Criptoanálisis: Las tablas «rainbow»

2 comentarios · 1.385 lecturas · seguridad

Uno de los métodos más conocidos (y menos efectivo) para recuperar una contraseña es la denominada fuerza bruta. Este método, realiza una comprobación una a una de todas las claves posibles, lo que por norma general (dependiendo de lo bien elegida que esté la contraseña) hace que el proceso tarde demasiado.

key llave lock candado

Es por esto que siempre se insiste en utilizar letras mayúsculas y minúsculas, cifras y letras, y una longitud de más de 11 carácteres, como mínimo. Por ejemplo, una contraseña con sólo letras minúsculas se tardaría aproximadamente 2.42 días en averiguarse.

Funciones hash

Antes de continuar debemos saber que una función hash no es más que un sistema para obtener una «secuencia» (una cadena de carácteres, un conjunto de números...) que representará de manera única una entidad (un archivo, un documento...).

hash file md5 sha iso mp3 doc funcion

Así pues, se suele utilizar algoritmos de hash como MD5 o SHA para comprobar la integridad de un fichero.

Por ejemplo, imaginemos una imagen ISO que, al descargarla desde Internet, podemos generar un hash SHA de dicho fichero.

Si la secuencia es exactamente igual a la secuencia que el autor colgó en su página en un fichero de texto, significa que la imagen se ha descargado de internet correctamente.

Por el contrario, si son distintas, significa que la imagen ISO descargada es diferente a la original (errores en la descarga, corrupción de datos, etc...).

Salt

Este tipo de algoritmos hash es frecuentemente utilizado en la generación de contraseñas, con un grave error cometido en muchas ocasiones: no añadir «sal» (salt) al hash.

salt key claves sal keys

En criptoanálisis se denomina «salt» a un fragmento aleatorio (carácteres, números...) que se le añade al hash obtenido, para conseguir que si dos usuarios generan una misma contraseña, su hash no sea idéntico (lo que podría suponer un problema de seguridad).

Tablas Rainbow

Las tablas rainbow son una estructura de datos (mapas o arrays asociativos, veáse en forma de tabla) que proveen información acerca de la recuperación de contraseñas en texto plano generadas con ciertas funciones hash conocidas.

rainbow arco iris arcoiris

En esta estrategia de recuperación se sacrifica el espacio en disco duro y memoria a cambio del coste de velocidad (tiempo de ejecución).

Así pues, existen varias tablas rainbow para cada algoritmos (generalmente gigantes, pueden ocupar hasta 40 gigas o más) previamente computadas, y que se utilizan de apoyo para realizar la fuerza bruta de una manera más eficiente y mucho más rápida, reduciendo el tiempo de ejecución considerablemente.

Prevención

Se comenta que una buena táctica para evitar este tipo de ataques es utilizar carácteres de espacio (ASCII 32) en las contraseñas, y evidentemente, utilizar sistemas que añadan «salt» a los hashes. Además, hay muchas otras recomendaciones para elegir tu contraseña.

Enlaces

Algunos enlaces interesantes sobre el tema:

  • RainbowCrack: Proyecto de implementación de tablas rainbow para algoritmos como LM, MD5, SHA1 y otros. Contiene un parche para añadir soporte para los algoritmos NTLM, MD2, MD4 y RIPEMD160. Desarrollado por Philippe Oechslin.
  • OphCrack: Implementación multiplataforma (Windows, Linux y Mac) para el uso de tablas rainbow. Incluye también un LiveCD (basado en Slax) con herramientas útiles.
  • Rainbow Tables SHMoo: Más información y datos acerca de las tablas rainbow, incluyendo algunos torrents para descargar alguna de estas tablas.
  • How rainbow tables work: ¿Cómo funcionan las tablas rainbow? Documentación en inglés, acerca de esta estrategia.
  • Free Rainbow Tables: Más tablas rainbow para determinados algoritmos.

Dejar comentario (2) · Escrito el 3-Apr-2008 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

Recuperar contraseña, password o serial

9 comentarios · 6.097 lecturas · seguridad

¿Que puedo hacer si he perdido el número de serie de mi Windows? ¿O si quiero recuperar la contraseña de mi cuenta de hotmail para Windows Live Messenger? ¿O el password de mi cuenta de correo?

Ante todo no pierdas la calma, sigue leyendo para encontrar una forma muy sencilla de recuperarla.

Recuperar la contraseña de Windows y/o Office

Si te encuentras en el caso de que vas a reinstalar Windows, pero no encuentras el serial que utilizaste en la actual versión del sistema operativo, existe una aplicación llamada ProduKey que te ayudará a encontrarla de nuevo.

produkey serial llave clave password recuperar contraseña

También podrás ver la información (no sólo del sistema operativo) sino de otros productos de Microsoft como Office, Internet Explorer, Exchange Server, SQL Server... Además de la llave, el programa también te indicará la ID del producto, la carpeta donde está instalado y el Service Pack. En la página se puede elegir entre la versión de 32bits (x86) o de 64bits (x64).

Recuperar la clave del Windows Live Messenger

Muy a menudo también nos olvidamos de la contraseña que teníamos en nuestra cuenta de MSN Messenger, o más bien dicho, Windows Live Messenger. Sólo tenemos que ejecutar la aplicación MessenPass, para ver un listado de las contraseñas utilizadas en ese ordenador o sistema.

messenpass clave password recuperar contraseña messenger msn windows live

Como se puede ver, no sólo muestra cuentas del programa de mensajería de Microsoft, sino además de Yahoo Messenger, Google Talk, ICQ lite, AOL, AIM, Trillian, Miranda y Pidgin (antiguo Gaim).

Recuperar clave de cuenta de correo

¿Que utilizas una clave en tu cuenta de correo y no la recuerdas? No hay problema. Con Mail PassView podrás recuperarla si utilizas programas como Outlook, Thunderbird, IncrediMail, Eudora, Gmail Notifier o similar.

mailpassview cuenta correo clave password recuperar contraseña messenger msn windows live

Desgraciadamente, no funciona con cuentas de correo vía web como Hotmail, Yahoo o Gmail. Puedes probar con Protected Storage PassView, en algunos casos con Internet Explorer puede servirte de ayuda. Si utilizas Firefox, en el menú Herramientas / Opciones / Seguridad / Mostrar contraseñas puedes echar un vistazo.

Recuperar otras contraseñas

Si lo que buscas es recuperar otro tipo de passwords no listados anteriormente, puede intentarlo con las siguientes aplicaciones:

  • Asterisk Logger: Busca en programas que guardan contraseñas a través de asteriscos (*****) como CuteFTP, VNC... para recuperarlos.
  • Dial-up Pass: Recupera contraseñas de conexión telefónica («dial-up» o modems).

También puedes ampliar información relacionada en el artículo previo sobre robos de contraseñas o claves de cuentas de MSN.


Dejar comentario (9) · Escrito el 23-Jan-2008 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

Robar contraseñas o claves de MSN Messenger

174 comentarios · 287.381 lecturas · seguridad

¡OJO! Este artículo NO trata de cómo "robar" contraseñas o claves, cosa que es imposible. En la mayoría de los casos, las claves son robadas por descuídos de la víctima, aquí tratamos como evitarlos.

En realidad, tras este presuntuoso título de artículo, lo que quiero es concienciar a todos aquellos que utilizan contraseñas o claves (no sólo para MSN Messenger o hotmail, aunque es el caso más común) sino de cualquier otro servicio, sobretodo los basados en internet, donde la seguridad cobra más fuerza e importancia.

Muy a menudo recibo correos o comentarios en algunos artículos de usuarios que piden ayuda o preguntan como les han robado la cuenta de hotmail (u otras), algunos incluso preguntan como saber la contraseña de otros MSN Messenger...

Mis recomendaciones son las siguientes:

  1. Crea cuentas en lugares seguros:
    Si necesitas crearte una cuenta de correo (u otra), hazlo en tu casa con tu ordenador. En lugares externos como cybers o PCs ajenos nunca se sabe si la clave se almacenará en el PC o si existen una especie de virus/troyanos llamados keyloggers que registran todo lo tecleado.
  2. Utiliza el teclado en pantalla en lugares públicos
    Para teclear contraseñas y evitar el posible uso de keyloggers que las registren, puedes usar el Teclado en pantalla que se encuentra en Programas / Accesorios (o en Inicio / Ejecutar... / osk). La mayoría de las páginas de cuentas bancarias ya traen alguno parecido incorporado, que incluso cambia el orden de las teclas para mayor seguridad.
  3. No marques la casilla «Recordar contraseña»:
    Si te conectas al MSN Messenger (u otro servicio) desde un ordenador que puedan utilizar otras personas, acuérdate de desactivar la opción Recordar contraseña. Si no lo haces, cualquier otra persona puede conectarse sin conocer la contraseña y cambiarla.
  4. Establece una pregunta secreta muy complicada:
    Esta es bastante importante. La mayoría de robos de cuentas que existen por ahí no son de malvados hackers que te tienen manía, sino de Lamers que se aprovechan de usuarios despistados o sin experiencia. Normalmente la víctima establece una respuesta secreta tan fácil que cualquiera que conozca a la víctima o hable un poco con ella se la puede sacar fácilmente (nombre de su mascota, apellidos del padre, lugar de residencia, etc...). Evitar cosas tan sencillas.
  5. Ten un antivirus actualizado siempre activo:
    Algo que no puede faltar hoy en día es tener un Antivirus monitorizando cualquier paso que se da. ¡OJO!: Un antivirus que no se actualiza es casi como no tener antivirus. Si no tienes ninguno, puedes descargarte algún antivirus gratuito o libre. Si sospechas que tienes algún virus y necesitas comprobarlo YA, pégale un repaso a tu sistema con este Antivirus de Panda Online (Usa ActiveX y necesita Internet Explorer). No está de más tener también un firewall, aunque su correcta configuración pasa a ser algo más compleja.
  6. Asegúrate de no introducir claves en páginas falsas:
    Otro de los trucos para extraer contraseñas de víctimas, es realizar una réplica casi idéntica de la página donde nos pide la contraseña. Para evitar esto es imprescindible andar con pies de plomo y comprobar antes de escribir cualquier contraseña la dirección donde la estamos enviando. ¡Cuidado sobre todo en las páginas de tarjetas virtuales! Se utiliza mucho en ellas.
  7. Cuidado con los sitios que te piden tu fecha de cumpleaños:
    Una técnica que se usa mucho últimamente es la de enviar a la víctima (por correo electrónico generalmente) invitaciones para escribir su fecha de nacimiento (u otros datos) que generalmente son los que se escriben en la pregunta/respuesta secreta.
  8. Uso de ingeniería social para robar claves:
    No existe ninguna forma «genial» para robar claves de otras cuentas de correo. Si esto fuera así, todo sería un auténtico caos, y nadie tendría a salvo su correo y sus datos. Existen muchos espabilados que utilizan trampas para robar cuentas, anunciando un método revolucionario para obtener contraseñas de correo. Por ejemplo:

    ¡OJO! Esto no es un método para robar cuentas de correo, es un engaño muy frecuente que suelen utilizar los "ladrones".

    Como hackear una cuenta Hotmail:

    • Abres tu cuenta y le mandas un mail a la dirección userpass@hotmail.com (este correo varía, puesto que es el que se crea la persona que recibirá las contraseñas: director@, hotmail-bot@, dictores-hotmail@...) que es un bot autómata de envío de passwords.
    • En el asunto debes poner el correo (hotmail) de tu victima.
    • Ahora en el campo del mensaje escribir esto:

      Forgot password_auto_bot
      form_pwd; login= CUENTA DE LA VICTIMA
      form.login.focus( ); form.passwd.gets=?;
      sendto=ESCRIBE AQUÍ TU LOGIN;
      form.passwd=ESCRIBE AQUÍ TU PASSWORD
      form_pwd; value= “adm”;


    Parece una tontería, pero con esta técnica se consiguen robar multitud de correos, en el que la víctima envía su clave para (supuestamente) robar la clave de otra persona. Otro sistema bastante extendido es aquel en el que se le envía un correo desde un supuesto email de directores de hotmail, pidiendo el nombre de la cuenta y la clave para ampliar el espacio o no borrarlo de la base de datos de Hotmail. ¡No respondas a estas trampas!
  9. Genera claves inteligentes:
    Lo ideal para una contraseña sería crear claves que no formen palabras o que no existan. Existe un tipo de ataque para "reventar" contraseñas que se basa en las palabras de un diccionario. Si la clave no contiene palabras de diccionario, más probabilidades tiene de no poder ser descubierta. Una curiosidad es que muchos sistemas no son capaces de reventar contraseñas que incluyen la letra «ñ», así que si es posible, utilízala.
  10. Longitud o tamaño de la clave:
    La última, pero la más importante. Una clave de tamaño pequeña es muy fácil de descubrir por un método llamado fuerza bruta. Vía MundoGeek (excelente blog, por cierto) me encuentro con una tabla donde podemos observar lo que se puede tardar - en el peor de los casos, y siempre teniendo en cuenta las características del sistema (tipo de autenticación, número de intentos, velocidad de respuesta, etc...) en "reventar" una contraseña según su tamaño:

    Longitud Todos los caracteres Sólo minúsculas
    3 caracteres 0.86 segundos 0.02 segundos
    4 caracteres 1.36 minutos 0.46 segundos
    5 caracteres 2.15 horas 11.9 segundos
    6 caracteres 8.51 días 5.15 minutos
    7 caracteres 2.21 años 2.23 horas
    8 caracteres 2.10 centurias 2.42 días
    9 caracteres 20 milenios 2.07 meses
    10 caracteres 1,899 milenios 4.48 años
    11 caracteres 180,365 milenios 1.16 centurias
    12 caracteres 17,184,705 milenios 3.03 milenios
    13 caracteres 1,627,797,068 milenios 78.7 milenios
    14 caracteres 154,640,721,434 milenios 2,046 milenios

    Video (Objeto multimedia)
    Para que una contraseña sea realmente segura, debe tener como mínimo 7 caracteres (si utiliza minúsculas, mayúsculas y números) o 9 caracteres (si sólo utilizas minúsculas, mayúsculas o números).

Y tú, ¿cuántos caracteres tienen tus contraseñas normalmente? ¿Cuántos puntos conocías acerca de este tema? ¿Alguno que se me haya pasado por alto?


Dejar comentario (174) · Escrito el 8-Apr-2007 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

Braguitas para geeks

10 comentarios · 8.439 lecturas · geek

¿Quién dijo que geek no es sinónimo de sexy? He aquí un ejemplo para toda geek que se precie, que no querrá dejar pasar ni por asomo.

braguitas geek

Las venden en J!NX por unos 12€ aproximadamente.


Dejar comentario (10) · Escrito el 2-Feb-2007 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

Páginas: 1 ... ... 1


Artículo de http://www.emezeta.com/

6 consultas efectuadas / Página generada en 0.038 segundos

Programado íntegramente por José Román (Manz) en XHTML y CSS estándar.

Sindicado bajo Feed RSS. Contenido bajo licencia Creative Commons

Estadísticas de visitas · Términos y condiciones · Contacto · Publicidad · Preguntas frecuentes (FAQ)