3 de diciembre de 2007

Nuevo servicio online para el cálculo de hash inverso SHA-1 y MD5

http://md5.rednoize.com/ tiene una base de datos de sumas MD5 y SHA-1 que se puede consultar online. Este servicio nos permite calcular hashes inversos, es decir, obtener la palabra que genera una suma de control MD5 o SHA-1 terminada. Los algoritmos MD5 y SHA-1 son sumas unidireccionales, es decir, permiten generar una suma a partir de una palabra clave que no es reversible. Sin embargo, si generamos muchas sumas MD5 y SHA-1, y anotamos las palabras que las producen, podemos generar tablas que permitan la búsqueda inversa.

Para probar la calidad de estas bases de datos, lo mejor es calcular la suma de algunas palabras, con creciente dificultad, y ver si la base de datos las contiene. Algunos ejemplos pueden ser:

nas# md5 -s sergio
MD5 (”sergio”) = 3bffa4ebdf4874e506c2b12405796aa5

Encontrado

nas# md5 -s administrador
MD5 (”administrador”) = 91f5167c34c400758115c2a6826ec2e3

Encontrado

nas# sha1 -s sergio
SHA1 (”sergio”) = 6ed32edf4e92ab3c0a4dc6f90242953c344051ad

Encontrado

nas# sha1 -s administrador
SHA1 (”administrador”) = 9dbf7c1488382487931d10235fc84a74bff5d2f4

Encontrado

Normalmente estas bases de datos hacen aguas ante palabras claves complicadas. Están más bien pensadas para hacer sumas inversas de palabras normales y frecuentes que se usen, por ejemplo, a la hora de almacenar claves cifradas. El ejemplo típico son las aplicaciones PHP+SQL que almacenan las claves de los usuarios en la base de datos en forma de suma. El usuario, cuando se conecta, introduce su clave en texto claro, la cual es convertida en una suma de control que se contrasta contra la base de datos. Si coincide, estamos dentro.

En este tipo de aplicaciones es factible, si el producto es vulnerable, hacerse con un “dump” de la base de datos, y eso nos faculta a coger las sumas de las claves de usuario y pasarlas por calculadoras de hash inverso con la finalidad de descubrir claves. Es uno de los procedimientos típicos en un test de intrusión Web.

Vía: http://www.miginside.com