASEÑAS FÁCILES DE ADIVINAR. Terriblemente, si su contraseña está en uno de estos archivos entonces ya es vulnerable.

2.- NO USE SIEMPRE LA MISMA CONTRASEÑA. Es común que por comodidad utilicemos una clave para el correo de la empresa, y esa misma clave sea para todos los correos que tenemos, el acceso al sitio web de la universidad y la contraseña de inicio de sesión de su computador. Con solo recuperarla una vez ya estaría haciendo que todos los demás servicios sean vulnerables.

3.- CAMBIE SU CLAVE REGULARMENTE. Si utiliza la misma clave desde hace 6 meses, entonces cámbiela inmediatamente.

4.- POR NINGÚN MOTIVO GUARDE SU CONTRASEÑA EN EL NAVEGADOR WEB. Si la almacena ahí, bastaría que alguien que pueda acceder físicamente a su PC revise el código fuente de la página de inicio de sesión de su correo y ya tendría su clave en 5 segundos.

Si desea más información visite este enlace de Microsoft y este de Segu-Info donde indican con gran claridad cómo crear una buena contraseña.

0 comentarios:

Publicar un comentario en la entrada