Las organizaciones toman decisiones de seguridad …



El fundador de Have I Been Pwned subió al escenario digital en Black Hat Asia para compartir historias sobre su trabajo y los desafíos de la industria.

El sitio web de notificación de violación de datos Have I Been Pwned (HIBP) ha procesado más de 11 mil millones de registros comprometidos de sitios internet violados y bases de datos de acceso público desde su lanzamiento en 2013, ofreciendo una ventana a los ataques y problemas de seguridad que ponen en riesgo los datos de los usuarios.

El fundador y experto en seguridad Troy Hunt lanzó el sitio como un «pequeño proyecto divertido» destinado a indexar las violaciones de datos para que la gente pudiera buscarlas, dijo en un discurso de apertura en el Black Hat Asia virtual de esta semana. HIBP comenzó con 155 millones de registros años después, un «flujo interminable de datos» de cientos de infracciones ha traído historias y lecciones sobre las causas subyacentes de los incidentes de seguridad.

«Lo que he encontrado particularmente fascinante en los últimos siete años o más es la forma en que esto ha crecido y los lugares a los que me ha llevado», dijo Hunt. Para subrayar su punto, señaló que el FBI, junto con las fuerzas del orden público holandesas y alemanas, han comenzado a enviar datos a HIBP para ayudar a notificar a las víctimas de la botnet Emotet.

En muchos casos, la avalancha de infracciones que alimentan el HIBP puede estar relacionada con las malas prácticas de seguridad de las organizaciones, como Hunt analizó en una serie de ejemplos. Algunos facilitan el ataque de los atacantes.

«Una y otra vez, estamos viendo incidentes de seguridad de información porque la fruta es tan fácil», dijo en una historia del ataque de 2015 a la empresa británica de telecomunicaciones TalkTalk. El ataque – primero atribuido a «Cyber ​​Yihadistas islámicos rusos» por un detective que no lo sabía – fue dirigido por un joven de 17 años que tenía poca experiencia o sofisticación, pero causó 77 millones de libras en daños (el equivalente precise de aproximadamente 107 millones de dólares).

Algunas organizaciones dejan las bases de datos expuestas en Web, filtrando información personal que sus propietarios nunca supieron que estaría en línea. En 2016, un investigador de seguridad alertó a Hunt sobre una base de datos de acceso público expuesta por el Servicio de Sangre de la Cruz Roja Australiana que contenía datos de unos 550.000 donantes. Había encontrado la base de datos mientras escaneaba direcciones IP.

La información de Hunt estaba en la base de datos, aunque nunca la había enviado digitalmente un día llenó un papel cuando donó sangre.

«Creo que la lección importante aquí es que, independientemente de lo mucho que intente evitar entregar sus datos en formato electronic, de todos modos está por todas partes», dice, y señala que algunas personas recomiendan evitar ingresar datos en sitios net para mantener su huella digital pequeña. Una filtración como esta podría exponer «datos confidenciales extremadamente personales» que sus propietarios no querrían que se publicitaran.

Un consejo de seguridad común es evitar sitios web de apariencia sospechosa sin embargo, las empresas pueden actuar de forma sospechosa sin darse cuenta. Hunt mostró un correo electrónico del banco ANZ de Australia, que pedía a los destinatarios que descargaran y ejecutaran una aplicación se redirigió a la URL c00.adobe.com. Creía que el correo electrónico period falso sin embargo, resultó ser un mensaje legítimo del banco.

«La industria en su conjunto también hace que sea muy difícil para las personas tomar buenas decisiones de seguridad», dijo. Un problema que Hunt ve a menudo es que las organizaciones legítimas envían comunicaciones legítimas que son indistinguibles de los ataques de phishing. Es difícil para las personas tomar decisiones sobre la postura de seguridad cuando un correo electrónico oficial de la empresa podría ser una suplantación de identidad.

Las historias de incidentes de seguridad de Hunt tocaron la historia y los problemas omnipresentes con el uso de contraseñas, que «se han convertido, para muchos profesionales de la seguridad, en la pesadilla de su existencia». A medida que las contraseñas se volvieron predecibles, las organizaciones introdujeron criterios de complejidad que exigían letras mayúsculas y minúsculas, caracteres especiales, números y límites de caracteres.

«Parte del problema es que cuando exigimos criterios arbitrarios de complejidad de contraseñas como este, inevitablemente encontramos que las personas siguen patrones muy predecibles, y también encontramos que las personas toman atajos para memorizar la contraseña», como escribirlos en notas Post-it o aumentar el último dígito, es decir, cambiar «(correo electrónico protegido)» a «(correo electrónico protegido)» cuando se le solicite cada 90 días, agregó.

Ahora, dijo Hunt, más organizaciones están adoptando la autenticación multifactor y el análisis del comportamiento del usuario para disminuir su dependencia de las contraseñas.

Descubriendo agujeros en la seguridad de los dispositivos
Otra de las historias de Hunt discutió los problemas de seguridad relacionados con el reloj australiano TicTocTrack, un reloj de rastreo GPS para niños que filtró los datos de ubicación en tiempo authentic de su usuario a cualquier persona y permitió que cualquiera que llamara a un dispositivo objetivo escuchara su entorno.

Hunt trabajó con Ken Munro de Pen Check Partners para investiga los dispositivos. Descubrieron que alguien podía llamar al reloj de un niño y, sin ninguna interacción por parte del usuario, el reloj respondería automáticamente a la llamada para que la persona que llama pudiera escuchar. Una vulnerabilidad de la API en el reloj podría permitir a alguien conocer la última ubicación de un niño o cambiar su ubicación para que parezca que está en otro lugar. También podrían eliminar la ubicación authentic del reloj, sin dejar rastro alguno.

Si bien la divulgación «no fue la peor en la que he estado involucrado», tomó tiempo explicar las vulnerabilidades a la empresa, señaló Hunt.

«La divulgación sigue siendo un tema realmente desafiante en esta industria», dijo. «Haciéndolo de manera responsable, lo que nos impulsa hacia una mejor postura de seguridad, este es el problema que seguimos teniendo».

Para enfatizar su punto, Hunt usó el ejemplo de un abre cerraduras con una well-known cuenta de YouTube que encontró una vulnerabilidad en un candado biométrico que simplemente se rompió cuando se quitó un tornillo en el costado. Cuando se puso en contacto con la empresa que estaba detrás de la cerradura, le dijeron al investigador que «la cerradura era invencible para las personas que no tenían destornillador».

«Ilustra perfectamente la falta de comprensión y la falta de acción responsable de las organizaciones que construyen cosas vulnerables», dijo Hunt.

Kelly Sheridan es la editora de particular de Dim Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary