Una canaria entre goditos

Hace unos días conocí vía el economista (si, a veces miro webs de objetividad difusa) que el gobierno se había dejado 23 millones de euros en la dichosa presidencia de la UE, y que la más beneficiada había sido Telefónica, que recibirá 12 millones de euros por el mantenimiento de la web de la presidencia europea durante seis meses. Esto incluye asistencia técnica y seguridad.

No hay que tener experiencia en el sector para darse cuenta que, si cualquiera hoy en día puede tener una web y además segura, como es posible que 6 meses de mantenimiento sean tan caros.

La cosa empeora si dos días más tarde la web de la presidencia recibe un ataque que cualquier desarrollador competente debería haber evitado.

El hackeo consistió en colgar una foto de Mr. Bean basándose en una vulnerabilidad XSS (cross-site scripting).

Este tipo de inseguridad se basa en ejecutar código scripting (como javascript) que permita recibir cookies de otros usuarios, incluidos administradores, o publicar contenido.

Seguramente, aunque miremos a los desarrolladores de Telefónica y les señalemos con el dedo, estos ni siquiera habrán realizado la web de la presidencia. En la inmensa mayoría de los casos Telefónica pide a una empresa ajena el desarrollo y sólo se encarga de hostearla en sus servidores, los cuales son bastante seguros. A parte, no se habla en ningún momento de que fuera Telefónica la encargada de su desarrollo. Seguramente fuera la empresa de X amigo de Y, miembro del gobierno que curiosamente aconsejó a la empresa de X.

No obstante, siendo competencia de Telefónica encargarse de la seguridad de la web, creo que con un presupuesto de 13 millones por 6 tristes meses te da de sobra para contratar un auditor de seguridad (si es que no los tiene ya la propia empresa), e informar a los encargados de su desarrollo de que existe un agujero “negro” en seguridad, propio de desarrolladores de tres al cuarto que de verdaderos profesionales de la informática.

Como siempre los cuatro amiguitos que van de listos (y lo son), se llevan un plus del copón por ese proyecto mientras que realizan un trabajo chapucero y cutre con tal de racanear para sus arcas el máximo de dinero.

El resultado, una vez más, es ser el hazmerreír europeo en Nuevas Tecnologías, en esas que al gobierno se le hincha el pecho en decir que reciben muchas ayudas y la verdad es muy diferente. Y mientras, no regulamos la informática, porque total, que más da si la web me la hace un industrial, un teleco, o un filólogo, que más da si me la revientan y quedo como una empresa de aficionados. Lo importante es que me he llevado 13 millones y soy el más gallito del corral.

Referencias:

• El economista
• El Mundo
• XSS (Wikipedia)

Que Windows es el claro ejemplo de cómo no hacer las cosas y de tener agujeros de seguridad como edificios de grandes es una realidad, pero que se pueda crackear una password de Windows en varios minutos y sin ninguna noción avanzada en seguridad resulta insultante.

El otro día leyendo por Microsiervos me encontré con un artículo que hablaba de un programilla llamado Ophcrack, que funciona por medio de un LiveCD, y que puede obtener en varios minutos cualquier contraseña de Windows. Lo más impactante es que Ophcrack no es un ataque de fuerza bruta, sino que utiliza tablas rainbow para hallarlo.

Como esto es probable que te haya sonado a chino entraré en detalles.

Cuando un usuario escoge una contraseña, esta se almacena en C:\Windows\System32\config\SAM. Por muy inútiles que sean en Microsoft, obviamente no van a guardar la contraseña tal cual en ese archivo, ya que ni siquiera necesitaríamos ya un programa para crackear el ordenador de nadie. Así que la contraseña se codifica utilizando una función Hash.

Los que sepáis que es una función Hash seguramente penséis: ¡¡por fin se que sirven para algo útil!! Los que no, os lo explico en un momento.

Las funciones Hash son aquellas que recibiendo una cadena como entrada, aplican en ella dicha función y devuelven una salida casi única (a veces pueden tener el mismo resultado diferentes palabras) que nada tiene que ver con la inicial.

Las tablas rainbow, que es en lo que se basa este programa, son una colección inmensa de las mayores funciones hash conocidas (un ejemplo típico es el algoritmo MD5 o el algoritmo SHA). Lo que se hace es utilizar el archivo donde se almacenan las contraseñas y aplicar las funciones inversas de todas las funciones hash de la tabla rainbow sobre el archivo de contraseñas y así obtener la palabra original.

Ya os hablaré otro día de los problemas que hay con los algoritmos hash más utilizados para seguridad, y como han sido reventados en cuestión de años, o muchas veces incluso de meses, desde su utilización. Pero por ahora centrémonos en lo triste que resulta la seguridad más básica de Windows.

Ya que utilizar el sentido común no basta para tener nuestro Sistema Operativo a salvo, Un Mundo Binario, nos da algunos consejos para evitar que averigüen contraseñas almacenadas con funciones Hash.

La primera es usar espacios en blanco en la contraseña. Parece absurdo, pero yo misma probé en mi ordenador con una contraseña que contenía un espacio y el programa no fue capaz de hallarla.

La otra forma de asegurar nuestras contraseñas es añadir variables aleatorias a la generación del Hash. Es decir, a partir de una contraseña la función Hash crea una parte fija y otra variable. Si os digo la verdad, no se como se puede aplicar esto a la elección de nuestras contraseñas en Windows.

Si habéis olvidado vuestra contraseña y no seguisteis ninguno de los consejos que acabo de mencionar, podéis bajaros el LiveCD de Ophcrack para poder averiguarlo pulsando en el link que hay justo abajo:

Descargas:

• LiveCD Ophcrack

Fuentes:

• Un Mundo Binario
• laptoplogic.com