Usando Google para crackear passwords

Publicado el 21-11-2007 a las 00:19 por tricky
google_crack.jpg

Un experto en seguridad de la Universidad de Cambridge fue hackeado (que ironía) a partir de un bug en una versión antigua de Wordpress. Pero el hacker creo una cuenta en el sistema, y el password quedó encriptado con el algoritmo MD5 en la base de datos de Wordpress, y el experto en seguridad decidió descifrarlo. Este algoritmo funciona en base a un hash, por lo que es muy poco probable poder desencriptrar la clave, ya que hay que compararlo con un diccionario que debería tener todas las combinaciones posibles de caracteres para ir probando, y por lo tanto muuuuuuucha paciencia.

O tan simple como buscar la clave encriptada en Google. Cuando este tipo buscó el string (secuencia) de la clave encriptada (20f1aeb7819d7858684c898d1e98c1bb) dio con dos páginas. Una de un árbol genealógico sobre los Anthony, y otra de venta de una casa en que el campo del dueño tenia este string y el nombre era Anthony. Probó con Anthony, y efectivamente esa era la clave. Ya que cada conjunto de caracteres genera un string único es posible que alguien ya haya usado esa palabra, no tan solo para una clave si no que para encriptar otra información sensible que puede estar dentro del url o de la página. Y via Google, puedes encontrar donde ha sido usada y usando un poco de deducción encontrar la clave.

¿Medio enredado? Pues bueno, para que vayan dando cuenta… así es la forénsica digital, nunca tan “glamorosa” como la de CSI. ¿Y de que le sirvió averiguar el password que uso el hacker cuando creo la cuenta? Todo un misterio.

Link: Google as a password cracker (via slashdot)

Compartir Compartir
Publicado por tricky el 21 de November 2007 en la categoría Uncategorized con los tags , . Tiene 61 comentarios.

61 Comentarios

Usando Google para crackear passwords

Deja tu Comentario ↓
Koperator

DesaprobarAprobar0Koperator dijo el 21-11-2007 a las 00:21:

1

q raro…. probare unos cuantos hashs… a ver que onda

moraleja: no usen passwords basados en palabras del diccionario (de ningun idioma)

El Debianita

DesaprobarAprobar0El Debianita dijo el 21-11-2007 a las 00:26:

2

Si todo esto es desde un bug en una version antigua de wordpress..

tonce ahora que pasa ???

:?

El Debianita

DesaprobarAprobar0El Debianita dijo el 21-11-2007 a las 00:29:

3

@Koperator: la mejor pass es siempre con letras, números, símbolos, mayúsculas, minúsculas y espacios :S

el problema de eso es cuando se usan teclados ajenos al de la casa de uno y se cambian los símbolos xD

memo

DesaprobarAprobar0memo dijo el 21-11-2007 a las 00:46:

4

“Ya que cada conjunto de caracteres genera un string único”

Lamentablemente lo que dice Tricky no es cierto, el MD5 tiene 2^128 combinaciones posibles, lo que implica que muuuuuuchos passwords pueden generar el mismo MD5 he ahí el truco, es decir puede ser que el password del tipo no haya sido “Anthony” sino solo que ese String generó la misma secuencia de caracteres que el password que ingreso el otro tipo.

Salu2

Koperator

DesaprobarAprobar1Koperator dijo el 21-11-2007 a las 00:49:

5

@El Debianita: Si, es buena tecnica, pero un pasword igual es fuerte cuando es, por ejemplo “lafigo48treslet” (palabra generada con pinchazos de teclas al azar, pero que puede pronunciarse para que no se te olvide). Esta ensalada no es palabra reconocida en el diccionario, por cachativa nadie te la va a averiguar y al encriptar en md5, el hash tambien sera poco comun (no como Anthony, por ejemplo).

Si FW permitira el registro de usuarios, por decir, y usaramos passwords con palabras del tipo “manzana” y tuvieramos la mala cuea (suerte) que alguien subio el hash a internet, Leo Prieto (o quien sea el que administra la db) podria conocer el password buscando en google.

En todo caso, y de aburrido, genere muchos hashs de palabras, digamos comunes, y ninguna la encontre en google … excepto el hash de “microsoft”. Al que quiera averiguar, este es el generador de hash md5

PD: no tengo idea si wp en sus nuevas versiones sobre-encripta las passwords.

memo

DesaprobarAprobar0memo dijo el 21-11-2007 a las 00:55:

6

como dato adicional, aunque use mas recursos del hosting
aplicar un
sha1(md5(sha1()))
deberia garantizar la seguridad del sitio
Segun yo es mas facil hackearse el hosting que desencriptar esa clave :P

pckz

DesaprobarAprobar0pckz dijo el 21-11-2007 a las 00:55:

7

San Google y sus misterios de la vida
xD
pd: bien breas el hacker para sus passwords

pckz

DesaprobarAprobar0pckz dijo el 21-11-2007 a las 01:02:

8

@memo: tienes razón, pero la probabilidad de obtener un hash duplicado es 1/(8.507 * 10^37).

por lo tanto es muuuuuuuuuuy poco probable

Eleazar

DesaprobarAprobar1Eleazar dijo el 21-11-2007 a las 01:03:

9

Oh dios, le acabo de abrir el correo a un tal ishaksutrisno@yahoo.com con esto :O.

Mamá mamá! jakié un correo mira mira!

El Debianita

DesaprobarAprobar0El Debianita dijo el 21-11-2007 a las 01:14:

10

@Eleazar: jajaj xD

Kaskarudo

DesaprobarAprobar0Kaskarudo dijo el 21-11-2007 a las 01:19:

11

ajaja

En Google realmente se puede encontrar todo…

Lo Gracioso de la Imagen alusiva a la noticia es ke Google esta en English… Pero Busca Paginas en Chile..
xDD

[ era solo por molestar... =) ]

yo

DesaprobarAprobar0yo dijo el 21-11-2007 a las 01:27:

12

lo primero que hize fue buscar la cosa en google, me salieron puros blogs comentando la misma noticia :(

GonzaloAg

DesaprobarAprobar0GonzaloAg dijo el 21-11-2007 a las 01:44:

14

uuu
No faltaran ahora los que guarden por ahi htmls llenos de hash y sus respectivos significados para ser encontrados por san google!
genial!

Saludos.

HSimpson

DesaprobarAprobar0HSimpson dijo el 21-11-2007 a las 01:49:

15

Es como para Mithbusters

· kdian·

DesaprobarAprobar0· kdian· dijo el 21-11-2007 a las 02:01:

16

Jo!!… otra mas de google company jajaja…
el gran oraculo, con tal q no me hackeen mi site, todo bien =)

http://www.guachperry.blogspot.com

Usando Google para descifrar Password MD5 | La WeB de DragoN

DesaprobarAprobar0Usando Google para descifrar Password MD5 | La WeB de DragoN dijo el 21-11-2007 a las 02:18:

17

[...] Otras personas que hablan de la noticia (I II III IV) Tags: codigo • deface • md5 • WordPress [...]

supreme

DesaprobarAprobar0supreme dijo el 21-11-2007 a las 03:04:

18

Jjaj la contraseña ordinaria del “hacker” lol!

DieXor

DesaprobarAprobar0DieXor dijo el 21-11-2007 a las 06:51:

19

Google deberia aplicar la deteccion de esas combiinaciones y bloquear las buisquedas, eso puede ser bastante peligroso.
mmmmm
Xaus

http://www.letenemo.cl.tc – Letenemo ! Tu punto de encuentro
http://www.portalopera.cl.tc – Portal Opera Comunidad Hispana

DASA Graph

DesaprobarAprobar0DASA Graph dijo el 21-11-2007 a las 07:33:

20

¿ Tenemos nuevo servio tipo GCrack ? jaja

http://www.dasagraph.cl

Miguel

DesaprobarAprobar0Miguel dijo el 21-11-2007 a las 09:33:

21

hola

yo puse el md5 hash 9eb0c9605dc81a68731f61b3e0838937 (miguel)

y encontre un script de phpMyAdmin SQL Dump

http://svn.plutohome.com/pluto/branches/linuxmce1.0/web/plutovip-com/pluto.sql.zip.sql

Igual se pueden encontrar más cosas

El poder de Google

DesaprobarAprobar0El poder de Google dijo el 21-11-2007 a las 09:41:

23

[...] Noticia obtenida de FayerWayer [...]

PayaZo

DesaprobarAprobar0PayaZo dijo el 21-11-2007 a las 09:46:

24

jajajajaja
otro servicio
de google :D
de la gran G :D
ta bueno
pero el socio la pass arto mala po

Crash Override

DesaprobarAprobar0Crash Override dijo el 21-11-2007 a las 09:54:

25

si ahora pones en google el codigo 20f1aeb7819d7858684c898d1e98c1bb salen todas las paginas donde se publico esta noticias, y primero sale fw..jaja.

Matias

DesaprobarAprobar0Matias dijo el 21-11-2007 a las 09:59:

26

mmm… creo que voy a necesitar mas letras en mi alfabeto. A reescribir el lenguaje entonces.

Federico Sayd

DesaprobarAprobar0Federico Sayd dijo el 21-11-2007 a las 10:07:

27

Si mal no recuerdo para evitar este problema, algunos sistemas de seguridad usan un valor llamado nonce, que es un valor, preferiblemente irrepetible como un timestamp, que se agrega al password y luego se encriptan juntos con el hash md5, de manera que el hash resultante es único. Si no me equivoco es lo que en Unix se llama valor salt. Pero no se como se puede aplicar en el caso de autenticación web.

PG923es

DesaprobarAprobar0PG923es dijo el 21-11-2007 a las 10:10:

28

@Crash Override: lamento decepcionarlos muchachos, pero ahora sale primero esta página -> http://www.miginside.com/net/?q=node/283

…. mmm… también recuerdo que antes (no sé si ahora) se podían hackear sites enteros ^^ con algo de cachativa te podias meter al root de algun sitio y ver lo que tenía :S

Flan Asesino

DesaprobarAprobar0Flan Asesino dijo el 21-11-2007 a las 10:16:

29

Probando algunos hashs…

LamHack, bien wn en poner esa contraseña absurda ajajaja

saludos… misterios del google… ajajajaja ya losa bia :3~

f3lip3

DesaprobarAprobar0f3lip3 dijo el 21-11-2007 a las 10:49:

30

plop! yo ya habia hecho esa wea hace rato

Augusto

DesaprobarAprobar0Augusto dijo el 21-11-2007 a las 10:58:

31

Anthony tremenda password !!

es komo poner el numero de telefono !

xellos

DesaprobarAprobar0xellos dijo el 21-11-2007 a las 11:36:

33

la media vendia del weon
siendo un pro de eso
la vendio buena

rbonvall

DesaprobarAprobar0rbonvall dijo el 21-11-2007 a las 11:37:

34

@Memo:

lo que implica que muuuuuuchos passwords pueden generar el mismo MD5

El hash no es del password, sino probablemente del nombre de usuario. Lo que pasa es que muchos sitios usan el hash en la URL de tu página de usuario. El «hacker» no obtuvo el password directamente del hash: simplemente encontró las páginas de usuario de la víctima en un par de sitios web, y de ahí obtuvo la información para adivinar el password. Podía haber logrado lo mismo consiguiendo información sobre la víctima con su vecino o con su cabro chico.

Es como encontrar al fotolog de alguien, ver que tiene imágenes de Garfield, probar a ver si su password es “garfield”, ¡y achuntarle! Ningún mérito ni de Google ni del hacker, sino estupidez de la víctima.

es decir puede ser que el password del tipo no haya sido “Anthony” sino solo que ese String generó la misma secuencia de caracteres que el password que ingreso el otro tipo.

Si bien dos textos pueden tener el mismo hash, encontrar uno a partir del otro es extremadamente improbable. Y en criptografía, extremadamente improbable suele significar «te demorarías más que la edad del universo».

@Tricky:

Cuando este tipo buscó el string (secuencia) de la clave encriptada

Un hash no es encriptación. Es una transformación de un texto. Probablemente del nombre de usuario de nuestro experto en seguridad.

tricky

tricky dijo el 21-11-2007 a las 11:48:

35

@rbonvall, pero en este caso, los ejemplos eran BIEN claros. En el primero pasaba la variable del apellido dentro de la base de datos. En el segundo, estaba asociado al campo Nombre, que era Anthony. Así que es mucho más explicito que tu ejemplo de Garfield.

gracias por la aclaración en todo caso.

Sebastian Oliva

DesaprobarAprobar0Sebastian Oliva dijo el 21-11-2007 a las 12:33:

36

Eso confirma que Salt es cada vez mas necesario para autenticar…

Ya lo habian puesto en Digg, ahora FW solo se la pasa copiando noticias del Digg y Slashdot…. perdon “traduciendolas”…

No lo tomen a mal, solo es que Asplote… (http://uncyclopedia.org/wiki/Asplode)

Sygrd

DesaprobarAprobar0Sygrd dijo el 21-11-2007 a las 12:41:

37

rbonvall tu primera explicacion es completamente erronea, no se si no leiste la noticia o no la entendiste, pero lo que comentas no tiene que ver con la nota

Mikepuffy

DesaprobarAprobar0Mikepuffy dijo el 21-11-2007 a las 12:46:

38

Hola! Muy buen sitio… Visiten el mio! http://album-base.blogspot.com
El blog más actualizado de la red, cerca de 20 discos por día…
Saludos!

memo

DesaprobarAprobar0memo dijo el 21-11-2007 a las 13:14:

39

@rbonvall:
jajajajajaja…
El semestre pasado me hiciste clases de LP y ahora me das clases de hashing… jajajajajaja
En todo caso man, hay un pagina que en este minuto nor ecuerdo pero la voy a buscar, dopnde hay una base de datos donde muestra que strings entregan el mismo hash en md5, por lo cual a pesar de que nosotros nos demoremos demasiado en encontrarlo
la información ya se esta acumulando de a poco.
Igual prefiero usar SHA-1 que md5 :)

David

DesaprobarAprobar0David dijo el 21-11-2007 a las 13:56:

40

para mi fue un owned del “h4×0r”

frosstatx

DesaprobarAprobar0frosstatx dijo el 21-11-2007 a las 14:01:

41

Jaja, salieron algunos password mios en google plop y yo pense que erab complicados

Gon

DesaprobarAprobar0Gon dijo el 21-11-2007 a las 14:10:

42

la media paja para algo tan simple como borrar el registro de la base de datos…

no era su propia página?

Paquito

DesaprobarAprobar0Paquito dijo el 21-11-2007 a las 15:18:

43

Esta noticia me da miedo (buscar hash en Google ya es digno de mención pero encima que encuentren una respuesta asusta)…

Impresionante: me ha dejado sin palabras.

Un saludete,

Paquito.
http://paquito4ever.blogspot.com

rbonvall

DesaprobarAprobar0rbonvall dijo el 21-11-2007 a las 16:10:

44

@Tricky,
en efecto los detalles son como dices, gracias por la aclaración, aunque en esencia me parece que lo que pasó no es más de lo que digo yo. Lo que hay que rescatar: no hay que estar paranoico porque ahora los h4×0rs van a ocupar Google para craquearnos, simplemente la víctima tenía una clave tonta.

@Memo,
jajaja, buen lugar para reencontrarse :) Eso de usar Google como un directorio de hashes sí es novedoso, aunque es inútil si se siguen buenas prácticas para guardar passwords. Aquí hay un artículo interesante al respecto.

Jose

DesaprobarAprobar0Jose dijo el 21-11-2007 a las 17:16:

45

Muy interesante en verdad !
Wen post, a ver si algun pesadito reclama ahora que la noticia es añeja

Gary

DesaprobarAprobar0Gary dijo el 21-11-2007 a las 18:13:

46

@rbonvall:

JJajAJja, maestro!, ute tambien me hizo clases de lenguajes de programacion (LP) el semestre pasado y ahora me haces clases de hash!!!, ohh no kiero saber naaa mas despues de no haber pasado hashing lineal en almacenamiento y recuperacion de informacion (ARI)

k gusto saber k el profe rbonvall tb lee FW… saludos!

Disacido

DesaprobarAprobar0Disacido dijo el 21-11-2007 a las 19:33:

47

Theme Luna Element si no me equivoco :)

MatiasLobos

DesaprobarAprobar0MatiasLobos dijo el 21-11-2007 a las 22:54:

48

Pero si sabes programación, o algo de hacking, veras que es facil con Google, muchas cosas son posibles con google. Arriba Los Milw0rneros

Mojela

DesaprobarAprobar0Mojela dijo el 22-11-2007 a las 00:35:

49

Lo peor de todo es que entendi todo lo que dijiste y no se si estar contento o triste.
Ven google tiene siempre la respuesta por suerte para todos.

Mr_Trukit0

DesaprobarAprobar0Mr_Trukit0 dijo el 22-11-2007 a las 02:55:

50

Alguien dijo en otro comentario que deberían “bloquear” ese tipo de búsquedas desde Google. Encuentro que eso sería totalmente absurdo, ya que esas búsquedas son útiles a la hora de comprobar la seguridad de una plataforma, y además sería un modo de “censura”… y censurar sería la solución para el flojo que no quiere hacer que su plataforma sea más segura.

Por otro lado, ese tipo de cosas se pueden evitar, usando un “salt” como dijeron por ahí también. Se trata de “agregar” un valor arbitrario generado en tiempo de ejecución al hash con el fin de alterarlo. El hash se guarda alterado por dicho valor (o bien se utiliza un hash de campos concatenados), y al hacer la comparación se hace la operación inversa sobre el hash, quitándole el valor arbirario que se generó antes o haciendo la comparación con el hashing correspondiente alterado.

El único fin de esas técnicas es proteger la información en caso de que nuestras bases de datos caigan en malas manos, ya que si para generar los hashes se usara la función MD5 conocida sin ningún agregado, los password pueden ser crackeados fácilmente y leídos, con lo cual no sólo se arriesga la seguridad de la propia plataforma, sino que también en el caso de que el usuario utilice la misma password para su correo electrónico, cuenta bancaria u otros servicios, el atacante ganará acceso a ellos también.

Eduardo Diaz

DesaprobarAprobar0Eduardo Diaz dijo el 22-11-2007 a las 12:43:

51

MD5 es un algoritmo que ha sido comprometido desde hace mucho tiempo, ya no se recomiendo su uso.

Decodificar MD5 « WWW.BYNARIO.AR.NU

DesaprobarAprobar0Decodificar MD5 « WWW.BYNARIO.AR.NU dijo el 22-11-2007 a las 22:30:

52

[...] Otras personas que hablan de la noticia (I II III IV) [...]

Christian

DesaprobarAprobar0Christian dijo el 23-11-2007 a las 00:01:

53

http://www.md5oogle.com

Interesante el sitio, que quieren que les diga…

Google no respeta la privacidad | Canut & Geek

DesaprobarAprobar0Google no respeta la privacidad | Canut & Geek dijo el 28-11-2007 a las 11:48:

56

[...] Ya hemos visto como a Google se le escapan contraseñas, censura resultados, castiga a los usuarios de la competencia y guarda todos nuestros datos personales por un amplio periodo de tiempo. [...]

sol

DesaprobarAprobar0sol dijo el 21-4-2008 a las 13:02:

57

chicos, es muy dificil poder conseguir la contraseña de yahoo? me ayudan??? plis plis

Usando Google para descifrar Password MD5 | La Comunidad DragonJAR

DesaprobarAprobar0Usando Google para descifrar Password MD5 | La Comunidad DragonJAR dijo el 18-8-2008 a las 02:07:

58

[...] personas que hablan de la noticia (I II III IV) Tags: Clave • Contrasena • Decifrar • Google • MD5 • Password Si [...]

Albi

DesaprobarAprobar0Albi dijo el 20-11-2008 a las 16:06:

59

Hola…Amigos necesito un tip para conseguirme la clave de una cuenta en gmail, ayudenme….gracias!!!! pikos!

Cómo saber si tu sitio web es vulnerable a técnicas de hackeo usando Google

DesaprobarAprobar1Cómo saber si tu sitio web es vulnerable a técnicas de hackeo usando Google dijo el 22-12-2008 a las 15:06:

60

[...] nuestras contraseñas al descubierto, cómo el caso de este experto en seguridad que mencionan en FayerWayer: Un experto en seguridad de la Universidad de Cambridge fue hackeado (que ironía) a partir de un [...]

samus77

DesaprobarAprobar0samus77 dijo el 3-11-2009 a las 00:02:

61

AMIGOS AYUDENME QUIERO DECIFRAR ESTE CODIGO MD5
d353ede4f641d46a3cbaf207d27ddd31
POR FAVOR AYUDENME

Deja tu Comentario

XHTML: Puedes usar: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

Previsualizar comentario?