Las peores Contraseñas en Español
Las personas en su afán de hacer mas cómoda su navegación por Internet, tienden a utilizar contraseñas fáciles de recordar y utilizan la misma para los sitios que mas frecuentan; Este comportamiento es tan común que sin saberlo muchas personas utilizan la misma combinación de letras y números como su contraseña, varios factores influyen en esto, como lo son la disposición del teclado, el uso de nombres comunes, hobbies, etc… A continuación les dejo una lista de las contraseñas mas utilizadas en español, si tu contraseña se encuentra en esta lista, por favor, cámbiala de inmediato, en la comunidad hemos proporcionado siempre información útil para maneja tus contraseñas fácilmente, herramientas para generar contraseñas seguras, e incluso aplicaciones que si no quieres utilizar una palabra clave, te permiten utilizar tu rostro como contraseña. 123456 12345 123456789 12345678 1234567 111111 Nombres Propios (alejandra, alberto, alejandro, roberto, etc..) Contraseña Tequiero Típicos desde los 80’s (sexo,amor,dios,dinero, muchas veces se combinan con números para cumplir el mínimo de caracteres exigido) Nombre de la Pagina (si la clave es de facebook, la clave será facebook, lo mismo con gmail, hotmail, etc…) qwerty 000000 Hobby (equipos de fútbol, artistas o grupos musicales, nombres de actores o películas, etc…) Cédula o números celular (son muy utilizados y dan sensación de seguridad, pero esta información se puede conseguir fácilmente) abc123 tequiero estrella iloveyou 654321 bonita mariposa america Para complementar esta lista, puedes ver los peores passwords de todos los tiempos y seguir las recomendaciones de seguridad que te enlazamos al principio, también puedes testear la seguridad de tu contraseña con esta herramienta online de Microsoft o la de password.es que incluye un generador de contraseñas...
Recupera tu Password de FileZilla
FilezillaPasswordDecryptor es una herramienta gratuita que te permite recuperar las contraseñas de tus servidores FTP almacenadas en FileZilla, funciona en Windows XP/Visita/7 y Server e incluye una versión portable por si has guardado tu cuenta FileZilla en mas de un computador (guiño 😉 Recupera tu Password de FileZilla guiño), permite guardar listas y es bastante rápido. El mismo ejecutable que nos arroja esta bonita interface, si es ejecutado por linea de comandos y con un archivo como parámetro, nos guardará automáticamente las claves de FileZilla que encuentre en la maquina, algo muy útil si queremos automatizar el proceso recuperar nuestra clave de todos los computadores donde la hemos dejado, sin levantar sospecha. Aunque esta herramienta no es tan potente como otras que te permiten recupera TODAS las contraseñas almacenadas en tu equipo, es una buena opción a tener en cuenta si lo que deseas recuperar es solo tu cuenta de FileZilla. Más Información: Pagina Oficial de...
Cambia tu clave maestra en LastPass
LastPass es uno de los mejores servicios para almacenar tus contraseñas en la nube y olvidarte de tener que recordar cada una de ellas, cuenta con multiples opciones que la diferencian de las demás alternativas, como su integración con multiples navegadores y dispositivos móviles, la posibilidad de utilizar claves desechables y la seguridad que nos ofrece su infraestructura. Pero esta seguridad ofrecida se ha puesto en duda, después que desde su blog oficial anunciaran la detección de una anomalia en el trafico de su base de datos, por lo que esperando lo peor, nos advierten de cambiar nuestra contraseña maestra cuanto antes. En la fuga de información es posible que se filtraran los correos electrónicos y los hash de las claves, por tanto la seguridad de la información almacenada en tu cuenta depende, en gran medida de la clave maestra que utilizaras para guardarla, si es una clave que se encuentre facilmente en un diccionario, cambiala inmediatamente, si por el contrario utilizaste una clave fuerte, puedes estar un poco mas tranquilo, pero igualmente es recomendable que cambies tu clave. Aunque la medida adoptada por LastPass es un poco paranoica, me parece bastante acertado que avisaran a sus clientes sobre esta anomalia, previniendo así un daño mayor a sus clientes si una fuga de información fué llevada a cabo. PD. En estos momentos el cambio de contraseña esta bastante saturado, por la cantidad de personas que lo están realizando al mismo tiempo, si tu clave es debil, te recomiendo que insistas hasta que puedas cambiarla, de lo contrario puedes esperar un poco mas hasta que el servicio se normalice. Visita LastPass.com Mas Información: LastPass Security...
Diccionarios con Passwords de Sitios Expuestos
Los diccionarios de passwords, esos archivos que tanto usamos en nuestros ataques de fuerza bruta, con la esperanza de encontrar en su interior una combinación de letras, que formen la contraseña de algún usuario en un servicio que estemos auditando, son de gran ayuda e indispensables en la caja de herramientas de cualquier auditor; Podemos encontrar listas de passwords con nombres comunes, nombres de famosos, de películas, de ciudades, con los passwords mas utilizados, e incluso crear o extrapolar nuevos… pero hoy traigo otro tipo de passwords, passwords de sitios cuyas bases de datos han sido expuestas en la red. En esta tabla podemos encontrar sitios tan populares como MySpace, Facebook, Carders.cc, Hack5, los cuales han sufrido ataques en sus servidores y los datos de sus usuarios quedaron expuestos… Nombre Comprimido Descomprimido Rockyou rockyou.txt.bz2 (60,498,886 bytes) rockyou.txt (139,921,497 bytes) Rockyou with count rockyou-withcount.txt.bz2 (59,500,255 bytes) rockyou-withcount.txt (254,676,625 bytes) phpbb phpbb.txt.bz2 (868,606 bytes) phpbb.txt (1,574,395 bytes) phpbb with count phpbb-withcount.txt.bz2 (872,867 bytes) phpbb-withcount.txt (3,049,507 bytes) phpbb with md5 phpbb-withmd5.txt.bz2 (4,117,887 bytes) phpbb-withmd5.txt (7,659,241 bytes) MySpace myspace.txt.bz2 (175,970 bytes) myspace.txt (356,352 bytes) MySpace – with count myspace-withcount.txt.bz2 (179,929 bytes) myspace-withcount.txt (653,504 bytes) Hotmail hotmail.txt.bz2 (47,195 bytes) hotmail.txt (87,383 bytes) Hotmail with count hotmail-withcount.txt.bz2 (47,975 bytes) hotmail-withcount.txt (158,831 bytes) Faithwriters faithwriters.txt.bz2 (39,327 bytes) faithwriters.txt (72,695 bytes) Faithwriters – with count faithwriters-withcount.txt.bz2 (40,233 bytes) faithwriters-withcount.txt (139,480 bytes) Elitehacker elitehacker.txt.bz2 (3,690 bytes) elitehacker.txt (6,516 bytes) Elitehacker – with count elitehacker-withcount.txt.bz2 (3,846 bytes) elitehacker-withcount.txt (13,676 bytes) Hak5 hak5.txt.bz2 (16,490 bytes) hak5.txt (24,714 bytes) Hak5 – with count hak5-withcount.txt.bz2 (16,947 bytes) hak5-withcount.txt (43,522 bytes) Älypää alypaa.txt.bz2 (5,178 bytes) alypaa.txt (11,634 bytes) alypaa – with count alypaa-withcount.txt.bz2 (6,013 bytes) alypaa-withcount.txt (22,706 bytes) Facebook (Pastebay) facebook-pastebay.txt.bz2 (375 bytes) facebook-pastebay.txt (500 bytes) Facebook (Pastebay) – w/ count facebook-pastebay-withcount.txt.bz2 (407 bytes) facebook-pastebay-withcount.txt (940 bytes) Unknown porn site porn-unknown.txt.bz2 (30,600 bytes) porn-unknown.txt (57,836 bytes) Unknown porn site – w/ count porn-unknown-withcount.txt.bz2 (31,899 bytes) porn-unknown-withcount.txt (122,548 bytes) Ultimate Strip Club List tuscl.txt.bz2 (176,291 bytes) tuscl.txt (324,743 bytes) Ultimate Strip Club List – w/ count tuscl-withcount.txt.bz2 (182,441 bytes) tuscl-withcount.txt (635,303 bytes) [Facebook por Phishing] facebook-phished.txt.bz2 (14,457 bytes) facebook-phished.txt (25,688 bytes) Facebook Phished – w/ count facebook-phished-withcount.txt.bz2 (14,941 bytes) facebook-phished-withcount.txt (45,224 bytes) Carders.cc carders.cc.txt.bz2 (8,936 bytes) carders.cc.txt (16,760 bytes) Carders.cc – w/ count carders.cc-withcount.txt.bz2 (9,774 bytes) carders.cc-withcount.txt (31,992 bytes) Singles.org singles.org.txt.bz2 (50,697 bytes) singles.org.txt (106,925 bytes) Singles.org – w/ count singles.org-withcount.txt.bz2 (52,884 bytes) singles.org-withcount.txt (204,797 bytes) Gusano Conficker conficker.txt.bz2 (1411 bytes) conficker.txt (702 bytes) 500 worst passwords 500-worst-passwords.txt.bz2 (1868 bytes) 500-worst-passwords.txt (3493 bytes) 370 Passwords Banneados por Twitter twitter-banned.txt.bz2 (1509 bytes) twitter-banned.txt (2780 bytes) También les puede interesar el listado de Diccionarios para Realizar Ataques de Fuerza Bruta publicado hace poco en la...
Vulnerabilidad en Routers Thomson a Fondo
Este documento pretende ser de forma explícita, la opción de poder obtener la clave WEP de los router Thomson, en sus versiones 6 y 7, de las cuales se ha realizado pruebas satisfactorias. Estos routers son distribuidos en Mexico por una compañía que presta los servicios de internet, en España creo que por Orange, y en Guatemala por la empresa que ya conocemos, y que es la principal en los servicios de internet residencial. Bueno, sin mas preámbulo vamos a las prueba, que pienso que es lo que mas apreciamos, si es cierto es lo que mas aprecio cuando alguien divulga algo interesante sobre las redes inalámbricas, aunque después me toque que leer la introducción. (claro esta que en emergencias la introducción se pasa por alto, si, eso, el conocimiento hace que saltemos ese paso) Materiales: 1). Sistema Operativo: en este ejercicio utilizo Windows Xp. 2). Software: inSSIDer 2.0 http://www.metageek.net/products/inssider Figura No1. Acerca de inSSIDer Aunque también se puede utilizar NetStumbler, (utilizado por excelencia): http://www.netstumbler.com/downloads/ (para las antenas caseras me ha servido mucho para direccionar la señal) 3). Tarjeta de Red Wifi: en este ejercicio he utilizado una marca Sabrent (vale también una Alfa con chip Realtek 8187L): Figura No 2. Propiedades Tarjeta Wifi con chip Realtek 4). Laptop: si, Porque? (después lo explico), con una batería al 100% de carga y que dure mas de una hora. En que consiste? La vulnerabilidad o defecto de fábrica consiste en que, si observamos físicamente estos routers en la parte inferior, traen consigo una etiqueta donde esta el nombre del SSID por defecto y su correspondientes claves WEP y WPA, que vienen siendo las mismas. En la versión 6, el nombre del SSID que viene por defecto esta compuesto por la siguiente cadena: SpeedTouch123456 y en la versión 7, esta cadena a cambiado por esta otra: Thomson123456, denotando que los últimos seis caracteres son hexadecimales. Resulta que conociendo estos caracteres hexadecimales, utilizando ingenieria reversa, se puede llegar a obtener la clave WEP por default. Existe un programa desarrollado en C, creado por él que hizo este estudio, el cual pueden encontrar en varios sitios: http://www.gnucitizen.org/blog/default-key-algorithm-in-thomson-and-bt-home-hub-routers/ http://foro.elhacker.net/hacking_wireless/routers_thomson_caso_espanol_redes_wepwpa_%E2%80%9Cspeedtouchxxxxxx%E2%80%9D_al_descubierto-t208312.0.html http://lampiweb.com/foro/index.php?topic=1763.0 En fin, si buscamos en la red, seguro que encontraremos mucha información al respecto. Otra vulnerabilidad? Para mi opinión creo que si, se trata del contenido de este ejerció, entonces manos a obra. Resulta que por alguna extraña razón (y creo que no es así) cuando se inicia o reinicia un router de esta marca, nos da la grata sorpresa!!! Ahora si, primer paso: Abrir (ejecutar) el inSSIDer: Figura No3. InSSIDer ejecutandose. Entre las bondades de esta aplicación están las de capturar las SSID...
Diplomado de Seguridad Informática Ofensiva
