Estás en: Cristalab > Artículos > Seguridad: Robo de contraseñas, sniffing y ataques MD5
Seguridad: Robo de contraseñas, sniffing y ataques MD5
Por: Zah +
21 de Julio del 2009
En el primer artículo de esta serie mostramos las opciones que tiene un atacante al intentar hacerse con nuestros datos, bien sea en nuestro PC, interceptándolos en la red, o en el propio servidor donde los enviamos. En el segundo analizamos más detalladamente los opciones de ataque en las redes, sobre todo las inalámbricas.
En este tercer y último artículo veremos qué datos son más susceptibles de ser robados.
Qué pueden robarnos
Las webs que visitamos, las imágenes que vemos en el navegador, las cookies, conversaciones de chat, cuentas de FTP, usuarios y contraseñas...
Ettercap, una vez que está interfiriendo en el tráfico, muestra muchos de estos datos sin hacer nada, pero también pero es posible obtener datos más concretos filtrando el tráfico que capturamos:
Un ataque Mitm no solo permite escuchar todos esos datos, sino también modificarlos. De modo que es posible hacer que en una conversación de chat, cada vez que alguien escriba "hola", el interlocutor lea "adiós"... y ejemplos menos inocentes.
Solamente se salvan los sitios HTTPS.
Qué es HTTPS y por qué es seguro
HTTPS es un protocolo que combina el protocolo de hipertexto (HTTP) con protocolos criptográficos (SSL/TLS) que tratan de asegurar que el mensaje resulte encriptado de extremo a extremo, de manera que alguien que lo interceptase no pudiese entenderlo.
Simplificándolo mucho, se basa en que tanto usuario como servidor tienen una clave pública y privada. Un mensaje del usuario al servidor se codifica usando la clave privada del usuario y la clave pública del servidor, y el servidor lo lee usando su clave privada y la clave pública del usuario. Y lo mismo en el otro sentido. El usuario sabe que la clave publica del servidor es la que dice mediante el uso de certificados digitales, que se integran con el navegador:
Alguien que se colocara en medio, podría enviar un certificado falso para tratar de observar la información. El navegador es el encargado de mostrar una alerta de seguridad cuando esto suceda, a no ser que, aprovechando alguna vulnerabilidad suya, se haga pasar el certificado falso por bueno. Mientras que en Firefox ocupa toda la pantalla, y pide confirmación expresa para seguir, en IE6 es una de esas alertas a las que uno dice OK sin pensar.
Las contraseñas y las funciones hash
Una función hash es una que tiene una sola entrada (los datos a encriptar) y como salida produce datos a partir de los cuales, en teoría no se puede deducir los originales, pero cada entrada produce una salida única. Algunos sitios (que no funcionan con HTTPS) como Tuenti o Facebook encriptan las contraseñas, mediante Javascript, con el algoritmo MD5antes de que sean enviadas al servidor. De manera que si la contraseña era mono, el servidor recibe algo como 654db8a14a5f633b9ba85ec92dc51f7c. Pensando un momento, se puede deducir que esto no sirve para nada, una vez que se ha capturado el hash.
Basta con generar una petición al servidor, en la que en vez de la contraseña se envíe el hash de la contraseña, y el resto de los datos (nombre de usuario, fecha, zona horaria...) queden igual.
Sin embargo, hay situaciones en las que el uso de los hashes es útil, como para guardar archivos de contraseñas, o las contraseñas en bases de datos. Claro que hay diferentes formas de romper estas funciones. Por ejemplo, si se hace una búsqueda del hash MD5 de "mono" en Google, se obtendrán varias entradas aparte de ésta en las que se relaciona con su palabra original. También se han encontrado vulnerabilidades en muchos de estos algoritmos (también en MD5, a pesar de lo cual sigue siendo empleado), que permiten calcular la solución utilizando tablas precomputadas, (rainbow tables), que reducen el tiempo necesario para resolver el problema, a costa de ocupar memoria. Una contraseña es más resistente a este tipo de ataques cuanto más complicada es. Para maximizar el tiempo y los recursos que hacen falta para descifrarlas, conviene usar una gran cantidad de letras y números, y sobre todo, de caracteres especiales (que hacen que el problema tenga una complejidad mucho mayor).
Por ejemplo, en objectif-securite.ch hay una utilidad gratuita para romper hashes de Windows (que se pueden obtener con Backtrack), siempre que sean solamente alfanuméricos:
¿Suficientemente paranoico?
Lo cierto es que además de los canales directos que hemos descrito, hay multitud de formas indirectas de obtener información de una computadora. Se han obtenido datos (con información significativa) de las ondas que emiten los teclados y los monitores, del ruido de las impresoras, o de un telescopio astronómico que observa un monitor... reflejado en el ojo del usuario.
Un post realmente bueno Zah. El sniffing y "wiretap" de HTTP y ethernet es old-school, pero en esta época de wireless abiertas aplica más que nunca.
Lo mejor es que la gente creerá que es mentira lo que dices en el parrafo final. Pero a excepción del reflejo en el ojo (exceso de CSI), todo lo demás realmente ha ocurrido. La seguridad absoluta es imposible, pero una serie de buenas prácticas pueden mantenerte por encima del promedio. Por:Freddie
Lo del reflejo en el ojo ha ocurrido, al menos en un experimento controlado. Lee el último número de Scientific American (no tengo a mano la referencia) Por:Zah
Zah-blog :
Lo del reflejo en el ojo ha ocurrido, al menos en un experimento controlado. Lee el último número de Scientific American (no tengo a mano la referencia)
Por definición, un telescopio astronómico tendría que poner en otro orden sus lentes para poder apuntar algo tan cercano como un monitor (sin importar lo lejos que esté, terricolamente hablando).
Así que quizás sea otro tipo de telescopio, uno tan jodido de apuntar como un láser a la luna. Ahora, pensar que ese telescopio tiene que crear una fotografía macro desde una distancia increíble y luego un algoritmo tiene que reconstruir una imagen ovalada... Es decir, no digo que sea imposible con tecnología actual, sólo que, como dices, seguro es un escenario ideal experimental, no muy práctico. Por:Freddie
Wireshark es muy sencillo de usar para monitorear una computadora o una red.
Y sabiendo dónde buscar (que tipo de paquetes y puertos de salida se usan) puedes obtener la información suficiente para juakear jotmail, mesinyer y hasta una cuenta bancaria.
Nunca está de más tener cuidado.... Por:daz_angie
hack hack hack pensemos en los problemas que nos atrae lo comeno en este post por la falta de seguridad pero Ojo como evitarlos ... !!!! PLOP !!! publicaran un post donde den un detalle mas largo de como evitar ser victima ,,,,, suena mas interesante leer un post de ese tipo ... Evitar ser hack al mas alto nivel sea usted mismo Bond .... disculpen nomas disculpen..... Por:irobot_z-blog
Es el primer comentario en cristalab, lei tus post sobre seguridad y me parecieron interesantes, solo queria avisarte que hare Ctrl+c en tus post y Ctrl+v en mi blog jaja, claro te pondre como fuente.
es bueno usar https pero si el que tiene el error es la pagina entonces ya no sirvio de nada por eso lo mejor que puedes hacer es usar contraseñas diferentes en cada pagina, nunca usar una contraseña global, si probablemente las contraseñas se encriptan con md5 en las bases de datos, pero nunca puedes estar seguro de lo que puede pasar Por:nphacks
hermano necesito conseguir la clave del correo de una amiga el correo es moniq_bz@hotmail.com que el ex-esposo le robo la contraseña y yo le dije que la iva a ayudar pero no consigo la forma ni la manera y tiene todos sus contactos importantes hay por favor si sabes de algo respondeme a mi correo oscarpuerta@hotmail.com agradezco lo que puedas hacer por ella y por mi gracias Por:es oscar-blog
Tengo un problema es que creo q por accidente deje q le entrara un virus a mi correo entonses lo abro y salia con correos borrados, sin ningún correo y ahora mi contraseña no fusiona y no encuentro como recuperar mi contraseña.
Gracias por leer mi comentario :. Por:sandy-blog
soy la misma solo quería decir que en todas las paginas en las que e entrado no les entiendo nada me lo podrían explicar en cristiano . Por:sandy-blog
sandy-blog :
soy la misma solo quería decir que en todas las paginas en las que e entrado no les entiendo nada me lo podrían explicar en cristiano .
Dios dice que uses una contraseña larga y jodida con muchos caracteres. Está en la biblia. Ve y hazlo hija mia. Por:Freddie
La verdad es que como que no se puede evitar que te hagan un hacker. Pregunto... si estoy conectada y chateando, me pueden hackear en ese mismo momento? Si tengo la web cam me pueden ver también? y si estoy en el msn chateando y están haciendo hacker a la otra persona, pueden robarse también mis datos, x ej la lista de contactos? Por:Elena-blog
ola nesecito saber la contraseña de un amigo q su correo es chavo_1489@hotmail.com es urgente plis !no se olviden!x fa Por:mayra-blog
ola quiero saber la contra de mi novio se llama enrique es chavo_1489=)ok zankio Por:estrella -blog
ola nescito saber d3 un chico q mucho me molesta para fregarlo se llama enrique su correochavo_1489 tamo claro Por:diego-blog
olitas soy una pynki kelom saber de un chico q me alienta un poco pz se iama enrique su correo es chavo_1489plis EL ES MI aire xq estubo con una chica q no le convenia una tal mayra x eso espero q no la aya agregado pz ok ya entendieron pz ia grasias x todo pz bye cuidense besos Por:nicol melgarejo -blog
ola SOI EL MEJOR AMIGO DE ENRIQUE bueno talves quiero saber un poco de mi mejOR amigocomo cual es su contraseña ya eso es todo Por:guillermo-blog
humm algunos creen que este hilo es para que les hackemos las cuenta a alguien, no pes señores yseñoritas, este es un hilo informativo y este es un foro serio, eso que solicitan es delito informatico nu nu nu eso no se hace, asi que si quieren saber contraseñas o "ROBARLAS" que es el nombre exacto pues busquen EXPLOIT en san google es todo cunto dire Por:NeoCesar
ola les cuento a mi me hackearon el flog necesitaria sabe como se puede recueperar Por:jimena-blog
.... disculpen nomas disculpen.....
:.
.
algunos creen que este hilo es para que les hackemos las cuenta a alguien, no pes señores yseñoritas, este es un hilo informativo y este es un foro serio, eso que solicitan es delito informatico nu nu nu eso no se hace, asi que si quieren saber contraseñas o "ROBARLAS" que es el nombre exacto pues busquen EXPLOIT en san google es todo cunto dire 
