• Tweet

Microsoft y varias firmas de seguridad están invitando a los usuarios a proteger sus credenciales de acceso durante la temporada de compras vacacionales en el despertar de un incremento en el número de personas que compran regalos en línea.

El aviso también apunta a las empresas, las cuales podían encarar un incremento de ataques contra sus aplicaciones web, llevados a cabo por hackers ansiosos de encontrar fallos en sus sitios para robar información lucrativa del cliente, como números de tarjetas de crédito o ejecutar ataques de drive-by (como disparar en todas direcciones, malware en el caso informático) para infectar a los visitantes. Herramientas automáticas también están involucradas, activando ataques de fuerza bruta sobre contraseñas. Si tienen éxito podrían comprar productos con la cuenta de otra persona, o bien buscar más fallos en el sistema para ganar acceso a base de datos de clientes detrás del sistema.

Muchas amenazas se están volviendo ordinarias. El Centro de Quejas de Crimen por Internet del FBI registra muchas quejas de gente que experimenta fraude de subastas en línea. Phishing scams que usan tácticas ingeniería social para embaucar a la gente en una rendición libre de sus credenciales de acceso son populares y lucrativas para los cibercriminales. La última línea, dicen expertos, es practicar la seguridad de contraseña y usuario cambiar regularmente las contraseñas de las cuentas y siempre estar en guardia para los atacantes.

“Los problemas históricos no han desaparecido, pero muchos de los comerciantes principales se han vuelto mucho mejores en el manejo de esos problemas,” dijo Sean Brady, un experto global en el campo y estrategias de mitigación relacionadas al fraude electrónico en Bedford. “El problema es que los comerciantes quieren construir la confianza con sus clientes mientras, al mismo tiempo, los clientes tienen que ser precavidos respecto de sus actividades en línea.”

Brady dijo que muchos de los comerciantes en línea tienen procesos para contener los ataques de fuerza bruta de contraseñas de la vieja escuela. Tecnologías de CAPTCHA pueden ofrecer una prueba reto-respuesta razonable para asegurar que una herramienta automática no esté intentando iniciar sesión o crear nuevas cuentas. Mientras tanto, muchos comerciantes restablecen contraseñas después de un corto número de intentos de acceso fallidos, un método ampliamente utilizado y exitoso en limitar los intentos de fuerza bruta acertados.

Pero Microsoft advierte que las tecnologías por sí mismas, únicamente pueden llegar a proteger la cuenta de acceso de programas que ropmpen contraseñas. El gigante de software ha utilizado un analizador de protocolos de red y un servidor de FTP falso para escanear y registrar varios ataques automatizados diseñados para robar credenciales de cuenta. Los detalles liberados del análisis de la información recolectada desde julio encontraron que la gente está haciéndolo de una manera muy fácil para los atacantes.

Las estadísticas mostraron que mucha gente aún usa “admin” o “administrator” como nombres de usuario, sugiriendo esto que nombres de usuario y contraseñas por defecto son todavía usados. Similarmente, contraseñas fáciles de romper también lo fueron encontradas siendo usada “123456”, la cual fue tan común como la simple frase “password”.

Credenciales por defecto y nombres de usuario y contraseñas fáciles de suponer combinadas con una herramienta automática generadora de credenciales de cuenta hacen el proceso muy fácil, dice Microsoft.

“Un atacante intentó más de 400,000 combinaciones de nombres de usuario,” de acuerdo a una entrada de blog en ‘password protection’ de los investigadores de Microsoft Francis Allan Tan Seng y Andrei Saygo en el blog de Microsoft Malware Protection Center"s Threat Research and Response. Los investigadores recalcaron que una herramienta automática puede probar la fortaleza de la contraseña.

“Deberías poner atención al nombre de usuario y contraseña que estas escogiendo,” escribieron los investigadores. “Tener una contraseña super fuerte no es suficiente. Desde el momento en que necesitas cambiarla, especialmente cuando sientes que tu cuenta ha sido comprometida.”

Para las empresas, Secure Sockets Layer (SSL), el cual cifra una sesión de usuario, no es suficiente para proteger contra muchos ataques automáticos. Tom Cross, un actual miembro del equipo investigador Internet Security System"s X-Force de IBM, dijo que las vulnerabilidades de SQL Injection están por ser las favoritas de los atacantes. Los exploits de SQL Injection detectados a lo largo de la red de sensores de IBM se incrementaron desde dos mil por día en la primavera de 2008 a más de 500, 000 eventos por día para el verano de 2009.

“Hablando generalmente, estos ataques de inyectar iFrames dentro de una base de datos subyacente, donde la esperanza es que [código malicioso] provocará que usuarios inocentes vieran esas páginas web,” dijo Cross. “Lo que están tratando de hacer estos chicos es obtener algo en un sitio legítimo que redirija hacia su kit de herramientas de explotación.”

Un ataque existoso de SQL Injection sobre un sitio legítimo puede infectar cientos de clientes con malware antes de ser detectado, incluyendo Troyanos Keyloggers diseñados para recolectar cosas parecidas a claves cuando un usuario se registra en una cuenta. Anteriormente en este año, el CERT de Estados Unidos (US-CERT) aviso sobre el exploit de malware Gumblar, el cual ha sido esparcido sobre miles de sitios por medio del robo de credenciales de FTP, aplicaciones Web vulnerables y parámetros de configuración pobres.

“Los chicos malos están buscando un lugar dulce; un sitio web que no tenga sofisticación en seguridad como algunos de otras redes lo hacen,” dijo Cross. “Desafortunadamente el tipo de automatización que están usando está haciendo más fácil para ellos el buscar miles de esos dulces lugares.”

Otro método de mantener en observación las aplicaciones web y el flujo de tráfico de un sitio web es por medio del uso de firewalls aplicaciones web. Art of Defense, un proveedor de un firewall de aplicaciones web basado en Germany, lanzó Hyperguard SaaS en abril, apuntando a usuarios de la infraestructura basada en la nube EC2 de Amazon.

Alex Meisel, jefe de la oficina de tecnología y co-fundador de Art of Defense, dijo que la firma está dando a los comerciantes la habilidad de utilizar otra capa de seguridad sobre sus aplicaciones web al instalar el plug-in. Adicionalmente la tecnología común WAF, el software Hyperguard incluye cifrado de URL y marco de trabajo para autenticación Web. Una versión de prueba del plug-in está libre para los comerciantes, pero la firma planea vender una versión empresarial el próximo año, dijo Meisel.

“Las compañías están encontrando que tecnología y educación es una parte importante de la estrategia de seguridad por capas,” Meisel dijo. “En la nube, la magnitud del problema es mucho más grande porque todo está colocado en un lugar. La gente puede perder su información en un parpadear de ojos.”