PwnedWord: El atajo de Siri que te dice si tu contraseña se ha filtrado

No debería extrañarnos que se diga que en la red se filtran contraseñas constantemente, y que existen multitud de sitios que permiten consultar si una determinada cuenta o contraseña se ha visto comprometida, algo que todo deberíamos comprobar periódicamente. Ahora podremos hacer está comprobación a través de un atajo en Siri, que se llama PwnedWord, y va a permitir a los usuarios verificar si sus contraseñas se han filtrado con la técnica ‘k-anonymity’.

¿Cómo se realiza la consulta? Envía los 5 primeros caracteres del hash a pwnedpasswords.com, el servicio devolverá todas las contraseñas que coincidan con esos primeros 5 caracteres del hash enviado, para terminar en el propio iPhone se comprobará el hash completo de la contraseña con el hash de todas las devueltas por el servicio.

Figura 1 - Usando PwnedWord (Fuente)

Como resultado, el atajo te mostrará un mensaje felicitándote por tener una contraseña robusta y ‘nunca’ filtrada, o por el contrario, te indicará el número de veces que se ha visto comprometida. Si tu contraseña se ha filtrado, no olvides cambiarla de inmediato, además, si no lo haces ya, ves pensando en agregar un doble factor de autenticación.

Antes de descargar el atajo de icloud y poder hacer uso de él, tienes que activar la opción que permita atajos no confiables, esto se encuentra en el apartado de configuración, dentro de la opción de atajos.

Desbloquea tu Apple Watch cuando te autentiques en tu iPhone

Si dispones de un Apple Watch sabrás que proteger tu reloj con una contraseña para asegurarse de que nadie pueda acceder a su contenido cuando no lo lleves puesto es una buena idea. Cuando la función de bloqueo con contraseña esté activada, el wereable se bloqueará automáticamente al retirarlo de tu muñeca y requerirá de una contraseña para desbloquearlo. Puede que introducir la contraseña al volver a ponértelo no resulte muy cómodo, por suerte Apple ya ha pensado en ello y watchOS ofrece la opción de desbloquearlo automáticamente cuando su propietario desbloquee su iPhone la primera vez después de haberse vuelto a poner el reloj.

El funcionamiento de esta herramienta es bastante simple, al ponerte el Apple Watch en la muñeca este se mantiene bloqueado. Sin embargo tan pronto como desbloquees tu iPhone, watchOS detecta que eres tú el que lo lleva puesto y desbloquea el Apple Watch para que puedas usarlo sin tener que introducir la contraseña manualmente. A continuación os explicaremos como activar esta interesante función para que podáis mejorar la seguridad de vuestro Apple Watch sin que os resulte incomodo desbloquearlo. Solo tenéis que seguir 3 pasos:

Figura 1: Activar "Unlock with iPhone"

1. Comenzaremos lanzando la aplicación de Apple Watch en nuestro iPhone.                                                                                                                                 
2. Asegúrate de que la pestaña “Mi reloj” está seleccionada y pulsa en la opción “Contraseña”.                                                                                                                                                                   
3. En la siguiente pantalla busca la función “Desbloquear con iPhone” y actívala pulsando en el botón que se encuentra a su lado. 

Una vez que hayas activado esta función tu Apple Watch se desbloqueará automáticamente la primera vez que desbloquees tu iPhone. Este truco es muy útil para cuando uno se pone el reloj después de cargarlo o de pasar por la ducha y no quiere introducir la contraseña en el Apple Watch.

Kanye West debería cambiar la contraseña de su iPhone

El conocido cantante reveló su contraseña por error cuando desbloqueaba su iPhone X en un video durante una reunión con el presidente Trump. Como se podía apreciar en el video, su contraseña era 000000, una de las contraseñas con la seguridad más pobre del mundo. West reveló la contraseña inconscientemente al fallar el reconocimiento facial de su iPhone cuando pretendía enseñar al presidente unas imágenes del iPlane 1 (un prototipo de avión que funcionaba con hidrogeno diseñado en 2012) en el que afirmaba que debería viajar el presidente.

A pesar de usar un iPhone X o XS, dispositivos que soportan Face ID haciendo que no sea necesario introducir una contraseña escrita, el rapero decidió desbloquear su dispositivo manualmente delante de las cámaras, (aún no se sabe si Face ID no estaba configurado, si Kanye lo tenía desactivado o fue un fallo del dispositivo). Apple recomienda a los usuarios de sus smartphones no utilizar contraseñas tan sencillas en sus dispositivos, de hecho si intentas cambiar tu contraseña a 000000, 123456 o alguna combinación similar te aparecerá un pop up en la pantalla avisándote de que esa combinación puede adivinarse fácilmente y que deberías optar por una contraseña algo más complicada.

En su reunión West dijo: “tendremos a Apple, una empresa americana trabajando en este avión” Actualmente la flota presidencial está compuesta por dos Boeing VC-25s, dos adaptaciones militares del Boeing 747 fabricadas por la empresa francesa en su fábrica de Everett, Washington. West también dijo al presidente que convertir un avión así en el avión presidencial haría que mejorase su imagen respecto al exterior “Si usted no se ve bien, nosotros no nos vemos bien, para dar una buena imagen tenemos que tener los mejores aviones y las mejores fábricas”.

Algunos tips que harán que tu contraseña sea más segura (y no olvides un 2FA)

Hoy en día y desde hace un tiempo, las contraseñas son un elemento presente y en muchas ocasiones indispensable en nuestra vida. Muchas veces tenemos tantas contraseñas en uso que las menos utilizadas se nos olvidan o para evitar que eso suceda las repetimos en todas nuestras cuentas (todos sabemos que esta no es la mejor opción). Independientemente de cómo gestiones tus cuentas y sus contraseñas desde ElevenPaths te recordamos la importancia de utilizar segundos factores de autenticación ya que pueden paliar las consecuencias de un robo de credenciales, por ejemplo, el uso de Latch y los TOTP.

El uso de contraseñas muchas veces es el único método que utilizamos para proteger nuestras cuentas digitales o el acceso al escritorio de nuestro ordenador o teléfono móvil, con el aumento de la ciberdelincuencia y los avances en las técnicas de machine learning han aparecido nuevas técnicas y herramientas que facilitan los trabajos de crackeo.  En este artículo os ayudaremos a elaborar contraseñas más seguras de una forma sencilla.

Figura 1: Herramienta de Cellebrite para acceder a dispositivos Android e iOS

1. No utilices nombres propios ni palabras extranjeras o que puedas encontrar en un diccionario: como hemos mencionado antes, las herramientas de cracking han evolucionado y son capaces de procesar inmensas cantidades de números y letras en segundos, por esta razón es importante evitar el uso de palabras “normales”.                                                                                                   
2. No utilices información personal: Uno de los mayores errores a la hora de escoger una contraseña es utilizar información personal, hoy en día no resulta difícil obtener esa misma información de los perfiles de redes sociales o servicios de internet, por lo que no es recomendable usar teléfonos, direcciones o fechas de cumpleaños.                                                                                                            



Figura 2: Duck Duck Go, Herramienta de Crackeo

 
3. La Longitud, composición y dificultad: A la hora de elaborar una contraseña es importante saber que cuanto más larga sea, más difícil será de crackear, al igual que si contiene números o caracteres como “% $ @” o si tiene un sentido o significado aparente.                                                   
4. Cambiar de contraseña periódicamente: Esto puede resultar tedioso, sobre todo si manejamos varias contraseñas, por suerte existen varios gestores (como LastPass o 1Password) que te permitirán archivar tus contraseñas y copiarlas al portapapeles cada vez que las necesites.

Hasta aquí los tips que pueden hacer que nuestras contraseñas, o el primer factor de autenticación, sean más robustas. No olvidemos que es fundamental utilizar un 2FA hoy en día, sobretodo en identidades digitales importantes y dónde tenemos la información más valiosa.

Analizando la grave vulnerabilidad "I Am Root" en macOS High Sierra

El 28 de noviembre se hizo pública una de las mayores vulnerabilidades nunca vista en un sistema operativo de Apple. Básicamente, cualquier usuario podía utilizar la cuenta "root" sin contraseña para acceder con estos derechos de administrador al sistema, es decir, con acceso total al equipo. Una vez solucionado el problema (este error fue resuelto en la actualización de seguridad 2017-001)  es interesante echar la mirada atrás para intentar comprender los orígenes de esta grave vulnerabilidad.

Este bug se llamó "#IAmRoot" o "#rootgate" y funcionaba en las versiones de macOS High Sierra 10.13 o 10.13.1 sin parchear, haciendo posible que cualquier atacante pudiera abrir una ventana de autenticación y utilizar la cuenta "root" sin contraseña. Realmente no se estaba accediendo sin contraseña, lo que ocurría es que se estaba habilitando la cuenta "root" y al no poner contraseña, estábamos asignado una contraseña en blanco como clave de dicha cuenta. Si la cuenta "root" ya estaba activada previamente, este problema de seguridad no aparecía.

Figura 1. Demostración de acceso root sin contraseña. Fuente.

Este acceso requería estar físicamente delante del ordenador para poder acceder aunque más tarde se demostró una forma de acceder remotamente, siempre y cuando se cumplieran alguna condiciones de configuración en el equipo víctima. Por ejemplo, si el Mac tenía activada la opción de compartir pantalla (Screen Sharing), entonces era posible el acceso por cualquier persona dentro la misma red local. Una vez conseguido este acceso era posible también activar el acceso remoto o la compartición de ficheros.

La primera noticia que tenemos de esta vulnerabilidad apareció en un hilo dentro del foro de desarrolladores de Apple, el 13 de noviembre de 2017. No se habla directamente del problema "root" en sí, sino que aparece después de que un usuario preguntara algunas dudas sobre errores de instalación en la nueva versión de macOS Sierra (aquí podéis ver todo el hilo). Abajo podéis ver una captura de la respuesta dada por un usuario llamado "chethan177", que dice literalmente y parece ser que sin ser consciente del problema "introduce el nombre de usuario: root y deja la contraseña vacía. Pulsa enter (inténtalo dos veces)".

Figura 2. Respuesta en foro de desarrolladores de Apple que delata el problema de #IAmRoot. Fuente.

A partir de aquí empieza una cadena de respuestas centrándose en esa última frase la cual desata y pone en evidencia el problema del "#IAmRoot". Más tarde, una semana después, aparece un video en Twitter donde se demuestra la vulnerabilidad, pero Apple no respondió ni tomo ninguna medida. El problema comenzaría de verdad cuando un desarrollador desde Turquía publicó un tweet donde explicaba con todo detalle cómo explotar la vulnerabilidad. Esta actitud se criticó bastante ya que no es precisamente la mejor práctica publicarlo en Twitter sin antes haberlo discutido internamente con Apple, ya que estaba publicando un ataque "zero day" en toda regla al resto del mundo sin dar tiempo de reacción a solucionarlo.

Otro punto interesante a analizar es cómo ha podido ocurrir este grave problema desde el punto de vista de código. Al parecer, esta vulnerabilidad catalogada como CVE-2017-13872, es un error lógico de programación (un error a la hora de comprobar el resultado de una comparación) del equipo de desarrollo de Apple. En este enlace podéis encontrar un magnífico análisis exhaustivo centrado en el demonio "opendirectory". El problema se basa en el estado "deshabilitado" de la cuenta "root", ya que un error de código el cual verifica las contraseñas de las cuentas, no realizaba correctamente esta comprobación en las cuentas deshabilitadas, dando por lo tanto la opción de dejarla en blanco o introducir una nueva contraseña. La solución a este problema era realmente simple, sólo había que comparar la contraseña con la variable correcta. En esta captura se puede apreciar perfectamente la corrección (arriba la parte sin parchear y abajo parcheada), en la cual se añaden y modifican sólo un par de líneas de código:

Figura 3. Parte desensamblada del código que muestra el problema y la solución a #IAmRoot. Fuente.

Esta vulnerabilidad en el código se parece bastante a otra llamada "goto fail", que apareció en 2013 en las versiones tempranas de OS X Mavericks. Este error fue incluso más simple que el fallo "root", y se debió a la inclusión de una línea de código duplicada la cual permitía realizar un ataque tipo "man in the middle" para interceptar tráfico https. De nuevo, un fallo de programación que no fue detectado por los exhaustivos controles de calidad de Apple y que sólo se detecto una vez el sistema operativo (o la actualización correspondiente) se hizo público.