RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Las peores contraseñas utilizadas del 2018 en el Mundo ……. y en Perú

Como todos los finales de año, las noticias en Internet nos muestran las contraseñas más absurdas y ridículas utilizadas en el mundo. Una de las más renombradas viene de la empresa SPLASHDATA (https://www.splashdata.com/), empresa de seguridad que tiene soluciones para gestionar la contraseña de personas naturales y empresas.

Resulta por lo menos curioso que una empresa que cuenta con soluciones que gestionan contraseñas de terceros, haya realizado una estadística de las peores contraseñas. Los mal pensados y paranoicos pensarían que la empresa SPLASHDATA gestiona, fisgonea las contraseñas y las procesan para obtener estadísticas. Personalmente no confío en almacenar mis contraseñas en la nube y que otros gestionen mis contraseñas, para eso prefiero utilizar soluciones como KeePass (https://keepass.info/).

KUNAK, ha desarrollado un cuadro de las peores contraseñas más utilizadas por las organizaciones privadas y públicas peruanas durante el año 2018, información basada en los proyectos de Ethical Hacking que ha realizado la empresa en el último año y en foros privados relacionados al tema.

image

Los resultados del año 2018 en el mundo

La empresa SPLASHDATA nos muestra el siguiente resultado, de las contraseñas más utilizadas en el año 2018.

image

Sobresale como siempre la infame e infaltable “123456”, contraseña que ha sido utilizada desde mucho antes que existieran las computadoras personales y cuyo uso sigue vigente tras el paso de los años.

Más interesante aun, es la estadística de los últimos ocho (08) años de las contraseñas más utilizadas, en donde la contraseña “123456” se erige como vencedor indiscutible.

clip_image004

Estadísticas en el Perú

La motivación de la realización de este documento, resulta en aterrizar las estadísticas mundiales a la realidad peruana y es que como todos debemos imaginar, en el Perú casi nadie nadie realmente utilizaría contraseñas como: “sunshine”, “iloveyou”, “princess”, “football” y menos “donald”; y es que, aunque en el Perú Donald Trump no sea el personaje más querido y adorado por todos los peruanos, Donald pasa extremadamente desapercibido por estos lares.

image

Contexto peruano

Antes de mostrar los resultados de las contraseñas más utilizadas en el Perú, debemos hacer algunas aclaraciones sobre lo que hemos identificado en base a la gestión de contraseñas en organizaciones peruanas. Las características que debemos resaltar corresponden a la mayoría de las organizaciones, no a todas claramente, pero si a la mayoría de las empresas peruanas.

  1. La mayoría de las empresas gestionan la contraseña con el Directorio Activo de Microsoft. Si señores, Microsoft ha triunfado en el Perú y salvo extrañas y marcianas excepciones, las empresas peruanas usan Microsoft.
  2. Las contraseñas de servidores (Windows y Unix), equipos de comunicaciones (switches, routers, etc) y servicios (bases de datos, servicios web, etc), son gestionadas por los sysadmins, en archivos del tipo Excel o Word. Si señores, aunque hemos intentado persuadir a las organizaciones de ésta mala práctica, los sysadmins aun almacenan clandestinamente sus contraseñas en archivos Excel, Word o peor aún, en archivos TXT. Archivos que son transferidos entre administradores casi de contrabando por la red.
  3. Finalmente, las empresas peruanas suelen utilizar Single Sign On (SSO) para casi todos sus servicios, es decir, la misma contraseña con la que ingresamos al computador, es la misma que utilizamos para ingresar al correo electrónico, ingresar a la red VPN e ingresar a casi todos los servicios que se exponen en Internet.

Si estás leyendo esto y hasta el momento te sientes identificado, este post definitivamente es para ti.

Los resultados en el Perú

Sin más preámbulo, veamos los resultados de las peores contraseñas utilizadas en el Perú y que son la prueba fehaciente que aún nos falta mucho para madurar en ciberseguridad.

image

Aunque algunas personas necesiten una provisión de aire para asimilar los resultados, esto es lo que nos arroja la estadística en el Perú (en la parte inferior de este documento encontrarán los detalles técnicos que dieron estos resultados). Parece increíble, lo sabemos, pero resulta mejor conocer la realidad para tratar de cambiarla.

Lo más resaltante de los resultados es lo siguiente:

  1. En el Perú somos unos fanáticos de la palabra “password”, somos tan fanáticos que hemos buscados combinaciones que no resultan de uso común en otras partes del mundo.
  2. En el Perú somos unos respetuosos de la política de seguridad, ¡sí señores! Y es que los incisivos apuntes realizados por los Oficiales de Seguridad de Información no han sido despilfarrados. La política de seguridad de la mayoría de las empresas debe cumplir por lo menos tres (03) de los cuatro (04) siguientes criterios:

Longitud mínima de 08 caracteres

Caracteres alfanuméricos

Al menos una mayúscula

Al menos un carácter especial

Aunque aún no hayamos advertido, claro que cumplimos con la política de seguridad porque ahora solemos utilizar contraseñas del tipo:

Noviembre2018

Diciembre2018

Enero2019

Empresa2018

Empresa2019

Empresa2020

3. Y finalmente, la última atrocidad característica de las contraseñas peruanas, es que colocamos como contraseña el mismo nombre de usuario, característica muy utilizada sobre todo en servicios de red, por ejemplo, es muy común identificar un usuario de Base de Datos llamado “app_logistica” cuya contraseña es idéntica.

Conclusiones

  1. Las organizaciones peruanas, por lo general, aún están hacen uso de contraseñas débiles, dentro de la que destacan variables de la palabra “PASSWORD”.
  2. Un patrón de contraseña muy utilizado en las organizaciones peruanas está asociado al nombre de la organización, seguido del año. Por ejemplo, si la empresa es KUNAK, las contraseñas utilizadas serian Kunak2018, Kunak2019 y/o Kunak2020.
  3. Finalmente, otro patrón de contraseña identificados en las organizaciones peruanas corresponde al nombre del mes seguido del año. Por ejemplo, Noviembre2018, Diciembre2018 y la próxima contraseña será Enero2019.

image

    Popularity: 2% [?]

    Post Relacionados

    Sorteo souvenirs EKOPARTY 2018

    Señores, les traje algunos recuerditos de la última EKOPARTY 20018 que se realizó en setiembre de este año. Y es que si pensaron que no me acordaba de ustedes ( ̶e̶s̶t̶a̶b̶a̶n̶ ̶e̶n̶ ̶l̶o̶ ̶c̶o̶r̶r̶e̶c̶t̶o̶) estaban muy equivocados.

    Aunque las bases son muy sencillas, toca colocarlas para que luego ninguna persona  ̶d̶e̶s̶e̶s̶p̶e̶r̶a̶d̶i̶t̶a̶ ̶y̶ ̶r̶o̶m̶p̶e̶ ̶b̶o̶l̶a̶s̶  se sienta vulnerada:

    • Fecha del sorteo: Jueves 11 de Octubre
    • Horario: 20:00 (-5GMT ) esta es hora peruana
    • ¿Quienes pueden ganar?: peruanos (sólo peruanos, enviar los souvenirs a otro país tendría un costo superior al valor del producto sorteado)
    • ¿Cómo hago para ganar?
      1. Darle “Me gusta” a la imagen del sorteo (https://www.facebook.com/El.Palomo.Seguridad.Informacion/)
      2. Comenta invitando a un amigo para que también participe.
      3. Comparte el post del sorteo.

    ¿ Y qué sorteamos?

    Pues sorteamos tres (03) souvenirs, aunque no existe algún orden de importancia entre lo sorteado, esta es la manera más ordenada para hacerlo.

    • Primer premio: una (01) camiseta color ploma que dice “BYTE ME”
    • Segundo premio:  una (01) camiseta color negro que  dice “EKOPARTY”
    • Tercer premio: una taza + stickers de la EkoParty.

    ¿Quién ocupa el primer, segundo y tercer puesto?

    • Nadie  ̶e̶s̶t̶o̶ ̶e̶s̶ ̶u̶n̶a̶ ̶d̶i̶c̶t̶a̶d̶u̶r̶a̶, del total de personas que cumplan con las condiciones del sorteo, obtendré al azar un listado de tres (03) ganadores y de esos tres suertudos, también estableceré un orden al azar para determinar el ganador del primer, segundo y tercer premio del concurso.

    Aquí dejo algunas fotos de los souvenirs sorteados para una mayor referencia. Mucha suerte a todos.

    IMG_4521 IMG_4523
    IMG_4530 IMG_4586

    Popularity: 2% [?]

    Post Relacionados

    • No Related Posts
    Presentación ISACA Student Group – PUCP 2016

    Señores, sin  mucho más que decir, les adjunto la presentación del evento “ISACA Student Group – PUCP 2016”.

    banner

     

    Descarga la presentación: [AQUÍ]

    Popularity: 7% [?]

    Post Relacionados

    Estúpido y sensual EXCEL: Me robo tu información con una encuesta

    portada

     

    Realizar hacking es más fácil de lo que parece o al menos eso es lo que trato de hacer parecer con este blog y hago lo propio cada vez que dicto capacitaciones en diversas empresas. Lo cierto es que lo único que necesitamos muchas veces es tan sólo un momento de lucidez, un momento de espiración, un poco de alcohol y dejar que las ideas fluyan a la buena o a la mala (cuando el cliente nos mete presión peor que Diego Godín cuando defiende a su selección) .

    Después de una semana de agonía donde vi caer una vez mas a la selección peruana por las clasificatorias Rusia 2018, he decidido escribir sobre unas de las técnicas que suelo utilizar cuando nos solicitan realizar pruebas de Ingeniería Social, sólo necesitamos mezclar algunas técnicas del tipo spear phishing y obtendremos resultados muy interesantes. Vamos a utilizar un programa que todos suelen utilizar, el estúpido y sensual EXCEL.

    ¿Cómo lo vamos hacer?

    1. Primero, la idea es  utilizar Ingeniería Social para esto, hay que hacer que nuestro archivo Excel llegue a las manos de nuestra amigo víctima y que sea lo suficientemente creíble para que pueda ser abierta (aquí esta el ingenio y el verdadero trabajo).
    2. Una vez que nuestro causa víctima haya abierto el archivo, todo cae por su peso, producto de la ingenuidad, de la estupidez confianza que tienen las personas para ejecutar MACROS en los archivos Excel. Hay que admitirlo, a las personas les gusta Excel, al diablo con las Bases de Datos Oracle, MySQL, etc; la mejora base de datos para el común de los mortales un archivo XLS.
    3. El archivo Excel contiene una pequeña encuesta pero detrás de esto se ejecuta una MACRO muy linda, la macro hace lo siguiente:
      1. Crea unos archivos tipo LOGS en el directorio D:\ del computador, estos archivos sólo los utilizo como evidencia de que se puede ejecutar cualquier comando.
      2. La MACRO ejecuta comandos FTP y realiza una conexión a un servidor externo en Internet y envía archivos hacia un lugar lejano, muy lejano.
      3. Finalmente, la MACRO buscar archivos con una extensión específica, para la prueba de concepto (POC) sólo busca archivos PDF en el directorio D:\ ¿quieren algo más sofisticado? pues esfuércense un poquito.

    4. Finalmente, aparece un mensaje de agradecimiento indicando que han enviado los datos solicitados para la encuesta. A veces hasta te nuestro súper amigo víctima envía un correo indicando que ya respondió la encuesta y que merece un ascenso por ser tan proactivo.

    Les dejo una imagen de la encuesta que se me ocurrió para el evento de ISACA del año 2015, cuando dabas CLIC en el botoncito “Enviar Encuesta” has sido OWNEADO.

    2

     

    Dejen volar su imaginación: algunas variantes interesantes

    1. Que tal si …. obtenemos las contraseñas de las redes Wireless que almacenan los computadores.

    Se me ocurre que en vez de ejecutar un simple IPCONFIG como en el ejemplo anterior, ejecutamos un comando para obtener las contraseñas en texto claro de las redes inalámbricas almacenadas en el computadores de nuestra víctima.

    3

     

    Y ya está, no necesitamos hacer mucho esfuerzo para obtener la contraseña de la red inalámbrica, además,  imaginemos un hacker un poco más interesado y preocupado en poder obtener información seguro que ya realizó algo de wardriving previo al envío del archivo Excel. Aquí puedes aprender como realizar wardriving de manera rápida y sencilla [AQUÍ].

     

    2. Que tal si…. ejecutamos comandos interesantes

    Y finalmente, se me ocurren ejecutar comandos interesantes para obtener información del computador de una organización y que puede servirnos para ir escalando privilegios en otros computadores de la organización, a continuación alguno de los comandos que podríamos utilizar:

    1. Net user: Para obtener los usuarios locales del sistema operativo o para agregar usuarios.
    2. Net localgroup Administradores [Administrators]: Para obtener los usuarios que pertenecen al grupo de Administradores
    3. Arp –a: Para obtener el listado de direcciones IP con las que ha estado en comunicación el computador.
    4. Netsh advfirewall firewall show rule name=all: Para obtener las reglas del firewall del computador.
    5. dir /s/b  D:\*.pdf: Para buscar archivos PDF en el directorio D:\ del computador de manera recurrente.
    6. Lo que sea fruto de tu imaginación.

    4

     

    ¿Cómo prevenimos este tipo de ataques?

    1. Si nos encontramos en un dominio, es decir, nuestra computadora se encuentra attachada a un Active Directory, podemos configurar una GPO que deshabilite la ejecución de Macros.

      5
      Nota: Debes deshabilitar las macros para programa de Office, es decir, deshabilitar para Microsoft Word, Microsoft Excel, Microsoft Power Point, etc. Los excel son los mas peligrosos por lo general porque son los mas comunes.

      Nota2: Hay forma de sacarle la vuelta a la aplicación a la aplicación de la política del AD, toca guardar el archivo Excel en la Trusted Location, que son directorios donde la GPO no aplica. Absurdo por todos lados.

      7

    2. En general, no me da ninguna confianza ejecutar ningún archivo que contiene una MACRO. El mensaje de advertencia es tan grande que desanima a cualquiera abrir un archivo de este tipo. No lo abras!!

    6

     

    Listo señores, el resto de lo que pueden hacer con Excel se los dejo a su imaginación. Nos vemos y happy hacking!! wq!

     

    ************************************************************

    Popularity: 14% [?]

    Post Relacionados

    Hookworm: Un backdoor silencioso con PHP – Parte 02

    Como lo prometido es deuda, estoy tratando de escribir más seguido en el blog. Dejando de lado el tedioso proceso de documentación de los proyectos que estoy realizando, dejando de lado el calor infernal que nos asfixia en Lima durante este verano y dejando de lado la pereza dominical que me invade cada fin de semana que me estoy atreviendo a escribir un nuevo post en el blog.

    Antes de comenzar, es casi un requisito leer el post anterior donde habíamos revisado algunas técnicas backdoors que ahora vamos a utilizar: [Backdoors en Linux – Parte 01]

    Google Hacking y backdoors

    Hay algunos backdoors que son fácilmente de ubicar a través de algunas técnicas de Google Hacking, por lo general estos archivos son utilizados porque son empaquetados y están listos para ser utilizados. Los más comunes son los famosos C99.PHP, C100.PHP, R57.PHP y todas sus variantes. De hecho es muy fácil encontrar servidores que han sido vulnerados y cuyos sysadmins aun no han advertido del hacking ocurrido sobre sus servidores.

    image

     

    image

     

    Ok y si son tan buenos backdoors que todos utilizan, ¿cuál es el problema? de hecho si hay problema, cuando se instalan estos backdoors las solicitudes a estas páginas se realizan a través del método GET y son muy evidentes cuando se revisan los logs, es decir, un administrador de sistemas puede notar algún movimiento extraño al llamar a un archivo que normalmente no forma parte de la aplicación. De hecho hay dos (02) maneras básicas para poder detectar posibles backdoors que podría utilizar un administrador de sistemas:

    1. A través de la evaluación de los logs del servidor: Esto se podría hacer manualmente, es decir buscar archivos clásicos utilizados como backdoors, [AQUÍ] una lista de los más utilizados. Existen herramientas que automatizan la revisión de los archivos de eventos en busca de palabras típicas de un evento de hacking.

      image

      Una herramienta muy interesante para analizar logs de un servidor APACHE se llama LORG y encuentra todo tipo de ataques realizados al servidor. Pueden encontrar mayor información del proyecto LORG en el siguiente enlace: [AQUÍ]. Yo lo instalé para probarlo y ver si detectaba un backdoor muy conocido como el C99.PHP y no lo identificó, realicé algunos ataques manuales de Inyección de Código SQL y funcionó muy bien, aquí si detecto el ataque, les dejo algunas gráficas para que vean como funciona.

      image

    2. A través de scripts que revisan los archivos tipo PHP en busca de funciones “maliciosas” en el servidor, es decir, funciones que no deberían ser utilizadas normalmente, por ejemplo, funciones: EVAL, SYSTEM, EXEC, etc etc. Al final lo que hace este script es buscar funciones dentro de los archivos y nos muestra un resumen de los archivos que ha encontrado con información de posibles puertas traseras.

      Existen varias herramientas que hacen esta revisión:

      - Neopi [Enlace AQUÍ]: De manera personal debo decir que este script realizado en Python no me gusto mucho, me mostraba muchos falsos positivos a pesar de que utilicé los diferentes mecanismos de detección, a pesar de eso pueden probarlo y sacar sus propias conclusiones.

      - PHP SHELL Detector [Enlace AQUÍ]: Este es mucho más simple de utilizar, basta copiar los archivos en el directorio raiz de nuestro apache y ejecutarlo desde el browser. Me gustó porque detectó los backdoors que había colocado en mi servidor de prueba. Lo recomiendo totalmente, aquí les dejo unos printscreen de los resultados obtenidos, en la imagen se puede observar como detectó un archivo PHP ofuscado y el clásico C99.PHP.

      image

      image

    3. Otro mecanismo para detectar los backdoors es buscar de manera manual funciones maliciosas. ¿De manera manual? Pues, es como si tuviéramos que buscar un string en unos archivos que están en determinada carpeta.

    image

     

     

    Hookworm: Un backdoor muy silencioso

    Todas las técnicas arriba mostradas para detectar puertas traseras son las más básicas y seguro funcionan muy bien pero si queremos esconder algún backdoor hay muchas formas interesantes de poder hacerlo y obviamente sin que alguien pueda advertir de su presencia. Voy a detallar los pasos para tener un backdoor en el servidor, aunque primero voy a detallar un escenario para que se comprenda mejor:

    Escenario:

    Un atacante tiene acceso a través de SSH a un servidor Linux ya que obtuvo la contraseña, un patrón de contraseña utilizado por el administrador de servidores para todos los servidores de la organización. El atacante sabe que el acceso a través de SSH solo es posible desde la red LAN de la empresa y que sólo el puerto TCP/80 del servicio Apache se encuentra expuesto a Internet. Además, cabe la posibilidad que el administrador de servidores restrinja el acceso al puerto SSH a ciertas direcciones IP por lo que es imperativo dejar un backdoor que cumpla con tres (03) características: que le permita acceder con privilegios del usuario ROOT,  sea accedido desde Internet y que además sea lo mas sigiloso posible para pasar desapercibido.

    Pasos a realizar:

    1. Crear y compilar un archivo escrito en C para obtener un ejecutable. Configurar el SETUID para que se pueda ejecutar con permisos de ROOT.

    2. Modificar un archivo el servidor web, de preferencia un archivo PHP que ya existe y añadir la siguiente línea:

    image
    3. Si reparan en el archivo PHP creado en el paso 02, lo que realmente hace es recibir la variable enviado a través de la cabecera HTTP, en este caso las cookies. Estas cookies recibidas son ejecutadas en el sistema operativo para acceder a cierta información. Lo único que nos falta es poder ejecutar comandos con privilegios de ROOT. Es aquí donde entra el paso 01, con el archivo escrito C y configurado el SETUID podemos obtener estos permisos. Nada complicado por si lo notan, sólo que sigiloso ya que no son enviadas a través de GET o POST.

    A. Entonces creamos el archivo en C y lo compilamos para tener un ejecutable. Esto ya lo hicimos en un anterior POST donde está mejor explicado, puedes leer el detalle [AQUÍ]

     

    B. Desde un navegador web en donde podamos modificar las cabeceras HTTP y colocar un valor en el cookie. Podríamos haber utilizado BURP SUITE o el TAMPER. Yo he utilizado el Burp Suite que se me hace más fácil de utilizar.

    image

     

    C. Ahora si ejecutamos comandos de manera conjunta con el backdoor que hemos dejado podemos pasar a convertirnos en ROOT y ser felices tan sólo una vez mas.

    image

     

    Finalmente, podríamos reemplazar la función SHELL_EXEC (  ) con la función EVAL(  ) de PHP para que pueda pasar más desapercibido todavía. Esto lo haremos en el video para no alargar mas el POST. Hasta pronto.

    image

    Pd: Este POST comenzó a escribirse el domingo 28 de Febrero de 2016 y terminó de escribirse el 09 de Marzo, me estoy haciendo viejo para escribir en el blog Triste. Saludos.

    Popularity: 7% [?]

    Post Relacionados

    • No Related Posts