Filtración de contraseñas en 000webhost

Me acaba de saltar una alerta de have i been pwned? sobre una nueva filtración de contraseñas.

Estamos hablando de la friolera de 13 millones de contraseñas en claro filtradas de la base de datos de usuarios de 000webhost, uno de los proveedores de hosting gratuito más habituales.

La base de datos de contraseñas se filtró en marzo de 2015, y desde entonces se ha estado vendiendo en foros por un precio de unos $2.000. Que se venda significa que aquellos que la hayan comprado esperan obtener un retorno económico de ello. Dicho de otra manera, esperan que las víctimas hayan reutilizado sus contraseñas de 000webhost en otros sitios de Internet y puedan robarte dinero de alguna manera.

Lo peor de todo este asunto es la estrategia seguida por 000webhost cuando el investigador de seguridad Troy Hunt les informó de ello: le ignoraron completamente y no avisaron a sus clientes. 000webhost ha reseteado silenciosamente las contraseñas de todos sus clientes, pero no les ha advertido de que, si han reutilizado su contraseña en otros sitios, pueden estar gravemente expuestos. En ese sentido, la actuación de 000webhost ha sido lamentable.

Si tienes cuenta en 000webhost y has reutilizado la contraseña en otros sitios de Internet, ve y cambia tus credenciales en todos esos sitios ahora mismo.

Si quieres leer más sobre la nefasta gestión de 000webhost ante el incidente, aquí tienes la investigación completa de Troy Hunt:

Breaches, traders, plain text passwords, ethical disclosure and 000webhost

Charla «Seguridad en Aplicaciones Web»

Este año voy a dar una charla dentro del programa de cursos de verano que organiza el grupo e-ghost en la Universidad de Deusto. Estos son los datos básicos de la convocatoria:

  • Tema: Seguridad en Aplicaciones Web
  • Fecha: 17 de julio, 12:00
  • Lugar: Bilbao, Facultad de Ingeniería de la Universidad de Deusto, aula 105L
  • Duración: 2 horas

En la charla analizaremos las 10 debilidades de seguridad más comunes que se cometen durante el desarrollo de una aplicación web, con ejemplos de cómo se podrían explotar y qué impacto tendrían en el negocio.

Analizaremos fugas de información, inyección de código en formularios, falsificación de peticiones, debilidades de autenticación, y mucho más. ¿Te lo vas a perder?

Para asistir hay que inscribirse previamente. Puede asistir cualquier persona, pero si se llena tendrán prioridad los alumnos y ex-alumnos de la Universidad de Deusto.

Los cursos de verano del grupo e-ghost se van a impartir del 13 al 24 de julio en la Facultad de Ingeniería de la Universidad de Deusto, en Bilbao. Puedes ver el programa completo aquí:

Hay charlas y talleres muy interesantes. ¡Anímate!

Actualización: Ya puedes consultar las transparencias utilizadas en la charla:

Muchas gracias a todos por asistir.

Sobre los 5 millones de contraseñas de Gmail

El pasado 10 de septiembre se desataba la noticia de que se habían filtrado nada menos que 5 millones de contraseñas de Gmail en claro. Rápidamente todos los medios de comunicación especializados se hicieron eco de la noticia y la alarma corrió por foros y redes sociales. Más tarde Google emitió un comunicado indicando que sus sistemas no habían sido vulnerados, y desde entonces nada más se ha vuelto a saber.

La sospecha es que las contraseñas no habían salido de Google, sino de algún otro sitio en Internet menos protegido. Digamos del «Blog Pepe». La noticia también apuntaba a que, probada una pequeña muestra de la filtración, se podía inferir que el 60% de las contraseñas publicadas eran válidas en Gmail. Esto significa que al menos el 60% de las personas de esa lista utiliza la misma contraseña en Gmail que en «Blog Pepe».

El listado de cuentas comprometidas se puede encontrar fácilmente en Internet. El listado completo con contraseñas no es mucho más difícil de conseguir. Yo he dado con él, y me he permitido cargarlo en un SQLite para sacar el Top 20 de contraseñas más utilizadas. Ahí va:

Sigue leyendo

Descifrar hashes MD5 con John the Ripper y Raw-MD5

John the Ripper es una conocida herramienta de auditorías de seguridad, muy utilizada para (ejem ejem) comprobar si nuestras claves son robustas. Para ello se le proporciona un fichero de entrada con los hashes de las claves que queremos obtener comprobar, y opcionalmente un diccionario o juego de caracteres con los que realizar las pruebas.

John the Ripper no soporta de serie el tratamiento de passwords en formato MD5 simple. Es decir, no soporta un archivo de claves con formato «nombre:clave» como el utilizado en passwd. Un ejemplo:

pepe:7ef0b3c0aa6339c701ff370795873628
juan:5fc6c5c2aecd3a419109cb34ccb7da70
jorge:b662c2e331741ada2770cb885b3f696a

Para que John the Ripper funcione con este formato necesitamos parchear su código fuente con Raw-MD5, y después compilar.

Descargar lo necesario

Vamos a utilizar John the Ripper 1.7.2 y el parche Raw-MD5 para 1.7:

$ wget http://www.openwall.com/john/f/john-1.7.2.tar.gz
$ wget ftp://ftp.openwall.com/pub/projects/john/contrib/john-1.7-rawmd5-ipb2-4.diff.gz

Parchear

Descomprimimos ambos archivos y parcheamos el código fuente:

$ tar zxvf john-1.7.2.tar.gz
$ gunzip
john-1.7-rawmd5-ipb2-4.diff.gz
$ cd john-1.7.2
$ patch -p1 < ../
john-1.7-rawmd5-ipb2-4.diff

Compilar

A continuación compilamos el código fuente ya modificado. Con la primera llamada a «make» visualizaremos un listado de plataformas, donde deberemos elegir la que mejor se ajuste a nuestro sistema para la segunda llamada. En mi caso, la mejor es «linux-x86-sse2»:

$ cd src
$ make
$ make clean linux-x86-sse2

El código fuente no tiene una orden «make install» para copiar los binarios a nuestro sistema. En su lugar, se crea un directorio «run» al mismo nivel que «src» que contiene el resultado de la compilación. Podemos mover este directorio libremente a una ubicación mejor y borrar el código fuente si no lo vamos a necesitar más.

Ejecutar

Vamos a suponer que tenemos un archivo «/home/usuario/claves.txt» con el contenido que aparece en el párrafo introductorio del artículo. Para procesar sus claves haríamos la siguiente llamada:

$ ./john –format=raw-MD5 /home/usuario/claves.txt

A Fondo: Hoax, Spam y Virus por email

HOAX, SPAM Y VIRUS POR EMAIL
(o cómo proteger nuestro correo de basura electrónica)

 

«Atención!!!!!!!!! No leas este artículo. Si lo haces serás maldecido por una rana africana que invocará un totem tantra de la mala suerte, destruirá tu disco duro y el Internet Explorer empezará a funcionar mal. Además serás desgraciado/a en el amor para siempre y perderás todo tu dinero. No es una broma. Esto es REAL. Pasa esta información lo más rápidamente que puedas a todos tus contactos. Es necesario que la comunidad de internautas sepan esto. Iberia y la empresa de los bolis Bic han confirmado esta información. Para salvarte envía este mensaje por lo menos a 10 personas además de a aquella que te lo envió a ti.»

 

Qué es un Hoax

Un Hoax es un mensaje de correo electrónico engañoso que se distribuye en cadena. Muchos de ellos son similares a las viejas cartas en cadena que se enviaban por correo tradicional, donde se transmitía una información y se pedía copiar y enviar de nuevo el texto a todos los conocidos del receptor.

Aunque en general los hoaxes son cadenas que contienen información falsa o engañosa, también hay otro tipo de correos que, por su comportamiento o características, son similares a éstos. Es el caso de los chistes y fotos, o de los poemas de amor y esperanza, ya sea en formato texto como en archivos de PowerPoint, de gran tamaño y que implican mover mucha información entre servidores. Puesto que también son mensajes que circulan por Internet, y que se reenvían constantemente a numerosos destinatarios, se pueden llegar a considerar hoaxes.

 

Cómo identificarlos

Los hoaxes se reconocen fácilmente, pues tan solo hace falta razonar un poco el mensaje que nos transmiten. Aunque a un internauta con pocos conocimientos le puedan parecer ciertos, basta con aplicar un poco de lógica para identificarlos.

Podemos aplicar una serie de pautas generales para detectar aquellos correos que puedan ser un hoax, y por lo tanto no deban ser reenviados como se nos sugiere en el texto. Estas pautas se basan en que la mayoría de mensajes intentan presentarse como comunicados oficiales o formales.

Ningún mensaje oficial contiene faltas de ortografía o mala redacción. Además, no se abusa de las mayúsculas o de los signos de puntuación, que son dos aspectos muy utilizados en los hoaxes para llamar la atención. Ver frases enteras en mayúsculas o varios signos de admiración para resaltar algo son señales muy claras.

Algunos mensajes hacen referencia a fechas relativas, como por ejemplo el ya clásico«Se descubrió ayer un nuevo virus…». Puede que en una publicación tenga sentido escribir esa frase, pero desde luego en Internet, y sobre todo en un correo electrónico, la palabra ayer carece de sentido. En un texto oficial aparecerían fechas concretas, claras y sin ambigüedades.

Además, con el fin de hacerse creíbles, se incluyen nombres de fuentes importantes, y nunca se concreta exactamente cual es la información que publican esas fuentes, ni se incluyen enlaces a las mismas. Puede que incluso la empresa no tenga nada que ver con lo que se está anunciando, como por ejemplo que una empresa de montaje de ordenadores confirme un nuevo virus.

Y para acabar, puesto que cada usuario reenvía la información, ¿qué nos hace pensar que nadie ha modificado el texto que supuestamente está avalado por esas fuentes oficiales? Ya que no tenemos garantías de que la persona que nos envía el correo no lo haya modificado, no podemos fiarnos de esas fuentes que tanto aseguran que el contenido es verídico. En caso de que se trate de un comunicado oficial, nunca se nos pedirá reenviar la información a nadie.

 

Tipos de Hoaxes

Hay numerosos tipos de hoaxes, desde notificaciones de virus falsos hasta cadenas de la suerte o promociones inexistentes de productos. Casi todos se pueden clasificar bajo las siguientes categorías:

  • Alertas de Virus: Suelen anunciar nuevos virus con efectos sumamente destructivos, y fuentes conocidas confirman la información. Sin embargo, si nos dirigimos a la página web de esas fuentes, no encontraremos referencia alguna al suceso. Por lo general, las notificaciones de virus que circulan por email son falsas, por lo que no deberemos reenviarlas. Si estamos especialmente interesados en el tema, lo mejor es suscribirse a un boletín de noticias que nos enviará información periódica sobre las últimas noticias relacionadas con el mundo de los virus.
  • Cadenas de solidaridad: Se intenta convencer al lector para que reenvíe el mensaje bajo el pretexto de que realiza una labor social importante. Hay algunas cadenas de este tipo que son ciertas, pero su número es muy reducido. Realmente, reenviando este tipo de email no se ayuda a nadie, por lo que lo mejor es borrarlos directamente.
  • Cadenas de la suerte: Son el equivalente a las clásicas cadenas enviadas por correo postal. Suelen contener frases de tipo «Fulanito no reenvió esta carta y al de dos días murió a consecuencia de un grave accidente a manos de su vehículo, sin embargo Menganito la envió y le tocó la lotería». Evidentemente son siempre mentira y no deben reenviarse.
  • Leyendas urbanas: Son las clásicas leyendas transmitidas tradicionalmente de boca en boca, que ahora se escriben en un correo electrónico y se reenvían a la lista de contactos. Son tan increíbles como falsas.
  • Regalos y promociones de grandes compañías: Estos son uno de los más increíbles. ¿Cómo es posible que la compañía que supuestamente ofrece la promoción sepa que hemos reenviado el email para que nos envíen el premio o entremos en el sorteo? En algunos se nos pide además enviarlo a una dirección concreta para saber que hemos hecho el reenvío. Esto se hace con el fin de bombardear un buzón de correo de la compañía y así dañarla, o como mínimo molestar.
  • Mensajes contra los Hoaxes: Estos no son en sí hoaxes, pero funcionan como tales. Desde hace un tiempo empezaron a circular unos mensajes donde se tomaba el pelo a la gente que enviaba hoaxes. La idea nació con la intención de dar a conocer las mentiras que se esconden detrás de esos correos, y que al final se han convertido en lo que pretendían evitar.

 

Los peligros de los Hoaxes

Parece que un correo con información falsa no puede hacer demasiado mal. Sin embargo, la realidad es muy diferente. Los hoaxes tienen unos propósitos muy concretos, como conseguir direcciones de correo para practicar el Spam (envío de publicidad no solicitada) o atacar la imagen de personas, compañías u organizaciones.

Una persona que envíe alrededor de 10 mensajes de este tipo al día, a unas 20 personas puede llegar a mover unos 10MB de información inservible a través de Internet, puesto que su envío en la «oficina de correos» de su proveedor se multiplica por 20 para enviarse a cada una de las cuentas de destino. Además, teniendo en cuenta que últimamente predominan los hoaxes con imágenes, o con presentaciones de PowerPoint, los envíos pueden ser muy grandes, con lo que contribuimos a saturar aun más la red de redes.

Hay mensajes que se valen del miedo de la gente hacia algún tema en particular, como los que aparecieron tras el fatídico suceso de las Torres Gemelas el 11-S.

Otros consiguen, mediante una serie de argumentos, que el usuario borre archivos de su sistema haciéndole creer que se trata de un virus. En algunas ocasiones, los archivos que eliminamos pueden ser críticos para que el sistema operativo funcione correctamente.

Una de las tendencias que se observan últimamente es atacar a empresas o personas anunciando sucesos que no son ciertos, normalmente para eliminar competencia, como venganza o por envidia. Las consecuencias que sufren los atacados son varias, desde cartas, emails, llamadas telefónicas o incluso la necesidad de recurrir a abogados para desmentir las afirmaciones. Por ejemplo, por la red circula un hoax que vincula al grupo musical La Oreja de Van Gogh con la banda terrorista ETA. Incluso se puede realizar doble juego atacando a una persona y firmando el texto con el nombre de otra, con el fin de enfrentarles entre sí.

 

Cómo actuar ante algo que parece un hoax

Lo primero que debemos hacer es cambiar esa filosofía de «no se si es cierto, pero por si acaso lo envío» por una más apropiada «no se si es cierto, pero por si acaso NO lo envío». Si no estamos seguros de la veracidad de la información, lo mejor será no enviar nada.

Podemos comprobar si se trata de un hoax comprobando algunas de las características listadas arriba, que en resumen son:

  • Se nos pide reenviar
  • Se habla de un virus sin cura o con capacidades destructivas fuera de lo normal (no hay ningún virus sin cura)
  • Se nos asegura que con el reenvío contribuimos a una buena causa (no es posible que comprueben si hemos reenviado o no)
  • Promete un regalo que obtendremos al reenviar (es el mismo caso que el punto anterior)
  • Abusa de las mayúsculas o de los signos de puntuación (exclamaciones, interrogantes múltiples)
  • No están firmados o poseen firmas de dudosa veracidad (en ningún caso firma digital, la única fiable)
  • Se nos asegura una catástrofe si no son reenviados (supersticiones irracionales)
  • No poseen enlaces a las fuentes oficiales de donde supuestamente se ha extraído la información que contienen

Y si aun nos quedan dudas, podemos dirigirnos a sitios especializados como Rompecadenas, VS Antivirus, Virus Attack! o Urban Leyends and Folklore para buscar más información.

Tanto si dudamos como si hemos confirmado que sea un hoax, no deberemos reenviarlo. En caso de haber comprobado que es un hoax, deberíamos informar al que lo envió sobre el tema.

Hay gente que al recibir un hoax responde con insultos o con un tono no apropiado. Sin embargo, con esto lo que conseguiremos es que esa persona no nos envíe más por miedo a que le volvamos a insultar, pero seguirá enviando al resto de su libreta.

Lo que debemos hacer es enviar un correo informativo donde se explique que se trata de un hoax que no debe ser reenviado. Se puede poner un link a este artículo, o remitirle a sitios especializados como Rompecadenas donde podrá encontrar más información sobre el tema y aprenderá algo nuevo.

 

Los Hoaxes y su relación con el Spam

Uno de los propósitos de los hoaxes es conseguir direcciones de email para crear bases de datos de direcciones válidas, que luego se venden para enviar correo publicitario no solicitado.

Los spammers compran estas listas para obtener direcciones y realizar su labor de envío de publicidad y basura que llegan a saturar los casilleros de las cuentas de correo. Aquí vemos como los hoaxes y el spam son totalmente dependientes el uno del otro para poder existir.

Una dirección de correo que esté incluida en alguna lista de spammers puede recibir unos 50 correos diarios no solicitados, e incluso más. Además de las molestias que supone recibir este tipo de correos, tendremos que desperdiciar tiempo en seleccionar los mensajes que nos interesan entre toda la basura recibida, y gastamos dinero en concepto de tiempo de conexión al descargar decenas de mensajes que no queremos.

No es de extrañar que una vez recibido un hoax con nuestra dirección visible empecemos a recibir correos spam. La única solución que tenemos es cambiar la dirección de correo por otra nueva para dejar de recibir este tipo de correos.

Se puede encontrar más información sobre el tema del Spam en un artículo de este mismo portal y en la lista de enlaces que se encuentra más abajo.

 

Los Hoaxes y su relación con los Virus

Los virus que al ser ejecutados se reenvían por correo electrónico automáticamente han evolucionado con el impacto que está teniendo los hoaxes en Internet. Empezaron obteniendo las direcciones de correo de la libreta de direcciones, pero gracias a la abundancia de hoaxes, los virus se aprovecharon de la situación y empezaron a obtener las direcciones de correo no solo de la libreta de contactos, sino de las bandejas de correo, donde se pueden encontrar hoaxes, que son una gran fuente de direcciones de correo.

Por ello, guardar este tipo de mensajes ayuda a la propagación de virus, y por lo tanto aumenta las catástrofes que se puedan producir por su acción destructiva. Lo mejor es no conservar los hoaxes recibidos.

 

Cómo reenviar correctamente un correo

Si a pesar de las advertencias queremos reenviar un correo porque nos resulta gracioso o curioso, deberemos tomar una serie de medidas para no comprometer las direcciones de correo.

Normalmente los emails llegan con una lista considerable de direcciones en el cuerpo del mensaje que deberemos eliminar. Para ello haremos click en el botón «reenviar» y eliminaremos a mano todos los encabezados de los reenvíos que son los que contienen las direcciones. Así evitamos que se sigan propagando a más personas.

Una vez que el mail solo contiene el texto que queremos enviar solo nos queda introducir nuestros destinatarios. Tanto los programas de correo como los webmails contienen tres campos diferentes donde introducir las direcciones de correo: Para, CC y CCO. El primero es el habitual, el que utilizamos todos. El segundo envía una copia del email original (Carbon Copy). El tercero, también llamado BCC (Blind Carbon Copy) se utiliza para que ninguno de los destinatarios sea capaz de ver las direcciones de destino, tanto de los demás como de la suya propia. Ésta es la opción que nos interesa. Bastará con introducir todas las direcciones de destino en el campo BCC para que nadie las pueda ver. De esta forma el correo solo revelará nuestra dirección.

Para proteger nuestra propia dirección podemos realizar un pequeño truco que evitará que un programa pueda recogerla. Si nuestra dirección es [email protected] podemos establecer que realmente es [email protected] en la configuración del programa de correo. Así un individuo que nos quiera enviar una contestación verá el mensaje y eliminará las letras en mayúscula, obteniendo la dirección correcta. Sin embargo, un programa automatizado tomará la dirección completa, que realmente no existe, y fallará en el envío de spam.

 

Conclusiones

La frase que debemos tener en la cabeza es «No se si es cierto, así que por si acaso NO lo envío». Si dudamos de un correo, bastará con echar un vistazo a las características de los hoaxes expuestas más arriba, o consultar alguna de las direcciones web especializadas en el tema para sacarnos de dudas. No debemos hacer caso de cualquier mensaje que nos pida realizar algún tipo de operación en nuestro ordenador, ni de promociones increíbles, ni de videos maravillosos que aparecen como por arte de magia al reenviar el correo. En general, no deberemos enviar ningún mensaje en el que se nos pida que sea reenviado. Por una Internet libre de basura, ¡atrévete a romper las cadenas!