Hay que ser muy torpe para intentar un ataque de fuerza bruta sobre SHA-256. Cuando Leo Prieto intenta minimizar los alcances de la intrusión a los sitios de Betazeta de este viernes, en realidad hunde más sus pies en el barro, y le da más argumentos a los que justifican este ataque.
Antes de seguir, quiero decir que condeno estos defacement y ataques sitios web, como lo que le ocurrió a BetaZeta este fin de semana. /* Fayerwayer en todo caso ha sido bastante sarcástico cuando esto le pasa a otros, pero dejemos esa polémica hasta acá. */
Es un dato que hay delincuentes allá afuera, entonces debemos tomar las medidas para protegernos, y cuidar la seguridad de nuestras casas. Betazeta ha crecido a un punto en que tiene muchos sitios importantes expuestos, pero también maneja la información de muchos usuarios, entonces eso implica que debe ser más profesional en la administración de su seguridad.
No basta con usar un super algoritmo de hash, porque solo los estúpidos intentarán un ataque de fuerza bruta a tus claves, lo primero que hará un hacker es un ataque de diccionario.
Cuando un desarrollador dice que sus claves son seguras porque las almacena usando un hash avanzado, en realidad está resolviendo el problema usando fuerza bruta, y sólo los idiotas usan la fuerza bruta para resolver los problemas de seguridad.
Más importante que el algoritmo de cifrado, es tener un esquema de seguridad o política de seguridad en la administración de claves:
- Exigir el cambio de las claves con frecuencia.
- No permitir el uso de palabras comunes, o que estén en un diccionario.
- Exigir un mínimo de caracteres para la clave (10 o más).
- Exigir la combinación de letras, números y símbolos en las claves.
- Nunca almacenar las claves en texto plano, o con algoritmos débiles de criptografía.
- No almacenar sólo el hash de la clave, usar un mecanismo que genere algo de entropía en la clave almacenada (salt, o algo similar).
Bien documentados tus últimos posts Eduardo, creo que tendré que tomarme unos buenos par de horas en leer los enlaces que has indicado en tus artículos. Presiento que valdrá la pena.
Comparto que Betazeta ha manejado mal el tema del ataque. Algo que me produce preocupación es esa sensación de "oye, no te preocupes por tu contraseña, ya que esta segura con SHA-256" ya que no pueden garantizar que cualquier día le encuentren una debilidad y lo debiliten a un punto similar al estado actual de MD5.
Desde el momento en que se hizo el dump de la tabla con los usuarios se debió considerarlo un compromiso de todas las contraseñas, no de un solo grupo; debiendo informar sobre el problema y actuar como tal.
Ahora, hace menos de una hora enviaron a todos sus usuarios (soy usuario de BetaID) un email en que les informaban que como medida de seguridad inutilizaron todas las contraseñas almacenadas para forzar a todos a cambiarlas por otras más seguras, pero lo han hecho mal porque:
1.- Demoraron más de 2 días en tomar la decisión.
2.- Reiniciaron las contraseñas de todos los usuarios, incluyendome cuando la había cambiado por el tema de las demoras de ellos.
Lo único que debe ahora hacer Betazeta como el resto es aprender la lección tanto en temas de seguridad informática como de informar de tus problemas, porque nadie esta libre de esto.
Es grave lo que cuentas, y será interesante ver que efecto tendrá en la comunidad este re inicio de las contraseñas.
Curios, si el compromiso fue en tan pocas cuentas (menos de 100, según la gente de betazeta) ¿por qué tuvieron que re iniciar las contraseñas de todos?
Es claro que nunca vamos a saber la envergadura de este incidente.
Lo otro interesante, ¿cómo justificas el daño que sufrió betazeta a la policía?
Al menos como lo he visto en otros lado, el tema de que muchos anden enojados/preocupados por el tema del ataque no precisamente por la pérdida de información sino de la mala comunicación que ha llevado a muchos -incluyendome- a sospechar que el compromiso fue peor de lo que han contado ellos o el hacker.
Ha sido en parte como el tema de Celco: Ocurrio una situación de emergencia, se manejo mal esa situación y la comunicación de las implicancias a los afectados fue peor aún.
Como dices, es claro que solo unos pocos -el hacker, BetaZeta y la PDI- tienen una idea completa de todo el tema. Además esta el hecho que presuntamente el hacker puso un mensaje en un foro indicando que todavía habrían más sorpresas.
No me gusta nada la situación y espero no llevarme otra sorpresa desagradable.