Ataque masivo de fuerza bruta contra los usuarios de GitHub
Github, el popular servicio de hospedaje de código fuente, ha publicado
una entrada en su blog para informar de la detección de un ataque
distribuido de fuerza bruta contra las cuentas de sus usuarios.
En principio, según GitHub, parece ser que el ataque se ha originado
desde unas 40.000 IPs, lo que hace pensar que proviene de una botnet.
Aunque aun se encuentran investigando el impacto del ataque, algunas
cuentas han sido bloqueadas debido a que se ha detectado actividad
desde las IPs atacantes, lo cual indica que el ataque de fuerza bruta
ha tenido éxito sobre algunas cuentas de usuario.
No se comenta que tipo de actividad, pero desde una cuenta de usuario
de GitHub se puede manipular código de un repositorio. GitHub permite
editar el código directamente desde su interfaz web, o añadir claves
privadas que permiten operar desde remoto contra el repositorio.
Respecto de las defensas de GitHub, tienen limitado el número de
autenticaciones fallidas por cuenta, lo que ha motivado que el ataque se
haya efectuado “a fuego lento” con un ratio bajo de prueba-error por
cada cuenta de usuario. Los atacantes intentaron permanecer por debajo
del radar.
No se conoce cuando se inició el ataque, pero revisando el histórico de
seguridad algunos usuarios han detectado IPs desde ciertos países ajenos
a ellos con intentos de hace más de cinco días.
Desde GitHub recomiendan revisar el histórico de seguridad, crear una
contraseña fuerte y activar autenticación de dos factores.
Llama la atención una cosa: A partir de ahora GitHub no permitirá crear
una contraseña débil. O lo que es lo mismo: GitHub permitía hasta hoy,
como otros tantos sitios, crear una contraseña débil. Esto, junto con
la práctica de compartir la misma credencial en varios sitios, es un
eslabón demasiado frágil que está siendo aprovechado por los atacantes.
Sirva de ejemplo el reciente ataque a Adobe, donde las contraseñas de
los usuarios, cifradas inadecuadamente, también servían para
autenticarse en otros sitios no relacionados.
El ataque que estamos comentando es muy sonoro, prácticamente casi todos
los usuarios tienen registros de intentos fallidos de autenticación, eso
no pasa sin ser detectado ya que produce demasiado ruido a pesar de que
el ataque ha limitado su ratio de intentos.
¿Pero que hubiera ocurrido si hubiesen concentrado el ataque en unos
pocos proyectos grandes, con muchos desarrolladores, donde una pequeña
cuenta es capaz de inyectar un trozo de código que pasase desapercibido
entre multitud de líneas?
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.