Violación del código fuente de LastPass: ¿seguimos recomendando administradores de contraseñas? PlatoBlockchain Inteligencia de Datos. Búsqueda vertical. Ai.

Violación del código fuente de LastPass: ¿seguimos recomendando administradores de contraseñas?

Marca de tiempo: 29 de agosto de 2022 12:59 p.m.

by
Paul patito

Como sin duda ya sabe, debido a que la historia ha estado en todas las noticias y redes sociales recientemente, el administrador de contraseñas ampliamente conocido y utilizado LastPass informó la semana pasada un violación de la seguridad.

La brecha en sí ocurrió dos semanas antes de eso, dijo la compañía, e involucró a atacantes que ingresaron al sistema donde LastPass guarda el código fuente de su software.

A partir de ahí, informó LastPass, los atacantes "Tomó partes del código fuente y alguna información técnica patentada de LastPass".

No escribimos este incidente la semana pasada, porque no parecía haber mucho que pudiéramos agregar al informe del incidente de LastPass: los delincuentes revisaron su código fuente patentado y su propiedad intelectual, pero aparentemente no llegaron a cualquier dato de cliente o empleado.

En otras palabras, vimos esto como un problema de relaciones públicas profundamente vergonzoso para LastPass, dado que el objetivo del producto propio de la empresa es ayudar a los clientes a mantener sus cuentas en línea para ellos mismos, pero no como un incidente que pone directamente en riesgo las cuentas en línea de los clientes.

Sin embargo, durante el fin de semana pasado recibimos varias preguntas preocupadas de los lectores (y vimos algunos consejos engañosos en las redes sociales), por lo que pensamos en analizar las preguntas principales que hemos recibido hasta ahora.

Después de todo, recomendamos regularmente a nuestros lectores y oyentes de podcasts considerar el uso de un administrador de contraseñas, aunque también hemos escrito numeroso EN LINEA errores en contraseña gerente herramientas sobre el años.

Por lo tanto, hemos reunido seis preguntas y respuestas a continuación para ayudarlo a tomar una decisión informada sobre el futuro de los administradores de contraseñas en su propia vida digital.

Q1. ¿Qué pasa si mi administrador de contraseñas es pirateado?

A1. Esa es una pregunta perfectamente razonable: si pone todos sus huevos de contraseña en una canasta, ¿no se convierte esa canasta en un único punto de falla?

De hecho, esa es una pregunta que nos han hecho con tanta frecuencia que tener un video específicamente para responderla (haga clic en el engranaje mientras juega para activar los subtítulos o para acelerar la reproducción):

[Contenido incrustado]

Q2. Si uso LastPass, ¿debo cambiar todas mis contraseñas?

A2. Si desea cambiar algunas o todas sus contraseñas, no lo disuadiremos.

(Una cosa útil acerca de un administrador de contraseñas, como explicamos en el video anterior, es que es mucho más rápido, fácil y seguro cambiar contraseñas, porque no tiene que intentar inventar y recordar docenas de cadenas de texto nuevas y complicadas en prisa.)

Sin embargo, según todos los informes, este incidente de seguridad no tiene nada que ver con que los delincuentes obtengan ninguno de sus datos personales, y menos aún sus contraseñas, que de todos modos no se almacenan en los servidores de LastPass en una forma utilizable. (Ver P5.)

Este ataque no parece implicar una vulnerabilidad o un exploit contra el software LastPass mediante el cual los delincuentes podrían atacar las contraseñas encriptadas en su bóveda de contraseñas, o involucrar malware que sepa cómo infiltrarse en el proceso de descifrado de contraseñas en sus propias computadoras. .

Además, no implica el robo de ninguna información de identificación personal del cliente de la "vida real", como números de teléfono, códigos postales o números de identificación individuales que podrían ayudar a los atacantes a persuadir a los servicios en línea para que restablezcan sus contraseñas utilizando trucos de ingeniería social.

Por lo tanto, no creemos que necesite cambiar sus contraseñas. (Por lo que vale, LastPass tampoco).

Q3. ¿Debería renunciar a LastPass y cambiarme a un competidor?

A3. Esa es una pregunta que tendrás que responder por ti mismo.

Como dijimos anteriormente, a pesar de lo vergonzoso que es este incidente para LastPass, parece que no se violaron datos personales ni se robaron datos relacionados con contraseñas (cifrados o de otro tipo), solo el código fuente de la empresa y la información patentada.

¿Se deshizo de Chrome cuando Google es reciente? día cero salvaje ¿Se anunció el exploit? O productos de Apple después de la última doble juego de día cero? O Windows después de cualquier Actualización de Patch Tuesday ¿En qué errores de día cero se corrigieron?

De lo contrario, asumimos que está dispuesto a juzgar la probable confiabilidad futura de la seguridad cibernética de una empresa por cómo reaccionó la última vez que ocurrió un error o una infracción, especialmente si el error de la empresa no lo puso en riesgo de manera directa e inmediata.

Le sugerimos que lea el LastPass informe de incidentes y preguntas frecuentes por sí mismo, y decida sobre esa base si todavía está dispuesto a confiar en la empresa.

Q4. ¿El código fuente robado no significa que los hacks y exploits están obligados a seguir?

A4. Esa es una pregunta razonable, y la respuesta no es sencilla.

En términos generales, el código fuente es mucho más fácil de leer y comprender que su equivalente "binario" compilado, especialmente si está bien comentado y usa nombres significativos para cosas como variables y funciones dentro del software.

Como un ejemplo un tanto sintético pero fácil de seguir, compare el código fuente de Lua a la izquierda abajo con el código de bytes compilado (como Java, Lua se ejecuta en una máquina virtual) a la derecha:

A la izquierda: Código fuente legible y comentado.
A la derecha: Código de bytes de Lua compilado, tal como se ejecuta en tiempo de ejecución.

En teoría, por lo tanto, el código fuente significa que debería ser más rápido y más fácil determinar exactamente cómo funciona el software, incluida la detección de errores de programación o errores de seguridad cibernética, y por lo tanto, las vulnerabilidades deberían ser más fáciles de encontrar y los exploits más rápidos de diseñar.

En la práctica, es cierto que adquirir el código fuente para acompañar los archivos binarios compilados que está tratando de aplicar ingeniería inversa rara vez, o nunca, hará que el trabajo sea más difícil y, a menudo, lo hará más fácil.

Habiendo dicho eso, debe recordar que Microsoft Windows es un sistema operativo de código cerrado y, sin embargo, muchos, si no la mayoría, de los agujeros de seguridad solucionados cada mes en Patch Tuesday se realizaron mediante ingeniería inversa directamente a partir de archivos binarios precompilados.

En otras palabras, mantener en secreto su código fuente nunca debe considerarse una parte vital de ningún proceso de ciberseguridad.

También debe recordar que muchos proyectos confían explícitamente en hacer público su código fuente, no solo para que cualquiera pueda escudriñarlo, sino también para que cualquiera que quiera pueda usarlo, modificarlo y contribuir por el bien de todos.

Sin embargo, incluso los principales proyectos de código abierto con licencias de uso liberales, y potencialmente con muchos ojos en ese código fuente durante muchos años, han requerido parches de seguridad críticos para errores que podrían haberse detectado muchas veces, pero no lo fueron.

Por último, muchos proyectos de software propietario en la actualidad (los ejemplos incluyen el navegador Chrome de Google, el sistema operativo iOS de Apple, el cortafuegos Sophos XG y miles de herramientas de hardware y software más utilizadas) hacen un uso extensivo de numerosos componentes de código abierto.

En pocas palabras, la mayoría de los proyectos contemporáneos de código cerrado incluyen partes significativas cuyo código fuente se puede descargar de todos modos (porque la licencia lo exige) o se puede inferir (porque la licencia requiere que se documente su uso, incluso si se realizaron algunas modificaciones al código posteriormente). sido hecho).

En otras palabras, esta fuga de código fuente puede ayudar ligeramente a los posibles atacantes, pero casi con seguridad [a] no tanto como podría pensarse al principio y [b] no hasta el punto de que serán posibles nuevos exploits que nunca podrían haberse descubierto. sin el código fuente.

Q5. ¿Debería renunciar por completo a los administradores de contraseñas?

A5. El argumento aquí es que si incluso una empresa que se enorgullece de proporcionar herramientas para guardar sus secretos personales y corporativos de manera más segura no puede guardar su propia propiedad intelectual de manera segura, seguramente eso es una advertencia de que los administradores de contraseñas son una "manía de tontos".

Después de todo, ¿qué pasa si los ladrones vuelven a entrar y la próxima vez no es el código fuente lo que obtienen, sino cada contraseña individual almacenada por cada usuario individual?

Esa es una preocupación, casi podría llamarse un meme, que se ve regularmente en las redes sociales, especialmente después de una violación de este tipo: “¿Qué pasaría si los delincuentes hubieran descargado todas mis contraseñas? ¿En qué estaba pensando al compartir todas mis contraseñas de todos modos?

Esas serían preocupaciones genuinas si los administradores de contraseñas funcionaran manteniendo copias exactas de todas sus contraseñas en sus propios servidores, donde los atacantes podrían extraerlas o exigirlas las fuerzas del orden.

Pero ningún administrador de contraseñas decente basado en la nube funciona de esa manera.

En cambio, lo que se almacena en sus servidores es una base de datos cifrada o "blob" (abreviatura de objeto grande binario) que solo se descifra después de transferirse a su dispositivo y después de haber proporcionado su contraseña maestra localmente, tal vez con algún tipo de autenticación de dos factores involucrada para reducir el riesgo de compromiso local.

Ninguna contraseña en su bóveda de contraseñas se almacena nunca en una forma utilizable directamente en los servidores del administrador de contraseñas, y su contraseña maestra idealmente nunca se almacena en absoluto, ni siquiera como un hash de contraseña salado y estirado.

En otras palabras, no es necesario confiar en una empresa confiable de gestión de contraseñas para que no filtre sus contraseñas en caso de un ataque a sus bases de datos, o para que se niegue a revelarlas en caso de una orden judicial...

…porque no podría revelarlas, aunque quisiera, ya que no guarda registro de su contraseña maestra, ni de ninguna otra contraseña, en ninguna base de datos de la que pudiera extraerlas sin su acuerdo y colaboración.

(El sitio web de LastPass tiene una descripción y un diagrama, ciertamente uno bastante básico, de cómo su las contraseñas están protegidas del compromiso del lado del servidor al no ser descifrado excepto en su propio dispositivo, bajo su control directo).

Q6. Recuérdame de nuevo: ¿por qué usar un administrador de contraseñas?

A6. Resumamos los beneficios mientras estamos en ello:

  • Un buen administrador de contraseñas simplifica el buen uso de contraseñas para usted. Convierte el problema de elegir y recordar docenas, o incluso cientos, de contraseñas en el problema de elegir una contraseña realmente segura, opcionalmente reforzada con 2FA. Ya no hay necesidad de escatimar esfuerzos utilizando contraseñas "fáciles" o adivinables en cualquiera de sus cuentas, incluso las que se sienten sin importancia.
  • Un buen administrador de contraseñas no le permitirá usar la misma contraseña dos veces. Recuerde que si los delincuentes recuperan una de sus contraseñas, quizás debido a un compromiso en un solo sitio web que utiliza, probarán inmediatamente las mismas (o similares) contraseñas en todas las demás cuentas que se les ocurran. Esto puede magnificar en gran medida el daño causado por lo que de otro modo podría haber sido un compromiso de contraseña contenido.
  • Un buen administrador de contraseñas puede elegir y recordar cientos, incluso miles, de contraseñas largas, pseudoaleatorias, complejas y completamente diferentes. De hecho, puede hacer esto con la misma facilidad con la que puede recordar su propio nombre. Incluso cuando se esfuerza mucho, es difícil elegir usted mismo una contraseña verdaderamente aleatoria e indescifrable, especialmente si tiene prisa, porque siempre existe la tentación de seguir algún tipo de patrón predecible, por ejemplo, mano izquierda luego mano derecha, consonante luego vocal, fila superior-media-inferior o nombre de gato con -99 al final.
  • Un buen administrador de contraseñas no le permitirá colocar la contraseña correcta en el sitio equivocado. Los administradores de contraseñas no "reconocen" los sitios web simplemente porque "se ven bien" y tienen los logotipos e imágenes de fondo de aspecto correcto. Esto lo ayuda a protegerse del phishing, donde no se da cuenta de que la URL no es del todo correcta y coloca su contraseña (y incluso su código 2FA) en un sitio falso en su lugar.

No saque conclusiones precipitadas

Entonces, ahí está nuestro consejo sobre el tema.

Nos mantenemos neutrales con respecto a LastPass y no recomendamos específicamente ningún producto o servicio de administrador de contraseñas, incluido LastPass, por encima o por debajo de cualquier otro.

Pero cualquiera que sea la decisión que tomes sobre si estarás mejor o peor adoptando un administrador de contraseñas...

…nos gustaría asegurarnos de que lo haga por razones bien informadas.

Si tiene más preguntas, hágalas en los comentarios a continuación; haremos todo lo posible para responder a la brevedad.

Sello de tiempo:

Mas de Seguridad desnuda