Contraseñas de sitios GOB.AR comprometidas por la filtración de #Adobe

noviembre 15, 2013 § Deja un comentario

Como se sabe, la última semana Adobe ha “perdido” 130 millones de credenciales de sus usuarios. En este archivo figuran el correo electrónico del usuario, su contraseña cifrada en 3DES en modo ECB, y el recordatorio de clave que el usuario haya colocado. El formato es el siguiente:

ID_XXX-|--|-usuario@dominio.com-|-Pass_3DES-|-RECORDATORIO_PASS|--

Esta fuga de información esta considerada como una de las más grande de la historia así que luego de descargar el archivo de 10GB (descomprimido) he buscado algunos dominios que podrían ser interesantes para analizar y así verificar la fortaleza de las contraseñas utilizadas. Específicamente he puesto el foco en dominios .GOB.AR, aunque luego también lo hice con bancos y otras entidades importantes de la República Argentina.

Lo que he encontrado no me extraña en lo más mínimo y sólo es una muestra más de la falta de lineamientos claros del estado argentino con respecto a la seguridad de la información. En esta imagen se puede apreciar el volcado de datos así como los recordatorios de contraseña utilizados por estos usuarios, en donde claramente se puede ver lo sencillo que sería “adivinar” la contraseña, suponiendo que no se utilice ningún método para crackearlas:

He hallado un total de 260 usuarios de distintas dependencias gubernamentales argentinas y, sobre ellas adicionalmente he realizado un pequeño recorrido por las contraseñas más utilizadas resultando lo siguiente:

  • EQ7fIpT7i/Q= - 123456 - 7 usuarios
  • BB4e6X+b2xLioxG6CatHBw== - adobe123 - 1 usuario
  • j9p+HwtWWT/ioxG6CatHBw== - 12345678 - 1 usuario
  • 5djv7ZCI2ws= - qwerty - 1 usuario
  • dQi0asWPYvQ= - 1234567 - 1 usuario

 Por supuesto ya hay varios trabajos relacionados en romper estas contraseñas y varias empresas que han estado trabajando en el descifrado completo del archivo, tratando de deducir información adicional, sin siquiera llegar al extremo de aplicar fuerza bruta con las herramientas disponibles. Doy por descartado que alguien ya ha descifrado el archivo completo o gran parte de él.

Todo lo dicho no es más que una excusa para mencionar que, si trabajas en una entidad de gobierno, no utilices contraseñas triviales, porque ese es el principal motivo para que luego los sitios gubernamentales sean atacados con éxito. Si no trabajas en una entidad de gobierno, cambia tus contraseñas y agradécele a Adobe su pésimo trabajo protegiendo la información. Incluso Facebook ha avisado a algunos usuarios que deben cambiar su contraseña por este motivo.

Mientras tanto, si quieres ahorrar trabajo (y confías en ellos) puedes buscar tu email en línea en el sitio de LassPass.

Cristian de la Redacción de Segu-Info

R2B2, el robot fabricado mediante una impresora 3D que puede obtener el código PIN de Android mediante fuerza bruta

octubre 12, 2013 § Deja un comentario

Dicen que los americanos gastaron un millón de dólares en inventar un bolígrafo que pudiera escribir en el espacio y que los rusos lo solucionaron escribiendo con un lapicero… Algo similar podríamos ver con el R2B2, un robot fabricado con una impresora 3D y diseñado para crackear por fuerza bruta el código de desbloqueo de cuatro dígitos de Android en menos de un día. En el siguiente vídeo podéis observar su funcionamiento:

Hay 10.000 posibles PIN de cuatro dígitos, un número relativamente pequeño, pero aún demasiado grande para que un ser humano esté reintentando y reintentando de forma continuada. R2B2, sin embargo, no tiene necesidad de alimento, ni sueño o no necesita estimulación mental, y puede trabajar a través de cada posible PIN en tan sólo 20 horas.

Si un usuario introduce cinco PINs incorrectos consecutivos, el sistema operativo Android impone un período de 30 segundos de espera antes de que la persona puede hacer de nuevo – pero ese es el único elemento disuasorio. Esta es la razón por R2B2 no va  a funcionar en los dispositivos iOS: Apple utiliza un sistema que hace que un usuario espera cada vez más tiempo para volver a intentar después de cada entrada PIN incorrecto iterativo.

Así que si tenéis una impresora 3D ya tenéis tarea para el fin de semana 😉
Fuente: 3D-Printed Robot Cracks Your Android PIN Code
Fuente: Hack Players

Portan juego de XBox a PC (ilegalmente)

junio 6, 2013 § Deja un comentario

Un hacker ruso denominadado “Barabus” crackeo el juevo de Xbox Live Arcade “The Dishwasher: Vampire Smile”, desarrollado por Ska Studios y lo portó a PC. El autor afirmó que “esto no es piratería, es la restauración de la justicia. Los autores publican el juego en exclusiva para la Xbox 360, por lo que es imposible para los jugadores de PC jugar este gran juego”.

La portación del juego se encuentra actualmente en fase beta y obviamente no tiene permisos de Ska Studios ni siquiera para existir.

En el mismo foro, el fundador de Ska Studios James Silva dijo “supongo que se podría decir que mi reacción es una mezcla, porque me siento halagado de que haya tanto interés y estoy muy impresionado”.

Barabus argumentó que portar el juego a PC no es para hacer dinero con él y por ahora no hay detalles sobre acciones legales por parte de la empresa.

Cristian de la Redacción de Segu-Info

Romper contraseñas de 16 caracteres

mayo 30, 2013 § Deja un comentario

En marzo, Nate Anderson, subdirector de Ars Technica y subdirector y novato auto-admitido del descifrado de contraseñas, descargó una lista de más de 16.449 contraseñas y a las pocas horas, descifró casi la mitad de ellos. La moraleja de la historia: si un reportero con una formación cero en el arte de descifrado de contraseñas puede lograr tales resultados, imaginen lo que los atacantes más experimentados pueden hacer.

Se sabe que las contraseñas débiles son terriblemente insegura pero lo ¿qué pasaría si se lograra descifrar cualquier contraseña de hasta 16 caracteres?

Para conocer la respuesta se consultó a tres expertos de craqueo de contraseñas para atacar a la misma lista Anderson y el grupo de hackers ha conseguido descifrar más de 14.800 contraseñas supuestamente aleatorias de la lista de 16.449 Hash MD5 (sin salt), utilizando el Cracking de contraseñas con GPU.

Mientras que la tasa de éxito de 47% de Anderson fue impresionante, fue minúsculo en comparación con lo que hicieron los crackers ya que el “menos exitoso” del trío, utilizando la menor cantidad de hardware, sólo dedicó una hora para descifrar 62 por ciento de las contraseñas y aquí explicó el proceso completo.

Cristian de la Redacción de Segu-Info

Keylogger OnLine para Mozilla Firefox

enero 24, 2013 § Deja un comentario

OpenLog es un Keylogger Online basando en navegador por el momento solo soporta Mozilla Firefox y según su autor quizás también lo desarrolle para Chrome.

Al ser programado en un Add-on para Mozilla Firefox soporta en distintintos SO pero solo captura teclas cuando Firefox se encuentra activo (con el focus).

Para hacerlo funcionar hay que crear una cuenta aquí, descargar la extensión XPI asociada y convencer a la víctima de instalarlo.

PRECAUCION: nunca descargue e instale nada que no conozca o que le ofrecen por Internet.

Cristian de la Redacción de Segu-Info

Manual de Hashcat en español

enero 21, 2013 § 1 comentario

Hashcat es la herramienta de recuperación de contraseñas más rápida del mundo. Además, los tiempos pueden ser reducidos con un buen diccionario y con un poco de familiaridad con los vectores de ataque.

La familia de software Hashcat es un conjunto de herramientas profesionales sin cargo para la comunidad. Hashcat está destinado a ser usado legalmente como una herramienta para recuperar cadenas de texto plano para una variedad de métodos de cifrado tales como:

  • MD5
  • SHA1
  • MySQL
  • phpass, MD5(WordPress), MD5(phpBB3)
  • md5crypt, MD5(Unix), FreeBSD MD5, Cisco IOS MD5
  • NTLM
  • Muchos otros…

Hashcat está bajo constante desarrollo así que más algoritmos podrán ser añadidos en el futuro y este manual en español (mirror) compilado por MEXICANH TEAM es una completa guía para su uso, al igual que el este otro de SecurityArtWork.

Cristian de la Redacción de Segu-Info

NTLM 100% roto usando hashes inferidos de capturas

enero 9, 2013 § Deja un comentario

Slashdot publica que el investigador de seguridad Mark Gamache ha usado el Cloudcracker de Moxie Marlinspike para inferir los hashes de capturas de sesiones NTLM, resultando en ataques pass-the-hash exitosos.

Esto ha estado ocurriendo desde hace mucho tiempo, probablemente, pero esta es la primera vez que un hacker de ‘sombrero blanco’ ha investigado y expuesto los detalles del como para que todos lo disfrutemos.

Pensaríamos que con todos los documentos y presentaciones nadie estaría usando NTLM, o, Dios no lo permita, LM. NTLMv2 está en uso desde hace ya bastante tiempo. Con seguridad todos lo usan, ¿no es cierto? Pues ¡no!. Según la última información de las W3 Schools, 21% de las computadoras corren XP, mientras que según NetMArketShare son 39%. A menos que alguien haya reforzado la seguridad de esos equipos (no hay parches de MS que lo haga), estas maquinas estan enviando respuestas LM y NTLM! Microsoft ha publicado una pequeña guía para aquellos que necesiten desactivar NTLM.

Administradores de servidores: ¡diviértanse explicando su nuevo proyecto de seguridad a su gerencia!

Traducción: Raúl Batista – Segu-Info
Autor: Soulskill
Fuente: Slashdot

¿Dónde estoy?

Actualmente estás explorando la categoría cracking en Seguridad Informática.