Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
26 de Junio, 2015    General

Buscando contraseñas con Google Hacking

Buenas a todos, en el post de hoy me gustaría hablaros sobre la exposición de numerosos sistemas de "cifrado" de contraseñas que utilizan infinidad de servicios web de Internet.


Por gracia o por desgracia (dependiendo de si nos toca auditar.... o proteger :P), md5 sigue siendo un estándar utilizado a la hora de hashear contraseñas para almacenarlas en base de datos, a pesar de que md5 lleva roto dos décadas... Fue desarrollado en 1991 como reemplazo de md4 después de que Hans Dobbertin descubriese su debilidad, pero solo tuvo la oportunidad de ser considerado 100% seguro durante 5 años, hasta que en 1996 el mismo Hans Dobbertin anunciase una colisión de hash. Hoy en día, mediante rainbow tables y fuerza bruta es posible romper md5 en un tiempo aceptable (en comparación con otros algoritmos como SHA1 o SHA256).


Si queréis saber más sobre md5 os recomiendo este genial libro de Manuel J. Lucena, del que soy muy fan desde que me ayudó a aprobar criptografía en la facultad y a dominar numerosos algoritmos criptográficos :)

Volviendo al origen del post, vamos a buscar algunas exposiciones de distintos sitios web encargados de la generación y/o el almacenamiento de contraseñas bajo md5.


Con una búsqueda tan simple como la anterior en Google, podremos encontrar más de 3.500 scripts SQL en los que aparecen sentencias "select", con las palabras md5 y password o pass. Dentro de todos ellos encontraremos desde procedimientos almacenados y funciones, hasta triggers, sentencias de inserción.... cada script es un mundo.

Si escogemos algunos al azar podemos ver que muchos programadores han decidido realizar la lógica de generación de hashes en el propio código SQL, en lugar de en el código del servidor web, como por ejemplo PHP. No es una práctica que aminore la seguridad, en absoluto, siempre y cuando dichos scripts no acaben en Internet...


Así que consejo número uno, cuidado de donde almacenáis las contraseñas y cómo las almacenáis. Consejo número dos, revisad los permisos de los archivos y carpetas de vuestros servidores, para impedir que ciertos archivos acaben en Internet y si es posible, limitad también que se puedan exponer archivos con ciertas extensiones críticas, como por ejemplo "sql". Y por supuesto, ¡comenzad a olvidar md5, en favor de otros algoritmos más robustos como SHA256!


Palabras claves ,
publicado por alonsoclaudio a las 16:39 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Septiembre 2017 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Curso en línea "Fundamentos de Administración de Sistemas Linux"
1 Comentario: ruchiroshni
» Cómo espiar WhatsApp
17 Comentarios: wordhackers, wordhackers, lucia, [...] ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad