Ayer hablaba de las 50 contraseñas más utilizadas de internet en 50 contraseñas más utilizadas -top 50 passwords- y Brutus remote password craker… y me han llegado varios comentarios y e-mails.
Muchos preguntan porque quieren saber cómo robar contraseñas del wifi de un vecino, la password del administrador de windows, su cuenta de hotmail, gmail, tuenti, msn o su contraseña del antivirus nod32.
Voy a dar algunas ideas de cómo conseguir contraseñas, pero no para que lo hagáis 
, sino para que sepáis cómo os pueden atacar y podáis protegeros.
Con este artículo desvelo un poco más mi lado hacker, que es “otro de mis yoes”… cada día me sorprendo más con “mis múltiples yoes” 
… Como decía ayer, son algunos de los efectos secundarios de haber trabajado 4 años en la seguridad informática de una multinacional… y de tener amigos “del lado oscuro”.
Allá vamos: ¿Cómo robar contraseñas de wifi, hotmail, gmail, tuenti, msn, facebook, twitter o yahoo? ¿Qué haría un hacker que nos quiera quitar la contraseña?
- Mirar qué tecleamos en el ordenador… o, al menos, contar el número de teclas que pulsa: eso se puede ver en la pantalla (número de asteriscos). Saber el número de caracteres luego explicaré para qué sirve.
- Instalarnos un keylogger en nuestro ordenador: es un programita que no se ve que está activado, guarda registro de todo lo que pulsas con el teclado y lo envía al hacker. Para evitar esto algunos bancos muestran en la pantalla teclados numéricos en los que hay que pinchar con el ratón. El keylogger se puede instalar remotamente o presencialmente. Algunos son Give Me too, Golden Keylogger, klftp, kidlogger, sniffpass, sniffit, familykeylogger… ojo con usarlos: es peligroso, tienen troyanos muchos de ellos. Este artículo es solo didáctico, para que sepáis qué es lo que hay.
- Una variante es que el hacker te deje su ordenador -con un keylogger instalado- y tú metas tu contraseña en su ordenador… ya tiene tu contraseña. Algunos programas que se venden como de “control parental” son keyloggers.
- Con un troyanito, que manda la contraseña al hacker.
- ¿Cómo entra un troyano? puede entrar por Ares, Emule, Kaza, muDonkey, Edonkey o cualquier programa para descargar música, películas, libros vía torrent o p2p. También puede haber troyanos en los archivos que te descargas con descarga directa… no nos engañemos: nadie da nada gratis. Los troyanos también llegan en algunas presentaciones de Power Point, documentos de word, adjuntos en e-mails, e incluso sólo con entrar en páginas web se te pueden descargar. Es lo típico de las páginas porno: mientras estás atento a “otra cosa” te empiezan a bajar troyanos a una velocidad de vértigo. Lo último es mandar virus y troyanos en las fotos que se mandan en los e-mail: de modo que al ver la foto se instala y ejecuta el troyano… por eso gmail pide confirmación antes de mostrar las fotos.
- Y la gracia es programar los troyanos de modo que el antivirus no los detecte: hay trucos para eso. Ya he perdido algo de práctica, pero puedo decir con orgullo que hace un par de años, cuando me dedicaba a la seguridad informática, y sólo con fines didácticos, hice algunos troyanos que no pillaba el MaCaffee, ni el Nod32 ni el Norton. No os preocupéis, no se los mandé a nadie, sólo los usé con ordenadores míos…
- Usando sniffers, como ethereal o wireshark. Son programas que escanean todo el tráfico que pasa por el router: incluídos contraseñas, e-mails, etc. Un día fui a dar una sesión sobre seguridad informática en un curso de verano y antes de la sesión, dejé activados uno de estos programas, mientras miraba mi correo en la red del curso de verano. Había algunos alumnos conectados a la vez que yo. En la sesión fue un buen golpe de efecto decirle a uno de los alumnos: “tu contraseña de ebay es esta”… y era esa!, a otro “tu contraseña de tuenti es esta”… y era: se puso rojo!, y a otro “la tuya del messenger es esta”… lógicamente se lo dije como demostración y les pedí que la cambiaran de inmediato.
- Los sniffers también se usan para hackear wifis: aircrack, airpcap, aireplay, airmon, airodump, wlandecripter y un largo etcétera de programas. Para que la wifi sea más segura es básico: 1) que tenga contraseña (algunos la tienen sin contraseña) y 2) que no tenga el nombre por defecto de la wifi: cambiar nombres como wlan_a5 o Jazztel457. Si tiene los nombres por defecto es más fácil de hackear.
- Y ojo con la gente que ofrece redes inalámbricas sin contraseña, puede ser un hacker que usa un sniffer, para sacar tus contraseñas, las password de tu banco, los datos de tu tarjeta de crédito, etc.
- Mandar el típico e-mail tampa, desde un remitente que parezca del soporte técnico, diciendo algo así como: “estamos comprobando las contraseñas, por favor mándenos la suya”. Con esto picarían pocos. Mejor sería un mensaje tipo “entre en esta web (con un link) y regístrese, para ver un mensaje importante que acaba de recibir”. Y la web es idéntica a la original de gmail, hotmail, etc., pero es del hacker: una vez que metes tus datos en esa web trampa, automáticamente te redirige a la buena, pero el hacker ya tiene las claves.
- Si estás en tu trabajo, el típico método de “ingeniería social” es llamar y decir: “soy el responsable de informática, por favor dígame sus claves, para una comprobación rutinaria”.
- Usando algún remote password cracker, como brutus, del que hablaba ayer en el artículo. Que prueba contraseñas hasta que da con la buena. Para eso ayuda mucho saber el número de caracteres de la contraseña, como indicaba en el punto 1. Hay otros para esto como Accessdiver, Goldeneye, mbhttpbf (munga bunga’s http brute forcer), WebCrack, XnsScan… como decía al principio, no recomiendo usarlos salvo para probar la seguridad de vuestras páginas web o contraseñas de correo. Ojo con ellos, porque algunos vienen con troyano de regalo y hay que desinfectarlos primero.
- El protocolo habitual para hackear contraseñas a distancia es: 1) probar combinaciones sencillas de contraseñas, 2) ver si sabemos la respuesta a la pregunta secreta (si conocemos a la persona es fácil), 3) usar diccionarios de contraseñas: se meten en los programitas que prueban contraseñas y se ejecutan solos. Hay diccionarios con las contraseñas más usadas por idiomas, con combinaciones de fechas, con posibles contraseñas por temáticas (deportes, política, educación, religión…). 4) fuerza bruta: todas las combinaciones posibles de números y letras hasta X caracteres. Cuantas más, pongamos, más tardará. Si es demasiado larga, puede tardar años… Si es media, unos días o una semana.
- Algunos servidores de correo con conexión https, en lugar de http, bloquean estos programas cuando llevamos unos cuantos intentos.
- Ahora llegan los métodos más complicados: de hacker professional
- Pero antes una breve introducción: la arquitectura de internet es: pones una dirección en tu mozilla o chrome (no uses explorer, es lo más lento del mundo) > la petición va tu router (el aparato con las lucecitas) > del router va por un cable al servidor del barrio o del pueblo (le llamaremos ordenador1) > del ordenador1 al servidor de la ciudad (le llamaremos ordenador 2) > del ordenador2 al servidor del país (ordenador3) > del ordenador3 va al servidor de gmail, hotmail, facebook o lo que sea > este servidor responde con la página, que hace el recorrido inverso > ordenador3 > ordenador2 > ordenador1 > tu router > tu pantalla.
- Cuando pones las contraseñas, estas contraseñas van -encriptadas o no, según esté configurado- al router > ordenador1 > 2 > 3 > y llegan a Gmail, Facebook, etc. Si es correcta, se nos muestran los correos. Pero todo pasa por los ordenadores intermedios.
- Son muy seguros y es casi imposible entrar, pero si un hacker entra en uno de ellos tiene nuetras contraseñas y las de todo el barrio (si entró en el ordenador1), toda la ciudad (si entró en el ordenador2), todo el país (si entró en el 3) o todas (si entra en el servidor de gmail, facebook, etc).
- Para saber el recorrido que hace nuestra información desde nuestro ordenador a una web determinada, basta con abrir una ventana de comandos (ventana negra) y poner tracert gmail.com o tracert facebook.com o la web que sea. En linux traceroute. Con eso ya tenemos las ips de todos esos ordenadores intermedios.
- Hay programas, que hacen estudios de todos los posibles agujeros o exploits que tiene una IP, una web o un servidor, como Retina (que genera buenos informes y da ideas para resolver los agujeros de seguridad), Shadow Security Scanner (peor que Retina), NS Auditor (Network Security Auditor: además de escanear, monitoriza los movimientos de la red y revisa webs), Capturix Networks (monitoriza servidores, sus exploits, etc), Languard (otro), Security Explorer (la única utilidad que le he encontrado es mirar la seguridad de directorios y carpetas), Ping Probe (escanea puertos, similar al mítico nmap), Retina Wifi (escanea wifis e intenta fuerza bruta)… y luego está el padre de todos los programas MetaSploit Framework (lo usan los hackers para explotar los agujeros de seguridad de servidores).
- No puedo dejar de mencionar en un punto aparte al mítico john de ripper… que prueba contraseñas a velocidades asombrosas.
- Hay webs con información para hackers, nuevos exploits, etc… pero esas no las pongo, para no dar ideas
- Por otro lado, hay programas que sacan las contraseñas de usuarios de Windows, como Cain & Abel (para entornos Windows), ophcrack (que es un cd bootable: desde el que se puede arrancar el ordenador y que te muestra directamente las contraseñas de todos los usuarios de windows XP y Vista, con Windows 7 nunca lo he probado… ya lo estoy dejando ), está el clásico LC5, también CIA Password recovery (es un diskete, va bien con Win XP, no saca la contraseña, sino que la sobre-escribe, de modo que luego el dueño sabe que le han quitado la contraseña).
- Otra opción para windows es arrancar desde un Linux live bootable, sacar los archivos de las contraseñas y usuarios de las carpetas sam y system de windows, y usar luego una combinación de SAM inside y RainbowCrack.
- Hay distribuciones de linux especiales para este tipo de “pruebas de seguridad” como backtrack… que ya le vienen al hacker con todos los programas instalados.
- Por si alguien no se había dado cuenta, todo lo anterior es ilegal y queda registro de la IP. Por eso los hackers usan sistemas, para que no se les detecte, como ir en coche a otra zona de la ciudad, aparcar, hackear una red wifi y operar desde el coche.
- También usan cadenas de proxies, para anonimizar sus operaciones. Para esto hay un sinfin de programas: tor, anonymous 4 proxy, proxy hunter, multiproxy, myproxy, shocks chain, shocks cap…
Conclusión: para proteger tus contraseñas
- No decir nunca la contraseña, ni dejar que nos vean teclearla.
- No registrarse en la cuenta de correo en ordenadores que no son de plena confianza, para evitar sniffers.
- No entrar en la cuenta de correo en redes que no son de plena confianza: como cibercafés, redes de aeropuertos, congresos, hoteles… puede haber alguien llevándose todas las contraseñas que hay pasando por el router.
- Cambiar la contraseña con frecuencia.
- Hay páginas web que supuestamente te sacan gratis la contraseña de quien quieras de hotmail, msn gmail, etc. Son falsas. Te suelen pedir que les des tu contraseña primero. No lo hagáis.
- Tener un buen antivirus (de pago) y actualizado.
- Saber qué hacen los programas que tenemos instalados: borrar los raros.
- Ojo con las webs en que entramos: suelen tener código malicioso las webs de descarga gratuita y las pornográficas.
- No meterse en wifis sin contraseña: pueden ser de un hacker
- Cambiar la contraseña del router y el nombre de la red: si es posible, no tener wifi, sino conexiones por cable
- Si vas a probar programas extraños como los anteriores, con fines pedagógicos, hazlo en un ordenador virtual, que sólo uses para eso y desde el que nunca te metes en el correo…
- Que la contraseña sea larga: con mayúsculas, minúsculas, números y letras. Para impedir ataques con diccionarios y fuerza bruta.
Algunos, como Twitter, han tomado medidas contra las contraseñas débiles prohibiendo 370 contraseñas, por considerarlas demasiado sencillas. La “lista negra” de contraseñas para Twitter es:
111111 11111111 112233 121212 123123 123456 1234567
12345678 131313 232323 654321 666666 696969 777777 7777777
8675309 987654 aaaaaa abc123 abc123 abcdef abgrtyu access
access14 action albert alexis amanda amateur andrea andrew
angela angels animal anthony apollo apples arsenal arthur asdfgh
asdfgh ashley asshole august austin badboy bailey banana barney
baseball batman beaver beavis bigcock bigdaddy bigdick bigdog
bigtits birdie bitches biteme blazer blonde blondes blowjob blowme
bond007 bonnie booboo booger boomer boston brandon brandy
braves brazil bronco broncos bulldog buster butter butthead calvin
camaro cameron canada captain carlos carter casper charles charlie
cheese chelsea chester chicago chicken cocacola coffee college
compaq computer cookie cooper corvette cowboy cowboys crystal
cumming cumshot dakota dallas daniel danielle debbie dennis diablo
diamond doctor doggie dolphin dolphins donald dragon dreams
driver eagle1 eagles edward einstein erotic extreme falcon fender
ferrari firebird fishing florida flower flyers football forever freddy
freedom fucked fucker fucking fuckme fuckyou gandalf gateway
gators gemini george giants ginger golden golfer gordon gregory
guitar gunner hammer hannah hardcore harley heather helpme
hentai hockey hooters horney hotdog hunter hunting iceman
iloveyou internet iwantu jackie jackson jaguar jasmine jasper
jennifer jeremy jessica johnny johnson jordan joseph joshua junior
justin killer knight ladies lakers lauren leather legend letmein
letmein little london lovers maddog madison maggie magnum
marine marlboro martin marvin master matrix matthew maverick
maxwell melissa member mercedes merlin michael michelle mickey
midnight miller mistress monica monkey monkey monster morgan
mother mountain muffin murphy mustang naked nascar nathan
naughty ncc1701 newyork nicholas nicole nipple nipples oliver
orange packers panther panties parker password password
password1 password12 password123 patrick peaches peanut pepper
phantom phoenix player please pookie porsche prince princess
private purple pussies qazwsx qwerty qwertyui rabbit rachel racing
raiders rainbow ranger rangers rebecca redskins redsox redwings
richard robert rocket rosebud runner rush2112 russia samantha
sammy samson sandra saturn scooby scooter scorpio scorpion
secret sexsex shadow shannon shaved sierra silver skippy slayer
smokey snoopy soccer sophie spanky sparky spider squirt srinivas
startrek starwars steelers steven sticky stupid success suckit
summer sunshine superman surfer swimming sydney taylor tennis
teresa tester testing theman thomas thunder thx1138 tiffany tigers
tigger tomcat topgun toyota travis trouble trustno1 tucker turtle
twitter united vagina victor victoria viking voodoo voyager walter
warrior welcome whatever william willie wilson winner winston
winter wizard xavier xxxxxx xxxxxxxx yamaha yankee yankees
yellow zxcvbn zxcvbnm zzzzzz
Espero que te haya servido el artículo, para hacerte una idea de lo que hay por la red y tener más cuidado con las contraseñas
. Algunos de los padres afectados me las han contado personalmente después de las conferencias.
