Aurich Lawson/Getty
Como una de las versiones originales de Unix, BSD es un sistema operativo antiguo. Por lo tanto, no debería sorprender que haya utilizado lo que, según los estándares actuales, es una seguridad extraña e incluso ridícula. Por un lado, la función hash que protege las contraseñas, aunque era lo último hace 40 años, ahora es trivial de descifrar. Aún más extraño, los hash de contraseñas de algunos creadores de BSD se incluyeron en el código fuente disponible públicamente. Y luego, están las contraseñas que la gente eligió.
La semana pasada, la tecnóloga Leah Neukirchen informó haber encontrado un árbol fuente para la versión 3 de BSD, alrededor de 1980, y descifrado con éxito las contraseñas de muchos de los primeros pioneros de la informática. En la mayoría de los casos, el éxito se debió a que los usuarios eligieron contraseñas fáciles de adivinar.
El co-inventor de BSD, Dennis Ritchie, por ejemplo, usó «dmac» (su segundo nombre era MacAlistair); Stephen R. Bourne, creador del intérprete de línea de comandos de shell Bourne, eligió «bourne»; Eric Schmidt, uno de los primeros desarrolladores del software Unix y ahora presidente ejecutivo de la empresa matriz de Google, Alphabet, se basó en «wendy!!!» (el nombre de su esposa); y Stuart Feldman, autor de la creación de herramientas de automatización de Unix y el primer compilador de Fortran, usó «axolotl» (el nombre de una salamandra mexicana).
La más débil de todas fue la contraseña del colaborador de Unix, Brian W. Kernighan: “/.,/.”, que representa una cadena de tres caracteres repetida dos veces usando teclas adyacentes en un teclado QWERTY. (Ninguna de las contraseñas incluía las comillas).
Pero había al menos cinco contraseñas de texto sin formato que permanecían fuera de su alcance. Incluían los pertenecientes al científico informático turco Özalp Babaoğlu, el desarrollador de software de Unix Howard Katseff y los colaboradores cruciales de Unix Tom London y Bob Fabry. Pero el hash sin descifrar que pareció ocupar a Neukirchen por más tiempo fue la contraseña utilizada por Ken Thompson, otro co-inventor de Unix.
«Nunca logré descifrar la contraseña de ken con el hash ZghOT0eRm4U9s, y creo que enumeré todo el espacio de teclas de 8 letras minúsculas + símbolos especiales», informó Neukirchen en el hilo del enlace anterior, publicado en la lista de correo de Unix Heritage Society. “Cualquier ayuda es bienvenida.”
De vanguardista a peligrosamente obsoleto
Llegaré a los resultados más tarde, pero primero, una discusión de Descrypt, el algoritmo hash predeterminado para el sistema operativo BSD 3. Cuando debutó en 1979, Descrypt representó lo último en hashing de contraseñas. La principal de las mejoras: fue la primera función hash que usó sal criptográfica, que es una cadena de texto elegida al azar que se agrega a la contraseña, diseñada para evitar que las entradas de texto sin formato idénticas tengan la misma cadena hash. También fue el primero en someter las entradas de texto sin formato a múltiples iteraciones de hashing. Con 25 iteraciones, este llamado proceso de extensión de claves aumentó significativamente el tiempo y el cálculo necesarios para que los atacantes descifraran los hashes.
Descrypt quedó obsoleto hace más de 20 años, sin embargo, a medida que las herramientas de descifrado se volvieron cada vez más poderosas y surgieron mejores funciones. Según los estándares actuales, Descrypt es lamentablemente inadecuado (aunque lamentablemente a veces todavía se usa, en detrimento de los usuarios finales).
Descrypt limita las contraseñas a solo ocho caracteres, una restricción que hace casi imposible que los usuarios finales elijan credenciales realmente sólidas. Y la sal que usa Descrypt proporciona solo 12 bits de entropía, el equivalente a dos caracteres imprimibles. Ese diminuto espacio de sal hace probable que las bases de datos grandes contengan miles de cadenas hash que los atacantes pueden descifrar simultáneamente, ya que las cadenas hash usan la misma sal.
Jeremi M. Gosney, un experto en seguridad de contraseñas y director ejecutivo de la firma de descifrado de contraseñas Terahash, le dijo a Ars que Descrypt es tan débil y anticuado que uno de los dispositivos Inmanis de 10 GPU de su compañía (precio: casi $ 32,000) podría asediar un hash de Descrypt con 14.500 millones de conjeturas por segundo (las plataformas se pueden agrupar para lograr resultados más rápidos). La velocidad de una sola plataforma es suficiente para aplicar fuerza bruta a todo el espacio de claves de Descrypt, que, debido a limitaciones prácticas, era de aproximadamente 249 en 1979, en menos de 10 horas, e incluso menos tiempo cuando se utilizan herramientas de descifrado, como listas de palabras, máscaras y reglas de manipulación. Este sitio también descifrará un hash de Descrypt por tan solo $ 100.
Las debilidades significaban que era inevitable que se descifraran los hashes restantes sin descifrar que Neukirchen publicó. Pero dado que la mayoría de los miembros del foro no eran crackers de contraseñas experimentados, parecían usar técnicas menos eficientes. El miércoles, seis días después de que Neukirchen pidiera ayuda, el miembro del foro Nigel Williams proporcionó la contraseña de texto sin formato de Thompson: «¡p/q2-q4!» (sin incluir las comillas).
Mate
“Tomó más de 4 días en un AMD Radeon Vega64 ejecutando hashcat a aproximadamente 930MH/s durante ese tiempo (los que están familiarizados saben que la tasa de hash fluctúa y se ralentiza hacia el final)”, informó Williams. AMD Radeon Vega64 es una tarjeta gráfica y Hashcat es un programa para descifrar contraseñas que aprovecha las poderosas capacidades de computación paralela de las tarjetas gráficas.
Unas horas después del mensaje de Williams, el miembro del foro Arthur Krewat proporcionó las contraseñas de los cuatro hashes restantes sin descifrar. Ellos eran:
- Katseff: graduada;
- Babaoglu: 12ucdort
- Tela: 561cml..
- Londres:..pnn521
Los miembros del foro señalaron rápidamente que la contraseña de Thompson “p/q2-q4!” es la notación descriptiva de un movimiento de apertura común en el juego de ajedrez.
«Si mal no recuerdo», intervino otro miembro del foro, «la primera mitad de esta contraseña estaba en una camiseta que conmemoraba el primer medio movimiento de Bella, aunque su notación puede haber sido diferente». Belle era el nombre de la máquina de ajedrez desarrollada por Thompson y Joseph Henry ‘Joe’ Condon. Rob Pike, el miembro del foro que trabajó en proyectos de Unix mientras estaba en Bell Labs, luego pasó a un tema diferente que aún no se mencionó en la discusión:
Por interesante que sea, creo que esta piratería es desagradable. Fue desagradable en ese entonces, y todavía lo es. Las actitudes en torno a la piratería han cambiado; la posición actual parece ser que los malos lo están haciendo, por lo que los buenos deberían ser recompensados por hacerlo primero. Eso es falso en el mejor de los casos y peligroso en el peor.
Es un pensamiento interesante y plantea un buen punto sobre la ética de desenterrar las contraseñas de personas reales. En última instancia, sin embargo, me inclino a favor de estudiar el descifrado de contraseñas. Durante la última década, investigadores de universidades y otros lugares han estudiado minuciosamente las contraseñas descifradas. El resultado neto: sabemos mucho más ahora que hace una década sobre cómo elegir una contraseña segura. El miembro del foro Kurt H Maier expresó bien las cosas en una respuesta a Pike.
“No es como si estuviéramos sentados alrededor de la Macbook de alguien”, escribió Maier. “Esto es, en este punto, de interés histórico. ‘¿Cuántas décadas debe tener un hash antes de que sea aceptable decodificarlo?’ es una pregunta válida que vale la pena responder, pero comparar este tipo de arqueología con un ataque activo es un poco absurdo».
De todos modos, espero que Eric Schmidt y compañía hayan cambiado esas contraseñas antiguas.
