13 marzo 2008

Búsqueda de contraseñas

Curiosamente tengo la sensación de haber visto más películas en las que los buenos intentaban saltarse claves de acceso a redes, protecciones de datos e información privada, etc. que al contrario, que historias de hackers malos. El pirata informático malo suele acosar y mandar mensajes inquietantes a víctimas que a veces se olvidan de que, simplemente desconectando el cable de red, se librarán del espionaje. A un ordenador que no está conectado a Internet no se le puede atacar, aunque sí se le pueden dejar instalados durante el tiempo de conexión virus que actúen después y que hasta el momento hayan permanecido latentes, dando la impresión de que el equipo ha sido atacado en ese instante.

Pero cuando los buenos necesitan saltarse o crackear una contraseña y, tras el inevitable suspense, lo logran en el último segundo, ¿esto responde a la realidad? Pues depende del programa que estén empleando para averiguar la clave (programas que básicamente lo que hacen es probar todas las combinaciones posibles de caracteres a gran velocidad) pero sobre todo depende de la seguridad de la contraseña. En este enlace se muestran unas interesantes tablas con el tiempo que se tarda en averiguar una contraseña; las más fáciles son las numéricas. Una contraseña de 4 números tiene sólo 10.000 combinaciones posibles (puesto que es un número del 1 al 10.000) y a la velocidad de los chips de hoy en día se pueden hacer los 10.000 intentos de forma prácticamente instantánea. Si utilizamos 6 números el hacker todavía lo podrá averiguar en menos de 30 segundos (menos todavía si utiliza toda una red de equipos en lugar de uno solo).

Para ponerlo un poco más difícil podemos usar letras; al tratarse de combinaciones de 26 caracteres en lugar de diez, como en los números, el tiempo se eleva a ocho horas y media para seis letras, aunque si disponemos de toda una red estas ocho horas se reducen a segundos. La complicación se eleva si la contraseña mezcla mayúsculas y minúsculas (las ocho horas no se duplican, sino que se convierten en 23 días), y si además se añaden números el tiempo puede subir hasta 66 días. Como se ve, el incremento del tiempo no es proporcional sino exponencial; por lo tanto lo del experto informático cargándose una contraseña en unos pocos minutos con un solo ordenador, por potente que sea, es puro cine. Otra cosa es que dispongamos de toda una red, pero ese no suele ser el caso en las películas. Sí es muy fácil descifrar una contraseña puesta por algún particular, porque es una cuestión más de psicología que de técnica: probando la fecha de nacimiento, de la boda, los nombres de su mujer o sus hijos, etc. tenemos bastantes posibilidades de acertar. Pero para algo importante, la clave de una empresa, de una organización delictiva, etc. las contraseñas no van a ser tan simples, se recurrirá a mayúsculas, minúsculas y números combinados.

Los tiempos no cambian tanto en el cine y si antaño el western se basaba en que el caballo del malo corría menos que el caballo del bueno, en las películas de acción de hoy en día el ordenador del hacker malo es siempre más lento que el del hacker bueno.

10 comentarios:

J_hash dijo...

Hola Dillinger is dead.

Enhorabuena por tu blog y por cada artículo que escribes, nos haces ver tal y como son las cosas a traves del cine que tanto nos gusta y eso tiene mucho mérito.

No se si te acordarás de mi, soy hashoverload. Bueno pues hasta pronto.

http:\\musicalwars.blogspot.com

Fernando dijo...

A mi lo que más gracia me hace son los superinterfaces que se gastan en los ordenadores de las películas. Todos con aspecto 3D y soniditos cada vez que cambia algo en la pantalla. Pero es que ni siquiera cuando simplemente quieren hacer ver que alguien está leyendo un correo aparece una pantalla con el outlook u otro gestor de correo conocido o aunque sea la página de hotmail o gmail, no, ahí aparece un mensaje ocupando toda la pantalla con el mensaje de "new email" parpadeando y como no un sonidito al tocar el teclado y el correo que se abre como si lo estuvieran tecleando en ese momento...
Es que nadie usa Windows o un Mac.

Tocotó dijo...

Fernando tiene toda la razón, siempre me ha fascinado que los ordenadores en las películas usan programas compeltamente diferentes a los usuales y no me refiero a las pelis futuristas.

La mejor escena de descifrar códigos del cine es la de Operación Sordidfish, sin comentarios....

Dillinger is dead dijo...

Lo de no mostrar el outlook ni ninguno de los programas más habituales supongo que será un tema de no querer hacer publicidad gratuita. Inventarse interfaces tan elementales no sé si será por vagancia, no querer currarse algo más sofisticado y verosimil o por si hay público que no esté familiarizado con el correo electrónico.

Tiene delito haber olvidado un nick como hashoverload pero mi Alzheimer no conoce límites ni decoro; en cualquier caso muchas gracias por el amable comentario. Y si Tocotó tiene a bien contarnos la escena de Operación swordfish (que no he visto) estoy en ascuas. Un saludo a todos.

Anónimo dijo...

Interesante tú articulo, pero cometiste 1 error, con 4 dígitos el número de combinaciones posibles si es 10.000, pero el rango no es de 1 a 10.000, fíjate que esta última tiene 5 dígitos. El rango correcto seria desde 0 hasta 9999.

Atte. Sergio

Redferne dijo...

Un blog estupendo de todas todas, pero me temo que el método "habitual" de reventar passwords no es la fuerza bruta...
a mi siempre me gustan las pelis donde se usa la "ingeniería social" o rebuscar en la basura del interfecto. La realidad es algo distinta, en los Unix siempre ha existido un programita llamado Satan (lo usan los admins) que utiliza ataques de diccionario, es decir utiliza como base para las pruebas de contraseñas un diccionario de palabras usuales (en criptoanálisis se usan cosas parecidas para analizar el tráfico cifrado).
Estos métodos son normalmente válidos si el algorimto de comprobación es público, si no es el caso lo más normal es que el sistema no nos deje hacer muchos reintentos o que realice una pausa entre petición y petición y asi los tiempos se disparan.

salu2

Dillinger is dead dijo...

No sé si estos diccionarios de los que hablas serán muy útiles; vale que hay gente que utiliza como contraseñas palabras comunes como "manzana", "jueves" o lo que sea, pero es más normal poner algo más personal, el nombre (o más probablemente) diminutivo de algún conocido o una palabra que sea una broma privada de cada uno y que sólo gente muy afín podría adivinar. Salvo que conozcamos a la persona cuya clave queremos reventar creo que no hay más remedio que probar combinaciones de caracteres de manera arbitraria.

Tocotó dijo...

Pufff, pues a ver si te sitúo en la escena. John Travolta es el malo malísimo que necesita un hacker de primera para dar un golpe maestro. El hacker es ni más ni menos que (el perfecto del cogote hasta la uña del dedo gordo del pie) Hugh Jackman. El malo malísimo se lleva a Jackman a un local nocturno un tanto sórdido y en sus oficinas le reta a que descubra un password complicadíiiisimo para ver si es el hacker que le puede hacer el trabajito.

La cuestión es que darle un tiempo límite para averiguar el password no es suficiente para Travolta para conocer la valía del hacker, así que lo complica un poco más. Mientras Hugh intenta averiguar el password una mujé le hace una guarrería sexuar por los bajos y Travolta apunta a la sien de Halle Berry, su compinche, con la intención de disparar en cuanto el cronómetro llegue a 0.

Seguro que Vicisitud le recomienda esta película, gran cumbre de la sordidez a la par que entretenida y de gran regocijo visual para hombres y mujeres...

Laertes dijo...

La mejor escena de penetración en un ordenador de toda la historia del cine es la de Matrix Reloaded, cuando Trinity desconecta la central eléctrica: accede a la cuenta root utilizando una vulnerabilidad de SSH, previa localización de los puertos abiertos con nmap. Y todo ello en una terminal de texto, como ocurre en la realidad.

Parece mentira que el ataque más realista se vea en una peli de ciencia ficción, pero es así. Ni "Operación Swordfish", ni "Hackers" ni ninguna otra fantasmada.

Más info en la wikipedia

Redferne dijo...

los diccionarios lo único que posiblitan es reducir + o - el número de combinaciones necesarias, por eso se utilizan en lugar de la fuerza bruta, no soy experto, pero la composición de los diccionarios será lo interesante, en mis tiempos de uni se decia que en USA lo más usado era "god" o similares, más info:
http://en.wikipedia.org/wiki/Password_cracking