La popular empresa de administración de contraseñas LastPass ha sido debajo de la bomba este año, luego de una intrusión en la red en agosto de 2022.
Los detalles de cómo entraron los atacantes por primera vez aún son escasos, y el primer comentario oficial de LastPass afirma con cautela que:
[A] una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta de desarrollador comprometida.
Un anuncio de seguimiento aproximadamente un mes después tampoco fue concluyente:
[E]l actor de amenazas obtuvo acceso al entorno de desarrollo utilizando el punto final comprometido de un desarrollador. Si bien el método utilizado para el compromiso inicial del punto final no es concluyente, el actor de amenazas utilizó su acceso persistente para hacerse pasar por el desarrollador una vez que el desarrollador se autenticó con éxito mediante la autenticación multifactor.
No queda mucho en este párrafo si elimina la jerga, pero las frases clave parecen ser "punto final comprometido" (en lenguaje sencillo, esto probablemente significa: computadora infectada con malware) y "acceso persistente" (lo que significa: los ladrones podrían volver a entrar más tarde en su tiempo libre).
2FA no siempre ayuda
Desafortunadamente, como puede leer arriba, la autenticación de dos factores (2FA) no ayudó en este ataque en particular.
Suponemos que eso se debe a que LastPass, al igual que la mayoría de las empresas y servicios en línea, no requiere literalmente 2FA para cada conexión en la que se necesita autenticación, sino solo para lo que podría llamar autenticación primaria.
Para ser justos, muchos o la mayoría de los servicios que utiliza, probablemente incluido su propio empleador, generalmente hacen algo similar.
Las exenciones típicas de 2FA, destinadas a obtener la mayoría de sus beneficios sin pagar un precio demasiado alto por las molestias, incluyen:
- Hacer la autenticación 2FA completa solo ocasionalmente, como solicitar nuevos códigos únicos cada pocos días o semanas. Algunos sistemas 2FA pueden ofrecerle una opción de "recordarme por X días", por ejemplo.
- Solo requiere autenticación 2FA para el inicio de sesión inicial, luego permitir que algún tipo de sistema de "inicio de sesión único" lo autentique automáticamente para una amplia gama de servicios internos. En muchas empresas, iniciar sesión en el correo electrónico a menudo también le da acceso a otros servicios como Zoom, GitHub u otros sistemas que usa mucho.
- Emisión de "tokens de acceso al portador" para herramientas de software automatizadas, basado en la autenticación 2FA ocasional por parte de desarrolladores, evaluadores y personal de ingeniería. Si tiene una secuencia de comandos de compilación y prueba automatizada que necesita acceder a varios servidores y bases de datos en varios puntos del proceso, no desea que la secuencia de comandos se interrumpa continuamente para esperar a que ingrese otro código 2FA.
No hemos visto evidencia...
En un ataque de confianza del que sospechamos que LastPass ahora se arrepiente, la compañía dijo inicialmente, en agosto de 2022:
No hemos visto evidencia de que este incidente involucre ningún acceso a datos de clientes o bóvedas de contraseñas encriptadas.
Por supuesto, "no hemos visto evidencia" no es una declaración muy fuerte (sobre todo porque las empresas intransigentes pueden hacer que se haga realidad al no buscar evidencia deliberadamente en primer lugar, o al permitir que otra persona recopile la evidencia y luego negándose deliberadamente a mirarlo), aunque a menudo es todo lo que una empresa puede decir con sinceridad inmediatamente después de una infracción.
Sin embargo, LastPass investigó y se sintió capaz de hacer un reclamo definitivo para septiembre de 2022:
Aunque el actor de amenazas pudo acceder al entorno de desarrollo, el diseño y los controles de nuestro sistema impidieron que el actor de amenazas accediera a los datos de los clientes o a las bóvedas de contraseñas cifradas.
Lamentablemente, esa afirmación resultó ser demasiado audaz.
El ataque que condujo a un ataque.
LastPass admitió desde el principio que los delincuentes "tomaron partes del código fuente y alguna información técnica patentada de LastPass"...
…y ahora parece que parte de esa “información técnica” robada fue suficiente para facilitar un ataque de seguimiento que se reveló en noviembre de 2022:
Hemos determinado que una parte no autorizada, utilizando información obtenida en el incidente de agosto de 2022, pudo obtener acceso a ciertos elementos de la información de nuestros clientes.
Para ser justos con LastPass, la empresa no repitió su afirmación original de que no se habían robado bóvedas de contraseñas, refiriéndose simplemente a que se había robado la "información de los clientes".
Pero en sus notificaciones de incumplimiento anteriores, la compañía había hablado cuidadosamente sobre datos de los clientes (lo que hace que la mayoría de nosotros pensemos en información como la dirección, el número de teléfono, los detalles de la tarjeta de pago, etc.) y bóvedas de contraseñas encriptadas como dos categorías distintas.
Esta vez, sin embargo, la “información de los clientes” incluye tanto datos de clientes, en el sentido anterior, como bases de datos de contraseñas.
No literalmente en la noche antes de Navidad, pero peligrosamente cerca de ella, LastPass ha admitido que:
El actor de amenazas copió información de la copia de seguridad que contenía información básica de la cuenta del cliente y metadatos relacionados, incluidos los nombres de las empresas, los nombres de los usuarios finales, las direcciones de facturación, las direcciones de correo electrónico, los números de teléfono y las direcciones IP desde las que los clientes accedían al servicio de LastPass.
En términos generales, los ladrones ahora saben quién es usted, dónde vive, qué computadoras en Internet son suyas y cómo contactarlo electrónicamente.
La admisión continúa:
El actor de amenazas también pudo copiar una copia de seguridad de los datos de la bóveda del cliente.
Entonces, los delincuentes robaron esas bóvedas de contraseñas después de todo.
Curiosamente, LastPass ahora también ha admitido que lo que describe como una "bóveda de contraseñas" no es en realidad un BLOB codificado (una palabra de jerga divertida que significa objeto grande binario) que consiste única y exclusivamente en datos encriptados y, por lo tanto, ininteligibles.
Esas "bóvedas" incluyen datos no cifrados, que aparentemente incluyen las URL de los sitios web que van con cada nombre de usuario y contraseña cifrados.
Por lo tanto, los delincuentes ahora no solo saben dónde viven usted y su computadora, gracias a los datos filtrados de facturación y dirección IP mencionados anteriormente, sino que también tienen un mapa detallado de dónde va cuando está en línea:
[L]os datos de la bóveda del cliente […] se almacenan en un formato binario patentado que contiene datos no cifrados, como URL de sitios web, así como campos confidenciales totalmente cifrados, como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados en formularios. .
LastPass no ha proporcionado ningún otro detalle sobre los datos no cifrados que se almacenaron en esos archivos de "bóveda", pero las palabras "como las URL de sitios web" ciertamente implican que las URL no son la única información que adquirieron los delincuentes.
La buena noticia
La buena noticia, continúa insistiendo LastPass, es que la seguridad de sus contraseñas respaldadas en su archivo de bóveda no debe ser diferente de la seguridad de cualquier otra copia de seguridad en la nube que haya cifrado en su propia computadora antes de cargarla.
Según LastPass, los datos secretos de los que hace una copia de seguridad nunca existen sin cifrar en los propios servidores de LastPass, y LastPass nunca almacena ni ve su contraseña maestra.
Por lo tanto, dice LastPass, los datos de su contraseña respaldada siempre se cargan, almacenan, acceden y descargan en forma encriptada, por lo que los delincuentes aún necesitan descifrar su contraseña maestra, aunque ahora tengan sus datos de contraseña codificados.
Por lo que sabemos, las contraseñas añadidas a LastPass en los últimos años usan un sistema de almacenamiento salt-hash-and-stretch que está cerca de nuestro propias recomendaciones, usando el algoritmo PBKDF2 con sales aleatorias, SHA-256 como sistema hash interno y 100,100 iteraciones.
LastPass no dijo, o no pudo decir, en su actualización de noviembre de 2022, cuánto tiempo le tomó a la segunda ola de delincuentes ingresar a sus servidores en la nube luego del primer ataque a su sistema de desarrollo en agosto de 2002.
Pero incluso si asumimos que el segundo ataque se produjo de inmediato pero no se notó hasta más tarde, los delincuentes han tenido como máximo cuatro meses para intentar descifrar las contraseñas maestras de la bóveda robada de cualquier persona.
Por lo tanto, es razonable inferir que solo los usuarios que eligieron deliberadamente contraseñas fáciles de adivinar o fáciles de descifrar están en riesgo, y que cualquier persona que se haya tomado la molestia de cambiar sus contraseñas desde el anuncio de la infracción casi seguramente se ha adelantado a los ladrones
No olvide que la longitud por sí sola no es suficiente para garantizar una contraseña decente. De hecho, la evidencia anecdótica sugiere que 123456, 12345678 y 123456789 son todos más comúnmente utilizados en estos días que 1234, probablemente debido a las restricciones de longitud impuestas por las pantallas de inicio de sesión actuales. Y recuerda que las herramientas para descifrar contraseñas no comienzan simplemente en AAAA y proceder como un odómetro alfanumérico para ZZZZ...ZZZZ. Intentan clasificar las contraseñas según la probabilidad de que sean elegidas, por lo que debe suponer que "adivinarán" contraseñas largas pero amigables para los humanos, como BlueJays28RedSox5! (18 caracteres) mucho antes de llegar a MAdv3aUQlHxL (12 caracteres), o incluso ISM/RMXR3 (9 caracteres).
¿Qué hacer?
En agosto de 2022, nosotros Dicho esto: “Si desea cambiar algunas o todas sus contraseñas, no lo disuadiremos. [… Pero] no creemos que necesites cambiar tus contraseñas. (Por si sirve de algo, LastPass tampoco.)”
Eso se basó en las afirmaciones de LastPass no solo de que las bóvedas de contraseñas respaldadas se cifraron con contraseñas que solo usted conoce, sino también de que no se accedió a esas bóvedas de contraseñas de todos modos.
Dado el cambio en la historia de LastPass basado en lo que ha descubierto desde entonces, ahora le sugerimos que lo haga cambiar sus contraseñas si razonablemente puede.
Tenga en cuenta que debe cambiar las contraseñas que están almacenadas dentro de su bóveda, así como la contraseña maestra de la bóveda misma.
Eso es así, incluso si los delincuentes descifran su antigua contraseña maestra en el futuro, el alijo de datos de contraseña que descubrirán estará obsoleto y, por lo tanto, será inútil, como un cofre pirata escondido lleno de billetes que ya no son de curso legal.
Mientras lo hace, ¿por qué no aprovechar la oportunidad para asegurarse de que mejorar cualquier contraseña débil o reutilizada en su lista al mismo tiempo, dado que los está cambiando de todos modos.
Una cosa más ...
Ah, y una cosa más: un llamamiento a los equipos de X-Ops, personal de TI, administradores de sistemas y escritores técnicos de todo el mundo.
Cuando quiera decir que cambió sus contraseñas o recomendar a otros que cambien las suyas, ¿puede dejar de usar la palabra engañosa? rotar, y simplemente use la palabra mucho más clara el cambio en su lugar?
No hables de "rotación de credenciales" o "rotación de contraseñas", porque la palabra rotar, especialmente en informática, implica un proceso estructurado que en última instancia implica la repetición.
Por ejemplo, en un comité con un presidente rotativo, todos tienen la oportunidad de dirigir las reuniones, en un ciclo predeterminado, por ejemplo, Alice, Bob, Cracker, Dongle, Mallory, Susan... y luego Alice una vez más.
Y en código máquina, el ROTATE instrucción hace circular explícitamente los bits en un registro.
Si ROL or ROR (que denota ir hacia la izquierda or ir hacia la derecha en notación Intel) suficientes veces, esos bits volverán a su valor original.
¡Eso no es en absoluto lo que quieres cuando te propones cambiar tus contraseñas!
¿QUÉ PASA SI MI ADMINISTRADOR DE CONTRASEÑAS ES HACKEADO?
Tanto si es usuario de LastPass como si no, aquí tiene una video que hicimos con algunos consejos sobre cómo reducir el riesgo de desastre si usted o su administrador de contraseñas fueran pirateados. (Haga clic en el engranaje mientras juega para activar los subtítulos o para acelerar la reproducción).
POR QUÉ 'ROTAR' NO ES UN BUEN SINÓNIMO DE 'CAMBIAR'
Aquí está la ROTATE (más precisamente, el ROL) instrucción en la vida real en Windows de 64 bits.
Si ensambla y ejecuta el código a continuación (usamos el ensamblador y enlazador práctico, minimalista y gratuito de IrHerramientas) ...
…entonces deberías obtener el siguiente resultado:
Rotated by 0 bits = C001D00DC0DEF11E Rotated by 4 bits = 001D00DC0DEF11EC Rotated by 8 bits = 01D00DC0DEF11EC0 Rotated by 12 bits = 1D00DC0DEF11EC00 Rotated by 16 bits = D00DC0DEF11EC001 Rotated by 20 bits = 00DC0DEF11EC001D Rotated by 24 bits = 0DC0DEF11EC001D0 Rotated by 28 bits = DC0DEF11EC001D00 Rotated by 32 bits = C0DEF11EC001D00D Rotated by 36 bits = 0DEF11EC001D00DC Rotated by 40 bits = DEF11EC001D00DC0 Rotated by 44 bits = EF11EC001D00DC0D Rotated by 48 bits = F11EC001D00DC0DE Rotated by 52 bits = 11EC001D00DC0DEF Rotated by 56 bits = 1EC001D00DC0DEF1 Rotated by 60 bits = EC001D00DC0DEF11 Rotated by 64 bits = C001D00DC0DEF11E
Puede cambiar la dirección de rotación y la cantidad cambiando ROL a ROR, y ajustando el número 4 en esa línea y en la siguiente.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2022/12/23/lastpass-finally-admits-they-did-steal-your-password-vaults-after-all/
