Cracking de Contraseñas con Google
November 19, 2007Leo en Barrapunto que sobre los usos alternativos de Google, esta vez como un Crackeador de Contraseñas, ya que al buscar el Hash MD5 en el buscador, suele devolver la contraseña desencriptada.
Pero advirtamos que Google no es un supercomputador que desencripta la contraseña, sino que la contraseña descencriptada es facilitada por varios sitios web y por webmasters que llaman a funciones hash en URLs, por lo que suelen aparecer el hash y la contraseña original. Una forma de derrotarla es incluir “saltos” ya que el método de usar a Google es similar a las Rainbow Tables (Tablas Arcoiris, en inglés), que son simplemente grandes colecciones de palabras y su hash respectivo.
Vamos a ver un ejemplo de como trabaja esta tecnología y de sus deficiencias. Supongamos que vamos a encriptar la palabra ‘Nyu’ usando un hash MD5.
El hash obtenido es: 583fa847254818549132d141ed2f4f58.
Probemos buscar en Google este Hash. Rápidamente seremos informados que este hash corresponde a la palabra ‘Nyu’. Sin mucho esfuerzo hemos “reventado”, por así decirlo, un hash que normalmente tomaría un tiempo reventar por fuerza bruta.
Ahora insertemos “saltos” que son caracteres aleatorios al final de la palabra a cifrar, para dificultar el descifrar el Hash. Volvamos a usar ‘Nyu’ pero añadamos ‘1ghdhj’, por lo que la palabra a cifrar sería ‘Nyu1ghdhj’
El hash obtenido es: 58f2122560dc6e93a319fdd94916f406
Probemos buscar este hash en Google y rápidamente seremos informados (A fecha 19 de Noviembre del 2007) que la busqueda del hash no devolvió resultados.
¿Qué ha pasado? Como ya explicamos, Google no revienta los hash, sino que los busca ya que algún usuario debe haber colgado el hash y su correspondiente en texto, por lo que esto es más que nada un ataque de Rainbow Tables, fácilmente vencibles insertando saltos en las contraseñas.
El problema es que todo cracker de contraseñas serio sabe que MD5 es un algoritmo inseguro y en aplicacioens delicadas se ha sustituido por otros de más complejidad. Sin embargo sigue siendo útil ya que muchas páginas web y foros usan MD5 como hash para cifrar sus contraseñas.
En fin… ahí tienen otra funcionalidad de Google y espero que sepan aprovecharla. De seguro se podría crear una herramienta en línea de comandos para automatizar el proceso.
Feliz Cracking de Contraseñas.
