Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon 7 millones de cuentas hackeadas de la comunidad Lifeboat de Minecraft




Más de siete millones de cuentas de usuario pertenecientes a miembros de la comunidad Minecraft "Lifeboat" han sido hackeadas, según el investigador de seguridad Troy Hunt. Hunt dijo que va a subir los datos a su página web de notificación de hackeos "Have I Been Pwned?", la cual permite a las personas  comprobar si su cuenta ha sido comprometida.






La seguridad está siempre en situación de riesgo , y ahora es fans del juego Minecraft: Pocket Edition son los que deberían empezar a preocuparse .La comunidad web de Minecraft: Pocket Edition fueron hackeados en enero y extrajeron información sensible de más de 7 millones de cuentas, según el experto en seguridad en línea Troy Hunt.



Minecraft es un juego megapopular- de construcción en bloques de Microsoft, pero LifeBoat es un sitio independiente que ofrece a los jugadores una manera de reunir en línea usando servidores multijugador. Esto no afecta a la versión de escritorio de Minecraft. datos robados a menudo termina en el mercado negro de la dark web.


El robo de usuarios se produjo en Enero


"Los datos fueron proporcionados a mí por alguien involucrado activamente en el comercio que me ha enviado otros datos en el pasado", comentó Hunt, que ha verificado los datos y envía una captura de pantalla de algunos de ellos, dijo en un correo electrónico.

LifeBoat funciona en servidores propios, entornos de varios jugadores de la edición de Minecraft Pocket Edition- la versión del smartphone del juego que permiten a los jugadores de Minecraft poder participar en diferentes modos de juego, tales como capturar la bandera o la supervivencia. Para unirse a la comunidad, los jugadores descargar la aplicación normal de edición de bolsillo (Pocket Edition), se conectan a un servidor lifeboat y registran un nombre de usuario con una dirección de correo electrónico y contraseña.


No avisaron ni notificaron nada a los usuarios

En enero de 2016, la comunidad Minecraft conocida  LifeBoat fue hackeada y más de 7 millones de cuentas se filtraron. LifeBoat sabía del incidente durante tres meses antes del hackeo, pero decidió no avisar a los clientes. Los datos filtrados incluyen nombres de usuario, direcciones de correo electrónico y contraseñas almacenadas en un hash MD5 sin salt.

¿Qué hay peor que ser hackeadas tus 7 millones de cuentas de usuario? NO avisar a tus usuarios y no decirselo a nadie..



"LifeBoat no ha notificado nada de nada. Parece que quieren mantenerlo [en secreto], lo que supongo que no es justo ", un usuario llamado Tyler, que dijo que era de Airdrie, Canadá, dijo a MotherBoard en un correo electrónico.

"Ellos o ni siquiera se dieron cuenta todavía o simplemente no les importa", dijo un jugador llamado Henni.

LifeBoat dijo que había sido consciente del incidente desde hace algún tiempo.

"Cuando esto sucedió a principios de enero nos dimos cuenta de que lo mejor para nuestros jugadores era forzar un restablecimiento de contraseña en silencio dejando a los hackers poco tiempo para actuar", dijo un representante de LifeBoat en un correo electrónico. "Hicimos esto durante un periodo de algunas semanas. Nos reservamos ninguna información personal (nombre, dirección, edad) acerca de nuestros jugadores, por lo que ninguno se filtró ".

"No hemos recibido ningún reporte de que nadie hay sido perjudicado por esto", agregó el representante en otro correo electrónico. Ellos no respondieron cuando se les pregunta para aclarar por qué la empresa no informó a los usuarios. Los tres jugadores con los que habló MotherBoard dijeron que no habían recibido un restablecimiento de contraseña.


Usaban cifrado MD5


Aunque las contraseñas del hackeo están haseahadas, con el algoritmo MD5, que es notoriamente débil, lo que significa que un montón de las contraseñas puede ser descubiertas con el uso de herramientas en línea.

Las contraseñas cortas son especialmente vulnerables al crackeo por fuerza bruta, una técnica que intenta todas las combinaciones posibles de números, letras y caracteres especiales hasta que se encuentra la combinación correcta 

"Pude comprobar fácilmente las contraseñas de las personas con ellos mismos, simplemente buscando en Google ellos, es la "joya" de usar el salt MD5," dijo Hunt. MotherBoard confirmó que uno de los hashes proporcionados por Hunt correspondió a una contraseña fácil de adivinar. El representante delifeboat, dijo que la compañía ahora utiliza un algoritmo de hash más fuerte.

Naturalmente, si las víctimas han utilizado la misma contraseña en otros servicios, tales como su correo electrónico, cualquier persona en posesión de los datos tiene la oportunidad de acceder a esas cuentas también.

El enfoque de lifeboat a la seguridad parece estar demostrado en una guía de cómo hacerlo en su página web. "Por cierto, se recomienda usar una contraseña corta, pero difícil de adivinar contraseñas. Esto no es la banca en línea ", se puede leer.

By the way, we recommend short, but difficult to guess passwords. This is not online banking
Pero ¿Y si alguien usa la misma contraseña para todo?

¿Que es un Hash sin Salt? - ¿Qué es el salt de una contraseña ?


Un hash es un código que se obtiene tras aplicar un algoritmo especial a una cadena de texto.

Es decir que si tenemos, por ejemplo, una contraseña "password" y le aplicamos un hash MD5 obtendremos el valor de 5f4dcc3b5aa765d61d8327deb882cf99


El problema se ve agravado por el no uso de un salt del hash MD5, y que aunque oculta el texto claro de la contraseña es fácilmente crackeable.. MD5 fue diseñado para ser extremadamente rápido y requiere un coste de cpu (cálculo) mínimo.

Hashes con salt

Los hashes con salt, son como los hashes de toda la vida pero con unplus de seguridad. En este caso el truco está en la salt que se le agrega. Salt es un número de dígitos aleatorios que se le agrega al hash ya sea al principio o al final. Con lo que los hashes ya no son los normales y por ende no figurarán en una tabla haciendo más dificil  crackearlos. Ya que se deberá probar no solo con cada hash, sino tambien con cada salt y sus combinaciones.

Las funciones de hash más conocidas y utilizadas eran MD5 y SHA-1, pero dado que MD5 y SHA-1 han sido comprometidas, actualmente se recomienda el uso de nuevas funciones como son SHA-2 y Bcrypt.

El hecho de que los hashes sin salt no se combinaran con un valor "único" (salt) para que cada cuenta, hace que el proceso de crackeo sea mucho más rápido ya que requiere menos cálculo.

Gracias al "salt", garantiza que cada hash almacenado es único, incluso si dos usuarios eligen la misma contraseña de acceso, cada uno de hash en una tabla comprometida debe ser crackeada por separado.

Es importante resaltar que si se usa un "salt" único para todos los usuarios  tampoco sirve de nada. Cada salt debe ser único y diferente para cada usuario. Así que en la tabla de usuarios, se debe almacenar a parte del la contraseña, el salt.

 La nueva API para codificar contraseñas de PHP 5.5

 Internamente la API utiliza la función crypt() y está disponible desde la versión 5.5.0 de PHP. Si utilizas una versión anterior de PHP, siempre que sea igual o superior a 5.3.7, existe una librería con las mismas funcionalidades que la nueva API: github.com/ircmaxell/password_compat.

La función más importante de la nueva API es password_hash(), que codifica la contraseña que le pases con el algoritmo indicado

El primer argumento de la función es la contraseña original sin codificar y el segundo argumento debe ser una de las dos siguientes constantes
  • PASSWORD_DEFAULT, codifica la contraseña utilizando el algoritmo bcrypt y el resultado es una cadena de 60 caracteres de longitud, cuyos primeros caracteres son $2y$10$. El algoritmo utilizado y la longitud de la contraseña codificada cambiarán en las próximas versiones de PHP, cuando se añadan algoritmos todavía más seguros. Si guardas las contraseñas en una base de datos, la recomendación es que reserves 255 caracteres para ello y no los 60 que se pueden utilizar actualmente.
  • PASSWORD_BCRYPT, a pesar de su nombre, codifica la contraseña utilizando el algoritmo CRYPT_BLOWFISH. Al igual que en el caso anterior, la contraseña codificada ocupa 60 caracteres en total, siendo los primeros caracteres $2y$.
 El tiempo empleado en codificar una contraseña se denomina "coste" y se puede configurar mediante el tercer argumento opcional de la función password_hash(). El coste por defecto es 10 (por eso el prefijo de las contraseñas anteriores es $2y$10$) y su valor debe estar comprendido entre 04 y 31.


Mejorar el cifrado por defecto de MySQL 5.6 

MySQL es un sistema de administración de bases de datos relacional, que provee la capacidad de cifrar la información con el algoritmo de AES. Se puede hacer llamada a la función con los siguientes comandos: para cifrar, AES_ENCRYPT y para descifrar, AES_DECRYPT. Como concepto básico y fundamental, la función recibe dos parámetros, el texto a cifrar y la contraseña (password) que nosotros selecionamos.

La función de cifrado que tiene mysql es es AES_ENCRYPT();.

¿Qué es AES?.
AES es un algoritmo de cifrado simétrico (que depende de una password para descifrar), está calificado como un cifrado seguro.

Pero por defecto, MySQL tiene configurado AES en 128 bits. Esta no es la configuracion que AES tiene como estándar para que el cifrado sea completamente seguro; para ello, tendríamos que cambiar a 256 bits


mysql> SELECT @@session.block_encryption_mode;
+---------------------------------+
| @@session.block_encryption_mode |
+---------------------------------+
| aes-128-ecb                     |
+---------------------------------+
1 row in set (0,00 sec)
Para cambiarla a la de 256 solo debemos ejecutar la siguiente consulta:

 mysql > SET @@session.block_encryption_mode = 'aes-256-ecb';

Una vez realizada la consulta pueden volver a hacer un select de block_encryption_mode y el resultado será diferente:

mysql> SELECT @@session.block_encryption_mode;
+---------------------------------+
| @@session.block_encryption_mode |
+---------------------------------+
| aes-256-ecb                     |
+---------------------------------+
1 row in set (0,00 sec)

Para que nos hagamos una idea la NSA considera las claves de 128 bits lo suficientemente bueno sólo para los datos con la designación de "SECRET". Para que sea "TOP SECRET" sin embargo, se requiere que las claves sean de 256 bits. 

 A partir de MySQL 5.7.4 soporta todavía más modos, que además han sido añadidos en versiones anteriores (para hacerlos backward comptabiles)

Por defecto:
cipher - key length - block cipher
aes - 128 - ec
  • Key Size or Key Lenght: 128, 192, o 256
  • Block cipher: Para OpenSSL, modos permitidos son: ECB, CBC, CFB1, CFB8, CFB128, OFB
  • Block cipher:  Para yaSSL, modos permitidos son: ECB, CBC


Fuentes:
http://motherboard.vice.com/read/another-day-another-hack-7-million-emails-and-hashed-passwords-for-minecraft
http://librosweb.es/tutorial/la-nueva-api-para-codificar-contrasenas-de-php-55/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.