{"id":4404,"date":"2015-08-29T21:44:18","date_gmt":"2015-08-30T00:44:18","guid":{"rendered":"https:\/\/www.kwell.net\/kwell_blog\/?p=4404"},"modified":"2015-08-29T22:09:41","modified_gmt":"2015-08-30T01:09:41","slug":"crackean-4-000-contrasenas-de-usuarios-de-ashley-madison","status":"publish","type":"post","link":"https:\/\/www.kwell.net\/kwell_blog\/?p=4404","title":{"rendered":"Crackean 4.000 contrase\u00f1as de usuarios de Ashley Madison"},"content":{"rendered":"

Adem\u00e1s de contrase\u00f1as almacenadas en texto plano<\/span><\/a>, entre los datos robados a Ashley Madison<\/span><\/a> hab\u00eda 36 millones de hashes<\/i> y si bien no son legibles directamente, se pueden crackear. Un investigador ha logrado descifrar 4.000 contrase\u00f1as de los usuarios de Ashley Madison<\/span><\/a>, lo que demuestra lo importante que es elegir una contrase\u00f1a segura.<\/p>\n

Los hashes<\/i> terminaron en la “m\u00e1quina de crackear” de Dean Pierce, un ingeniero de seguridad de Linux que trabaja en Intel. El invento de Pierce consta de 4 tarjetas de v\u00eddeo ATI R 9290<\/span><\/a>.<\/p>\n

El procedimiento es sencillo:<\/p>\n

gunzip member_login.dump.gz \ntr , '\\n' < member_login.dump > tmp.txt # switching commas for newlines\ngrep \"\\$2a\" tmp.txt > tmp2.txt # grepping out hashes\ntr -d \"\\'\" < tmp2.txt > am.txt # removing single quotes\nuniq am.txt > am2.txt # removing duplicates\n.\/oclHashcat32.bin -m3200 -a0 am2.txt rockyou.txt --force --weak-hash-threshold 0<\/pre>\n
<\/p>\n
Para hashear las contrase\u00f1a de Ashley Madison se ha utilizado el algoritmo bCrypt<\/span><\/a> y tambi\u00e9n hab\u00edan hecho uso de un “SALT”. En un algoritmo m\u00e1s d\u00e9bil, como MD5, es posible tratar a millones de combinaciones de contrase\u00f1as por segundo pero en el caso de bCrypt+SALT<\/i>, Pierce s\u00f3lo logr\u00f3 probar 156 hashes<\/i> por segundo.<\/p>\n
Para descifrar los hashes<\/i> a trav\u00e9s de fuerza bruta, utiliz\u00f3 el diccionario RockYou<\/span><\/a> el cual fue hackeado<\/i> en 2009 y donde los atacantes obtuvieron m\u00e1s de 32 millones de contrase\u00f1as. Estas contrase\u00f1as se almacenaban en texto plano, y finalmente fueron publicadas en Internet. Desde entonces las contrase\u00f1as de RockYou han sido utilizadas por muchos investigadores para el descifrado de contrase\u00f1as por defecto.<\/p>\n
\"\"<\/a><\/div>\n
Pierce utiliz\u00f3 su equipamiento durante cinco d\u00edas y logr\u00f3 romper 4.000 contrase\u00f1as. Eso equivale a 32.6 contrase\u00f1as crackeadas<\/i> por hora. Tambi\u00e9n mostr\u00f3 que hubo 1.191 contrase\u00f1as \u00fanicas y que la m\u00e1s com\u00fan vuelve a ser “123456”<\/i>, la cual apareci\u00f3 202 veces. Tambi\u00e9n mostr\u00f3 que 105 usuarios hab\u00edan elegido “password”<\/i> como contrase\u00f1a. Pierce hizo un Top 20 de las contrase\u00f1as m\u00e1s comunes. La lista es muy similar a otras listas que se publican regularmente:<\/p>\n
Seg\u00fan el investigador, es probablemente imposible descifrar todas las contrase\u00f1as con bCrypt<\/i> pero si se utilizan contrase\u00f1as d\u00e9biles, el esfuerzo vale la pena. de todos modos porque s encuentran en muchos diccionarios.<\/p>\n
Actualizaci\u00f3n:<\/b> en la segunda filtraci\u00f3n se revelan mensajes de correo electr\u00f3nico entre el fundador y presidente de la empresa, Noel Biderman, y el director de seguridad de la misma compa\u00f1\u00eda. En dichos correos,se hablaba de las fallas de seguridad con que contaba la plataforma de citas poco antes de sufrir el ataque que ha desatado terror entre aquellos y aquellas que enga\u00f1aban a sus parejas.<\/p>\n
Actualizaci\u00f3n:<\/b> el jefe ejecutivo Noel Biderman renunci\u00f3.<\/p>\n
Comparte esto:<\/h3>