T3 Ep139: ¿Las reglas de contraseña son como correr bajo la lluvia?

T3 Ep139: ¿Las reglas de contraseña son como correr bajo la lluvia?

Sello de tiempo: 15 de junio de 2023 12:43 p.m.
T3 Ep139: ¿Son las reglas de contraseñas como correr bajo la lluvia? PlatoBlockchain Inteligencia de Datos. Búsqueda vertical. Ai.
by Paul patito

NO ADQUIERAS EL HÁBITO DE UN MAL HÁBITO

Memoria de núcleo magnético. Martes de Parches y travesuras de SketchUp. Más Mitigaciones de MOVEit. Monte gox Atrás en las noticias. Gozi delincuente malicioso encarcelado al fin. ¿Son las reglas de contraseña como corriendo bajo la lluvia?

¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.

Con Doug Aamoth y Paul Ducklin. Música de introducción y salida de Edith Mudge.

Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.

LEER LA TRANSCRIPCIÓN

DOUG.  Martes de parches, merecido del delito cibernético y diversión con contraseñas.

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Pablo, ¿cómo estás hoy?

PATO.  Doug, no debería decir esto... pero porque sé lo que viene Esta semana en la historia de la tecnología, porque me diste un adelanto, ¡estoy muy emocionada!

DOUG.  Muy bien, bueno, ¡vamos directo a ello!

Esta semana, el 15 de junio, allá por 1949, Jay Forrester, profesor en el Instituto Tecnológico de Massachusetts, o MIT, escribió...

PATO.  [FALSO DE DRAMA] ¿No digas eso como si fueras de Boston y fueras todo presumido al respecto, Doug? [RISA]

DOUG.  Oye, es un hermoso campus; He estado allí muchas veces.

PATO.  También es una especie de escuela de ingeniería famosa, ¿no? [RISAS]

DOUG.  ¡Seguro que lo es!

Jay Forrester escribió una propuesta de "memoria de núcleo" en su cuaderno y luego instalaría una memoria de núcleo magnético en la computadora Whirlwind del MIT.

Este invento hizo que las computadoras fueran más confiables y rápidas.

La memoria central siguió siendo la opción popular para el almacenamiento de computadoras hasta el desarrollo de los semiconductores en la década de 1970.

PATO.  Es una idea fantásticamente simple una vez que sabes cómo funciona.

Diminutos núcleos magnéticos de ferrita, como los que se encuentran en el centro de un transformador... como arandelas superminiatura.

Fueron magnetizados, ya sea en sentido horario o antihorario, para significar cero o uno.

Literalmente era almacenamiento magnético.

Y tenía la peculiaridad, Douglas, de que debido a que la ferrita esencialmente forma un imán permanente...

…puedes remagnetizarlo, pero cuando apagas la alimentación, permanece magnetizado.

¡Así que no era volátil!

Si tuvo un corte de energía, básicamente podría reiniciar la computadora y continuar donde lo dejó.

¡Impresionante!

DOUG.  Excepcional, sí... eso es realmente genial.

PATO.  Aparentemente, el plan original del MIT era cobrar una regalía de US$0.02 por bit sobre la idea.

¿Te imaginas lo caro que sería, digamos, una memoria de iPhone de 64 gigabytes?

Sería en los miles de millones de dólares! [RISAS]

DOUG.  Irreal.

Bueno, algo de historia interesante, pero llevémosla a la actualidad.

No hace mucho tiempo... Martes de parches de Microsoft.

Sin días cero, pero aún así muchas correcciones, Pablo:

Patch Tuesday corrige 4 errores críticos de RCE y un montón de agujeros de Office

PATO.  Bueno, no hay días cero este mes si ignora ese agujero de ejecución remota de código de Edge del que hablamos la semana pasada.

DOUG.  Hmmmmmm

PATO.  Técnicamente, eso no es parte del martes de parches...

…pero hubo 26 errores de ejecución remota de código [RCE] en total y 17 errores de elevación de privilegios [EoP].

Ahí es donde ya están los delincuentes, pero aún no pueden hacer mucho, por lo que luego usan el error EoP para obtener superpoderes en su red y hacer cosas mucho más cobardes.

Cuatro de esos errores de ejecución remota de código fueron denominados "Críticos" por Microsoft, lo que significa que si usted es una de esas personas a las que todavía les gusta hacer sus parches en un orden específico, esos son los que le sugerimos que comience.

La buena noticia sobre los cuatro parches críticos es que tres de ellos se relacionan con el mismo componente de Windows.

Por lo que puedo entender, se trataba de un montón de errores relacionados, presumiblemente encontrados durante algún tipo de revisión del código de ese componente.

Lo que se relaciona con el Servicio de mensajería de Windows, si lo usa en su red.

DOUG.  Y todos hemos sido agradecidos colectivamente por nuestra paciencia con la debacle de SketchUp, que no sabía que existía hasta ahora.

PATO.  Al igual que tú, Doug, nunca he usado este programa llamado SketchUp, que creo que es un programa de gráficos 3D de terceros.

¿Quién sabía que sería genial poder colocar imágenes 3D de SketchUp en sus documentos de Word, Excel, PowerPoint?

Como puede imaginar, con un nuevo formato de archivo para analizar, interpretar, procesar, representar dentro de Office...

…Microsoft introdujo un error que se corrigió como CVE-2023-33146.

Pero la historia oculta detrás de la historia, por así decirlo, es que el 01 de junio de 2023, Microsoft anunció que:

La capacidad de insertar gráficos de SketchUp se ha desactivado temporalmente en Word, Excel, PowerPoint y Outlook para Windows y Mac.

Agradecemos su paciencia mientras trabajamos para garantizar la seguridad y la funcionalidad de esta función.

Me alegra que Microsoft aprecie mi paciencia, pero tal vez desearía que Microsoft hubiera sido un poco más paciente antes de introducir esta característica en Office en primer lugar.

Ojalá lo hubieran puesto allí *después* de que estuviera seguro, en lugar de ponerlo para ver si estaba seguro y descubrir, como dices (¡sorpresa!, sorpresa!), que no lo estaba.

DOUG.  Excelente.

Sigamos con el tema de la paciencia.

Dije que "vigilaríamos esto", y esperaba que no tuviéramos que vigilar esto.

Pero tenemos que aliterarlo un poco, como hiciste en el titular.

Más mitigaciones de MOVEit: nuevos parches publicados para mayor protección, Pablo.

Más mitigaciones de MOVEit: nuevos parches publicados para mayor protección

PATO.  Es ese viejo problema de MOVEit otra vez: el Error de inyección de SQL.

Eso significa que si está utilizando el programa MOVEit Transfer y no lo ha parcheado, los delincuentes que pueden acceder a la interfaz web pueden engañar a su servidor para que haga cosas malas...

…hasta e incluyendo la incrustación de un webshell que les permitirá entrar más tarde y hacer lo que quieran.

Como saben, se emitió un CVE y Progress Software, los creadores de MOVEit, lanzaron un parche para solucionar el conocido exploit en la naturaleza.

Ahora tienen otro parche para lidiar con errores similares que, hasta donde saben, los delincuentes aún no han encontrado (pero si buscaron lo suficiente, podrían encontrarlo).

Y, por extraño que suene, cuando descubre que una parte particular de su software tiene un error de un tipo particular, no debería sorprenderse si, cuando profundice más...

… descubre que el programador (o el equipo de programación que trabajó en él en el momento en que se introdujo el error que ya conoce) cometió errores similares al mismo tiempo.

Muy bien hecho en este caso, diría, a Progress Software por tratar de lidiar con esto de manera proactiva.

El software de progreso acaba de decir: “Todos los clientes de Move It deben aplicar el nuevo parche lanzado el 09 de junio de 2023.

DOUG.  Bien, supongo que... ¡vigilaremos eso!

Paul, ayúdame aquí.

Estoy en el año 2023, leyendo en un Titular de seguridad desnuda algo sobre “Mt. Gox.

¿Qué me está pasando?

Revisión de la historia: el Departamento de Justicia de EE. UU. revela los cargos de ciberdelincuencia de Mt. Gox

PATO.  Monte Gox!

“Magic The Gathering Online Exchange”, Doug, como era…

DOUG.  [RISAS] ¡Por supuesto!

PATO.  … donde puedes intercambiar cartas de Magic The Gathering.

Ese dominio se vendió, y aquellos con mucha memoria sabrán que se convirtió en el intercambio de Bitcoin más popular y, con mucho, el más grande del planeta.

Estaba dirigido por un expatriado francés, Mark Karpelès, fuera de Japón.

Aparentemente, todo iba a la perfección hasta que estalló en una nube de polvo de criptomonedas en 2014, cuando se dieron cuenta de que, en términos generales, todos sus Bitcoins habían desaparecido.

DOUG.  [RISAS] ¡No debería reírme!

PATO.  647,000 de ellos, o algo así.

E incluso en ese entonces, ya valían alrededor de $ 800 cada uno, por lo que era un valor de medio billón de dólares estadounidenses en "puff".

Curiosamente, en ese momento, muchos dedos señalaron al propio equipo de Mt. Gox y dijeron: "Oh, esto debe ser un trabajo interno".

Y, de hecho, el día de Año Nuevo, creo que fue en 2015, un periódico japonés llamado Yomiuri Shimbun publicó un artículo que decía: "Hemos investigado esto, y el 1 % de las pérdidas se puede explicar con la excusa de que se me ocurrió; por lo demás, vamos a dejar constancia de que fue un trabajo interno”.

Ahora, ese artículo que publicaron, que causó mucho drama porque es una acusación bastante dramática, ahora da un error 404 [página HTTP no encontrada] cuando lo visitas hoy.

DOUG.  ¡Muy interesante!

PATO.  Así que no creo que lo soporten más.

Y, de hecho, el Departamento de Justicia [DOJ] de los Estados Unidos finalmente, todos estos años después, acusó a dos ciudadanos rusos básicamente de robar todos los Bitcoins.

Así que parece que Mark Karpelès obtuvo al menos una exoneración parcial, cortesía del Departamento de Justicia de EE. UU., porque definitivamente pusieron a estos dos tipos rusos en el marco de este crimen hace tantos años.

DOUG.  Es una lectura fascinante.

Así que échale un vistazo en Naked Security.

Todo lo que tiene que hacer es buscar, lo adivinó, “Mt. Gox”.

Quedémonos en el tema del cibercrimen, ya que uno de los principales delincuentes detrás del malware bancario Gozi ha aterrizó en la cárcel después de diez largos años, Paul:

El "jefe de TI" del malware bancario Gozi finalmente encarcelado después de más de 10 años

PATO.  Sí… fue un poco como esperar el autobús.

Dos asombrosas historias de "wow, esto sucedió hace diez años, pero al final lo atraparemos" llegaron a la vez. [RISA]

Y este, pensé, era importante escribirlo de nuevo, solo para decir: “Este es el Departamento de Justicia; no se olvidaron de él”.

De hecho. Fue arrestado en Colombia.

Creo que hizo una visita, y estaba en el aeropuerto de Bogotá, y supongo que los funcionarios fronterizos pensaron: "¡Oh, ese nombre está en una lista de vigilancia"!

Entonces, aparentemente, los funcionarios colombianos pensaron: “Contactemos al Servicio Diplomático de los Estados Unidos”.

Dijeron: "Oye, tenemos un tipo aquí con el nombre de (no mencionaré su nombre, la t está en el artículo)... solías estar interesado en él, en relación con delitos de malware multimillonarios muy graves. . ¿Sigues interesado, por casualidad?

Y qué sorpresa, Doug, EE. UU. estaba realmente muy interesado.

Entonces, fue extraditado, se enfrentó a la corte, se declaró culpable y ahora ha sido sentenciado.

Solo recibirá tres años de prisión, lo que puede parecer una sentencia leve, y tiene que devolver más de $3,000,000.

No sé qué sucede si no lo hace, pero supongo que es solo un recordatorio de que al huir y esconderse de la delincuencia relacionada con el malware...

…bueno, si hay cargos en su contra y EE. UU. lo está buscando, no se limitan a decir: “Ah, son diez años, es mejor que lo dejemos”.

Y la criminalidad de este tipo estaba ejecutando lo que en la jerga se conoce como “anfitriones a prueba de balas”, Doug.

Ahí es básicamente donde eres una especie de ISP, pero a diferencia de un ISP regular, te esfuerzas por ser un objetivo móvil para las fuerzas del orden, las listas de bloqueo y los avisos de eliminación de los ISP regulares.

Por lo tanto, proporciona servicios, pero los mantiene, si lo desea, moviéndose y moviéndose en Internet, para que los delincuentes le paguen una tarifa y sepan que los dominios que está alojando para ellos continuarán. trabajando, incluso si la policía lo persigue.

DOUG.  Muy bien, buenas noticias de nuevo.

Paul, mientras redondeamos nuestras historias del día, usted ha lidiado con una muy difícil, matizada, pero pregunta importante sobre contraseñas.

Es decir, ¿deberíamos cambiarlos constantemente en una rotación, tal vez una vez al mes?

¿O bloquear los realmente complejos para empezar, y luego dejar lo suficientemente bien como está?

Reflexiones sobre los cambios de contraseña programados (¡no los llame rotaciones!)

PATO.  Aunque suena como una especie de historia antigua, y de hecho es una que hemos visitado muchas veces antes, la razón por la que la escribí es que un lector me contactó para preguntarme sobre esto mismo.

Él dijo: “No quiero ir al bate por 2FA; No quiero entrar en acción por los administradores de contraseñas. Esos son temas separados. Solo quiero saber cómo resolver, si lo desea, la guerra territorial entre dos facciones dentro de mi empresa, donde algunas personas dicen que necesitamos hacer las contraseñas correctamente, y otras simplemente dicen: 'Ese barco navegó, es demasiado difícil, obligaremos a la gente a cambiarlos y eso será suficiente'”.

Así que pensé que en realidad valía la pena escribir sobre ello.

A juzgar por la cantidad de comentarios sobre Naked Security y en las redes sociales, muchos equipos de TI todavía están luchando con esto.

Si solo obliga a las personas a cambiar sus contraseñas cada 30 o 60 días, ¿realmente importa si eligen una que sea eminentemente descifrable si les roban el hash?

Mientras no elijan password or secret o uno de los nombres de los diez mejores gatos del mundo, tal vez esté bien si los obligamos a cambiarla por otra contraseña no muy buena antes de que los ladrones puedan descifrarla.

¿Quizás eso es lo suficientemente bueno?

Pero tengo tres razones por las que no puedes corregir un mal hábito simplemente siguiendo otro mal hábito.

DOUG.  El primero en salir de la puerta: Cambiar las contraseñas regularmente no es una alternativa a elegir y usar contraseñas seguras, Paul.

PATO.  ¡No!

Puede elegir hacer ambas cosas (y le daré dos razones en un minuto por las que creo que obligar a las personas a cambiarlas regularmente tiene otro conjunto de problemas).

Pero la simple observación es que cambiar una contraseña incorrecta regularmente no la convierte en una contraseña mejor.

Si desea una mejor contraseña, ¡elija una mejor contraseña para comenzar!

DOUG.  Y dices: Obligar a las personas a cambiar sus contraseñas de forma rutinaria puede hacer que adquieran malos hábitos.

PATO.  A juzgar por los comentarios, este es exactamente el problema que tienen muchos equipos de TI.

Si le dices a la gente: "Oye, tienes que cambiar tu contraseña cada 30 días y será mejor que elijas una buena", todo lo que harán es...

… elegirán uno bueno.

Pasarán una semana aprendiendo de memoria por el resto de su vida.

Y luego cada mes agregarán -01, -02, Y así sucesivamente.

Entonces, si los delincuentes descifran o comprometen una de las contraseñas, y ven un patrón como ese, pueden averiguar cuál es su contraseña hoy si conocen la contraseña de hace seis meses.

Entonces, ahí es donde forzar el cambio cuando no es necesario puede llevar a las personas a tomar atajos de seguridad cibernética que no desea que tomen.

DOUG.  Y este es interesante.

Hemos hablado de esto antes, pero es algo en lo que algunas personas pueden no haber pensado: La programación de cambios de contraseña puede retrasar las respuestas de emergencia.

¿Qué quieres decir con eso?

PATO.  El punto es que si tiene un cronograma fijo y formalizado para los cambios de contraseña para que todos sepan que cuando llegue el último día de este mes, se verán obligados a cambiar su contraseña de todos modos...

…y luego piensan: “¿Sabes qué? Es el día 12 del mes y entré a un sitio web del que no estoy seguro de que podría haber sido un sitio de phishing. Bueno, voy a cambiar mi contraseña en dos semanas de todos modos, así que no iré a cambiarla ahora”.

Por lo tanto, al cambiar sus contraseñas *regularmente*, puede terminar en el hábito de que a veces, cuando es muy, muy importante, no cambie su contraseña *con la suficiente frecuencia*.

Si cree que hay una buena razón para cambiar su contraseña, ¡HÁGALO AHORA!

DOUG.  ¡Me encanta!

Muy bien, escuchemos a uno de nuestros lectores sobre la pieza de contraseña.

Philip, lector de Naked Security, escribe, en parte:

Cambiar sus contraseñas a menudo para no verse comprometido es como pensar que si corre lo suficientemente rápido, puede esquivar todas las gotas de lluvia.

Está bien, esquivarás las gotas de lluvia que caen detrás de ti, pero habrá tantas donde vayas.

Y, forzados a cambiar regularmente sus contraseñas, una gran cantidad de personas simplemente agregarán un número que pueden incrementar según sea necesario.

Como dijiste, Pablo!

PATO.  Tu amigo y el mío, Chester [Wisniewski] dijo, hace unos años cuando hablábamos de mitos de contraseñas, “Todo lo que necesitan hacer [RISAS], para averiguar cuál es el número al final, es ir a su página de LinkedIn. 'Comencé en esta empresa en agosto de 2017'... cuente la cantidad de meses desde entonces".

Ese es el número que necesitas al final.

Sophos Techknow: acabando con los mitos sobre las contraseñas

DOUG.  ¡Exactamente! [RISA]

PATO.  Y el problema es que cuando intentas programar o algoritmizar… ¿eso es una palabra?

(Probablemente no debería serlo, pero lo usaré de todos modos).

Cuando intentas tomar la idea de aleatoriedad, entropía e imprevisibilidad, y acorralarla en un algoritmo superestricto, como el algoritmo que describe cómo se distribuyen los caracteres y los números en las etiquetas de los vehículos, por ejemplo...

…entonces terminas con *menos* aleatoriedad, no *más*, y debes ser consciente de eso.

Entonces, obligar a las personas a hacer cualquier cosa que les haga caer en un patrón es, como dijo Chester en ese momento, simplemente hacer que adquieran el hábito de un mal hábito.

Y me encanta esa forma de decirlo.

DOUG.  Muy bien, muchas gracias por enviar eso, Philip.

Y si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, comentar cualquiera de nuestros artículos o contactarnos en las redes sociales: @nakedsecurity.

Ese es nuestro programa de hoy.

Muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, les recuerdo, hasta la próxima, que...

AMBAS COSAS.  ¡Mantente seguro!

[MÓDEM MUSICAL]

Sello de tiempo:

Mas de Seguridad desnuda