El Black Friday cobra su primera víctima
Betazeta Networks: CHW • The Clinic • FayerWayer • Saborizante • VeoVerde • Wayerless • Zancada • Zimio
Dosis diarias de tecnología en español.™
Publicado el 21/11/2007 a las 12:19 am por tricky

Un experto en seguridad de la Universidad de Cambridge fue hackeado (que ironía) a partir de un bug en una versión antigua de Wordpress. Pero el hacker creo una cuenta en el sistema, y el password quedó encriptado con el algoritmo MD5 en la base de datos de Wordpress, y el experto en seguridad decidió descifrarlo. Este algoritmo funciona en base a un hash, por lo que es muy poco probable poder desencriptrar la clave, ya que hay que compararlo con un diccionario que debería tener todas las combinaciones posibles de caracteres para ir probando, y por lo tanto muuuuuuucha paciencia.
O tan simple como buscar la clave encriptada en Google. Cuando este tipo buscó el string (secuencia) de la clave encriptada (20f1aeb7819d7858684c898d1e98c1bb) dio con dos páginas. Una de un árbol genealógico sobre los Anthony, y otra de venta de una casa en que el campo del dueño tenia este string y el nombre era Anthony. Probó con Anthony, y efectivamente esa era la clave. Ya que cada conjunto de caracteres genera un string único es posible que alguien ya haya usado esa palabra, no tan solo para una clave si no que para encriptar otra información sensible que puede estar dentro del url o de la página. Y via Google, puedes encontrar donde ha sido usada y usando un poco de deducción encontrar la clave.
¿Medio enredado? Pues bueno, para que vayan dando cuenta… así es la forénsica digital, nunca tan “glamorosa” como la de CSI. ¿Y de que le sirvió averiguar el password que uso el hacker cuando creo la cuenta? Todo un misterio.
Link: Google as a password cracker (via slashdot)
59 Comentarios
Usando Google para crackear passwords

Koperator dijo hace 1 año:
q raro…. probare unos cuantos hashs… a ver que onda
moraleja: no usen passwords basados en palabras del diccionario (de ningun idioma)

El Debianita dijo hace 1 año:
Si todo esto es desde un bug en una version antigua de wordpress..
tonce ahora que pasa ???
![]()

El Debianita dijo hace 1 año:
@Koperator: la mejor pass es siempre con letras, números, símbolos, mayúsculas, minúsculas y espacios :S
el problema de eso es cuando se usan teclados ajenos al de la casa de uno y se cambian los símbolos xD

memo dijo hace 1 año:
“Ya que cada conjunto de caracteres genera un string único”
Lamentablemente lo que dice Tricky no es cierto, el MD5 tiene 2^128 combinaciones posibles, lo que implica que muuuuuuchos passwords pueden generar el mismo MD5 he ahí el truco, es decir puede ser que el password del tipo no haya sido “Anthony” sino solo que ese String generó la misma secuencia de caracteres que el password que ingreso el otro tipo.
Salu2

1 Koperator dijo hace 1 año:
@El Debianita: Si, es buena tecnica, pero un pasword igual es fuerte cuando es, por ejemplo “lafigo48treslet” (palabra generada con pinchazos de teclas al azar, pero que puede pronunciarse para que no se te olvide). Esta ensalada no es palabra reconocida en el diccionario, por cachativa nadie te la va a averiguar y al encriptar en md5, el hash tambien sera poco comun (no como Anthony, por ejemplo).
Si FW permitira el registro de usuarios, por decir, y usaramos passwords con palabras del tipo “manzana” y tuvieramos la mala cuea (suerte) que alguien subio el hash a internet, Leo Prieto (o quien sea el que administra la db) podria conocer el password buscando en google.
En todo caso, y de aburrido, genere muchos hashs de palabras, digamos comunes, y ninguna la encontre en google … excepto el hash de “microsoft”. Al que quiera averiguar, este es el generador de hash md5
PD: no tengo idea si wp en sus nuevas versiones sobre-encripta las passwords.

memo dijo hace 1 año:
como dato adicional, aunque use mas recursos del hosting
aplicar un
sha1(md5(sha1()))
deberia garantizar la seguridad del sitio
Segun yo es mas facil hackearse el hosting que desencriptar esa clave ![]()

pckz dijo hace 1 año:
San Google y sus misterios de la vida
xD
pd: bien breas el hacker para sus passwords

pckz dijo hace 1 año:
@memo: tienes razón, pero la probabilidad de obtener un hash duplicado es 1/(8.507 * 10^37).
por lo tanto es muuuuuuuuuuy poco probable

Eleazar dijo hace 1 año:
Oh dios, le acabo de abrir el correo a un tal ishaksutrisno@yahoo.com con esto :O.
Mamá mamá! jakié un correo mira mira!

Kaskarudo dijo hace 1 año:
ajaja
En Google realmente se puede encontrar todo…
Lo Gracioso de la Imagen alusiva a la noticia es ke Google esta en English… Pero Busca Paginas en Chile..
xDD
[ era solo por molestar… =) ]

yo dijo hace 1 año:
lo primero que hize fue buscar la cosa en google, me salieron puros blogs comentando la misma noticia ![]()

GonzaloAg dijo hace 1 año:
uuu
No faltaran ahora los que guarden por ahi htmls llenos de hash y sus respectivos significados para ser encontrados por san google!
genial!
Saludos.

· kdian· dijo hace 1 año:
Jo!!… otra mas de google company jajaja…
el gran oraculo, con tal q no me hackeen mi site, todo bien =)

Usando Google para descifrar Password MD5 | La WeB de DragoN dijo hace 1 año:
[…] Otras personas que hablan de la noticia (I II III IV) Tags: codigo • deface • md5 • WordPress […]

DieXor dijo hace 1 año:
Google deberia aplicar la deteccion de esas combiinaciones y bloquear las buisquedas, eso puede ser bastante peligroso.
mmmmm
Xaus
http://www.letenemo.cl.tc - Letenemo ! Tu punto de encuentro
http://www.portalopera.cl.tc - Portal Opera Comunidad Hispana

Miguel dijo hace 1 año:
hola
yo puse el md5 hash 9eb0c9605dc81a68731f61b3e0838937 (miguel)
y encontre un script de phpMyAdmin SQL Dump
http://svn.plutohome.com/pluto/branches/linuxmce1.0/web/plutovip-com/pluto.sql.zip.sql
Igual se pueden encontrar más cosas

PayaZo dijo hace 1 año:
jajajajaja
otro servicio
de google ![]()
de la gran G ![]()
ta bueno
pero el socio la pass arto mala po

Crash Override dijo hace 1 año:
si ahora pones en google el codigo 20f1aeb7819d7858684c898d1e98c1bb salen todas las paginas donde se publico esta noticias, y primero sale fw..jaja.

Matias dijo hace 1 año:
mmm… creo que voy a necesitar mas letras en mi alfabeto. A reescribir el lenguaje entonces.

Federico Sayd dijo hace 1 año:
Si mal no recuerdo para evitar este problema, algunos sistemas de seguridad usan un valor llamado nonce, que es un valor, preferiblemente irrepetible como un timestamp, que se agrega al password y luego se encriptan juntos con el hash md5, de manera que el hash resultante es único. Si no me equivoco es lo que en Unix se llama valor salt. Pero no se como se puede aplicar en el caso de autenticación web.

PG923es dijo hace 1 año:
@Crash Override: lamento decepcionarlos muchachos, pero ahora sale primero esta página -> http://www.miginside.com/net/?q=node/283
…. mmm… también recuerdo que antes (no sé si ahora) se podían hackear sites enteros ^^ con algo de cachativa te podias meter al root de algun sitio y ver lo que tenía :S

Flan Asesino dijo hace 1 año:
Probando algunos hashs…
LamHack, bien wn en poner esa contraseña absurda ajajaja
saludos… misterios del google… ajajajaja ya losa bia :3~
Ver Todos Páginas: [1] 2 Próximos 30 Comentarios →
Publicado el 21 de November de 2007 por tricky en la categoría Uncategorized con las etiquetas Google, Seguridad. Tiene 59 comentarios.
Enviar por email |
![]() |
Fujitsu LifeBook4Life renueva tu notebook cada tres años
En esta Navidad, regala un retrato con tu ADN
ASUS le pone precio a su notebook de bambú
Futurología: El SP2 de Vista disponible en Abril
Intel dice que los netbooks sólo son útiles por una hora
Citrus Clock (requiere un limón, no incluido)
Sony Giga Juke, a lo que hemos llegado
TACA.com moderniza su sitio en Internet
Impresentable: Porno-Impuesto para paliar la crisis financiera
← Primera PáginaBetazeta Networks: FayerWayer • Nuyorker • Saborizante • Zimio
(cc) 2007 Betazeta Networks, algunos derechos reservados bajo una licencia Creative Commons.
FAYERWAYER es una marca registrada de Betazeta Networks Ltda. FayerWayer recomienda Usar Firefox
Alimentado por WordPress / Diseñado por Leo Prieto / Desarrollado por I2B.
Ver Todos Páginas: [1] 2 Próximos 30 Comentarios →