Opiniones | Opinions | Editoriales | Editorials

El incidente de iCloud y su impacto a los servicios de nube

 
Picture of System Administrator
El incidente de iCloud y su impacto a los servicios de nube
by System Administrator - Thursday, 4 September 2014, 1:29 AM
Colaboradores y Partners

El incidente de iCloud y su impacto a los servicios de nube

por Lizzette Pérez Arbesú

Foto de archivo del lanzamiento de iCloud en 2011

Apple rechaza una intrusión a sus sistemas, pero no es casualidad que las fotos de cientos de usuarios del servicio iCloud se hayan filtrado al mismo tiempo; más aún cuando estas fotografías muestran imágenes comprometedoras de personalidades reconocidas en el mundo de la farándula, como Jennifer Lawrence –de quien más se ha hablado al respecto–, Victoria Justice, Kate Upton, Kirsten Dunst, Mary Elizabeth Winstead, Avril Lavigne, Hillary Duff, Kaley Cuoco, Kim Kardashian, Rihanna, Scarlett Johansson y Selena Gomez, entre otras.

Independientemente de la forma en que fueron obtenidas las fotografías (algunas de las cuales fueron supuestamente borradas de la cuenta de los usuarios hace meses o años), este no es solamente un caso que expone públicamente a figuras famosas, sino que deja al descubierto fallas de seguridad en un sistema de cómputo creado para salvaguardar las posesiones digitales de usuarios, tanto individuos como empresas.

Haciendo una investigación retrospectiva, la semana pasada el sitio 4Chan habría pagado cierta cantidad de dinero a alguien para liberar imágenes de actrices conocidas. El domingo 31 de agosto se publicaron las fotografías, a cambio de que los usuarios hicieran aportaciones en moneda electrónica o Bitcoins a cuentas de PayPal.

La primera reacción fue culpar a Apple por lo que sea que haya provocado que los hackers accedieran a las imágenes que se habían almacenado en iCloud. Como siempre, “ahogado el niño se tapa el pozo”, las notas para incrementar la seguridad de los usuarios en la nube y cómo desactivar la opción de almacenamiento inmediato de las imágenes en la nube de Apple surgieron al por mayor.

 

Cómo se realizó la brecha

Sin embargo, la pregunta sigue en el aire: ¿cómo se realizó la filtración? ¿Fue un solo ataque de hackers o es el resultado de un trabajo de años realizado por un grupo de atacantes?

Algunas de las teorías que han recopilado publicaciones como NBC News y The Verge, incluyen:

  1. Ingeniería social. Uno o varios hackers pudieron dedicarse a adivinar las contraseñas de las cuentas de las celebridades. Las cuentas pudieron obtenerse desde otro servicio en línea, no necesariamente relacionado con Apple. Una vez que el atacante obtiene un correo electrónico o ID de acceso, puede intentar ingresar al sitio deseado usando la funcionalidad de “Olvidé mi contraseña” – esta teoría se basa en el hecho de que muchos usuarios utilizan las mismas credenciales para diversas actividades en línea.
  2. Ataque de fuerza bruta. El anuncio de la filtración se dio poco después de que un equipo de desarrolladores dieran a conocer su hallazgo de una falla en el servicio Find My Phone de Apple, lo cual permitiría a cualquiera que consiguiera el ID de un usuario intentar introducir la contraseña cientos o miles de veces, hasta atinarle a la correcta.
  3. Intercambio de “tarjetas”. Las imágenes pudieron recopilarse entre varios hackers y no solamente ser extraídas desde una sola fuente. Durante años, los hackers pudieron intercambiar imágenes y videos de actrices famosas hasta que alguien decidió difundir “su colección”.

Como sea, este incidente ha elevado aún más las dudas sobre la seguridad de los servicios en la nube que muchas empresas también utilizan para almacenar información confidencial. ¿Qué le garantiza a las compañías que su información no será extraída, tal como sucedió con las imágenes de estas famosas?

Los hackers no vulneraron la seguridad de iCloud, dice Apple 

Apple confirmó que algunas cuentas de iCloud se vieron comprometidas, pero asegura que la seguridad de su sistema de respaldo automático no fue violada.

Las fotografías privadas de las celebridades involucradas en este incidente fueron obtenidas en un "ataque cuidadosamente dirigido hacia nombres de usuario, contraseñas y preguntas de seguridad", dijo Apple en un comunicado. Pero la compañía no dio más detalles de cómo los atacantes obtuvieron los pedazos de información deseada.

De hecho, se ha especulado sobre si estas fotografías se obtuvieron mediante la explotación de una vulnerabilidad en el servicio Find My iPhone de Apple, lo cual ha negado la empresa. "Ninguno de los casos investigados han sido resultado de brechas en nuestros sistemas, incluyendo iCloud", dijo Apple.

A pesar de esta negación, Apple silenciosamente arregló la vulnerabilidad de Find My iPhone que los desarrolladores habían publicado días antes, y que permitía a los atacantes múltiples intentos hasta encontrar la contraseña correcta.

Preocupaciones por la seguridad en la nube

 

El incidente ha renovado las dudas acerca de los servicios basados ​​en la nube y fue una llamada de atención para impulsar mejores procesos de autenticación.

El modelo tradicional –que se basa en los nombres de usuario, contraseñas y los preguntas de seguridad– es ampliamente considerado defectuoso porque los atacantes pueden moverse fácilmente entre estas revisiones.

El consultor independiente de seguridad, Graham Cluley, dijo que Apple debe hacer de la autenticación de dos factores algo obligatorio para todos los usuarios de sus servicios. Actualmente, la autenticación de dos factores que mejora la seguridad al exigir una contraseña de una sola vez es opcional, pero Cluley dice que no todos los usuarios saben que está disponible. "Sería muy bueno ver que Apple haga dicha protección obligatoria, y no solamente una opción para los pocos que se sabe acerca de ella", escribió en un blog.

Después del incidente, Apple ha recomendado a los usuarios elegir una contraseña segura y permitir la autenticación de dos factores. La compañía no ha dicho mucho sobre el incidente ni la pieza de software llamada iBrute que explotaba una vulnerabilidad en el servicio Find My iPhone; sin embargo, se aplicó un parche y dicho servicio tiene ahora un límite de cinco intentos.

Llamado a reducir los riesgos

Para Raj Samani, director de tecnología de McAfee Europa, los procesos de autenticacióndeben ser reforzados por otras tecnologías biométricas. "La autenticación biométrica reemplaza contraseñas, teniendo en cuenta los atributos humanos como las huellas digitales, el reconocimiento de voz o facial para proporcionar un mayor nivel de seguridad", dijo.

El incidente llamó la atención de las empresas para ajustar sus procesos de seguridad y asegurarse de que no estén expuestos al riesgo a través del uso de servicios basados ​​en la nube por parte de los empleados. "Las empresas deberían pensar en los servicios en la nube que sus empleados pueden utilizar para almacenar información de la empresa y asegurarse de que están protegidos o retirar la información de dichos servicios", dijo Bob Doyle, consultor de seguridad de Neohapsis, firma de gestión de riesgos.

Temas sobre transparencia de datos

El FBI anunció que se ha sumado a la investigación de Apple. Todavía no existe evidencia concreta de que las fotos fueran robadas de iCloud y algunos analistas han sugerido el uso de múltiples brechas.

Los abogados que actúan en nombre de Jennifer Lawrence y Kate Upton han amenazado con procesar a cualquier persona que difunda o duplique las imágenes obtenidas ilegalmente.

Más allá del tema legal, el incidente ha develado preocupaciones sobre la transparencia de la ubicación de los datos. "Cuando uno sincroniza su teléfono con su laptop o tableta, esos datos casi seguramente van a otro lugar, donde se almacenan y respaldan", dijo Tim Erlin, director de seguridad y riesgo en Tripwire.

"Cada uno de estos lugares y sistemas crea un vector de ataque que debe ser protegido. Estamos en el punto donde nada de lo que se hace en el iPhone puede ser considerado como privado".

 

De acuerdo con Eduard Meelhuysen, vicepresidente de Netskope para Europa, una firma de análisis en la nube y aplicación de políticas, este suceso debe ser una advertencia para las empresas. "Incluso si las organizaciones no usan iCloud, sin duda sus empleados sí lo hacen”, dijo. Añadió que bloquear su uso en un entorno empresarial no es opción cuando este servicio es parte esencial de la vida de los usuarios.

"Para proteger los datos confidenciales de la empresa, las organizaciones necesitan entender qué datos se han movido a los servicios basados ​​en la nube y lo qué hacen los usuarios con eso", dijo.

"En vez de bloquear iCloud, o cualquier aplicación similar, las organizaciones deben tratar de dar forma al uso al detener conductas de riesgo, como la posibilidad de subir información personal identificable o compartir contenido sensible fuera de la empresa. De esa manera se puede mitigar el riesgo al tiempo que se permite el uso de la nube en su negocio”, concluyó Meelhuysen.

Los esfuerzos técnicos de Apple

En marzo de este año la compañía introdujo la autenticación de dos factores (2FA) en iCloud y otros servicios para ayudar a proteger a los usuarios contra hackers que intentaran acceder a sus cuentas.

Esto significa que aún si los hackers roban o adivinan nombres de usuario y contraseñas, éstas no darán un acceso fiable a cuentas si no se está en posesión del teléfono móvil vinculado a la cuenta. Los hackers tampoco podrían usar la clásica técnica de solicitar el restablecimiento de contraseñas.

A cualquier persona que use la función se le enviará una clave de acceso temporal en un mensaje de texto al teléfono móvil para permitirles acceder a la cuenta o servicio de Apple. El sistema 2FA reemplazará los defectos de seguridad derivados de la facilidad de obtener información personal, como los datos de a qué escuela asistieron.

Una vez que la función está activada, el sistema permitirá cambios a la cuenta solamente con la contraseña de un solo uso (OTP) o código de verificación enviado al teléfono. Los usuarios también reciben un código de respaldo en caso de que pierdan su teléfono móvil o no puedan recibir el OTP debido a la falta de cobertura.

Aunque esta característica fue inicialmente lanzada en 11 países, en julio Apple llevó 2FA a 48 países más, alcanzando un total de 59. Sin embargo, los usuarios deben activar esta característica, ya que no está habilitado por defecto.

Con información de diversos artículos de Warwick Ashford publicados en SearchSecurity.com.

Link: http://searchdatacenter.techtarget.com

Apple niega fallos en su plataforma de almacenamiento

El robo de fotos siembra dudas sobre la seguridad del iCloud

MARIMAR JIMENEZ | MADRID

Cientos de fotografías privadas de famosas desnudas o posando de manera sexy circulando por internet por un supuesto hackeo de iCloud, el servicio de almacenamiento de datos en la nube de Apple, ha desatado todas las alarmas sobre la seguridad de esta solución de la compañía de la manzana. La filtración de dichas fotos –entre las que hay instantáneas de la actriz Jennifer Laurence, la cantante avril Lavigne, la modela Kate Upton o la gimnasta McKayla Maroney han obligado a Apple a dar explicaciones. Su portavoz, Natalie Kerrys, defendió en un comunicado 24 horas después de desatarse el escándalo que la compañía se toma “muy en serio la privacidad” de sus usuarios y que están “investigando activamente esta información”.

Apple niega la posibilidad de que toda esa filtración de fotos (o parte de ella) se deba a un fallo de seguridad de su servicio. La compañía ha señalado que, después de más de 40 horas de investigación, ha descubierto que "las cuentas de ciertas personas famosas fueron vulneradas mediante ataques muy concretos a sus nombres de usuario, contraseñas y preguntas de seguridad". El servicio iCloud es utilizado para almacenar fotos, música y datos en la nube.

"Ninguno de los casos que hemos investigado son el resultado de una brecha en ninguno de los sistemas de la compañía, incluyendo iCloud o Find my iPhone", añade Apple. Agrega que "Continuamos trabajando con ayuda de las fuerzas de seguridad para ayudar a identificar a los autores"

La Oficina Federal de Investigaciones (FBI) ha anunciado en un comunicado que “está al tanto” de la noticia y que ya está siendo “atendida”, según informó Efe, que añadió que, pese a que muchas de las fotos han sido calificadas como burdos montajes, alguna de las celebridades víctimas de la difusión de las fotografías por las redes sociales tras su filtración, han confirmado que hay muchas que son veraces. Es el caso de la citada Jeniffer Lawrence, protagonista de Los juegos del hambre o X-Men: Days of Future Past.

Esta actriz ya ha señalado que presentará acciones legales contra cualquier medio que publique sus fotografías robadas, que fueron alojadas primero en el sitio de intercambio de fotos en internet 4Chan, firmadas por Anonymous, y de ahí comenzó su distribución por redes sociales como Twitter o Reddit, entre otras muchas. “Se trata de una flagrante violación de la privacidad”, dijo el portavoz de la artista en un comunicado, quien aseguró que ya se ha puesto en contacto con las autoridades estadounidenses.

Probar contraseñas

Según TNW, un software publicado en GitHub se habría utilizado para dar con las contraseñas de las cuentas de iCloud. Al parecer alguien encontró una brecha de seguridad en el servicio de Apple conocido como Find My Phone (encuentra mi teléfono), que permite el rastreo y bloqueo a distancia de un teléfono perdido o robado. Dicha brecha de seguridad pudo haber permitido que el pirata informático introdujera automáticamente en el servicio de almacenamiento de iPhone en la nube diferentes combinaciones de contraseñas hasta dar con la correcta. Apple habría solucionado ya el agujero que permitía probar contraseñas de forma indefinida, según Gizmodo.es. De cualquier forma, y tal y como detalla esta web, entre las fotos y el material filtrado hay imágenes tomadas con smartphones Android, no con iPhone, y hay vídeos, cuando iCloud no hace back-up de vídeos. Todo ello hace sospechar que la filtración tenga múltiples fuentes y servicios en la nube.

La publicación sin control de las comprometidas instantáneas ha puesto en evidencia que el usuario debe tomar medidas para evitar que le roben sus fotos más personales, pues nadie parece estar a salvo de ser víctima de un ataque a los sistemas de almacenamiento online, pues aunque son servicios seguros, no son infranqueables.

Cómo mantener la privacidad

Tras el robo de imágenes, compañías de seguridad como ESET y McAfee han publicado algunas reglas de oro para proteger la privacidad en internet.

    • 1. Más allá de recomendar no subir a la web “lo que no queramos que se comparta”, desde ESET advierten que “ni iCloud ni ningún otro servicio online son totalmente seguros”. Por ello, pese a que destacan su utilidad, aconsejan “no guardar en ellos documentos sensibles”.
    • 2. Las dos firmas de seguridad recomiendan usar contraseñas complejas y, si el servicio online tiene doble factor de autenticación, activarlo. También aconsejan evitar acceder a los servicios online a través de apps, pues muchas no cifran los datos ni usan protocolos seguros.
    • 3. Otra regla de oro para ESET es cerrar bien las sesiones antes de abandonar el servicio online que se esté usando. “No solo hay que cerrar el navegador sino también la cuenta del usuario y, para ello, hay que buscar la opción Salir o Logout”.
    • 4. Los expertos recomiendan a quienes gusten de hacerse fotos subidas de tono usar cámaras digitales en vez de smartphones y que las guarden cifradas en sus tarjetas de memoria o discos duros locales, en vez de en sus teléfonos y/o servicios en la red. Algunos expertos alertaban ayer de las apps móviles que tienen acceso a las fotos tomadas en los smartphones. Y otros sugirieron eliminar los metadatos asociados a las fotos tomadas con el móvil.

Link: http://cincodias.com

Tras hackeo de iCloud, los expertos dicen que los datos empresariales pueden estar en riesgo

por Brandan Blevins

Como la fuga de la semana pasada de fotos privadas de celebridades sigue siendo noticia, la comunidad de la seguridad ha vuelto su atención hacia la vulnerabilidad en el servicio iCloud de Apple Inc., que está en el corazón del incidente, y la probabilidad de fallas similares. Los expertos creen que el hackeo de iCloud destaca de cómo pueden estar en riesgo los datos de la empresa, especialmente en organizaciones que no saben que sus datos sensibles han sido llevados hacia la nube.

El incidente, revelado la noche del domingo y apodado "The Fappening" en los foros en línea, expuso fotos comprometedoras de Jennifer Lawrence, Kate Upton y otras personas de alto perfil.

En un comunicado sobre su investigación, Apple dijo que el hackeo de iCloud no fue causado directamente por una vulnerabilidad en iCloud, sino a través de un ataque dirigido contra el mecanismo de autenticación del sistema.

“Después de más de 40 horas de investigación, hemos descubierto que ciertas cuentas de celebridades fueron comprometidas por un ataque muy específico sobre los nombres de usuario, contraseñas y preguntas de seguridad, una práctica que se ha vuelto muy común en internet", dijo Apple en su declaración. "Ninguno de los casos que hemos investigado es el resultado de alguna brecha en ninguno de los sistemas de Apple, incluyendo iCloud o Find my iPhone. Nosotros seguimos trabajando con la policía para ayudar a identificar a los delincuentes involucrados”.

Sin embargo, el proveedor con sede en Cupertino, California, parchó una vulnerabilidad en su app Find My iPhone –una parte de la suite de servicios mayor iCloud– que los expertos en seguridad sospechan que fue al menos parcialmente responsable de la filtración.

Antes del parche, la aplicación permitía a los usuarios introducir un número ilimitado de intentos de contraseñas sin ser bloqueado, un defecto que expuso el servicio a los ataques de fuerza bruta. Un límite de cinco intentos se puso en marcha para el servicio dentro de las 24 horas de que se reportó la brecha.

Días antes de la brecha, el equipo detrás de HackApp, una herramienta automatizada de auditoría de seguridad de aplicaciones móviles, lanzó iBrute, una herramienta que puede ser utilizada para aplicar fuerza bruta al servicio Find My iPhone. En un comunicado publicado en la página web de HackApp, el grupo se disculpó por hacer una presentación de la herramienta y la vulnerabilidad relacionada en una conferencia de seguridad de DefCon en Moscú el mes pasado, lo que indica que su herramienta o técnica pueden haber desempeñado un papel en el hackeo de iCloud.

"Siento mucho que la charla dada por @hackappcom y @abelenko en @DefconRussia en una reunión de grupo (@chaos_construct event) hace unos días haya tenido consecuencias tan desagradables. Y la comunidad blackhat realizó una retroalimentación tan débil, barata e ingrata”, dijo el equipo de HackApp en un comunicado. "Para todos los involucrados en este incidente, quiero recordarles que hoy en día estamos viviendo en un nuevo y valiente mundo global, cuando la protección de la privacidad no ha sido siempre tan débil, y hay que tener en cuenta que todos  sus datos de los dispositivos ‘inteligentes’ podrían ser accesibles desde internet, que es el lugar de la anarquía y, como resultado, podría ser fuente de actividad indeseable y desagradable”.

La Oficina Federal de Investigaciones dijo, en un comunicado del pasado lunes, que la agencia es "consciente de las acusaciones" en relación con las filtraciones de celebridades y está "abordando el asunto". La agencia de investigación ha investigado previamente casos de fugas de imágenes que involucran celebridades, todos los cuales resultaron en condenas.

El hackeo de iCloud: Empresas, tengan cuidado

Mientras Apple y el FBI continúan sus investigaciones, varios expertos en seguridad dijeron a nuestra publicación hermana SearchSecurity que las empresas deben ser conscientes de que iCloud –junto con otros servicios de almacenamiento en la nube como Dropbox y Box– puede estar recolectando tesoros de datos corporativos sensibles los cuales, si se ven comprometidos, podrían tener consecuencias de largo alcance.

Andrey Belenko, ingeniero senior de seguridad del proveedor de seguridad móvil viaForensics LLC, dijo que iCloud puede recolectar todo, desde fotos y videos a mensajes de texto y datos de aplicaciones, dependiendo de los ajustes permitidos por cada usuario. Detalles del calendario, notas, contactos y una variedad de otros datos también pueden hacer copias de seguridad en iCloud.

Tal Klein, vicepresidente de marketing de la empresa de seguridad Adallom Inc., agregó que el Llavero (KeyChain) de iCloud almacena y sincroniza credenciales de inicio de sesión a través de múltiples dispositivos de Apple, almacenándolos por defecto en iCloud, con la protección proporcionada por una contraseña y un PIN separado de cuatro dígitos o código de acceso. Los usuarios pueden optar por hacer la copia de seguridad de esos datos de forma local como alternativa.

La buena noticia, dijo Belenko, es que la documentación de Apple aclara qué datos se almacenan y dónde, por lo que los equipos de seguridad de la empresa puede determinar qué activos pueden haber sido almacenados en el medio ambiente de iCloud y actuar en consecuencia, si así lo desean. El sitio web de Apple explica cómo se protege la información recopilada por iCloud, así como las implicaciones del uso de ciertos servicios como Find My iPhone, e incluso la forma de eliminar las fotos recopiladas por My Photo Stream.

Por supuesto,la adopción de tales medidas proactivas exige que la empresa esté totalmente comprometida con un programa de seguridad, y de acuerdo con Keith Palmgren, un instructor con el Instituto SANS y presidente de la consultora NetIP Inc., la cantidad de grandes empresas que todavía no tienen un ejecutivo responsable de seguridad no es probable que tenga un plan en marcha para asegurar las copias de seguridad en la nube de los usuarios.

"Te voy a apostar su próximo cheque de pago que esas empresas no tienen ni idea de qué datos se están enviando a la nube", dijo Palmgren.

Cómo proteger los datos enviados a iCloud

Si iCloud y otros servicios de almacenamiento en la nube enfocados en el consumidor representan un riesgo potencial para los datos corporativos, ¿qué deben hacer las empresas para proteger los datos que se envía a la nube?

Michael Sutton, vicepresidente de investigación de seguridad del proveedor de seguridad en la nube Zscaler Inc., dijo que los equipos de seguridad de las empresas deben aceptar que el uso de los servicios de TI de consumo es una realidad, y que los ahorros en costos y el impulso en la productividad proporcionados por estos servicios hace que sea casi imposible prohibir que se utilicen.

Con esto en mente, Sutton aconseja a los profesionales de seguridad trabajar con las unidades de negocio para asegurar los despliegues de servicios en la nube con antelación, y para poner en práctica esfuerzos de monitoreo de tráfico para evitar que los datos no aprobados sean subido a los servicios de almacenamiento en la nube.

Palmgren aconsejó que las empresas también eduquen a los usuarios sobre los beneficios de  aplicar autenticación de múltiples factores, no solo para los servicios de almacenamiento en la nube, sino también para otros servicios en línea sensibles, tales como los sitios de banca. Apple, de hecho, proporciona una versión de autenticación de factores múltiples basada en SMS, que permite a los usuarios tener códigos enviados a su dispositivo cada vez que se registra un intento de inicio de sesión.

"Si usted no está utilizando estas características, no está haciendo las cosas bien", dijo Palmgren.

 






 

 

3840 words