Video: Bots y Botnet (Preparación CompTIA Security+) (Noviembre 2024)
A principios de esta semana, Trustwave lanzó su estudio en una red de bots masiva, una de las muchas administradas usando el controlador de botnet de Pony. Los investigadores obtuvieron el control de la botnet, tomando el lugar de su servidor de Comando y Control. Una vez en control, descubrieron que la red de bots había logrado robar alrededor de dos millones de contraseñas de computadoras infectadas. También descubrieron algo que la mayoría de nosotros ya sabemos: que las personas son terribles con las contraseñas.
Llegar a las contraseñas
Los dos millones de cuentas comprometidas se distribuyeron entre 1, 58 millones de credenciales de sitios web, 320, 000 inicios de sesión de correo electrónico, 41, 000 cuentas FTP, 3, 000 credenciales de escritorio remoto y 3, 000 credenciales de cuenta de Secure Shell es un recorrido significativo. La preocupación, por supuesto, es cuántos de los usuarios afectados habían seleccionado la misma contraseña para otros sitios.
Los investigadores encontraron 318, 121 credenciales de Facebook que representaron el asombroso 57 por ciento del total. Yahoo fue el siguiente con aproximadamente 60, 000 cuentas, seguido de 21, 708 cuentas de Twitter, 8, 490 contraseñas de LinkedIn y 7, 978 cuentas para el proveedor de nómina ADP. Este último es un poco inusual, pero también bastante dañino, ya que les da a los atacantes acceso a la información personal de las víctimas.
Lo que más me asustó fueron las 16.095 credenciales de Google.com y 54.437 credenciales de la cuenta de Google. Esto podría permitir a los atacantes acceder a Gmail y, a partir de ahí, restablecer otras contraseñas utilizando la función "Olvidé mi contraseña" en los sitios web. También podría dar a los atacantes acceso a archivos privados en Google Drive o información de pago en Google Wallet.
Todo esto no significa que hubo un ataque masivo contra estos sitios. Es más probable que los delincuentes hayan logrado recolectar estas direcciones a través de múltiples medios, como phishing y keyloggers, y las hayan almacenado en estos servidores. Podrían venderlos a otros compradores o guardarlos para uso futuro.
Contraseñas terribles, otra vez
Trustwave desglosó las contraseñas en categorías: seis por ciento de ellas eran "terribles", mientras que 28 por ciento eran "malas". Un 22 por ciento combinado era "bueno" o "excelente" y el 44 por ciento era "medio". Entre los peores estaban: 123456, 123456789, 1234 y "contraseña".
La mayoría de las contraseñas no mezclaban letras y números. La mayoría de las contraseñas eran todas letras (el mismo caso) o todos los números, seguidos de las contraseñas que tenían dos tipos (combinación de letras mayúsculas y minúsculas, o letras minúsculas con números, por ejemplo), dijo Trustwave.
Un buen hallazgo fue que casi la mitad (46 por ciento) de las contraseñas tenían contraseñas largas, de 10 caracteres o más. La mayoría de las contraseñas estaban dentro del rango de seis a nueve caracteres, dijo Trustwave.
Objetivos de alto perfil
En lo que respecta a Lucas Zaichkowsky, un arquitecto de datos empresariales en AccessData, la mayor preocupación es que los delincuentes buscarán cuentas que pertenezcan a personas "en organizaciones objetivo de alto valor". Si resulta que estas personas usaron las mismas contraseñas en estos sitios, así como para recursos relacionados con el trabajo, entonces los atacantes pueden ingresar a la red corporativa a través de VPN o correo electrónico a través de un cliente basado en la web, señaló Zaichkowksy.
"Pueden vender las valiosas cuentas a otros en el mercado negro que pagan mucho dinero por credenciales válidas que los llevan a organizaciones objetivo rentables", dijo Zaichkowksy.
Las personas usan sus direcciones de correo electrónico de trabajo para actividades personales, como registrarse en cuentas en Facebook. César Cerrudo, CTO de IOActive, encontró que varios militares, incluidos generales y tenientes generales ("futuros generales", los llamó Cerrudo) habían usado sus direcciones de correo electrónico.mil para crear cuentas en el sitio de viajes Orbitz, la compañía de GPS garmin.com, Facebook, Twitter y Skype, por nombrar algunos. Esto hace que la posibilidad de reutilizar la contraseña sea aún más problemática, ya que estas personas son muy valiosas como objetivos y tienen acceso a mucha información confidencial.
El Director de Ingeniería de Qualys, Mike Shema, dijo que ve esperanza en el futuro. "Mirando hacia 2014, la autenticación de dos factores continuará ganando impulso en toda la tecnología empresarial y de consumo, y muchas aplicaciones comenzarán a adoptar también dos factores. También veremos el aumento de la criptoingeniería inteligente para contraseñas de autenticación múltiple". " La autenticación de dos factores requiere un segundo paso de autenticación, como un código especial enviado por mensaje de texto.
Mantenerse seguro
El consenso general es que estas contraseñas se obtuvieron de las máquinas de los usuarios y no robaron información de inicio de sesión de los sitios, lo cual es un cambio agradable de ritmo. Los keyloggers son probablemente sospechosos, y particularmente peligrosos. Estas aplicaciones maliciosas no solo pueden capturar pulsaciones de teclas, sino que también pueden capturar capturas de pantalla, el contenido de su portapapeles, los programas que inicia, los sitios que visita e incluso filtrar conversaciones de mensajería instantánea y conversaciones de correo electrónico. Afortunadamente, la mayoría de los programas antivirus deberían tenerlo cubierto. Recomendamos a los ganadores del premio Editors 'Choice Webroot SecureAnywhere AntiVirus (2014) o Bitdefender Antivirus Plus (2014).
Tenga en cuenta que algunos programas AV no bloquean "greyware" o "programas potencialmente no deseados de forma predeterminada. Los keyloggers a veces entran en esta categoría, así que asegúrese de habilitar esta función.
La suplantación de identidad y otras tácticas para engañar a las víctimas para que proporcionen información de contraseña son más difíciles de bloquear. Afortunadamente, tenemos muchos consejos sobre cómo detectar ataques de phishing y cómo evitar
Lo más importante es que las personas usen un administrador de contraseñas. Estas aplicaciones crean y almacenan contraseñas únicas y complejas para cada sitio o servicio que utiliza. También lo iniciarán automáticamente, lo que hará que sea mucho más difícil para los keyloggers arrebatar su información. Asegúrese de probar Dashlane 2.0 o LastPass 3.0, ambos ganadores del premio Editors 'Choice para la administración de contraseñas.
