La gente no se da cuenta de que la segu­ri­dad es un punto impor­tante a la hora de nave­gar en Internet.

Voy a con­tar cómo con­se­guí las bases de datos de blogs como el de Cine­filo, Dusty­hawk, htm­llife, Cogiendo Cara­co­les y Lap­to­blog. Menos mal que paré, podía haber con­se­guido muuuu­chas mas.

Como la mayo­ría de los blog­gers, yo uso un plu­gin para hacer copias de segu­ri­dad de mi base de datos. En mi caso, wp-db-backup. Como supo­nía que no era el único que lo usaba, me fijé en cómo y donde guarda las bases de datos si selec­cio­nas guar­dar­las en el ftp.

Para empe­zar, /wp-content/ debe tener per­mi­sos de lec­tura y escri­tura, y den­tro de él se ubica backup/, donde irán nues­tras bases de datos guardadas.

Si el usua­rio no se da cuenta, y no cam­bia los per­mi­sos una vez hecha la copia (crasso error), deja su base de datos a la ‘vista’ de todo el mundo.

Bien, pues no me hizo falta mas que mirar en mi blo­groll, y en algu­nos más, para tener una buena lista de blogs que usan Word­press. A par­tir de aquí, solo es pro­bar con cada blog: direcciondelblog/wp-content/backup/, y si no encon­tra­mos nada (puede que no tenga el plu­gin, o que esté en otro direc­to­rio, o que lo tenga pro­te­gido) pues pro­ba­mos con direcciondelblog/backup/ por si a alguien le se ocu­rre tenerlo ‘más cerca’ a la hora de buscarlo.

De esta forma he con­se­guido en dos días unas… 6 bases de datos, y repito: no he rebus­cado mucho.

Éstas bases de datos lo guar­dan todo, desde posts hasta usua­rios. Éstos últi­mos se guar­dan en la tabla wp_users con la estruc­tura:
INSERT INTO ‘wp_users‘ VALUES (ID, ‘USER’, ‘PASS_MD5’, ‘etc…’)

Como vemos, si hemos con­se­guido la base de datos ya tene­mos el usua­rio y la con­tra­seña para entrar en el blog.
¿El pro­blema? –La con­tra­seña está encrip­tada en MD5.
¿La solu­ción? -La fuerza bruta.

Esto es bas­tante jodido, ya que depen­diendo de la lon­gi­tud de la con­tra­seña, pode­mos tar­dar horas, días, sema­nas… años. En forma prác­tica:
(28 mayusculas)+(28 minisculas)+(10 numeros)+(20 sig­nos) = 86 carac­te­res.
Si no recuerdo mal, la lon­gi­tud máxima para una con­tra­seña de admi­nis­tra­ción de word­press son 16 carac­te­res. Si habeis leído el artículo de la wiki­pe­dia sobre MD5 sabreis que hay, por tanto, 86^15 com­bi­na­cio­nes posi­bles. Unas pocas.

Sin embargo, la gente no suele poner con­tra­se­ñas difi­ci­les, pre­fie­ren las fáci­les que se recuer­dan mejor. Así que durante un par de días con el John The Rip­per podre­mos sacar unas cuan­tas. (Si lo vas a usar alguna vez, reco­miendo poner los ven­ti­la­do­res a tope :D)

Yo empecé con el pri­mero del que obtuve la base de datos, Cine­filo. Real­mente, ahora que me acuerdo, este fue el que me llevó a ponerme a bus­car en los demas blogs el ‘des­piste’, ya que ví un men­saje en el pie de página de su blog que decía:
Fatal error: Allo­wed memory size of 8388608 bytes exhaus­ted (tried to allo­cate 939257 bytes) in /home/cinefilo/public_html/blog/wp-content/plugins/wp-db-backup.php on line 639
Y dije: Anda mira, este usa el mismo plu­gin que yo… vamos a ver sí…

Y cata­púm, allí estaba la base de datos. Bas­tan­tes horas de tra­bajo con John die­ron su resul­tado. La con­tra­seña mas pésima que he visto en mi vida, hasta mi madre se buscó una más retor­cida. No voy a decir ni una sola pista, por­que con poco que dé se adi­vina… Desde aquí le mando un saludo a mi paisano.

(…)

Ya que estoy, os reco­miendo un par de uti­li­da­des para ele­gir con­tra­se­ñas mas seguras:

Ice Brea­ker: Base de datos con cerca de 320.000 has­hes MD5. Antes de esta­ble­cer tu nueva con­tra­seña, encrip­tala en MD5 (desde ahí mismo pue­des) y busca si está regis­trada, si es así, mejor cam­bia.
GData: Igual que el ante­rior, solo que con solo 87.500 has­hes. Este per­mite bus­car varios has­hes de una vez sepa­ran­do­los con un punto y coma (;).

Tengo que decir, que esto que he con­tado hoy no es nada exclu­sivo de blogs con word­press ni nada por el estilo, cual­quier página web es igual de vul­ne­ra­ble, la vul­ne­ra­bi­li­dad está en el web­mas­ter, que es el que comete el error.

Por cierto, desde aquí le doy las gra­cias a Pepe por su ayuda con John The Rip­per, con el que he estado hablando al des­cu­brir que él ya hizo algo simi­lar con Javi Moya.

PD: Todos los web­mas­ters fue­ron avi­sa­dos antes de publi­car este post y tengo su per­miso para contarlo.

Vía Html life