La inseguridad de las ‘listas de contraseñas prohibidas’ en seguridad informática

Hace unos días me había topado con una noticia (que seguramente algunos habrán visto) en la que la gente de Twitter había hecho públicas las contraseñas no permitidas para utilizar al registrar una nueva cuenta o cambiar una existente. Todas las charlas rotaban entre lo bien que había hecho la empresa o de lo tonta que era la gente al colocar passwords del estilo ‘123456’ o similares. Pero el tema es más profundo que eso. No hace falta más que ponerse ‘del otro lado‘.

Por un lado, está perfecto que se publiquen este tipo de cosas; porque sirve para que la gente (en un solo vistazo) puede chequear el por qué no pueden loguearse o no se les acepte una cuenta; también (como algunos habían dicho) para lograr concientizar que esas contraseñas son muy inseguras y fáciles de resolver, y así poder cambiarlas o dejar de usarlas en otros servicios que no sean ese (aunque habiendo mayoría de gente estúpida, no creo que sea amplio).

Pero por otro lado, ésta es una lista excelente para que los wannabe (aprendices de hackers) intenten entrar a otras cuentas en otros sitios para poder hacer de las suyas (y digo ‘aprendices’ porque los hackers ‘de ley’ seguramente están suscriptos a sitios en donde hace rato que sabrán cuáles son las contraseñas más comunes). Porque convengamos en que la gran mayoría de la gente que utiliza computadoras (en el que al menos una vez deberán ingresar un usuario/contraseña) NO va a usar Twitter solamente y, mucho menos, leerse el listado de contraseñas inseguras para chequearlas con las que ha utilizado.

Eso me dejó pensando unos días, hasta que me decidí a hacer un pequeño experimento. Desempolvé unas viejas herramientas del ‘lado oscuro’ y me puse manos a la obra. Utilicé dos programas (no pregunten sobre el tema, ya dije que no tengo escuelita de hackers), uno hacía un escaneo de puertos abiertos y en el otro podía seleccionarse el puerto o servicio a escanear y entre sus opciones tenía la de cargar una lista predefinida por el usuario. Para que no se hiciera demasiado largo, le puse solamente un puñadito de 20 de la lista Twitter junto con algunas conocidas como comunes en otros servicios (ya predeterminadas dentro del programa).

Elegí ‘atacar’ el puerto 25 (SMTP, el usado como canal de salida por los servidores de correos electrónicos) porque generalmente es el menos monitoreado y el que (en caso de dar resultado positivos) puede servir para enviar Spam, lo que sería más perjudicial que un deface o similar por los efectos secundarios que provoca. Para escanear, elegí una red del tercer mundo (cuanto menos letrados, más inseguros son los sistemas, es un hecho) apoyándome en listas conocidas de denunciantes de IP’s emisoras de Spam (hasta ellos ayudan…). Por si las moscas, tardé un poco más y me busqué un buen proxy anónimo que se interpusiera.

Una vez que ya tuve todo listo, puse a la computadora a escanear un rango chico con el primer programa. El proceso que realiza es ir de a bloques de IP’s y preguntar si el puerto definido (25 en este caso) está abierto. Luego de unos 10 minutos, me había arrojado una lista de más de 50 positivos (cosa normal en un servidor de mails). Entonces pasé de a uno esos positivos al segundo programa. Este realiza la misma pregunta y, en caso de ser positiva, prueba con un usuario/contraseña dado.

Lo sorprendente del caso es que 2 de esas máquinas dieron positivo total al proceso; una con las contraseñas predeterminadas y la otra con una suministrada por Twitter y su lista de passwords. Debajo dejo una captura de los resultados, obviamente con los datos exactos difuminados. Puede pulsar en la imagen para verla más grande:

Con esas dos máquinas pude haber realizado una campaña de Spam o enviar mails fraguados y anónimos hasta el cansancio. Pude haber realizado ofertas de Viagra, publicitar mi producto o empresa, o mandar virus o troyanos. Incluso pude haber entrado en modo silencioso configurando el POP3 (el encargado de recibir los mails, que usa el mismo usuario y pass que en el SMTP) de mi correo habitual, y recibir todos los mails de esos usuarios, que podían contener datos personales o bancarios sin que se enterasen siquiera.

Si sumamos los pro y los contra, es difícil saber si este tipo de acciones ayudan más de lo que perjudican. Quedó demostrado que con listados así es posible vulnerar una PC para realizar virtualmente casi cualquier cosa. ¿Es más gente la que utilizará estos listados para bien? ¿O por el contrario, habrá más pseudohackers que los usarán para ir de fiesta sin invitación? ¿Vale más un cambio de contraseña de un usuario que la ruptura en la seguridad de otro por usar ese listado? ¿Hasta qué punto la seguridad se vuelve inseguridad (y viceversa)?

PLPLE


Anuncios

Acerca de PiensoLuegoPiensoLuegoExisto (PLPLE)

Tratando de entender el mundo sin morir en el intento...
Esta entrada fue publicada en Aunque usted no lo crea, Investigaciones, RECOMENDADOS, Sabía usted?, Seguridad, Tecnología y etiquetada , , . Guarda el enlace permanente.

18 respuestas a La inseguridad de las ‘listas de contraseñas prohibidas’ en seguridad informática

  1. Hola , te escribo aqui porque en el foro de wordpress el tema esta cerrado…entre a tu pagina por el tema del contador de visitas on line, fui a la pagina, copie el codigo pero cuando lo incerto no me lo toma.
    el codigo es este:WAU_classic(’77ig9fsjejt3′)
    cuando voy a texto html y lo pego al guardarlo no lo toma; Me podes ayudar? gracias

  2. Pingback: Listados de contraseñas prohibidas: ¿seguros o inseguros? - apezz.com

  3. Pingback: Anónimo

  4. Iván dijo:

    Si alguien es incapaz de tomarse 5 minutos y crear un código alfanumerico memorizable y luego generar variantes de él para utilizar en los diversos sitios que utilice, entonces esa persona quizás necesite una lista así.
    Aunque en todo caso ubiese sido menos contraproducente y más practico decirles pongan sus nombres al revés con sus fechas de cumpleaños juan15pedro2Rodriguez1988 o algo por el estilo, que son fáciles de memorizar y muchisimo más seguras que las cosas boludas que usa la gente.
    Saludos buena información y me deja con un poco de inseguridad ver lo fácil que es ingresar a las estructuras por la que circula valiosa información de millones de personas.

    • @Iván: Muy cierto, yo utilizo otras técnicas que hacen los ‘ataques por diccionario’ casi inservibles. Aunque tampoco me interesa demasiado la dificultad, porque todo va anotado al tradicional papel que tanto parece que hemos olvidado. Tal vez dé más precisiones al respecto en otro post.

      También cierto lo de la inseguridad. Y lo que olvidé decir en la nota es que esos dos positivos no son IP’s comunes, sino unas que albergan páginas empresariales (una era de una subsidiaria petrolera local muy conocida internacionalmente; la otra no recuerdo bien, pero creo que era de venta de dominios). Imaginate…

      Saludos

  5. Sebastián dijo:

    La verdad es que la tenés bastante clara en muchísimos temas man, solo te faltaria hacer una entrada sobre pasteleria, me queda bastante claro que no sos ningún mediocre y realmente no te mereces estar pasando (o haber pasado) por los problemas laborales que pasaste, lo digo porque es de terror ver la cantidad de gente no-preparada ocupando puestos que no merecen y para los que no están capacitados…pero asi son las cosas, o mejor dicho, por eso las cosas están asi…

    Y para responder al tema, no se, voté que por la primera opción, pero como bien explicaste, en realidad es algo muy relativo, en lo personal trato de tener contraseñas complicadas alternando palabras en distintos idiomas (o inexistentes) con números y otros caracteres, igual este no es mi campo, en realidad nunca me llevé muy bien con las máquinas ni con lo “técnico” y mucho menos con los números, siempre me lleve mejor con las letras y la verdad es que soy bastante tecnofóbico.

    Saludos.

    • @Sebastián: Muchas gracias por el comentario y el cumplido. Justo estaba por hacer una entrada sobre repostería (mentira, mentira, 😆 ).
      En “Quién soy yo” agregué “No me especializo en nada, aunque sé un poquito de casi todo.“, y algunos dijeron que eso era ‘pretencioso’ o ‘presumido’, pero creo que es realmente cierto. Y supongo que es por eso que también me va como me va: sin esa especialización, en la sociedad de hoy no se es nada.

      Concuerdo lo que decís sobre el conocimiento y los puestos, y es lo que me exaspera cuando sé más que el otro. Muchos a veces pueden (volver a) confundir eso con ser presumido, pero realmente me molesta que (por ejemplo) pueda llegar a saber más que un médico o un abogado. No creo que demuestre cuánto sé yo, sino cuán poco que sabe el otro. Y como bien decís, es un síntoma clarísimo de por qué estamos como estamos (y vamos hacia donde vamos).

      Mirá vos, siempre hubiese apostado que tenías un perfil más ‘informático’ que ‘tecnofóbico’! Lo de las contraseñas, lo que hacés es una de las mejores opciones. Usar ‘argentinismos’ mezclados con palabras comunes suele ser efectivo también. Son indescifrables con listas predeterminadas.

      Saludos y suerte

  6. Pingback: TMA WebSolutions Blog! » Blog Archive » Noticias LOPD 15

  7. Sebastián dijo:

    Hey, no estuve posteando hace un tiempo porque bueno, tuve una serie de problemas que no me dejaron mucho tiempo pero necesito hacerte una pregunta que me imagino que me vas a saber responder cuando puedas.

    Mira, hace unos dias me enrasqué en una “pelea cybernetica” en un foro con unos kirchneristas, el problema es que lo hice desde mi casa y uno de los usuarios no se como (supongo que es amigo del moderador) consiguio mi número de ip y me mando un monton de amenazas imbeciles y como dije que no tengo idea alguna del tema, lo que quiero saber que es lo que puden hacerte teniendo tu ip, quiero saber si realmente pueden leer tu correo, mover el puntero de tu mouse, saber si usas tarjeta de credito, tu nombre y la contraseña, enviarte virus y todo eso, seguramente la respuesta es muy obvia (para bien o para mal) pero como no tengo idea y estoy preocupado me gustaria saber que puede pasar…

    ¡Gracias!

    • @Sebastián: Por lo que veo, tenés un proveedor de IP’s dinámicas (cambia cada vez que te conectás). Aunque tengan tu IP de ese entonces, con un reinicio de PC volverías a tomar una IP distinta, por lo que no habría problemas de un ataque DDoS, búsquedas de backdoors o similares.

      De lo que tenés que tener cuidado es de no ejecutar adjuntos que te ofrezcan (haciendose los amigos o enemigos), porque en caso de ser algún troyano, el cambio de IP no te salvaría (ya que logran conexión directa con tu PC y ella les avisa que IP tenés en ese momento).

      No te preocupes que es más un intento de asustarte que otra cosa. Date cuenta que si realmente pudiesen hacer todo eso, te lo estarían haciendo (y no te lo avisarían por anticipado, menos en gente tan delincuente y violenta como los kirchneristas).

      Saludos y suerte!
      PLPLE

  8. Sebastián dijo:

    Gracias por la respuesta, me quedo tranquilo entonces.

    Saludos.

  9. Pingback: La-inseguridad-de-las-listas-de-contraseprohibidas-en-seguridad-informatica : Sysmaya

  10. Sebastián dijo:

    Perdoname, esta es la última en serio, pero me quede pensando en una cosa, ¿si tengo un proveedor de IP’s dinámicas, eso quiere decir que si me volviera a registrar en ese foro desde aquí, pero con otra cuenta, no sabrian que soy el mismo usuario? No estoy pensando en hacerlo en realidad pero es curiosidad…

    Gracia y disculpame de vuelta.

    • @Sebastián: Probablemente te descubran igual, porque las sesiones de logueo siempre dejan alguna cookie en el navegador, a veces dentro del cache. Y si no, pueden ver que andás con mismas condiciones técnicas (sistema operativo, resolución de pantalla, etc) y que decís más o menos lo mismo, y pueden sacar quién sos.

      Si el sitio/grupo/comentarios son tan importantes como para seguir escribiendo ahí, seguí como hasta ahora, porque si la página es segura, los demás no pueden hacerte nada. Los únicos peligros son que vos dejes entrar algo, que te escaneen mucho una IP fija y encuentren una vulnerabilidad en tu máquina, o que pidan una orden judicial a tu proveedor para saber tus datos físicos.

      Saludos y no hay problema

  11. Sebastián dijo:

    Pronto voy a mudarme y vender esta máquina asi que creeme cuando te digo que esto se termina y que esta es la última vez que saco el tema, PERO (obvio), tengo ooootra duda, bah, en realidad es una tonteria pero, bueno, sucede que por una conversación que tuve con alguien, salió el tema de que a pesar de que, como bien dijiste vos, no podian hacerme nada teniendo mi número de Ip, si podian igualmente averiguar el nombre del titular de la linea telefónica, en mi caso está a nombre de mi tío (es larga la historia) y de un modo u otro me sigue dando vueltas en la cabeza la idea de que le traiga problemas a el, se que no va a suceder nada pero me molesta saber que podrian saber su nombre o apellido, eso es en realidad lo que me molesta.

    Lo que necesito saber es si eso es verdad…

    Gracias.

    • @Sebastián: No, tampoco pueden averiguar eso por “canales normales”. Los únicos que tienen la relación IP-Usuario-Dirección-Teléfono es la empresa que te provee internet y (con suerte) la telefónica que digitaliza la línea. Y esos datos los pueden exponer solamente por orden judicial y a la persona que haya pedido la medida.

      Eso no excluye que el usuario tenga un “amigo” dentro de alguna de las dos empresas y pueda averiguarlos y pasárselos, pero es también una medida arriesgada porque estaría exponiendo datos privados protegidos (si saltara, terminaría despedido y procesado como violador de varios códigos, incluídos el de Hábeas Data). Entonces, poder se puede, pero ya tienen que sumarse varios otros factores que no creo que se cumplan: sino, ya te habrían llamado o te hubiesen enviado por mal tu dirección completa.

      Saludos y suerte!

Dejar una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s