lunes, 29 de octubre de 2012

Reto Limahack 2012

Desde hoy está publicado un formulario web desde el cual las personas que se hayan registrado a Limahack 2012 podrán consultar su agenda. El link es:

http://agenda.limahack.com/index.pl


Pero además, en esa misma web está funcionando un reto bastante interesante. Se trata de encontrar 5 tokens escondidos en diferentes lugares de la web. Cada token corresponde con una palabra y al unirlos se forma una frase. Para encontrarlos deberás simular ataques, encontrar pistas, analizar y sobre todo ser muy ingenioso.

Los tokens tienen una puntuación diferente dependiendo del grado de dificultad para encontrarlo. La primera persona en encontrar un token recibirá el puntaje completo que corresponde con ese token. A los que lo encuentren después se les descontará un punto por cada persona que lo haya encontrado antes. Por ello es importante que tan pronto encuentres uno lo envíes a la dirección de correo que aparece en la web.

La recompensa por participar en el reto es que podrás aparecer en el "Hall of Fame" de Limahack junto a tu puntuación obtenida.

Anímate a participar y ve calentando motores para el InkaGame ;)

Saludos.

viernes, 26 de octubre de 2012

DESAFIO ESET


 El desafío consiste en una serie de retos que simulan distintos comportamientos que posee el malware. Cada participante deberá resolver cada uno de ellos y sumar puntos por cada uno (no es necesario hacerlo en orden). Ganará aquél que logre sumar la mayor cantidad de puntos en el menor tiempo posible, en caso de empate lo hará aquél que haya alcanzado el mayor puntaje en el menor tiempo.

martes, 23 de octubre de 2012

Análisis del dump de nic.pe

Con respecto a los motivos de Lulzsec para ownear tan "rochosamente" al nic.pe y a como lo hicieron, no quiero comentar nada. Ya suficiente se ha dicho.

Por otro lado quisiera aprovechar los datos ya publicados y hacer un ligero análisis de la fortaleza de los passwords empleados.

El dump que publicó Lulzsec es un script sql que reconstruye una tabla llamada "nic_cliente" con toda la info. Luego de levantar esa info en un MySQL en localhost solo bastan algunas consultas SQL para iniciar nuestro análisis.

El campo que contiene el password del usuario se llama "clave" y está cifrado con SHA1 por lo que hay que crackear los passwords. Hay que notar que en la tabla hay otros campos como email, telefono, numero_documento... entre otros datos personales que podrían ser usados como contraseña. Además hay un campo llamado "clave2" que al parecer contiene un password anterior del usuario en texto plano. ¡SÍ, EN TEXTO PLANO!

Bueno... vamos a los números:

total de registros                 : 206704

clave = ''                         :   5269
clave = sha(clave2)                : 101633
clave = sha(usuario)               :    896
clave = sha(razon_social)          :      6
clave = sha(numero_documento)      :    370
clave = sha(telefono)              :     60
clave = sha(codigo_postal)         :     10
clave = sha(authinfo)              :      1
clave = sha('1234567')             :    215
clave = sha('12345678')            :     55
clave = sha('123456789')           :     77
clave = sha('1234567890')          :      7
clave = sha('0123456')             :      1
clave = sha('01234567')            :      1
clave = sha('password')            :      3


total obtenido                     : 108604
% obtenido                         :  52.54 %



Como ven lo único que se hizo fue probar los hashes de otros campos que estaban en la misma tabla y algunas contraseñas comunes y se logró descifrar más del 50% de los hashes...

Destacan los que mantienen su contraseña igual a la anterior (que está en texto plano), los que usan como clave su mismo nombre de usuario, los que prefieren usar otra información personal (su número de documento) y finalmente los que usan claves débiles como "1234567". ¿Que puedo decir? Clásica ingenuidad de usuario.

Bueno eso es todo.

Reconocimientos:
- Lulzsec, por los datos.
- RS, fué su idea.

Saludos.

martes, 9 de octubre de 2012

Limahack 2012 - Inscripciones abiertas


La noticia de que ya está activo el registro para asistentes a Limahack 2012 ha corrido como pólvora y a estas alturas del día se me hace algo tarde anunciarlo. Pero ahí va, por si no te habías enterado, ¡Limahack 2012 ya abrió sus puertas!