28 ago. 2015

Crackean 4.000 contraseñas de usuarios de Ashley Madison (actualizado)

Además de contraseñas almacenadas en texto plano, entre los datos robados a Ashley Madison había 36 millones de hashes y si bien no son legibles directamente, se pueden crackear. Un investigador ha logrado descifrar 4.000 contraseñas de los usuarios de Ashley Madison, lo que demuestra lo importante que es elegir una contraseña segura.

Los hashes terminaron en la "máquina de crackear" de Dean Pierce, un ingeniero de seguridad de Linux que trabaja en Intel. El invento de Pierce consta de 4 tarjetas de vídeo ATI R 9290.

El procedimiento es sencillo:
gunzip member_login.dump.gz 
tr , '\n' < member_login.dump > tmp.txt # switching commas for newlines
grep "\$2a" tmp.txt > tmp2.txt # grepping out hashes
tr -d "\'" < tmp2.txt > am.txt # removing single quotes
uniq am.txt > am2.txt # removing duplicates
./oclHashcat32.bin -m3200 -a0 am2.txt rockyou.txt --force --weak-hash-threshold 0
Para hashear las contraseña de Ashley Madison se ha utilizado el algoritmo bCrypt y también habían hecho uso de un "SALT". En un algoritmo más débil, como MD5, es posible tratar a millones de combinaciones de contraseñas por segundo pero en el caso de bCrypt+SALT, Pierce sólo logró probar 156 hashes por segundo.

Para descifrar los hashes a través de fuerza bruta, utilizó el diccionario RockYou el cual fue hackeado en 2009 y donde los atacantes obtuvieron más de 32 millones de contraseñas. Estas contraseñas se almacenaban en texto plano, y finalmente fueron publicadas en Internet. Desde entonces las contraseñas de RockYou han sido utilizadas por muchos investigadores para el descifrado de contraseñas por defecto.

Pierce utilizó su equipamiento durante cinco días y logró romper 4.000 contraseñas. Eso equivale a 32.6 contraseñas crackeadas por hora. También mostró que hubo 1.191 contraseñas únicas y que la más común vuelve a ser "123456", la cual apareció 202 veces. También mostró que 105 usuarios habían elegido "password" como contraseña. Pierce hizo un Top 20 de las contraseñas más comunes. La lista es muy similar a otras listas que se publican regularmente:

Según el investigador, es probablemente imposible descifrar todas las contraseñas con bCrypt pero si se utilizan contraseñas débiles, el esfuerzo vale la pena. de todos modos porque s encuentran en muchos diccionarios.

Actualización: en la segunda filtración se revelan mensajes de correo electrónico entre el fundador y presidente de la empresa, Noel Biderman, y el director de seguridad de la misma compañía. En dichos correos,se hablaba de las fallas de seguridad con que contaba la plataforma de citas poco antes de sufrir el ataque que ha desatado terror entre aquellos y aquellas que engañaban a sus parejas.

Actualización: el jefe ejecutivo Noel Biderman renunció.

Actualización: CynoSure Prime ha crackeado más de 11 millones de passwords y algunos cálculos sobre ellas.

Fuente: El Hacker

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!