Lisandro Pardo
Desde compañías que pierden bases de datos enteras hasta bancos que dejan las contraseñas de fábrica en sus cajeros automáticos, la seguridad informática puede caerse a pedazos si el usuario de turno no es precavido. Cualquiera esperaría que los desarrolladores con intenciones maliciosas sean más detallistas a la hora de asignar contraseñas a su material, pero un reciente informe publicado por Avast indica que no es tan así…
Todo comenzó como un día de trabajo más para Antonín Hýža, investigador de la compañía Avast. Su intención era decodificar un shell PHP sin saber la clave exacta, lo cual podría tardar años enteros si se utiliza un ataque convencional de fuerza bruta. Semejante demora está fuera de toda discusión, por lo tanto, Hýža decidió seguir un camino más lógico: Crear un diccionario personalizado, determinando antes qué tan fuertes en promedio son las contraseñas de los hackers. Avast cuenta con una base de datos repleta de bots, shells, y diferentes tipos de puertas traseras, protegidos con contraseñas. En total, el número de muestras asciende a 40 mil, y a partir de allí, Hýža comenzó a explorar. Aproximadamente dos mil de esas contraseñas eran únicas, pero las señales de alerta no tardaron en llegar: 1.255 de esas contraseñas se encontraban en texto plano, sin ninguna clase de protección adicional. Otras 346 contraseñas protegidas con MD5 fueron fácilmente crackeadas, ya que su longitud era inferior a nueve caracteres.
Esto le dio a Hýža exactamente 1.601 contraseñas de hackers maliciosos. En primer lugar, el diez por ciento de las contraseñas estaba más allá de cualquier proceso “normal” de recuperación. Algunas excedían los 75 caracteres, y otras usaban símbolos que no se encuentran disponibles en un teclado inglés tradicional. Aún así, el 58 por ciento de las contraseñas estaban compuestas por caracteres alfabéticos en minúscula. Solamente el 9 por ciento combinó letras y números, y apenas el 2 por ciento siguió la ruta de minúsculas, mayúsculas y números. La longitud de contraseña más recurrente fue de 6, y sobre esas 1.601 contraseñas originales, sólo 52 tenían más de 12 caracteres.
A esto se suma la frecuencia con la que aparecen ciertas palabras… y la situación resultó ser tan mala como con cualquier otro usuario. Variantes de root y pass estuvieron a la orden del día, sin embargo, la palabra más usada fue hack. Con estos datos, Hýža logró preparar dos paquetes de caracteres con buenas posibilidades de crackear el resto de las contraseñas, uno de ellos con 28 caracteres, y el otro con 41. Encontrar contraseñas en texto plano ya es algo espantoso para cualquiera que “se crea” hacker, pero usar la palabra “hack” como contraseña… digamos que sólo por eso merece ser capturado. El lado positivo es que Hýža invita a otros investigadores de malware a contactarse con él desde un correo electrónico confiable, para obtener una copia sin cargo del diccionario.
7 Comments
Leave a Reply