Fuente Original: http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/
En la Seguridad Informática el reto más grande es evitar al mínimo el riesgo de fuga del activo más importante de las organizaciones, y las personas, los datos. Sin embargo, los métodos de obtención de información para llevar a cabo tales acciones a veces trascienden a la comprensión de los especialistas, aún aplicando los controles de seguridad más enérgicos, por lo que siempre, siempre, hay que estar informado y estar al tanto de tales tendencias. El relato en cuestión es de Mat Honan, periodista de Wired, que quiero compartir con ustedes, traducido para los que no entiendan inglés.
En espacio de una hora, toda mi vida digital fue destruida. En primer lugar mi cuenta de Google se la tomaron, luego la eliminaron. A continuación mi cuenta de Twitter fue comprometida, y se utilizó como una plataforma para difundir mensajes racistas y homófobos. Y lo peor de todo, mi cuenta AppleID fue asaltada, y mis hackers la utilizaron para borrar de forma remota todos los datos de mi iPhone, iPad y MacBook.
En muchos sentidos, esto fue todo culpa mía. Mis cuentas estaban todas encadenadas. Entrar en Amazon hizo que mis hackers ingresaran a mi cuenta de Apple, que les ayudó a entrar en Gmail, que les daba acceso a Twitter. Si hubiera utilizado la autenticación de dos pasos para mi cuenta de Google, es posible que nada de esto hubiera sucedido, porque su objetivo final era siempre para hacerse cargo de mi cuenta de Twitter y causar estragos. LOL
Si yo hubiera hecho regularmente copias de seguridad de los datos de mi MacBook, yo no habría tenido que preocuparme de perder más de un año de fotos, que abarca toda la vida de mi hija, o en los documentos y correos electrónicos que no había almacenado en ninguna otra ubicación.
Esas fallas de seguridad son culpa mía, y ahora tengo mucho, muchísimo que lamentar.
Pero lo que me pasó expone los defectos vitales de seguridad en varios sistemas de servicio al cliente, sobre todo de Apple y de Amazon. El Soporte técnico de Apple dio a los hackers acceso a mi cuenta de icloud. El Soporte técnico de Amazon les dio la posibilidad de ver una pieza de información - un número de tarjeta de crédito parcial - que Apple utiliza para verificar la información. En pocas palabras, los mismos cuatro dígitos que Amazon considera "sin importancia suficiente" para mostrar en la web son precisamente las mismas que Apple considera lo suficientemente seguras como para llevar a cabo la verificación de identidad. La desconexión expone fallas en las políticas de gestión de datos, endémicos en la toda industria de la tecnología, y apunta a una pesadilla que se avecina al entrar en la era del Cloud Computing y dispositivos conectados.
Esto no es sólo mi problema. Desde el viernes, 3 de agosto, cuando los hackers irrumpieron en mis cuentas, he oído de otros usuarios que estaban comprometidos de la misma forma, por lo menos uno de los cuales fue dirigido por el mismo grupo.
Por otra parte, si los equipos actuales aún no se encuentran conectados a la Nube, pronto lo estarán. Apple está trabajando duro para hacer que todos sus clientes usen icloud. El Sistema operativo de Google es todo basado en la Nube. Y Windows 8, el sistema operativo más centrado en la nube, llegará a los escritorios y oficinas por decenas de millones en el año que viene. Mi experiencia me lleva a creer que los sistemas basados en la nube necesitan medidas de seguridad fundamentalmente diferentes. Los mecanismos de seguridad basados en contraseña (que puede ser violada, restablecida y obtenida con Ingeniería Social) ya no son suficientes en la era de la computación en la Nube.
Me di cuenta de que algo andaba mal alrededor de las 5 pm del viernes. Yo estaba jugando con mi hija cuando de repente mi iPhone se apagó. Yo estaba esperando una llamada, así que volví a conectarlo.
A continuación, se reinició en la pantalla de configuración. Esto era irritante, pero no me preocupé. Supuse que era un fallo de software. Y, con mi teléfono sacaba automáticamente copias de seguridad cada noche. Yo supuse que sería un dolor de cabeza, y nada más. Entré en mi nombre de usuario icloud para restaurar, y no fue aceptada. Una vez más, me irrité, pero no me alarmé.
Me fui a conectar el iPhone al ordenador y restaurar desde la copia de seguridad - que acababa de realizar el otro día. Cuando abrí mi computadora portátil, un mensaje de iCal apareció diciéndome que la información de mi cuenta de Gmail estaba equivocada. A continuación, la pantalla se puso gris, y me solicitó un PIN de cuatro dígitos.
Yo no tenía un PIN de cuatro dígitos.
Ahora, sabía que algo andaba mal, muy mal. Por primera vez se me ocurrió que estaba siendo hackeado. Sin saber exactamente qué estaba pasando, desconecté el router y el cable módem, apagué el Mac Mini que se utiliza como un centro de entretenimiento, agarré el teléfono de mi esposa, y llamé a AppleCare, el servicio de la empresa de soporte técnico, y hablé con un representante durante la siguiente hora y media.
No era la primera llamada que había tenido ese día sobre mi cuenta. De hecho, más tarde me enteré de que una llamada se había hecho media hora antes de la mía. Sin embargo, el representante de Apple no se molestó en decirme acerca de la primera llamada relativa a mi cuenta, a pesar de los 90 minutos que pasé en el teléfono con el soporte técnico. Tampoco soporte técnico de Apple me iba a decir nada acerca de la primera llamada por su cuenta - sólo compartió esta información al preguntar al respecto. Y yo supe de la primera llamada, porque el mismo hacker me dijo que él había hecho la llamada.
A las 04:33, de acuerdo a los registros de soporte técnico de Apple, alguien llamó a AppleCare diciendo ser yo. Apple dice que la persona que llamó informó que no podía entrar en su e-mail .me (@me.com). Que, por supuesto, era mi e-mail .me
En respuesta, Apple le emitió una contraseña temporal. Lo hizo a pesar de la incapacidad de la persona que llamó para responder a las preguntas de seguridad que había establecido. Y lo hizo después de que el hacker dio sólo dos piezas de información que cualquier persona con una conexión a Internet y un teléfono puede descubrir.
A las 4:50 pm, una confirmación de restablecimiento de contraseña llegó a mi bandeja de entrada. Yo realmente no uso mi e-mail .Me, y rara vez lo reviso. Pero incluso si lo hiciera, no podría haber notado el mensaje debido a que los hackers lo enviaron inmediatamente a la papelera. A continuación, fueron capaces de seguir el enlace en el correo electrónico para restablecer mi contraseña AppleID de forma permanente.
A las 4:52, una recuperación de contraseña de Gmail de correo electrónico llegó a mi buzón .Me. Dos minutos más tarde, otro e-mail notificándome que la contraseña de mi cuenta de Google había cambiado.
A 5:02 pm, que restablecían mi contraseña de Twitter. A las 5:00 usaron "Find My" de icloud para borrar de forma remota mi iPhone. En 5:01 se borraron de forma remota mi iPad. A las 5:05 borraron de forma remota mi MacBook. Casi al mismo tiempo, borraron mi cuenta de Google. A las 5:10, hice la llamada a AppleCare. A las 5:12 los atacantes enviaron un mensaje a mi cuenta en Twitter tomando crédito por el hack.
Tras limpiar mi MacBook y eliminar mi cuenta de Google, ahora no sólo no tenía la capacidad de controlar mi cuenta, sino que fueron capaces de evitar que recuperara el acceso. Y locamente, de maneras que no sé y que no lograré entender, las eliminaciones fueron sólo daño colateral. Mis datos de MacBook, incluyendo las fotografías irremplazables de mi familia, del primer año de mi hija y familiares que ahora han pasado a mejor vida, no eran el objetivo. Tampoco los ocho años de mensajes en mi cuenta de Gmail. El objetivo siempre fue Twitter. Mis datos de MacBook fueron incinerados simplemente para evitar volver a entrar. LOL.
Me pasé una hora y media hablando con AppleCare. Una de las razones que me llevó tanto tiempo para nada con Apple durante mi llamada telefónica fue porque no podía responder a las preguntas de seguridad que tenía en sus archivos para mí. Resulta que hay una buena razón para ello. Cuando había pasado una hora o así en la llamada, el representante de Apple en la línea dijo "Sr. Herman, yo .... "
"Espera. ¿Cómo me llamaste?"
"El señor Herman? "
"Mi apellido es Honan".
Apple había estado buscando en la cuenta equivocada todo el tiempo. Debido a eso, yo no podía responder a mis preguntas de seguridad. Y por eso, me pidió un conjunto alternativo de preguntas que, según dijo, permitiría a soporte técnico darme acceso a mi cuenta junto con: La dirección de facturación y los últimos cuatro dígitos de mi tarjeta de crédito. (Por supuesto, cuando se las di a ellos, no sirvió de nada, porque soporte técnico había oído mal mi apellido.)
Resulta que, una dirección de facturación y los cuatro últimos dígitos de un número de tarjeta de crédito son las únicas dos piezas de información que alguien necesita para entrar a tu cuenta de icloud. Una vez suministrada, Apple emitirá una contraseña temporal, y esta contraseña te da acceso a icloud.
Soporte técnico de Apple me confirmó dos veces durante el fin de semana que todo lo que se necesita para acceder al AppleID de alguien es la dirección de correo electrónico asociada, un número de tarjeta de crédito, la dirección de facturación, y los cuatro últimos dígitos de una tarjeta de crédito archivados. Estoy dejando bien en claro esto. Durante mi segunda llamada de soporte técnico de AppleCare, el representante me confirmó esto a mí. "Eso es realmente todo lo que necesita para verificar algo con nosotros", dijo.
Hemos hablado con Apple directamente sobre su política de seguridad, y una portavoz de la compañía Natalie Kerris dijo a Wired, "Apple se toma en serio la privacidad del cliente y requiere de múltiples formas de verificación antes de restablecer una contraseña de ID de Apple. En este caso en particular, los datos del cliente se han visto comprometidos por una persona que había adquirido la información personal del cliente. Además, encontramos que nuestras propias políticas internas no fueron seguidas por completo. Estamos revisando todos nuestros procesos para restablecimiento de contraseñas para asegurar que los datos de nuestros clientes está protegida. "
El lunes, Wired trató de verificar la técnica de los hackers para accesar en una cuenta diferente. Tuvimos éxito. Esto significa, en última instancia, que todo lo que se necesita, además del e-mail de una persona son las dos piezas de fácil adquisición de información: una dirección de facturación y los cuatro últimos dígitos de una tarjeta de crédito archivadas. Esta es la historia de cómo los hackers las obtuvieron.
En la noche del hack, había tratado de darle sentido a la ruina de lo que una vez fue mi vida digital. Mi cuenta de Google fue anulada, mi cuenta de Twitter fue suspendida, mi iPhone estaba lejos de restaurarse, y (por razones obvias) estaba paranoico sobre el uso de mi cuenta .Me para comunicarme.
Decidí crear una nueva cuenta de Twitter hasta que la vieja pudiera ser restaurada, sólo para hacerle saber a mis seguidores lo que estaba pasando. Me logueé en Tumblr y publiqué un relato de cómo pensé que se había producido el ataque. Hasta este punto, yo estaba asumiendo que mi contraseña de AppleID de siete dígitos alfanuméricos había sido hackeada por fuerza bruta. En los comentarios (y, ¡oh, los comentarios!) algunos otros pensaron que se trataba de un Keylogger. Al final del post, lo vinculé a mi nueva cuenta de Twitter.
Y entonces, uno de mis hackers me envió un mensaje @. Más tarde se identificó como Phobia. Yo le seguí. El me siguió.
Hemos iniciado un diálogo a través de Twitter por mensajes directos que más tarde continuó a través de e-mail y AIM. Phobia fue capaz de revelar los suficientes detalles sobre el hack y mis cuentas comprometidas que se hizo evidente que él era, al menos, una de las partes en como ocurrió. Estuve de acuerdo de no presentar cargos, y a cambio me dijo exactamente cómo el truco funcionó. Pero en primer lugar, quería aclarar algo:
"No adiviné o utilicé fuerza bruta. Tengo mi propia guía sobre cómo proteger mensajes de correo electrónico."
Le pregunté por qué lo hizo. ¿Estaba dirigido a mí específicamente? ¿Era sólo para llegar a la cuenta de Twitter de Gizmodo? No, Phobia dijo que no había sido consciente de que mi cuenta estaba vinculada a Gizmodo, que el vínculo con Gizmodo no tenía nada que ver. Dijo que era simplemente un robo para mí de Twitter por mi usuario de tres caracteres. Eso es todo lo que querían. Sólo querían tomarla, y hacerla mierda, y verla arder. No era nada personal.
"Honestamente, no tenía ningún motivo hacia ti antes de esto. Simplemente me gustaba tu nombre de usuario como he dicho antes ", me dijo a través de mensaje directo de Twitter.
Después de llegar a través de mi cuenta, el hacker hizo una investigación de fondo. Mi cuenta de Twitter estaba vinculada a mi sitio web personal, donde encontraron mi dirección de Gmail. Adivinando que ésta fue también la dirección de correo electrónico que utilizaba para Twitter, Phobia acudió a la página de Google para pedir una recuperación de contraseña. Ni siquiera tuvo que intentar realmente una recuperación. Esto fue sólo una misión de reconocimiento.
Debido a que yo no tenía activada la autenticación de dos factores de Google, cuando Phobia entró en mi dirección de Gmail, podría ver el correo electrónico alternativo que yo había creado para la recuperación de la cuenta. Google oscurece parcialmente esa información, pero dejando algunos caracteres descubiertos, pero no fueron los suficientes, m••••n@me.com. Bingo
Así fue como el hack progresó. Si tuviera alguna otra cuenta, aparte de una dirección de correo electrónico Apple, o si hubiera utilizado la autenticación de dos factores para Gmail, todo se hubiera detenido aquí. Pero al yo usar mi cuenta .ME como una copia de seguridad, significaba que el hacker se percató de que tenía una cuenta AppleID, lo que significaba que era vulnerable a ser hackeado.
"en verdad te digo, se puede conseguir cualquier correo electrónico asociado a Apple", afirmó Phobia en un e-mail. Y tras funcionar, parece ser una gran verdad.
Puesto que él ya tenía mi e-mail, todo lo que necesitaba era mi dirección de facturación y los últimos cuatro dígitos de mi número de tarjeta de crédito para que Soporte técnico de Apple le diera las llaves de mi cuenta.
Entonces, ¿cómo obtuvo esa información vital? Comenzó con la más fácil. Él consiguió la dirección de facturación mediante una búsqueda de WHOIS en mi dominio web personal. Si alguien no tiene un dominio, también puede buscar su información en Spokeo, WhitePages y PeopleSmart.
Obtener un número de tarjeta de crédito es difícil, pero también se basa en el aprovechamiento de los sistemas back-end de la empresa. Phobia dice que un compañero realizó esta parte del hack, pero nos describió su técnica, que hemos sido capaces de verificar a través de nuestras propias llamadas de teléfono de soporte técnico. Es muy fácil - tan fácil que Wired logró repetir esta vulnerabilidad dos veces en cuestión de minutos.
En primer lugar llamas a Amazon y les dices que eres el titular de la cuenta, y que deseas agregar un número de tarjeta de crédito a la cuenta. Todo lo que necesitas es el nombre de la cuenta, una dirección de correo electrónico asociada, y la dirección de facturación. Amazon a continuación, le permite introducir una nueva tarjeta de crédito. (Con Wired se utiliza un número de tarjeta de crédito falso de un sitio web que genera números falsos que se verifican con un algoritmo de auto-chequeo). Luego cuelgas.
A continuación les devuelves la llamada, y le dices a Amazon que has perdido el acceso a tu cuenta. Al proporcionar un nombre, dirección de facturación, y el número de tarjeta de crédito nueva que dio la compañía en la llamada previa, Amazon te permitirá agregar una nueva dirección de correo electrónico a la cuenta. Desde aquí, te vas al sitio web de Amazon, y envías un restablecimiento de contraseña a la nueva cuenta de correo electrónico. Esto te permite ver todas las tarjetas de crédito en el archivo de la cuenta, no los números completos, sólo los últimos cuatro dígitos. Pero, como ya sabemos, Apple sólo necesita los últimos cuatro dígitos. Le pedimos a Amazon que hiciera comentarios sobre su política de seguridad, pero no tuvieron nada para compartir al momento de esta edición.
Y es también digno de mención que no tienes que llamar a Amazon para sacar esto. El tipo que te entrega la pizza podría hacer lo mismo, por ejemplo. Si tienes tiene una AppleID, cada vez que llamas a Pizza Hut, el chiquillo de 16 años, al otro extremo del auricular estará escuchando todo lo que necesita saber para hacerse cargo de toda tu vida en internet.
Y así, con mi nombre, dirección, y los últimos cuatro dígitos de mi número de tarjeta de crédito en la mano, Phobia llamó a AppleCare, y mi vida digital se fue al traste. Sin embargo, en realidad fui muy afortunado.
Podría haber utilizado mis cuentas de correo electrónico para tener acceso a mi banca en línea, o los servicios financieros. Se podría haber utilizado para comunicarse con otras personas, y obtener información de ellos. Como Ed Bott ha señalado en TWiT.tv, mis años como periodista especializado en tecnología han puesto a algunas personas muy influyentes en mi libreta de direcciones. Ellos podrían haber sido víctimas también.
En cambio, los hackers sólo querían avergonzarme, pasar un buen rato a mi costa, y enfurecer a mis seguidores en Twitter con bromas.
He hecho algunas cosas muy estúpidas. Cosas que no debería haber hecho.
Debería haber realizado regularmente copias de seguridad de mi MacBook. Y como yo no estaba haciendo eso, todas las fotos del el primer año y medio de vida de mi hija se perdió para siempre, y todo eso es culpa mía. No debería tener juntas dos cuentas vitales - mis cuentas de Google y iCloud - juntas. No debería haber utilizado la misma dirección de correo prefijo través de múltiples cuentas - mhonan@gmail.com, mhonan@me.com y mhonan@wired.com. Y yo debería haber tenido una dirección de la recuperación que sólo se utiliza para la recuperación sin estar atado a los servicios básicos.
Pero, sobre todo, no debería haber utilizado "Find My Mac". Find My iPhone ha sido un brillante servicio de Apple. Si pierdes tu iPhone, o se la roban, el servicio te permite ver dónde se encuentra en un mapa. David Pogue del The New York Times recuperó su iPhone perdido la semana pasada gracias a este servicio. Y así, cuando Apple presentó Find My Mac en la actualización de su sistema operativo Lion el año pasado, añadió también eso a mis opciones iCloud.
Después de todo, como periodista, y sobre la marcha, mi laptop es mi herramienta más importante.
Pero como un amigo me señaló, mientras que el servicio tiene sentido para los teléfonos (que es muy probable que se pierda) tiene menos sentido para las computadoras. Usted es más propenso de perder su PC de forma remota que físicamente. Y peor aún es la forma en que Find My Mac se lleva a cabo.
Cuando se realiza un borrado del disco remotamente con Find my Mac, el sistema te pide que crees un PIN de cuatro dígitos para que el proceso puede ser revertido. Pero aquí está la cosa: Si otra persona en vez de ti realiza esa limpieza - alguien que tuvo acceso a su cuenta de icloud a través de medios maliciosos - no hay manera para puedas introducir el PIN.
Una mejor manera de tener esta configuración sería exigir un segundo método de autenticación cuando Find My Mac se configure inicialmente. Si este fuera el caso, alguien que ha sido capaz de entrar en una cuenta de icloud, no sería capaz de borrar de forma remota los dispositivos con intenciones maliciosas. También significa que usted podría tener una manera de detener un barrido remoto en curso.
Pero así no es como funciona. Y Apple no quiso hacer comentarios sobre si se está considerando una autentificación más fuerte.
A partir del lunes, dos de estas vulnerabilidades utilizadas por los hackers estaban todavía en funcionamiento. Wired fue capaz de duplicarlas. Apple dice que sus procesos internos de soporte técnico no se cumplieron, y así es como mi cuenta fue comprometida. Sin embargo, esto contradice lo que AppleCare me dijo dos veces el fin de semana. Si eso es de hecho, el caso - que yo era víctima de Apple por no seguir sus propios procesos internos -, entonces el problema es generalizado.
Le pregunté a Phobia por qué me hizo esto a mí. Su respuesta no fue satisfactoria. Dice que le gusta dar a conocer los exploits (huecos) de seguridad, para que las empresas los solucionen. Y dice que por esa misma razón, me dijo cómo se hacía. Él afirma que su compañero fue la persona que limpió mi MacBook durante el ataque. Phobia expresó remordimiento por esto, y dice que lo habría detenido si hubiera sabido.
"Si yo realmente soy un buen tipo, no sé por qué hago algunas de las cosas que hago", me dijo a través de AIM. "No sé, mi objetivo es que las demás personas se den cuenta de estas cosas para que puedan llegar a superar a los hackers".
Le pregunté específicamente sobre las fotos de mi niña, que son, para mí, la tragedia más grande en todo esto. A menos que se pudieran recuperar esas fotos a través de servicios de recuperación de datos, se han ido para siempre. En AIM, le pregunté si estaba arrepentido de hacerlo. Phobia respondió: "A pesar de que no fui el que lo hizo, lo siento mucho. Eso es un montón de recuerdos, sólo tengo 19 años, pero si mis padres perdieran las imágenes de mí y otras fotos estaría más que triste y estoy seguro de que ellos también".
Pero digamos que sí sabía, y no pudo detenerlo. Coño, por argumento, digamos que él lo hizo. Digamos que él fue el que apretó el gatillo. Lo más extraño es que yo ni siquiera estoy enojado con Phobia, o su compañero en el ataque. Estoy más molesto es conmigo mismo. Estoy encabronadísimo por no hacer copias de seguridad de mis datos. Estoy triste y conmocionado, y siento que soy el último en llevar la culpa de esta pérdida.
Pero también estoy molesto de que este ecosistema en el que he puesto toda mi confianza me haya decepcionado de tal manera. Estoy enojado de que Amazon haga tan fácil el permitir que alguien entre en una cuenta, que tiene evidentes consecuencias financieras. Y luego está el de Apple. Me metí en el sistema de cuenta de Apple originalmente para comprar canciones a 99 centavos cada una, y con los años el mismo ID se ha convertido en un único punto de entrada que ahora controla mis teléfonos, tablets, ordenadores y toda mi vida informática. Con este AppleID, alguien puede hacer miles de dólares de compras en un instante, o hacer daño a un costo tal alto que no se le puede poner un precio.
Comentarios
Publicar un comentario