2. ● A finales de 2010, Sean Brooks recibió tres mensajes de correo electrónico en
un lapso de 30 horas de advertencia de que sus cuentas en LinkedIn, Battle.
net y otros sitios populares corrían peligro. Fue tentado a despedirlos como
bulos — hasta que notó que incluyeron características que no son típicas de
fraudes de estafadores.
● Los avisos de advertencias y millones de otras personas que recibieron en
diciembre de ese año no eran mentiras. Dentro de algunas horas de hackers
anonymous penetrando servidores de Gawker y exponiendo las contraseñas
protegidas criptográficamente de 1,3 millones de sus usuarios, fueron las
contraseñas que se hackearon y utilizándolas para entrar en las cuentas de
Twitter y enviar spam.
● En los próximos días, los sitios de asesoramiento obligaron a sus
usuarios a cambiar las contraseñas y se amplió para incluir Twitter,
Amazon y Yahoo.
● El antiguo arte de hackeo de contraseñas ha avanzado más en los
últimos cinco años que en la anterior varias décadas combinado. Al
mismo tiempo, ha aumentado la peligrosa práctica de reutilización de
contraseña. El resultado: seguridad proporcionada por la contraseña
promedio en 2012 nunca ha sido más débil.
3. Un nuevo mundo
● El usuario Web promedio mantiene 25 cuentas separadas pero utiliza 6.5
contraseñas sólo para protegerlos, según un estudio desde 2007.
● El Hardware más reciente y las técnicas modernas también han ayudado a
contribuir al aumento de hackeo de la contraseña. Ahora utilizan cada vez
más para la informática, procesadores de gráficos que permiten hackeo de
contraseña con programas para trabajar miles de veces más rápidos que lo
hicieron sólo una década igualmente al precio de PC que utiliza CPUs
tradicionales solos. Un PC con un solo AMD Radeon HD7970 GPU, por
ejemplo, puede intentar en promedio unas asombrosas combinaciones de 8,2
billones de contraseña cada segundo, según el algoritmo utilizado para
codificarlos. Sólo hace una década, dichas velocidades son posibles solamente
cuando se usa superordenadores caros.
4. ● Lo más importante, una serie de fugas en los últimos años que contiene más
de 100 millones de contraseñas de reales han proporcionado hackeos con
importantes ideas nuevas sobre cómo personas en diferentes ámbitos de la
vida eligen contraseñas en sitios diferentes o en diferentes contextos. La
creciente lista de contraseñas filtradas permite a los programadores escribir
reglas que hagan algoritmos más rápidos y más precisos; los ataques de
contraseña se han convertido en ejercicios de cortar y pegar algún script
kiddies(personas sin habilidad para programar) y que pueden realizar con
facilidad.
● La contribución más importante de hackeo vino a finales de 2009, cuando se
atacan una inyección SQL contra Juegos online por servicio RockYou.com
exponiendo 32 millones contraseñas de texto simple utilizadas por sus
miembros para iniciar sesión en sus cuentas.
● Las claves de acceso, que llegó a 14,3 millones una vez duplicados fueron
retirados, fueron publicados en línea; casi toda la noche, el corpus sin
precedentes de credenciales reales cambió las manera whitehat blackhat
hackers tanto agrietadas y contraseñas
5. Hashing hacia fuera
● En diciembre de 2010, existían 1,3 millones contraseñas legibles. En
cambio, habían sido convertidos en lo que se conoce como "valores hash"
pasándolas a través de una función criptográfica unidireccional que crea
una única secuencia de caracteres para cada entrada de texto.
● Cuando pasaba por el algoritmo MD5, por ejemplo, la cadena "contraseña"
(menos las comillas) se traduce en “5f4dcc3b5aa765d61d8327deb882cf99”
● En teoría, una vez que una cadena se ha convertido en un valor de hash, es
imposible volver a texto simple utilizando medios criptográficos. Password
cracking(rompimiento o descifrado de claves), entonces, es la práctica de
ejecutar conjeturas de texto simple a través de la misma función criptográfica
utilizada para generar un hash comprometido. Cuando los dos valores hash
coinciden, la contraseña ha sido identificada.
●
6. “Rockyou” lo haremos
● Tras RockYou, todo cambió en el pasado fueron listas de palabras que
compilan de Webster y otros diccionarios que luego fueron modificadas con
la esperanza de imitar a la gente de palabras que realmente utilizan para
acceder a su correo electrónico y otros servicios en línea. En su lugar fue una
colección única de letras, números y símbolos — incluyendo todo, desde
mascotas nombres de personajes de dibujos animados, que sería la semilla
contraseña futuros ataques.
● Casi tan importante como las palabras precisas que se utiliza para tener
acceso a millones de cuentas en línea, el incumplimiento de RockYou reveló
las pensamiento estratégico de personas empleadas a menudo cuando
escogieron un código de acceso. Para la mayoría de las personas, el objetivo
era hacer la contraseña fácil de recordar y difícil de adivinar. No en vano, la
lista de RockYou confirmaron que casi todas las letras mayúsculas al
principio de una contraseña; casi todos los números y signos de puntuación
aparecen al final. También reveló una fuerte tendencia a utilizar el primer
nombre seguido por años, tales como Julia1984 o Christopher1965.
7. ● Otras contraseñas complejas requieren manipulaciones similares a
estar rajado. La lista de RockYou y las contraseñas de cien millones de
más que colectivamente han sido expuestas en sus consecuencias, sacó
a la luz una plétora de otra emplean personas de técnicas para proteger
contraseñas simples de ataques de diccionario tradicional.
● Uno es agregar números o caracteres no alfanuméricos como "!" para
ellos, generalmente al final, pero a veces al principio. Otra, conocida
como la "mutilación", transformaciones de palabras como "super" o
"Princesa" en "sup34" y "Príncipe$ $". Todavía otros anexar una
imagen espejo de la palabra elegida, por lo que «libro» se convierte en
"bookkoob" y "contraseña" se convierte en "passworddrowssap."
8. Un poco de tacto
Que sutileza toma todo tipo de formas. Una técnica prometedora es
utilizar programas como el Passpal de código abierto para reducir el
tiempo de hackeo identificando patrones que exhiben en un
porcentaje significativo de contraseñas interceptadas. Por ejemplo,
como se señaló anteriormente, muchos de los usuarios del sitio
tienden a añadir años a nombres propios, palabras u otras cadenas
de texto que contienen una sola letra capital al principio.
● Usando técnicas de fuerza bruta para descifrar la contraseña
Julia1984 requeriría 629 posibles combinaciones, una "clave" que
se calcula por el número de posibles letras (52) más el número de
números (10) y elevar la suma del poder de nueve (que en este
ejemplo es el número máximo de caracteres de la contraseña está
dirigida un hacker). Usando un AMD Radeon HD7970, todavía
tardaría unos 19 días para recorrer todas las posibilidades.
9. Utilizando las funciones incorporadas en apps de hackeo de
contraseñas como Hashcat y fuerza bruta extrema GPU, la
misma contraseña puede recuperarse en unos 90 segundos
realizando lo que se conoce como un ataque de la máscara.
Funciona reduciendo inteligentemente la clave en sólo esas
conjeturas probables que coincidan con un patrón determinado.
● En lugar de intentar aaaaa0000, ZZZZZ9999 y todas las
combinaciones posibles entre estas, se trata de una letra
minúscula o superior sólo para el primer carácter y trata de
caracteres sólo minúsculas para los próximos cuatro
caracteres. Luego agrega todos los posibles números de cuatro
dígitos al final. El resultado es una clave drásticamente
reducida de unos 237,6 billones, o 52 * 26 * 26 * 26 * 26 * 10 *
10 * 10 * 10.
10. Ataque híbrido
● Una técnica aún más poderosa es un ataque híbrido. Combina una
lista de palabras, como el utilizado por Redman, con reglas para
ampliar enormemente el número de contraseñas pueden romper esas
listas. En lugar de fuerza bruta-obligar a las cinco letras en Julia1984,
los hackers simplemente recopilan una lista de nombres para cada
usuario de Facebook y agregan a un diccionario de tamaño mediano
de, digamos, 100 millones palabras.
● Mientras que el ataque requiere más combinaciones que el ataque de
máscara anterior — específicamente aproximadamente 1 trillón (100
millones * 104) posibles cadenas — sigue siendo un número
manejable que toma sólo unos dos minutos, usando la misma tarjeta
de AMD 7970. La recompensa, sin embargo, es más que vale la pena
el esfuerzo adicional, ya que rápidamente quebrara o romperá,
Christopher2000, thomas1964 y decenas de otros.
11. Ataque de diccionario
● Este tipo de rompimiento de contraseña entró el agradecimiento de la
conciencia pública en gran medida a la década de 1980 de una novela de
suspenso The Cuckoo's Egg, en qué el autor Cliff Stoll relata su búsqueda de
la vida real de un hacker que se rompe en los sistemas informáticos y roba
militar sensible y documentos de seguridad en nombre de la KGB Soviética.
● El libro está repleto de gente en lugares altos que socava la seguridad
nacional con higiene deficiente contraseña — una cuenta en la red de
contratista de defensa SRI Inc. con un nombre de usuario y contraseña del
"Saco", por ejemplo, o una cuenta de superusuario para Lawrence Berkeley
Labs que no había sido cambiado en años.
● "Cuando el dinero fue almacenado en bóvedas, seguro-quebaradas atacaron
las cerraduras de combinación," escribe Stoll, quien como un astrónomo
desplazado se convierte en el protagonista del libro improbable hacker-
caza. "Ahora que los valores son solo bits en la memoria de una
computadora, ladrones van tras las contraseñas".
12. La conexión de arco- Rainbow
● El nucleo de este nuevo enfoque se originó con Martin E. Hellman. En 1980,
Hellman publicó un libro titulado "Un criptoanalítico de memoria de tiempo de
compensación" que propuso lo que llegó a ser llamado tablas Hellman. Estas tablas
fueron compiladas por delante de un ataque de contraseña y trabajadas utilizando
previamente calculados de los datos almacenados en disco.
● Las tablas de Hellman redujeron los recursos informáticos necesarios para crackear
un hash DES de alrededor de $5.000 a solo $10. En 2003, criptógrafo compañero
Phillippe Oechslin propone mejoras a la técnica de Hellman que había mejorado
enormemente la eficacia.
● El resultado es ahora lo que se conoce como las tablas de arcoiris. En vez de pedir un
equipo para enumerar cada contraseña posible en tiempo real y compararla con un
hash específico, los datos previamente calculados eran almacenados en la memoria o
en disco en forma altamente comprimida para acelerar el proceso y bajo los
requisitos informáticos necesitan para bruta fuerza a enormes cantidades de hashes.
13. ● Cada tabla dirige un algoritmo específico y clave, y contiene
una colección de cadenas. Cada cadena se inicia con una
contraseña arbitraria por un lado y termina con un valor de
hash único en el otro extremo.
● Se pone la contraseña de inicio mediante el algoritmo para
generar el hash, y ese valor se pasa a través de uno de los
muchos diferente "funciones de reducción" para generar una
nueva estimación de contraseña. La nueva contraseña luego es
quebrada.
14. ● El proceso continúa hasta que se alcance el hash al final de la cadena
15. ● El avance no fue sólo la velocidad con que las tablas podrían
descifrar contraseñas; también fue su habilidad para descifrar
casi cada contraseña posible mientras que no caiga fuera de la
clave específica.
● Las tablas Rainbow se creen que recibe su nombre debido a
que cada eslabón de la cadena utiliza una función de
reducción diferentes, pero todas las cadenas siguen el mismo
patrón — tanto como cada color en rainbow es diferente pero
todos rainbows siguen el patrón ROYGBIV.
16. El SHA1 no es un algortimo de hash seguro
● Un gran porcentaje de los sitios que son víctimas de violaciones de contraseña
cometer otro error que disminuye aún más la protección de hashes: utilizan
algoritmos que nunca fueron diseñados para proteger las contraseñas. Eso es
porque MD5, SHA1 y DES fueron diseñados para convertir texto plano hashes
muy rápidamente con mínimos recursos de computación, y esto es exactamente
lo que las personas que ejecutan programas de descifrado de contraseñas más
desean.
● Para apreciar cuán pobre una contraseña hash se seleccionaron estos son
algoritmos , considere esto: El investigador de seguridad independiente Jeremi
Gosney tomó cerca de seis días más del 90% de los 6,5 millones hash SHA1
expuestos en el incumplimiento de LinkedIn. Recuperó una quinta parte de las
contraseñas de texto simple en sólo 30 segundos. En las siguientes dos horas, él
había recuperado otro tercio de ellos. Un día en el ejercicio, había recuperado
un total de 64 por ciento, y en los cinco días que siguieron él rajados otro 26 por
ciento.
●
17. ● El algoritmo de Bcrypt es incluso más costoso computacionalmente, en
gran parte debido a que somete el texto a varias iteraciones del cifrado
Blowfish que deliberadamente se ha modificado para aumentar el tiempo
necesario para generar un hash.
● Estas funciones costosas computacionalmente requieren mayor servidor de
procesamiento, por supuesto. Esto puede aumentar la carga en los
servidores Web y aún podía abrirlos hasta nuevos tipos de ataques DoS,
dijo Matt Weir, un estudiante post-doctoral de Florida State University,
cuyo Doctorado centrado en contraseñas.
18. Fuerza bruta- Golpeando la pared
● Computación incluso potentes motores tienen problemas para grietas
más contraseñas mediante la fuerza bruta. Suponiendo que dicho ataque
comprueba todas las combinaciones de todos los 95 letras, números y
símbolos disponibles en un teclado estándar de inglés, tarda una
cuestión de horas para un equipo de escritorio con un núcleo de Intel
procesador i7 980 x fuerza bruta averiguar cualquier contraseña de cinco
caracteres.
● Agregar una tarjeta GPU a un sistema sin duda ayuda, pero no tanto
como muchos podrían imaginar. Un AMD Radeon 6970 todavía necesita
más de 10 días a la fuerza bruta de un código de siete caracteres. Y la
pared apenas mineralización incluso cuando significativamente más
potentes recursos llegan a tener. Utiliza un sistema de cloud de Amazon
EC2 que combina la potencia de más de 1.000 GPUs individuales,
todavía tarda unos 10 días a fuerza bruta una contraseña de ocho
caracteres.
19. ● Por Thorsheim, un asesor de seguridad que se especializa en contraseñas para una gran
empresa con sede en Noruega, dijo que el atributo más importante de cualquier código
de acceso es que sea exclusivo de cada sitio.
● Ambas aplicaciones permiten a los usuarios, crear contraseñas generadas aleatoriamente
y almacenar de forma segura en un archivo criptográficamente protegido que se
desbloquea con una sola contraseña maestra. También es esencial usar un gestor de
contraseñas para cambiar contraseñas con regularidad.
● Dada la sofisticación de los hackers, cualquier cosa menos simplemente significa que su
contraseña es trivial para romper.