sábado, agosto 09, 2014

Ganar dinero con 1.200 Millones de identidades robadas

La noticia esta semana - entre toda la avalancha de noticias en el mundo de la ciberseguridad que se generan - ha sido para mí la de los 1.200 Millones de Identidades Robadas que estaban en manos de un grupo cibercriminal ruso, al que los investigadores han bautizado como CyberVor por eso de que Vor significa criminal en ruso. Según explica la noticia publicada en la web de la empresa, las técnicas que han utilizado los ladrones no son para nada desconocidas para los que trabajan en seguridad.

Cómo construir una base de datos de identidades robadas

La primera de ellas es fácil, irse al mercado negro y comprar bases de datos robadas de sitios web vulnerados. Estas bases de datos pueden ser de muchos usuarios o de pocos, pero al final van sumando identidades. En Internet ya es posible, simplemente buscando las guaridas de los ladrones de identidad o gracias a los grandes volcados de bases de datos conseguir unos buenos millones de ellas. En el caso de Have I Been Pwnd? el número anda ya - solo con los grandes sitios - por los 163 Millones de identidades.

Figura 1: 163 Millones de identidades dumpeadas en Have I been Pwned?

La segunda de las formas que han podido utilizar para conseguir más bases de datos es mediante el uso de un botnet  Según parece, aprovechando las identidades compradas y grandes bases de datos de correo electrónico habrían hecho spam para conseguir infectar al máximo número de equipos con el malware de la botnet. Con estos equipos infectados, se llevarían todas las identidades que sus víctimas teclearan en los navegadores para ir construyendo la base de datos. Algo similar a cómo se explica en el artículo de Encontrar las guaridas de los ladrones de identidad.

Una vez metido el equipo dentro de la botnet, además de quitarle las identidades, las víctimas se dedicarían a buscar fallos de SQL Injection en todos los sitios web que visitaran, generando una base de datos de unos 400.000 sitios vulnerables a SQL Injection de los que también se habrían sacado bases de datos.

Según el reporte publicado, el objetivo principal del ataque era el robo de identidades, con usuarios, contraseñas y direcciones de correo electrónico, pero como consecuencia consiguieron un volumen ingente de datos personales de todas las víctimas, que podría ser utilizado en ataques más selectivos contra todos ellos.

Al final, parece que esos 1.200 Millones de identidades robadas estaban asociadas a más o menos 500.000 direcciones de correo electrónico, es decir, que de muchos usuarios consiguieron más de una identidad en varios sitios afectados y podrían haber sido más, si no fuera porque en los registros también se usan muchas direcciones de correo electrónico de usar y tirar y es difícil de unir una identidad con otra por ellos.

¿Es posible que un solo grupo se hiciera con 1.200 Millones de identidades únicas?
Pues a mí parecer no es para nada imposible. Entre las que ya hay en Have I been Pwned? más las del robo des las empresa Target o Ebay estaríamos hablando de muchas más de 500 Millones de ellas, así que con trabajo, esfuerzo, una botnet y dinero fresco (o virtual) para comprar en el Black Market parece más que posible.
¿Es posible que haya 400.000 sitios web?
Pues sí. Y probablemente muchos, muchos, muchos más. Ya hemos visto en el pasado ataques masivos SQL Injection usando el propio Google que han afectado a una burrada de sitios web. Caso reciente que recuerde, el de la operación Lizamoon que se utilizó para distribuir malware con URLs drive by download que se inyectaban en el código de las webs aprovechando vulnerabilidades de SQL Injection buscadas automáticamente a través de Google, y por supuesto no fue la primera.
Figura 2: Sitios de Apple.com indexados con las URLS de Lizamoon
En el año 2008 hubo uno de los primeros ataques de esta guisa, que afecto a millones de sitios con tecnología ASP. Ahora lo difícil es automatizar el ataque vía Google por las medidas de protección anti-dorking pero si se usa una botnet todo cambia.
¿Y las credenciales FTP que citan en el artículo?
Si consigues las credenciales de un servidor FTP con un malware instalado en un equipo - como se explica en el artículo sobre el robo de identidad - el paso siguiente es conectarse y descargar todas las bases de datos que estén allí. Al final, si consigues identidades de acceso a servidores FTP de un hosting, te puedes llevar bases de datos de sitios grandes y pequeños con mucha facilidad.
¿Para que las pueden querer?
Pues es bastante sencillo. Al final las identidades dan acceso a cosas, que pueden ser valiosas por sí mismas, pero si no, siempre se pueden utilizar para hacer los negocios tradicionales de Fraude Online que llevan mucho tiempo funcionando. Algunos de ellos son todavía más curiosos e imaginativos, a la par que provechosos si tienes los compradores adecuados. 
Por ejemplo, en el caso de la re-utilización de contraseñas, se podría intentar conseguir identidades valiosas en el mundo de la ciberseguridad como los Apple ID o las cuentas Google para controlar los terminales y equipos de las víctimas remotamente, acceder por ejemplo al backup de un iPhone en la nube como se explica en el libro de hacking iPhone o tener controlada la ubicación constantemente de una persona por su terminal Android, etcétera.  
Con los correos electrónicos es posible averiguar las redes sociales, o sitios donde se tiene cuenta. Si se reutilizan las cuentas, se puede acceder a más datos que estén alojados en esos sitios. Si se termina consiguiendo una base de datos con la identidad, la password, la ubicación de conexión, la dirección de correo electrónico, donde vive, la tarjeta de crédito, el número de teléfono, etcétera, la base de datos se hace cada vez más valiosa. 
Las posibilidades de qué hacer con esos datos depende de a quién se los vendas. ¿Os imagináis esa información en manos de agencias de espionaje? ¿O en manos de grupos terroristas? ¿O en manos de bandas de estafadores? En cualquier caso, con 1.200 Millones de identidades, más datos personales, etcétera, las posibilidades son muchas.
¿Te puede afectar a ti?
Por supuesto, a ti, a mí y a cualquiera que haya dejado sus datos en uno de esos sitios vulnerados, se haya sacado una cuenta o reutilice contraseñas. Por desgracia, como pregunto en mis charlas sobre la protección de identidades digitales, como esta que di en Colombia, casi nadie sabe cuántas identidades tiene en Internet, ni que password puso en todas ellas, ni que datos personales o direcciones de correo asociadas dejó en cada una. En una mayor o menor medida estamos todos expuestos.

Figura 3: Conferencia sobre Protección de identidades digitales

¿Se podría hacer algo para mitigar este caso?
Lo importante no es que mitigues este caso, sino que tengas unos hábitos saludables en la gestión de identidades que te ayuden a evitar este caso y los que no te enteres que también suceden:
- Cambia las contraseñas periódicamente: Yo me marco una hora en mi agenda una vez al mes para cambiar las claves de los sitios principales.
- No reutilices contraseñas y huye de métodos predecibles: Si alguien ve una password y puede predecir el métido, estás muerto.
- Pon un segundo factor de autenticación en tus identidades: Google Authenticator, Verificación en dos pasos para Apple ID y Latch en todos los sitios que puedas ponerlas hoy en día.
En este artículo sobre protección de identidades digitales tienes más información sobre el uso de segundos factores de autenticación y segundos factores de autorización como Latch.
¿Y si soy el administrador de un sitio web?
Si gestionas un sitio con identidades pon un 2FA para tus usuarios. Si tienes una base de datos de usuarios, nunca podrás estar seguro de que no le hayan robado las cuentas, o de que roben tu cuenta de administrador por que la reutilizaste en otro sitio. Para evitar problemas, se responsable y dale al usuario de tu sitio la opción de poner un 2FA. Puedes poner Google Authenticator, Latch o cualquier otro que haya por ahí. 
Latch lo tienes disponible para muchas plataformas com WordPress, Drupal, Joomla, PrestaShop, OpenVPN, OpenLDAP, DotNetNuke, RedMine, Open X-change, PHPBB, PHPMyAdmin u OpenSSH.Tienes en la web todos los plugins de Latch disponibles para descarga.

Figura 4: Plugins y SDKs de Latch
Pero además tienes disponible Latch para Windows, para Active Directory y los SDKs para que lo pongas en cualquier aplicación web que gestione identidades, sea .NET, Java, PHP, Ruby On Rails, PowerShell, Python, Lenguaje C, y hasta para Node.JS. Si tienes dudas, tenemos guías para ayudarte con la integración de los puglings o en apps escritos en cualquiera de las plataformas.
¿Puede volver a pasar algo similar a esto?
No solo creo que vuelva a pasar, sino que creo que muchos ya están haciendo lo mismo, o ya lo tienen hecho. Recuerdo que con un simple ataque de phishing un par de criminales rusos consiguieron secuestrar masivamente dispositivos de Apple con el caso del ransomware de Oleg Pliss. Hay negocio y dinero en el mundo del cibercrimen y el fraude online, así que habrá gente que pensará que es una buena idea. 
Figura 5: Un anuncio para trabajar en el cibercrimen ruso
Recuerdo el caso de Paunch, el creador del kit de Exploits BlackHole, que llegó a generar 2.3 Millones de Dólares Americanos con su negocio. Y claro, sin pagar impuestos. El mundo del cibercrimen es un negocio con unos márgenes muy atractivos para aquellos que no temen dar con sus huesos en la cárcel.
Al final, a día de hoy, a pesar de la gran guerra que hay entre los grandes proveedores de Internet, la identidad de las personas en Internet sigue siendo un problema que resolver a muchos niveles. A nivel técnico, a nivel - tal vez legislativo - y por supuesto a nivel individual donde la gente no está tomando la suficiente conciencia aún del valor de su/s identidad/es digitales.

Saludos Malignos!

8 comentarios:

Paula dijo...

Siempre me he preguntado qué hacéis los expertos en seguridad para securizar vuestras identidades digitales, y estoy flipando, es decir, pongamos que tienes 7 sitios que consideras principales, y que una vez al mes les cambias la contraseña a esos 7 sitios, infiriendo del contexto (que esto es un modo paranoia), digamos que no reutilizas jamás una pass que hayas usado anteriormente o estés usando en otro lugar y que no usas un método para generar contraseñas.
En resumen, que anualmente has de generar y recordar 84 passwords (como mínimo)
Si a esto le añadimos que algunos sitios te obligan a que la contraseña contenga mayúsculas, minúsculas, números y carácteres especiales.
Si quisiera emular algo así (y supongo que no es mala idea) tendría que llevarme conmigo a todos lados un backup en papel de mis contraseñas mensuales, sino iba a acabar hasta las narices del "ha olvidado su contraseña?"
Un saludo (:

Anónimo dijo...

@Paula

A día de hoy y visto lo visto, creo que con el tiempo y una caña hasta las verdes caen, en la mayoría de los casos en que se consigue la información es debido a un error humano, unos se equivocan y otros saben que la gente se equivoca, como y donde, hasta un simple carterista juega con la ventaja de ser consciente de que la mano es mas rápida que la vista, por lo tanto, imaginate detrás de un ordenador en su casa sentados y dándole a la manivela de la maquina de hacer dinero...

Concienciar a las personas hoy en día debería de se mas fácil debido a la gran cantidad de información que circula por Internet pero no hay sordo mas sordo que el que no quiere oír ni ciego mas ciego que el que no quiere ver.

A mi me pasa con los mas cercanos, colegas, familiares, etc...
les explicas cuatro cosas relacionadas con la ciberseguridad y cibercrimen, consejos, ten cuidado con esto y aquello, haz esto así, pero si con solo explicarles algo que no tengan que ver ni con Facebook ni con YouTube o Twitter etcétera, están mas perdidos que el barco del arroz y mas preocupados por lo que ha publicado el colega o el famoso de turno que de su privacidad y si a ello le sumas el invitarlos a Sitios o Blogs como este o les compartes un articulo de estas características para ellos es como estar viendo una pelicula del oeste en Chino y con subtítulos en Japones, ni papa!

Ante tanta crisis y parados lo que sobra hoy en dia es tiempo para aprender lo bueno y lo malo y hacer usos de las nuevas tecnologías o no tan nuevas que también siguen funcionando y perfeccionandose día a día con el fin de generar ingresos como sea y al precio que sea, nadie se mantiene del aire, un día sin comer pasaras, dos también, pero al que hace tres...

Para caer en la trampa de las mafias solo hace falta un trato, que muchos en condiciones normales diarian que no, teniendo una buena posición social, laboral y económica he incluso ni se les pasaría por la cabeza hacer según que, pero el royo es que a nadie le amarga un dulce y dependiendo en la situación en la que te encuentres en ese momento a ver quien es el guapo/a que se resiste a un buen fajo de billetes?

Esto las mafias tambien lo saben, pillan al cabeza de Turko (como se suele decir) y se forran a costa de cuatro pardillos prometiendoles el oro y el moro, y el trato no es otro que "Te lo prometo hasta que te la meto, una vez que te la he metido, se acabo lo prometido"

A los que por pereza descuidan su seguridad, siempre les digo lo mismo, "Tu mismo con tu mecanismo" Informate, protegete o asume las consecuencias...


NOTA: Los enlaces del penultimo parrafo debajo de la 5ª figura estan rotos:
"Paunch, el creador del kit de Exploits BlackHole, que llegó a generar 2.3 Millones de Dólares Americanos"

Saludos!

Anónimo dijo...

Paula se puede hacer un backup en papel de contraseñas como dices y también el backup con programas que sirven para eso: guardar contraseñas y solo tendrías que recordar una sola contraseña, la del programa en cuestión.
Puedes leer estas dos webs:

http://www.osi.es/es/herramientas-gratuitas%20?plataforma_selec%5B%5D=324&herramienta_selec%5B%5D=359

https://www.osi.es/es/actualidad/blog/2014/07/28/la-misma-contrasena-para-todono-lo-pongas-tan-facil

Nota: Esos gestores de contraseñas que te pongo son para Windows, para otros sistemas operativos, ve a http://www.osi.es/es/herramientas-gratuitas
--------------------------------
Jonathan, llevas razón, la gente en cuanto le hablas de que cuidado con los datos que ponen en internet, parece que le hablas en chino. Y casi siempre tienen una sola contraseña para varios sitios, como la quieren recordar y no son capaces de recordar más de una contraseña. Y encima entran en redes wifi abiertas en su redes sociales, y nada, no se quieren enterar. Solo quieren aprender tecnología para estar comunicados, pero no para evitar que lo espíen. Creen que lo de espiar por internet es cosa de películas.

Anónimo dijo...

@Anónimo 5:08 p.m.

Buenas,
Avances, tecnología, información a mansalvas y medios para nuestra protección online hay para dar vender y regalar, para mi los que se despreocupan de ello, en la mayoría de los casos soy consciente de que es por desconocimiento y por no estar relacionados con estos temas y para nada son tontos o menos inteligentes que cualquiera que lo este, ni mucho menos, 'Cajonero a tus cajones' para mi mas bien son desinteresados con algunos temas, pero perezos@ es aquel que sabiendo lo que hay no toman las medidas oportunas.

Hoy en día el menos inexperto se la puede colar al mas pinato, seguramente como dije antes aprovechando un error del contrario, hay personas que saben mucho de técnicas hacking, etcétera pero, si encima se lo ponemos fácil, apaga y vámonos, no? Un refrán muy sabio a tener en cuaenta en lo que a la seguridad de la información se refiere es...

'Más vale prevenir que curar'

Saludos!

Anónimo dijo...

Ebay tambien fue hackeado
Y en adobe te digo yo que casi todos teniamos una cuenta por que hace unos años cuando tenias que descargar el adobe te pedia registrarse.

Paula dijo...

Perfecto, me apunto la web de los gestores de contraseñas (que espero que no sean vulnerables a ningún ataque sino menuda fiesta).
Gracias por el aporte.
Un saludo.

Anónimo dijo...

Si la base de datos de usuarios ha sido copiada, el segundo factor de autenticación, ¿No sería inutil?

Chema Alonso dijo...

@Anónimo, justo ahí es donde tiene sentido el segundo factor de autenticación, para que no puedan usar las credenciales. Saludos!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares