1) Causas posibles que pudieron
originar la intrusión a la cuenta Twitter de AP
Debido a los constantes ataques a twitter recientes
se desnuda una vulnerabilidad en su red social. Debido a esto, los hackers ven
la forma de su poder intentando vulnerar
aplicaciones y haciéndolas públicas para que los usuarios sientan miedo de los
hackers.
Hay muchas páginas webs donde los hackers pueden
publicar sus “hazañas” y eso les da una vitrina frente a otros hackers. La
falta de cultura de los usuarios al no cambiar su contraseña gradualmente o
haciendo sus contraseñas cortas. De este modo se hace más fácil a los hackers
poder descifrar la contraseña.
2) Qué medidas de remediación
propondría usted para que esto no se repita
Muchas de estas medidas dependen en gran parte del
usuario y su comportamiento ante cada intento de robarle su contraseña. Sin
embargo, existen formas que pueden ser implementadas para reducir el robo de contraseñas.
3) Estudie la plataforma Twitter e
indique sus puntos vulnerables o posibles vectores de ataque.
La vulnerabilidad de twitter se ha
mostrado durante muchos años fácil de vulnerar. Uno de fallos que presentó al
comienzo fue que permitía inyectar código JavaScript en los tweets(22/09/2010),
esto permitía que los usuarios puedan usar los comentarios para hacer maldades
-Entregando mensajes directos
“al tumtum”. En varias ocasiones Twitter ha entregado mensajes directos a destinatarios
que no correspondían.
-El XSS de David Naylor: Resulta que David Naylor descubrió una
vulnerabilidad en Twitter del tipo cross-site scripting
y la reportó a Twitter, la cosa se complicó un poco cuando los de la red social aseguraron
que lo habían arreglado pero no fue así, la vulnerabilidad seguía existiendoy la solución implementada por Twitter no
fue del todo completa.
-Por el mes de mayo un usuario de Twitter
fanático de la banda de rock Accept escribió un tweet en su cajón de texto: ponía “accept pwnz”. La sorpresa llegó cuando le dio a enviar
ya que en vez de aparecer el tweet en el timeline
notó que automáticamente el usuario @pwnz le empezó a seguir. De
esta forma se acababa de descubrir un bug
el cual permitía a cualquiera forzar la aparición de su usuario entre los
seguidores de cualquier otro.
-Es sabido por todos que Twitter permite como
máximo utilizar 140 caracteres en cada tweet. Hace
un tiempo, en el mes de agosto la red social se
llenó de tweets bastantes más largos. Pasó que un usuario descubrió un bug en el nuevo acortador de URLs
mediante el cual se podían escribir mensajes de más de 2.000 caracteres de
extensión.
-Más XSS y acortadores de URLs: varios bugs del
tipo XSS se han encontrado en Twitter hasta la fecha. Concretamente el fallo
permitió robar las cookies de aproximadamente 117 mil usuarios que dieron
clic en un enlace acortado con bit.ly el cual aparentemente parecía legítimo.
 |
 |
http://scobleizer.com/2008/12/06/10-reasons-why-twitter-direct-messages-suck-and-so-do-facebooks/
|
 |
 |
 |
http://bitelia.com/2010/09/twitter-afectado-bug-facilitaba-robo-cookies
|
4) Describa el proceso de acceso y
validación de usuarios y el proceso de cambio de clave, indique como lo mejoraría
La principal fuente de contraseñas robadas es el
descuido de los usuarios que no toman las medidas necesarias para cuidar su
contraseña.
El acceso se da por medio de la página principal de
twitter que pide el usuario y contraseña como la mayoría. Es posible iniciar sesión
desde una computadora como también desde un celular simultáneamente. No existe
un proceso de cambio de clave por un tiempo limitado. La opción que muestra
twitter para recuperar contraseñas es el siguiente.
El requerir el ingreso de validación por medio de
un captcha cada vez q se inicie sesión permite mostrar al sistema que es una
persona la que está ingresando su contraseña y no un programa o aplicación, que
intenta descifrar el código.
Otra medida a tomar sería restringir el acceso
cuando se inicie sesión de un lugar muy lejano tomando como referencia los puntos más frecuentes de inicio
de sesión y que necesitaría el permiso de acceso que tendría que ser entregado
vía correo personal. Esto reduciría la posibilidad de que una persona que se
encuentre muy lejos pueda ingresar a la sesión del propietario.
La idea de un token digital que pueda ser
solicitado por los usuarios que deseen más seguridad podría ser la mejor
solución a los problemas, pues mediante un algoritmo con sesión propia se puede
obtener acceso a una calve única por un periodo de tiempo corto, evitando que
se pueda descifrar pues para ello se necesita tiempo.
El reconocimiento facial es una tecnología en
proceso que se está empleando mucho actualmente. Hay varios televisores que
cuentan con esa tecnología, al igual que laptops, esto facilitaría el proceso
de estar ingresando una contraseña cada vez que se quiera iniciar sesión. Si
bien la tecnología n es segura en un 100 % con el paso del tiempo es posible
que se mejore y se use como una alternativa de seguridad.
Forzar un
periodo de 30 días máximo de cambio de clave
 |
| Twitter ha recordado a los usuarios algunas consideraciones básicas que
ayudarán a mejorar la seguridad de sus contraseñas en el servicio. Los
consejos de Twitter se producen días después de que se haya sufrido problemas
de seguridad que han afectado a 250.000 usuarios. Los usuarios de Twitter se han convertido en una de las víctimas predilectas para los ciberdelincuentes. Estafas y campañas de 'phishing' han sacudido a los 'tuiteros' en los últimos meses, haciendo que Twitter tenga que adoptar nuevas medidas para mejorar la protección. Desde Twitter han adoptado medidas como la utilización de un protocolo de seguridad para validar sus correos. Sin embargo, en la compañía quieren transmitir a los usuarios la necesidad de que ellos también sean parte activa de la protección de su información. En concreto, en la última entrada de Twitteren su blog se ha hecho especial énfasis a mejorar las contraseñas. La compañía ha dado algunos consejos para conseguirlo. Para empezar, Twitter ha recomendado el uso de contraseñas "seguras". La empresa entiende que para que una contraseña responda a esta descripción debe tener "al menos 10 caracteres que incluyan mayúsculas y minúsculas, números y símbolos". Además, Twitter se ha suscrito la recomendación de utilizar una contraseña por servicio. En segundo lugar Twitter ha señalado que los usuarios deben tener cuidado con los enlaces sospechosos. En este sentido, la compañía ha comentado que siempre hay que estar seguros de que se está en Twitter antes de introducir datos personales. Este consejo pretende combatir de forma directa las estafas de 'phishing' en que se imita la imagen de la compañía. El tercer consejo de Twitter ha sido que los usuarios no compartan con terceros sus datos de acceso al servicio. "Cuando usted da su nombre de usuario y contraseña a otra persona está dando el control completo a su cuente. Tenga cuidado con cualquier aplicación que prometa dinero o seguidores. Si suena demasiado bien para ser cierto probablemente no lo sea", han escrito desde Twitter.
Por último, el equipo de Twitter ha explicado a los
usuarios que deben asegurarse de que sus equipos están siempre actualizados
con los últimos parches disponibles y con medidas de seguridad y protección.
"Mantenga su navegador y su sistema
operativo actualizado con las versiones más actuales y
parches ya que algunos son liberados con frecuencia para hacer frente a
amenazas de seguridad particulares", ha finalizado Twitter.
|
No hay comentarios.:
Publicar un comentario