martes, 23 de octubre de 2012

Análisis del dump de nic.pe

Con respecto a los motivos de Lulzsec para ownear tan "rochosamente" al nic.pe y a como lo hicieron, no quiero comentar nada. Ya suficiente se ha dicho.

Por otro lado quisiera aprovechar los datos ya publicados y hacer un ligero análisis de la fortaleza de los passwords empleados.

El dump que publicó Lulzsec es un script sql que reconstruye una tabla llamada "nic_cliente" con toda la info. Luego de levantar esa info en un MySQL en localhost solo bastan algunas consultas SQL para iniciar nuestro análisis.

El campo que contiene el password del usuario se llama "clave" y está cifrado con SHA1 por lo que hay que crackear los passwords. Hay que notar que en la tabla hay otros campos como email, telefono, numero_documento... entre otros datos personales que podrían ser usados como contraseña. Además hay un campo llamado "clave2" que al parecer contiene un password anterior del usuario en texto plano. ¡SÍ, EN TEXTO PLANO!

Bueno... vamos a los números:

total de registros                 : 206704

clave = ''                         :   5269
clave = sha(clave2)                : 101633
clave = sha(usuario)               :    896
clave = sha(razon_social)          :      6
clave = sha(numero_documento)      :    370
clave = sha(telefono)              :     60
clave = sha(codigo_postal)         :     10
clave = sha(authinfo)              :      1
clave = sha('1234567')             :    215
clave = sha('12345678')            :     55
clave = sha('123456789')           :     77
clave = sha('1234567890')          :      7
clave = sha('0123456')             :      1
clave = sha('01234567')            :      1
clave = sha('password')            :      3


total obtenido                     : 108604
% obtenido                         :  52.54 %



Como ven lo único que se hizo fue probar los hashes de otros campos que estaban en la misma tabla y algunas contraseñas comunes y se logró descifrar más del 50% de los hashes...

Destacan los que mantienen su contraseña igual a la anterior (que está en texto plano), los que usan como clave su mismo nombre de usuario, los que prefieren usar otra información personal (su número de documento) y finalmente los que usan claves débiles como "1234567". ¿Que puedo decir? Clásica ingenuidad de usuario.

Bueno eso es todo.

Reconocimientos:
- Lulzsec, por los datos.
- RS, fué su idea.

Saludos.

2 comentarios:

  1. "Calebbucker26 de octubre de 2012 00:13"

    Para vos boludin, a la proxima que quieras preguntar algo, hacelo con tu identidad puto kid.

    Saludos.

    ResponderEliminar