Como todos ustedes me imagino, he estado viviendo un bombardeo mediático con el asunto de las contraseñas crackeadas de hotmail y como no podía ser de otra forma la prensa que todo lo transforma en un culebrón ya ha echo de las suyas e leido varios artículos y la verdad no aportan nada pero este es escalofriante es del dirio LA NACION DE Argentina. y realmente el nivel de contradicciones y disparates es inconmensurable, vean ustedes mismos to extracte las partes mas sustanciales la que intento criticar para hachar luz sobre el asunto, claro yo no soy experto de nada pero si que no hablo porque tengo boca eso es cosa de muchos lamentablemente.
Vamos a descrivir brevemente como funcionan los crack para poder seguir luego el hilo del razonamiento.
Los softwares utilizados poara crackear cuentas tiene en general las siguientes caracteristicas:
- Actuan por fuerza bruta
- Actuan por diccionario
Fuerza Bruta
- pruevan todas las combinaciones posibles, que da el resultado de el total, de las teclas del teclado claro esta,Estas convinaciones son aleatorias, pero siguen un patron es decir comienzan a formar convinaciones de caracteres conlos caracteres mas usados habitualmente por los usuarios.
- Requiere mucho tiempo y sualen ser mas improbables en cuanto a efectividad si el sistema esta protegido con algun software de baneo del tipo Fail2ban
Por Diccionario
- Requiere conocimiento del /os usuarios a los que se les pretende crackear el password ejemplo no es lo mismo que sean rusos que españoles, acá cuentan cosas como el idioma, grupo socio-economico a el que pertenezcan las victimas, gustos personales,etc.
- Por lo general son mas efectivos si la contraseña es una palabgra que se pueda encontrar en un diccionario claro esta, de allí viene su nombre. Hay diccionarios que contienen fraaces de peliculas de libros, nombres de famosos, de personas de animales, están en inglés francés, esperanto y en el idioma que se te ocurra, los ahy de nombres de comidas, marcas de autos etc,etc,etc,etc,etc.
- También son débiles ante los sistemas de baneos, pero reducen muchísimo el tiempo de exposición.
Mas o menos es por allí la cosa convengamos que esto no es un articulo sobre crack's es amodo informativo nomas.
Los servidores implementen sistemas de encriptado para que no les roben las claves de sus usuarios, implementan sistemas de baneo por ip, por mac, por usuario, cuando un login es incorrecto el mas comun y que seguramente todos hemos visto es el ban de los servidores de mail que te obligan a rellenar un formulario con lo caracteres defectuosos de una captcha para poder continuar tras fallar un x numero de beses en el login tambien tiene sistemas mas complejos como que impiden o tratan de impedir que alguien pueda abrir muchas cuentas a la ves, y otras cosas mas como monitoreo de trafico etc,etc,etc.
Ahora bien que nos dicen por alli de las 10.000 cuentas robadas de hotmail. que fue con un crack mmmm
pos no se cumpas lo dudo, pero bien como la informacion que hay es la oficial ni modo hay que tragarse el sapo. pero claro sapo no es escuerzo no amigo no, Valla a saber a nombre de que se implemento una campaña de sensacionalismo con el tema y de muchas fuentes que he leido en estos dias la mas jocosa e increíble es la que les cite hace un rato yo espero la lean de punta a punta y luego lean mis comentarios al respecto y claro participen del debate dejen su opinión si les parece bueno al grano chavo.
Luego de leer el articulo del link los invito a leer mi articulo.
Nota: los párrafos entrecomillados pertenecen al escritor de La Nacion los de color rojo son mios.
"La próxima vez nos toca a nosotros
Por Ariel Torres1, 2, 3, probando" "Después está la cuestión de las contraseñas. La compañía de seguridad Acunetix publicó un interesante desglose de las claves robadas y divulgadas esta semana ( www.acunetix.com/blog/websecuritynews/statistics-from-10000-leaked-hotmail-passwords/ ). La más usada por lejos fue 123456 . El 22% tenía sólo seis caracteres. El 42% del total estaba construido solamente con minúsculas. Muy pocas, el 6 por ciento, combinaban ocho o más minúsculas, mayúsculas, números y símbolos. "Si claro.... ¿¿¿porque los servidores mail no tiene preparado un algoritmo que impida contraseñas del tipo 123456 ????
"Dicho de otro modo. Seguimos creyendo en el cuento del tío y además empleamos candaditos de plástico con llaves de papel maché. No hay que sorprenderse. Si fuéramos a parar a un planeta extraterrestre también estaríamos perdidos y pareceríamos un poco infantiles. Internet tiene reglas que la convierten en suelo alienígena. No es que las personas sean tontas. Es que no se insiste lo suficiente en ayudar a los inmigrantes digitales a entender la cultura de la Red y sus extravagantes leyes. "
Que nunca falte La culpa es tulla!!! si te violaron es porque usas falda corta. ya conozco ese pensamiento
"De nuevo, si tiene un amigo, familiar o colega que acaba de llegar a este mundo dentro del mundo, pásele las siguientes líneas. Aunque para usted pueda parecer trillado (a todo esto, ¿seguro que tiene contraseñas seguras y las administra correctamente?), para ellos puede ser una revelación. "
Ahora quiere hacernos cómplices de esta basura "En el caso del phishing una contraseña robusta no es ninguna protección. Nos la roban por medio de un engaño, como se le quita un caramelo a un chico. Pero construir buenas contraseñas es una disciplina fundamental en el espacio virtual. Sumado esto a no creer en el cuento del cibertío, constituye un gran adelanto en la seguridad informática." Entre tantas patrañas debe volver a la realidad veremos a que apunta"Una clave empieza a ser robusta cuando tiene una extensión de al menos 8 caracteres que combinen minúsculas, mayúsculas, números y símbolos. Por ejemplo, 7yU#_89x& . Son nueve, ya lo sé. Es que cuantos más caracteres, mejor.
El problema es que nadie puede recordar una contraseña así. Por eso, terminamos usando 123456 o password ."
No es cierto una contraseña debe contener caracteres especiales mayúsculas minúsculas y números y ademas debe ser fácil de recordar y realmente es simple siguiendo un patrón claro veamos un ejemploMi frace
Yo se que GNU/Linux es el mejor SOMi clave
Y1ºs2ºq3ºG.N.U/L4ºe5ºe6ºm7ºS.O8ºseria una contraseña formidable conbina mayúsculas y minúsculas números y caracteres especiales y es fácil de recordar pues sigue un patrón las mayúsculas y minúsculas se respetan luego de cada palabra va en orden 1º ,2º ,3º indicando el numero de palabras la palabra GNU/LINUX le agregamos caracteres especiales ". /" y ya.
Ahora de que sirve esto, sirve para evitar el crackeo de contraseñas por media de diccionario, ojo solo de diccionario.
"Las contraseñas como 7yU#_89x& producen además una falsa sensación de seguridad. A lo sumo recordamos un par; como nos dijeron que son seguras, confiamos en ellas y la usamos en todos los servicios. Allí es donde entra el pirata con su phishing y a los pocos días descubre que usamos 7yU#_89x& no sólo en el Hotmail y Gmail, sino también en Flickr, YouTube, Facebook y cinco entidades financieras. Se hace un festín."Acá mezcla mal dos conceptos de seguridad ,1º las contraseñas deben ser fáciles de recordar pero esto quiere decir que se deben formar siguiendo un patrón como mostré anteriormente, una contraseña buena no es una falsa sensación de seguridad es altamente segura.2º por-supuesto no deben usarse para todos los servicios ya Microsoft llevo a la quiebra a miles de usuarios ilusos con su famoso llave maestra.
"Los programas para quebrar contraseñas producen combinaciones al azar hasta que la pegan con una. Eso es todo. Los modernos microprocesadores son tan veloces que pueden calcular miles de millones de combinaciones en segundos. Por lo tanto, cuantos más variado sea el conjunto de caracteres, más tiempo le llevará al programa descubrir la combinación del candado binario. Cuanto más caracteres haya, lo mismo. "
Esto es una chorrada que solo mustra la ingnorancia del escritor sobre la materia. confunde aleatorio con azar jajaja imagina que es un tiro al blanco o algo asi ajjajajaj. los algoritmos de programación no son un juego de azar estimado, lo que suscede es que el algoritmo esta preparado para comenzar la convinacion por las palabras y longitud mas comunes y luego las menos comunes si lo comun saria claves del tipo 4%6/;.-_5HhJ{ seguramente el software comenzaria a formar convinaciones por esos carateres y no con letras Enterese estimado que el software no pienza el que pienza es el programador osea que para el software todo los carateres son iguales para el programador no elije las letras en primer orden pues son las mas utilizadas."Una contraseña como 7yU#_89x& sacrifica la cantidad de caracteres (sólo 8) en nombre de la diversidad de elementos (74 o más). Las posibilidades son tantas que llevará años acertar... a menos que tenga muchísima suerte, pero esta es otra historia."
Volvemos a lo mismo la suerte y si es cuestión de suerte pues pa que preocuparse verdad?"Ahora, ¿serviría sacrificar la variedad de caracteres en nombre de la extensión? Por supuesto que sí. De hecho, obtendríamos mejores contraseñas. ¡Y además podemos recordarlas con facilidad!"
esto es el sumun del disparate y lo que es peor no termina acá, si si si miren sino.
"Volemos a la escuela primaria. ¿Alguna vez tuvo que recitar una poesía en el acto del 25 de Mayo? Ese simple poema contenía media docena de contraseñas muy robustas. ¿Acaso no puede cantar varias canciones? Claro que sí. Analicemos una frase sencilla como: Colón descubrió América en 1492. Contiene 32 caracteres que combinan mayúsculas, minúsculas y símbolos. O esta otra: Todas las familias felices se parecen, pero las infelices lo son cada una a su manera. Tiene 86 caracteres con mayúsculas, minúsculas y símbolos. Sólo le faltan números, pero es muy extensa y, además, los programas para quebrar contraseñas son capaces de hacer muchas cosas, pero no pueden volver a escribir el principio de Anna Karenina ."no no no no esto me supero esto es demasiado una de los patrones de los cracks es construir diccionarios de guiones de películas libros literatura y aparte quien de los proveedores de mail permiten contraseñas de 28 caracteres???? "Gracias a Tolstoi y a que nuestra mente puede recordar fácilmente largos textos cuando tienen algún sentido, es posible mantener muchas claves realmente robustas en la memoria (el único sitio seguro para una contraseña). Si el servicio lo permite, olvídese de las claves incomprensibles. Use el lenguaje, use la literatura y le irá mucho mejor. Cuídese nada más de no usar su frase favorita."
Esto es la frutillita la ignorancia al poder donde vivimos ni si quiera se dignaron a consultar un experto en seguridad o leer un poco al menos.
Vamos que si prestamos atención los que fallaron son los servidores de mail no tanto así la gente miren si uno se equivoca tres veces el password en gmail por ejemplo vera que gmail le pide a uno que ademas de password rellene una capcha para evitar que sea un software el que este intentando ingresar a la cuenta ademas la es sabido que uno no puede abrir muchas cuentas gmail por ej: desde una misma maquina para hacerlo deberia abrir navegadores distintos o sino no puede osa que se podrían abrir una cuenta por empresa en cada navegador esto se diría que unas veinte cuentas nomas por ves, siendo de la misma empresa. mmm esto da para pensar que no fue por diccionario o fuerza bruta el creackeo de passwrd por lo menos no como convencionalmente se hace imaginen si uno tiene problemas para acceder a una cuenta a 10.000 posss habrá estado un buen rato no ejeje si claro veremos por ahora solo tiran verdes y acusan a las victimas de ser las responsables de la agresión nada nuevo bajo el sol
Lo cierto es que si fue un crackeo no fue un cracko típico y mucho menos por un invisible hacker solitario eso es telenovela de las 4
EDITO: agrego cierta info pues el articulo quedo algo confuso.
El caso de el robo a las cuentas de hotmail fue aparentemente un caso de phishing no de hackeo con lo cual no habria oportunidad ninguna aun con la mejor contraseña del mundo.
La idea de este articulo no es analizar el caso en si sino es centrarse sobre la informacion como se desvirtua y como se arman campañas de ocultamiento cambiando el eje de discucion.
hecha la aclaracion.
No hay comentarios:
Publicar un comentario
Comenta a gusto el tema recuerda no ser ofencivo y trata de escrivir de forma legible gracias por participar!!!!!!