¿Por qué es aparentemente tan fácil piratear sitios supuestamente seguros como Apple iCloud y Sony Pictures?

No conozco un caso en el que Apple iCloud haya sido pirateado. Si te refieres a las filtraciones de fotos de celebridades, eso no fue un truco y no tuvo nada que ver con cuán seguro es / era iCloud. Los atacantes utilizaron información pública para adivinar o restablecer contraseñas de celebridades para obtener acceso.

El hack de Sony fue una intrusión real que pasó por alto la seguridad. Los atacantes utilizaron malware y, posiblemente, información privilegiada de Sony para obtener acceso a sus redes y datos internos. Hackear una corporación no es “fácil” pero se está volviendo más común (Home Depot, K-Mart, Best Buy, Chase, BofA, etc.) – Los hackers verdaderamente hábiles pueden / siempre lograrán comprometer los sistemas. Es probable que esto nunca cambie, porque el eslabón más débil en el sistema más seguro es siempre la gente. Los hackers aún pueden acceder a una red o sistema que es impenetrable porque todo lo que tienen que hacer es engañar a una persona con privilegios de acceso para que instale software o regale credenciales. El error humano puede y siempre permitirá que un hacker tenga éxito. Lo mejor que alguien puede hacer es asegurarse de que los datos estén encriptados correctamente para que, si se los roban, sea casi imposible utilizarlos. Y, por supuesto, una buena detección de intrusiones es clave para mitigar el daño.

Estas compañías que están siendo pirateadas están comenzando lentamente a aprender (con suerte) que han dado por sentado la seguridad. Te sorprendería lo pobre que es la seguridad cibernética de tu banco. Muchas instituciones financieras en línea solo permiten contraseñas de 14 caracteres. A medida que las computadoras se vuelven más poderosas, las contraseñas cortas son más fáciles de forzar (supongo). Eso es algo que tiene que cambiar sistémicamente. El objetivo no es dejar de piratear por completo, sino hacerlo increíblemente difícil y establecer sistemas que minimicen el daño. Hay mucho trabajo por hacer y, lamentablemente, estas tragedias a veces son necesarias para garantizar que las empresas prioricen adecuadamente la seguridad.

Entonces no, no puedes eliminar una amenaza, pero hay mucho que se puede hacer para mitigarla.

Hay un par de razones. Probablemente, la más simple es que todos estos sistemas son utilizados por muchas personas, las personas no siempre tienen contraseñas excelentes y, a menudo, las personas confían más de lo que deberían. Las grandes empresas tienen empleados que cometen errores: harán clic en correos electrónicos no deseados, recogerán llaves USB en el estacionamiento pensando que solo pueden usarlas o que quieren ver qué hay en ellas, etc. Además, todas estas compañías usan diferentes combinaciones del mismo software componentes y componentes subyacentes como SSL. Estas piezas de software son tan complejas pero a lo largo de los años, y a medida que más y más personas usan los mismos componentes, se desarrollan agujeros de seguridad.

Los sistemas son muy complicados. Hay miles y, en algunos casos, millones de líneas de código y el software pasa de un programador a otro. Algunos de los códigos que manejan Internet y nuestro mundo actual se escribieron literalmente hace 20 años y todavía hay partes de él que ningún organismo sabe cómo funciona. Simplemente no se ha mirado. Entonces los errores son inevitables y esos errores se convierten en agujeros de seguridad. Los sistemas son complicados y no hay una manera fácil de protegerlos, por lo que prácticamente cualquier persona o cualquier organización grande puede ser hackeada. Todo lo que se necesita es que una persona ingrese a una pieza de software en busca de un error para obtener un punto de apoyo o una ventaja o hacer que haga algo que no se supone que debe hacer. Si son inteligentes, generalmente pueden encontrar los errores y llegar a un sistema o red vulnerable. Y una vez que entran, tienen un punto de apoyo y pueden comenzar a explorar y aumentar su acceso. Por ejemplo, si un pirata informático encuentra una vulnerabilidad en un servidor web que es utilizado por la mitad de Internet, esa vulnerabilidad de repente se convierte en una llave maestra que puede llevarlos a cualquier lugar donde quieran conectarse.

Si bien es ciertamente posible encontrar y explotar las deficiencias técnicas en los sistemas y protocolos de red, la gran mayoría de los piratas informáticos no tienen las habilidades técnicas, la destreza y los recursos necesarios para hacerlo. En realidad, los agujeros más grandes, que causan la gran mayoría de las violaciones de seguridad, son causados ​​por personas. Los usuarios adoptan contraseñas fáciles de adivinar y a menudo se dejan engañar por hacks de “ingeniería social”, desde phishing hasta renunciar a su contraseña o PII a alguien que se hace pasar por una autoridad. Las personas que configuran y / o mantienen sistemas configuran incorrectamente un sistema, olvidan cambiar la contraseña de administrador predeterminada o dejan el sistema intencionalmente inseguro porque es demasiado trabajo mantenerlo seguro.

No ayuda que muchos de estos sistemas sean demasiado complejos, con interfaces administrativas arcanas que dificultan la configuración y el mantenimiento adecuados.

Los propietarios de esos sistemas simplemente no se preocupan lo suficiente como para justificar las acciones correctivas. Seguridad / conveniencia o seguridad / costo no siempre son decisiones de compensación, pero es el caso el 80% del tiempo.

Las empresas detestan que sus contraseñas sean complejas, seguras (y difíciles de recordar) porque provoca:

1. Más problemas de soporte en el camino de las llamadas a la mesa de ayuda
2. menos adopción del producto

Por esta razón, muchas aplicaciones de baja seguridad tienen contraseñas débiles. Sus contraseñas bancarias en línea suelen ser más seguras y / o tienen autenticación de dos factores.

Muchos meses después del escándalo de las fotos de desnudos de celebridades, Apple todavía (5 de enero de 2015) está luchando con esto:
http://www.businessinsider.com/i …

No tengo idea de por qué señaló específicamente a Sony o Apple, pero esto es cierto para todas las empresas. Compruebe esto >> http://www.theregister.co.uk/201 …

Claramente, la seguridad es una broma en lo que respecta a la mayoría de las compañías. Tampoco puedes culparlos por la forma en que es la web. Siempre hay una escapatoria. En mi opinión, hay dos tipos de empresas: las que saben que están pirateadas y las que no. Debido a los diversos vectores de ataque posibles, estas empresas delegan la búsqueda de errores a los usuarios y les ofrecen recompensas en algo llamado programa de recompensas (échale un vistazo). Incluso muchos sitios web seguros tienen este tipo de programas simplemente porque no es posible predecir dónde puede estar una falla de seguridad.

Tomemos, por ejemplo, heartbleed. Muchos sitios web se vieron afectados y nadie sabía que eran vulnerables hasta que se dio a conocer. Entonces, lo mejor que pueden hacer estas compañías es parchear las que encuentran y conservar dichos programas. Y a veces hay casos que son enormes, como el hack de icloud o el hack de cuentas de Sony. No puedes culparlos por completo. ¡La seguridad es solo un estado mental !

Creo que los sistemas de información son increíblemente complejos y siempre hay una interfaz u otra que muestra algunas vulnerabilidades. Para un atacante determinado, eventualmente tocarán y pincharán las cosas hasta que encuentren algo que sea vulnerable. También creo que debido a que la naturaleza de la tecnología es moverse rápido y porque las personas siempre están innovando y pegando piezas para hacer que hagan lo que queremos, la utilidad del sistema generalmente termina superando la seguridad del sistema. Ese ha sido el patrón de hacks como estos: se te ocurre una gran innovación, juntas algunas cosas, creas eso a partir de estos bloques de construcción en los que la mayoría de la tecnología de la información está construida, es decir, protocolos y sistemas operativos estándar, luego se juntan y en algún momento en el futuro, la gente dice: “Oh, espera, puedo meterme con esto y jugar con él y hacer que haga algo que no debía hacer en primer lugar”. Y creo que ese es el orden natural de cosas. Nada es monolítico, es todo un enfoque colaborativo y todo lo que sea colaborativo tendrá complejidades que pueden ser atacadas.

Todo está interconectado, y creo que la película Blackhat finalmente lo señala. Si quieres que algo sea útil, tiene que estar conectado. La información en un cuadro no es útil a menos que se comparta y las personas puedan agregarla. Entonces, tan pronto como comencemos a interconectarnos y podamos hacer cosas como administrar una estación de energía desde su casa, también le permite a otra persona administrar remotamente una estación de energía desde su hogar. Lo que hace que Internet y la tecnología sean tan geniales es también su debilidad.

Combinación de ambos más un elemento más en mi opinión.

1) Los piratas informáticos explotan las debilidades en el hardware, los sistemas operativos, el software, etc., por lo que cualquier persona que use un dispositivo o aplicación vulnerable está potencialmente en riesgo.

2) Si además de # 1 las personas de seguridad NO están a la altura de la tarea, el riesgo de ser atacado aumenta aún más.

3) Si los datos que posee son de alto valor (se pueden convertir en efectivo vendiéndolos, ya sea comercialmente o a una organización con fines políticos o de espionaje), el riesgo de ser pirateado se acerca al 100%.

Funciona igual que el viejo robo. Si posees un objeto deseado por un ladrón y es fácil de robar, hay muchas posibilidades de que te roben. Si es un poco difícil tomar los objetos, hay muchas posibilidades de que el ladrón se mueva hacia un objetivo más fácil.

No existe el 100% de seguridad. Siempre habrá vulnerabilidades. A las corporaciones les conviene mantener sus datos seguros. Sin embargo, debido a errores humanos, se producen infracciones. A menudo no es la tecnología lo que es vulnerable, sino las personas responsables de mantenerla segura. Hackear humanos a través de la ingeniería social es preferible a hackear sistemas.

Existen profundos problemas con la seguridad de los protocolos fundamentales de Internet. ¿Qué tan segura es su parte de Internet? También existe el problema de la conveniencia frente a la seguridad. Las personas (por ejemplo, la gerencia) tienden a optar por soluciones simples como contraseñas. Existen medidas de seguridad más sofisticadas, pero rara vez se ven en sitios web públicos.

No se trata de ser irremediablemente vulnerable, se trata del hecho de que los malos solo están buscando un hoyo, mientras que los ingenieros de seguridad deben asegurarse de que no haya absolutamente ningún hoyo.

Solo recuerde que cualquier cosa que no sea segura siempre tendrá una falla … y cualquier cosa en las computadoras ya que los datos siempre tendrán el potencial de ser pirateados … siempre ha sido el caso y siempre será

1. No es “tan fácil” porque si fuera así todos lo harían

2. A la larga es algo bueno porque le dice a la compañía en qué trabajar y parchear para que no vuelva a suceder.