¿Sony almacena las contraseñas sin cifrar?

Hoy, como muchos (futuros ex-)usuarios de la PSN Network, he recibido un mail de Sony diciendome que han atacado la base de datos de PSN Network y han podido robar mis datos personales.

No existe sistema 100% seguro e impenetrable y afirmo que jamás lo existirá.

Puedo entender por tanto que se realice un ataque y roben la valiosa base de datos.

Pero lo que me parece INADMISIBLE es leer lo siguiente del comunicado oficial:

fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network/ Qriocity

No especifican nada de cómo está almacenada la contraseña.

Cualquier webmaster amateur, sabe que las contraseñas JAMÁS deben de almacenarse como tal.

El procedimiento habitual es realizar un cálculo hash sobre la contraseña y almacenar este resultado en la BBDD.

Cuando un usuario quiere autenticarse, basta con calcular el hash al valor introducido como contraseña y enviarlo al servidor.

Si ambos hash coinciden, bingo, es Fulano.

Si por ejemplo tu contraseña es “mypassword”, el hash con md5 seria: 34819d7beeabb9260a5c854bc85b3e44 (si queréis probarlo en GNU/Linux, echo -n “mypassword” | md5sum).

En fin, estoy realmente enfadado con la noticia y espero que den detalles de cómo almacenan las contraseñas.

Como he leido hoy en Twitter: “menos abogados y más ingenieros de calidad

¬¬

ACTUALIZACIÓN: Sony no afirma que se hayan efectuado el robo de los datos de las tarjetas de crédito.  Hay que estar atentos a los movimientos bancarios y denunciar cualquier cargo no realizado lo antes posibles (creo que hay un plazo para anular cobros).

ACTUALIZACIÓN 2:  Añado una conversación obtenida en red IRC donde “hackers” hablan sobre la poca seguridad de los servidores de PSN Network. La fuente original esta en PSX-SCENE.

PSN Hacker IRC Log

Anuncios

[Tip] Cambiar contraseña en GNU/Linux de cualquier usuario

Tener acceso físico a un sistema GNU/Linux supone tener acceso a toda la información (salvo que esté encriptado el disco duro) de un usuario.

Se puede cambiar tanto la contraseña del administrador, root, como la de cualquier otro usuario.

Para cambiar la contraseña del root, basta indicarle a nuestro gestor de arranque (GRUB, LILO, etc) que queremos arrancar el sistema en modo single.

En este modo no se arranca casi ningún servicio (y mucho menos entorno gráfico) y al finalizar el arranque aparece directamente un prompt de sistema (sin pedir ni usuario ni contraseña). El acceso al modo single se consigue añadiendo una “s” a las opciones de arranque del kernel.

Usando grub (el gestor de arranque por defecto en Ubuntu), sería algo así:


kernel		/boot/vmlinuz-2.6.28-18-generic root=UUID=6f6aee6e-e301-4794-9676-8f1312b0ff75 ro quiet splash s

Una vez dentro, basta con ejecutar lo siguiente:


passwd

Introducimos la nueva contraseña y listo.

Si en vez de querer cambiar la contraseña de root, queremos cambiar la de otro usuario, sólo hay que añadir el usuario como argumento a passwd.


passwd <user>

Este tip puede ser útil en caso de olvido de contraseña.

Nota: Ubuntu suele instalar un modo “a prueba de fallos” en la lista de kernels a usar. Yo prefiero usar una shell, pero puede venir bien para usuarios inexpertos.

Translate to:English
MenefanteMenéame TwitterTwitter