Estados Unidos 
Steve Jobs fue premiado anoche con Grammy póstumo
Europeos se manifiestan en contra de ACTA
Tommy Jordan se refiere al "asesinato" del note...
Futurología: La nueva Xbox podría incluir mando...
8 cámaras clásicas de Kodak, ahora que dejará d...
Alemania dice que no firmará ACTA (al menos por...
México: Sujeto intentó subastar un bebé en Merc...
10 regalos geek para tu media naranja en este D...Usando Google para crackear passwords
Un experto en seguridad de la Universidad de Cambridge fue hackeado (que ironía) a partir de un bug en una versión antigua de WordPress. Pero el hacker creo una cuenta en el sistema, y el password quedó encriptado con el algoritmo MD5 en la base de datos de WordPress, y el experto en seguridad decidió descifrarlo. Este algoritmo funciona en base a un hash, por lo que es muy poco probable poder desencriptrar la clave, ya que hay que compararlo con un diccionario que debería tener todas las combinaciones posibles de caracteres para ir probando, y por lo tanto muuuuuuucha paciencia.
O tan simple como buscar la clave encriptada en Google. Cuando este tipo buscó el string (secuencia) de la clave encriptada (20f1aeb7819d7858684c898d1e98c1bb) dio con dos páginas. Una de un árbol genealógico sobre los Anthony, y otra de venta de una casa en que el campo del dueño tenia este string y el nombre era Anthony. Probó con Anthony, y efectivamente esa era la clave. Ya que cada conjunto de caracteres genera un string único es posible que alguien ya haya usado esa palabra, no tan solo para una clave si no que para encriptar otra información sensible que puede estar dentro del url o de la página. Y via Google, puedes encontrar donde ha sido usada y usando un poco de deducción encontrar la clave.
¿Medio enredado? Pues bueno, para que vayan dando cuenta… así es la forénsica digital, nunca tan “glamorosa” como la de CSI. ¿Y de que le sirvió averiguar el password que uso el hacker cuando creo la cuenta? Todo un misterio.
Link: Google as a password cracker (via slashdot)
57 Comentarios
Usando Google para crackear passwords
hola!!!! quisiera q me ayudaran a sacar los pasword un programa q se llama justin.tv me interes xq trabajo con eso xrfavor ayunme les dejo mi msm el_matatan1992@hotmail.com
Responderla media vendia del weon
Respondersiendo un pro de eso
la vendio buena
@Memo:
El hash no es del password, sino probablemente del nombre de usuario. Lo que pasa es que muchos sitios usan el hash en la URL de tu página de usuario. El «hacker» no obtuvo el password directamente del hash: simplemente encontró las páginas de usuario de la víctima en un par de sitios web, y de ahí obtuvo la información para adivinar el password. Podía haber logrado lo mismo consiguiendo información sobre la víctima con su vecino o con su cabro chico.
Es como encontrar al fotolog de alguien, ver que tiene imágenes de Garfield, probar a ver si su password es "garfield", ¡y achuntarle! Ningún mérito ni de Google ni del hacker, sino estupidez de la víctima.
Si bien dos textos pueden tener el mismo hash, encontrar uno a partir del otro es extremadamente improbable. Y en criptografía, extremadamente improbable suele significar «te demorarías más que la edad del universo».
@Tricky:
Un hash no es encriptación. Es una transformación de un texto. Probablemente del nombre de usuario de nuestro experto en seguridad. Responder
@rbonvall, pero en este caso, los ejemplos eran BIEN claros. En el primero pasaba la variable del apellido dentro de la base de datos. En el segundo, estaba asociado al campo Nombre, que era Anthony. Así que es mucho más explicito que tu ejemplo de Garfield.
Respondergracias por la aclaración en todo caso.
Eso confirma que Salt es cada vez mas necesario para autenticar...
ResponderYa lo habian puesto en Digg, ahora FW solo se la pasa copiando noticias del Digg y Slashdot.... perdon "traduciendolas"...
No lo tomen a mal, solo es que Asplote... (http://uncyclopedia.org/wiki/Asplode)
rbonvall tu primera explicacion es completamente erronea, no se si no leiste la noticia o no la entendiste, pero lo que comentas no tiene que ver con la nota
ResponderHola! Muy buen sitio... Visiten el mio! http://album-base.blogspot.com
ResponderEl blog más actualizado de la red, cerca de 20 discos por día...
Saludos!
@rbonvall:
Responderjajajajajaja...
El semestre pasado me hiciste clases de LP y ahora me das clases de hashing... jajajajajaja
En todo caso man, hay un pagina que en este minuto nor ecuerdo pero la voy a buscar, dopnde hay una base de datos donde muestra que strings entregan el mismo hash en md5, por lo cual a pesar de que nosotros nos demoremos demasiado en encontrarlo
la información ya se esta acumulando de a poco.
Igual prefiero usar SHA-1 que md5 :)
para mi fue un owned del "h4x0r"
ResponderJaja, salieron algunos password mios en google plop y yo pense que erab complicados
Responderla media paja para algo tan simple como borrar el registro de la base de datos...
Responderno era su propia página?
Esta noticia me da miedo (buscar hash en Google ya es digno de mención pero encima que encuentren una respuesta asusta)...
ResponderImpresionante: me ha dejado sin palabras.
Un saludete,
Paquito.
http://paquito4ever.blogspot.com
@Tricky,
Responderen efecto los detalles son como dices, gracias por la aclaración, aunque en esencia me parece que lo que pasó no es más de lo que digo yo. Lo que hay que rescatar: no hay que estar paranoico porque ahora los h4x0rs van a ocupar Google para craquearnos, simplemente la víctima tenía una clave tonta.
@Memo,
jajaja, buen lugar para reencontrarse :) Eso de usar Google como un directorio de hashes sí es novedoso, aunque es inútil si se siguen buenas prácticas para guardar passwords. Aquí hay un artículo interesante al respecto.
Muy interesante en verdad !
ResponderWen post, a ver si algun pesadito reclama ahora que la noticia es añeja
@rbonvall:
ResponderJJajAJja, maestro!, ute tambien me hizo clases de lenguajes de programacion (LP) el semestre pasado y ahora me haces clases de hash!!!, ohh no kiero saber naaa mas despues de no haber pasado hashing lineal en almacenamiento y recuperacion de informacion (ARI)
k gusto saber k el profe rbonvall tb lee FW... saludos!
Theme Luna Element si no me equivoco :)
ResponderPero si sabes programación, o algo de hacking, veras que es facil con Google, muchas cosas son posibles con google. Arriba Los Milw0rneros
ResponderLo peor de todo es que entendi todo lo que dijiste y no se si estar contento o triste.
ResponderVen google tiene siempre la respuesta por suerte para todos.
Alguien dijo en otro comentario que deberían "bloquear" ese tipo de búsquedas desde Google. Encuentro que eso sería totalmente absurdo, ya que esas búsquedas son útiles a la hora de comprobar la seguridad de una plataforma, y además sería un modo de "censura"... y censurar sería la solución para el flojo que no quiere hacer que su plataforma sea más segura.
ResponderPor otro lado, ese tipo de cosas se pueden evitar, usando un "salt" como dijeron por ahí también. Se trata de "agregar" un valor arbitrario generado en tiempo de ejecución al hash con el fin de alterarlo. El hash se guarda alterado por dicho valor (o bien se utiliza un hash de campos concatenados), y al hacer la comparación se hace la operación inversa sobre el hash, quitándole el valor arbirario que se generó antes o haciendo la comparación con el hashing correspondiente alterado.
El único fin de esas técnicas es proteger la información en caso de que nuestras bases de datos caigan en malas manos, ya que si para generar los hashes se usara la función MD5 conocida sin ningún agregado, los password pueden ser crackeados fácilmente y leídos, con lo cual no sólo se arriesga la seguridad de la propia plataforma, sino que también en el caso de que el usuario utilice la misma password para su correo electrónico, cuenta bancaria u otros servicios, el atacante ganará acceso a ellos también.
MD5 es un algoritmo que ha sido comprometido desde hace mucho tiempo, ya no se recomiendo su uso.
Responderwww.md5oogle.com
ResponderInteresante el sitio, que quieren que les diga...
http://gdataonline.com/seekhash.php
Responderchicos, es muy dificil poder conseguir la contraseña de yahoo? me ayudan??? plis plis
ResponderHola...Amigos necesito un tip para conseguirme la clave de una cuenta en gmail, ayudenme....gracias!!!! pikos!
ResponderAMIGOS AYUDENME QUIERO DECIFRAR ESTE CODIGO MD5
Responderd353ede4f641d46a3cbaf207d27ddd31
POR FAVOR AYUDENME
cual es la contraseña de crash overide
ResponderYo les recomiendo este otro sitio que me funciono mejor en 2 contraseñas que buscaba http://md5.unidadlocal.com
Responderespero les ayude como a mi
Deja tu Comentario