En el truco de Twitter – Schneier sobre seguridad


En el truco de Twitter

Gorjeo fue hackeado esta semana. No pocas cuentas de Twitter de personas, pero todo Twitter. Alguien comprometió toda la pink de Twitter, probablemente al robar las credenciales de inicio de sesión de uno de los administradores del sistema de Twitter. Esas son las personas de confianza para garantizar que Twitter funcione sin problemas.

El hacker usó ese acceso para enviar tweets desde una variedad de cuentas populares y confiables, incluidas las de Joe Biden, Bill Gates y Elon Musk, como parte de una estafa mundana, el robo de bitcoins, pero es fácil imaginar escenarios más nefastos. . Consider que un gobierno usa este tipo de ataque contra otro gobierno, coordinando una serie de tuits falsos de cientos de políticos y otras figuras públicas el día antes de una elección importante, para afectar el resultado. O para escalar un disputa internacional. Bien hecho, sería devastador.

Si los hackers tenían acceso a mensajes directos de Twitter no es conocido. Estos DM no están encriptados de extremo a extremo, lo que significa que no están encriptados dentro de la red de Twitter y podrían haber estado disponibles para los piratas informáticos. Esos mensajes, entre líderes mundiales, CEOs de la industria, reporteros y sus fuentes, organizaciones de salud, son mucho más valiosos que bitcoin. (Si fuera una agencia de inteligencia nacional, incluso podría usar una estafa de bitcoin para enmascarar mi verdadero propósito de recopilación de inteligencia). En 2018, Twitter dijo que estaba explorando el cifrado de esos mensajes, pero aún no lo ha hecho.

Las plataformas de comunicaciones de Net, como Fb, Twitter y YouTube, son cruciales en la sociedad actual. Son cómo nos comunicamos unos con otros. Son cómo nuestros líderes elegidos se comunican con nosotros. Son infraestructura esencial. Sin embargo, están a cargo de empresas con fines de lucro con poca supervisión del gobierno. Esto simplemente ya no es sostenible. Twitter y las compañías como esta son esenciales para nuestro diálogo nacional, nuestra economía y nuestra democracia. Necesitamos comenzar a tratarlos de esa manera, y eso significa tanto exigirles que hagan un mejor trabajo en seguridad como dividirlos.

En el caso de Twitter esta semana, las tácticas del hacker no fueron particularmente sofisticado. Seguramente aprenderemos sobre fallas de seguridad en Twitter que permitieron el pirateo, posiblemente incluyendo un Ataque de intercambio de SIM que apuntó al proveedor de servicios celulares de un empleado, o tal vez incluso a información privilegiada sobornada. los El FBI está investigando.

Este tipo de ataque se conoce como un «salto de clase». Los saltos de clase son endémicos para los sistemas computarizados, y no son algo de lo que nosotros, como usuarios, podamos defender con una mayor seguridad personal. No importaba si las cuentas individuales tenían una contraseña complicada y difícil de recordar, o una autenticación de dos factores. No importaba si normalmente se accede a las cuentas a través de una Mac o una Computer system. Literalmente, ningún usuario podía hacer nada para protegerse contra él.

Los saltos de clase son vulnerabilidades de seguridad que rompen no solo un sistema, sino toda una clase de sistemas. Podrían explotar una vulnerabilidad en un sistema operativo distinct que permite a un atacante tomar el control remoto de cada computadora que se ejecuta en el software de ese sistema. O una vulnerabilidad en las grabadoras de online video digital y cámaras world wide web habilitadas para World-wide-web que permite a un atacante reclutar esos dispositivos en una crimson de bots masiva. O una única vulnerabilidad en la crimson de Twitter que permite a un atacante hacerse cargo de cada cuenta.

Para los usuarios de Twitter, este ataque fue un doble golpe. Muchas personas confían en los sistemas de autenticación de Twitter para saber que alguien que pretende ser una cierta celebridad, político o periodista es realmente esa persona. Cuando esas cuentas fueron secuestradas, la confianza en ese sistema recibió una paliza. Y luego, después de que se descubrió el ataque y Twitter cerró temporalmente todas las cuentas verificadas, el público perdió una fuente vital de información.

Existen muchas tecnologías de seguridad que empresas como Twitter pueden implementar para protegerse mejor a sí mismas y a sus usuarios Ese no es el problema. El problema es económico, y solucionarlo requiere hacer dos cosas. Una es regular estas empresas y exigirles que gasten más dinero en seguridad. El segundo es reducir su poder de monopolio.

Las regulaciones de seguridad para los bancos son complejas y detalladas. Si un empleado bancario de bajo nivel fuera sorprendido jugando con las cuentas de las personas, o si por mistake le dio sus credenciales de inicio de sesión a otra persona, el banco sería severamente multado. Dependiendo de los detalles del incidente, los altos ejecutivos bancarios podrían ser considerados personalmente responsables. La amenaza de estas acciones ayuda a mantener nuestro dinero seguro. Sí, le cuesta dinero a los bancos a veces corta severamente sus ganancias. Pero los bancos no tienen otra opción.

Lo contrario es cierto para estos gigantes tecnológicos. Pueden decidir qué nivel de seguridad tiene en sus cuentas, y usted no tiene voz en el asunto. Si le ofrecen opciones de seguridad y privacidad, es porque decidieron que puede tenerlas. No hay regulación. No hay responsabilidad. Ni siquiera hay transparencia. ¿Sabe cuán seguros están sus datos en Facebook, o en iCloud de Apple, o en cualquier otro lugar? Usted no Nadie excepto esas compañías lo hacen. Sin embargo, son cruciales para la seguridad nacional del país. Y son el raro producto o servicio al consumidor al que se le permite operar sin una supervisión gubernamental significativa.

Por ejemplo, la cuenta de Twitter del presidente Donald Trump no fue pirateada como la de Joe Biden, porque esa cuenta tiene «protecciones especiales, «cuyos detalles no sabemos. Tampoco sabemos qué otros líderes mundiales tienen esas protecciones, o el proceso de decisión que rodea a quién las obtiene. ¿Son manuales? ¿Pueden escalar? ¿Pueden tenerlas todas las cuentas verificadas? Tu invitado es tan bueno como el mío.

Además de las medidas de seguridad, la otra solución es romper los monopolios tecnológicos. Las empresas como Facebook y Twitter tienen tanto poder porque son muy grandes y no enfrentan una competencia true. Este es un riesgo de seguridad nacional, así como un riesgo de seguridad personalized. Había 100 compañías diferentes similares a Twitter, y suficiente compatibilidad para que todos sus feeds pudieran fusionarse en una interfaz, este ataque no habría sido tan importante. Más importante aún, el riesgo de un ataque identical pero más políticamente dirigido no sería tan grande. Si hubiera competencia, diferentes plataformas ofrecerían diferentes opciones de seguridad, así como diferentes reglas de publicación, diferentes pautas de autenticación, diferentes en todo. La competencia es cómo funciona nuestra economía es cómo estimulamos la innovación. Los monopolios tienen más poder para hacer lo que quieren en la búsqueda de ganancias, incluso si perjudica a las personas en el camino.

Este no fue el primer problema de seguridad de Twitter en el que participaron personas de confianza. En 2017, en su último día de trabajo, un empleado cerrar la cuenta del presidente Donald Trump. En 2019, dos personas fueron acusadas de espiando para el gobierno saudita mientras eran empleados de Twitter.

Tal vez este truco sirva como una llamada de atención. Pero si incidentes pasados ​​que involucran a Twitter y otras compañías son una indicación, no lo será. Gastar menos en seguridad y dejar que la sociedad pague el precio final es mucho más rentable. No culpo a las empresas tecnológicas. Su mandato corporativo es ganar tanto dinero como sea legalmente posible. Arreglar esto requiere cambios en la ley, no cambios en los corazones de los líderes de la compañía.

Este ensayo aparecido previamente en TheAtlantic.com.

Publicado el 20 de julio de 2020 a las 8:49 a.m.

5 comentarios





Enlace a la noticia first