Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
abril
(Total:
42
)
- Resumen Reporte de Kaspersky sobre ataques DDoS Q1...
- La actualización de Windows 10 interrumpe en direc...
- 7 millones de cuentas hackeadas de la comunidad Li...
- Hackeada la base de datos del Banco Nacional de Qatar
- Las ventas del iPhone caen por primera vez en su h...
- Disponible para la venta el nuevo Meizu Pro 5 Ubun...
- La mitad de los adultos británicos no saben distin...
- Mitigación de ataques DDoS Syn Flood con iptables-...
- Error de configuración en MongoDB expone los regis...
- Huawei confirma dos versiones del P9 Lite, fecha d...
- GoAccess es un analizador en tiempo real del log d...
- PenQ: navegador basado en Mozilla Firefox para rea...
- El creador ruso del Exploit Kit Blackhole condenad...
- Microsoft alerta de e-mails con adjuntos malicioso...
- Google presenta Informe anual de Seguridad en Andr...
- Hacker imprime cartel Neo-Nazi a impresoras abiert...
- La policía de Canadá espió más de un millón de men...
- Jornadas X1RedMasSegura 4ª Edición 20 y 21 de Mayo...
- Phineas Fisher explica cómo hackeó a Hacking Team
- La 2 estrena hoy sábado el programa sobre ciberseg...
- EastMadH4ck arranca en Arganda (sureste de Madrid)...
- Etiopía propone cinco años de prisión a quien mand...
- Departamento de Seguridad de Estados Unidos pide a...
- Un hombre borra todos los datos de su empresa al h...
- Presentados los nuevos terminales Meizu Pro 6 y HT...
- Jigsaw, el ransomware que va borrando a tus archiv...
- Google Chrome versión 50 deja sin soporte a Window...
- Cómo evitar que un ransomware cifre los ficheros e...
- Desarolladores de Google crean una API para accede...
- Zerodium, el traficante de exploits que compra vul...
- Tres ejemplos de incidentes reales de acoso utiliz...
- Un fallo informático permite ver el borrador de la...
- La historia detrás de la creación de WhatsApp
- Diferencias velocidad y clases tarjetas de memoria...
- WhatsApp activa el cifrado de extremo a extremo
- Nueva oleada del virus Crypt0l0cker con aviso de C...
- Un padre suplica a Apple para que desbloquee el iP...
- Los enfrentamientos por el peering llegan al IPv6
- Módulo Anti-DDoS para servidor web Nginx
- Herramientas automatizadas para ataques SQL injection
- Gestión de librerías compartidas en GNU/Linux
- Un alumno robó datos de 16.000 personas de la Univ...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
354
)
ransomware
(
340
)
vulnerabilidad
(
303
)
Malware
(
264
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
204
)
hardware
(
193
)
linux
(
125
)
twitter
(
116
)
ddos
(
95
)
WhatsApp
(
91
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
7 millones de cuentas hackeadas de la comunidad Lifeboat de Minecraft
miércoles, 27 de abril de 2016
|
Publicado por
el-brujo
|
Editar entrada
Más de siete millones de cuentas de usuario pertenecientes a miembros de la comunidad Minecraft "Lifeboat"
han sido hackeadas, según el investigador de seguridad Troy Hunt. Hunt
dijo que va a subir los datos a su página web de notificación de
hackeos "Have I Been Pwned?", la cual permite a las personas
comprobar si su cuenta ha sido comprometida.
La seguridad está siempre en situación de riesgo , y ahora es fans del juego Minecraft: Pocket Edition son los que deberían empezar a preocuparse .La comunidad web de Minecraft: Pocket Edition fueron hackeados en enero y extrajeron información sensible de más de 7 millones de cuentas, según el experto en seguridad en línea Troy Hunt.
Minecraft es un juego megapopular- de construcción en bloques de Microsoft, pero LifeBoat es un sitio independiente que ofrece a los jugadores una manera de reunir en línea usando servidores multijugador. Esto no afecta a la versión de escritorio de Minecraft. datos robados a menudo termina en el mercado negro de la dark web.
"Los datos fueron proporcionados a mí por alguien involucrado activamente en el comercio que me ha enviado otros datos en el pasado", comentó Hunt, que ha verificado los datos y envía una captura de pantalla de algunos de ellos, dijo en un correo electrónico.
LifeBoat funciona en servidores propios, entornos de varios jugadores de la edición de Minecraft Pocket Edition- la versión del smartphone del juego que permiten a los jugadores de Minecraft poder participar en diferentes modos de juego, tales como capturar la bandera o la supervivencia. Para unirse a la comunidad, los jugadores descargar la aplicación normal de edición de bolsillo (Pocket Edition), se conectan a un servidor lifeboat y registran un nombre de usuario con una dirección de correo electrónico y contraseña.
¿Qué hay peor que ser hackeadas tus 7 millones de cuentas de usuario? NO avisar a tus usuarios y no decirselo a nadie..
"LifeBoat no ha notificado nada de nada. Parece que quieren mantenerlo [en secreto], lo que supongo que no es justo ", un usuario llamado Tyler, que dijo que era de Airdrie, Canadá, dijo a MotherBoard en un correo electrónico.
"Ellos o ni siquiera se dieron cuenta todavía o simplemente no les importa", dijo un jugador llamado Henni.
LifeBoat dijo que había sido consciente del incidente desde hace algún tiempo.
"Cuando esto sucedió a principios de enero nos dimos cuenta de que lo mejor para nuestros jugadores era forzar un restablecimiento de contraseña en silencio dejando a los hackers poco tiempo para actuar", dijo un representante de LifeBoat en un correo electrónico. "Hicimos esto durante un periodo de algunas semanas. Nos reservamos ninguna información personal (nombre, dirección, edad) acerca de nuestros jugadores, por lo que ninguno se filtró ".
"No hemos recibido ningún reporte de que nadie hay sido perjudicado por esto", agregó el representante en otro correo electrónico. Ellos no respondieron cuando se les pregunta para aclarar por qué la empresa no informó a los usuarios. Los tres jugadores con los que habló MotherBoard dijeron que no habían recibido un restablecimiento de contraseña.
Aunque las contraseñas del hackeo están haseahadas, con el algoritmo MD5, que es notoriamente débil, lo que significa que un montón de las contraseñas puede ser descubiertas con el uso de herramientas en línea.
Las contraseñas cortas son especialmente vulnerables al crackeo por fuerza bruta, una técnica que intenta todas las combinaciones posibles de números, letras y caracteres especiales hasta que se encuentra la combinación correcta
"Pude comprobar fácilmente las contraseñas de las personas con ellos mismos, simplemente buscando en Google ellos, es la "joya" de usar el salt MD5," dijo Hunt. MotherBoard confirmó que uno de los hashes proporcionados por Hunt correspondió a una contraseña fácil de adivinar. El representante delifeboat, dijo que la compañía ahora utiliza un algoritmo de hash más fuerte.
Naturalmente, si las víctimas han utilizado la misma contraseña en otros servicios, tales como su correo electrónico, cualquier persona en posesión de los datos tiene la oportunidad de acceder a esas cuentas también.
El enfoque de lifeboat a la seguridad parece estar demostrado en una guía de cómo hacerlo en su página web. "Por cierto, se recomienda usar una contraseña corta, pero difícil de adivinar contraseñas. Esto no es la banca en línea ", se puede leer.
Un hash es un código que se obtiene tras aplicar un algoritmo especial a una cadena de texto.
Es decir que si tenemos, por ejemplo, una contraseña "password" y le aplicamos un hash MD5 obtendremos el valor de 5f4dcc3b5aa765d61d8327deb882cf99
El problema se ve agravado por el no uso de un salt del hash MD5, y que aunque oculta el texto claro de la contraseña es fácilmente crackeable.. MD5 fue diseñado para ser extremadamente rápido y requiere un coste de cpu (cálculo) mínimo.
Las funciones de hash más conocidas y utilizadas eran MD5 y SHA-1, pero dado que MD5 y SHA-1 han sido comprometidas, actualmente se recomienda el uso de nuevas funciones como son SHA-2 y Bcrypt.
El hecho de que los hashes sin salt no se combinaran con un valor "único" (salt) para que cada cuenta, hace que el proceso de crackeo sea mucho más rápido ya que requiere menos cálculo.
Gracias al "salt", garantiza que cada hash almacenado es único, incluso si dos usuarios eligen la misma contraseña de acceso, cada uno de hash en una tabla comprometida debe ser crackeada por separado.
Es importante resaltar que si se usa un "salt" único para todos los usuarios tampoco sirve de nada. Cada salt debe ser único y diferente para cada usuario. Así que en la tabla de usuarios, se debe almacenar a parte del la contraseña, el salt.
La función más importante de la nueva API es
El primer argumento de la función es la contraseña original sin codificar y el segundo argumento debe ser una de las dos siguientes constantes
La función de cifrado que tiene mysql es es AES_ENCRYPT();.
¿Qué es AES?.
AES es un algoritmo de cifrado simétrico (que depende de una password para descifrar), está calificado como un cifrado seguro.
Pero por defecto, MySQL tiene configurado AES en 128 bits. Esta no es la configuracion que AES tiene como estándar para que el cifrado sea completamente seguro; para ello, tendríamos que cambiar a 256 bits.
Una vez realizada la consulta pueden volver a hacer un select de block_encryption_mode y el resultado será diferente:
Para que nos hagamos una idea la NSA considera las claves de 128 bits lo suficientemente bueno sólo para los datos con la designación de "SECRET". Para que sea "TOP SECRET" sin embargo, se requiere que las claves sean de 256 bits.
A partir de MySQL 5.7.4 soporta todavía más modos, que además han sido añadidos en versiones anteriores (para hacerlos backward comptabiles)
Por defecto:
Fuentes:
http://motherboard.vice.com/read/another-day-another-hack-7-million-emails-and-hashed-passwords-for-minecraft
http://librosweb.es/tutorial/la-nueva-api-para-codificar-contrasenas-de-php-55/
La seguridad está siempre en situación de riesgo , y ahora es fans del juego Minecraft: Pocket Edition son los que deberían empezar a preocuparse .La comunidad web de Minecraft: Pocket Edition fueron hackeados en enero y extrajeron información sensible de más de 7 millones de cuentas, según el experto en seguridad en línea Troy Hunt.
Minecraft es un juego megapopular- de construcción en bloques de Microsoft, pero LifeBoat es un sitio independiente que ofrece a los jugadores una manera de reunir en línea usando servidores multijugador. Esto no afecta a la versión de escritorio de Minecraft. datos robados a menudo termina en el mercado negro de la dark web.
El robo de usuarios se produjo en Enero
"Los datos fueron proporcionados a mí por alguien involucrado activamente en el comercio que me ha enviado otros datos en el pasado", comentó Hunt, que ha verificado los datos y envía una captura de pantalla de algunos de ellos, dijo en un correo electrónico.
LifeBoat funciona en servidores propios, entornos de varios jugadores de la edición de Minecraft Pocket Edition- la versión del smartphone del juego que permiten a los jugadores de Minecraft poder participar en diferentes modos de juego, tales como capturar la bandera o la supervivencia. Para unirse a la comunidad, los jugadores descargar la aplicación normal de edición de bolsillo (Pocket Edition), se conectan a un servidor lifeboat y registran un nombre de usuario con una dirección de correo electrónico y contraseña.
No avisaron ni notificaron nada a los usuarios
En enero de 2016, la comunidad Minecraft conocida LifeBoat fue hackeada y más de 7 millones de cuentas se filtraron. LifeBoat sabía del incidente durante tres meses antes del hackeo, pero decidió no avisar a los clientes. Los datos filtrados incluyen nombres de usuario, direcciones de correo electrónico y contraseñas almacenadas en un hash MD5 sin salt.¿Qué hay peor que ser hackeadas tus 7 millones de cuentas de usuario? NO avisar a tus usuarios y no decirselo a nadie..
"LifeBoat no ha notificado nada de nada. Parece que quieren mantenerlo [en secreto], lo que supongo que no es justo ", un usuario llamado Tyler, que dijo que era de Airdrie, Canadá, dijo a MotherBoard en un correo electrónico.
"Ellos o ni siquiera se dieron cuenta todavía o simplemente no les importa", dijo un jugador llamado Henni.
LifeBoat dijo que había sido consciente del incidente desde hace algún tiempo.
"Cuando esto sucedió a principios de enero nos dimos cuenta de que lo mejor para nuestros jugadores era forzar un restablecimiento de contraseña en silencio dejando a los hackers poco tiempo para actuar", dijo un representante de LifeBoat en un correo electrónico. "Hicimos esto durante un periodo de algunas semanas. Nos reservamos ninguna información personal (nombre, dirección, edad) acerca de nuestros jugadores, por lo que ninguno se filtró ".
"No hemos recibido ningún reporte de que nadie hay sido perjudicado por esto", agregó el representante en otro correo electrónico. Ellos no respondieron cuando se les pregunta para aclarar por qué la empresa no informó a los usuarios. Los tres jugadores con los que habló MotherBoard dijeron que no habían recibido un restablecimiento de contraseña.
Usaban cifrado MD5
Aunque las contraseñas del hackeo están haseahadas, con el algoritmo MD5, que es notoriamente débil, lo que significa que un montón de las contraseñas puede ser descubiertas con el uso de herramientas en línea.
Las contraseñas cortas son especialmente vulnerables al crackeo por fuerza bruta, una técnica que intenta todas las combinaciones posibles de números, letras y caracteres especiales hasta que se encuentra la combinación correcta
"Pude comprobar fácilmente las contraseñas de las personas con ellos mismos, simplemente buscando en Google ellos, es la "joya" de usar el salt MD5," dijo Hunt. MotherBoard confirmó que uno de los hashes proporcionados por Hunt correspondió a una contraseña fácil de adivinar. El representante delifeboat, dijo que la compañía ahora utiliza un algoritmo de hash más fuerte.
Naturalmente, si las víctimas han utilizado la misma contraseña en otros servicios, tales como su correo electrónico, cualquier persona en posesión de los datos tiene la oportunidad de acceder a esas cuentas también.
El enfoque de lifeboat a la seguridad parece estar demostrado en una guía de cómo hacerlo en su página web. "Por cierto, se recomienda usar una contraseña corta, pero difícil de adivinar contraseñas. Esto no es la banca en línea ", se puede leer.
By the way, we recommend short, but difficult to guess passwords. This is not online bankingPero ¿Y si alguien usa la misma contraseña para todo?
¿Que es un Hash sin Salt? - ¿Qué es el salt de una contraseña ?
Un hash es un código que se obtiene tras aplicar un algoritmo especial a una cadena de texto.
Es decir que si tenemos, por ejemplo, una contraseña "password" y le aplicamos un hash MD5 obtendremos el valor de 5f4dcc3b5aa765d61d8327deb882cf99
El problema se ve agravado por el no uso de un salt del hash MD5, y que aunque oculta el texto claro de la contraseña es fácilmente crackeable.. MD5 fue diseñado para ser extremadamente rápido y requiere un coste de cpu (cálculo) mínimo.
Hashes con salt
Los hashes con salt, son como los hashes de toda la vida pero con unplus de seguridad. En este caso el truco está en la salt que se le agrega. Salt es un número de dígitos aleatorios que se le agrega al hash ya sea al principio o al final. Con lo que los hashes ya no son los normales y por ende no figurarán en una tabla haciendo más dificil crackearlos. Ya que se deberá probar no solo con cada hash, sino tambien con cada salt y sus combinaciones.Las funciones de hash más conocidas y utilizadas eran MD5 y SHA-1, pero dado que MD5 y SHA-1 han sido comprometidas, actualmente se recomienda el uso de nuevas funciones como son SHA-2 y Bcrypt.
El hecho de que los hashes sin salt no se combinaran con un valor "único" (salt) para que cada cuenta, hace que el proceso de crackeo sea mucho más rápido ya que requiere menos cálculo.
Gracias al "salt", garantiza que cada hash almacenado es único, incluso si dos usuarios eligen la misma contraseña de acceso, cada uno de hash en una tabla comprometida debe ser crackeada por separado.
Es importante resaltar que si se usa un "salt" único para todos los usuarios tampoco sirve de nada. Cada salt debe ser único y diferente para cada usuario. Así que en la tabla de usuarios, se debe almacenar a parte del la contraseña, el salt.
La nueva API para codificar contraseñas de PHP 5.5
Internamente la API utiliza la funcióncrypt()
y está
disponible desde la versión 5.5.0 de PHP. Si utilizas una versión
anterior de PHP, siempre que sea igual o superior a 5.3.7, existe una
librería con las mismas funcionalidades que la nueva API: github.com/ircmaxell/password_compat.La función más importante de la nueva API es
password_hash()
, que codifica la contraseña que le pases con el algoritmo indicadoEl primer argumento de la función es la contraseña original sin codificar y el segundo argumento debe ser una de las dos siguientes constantes
PASSWORD_DEFAULT
, codifica la contraseña utilizando el algoritmobcrypt
y el resultado es una cadena de 60 caracteres de longitud, cuyos primeros caracteres son$2y$10$
. El algoritmo utilizado y la longitud de la contraseña codificada cambiarán en las próximas versiones de PHP, cuando se añadan algoritmos todavía más seguros. Si guardas las contraseñas en una base de datos, la recomendación es que reserves 255 caracteres para ello y no los 60 que se pueden utilizar actualmente.PASSWORD_BCRYPT
, a pesar de su nombre, codifica la contraseña utilizando el algoritmoCRYPT_BLOWFISH
. Al igual que en el caso anterior, la contraseña codificada ocupa 60 caracteres en total, siendo los primeros caracteres$2y$
.
password_hash()
. El coste por defecto es 10
(por eso el prefijo de las contraseñas anteriores es $2y$10$
) y su valor debe estar comprendido entre 04
y 31
.Mejorar el cifrado por defecto de MySQL 5.6
MySQL es un sistema de administración de bases de datos relacional, que provee la capacidad de cifrar la información con el algoritmo de AES. Se puede hacer llamada a la función con los siguientes comandos: para cifrar, AES_ENCRYPT y para descifrar, AES_DECRYPT. Como concepto básico y fundamental, la función recibe dos parámetros, el texto a cifrar y la contraseña (password) que nosotros selecionamos.La función de cifrado que tiene mysql es es AES_ENCRYPT();.
¿Qué es AES?.
AES es un algoritmo de cifrado simétrico (que depende de una password para descifrar), está calificado como un cifrado seguro.
Pero por defecto, MySQL tiene configurado AES en 128 bits. Esta no es la configuracion que AES tiene como estándar para que el cifrado sea completamente seguro; para ello, tendríamos que cambiar a 256 bits.
Para cambiarla a la de 256 solo debemos ejecutar la siguiente consulta:mysql> SELECT @@session.block_encryption_mode; +---------------------------------+ | @@session.block_encryption_mode | +---------------------------------+ | aes-128-ecb | +---------------------------------+ 1 row in set (0,00 sec)
mysql > SET @@session.block_encryption_mode = 'aes-256-ecb';
Una vez realizada la consulta pueden volver a hacer un select de block_encryption_mode y el resultado será diferente:
mysql> SELECT @@session.block_encryption_mode; +---------------------------------+ | @@session.block_encryption_mode | +---------------------------------+ | aes-256-ecb | +---------------------------------+ 1 row in set (0,00 sec)
Para que nos hagamos una idea la NSA considera las claves de 128 bits lo suficientemente bueno sólo para los datos con la designación de "SECRET". Para que sea "TOP SECRET" sin embargo, se requiere que las claves sean de 256 bits.
A partir de MySQL 5.7.4 soporta todavía más modos, que además han sido añadidos en versiones anteriores (para hacerlos backward comptabiles)
Por defecto:
cipher - key length - block cipheraes - 128 - ec
- Key Size or Key Lenght: 128, 192, o 256
- Block cipher: Para OpenSSL, modos permitidos son:
ECB
,CBC
,CFB1
,CFB8
,CFB128
,OFB
- Block cipher: Para yaSSL, modos permitidos son:
ECB
,CBC
Fuentes:
http://motherboard.vice.com/read/another-day-another-hack-7-million-emails-and-hashed-passwords-for-minecraft
http://librosweb.es/tutorial/la-nueva-api-para-codificar-contrasenas-de-php-55/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.