Celebridades, Senhas e Nuvem

Salvo você ter chegado agora de um retiro espiritual sem internet, deve estar a par do vazamento de fotos privadas envolvendo dezenas de celebridades. A combinação de vulnerabilidade de software e senhas fracas é um filme que nunca sai de cartaz.

Celebridade é sempre alvo das câmeras...

Celebridade é sempre alvo das câmeras…

Luzes, Camera…

Para não entrar na discussão errada, esqueça por um instante que o vazamento envolve celebridades. Imagine que ao invés da Jennifer Lawrence, são informações corporativas da sua empresa, salvas em um serviço de armazenamento na nuvem, como o iCloud, o qual vários dos usuários de iOS podem estar utilizando sem nem ao menos se darem conta.

O iCloud é totalmente integrado com o resto da plataforma iOS e OSX, a mesma credencial AppleID é utilizada também na loja de aplicativos e em recursos como o Find My Phone. O problema estava neste último, cujo formulário de acesso não bloqueava a conta em caso de tentativas repetidas de logon com a senha inválida.

Uma ferramenta para bruteforce do Find My Phone foi publicada no GitHub, e desconfia-se que utilizada neste vazamento. Informando um nome de usuário, ela tentava as senhas mais comuns em língua inglesa (disclaimer: coloquei o link para a ferramenta porque a vulnerabilidade já foi corrigida pela Apple). A Apple também divulgou um press release informando que nenhum ataque causou violação no iCloud ou Find My Phone (o que em uma leitura atenta não exclui a possibilidade da ferramenta).

Uma vez com acesso ao AppleID do usuário, é possível recuperar fotos e dados salvos na nuvem ou até mesmo apagar o smartphone, tablet ou Mac da vítima. A partir daí, as fotos foram oferecidas no site 4Chan mediante pagamento em Bitcoins. Geração selfie é isto.

 

Kill Chain

São portanto dois os fatores que levaram ao vazamento: O primeiro é a omissão na aplicação do tratamento de logons incorretos; o segundo é a utilização de senha frágil.

Este segundo ponto é até compreensível, já que para muitos, a senha do AppleID pode ter sido criada há anos, quando o único “iDevice” era o iPod e portanto seu vazamento não oferecia risco elevado. A própria Apple disponibiliza mecanismos de autenticação de 2 fatores, mas são poucos os que fazem uso disto.

Nas aplicações, infelizmente a falta de tratamento de segurança nas aplicações é mais comum do que se pensa. Bloqueio de senha depois de tentativas incorretas é uma boa prática, mas envolve criar o processo adicional de desbloqueio da credencial. Pressionados entre a segurança e os prazos de delivery, os desenvolvedores muitas vezes deixarão de lado estes recursos. E a continuação deste filme todo mundo já conhece.

E se já é difícil controlar as aplicações homologadas, a disseminação da Shadow IT agrava isto. Afinal, agora são os usuários que escolhem os aplicativos em uso, em uma decisão que não passa necessariamente por critérios técnicos.

Mudando o Script

Seu usuário domina estas configurações?

Seus usuários dominam estas configurações?

Na impossibilidade de controlar a tudo e a todos, a organização deve tomar alguns cuidados para não virar manchete:

  • Conscientizar os usuários sobre riscos com senhas fracas, inclusive as senhas que eles usam em aplicações e dispositivos particulares;
  • Adotar mecanismos de autenticação de 2 fatores;
  • Monitorar aplicações em uso nos dispositivos corporativos para barrar aqueles que sejam notoriamente perigosos;
  • Proteger informações sigilosas com recursos adicionais como criptografia;
  • Revisar as práticas de segurança dos desenvolvedores de software internos ou terceirizados.

Não prometo final feliz, mas sim a redução das chances de problemas.