Uber y Thycotic: ¿Son las bóvedas de contraseñas una gran vulnerabilidad de seguridad?

Muy a menudo, cuando la gente habla de seguridad, surge la discusión sobre administradores de contraseñas o bóvedas. Estos pueden ser útiles para las personas. Sin embargo, conllevan algunos riesgos reales para las empresas, si no se consideran cuidadosamente.

Uber fue violado recientemente , y por todas las cuentas del atacante completamente así. Un sistema de bóveda de contraseñas llamado Thycotic entró en juego junto con algunas otras medidas diseñadas para agregar seguridad en lugar de eliminarla.

Hay algunas cosas con las que quiero empezar:

• la tecnología y las herramientas en sí mismas no tienen la culpa aquí, sino que se debe a su implementación y al diseño más amplio de los sistemas de Uber.
• los administradores de contraseñas y las bóvedas se usan indistintamente, pero por lo general una bóveda de contraseñas será más un sistema empresarial para que una empresa proteja las credenciales en toda la empresa en lugar de un solo usuario
• la seguridad es complicada, y cuando no se ha diseñado desde el principio, termina con grandes vulnerabilidades que significan que el error más pequeño puede convertirse en una brecha masiva con muy poco aviso

¿Qué pasó en el hackeo de Uber?

Comenzamos con la fatiga de notificaciones. El atacante, supuestamente un "TeaPot" de 17 años del Reino Unido, encontró las credenciales (probablemente compradas en línea) de un contratista de Uber y comenzó a enviarles solicitudes de autenticación de múltiples factores repetidamente. Esto se está convirtiendo rápidamente en un ataque común, simplemente tratando de molestar a las personas para que acepten la notificación, aunque en este caso también enviaron un mensaje a través de WhatsApp afirmando ser de Uber IT y diciéndole al contratista que hubo un error, y si aceptaron el notificación detendría las alertas.

Después de que el contratista aceptó la alerta, TeaPot afirma haber accedido a la intranet y encontrado un script con credenciales de administrador para Thycotic Secrets Vault que Uber usa para administrar sus credenciales.

Las credenciales de administrador podrían significar que todo en la bóveda de contraseñas estaba disponible para el atacante, y esto parece ser lo que sucedió. Supuestamente, incluía acceso al programa de recompensas por errores, lo que significa que TeaPot obtuvo acceso a vulnerabilidades no reparadas en las aplicaciones y sistemas de Uber.

Entonces, ¿las bóvedas de contraseñas son malas?

Aquí está el problema. La seguridad es complicada y la gestión de credenciales es difícil. En las escalas en las que trabajan Uber y otros unicornios, muchos de los cuales no están diseñados para la seguridad desde el principio, están trabajando efectivamente sobre una base de arenas movedizas. Tratar desesperadamente de adaptar la seguridad a sistemas que nunca se diseñaron para ello mientras intenta operar como un negocio y mantenerse al día con las demandas de los inversionistas.

Las bóvedas de contraseñas como Thycotic no son, en sí mismas, una mala idea, pero ¿qué hubiera ayudado en el caso de Uber? Verá mucho sobre los principios de confianza cero, lo que significa no confiar en ningún dispositivo en una red para acceder a nada, pero aunque se habla mucho de estos principios, son imposiblemente difíciles de implementar si no están integrados desde el comienzo.

No tener una bóveda de contraseñas es otra opción, y eso podría haber ayudado simplemente porque significaría una menor probabilidad de tener todas esas credenciales en un solo lugar. Por otro lado, significa que es mucho más probable que los usuarios usen contraseñas débiles en primer lugar y las almacenen de manera insegura, como en una hoja de cálculo o un archivo de texto.

Si se implementan correctamente, las bóvedas de contraseñas hacen que la administración de sistemas seguros sea mucho más fácil para los usuarios. La falla real aquí fue tener credenciales de administrador para la bóveda de contraseñas en primer lugar, en su lugar, se deben crear cuentas individuales con acceso solo a las credenciales que necesitan. Ningún contratista externo, sin importar cuán confiable sea, debería tener acceso a ese nivel de credenciales, simplemente no lo necesitan.

No me sentiría cómodo ni siquiera con el más confiable de los empleados que tienen ese tipo de acceso. Es el tipo de cosa que se divide en varias partes, se distribuye entre varios miembros de la junta y se guarda en una caja fuerte para emergencias, como que todo su equipo de TI sea secuestrado por extraterrestres.

¿Debo usar una bóveda de contraseñas?

Una cosa que surgió después del ataque fue que muchos proveedores de productos de seguridad vendían su solución como la única que lo habría evitado. En el mejor de los casos, estos deben ignorarse por completo, ya que las debilidades que llevaron a la infracción fueron (y casi siempre lo son) complejas y multifacéticas que no tienen solución fácil. La otra era que mucha gente se preguntaba si las bóvedas de contraseñas o los administradores eran de repente un riesgo nuevo y masivo, y si eran seguros de usar.

Imagen vía

La respuesta simple es sí, si es útil y tiene sentido para usted. Una bóveda bien configurada le permite usar contraseñas mucho más seguras, rotarlas regularmente y administrarlas bien. Muchas bóvedas secretas empresariales cambiarán las contraseñas después de cada uso y administrarán mucho más que las credenciales de los usuarios, como certificados y otras claves privadas.

La respuesta más compleja es que cualquier herramienta que utilice para simplificar la seguridad introducirá compensaciones y sus propios riesgos en un entorno. Una bóveda de contraseñas le brindará contraseñas más seguras y una mejor administración de las credenciales, pero la compensación es que todas estas credenciales en un solo lugar lo convierten en un objetivo tentador para un atacante y puede hacer que una infracción menor se vuelva más grave rápidamente.