Salvo que hayáis estado metidos en una cueva durante las últimas horas, ya os habréis enterado del escándalo de Celebleaks, la difusión de fotos de famosas con poca o ninguna ropa, protagonizado por artistas como Jennifer Lawrence o Victoria Justice.
Aunque todavía no se sabe a ciencia cierta cómo ha conseguido un cracker hacerse con tanto material sensible, son muchas voces las que apuntan a una mala configuración de las fotos en streaming de los móviles de las famosas, unido a un posible fallo de seguridad en iCloud.
Pero, ¿tan fácil podía resultar el acceso a datos ajenos en iCloud? Pues parece ser que sí.
En GitHub podemos encontrar desde ayer una prueba de concepto denominada iBrute en la que mediante un simple ataque de diccionario se puede intentar una y otra vez hasta conseguir acceso a la nube privada de algún usuario cuyo appleID conozcamos (o deduzcamos) y cuya contraseña se encuentre entre las 500 más habituales según el top de Rock You.
Al parecer el fallo de Apple no está en la autenticación en iCloud propiamente dicha, que sí que detectaría este tipo de ataque, sino en la API del servicio Find My iPhone, que sí que permitía un gran número de intentos. Una vez satisfecha la duda, el supuesto cracker no tendría más que acceder a iCloud con la contraseña deducida en el servicio antirobo del dispositivo.
Este método ha dejado de funcionar con Find My iPhone ya que, aunque nadie ha admitido nada por parte de Apple, parece ser que en las últimas horas han aplicado un parche para impedir este ataque concreto de fuerza bruta, según el autor de iBrute.
Sin saber si el Celebgate pudo ser perpetrado por un ataque de este tipo, contra iCloud o contra algún otro servicio en la nube, sí que resulta evidente que a menudo existen estos agujeros de seguridad, tal y como demostraba la prueba de concepto.
Y éste es un buen toque de atención para recordarnos una vez más que debemos usar siempre contraseñas fuertes, largas, sin palabras reales y con números intercalados (no añadiendo un simple 1 al final). Y que cuanto más limitado sea el acceso a un recurso, más difícil es que puedan saltarse su seguridad, por lo que no conviene subir a la nube nada de lo que nos podamos arrepentir.
Eso, como usuarios. En la parte de desarrollo y administración de servicios web, lo que debemos tener claro es que siempre puede haber alguien dispuesto a burlar nuestro sistema, y que debemos impedir usos anormales de nuestras herramientas, como puede ser una cantidad alta de intentos de acceso con contraseñas erróneas.
Vía | Kurt Seifried
