miércoles, 20 de noviembre de 2013

Ataque masivo de fuerza bruta contra los usuarios de GitHub

Github, el popular servicio de hospedaje de código fuente, ha publicado una entrada en su blog para informar de la detección de un ataque distribuido de fuerza bruta contra las cuentas de sus usuarios.

En principio, según GitHub, parece ser que el ataque se ha originado desde unas 40.000 IPs, lo que hace pensar que proviene de una botnet. Aunque aun se encuentran investigando el impacto del ataque, algunas cuentas han sido bloqueadas debido a que se ha detectado actividad desde las IPs atacantes, lo cual indica que el ataque de fuerza bruta ha tenido éxito sobre algunas cuentas de usuario.

No se comenta que tipo de actividad, pero desde una cuenta de usuario de GitHub se puede manipular código de un repositorio. GitHub permite editar el código directamente desde su interfaz web, o añadir claves privadas que permiten operar desde remoto contra el repositorio.

Respecto de las defensas de GitHub, tienen limitado el número de autenticaciones fallidas por cuenta, lo que ha motivado que el ataque se haya efectuado "a fuego lento" con un ratio bajo de prueba-error por cada cuenta de usuario. Los atacantes intentaron permanecer por debajo del radar.

No se conoce cuando se inició el ataque, pero revisando el histórico de seguridad algunos usuarios han detectado IPs desde ciertos países ajenos a ellos con intentos de hace más de cinco días.

Desde GitHub recomiendan revisar el histórico de seguridad, crear una contraseña fuerte y activar autenticación de dos factores.

Llama la atención una cosa: A partir de ahora GitHub no permitirá crear una contraseña débil. O lo que es lo mismo: GitHub permitía hasta hoy, como otros tantos sitios, crear una contraseña débil. Esto, junto con la práctica de compartir la misma credencial en varios sitios, es un eslabón demasiado frágil que está siendo aprovechado por los atacantes. Sirva de ejemplo el reciente ataque a Adobe, donde las contraseñas de los usuarios, cifradas inadecuadamente, también servían para autenticarse en otros sitios no relacionados.

El ataque que estamos comentando es muy sonoro, prácticamente casi todos los usuarios tienen registros de intentos fallidos de autenticación, eso no pasa sin ser detectado ya que produce demasiado ruido a pesar de que el ataque ha limitado su ratio de intentos.

¿Pero que hubiera ocurrido si hubiesen concentrado el ataque en unos pocos proyectos grandes, con muchos desarrolladores, donde una pequeña cuenta es capaz de inyectar un trozo de código que pasase desapercibido entre multitud de líneas?

Más información:

Weak passwords brute forced
https://github.com/blog/1698-weak-passwords-brute-forced

About Two-Factor Authentication
https://help.github.com/articles/about-two-factor-authentication

GitHub Security
https://github.com/settings/security

una-al-dia (05/11/2013) Adobe, la tormenta después de la tormenta
http://unaaldia.hispasec.com/2013/11/adobe-la-tormenta-despues-de-la-tormenta.html



David García
dgarcia@hispasec.com
Twitter: @dgn1729
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017