Las 30 contraseñas más usadas en Linkedin [Infografía]

junio 16, 2012 § Deja un comentario

Un análisis de los 6,5 millones de contraseñas robadas de LinkedIn (clic para agrandar las imagenes), ha permitido crear una infografía con el top-30 de términos más usados y que muestra el poco cuidado que seguimos teniendo al elegirlas.

Un fenómeno preocupante (algunos hablan de campaña organizada) achacable a las propias compañías, incapaces de mantener a salvo datos del usuario tan importantes como las contraseñas de acceso.

Sin embargo, los usuarios tampoco ponemos de nuestra parte a la hora de emplear una contraseña robusta, como muestra un estudio de las robadas en LinkedIn y que revelan entre las más usadas términos tan poco seguros como ’1234′, ‘god’, ‘angel’, ‘the’, ‘sex’, ‘work’ o ’12345′.

Confirmación de otros informes que revelan la debilidad de las contraseñas más usadas a pesar del aumento explosivo de malware, virus y troyanos cada vez más potentes e intrusivos.

Fuente: Muy Seguridad

Anuncios

Rainbow Tables (tablas arco-iris)

junio 13, 2012 § Deja un comentario

Las rainbow tables o también conocidas, o más bien traducidas, como tablas arco iris son un elemento esencial en el mundo del crackeo o descifrado de credenciales. Las contraseñas no son almacenadas, habitualmente, en texto plano, aunque de todo hay en este mundo y nos podemos encontrar cualquier cosa. Normalmente una contraseña es almacenada como hash.

¿Qué es esto del hash?

Desde el punto de vista matemático un hash es una función unidireccional, es decir, la contraseña es pasada por una función matemática dando como resultado, el conocido como ‘chorizo’, el hash. Conseguir pasar del hash a la contraseña de nuevo no es nada fácil, de esto que la función sea unidireccional, es posible pasar de texto plano al hash, pero no del hash al texto plano.

En los sistemas operativos la contraseña se almacena como hash y nunca como texto plano ya que si el sistema fuera comprometido el atacante tendría acceso a todas las contraseñas en texto plano de los usuarios. Hay que recalcar que lo que se consigue con el tema de hashes es dificultar al atacante la obtención de las contraseñas pero nunca conseguiremos un modo seguro total, eso sí debemos seguir las recomendaciones para dificultar lo máximo al atacante.

¿Qué es la rainbow table?

Primero hablaremos de lo que no es, no es un par (hash, text plain), esta tabla ocuparía muchísimos TB debido a que existen mayúsculas, minúsculas, números, caracteres especiales, esto da como resultado muchísimas combinaciones por lo que sería inviable almacenar dicha tabla, e incluso sería inviable la búsqueda de los hashes en estas tablas.

Entonces, ¿Qué es? la rainbow table es una tabla que almacena un par, que son la palabra inicial y la palabra final. Después comentaremos exactamente que es eso de la palabra inicial y la palabra final. Hay que destacar también lo que es la función de reducción y de resumen. El algoritmo de resumen se aplica a una contraseña y se obtiene el hash de dicha contraseña. Por otro lado, los algoritmos de reducción se aplican sobre los hashes obteniendo otras palabras. Hay que recalcar que no estamos revertiendo el hash mediante el algoritmo de reducción, la palabra que se obtiene no tiene que ver con el hash anterior, mientras que con el algoritmo de resumen que se aplica a una contraseña si que da como resultado el hash de dicha palabra. Esto es muy importante que quede claro.

Contenido completo en fuente original Flu-Project

Linkedin no tiene CIO ni CISO

junio 12, 2012 § Deja un comentario

Mientras Linkedin sigue investigando el robo de más de 6,5 millones de contraseñas, se ha conocido que no tiene ni un CIO ni un CISO.

“En la actualidad no tenemos los ejecutivos con los títulos específicos, pero David Henke, vicepresidente senior de operaciones, supervisa esas funciones”, escribió un portavoz de LinkedIn en respuesta a la pregunta de GOV Infosecurity.

LinkedIn no es la primera compañía de tecnología en experimentar una brecha de seguridad y de carecer de un ejecutivo con la función específica de asegurar la seguridad de sus datos y sistemas. Dos de los asuntos más destacados de 2011, los ataques a RSA y Sony, se produjeron cuando ninguna de esas empresas tenían un CISO. Ambos, sin embargo, tenían un CIO en ese momento.

Poco después de las violaciones, tanto RSA como Sony contrataron reputados expertos en seguridad para cubrir el puesto de CISO.

Es difícil imaginar que una empresa con LinkedIn no tenga un CIO ni un CISO, especialmente porque su producto principal es la información. Empresas, gobiernos y otros tipos de organizaciones no pueden funcionar de manera eficiente si carecen de ejecutivos clave que se centren en la seguridad de la información, de lo contrario, estarán en riesgo. El incumplimiento de los “salteos” de los hash en las contraseñas de LinkedIn es un claro ejemplo.

Cristian de la Redacción de Segu-Info

"Qwerty" o "dragon", algunas de las contraseñas más populares en LinkedIn

junio 11, 2012 § 2 comentarios

 El agujero de seguridad en LinkedIn ha enseñado varias cosas. La primera es que ninguna empresa parece estar a salvo de los ladrones de contraseñas. La segunda es que mejor no emplear siempre la misma contraseña, porque hace nuestras cuentas más vulnerables. Y la última es que las lecciones de las empresas de seguridad caen en saco roto: a pesar de las advertencias, las contraseñas robadas y publicadas de las cuentas de LinkedIn demuestran que se siguen empleando las mismas – y débiles – claves de acceso.

El consultor de seguridad, Mark Burnett, ha realizado un análisis de las claves de acceso más empleadas. La primera de la lista es la ya clásica y fácilmente deducible password (contraseña en inglés), según recoge Business Insider. Le siguen 123456, 12345678 y 1234. El número cinco en la lista de contraseñas más empleadas por los usuarios de la red social profesional (y teniendo en cuenta lo poco que los internautas cambian sus contraseñas posiblemente en otras redes) es la primera sorpresa: la quinta contraseña favorita es qwerty. Tras ella, otro clásico (12345) y una nueva sorpresa: la séptima palabra de acceso más popular es dragón.

La lista incluye otras sorpresas. Los usuarios de LinkedIn coincidían en emplear deportes, como béisbol o fútbol; palabras no muy elegantes, como pussy (coño); o nombres anglosajones muy populares, como Michael o Jennifer.

En la lista de las 25 contraseñas más populares no se ha colado ninguna palabra en castellano, posiblemente porque los usuarios de la red social profesional son en un mayor porcentaje internautas angloparlantes. Quienes contaban con estas contraseñas y estaban en la  lista de víctimas del hacker ruso pueden, sin embargo, respirar tranquilos, puesto que LinkedIn ya ha desactivado esas palabras de acceso.

Las 25 contraseñas más repetidas

  1. password
  2. 123456
  3. 12345678
  4. 1234
  5. qwerty
  6. 12345
  7. dragon
  8. pussy
  9. baseball
  10. football
  11. letmein
  12. monkey
  13. 696969
  14. abc123
  15. mustang
  16. michael
  17. shadow
  18. master
  19. jennifer
  20. 111111
  21. 2000
  22. jordan
  23. superman
  24. harley
  25. 1234567

Fuente: TicBeat

Cuentas de usuario de League of Legends publicadas

junio 10, 2012 § Deja un comentario

Esta semana no será demasiado bien recordada en términos de seguridad informática: primero se desveló una vulnerabilidad en el servicio LinkedIn que afectaba a más seis millones de cuentas, luego de la web social dedicada a música Last.fm y esta mañana nos hemos despertado con la noticia del robo de contraseñas en el popular juego online League of Legends.

Riot ha enviado un mail a los usuarios registrados en Europa pidiéndoles que cambien su contraseña, debido a que un grupo no identificado de hackers ha conseguido robar varios datos de las cuentas. Insisten, eso sí, en que “en el robo de datos no hay ningún tipo de información sobre pagos”, asegurando que nuestros datos bancarios y de tarjetas de crédito están a salvo.

Según la compañía, los hackers han conseguido acceder a las bases de datos de usuarios europeos y asiáticos, extrayendo la dirección de correo electrónico, el password encriptado, el nombre de summoner, la fecha de nacimiento y, en algunos casos, la pregunta de seguridad y su respuesta.

En estos momentos se está conduciendo una investigación para conocer el alcance del hack, se está notificando a los usuarios y se están tomando las medidas necesarias para proteger el sistema.

¿Qué hay que hacer ahora? Lo primero es cambiar la contraseña desde tu cuenta de usuario. Riot recomienda que sea única (no uses la misma que en otros servicios, como Gmail), que sea larga (más de ocho caracteres), que sea segura (mezclar letras, números y caracteres especiales) y prestar especial atención a intentos de fishing y correos electrónicos fraudulentos con ficheros o enlaces adjuntos peligrosos.

Fuente: Euro Gamer

Linkedin: "Medidas tomadas para proteger a nuestros miembros"

junio 8, 2012 § Deja un comentario

Por: Vicente Silveira

Es de suma importancia para nosotros mantener a nuestros miembros informados sobre las noticias de que algunas contraseñas de LinkedIn se han visto comprometidas. Nos gustaría reiterar que pedimos disculpas por el inconveniente causado a nuestros miembros.

Hemos estado trabajando constantemente en la investigación de este incidente desde el momento en el que fuimos conscientes de lo ocurrido. Aunque seguimos obteniendo más información a medida que seguimos investigando, esto es lo que sabemos hasta ahora:

Ayer descubrimos que aproximadamente 6,5 millones de contraseñas de LinkedIn con encriptación “hash” fueron publicadas en un sitio de hackers. La mayoría de contraseñas en la lista aparecían en encriptación “hash” y, por lo tanto, difíciles de descodificar. Desafortunadamente, una parte de las contraseñas en encriptación “hash” fue descodificada y publicada.

En el mejor de nuestro conocimiento, no se han publicado correos electrónicos asociados con las contraseñas ni hemos recibido informes sobre el acceso no autorizado a cuentas como resultado de este incidente.

Desde que descubrimos este incidente, hemos seguido medidas activas para proteger a nuestros miembros. Nuestra principal prioridad ha sido bloquear y proteger las cuentas asociadas con las contraseñas descodificadas que creíamos corrían el mayor riesgo. Hemos desactivado dichas contraseñas y contactado a esos miembros con un mensaje en el que les informamos sobre cómo restablecer sus contraseñas.

A partir de ahora, como medida de precaución, desactivaremos las contraseñas de aquellos miembros que pudieran verse afectados potencialmente. Nos estamos poniendo en contacto con dichos miembros desde LinkedIn con indicaciones sobre cómo restablecer sus contraseñas.

También estamos trabajando con las autoridades, las cuales están investigando este asunto.

Además de encriptación “hash”, hemos aplicado a nuestra base de datos actual de contraseñas “sal”, lo que proporciona un nivel extra de seguridad.

Estamos trabajando seriamente para protegerte, pero además hay varias medidas que puedes tomar para protegerte, como por ejemplo:

  • Asegúrate de actualizar tu contraseña en LinkedIn (y en cualquier sitio web que visites) al menos una vez cada varios meses.
  • No utilices la misma contraseña para varios sitios web o cuentas.
  • Crea una contraseña segura para tu cuenta que incluya letras, números y otros caracteres.
  • Está atento a correos de phishing o no deseados que soliciten información personal.

Continuamos nuestros esfuerzos para proteger a nuestros miembros afectados por este incidente y seguiremos manteniéndote informado.

Fuente: Linkedin Blog

Hashes de contraseñas de Linkedin publicadas [Rumor Confirmado]

junio 6, 2012 § Deja un comentario

Según varias fuentes, una lista de contraseña de Linkedin hashedas con SHA1 (sin SALT) han sido publicadas en un foro ruso. Esta lista (mirror de 259 MB y otro de 133 MB), que no se ha confirmado si es de la red social, contiene alrededor de 6,46 millones de registros y se habría subido a un foro de Rusia a principios de esta semana.

Un experto consultado dice que hay indicios de que las contraseñas podrían ser de la empresa. La historia apareció el miércoles en Dangens TI y de acuerdo a varias personas que han trabajado con la lista, unas 300.000 contraseñas ya han sido crackeadas y un examen de los hashes que ha sido publicados en foros InsidePro (ahora eliminado), muestra que las claves utilizan “LinkedIn” de alguna manera.

Vale la pena repetir que, aparte de esto, no hay pruebas para confirmar que la red social haya sufrido algún tipo de incidente de seguridad. Hasta el momento sólo se han publicado los hashes de las contraseñas, sin nombres de usuario, pero se desconoce si los autores de la lista simplemente eliminaron los nombres de usuario al publicar la lista o si no los tienen.

Hasta el momento Linkedin no ha confirmado los datos y dice que se encuentra investigando el caso.

Algunas preguntas que se podrían hacer: ¿por qué Linkedin todavía usa SHA1? ¿por qué usa SHA1 sin saltear? ¿para qué cambiar la contraseña si quizás existe una brecha y los delincuentes podrían robar la base de datos de nuevo? ¿cuánto falta para que comience a llegar spam con falsos anuncios de Linkedin?

Recomendación: por ahora cambie su contraseña de Linkedin y en todos los lugares donde use la misma.

Actualización: Linkedin ha declarado que no puede confirmar la brecha, lo cual es muy preocupante porque varios usuarios han encontrado su clave en el archivo.

Actualización: para encontrar las contraseñas se debe buscar el hash sin los primeros 5 caracteres (o reemplazarlos por “0”). Por ejemplo el hash de “password” es “5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8” pero el hash encontrado será “000001e4c9b93f3f0682250b6cf8331b7ee68fd8”.

Actualización: publican una pequeña aplicación en Python para verificar si la contraseña figura en la base de datos y si ya ha sido crackeada.

Actualización: Linkedin al fin reconoció la fuga de información y los usuarios “comprometidos” no podrán ingresar en sus cuentas y recibirán un correo con el procedimiento para cambiar la contraseña pero el correo no tendrá ningún enlace. ¡A prepararse para los correos falsos!

Actualización: varias personas ya confirman que comenzaron a recibir correos falsos que dicen provenir de  Linkedin pero que son casos de Phishing y Scam.

Actualización: ya existen las primera estadísticas de las contraseñas que se han crackeado (mirror). Además se ha publicado una lista de 24.000 contraseñas ya obtenidas.

Actualización: Lastpass ha publicad una herramienta para verificar si su clave figura en el listado. Desde Segu-Info recomendamos NO colocar su clave en ningún sitio.

Actualización: ahora recien Linkedin decide aplicar SALT a sus hash.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría hashing en Seguridad Informática.