Hacking indirecto (o como lo quieras llamar)

En este post quiero tratar un tema que normalmente no se controla en las empresas y puede suponer un riesgo grave. Es muy común que la política de contraseñas de una empresa sea como la de BYOD, traete tu contraseña de casa que así te la memorizas y no nos das el coñazo. Pero esto supone un problema y es que según las estadísticas el 75% de las personas utilizan la misma contraseña para todos los servicios.

Supongamos un caso de una empresa con un portal web a través del cual todos los empleados acceden a la intranet y su webmail, un atacante intenta acceder a esta intranet pero no logra ningún acceso directo, dicho atacante antes de plantearse la ingeniería social utiliza la FOCA para extraer nombres de empleados a través de los metadatos de los documentos alojados en el portal web. Una vez con estos nombres extraidos y tras un poco de trabajo de recopilación de información el atacante rastrea un poco el Twitter, Facebook y la información indexada en los buscadores asociada a cada persona pudiendo conocer los hábitos y servicios que ésta utiliza. En este punto el atacante puede buscar una vulnerabilidad en una página usada por uno o varios empleados y hacerse con los credenciales de estos empleados aprovechandose de un incorrecto o nulo cifrado de la página secundaria.

En relación a la anterior otra manera de proceder sería utilizar un dork para rastrear los emails que hay indexados en los buscadores relacionados a un dominio. Por ejemplo podríamos usar intext:"@dominio.com" y nos encontraríamos con una serie de personas que han utilizado su cuenta de correo empresarial para registrarse en diversos servicios en los cuales no está garantizada la seguridad.

Como veis hay varias posibilidades de conseguir unos credenciales básicos para acceder a vuestro objetivo primario sin necesidad de utilizar métodos ruidosos contra él y levantar alarmas antes de tiempo. Los responsables de seguridad de una empresa siempre deben dejar claro que el empleado debe separar sus contraseñas personales de las laborales y nunca registrarse en servicios externos con correos y/o contraseñas  empresariales. Esto no siempre se lleva a cabo y las consecuencias pueden ser muy graves como para no valorarlo.

Crack the hash

Como sabéis, casi siempre las constraseñas son hasheadas. Un hash de una cadena de caracteres es una conversión algorítmica de dicha cadena, de tal manera, que desde la restultante (o hash), no se puede volver a la cadena de texto plano base. Por tanto, la única manera que tenemos para extraer el texto plano de un hash es, probar una y otra vez hasta dar con la cadena correcta.

De esta manera, si tenemos una cadena CADENA, que convertimos en un hash HASH, la única manera de hacer la operación contraria es probar el hash de todas las posibles conbinaciones.

Se habla muchas veces de como son las contraseñas ideales, de que cuanto más aleatoria, más caracteres de distinto tipo ($4a^*@eE) mejor, y como la longitud es uno de los factores más importantes, las hace más dificiles de crackear, sin embargo, ahora, me gustaría darle un enfoque más matemático al asunto. Para esto, y para ver las cosas de una manera más práctica sin pararme a repetir una y otra vez el decálogo de "buenas prácticas poniendo contraseñas"; y como no todo depende de nosotros, me gustaría antes situar al lector en el punto tecnológico en el que estamos respecto a la seguridad

¿En que punto estamos?

Atendiendo a la ley de Moore y a los avances que se darán en computación cuantica y a las posibilidades que nuevos materiales como el grafeno dan a la informática, podemos decir que el futuro pinta negro, las contraseñas dejarán de ser útiles cuando la cadena de texto a memorizar tenga que ser suficientemente larga para ser segura, que nadie la pueda recordar.

Así, hace años, cuando internet era algo que estaba empezando, las contraseñas de unos pocos dígitos eran algo normal, y bastante seguro. Los procesadores tardaban años en iterar 15 caracteres. Nadie con un ordenador domestico podía permitirse hacer ese cálculo, de hecho, si la mayoría intentáis hacerlo en vuestras casas, para caracteres alfanuméricos, probablemente tardéis un par de días utilizando la potencia de un procesador decente.

Pues bien, los procesadores se han pasado de moda. Hace unos años, la discusión en password cracking era CPU vs GPU, hoy, ya hemos resuelto esa cuestión, la GPU ha ganado de largo. Para crackear contraseñas, ya no se mandan las operaciones matemáticas y los algoritmos a los 4 núcleos de un procesador, si no a los miles de hilos de nuestras tarjetas gráficas. Sin ir más lejos, en ordenadores destinados a hacer grandes cálculos, se están dejando de utilizar procesadores, para utilizar gráficas con tecnología CUDA (procesamiento paralelo). Esto aplicado a la seguridad de las contraseñas, permite romper contraseñas a mucha más velocidad que en el pasado.