¿Cómo se está "anónimo" obteniendo todas estas contraseñas de texto sin formato?

Navega tus respuestas
8

En los últimos meses, se han producido varias violaciones de datos publicitados y desfiguraciones de sitios web públicos realizadas por varios grupos de piratería diferentes (que a los medios les encanta agrupar en un solo dominio: "anónimo") más recientemente some attack en BART y organizaciones afiliadas siguientes un movimiento controvertido por la agencia de tránsito.

Es concebible que algunos sitios web públicos (de hecho, vallas publicitarias) no estén bien asegurados (como el "pirateo" de la CIA hace dos meses) permitiendo que alguien con alguna experiencia en Blackhat pueda entrar y meterse con el sitio web y estropearlo. (así como publicar algunos detalles intrascendentes sobre la organización de FS y otras cosas). Sin embargo, de vez en cuando publican algunos detalles más privados, como listas de texto sin formato de nombres de usuario y contraseñas de varios servidores de bases de datos que estaban en el ataque.

Lo que estoy confundido es cómo obtienen una lista tan grande de contraseñas. ¿Están estos servidores tan mal configurados que las contraseñas de los servicios web se almacenan en texto sin formato? ¿La bruta "anónima" está forzando una lista de hash y liberando el fruto de la contraseña que cuelga poco (esto sesga la cantidad de contraseñas que parecen simplistas)? ¿Están configurando la base en los servidores pirateados y registrando todas las contraseñas?

Me parece un poco desconcertante que los servicios web asociados con organizaciones legítimas estén almacenando la información de la contraseña de tal manera que sea fácilmente recuperable para cualquiera con algunos scripts de hacking.

    
pregunta crasic 18.08.2011 - 00:25
fuente

3 respuestas

7

Sí, muchos de estos sitios están tan mal configurados que almacenan las contraseñas en texto sin formato.

O, cuando las contraseñas se almacenan como hashes cifrados, los hackers están liberando contraseñas que se descifran fácilmente. En realidad, solo en el caso del hackeo de NewsCorp, Anonymous descifró las contraseñas, aparte de eso, simplemente han estado publicando los hashes de contraseñas: las noticias principales se confunden y describen esto como la liberación de contraseñas. En la práctica, es bastante trivial descifrar hashes. Por ejemplo, las personas pudieron descifrar el 40% de las contraseñas en el volcado de Booz-Allen.

No, no están interceptando contraseñas. En gran parte, simplemente están volcando todo en el servidor, desfigurando el sitio y luego continuando.

No sé por qué está desconcertado: la mayoría de los sitios a los que le da su contraseña en Internet lo almacenarán en texto sin formato. Solo los muy conscientes de la seguridad, aquellos que tienden a protegerse del hackeo, en primer lugar, se preocuparán por el hashing de las contraseñas.

    
respondido por el Robert David Graham 18.08.2011 - 05:39
fuente
4

Según tengo entendido, la mayoría de los compromisos de LulzSec, Anonymous, etc. son de inyección SQL. HBGary, Sony, Apple ... todos cayeron debido a fallas de inyección de SQL en sus aplicaciones web. enlace

A veces, las contraseñas son de texto sin formato, otras son hashes que son crackeados previamente por el grupo, y algunas veces simplemente publican un torrente de todas las hashes y dejan que el mundo lo descubra.

También, una buena sugerencia de información: no le dé permiso a sus aplicaciones web para consultar contraseñas. Utilice un procedimiento almacenado para compararlos. De esa manera, incluso si eres una víctima de inyección SQL, nadie puede volcar los hashes de contraseña.

    
respondido por el Jeff Ferland 18.08.2011 - 16:17
fuente
0

Intente seguir el blog de Troy Hunt con, por ejemplo, este artículo . La peor parte del robo de un sitio y la información de la cuenta (con contraseñas de texto simple) significa que existe un riesgo de seguridad para otros sitios, ya que las personas tienden a reutilizar las contraseñas.

Saludos, Wim

    
respondido por el Wivani 18.08.2011 - 16:05
fuente

Lea otras preguntas en las etiquetas

¿Los teléfonos inteligentes son al menos tan seguros como las computadoras "normales" para datos personales? ¿Hay repetición en la rutina hash de Solaris 11? ¿Puedo añadir algunos?