Hackear Gmail y MD5, trucar encuestas, y troyanos en PDF’s que no descubre ningún antivirus

Hackear Gmail y MD5, trucar encuestas, y troyanos en PDFs que no descubre ningún antivirus

Ángel Prado Montes, ex empleado de Microsoft

Ayer estuve en una sesión con Ángel Prado Montes, sobre seguridad informática. Me gustó mucho y le invité como ponente a la siguiente edición de “Creo en internet“. Hizo 4 demos en directo, respondiendo a algunas preguntas que muchas veces nos hacemos ¿como hackear una cuenta de gmail? ¿como hackear gmail? ¿como hackear gmail?:

Hackear Gmail: como hackear una cuenta de Gmail

    • Este hackeo sólo pueden hacértelo si entras en una cuenta de Gmail en un dispositivo ajeno: el ordenador de otra persona, una blackberry que te deja un amigo, o un iPad de la Apple store.
    • Después lógicamente no dejas la sesión de Gmail abierta, sino que sales de la sesión: logout. De modo que no se puede volver a entrar desde el navegador.
    • Pero Gmail almacena en los ordenadores o iPhones un archivo con los últimos mensajes, contactos visitados, etc. Esto le permite trabajar cuando se pierde la conexión unos segundos.
    • Se puede acceder a esta base de datos almacenada en el ordenador pulsando F12 en Chrome, que abre una consola para desarrolladores y nos indica su ubicación.
    • Para evitar esto hay que borrar la cache, datos privados y cookies del navegador tras hacer el logout.
    • En el iPhone hay que ir a: ajustes, safari, avanzado, datos de sitios web. Y ahí borrar las bases de datos que tiene descargadas (se puede ver perfectamente el tamaño de las bases de datos de gmail, llamadas mail.google.com y m.google.com).
    • Conclusión: no entres en tu cuenta de correo desde un ordenador o dispositivo que no sea de tu total confianza.

Trucar encuestas de diarios online

    • Consideramos sólo encuestas de medios serios y seguros (como elmundo.es o elpais.com), no de páginas fácilmente hackeables.
    • En las encuestas online de estos periódicos “seguros”, puedes hacer un voto por navegador. Es decir, si abres la web de la encuesta con Explorer, puedes hacer un voto (aunque si clicas rápido con el ratón, puede llegar a contar 2 votos). Luego si sigues votando con Explorer, los votos ya no cuentan. Si abres Mozilla, puedes volver a hacer un voto que cuenta (si vas rápido clicando, hasta dos). Otro voto con Firefox, otro con Opera, otro con Safari… y tantos como navegadores.
    • Pero Ángel Prado Montes nos demostró en directo cómo hacer un programa que se conecte por shokets a la web y simule ir cambiando de navegador continuamente, para poder hacer 15.000 votos de golpe.
    • Aquí tenéis el resultado: 17.000 de los 23.000 votos a favor de poner el límite de velocidad a 140 Km/h en las carreteras, y menos de 3.000 para las demás opciones.
    • Este mismo método le sirvió a Ángel para ser uno de los 10 gallegos del año 2011. Fue el que más votos sacó en la encuesta online. El segundo fue el ex-ministro José Blanco 😉
    • Conclusión: no te fies de las encuestas online. Son manipulables.

Hackear Gmail y MD5, trucar encuestas, y troyanos en PDFs que no descubre ningún antivirusObtener contraseñas de cuentas de correo masivamente

    • Anonymous publicó recientemente datos de 100 millones de usuarios de SONY (Play Station). Publicó la base de datos con e-mails, contraseñas hasheadas en MD5 (encriptadas), direcciones postales, etc.
    • Estos datos ya no están disponibles en ninguna de las webs en que estaban disponibles, porque el FBI ha pedido que se retiren.
    • Ayer, Ángel los encontró en directo buscando en Google en un dominio .cc: de las islas Coco, que no están bajo la jurisdicción del FBI 😉
    • Descargamos los datos (tardaron un rato en descargarse) y empezamos a sacar las contraseñas hasheadas en MD5 con un diccionario con las contraseñas más frecuentes y variaciones sobre las mismas
    • Usamos HashCat, para sacar las contraseñas. Probamos con las primeras 100.000 y el programa sacó en 5 minutos más de 40.000 contraseñas y segía trabajando para sacar las demás
    • Para sacar una contraseña en particular escondida tras un MD5 el método más rápido es poner la contraseña encriptada en Google: siempre hay alguien que la ha desencriptado y puedes ver la contraseña que hay detrás. Lo probamos y funcionó a la primera 🙂
    • Luego basta con probar esas contraseñas, que se había hecho la gente en sus cuentas de SONY, para ver si entran en sus cuentas de correo… porque la mayor parte de la gente tiene la misma contraseña de su correo en otros servicios de internet.
    • Conclusión: no pongas la contraseña de tu cuenta de correo en otros lugares de internet (foros, blogs, banco, etc)

Generar o desenmascarar virus, que no encuentre ningún antivirus

  • Como sabéis, se pueden meter virus no sólo en documentos de office (word, excell, ppt, etc), sino también en imágenes o en documentos pdf
  • Ángel Prado Montes tenía un documento pdf que era una hoja en blanca y ejecutaba un virus nada más abrirse
  • Subimos el pdf a Virus Total, que es una web que te analiza los archivos con los 20 antivirus más conocidos. Y de los 20, 19 no detectaban nada raro. Y 1 de ellos decía que tenía scripts en su interior, sin detallar si eran dañinos o no.
  • El troyano que tenía ese pdf se manejaba desde Black Hole: un exploit kit que permite administrar los ordenadores que están infectados por tu virus-troyano. Más abajo tenéis la interface del programa: saca estadísticas de los ordenadores infectados por tus virus, porcentaje de infección, país de procedencia, sistema operativo, nevegador, etc.
  • El troyano funcionaba con 4 scripts ofuscados uno dentro de otro… parecido a la película Inception. Pero los antivirus sólo suelen analizar el primer nivel de ofuscación, no entran a los 4 interiores. Por eso no detectan este tipo de virus.
  • Como suelen infectarse un 10% de los que reciben este tipo de virus en scripts tan ofuscados, basta con mandar mensajes a 10.000 personas, para tener 1.000 ordenadores zombies a tu servicio.
  • El 4º script ofuscado, al ejecutarse, llama a una ip y desde allí se descarga un ejecutable, que empieza a correr en el ordenador víctima y ese ordenador ya está controlado.
  • Conclusión: no abras adjuntos que llegan de desconocidos.

Hackear Gmail y MD5, trucar encuestas, y troyanos en PDFs que no descubre ningún antivirus

Conclusión general: internet no es territorio seguro, como ya avisó Chema Alonso en Creo en internet.

También te pueden gustar estos artículos sobre seguridad informática:

Hackear Gmail y MD5, trucar encuestas, y troyanos en PDF’s que no descubre ningún antivirus
3 (60%) 4 votos

8 pensamientos en “Hackear Gmail y MD5, trucar encuestas, y troyanos en PDF’s que no descubre ningún antivirus

  1. Las búsquedas que más tráfico traen a esta entrada son:
    hackear gmail 
    como hackear una cuenta de gmail 
    como hackear gmail 
    hackear cuenta gmail 
    como hackear un gmail 
    hackear cuenta de gmail 
    como hackear un correo gmail 
    como hackear una cuenta gmail 
    como hackear cuenta de gmail 
    como hackear un correo de gmail 
    como hackear cuenta gmail 
    hackear correo gmail 
    como hackear una cuenta de google 
    como hackear correo gmail 
    hackear una cuenta de gmail 
    hackear cuenta google 
    como hackear cuentas de gmail 
    hackear un gmail 
    como hackear cuenta de google 
    como hackear una cuenta google 
    hackear cuentas de gmail 
    como hackear cuentas de google 
    hackear cuentas gmail 
    hackear cuenta de google 
    hackear un correo gmail 
    hackear cuentas de google 
    como hackear una cuenta de gmail de otra persona 
    como hackear gmail password 
    como hackear cuenta google 
    hackear contraseña gmail 
    como entrar a una cuenta gmail de otra persona 
    hackear una cuenta gmail 
    hakear gmail 
    como robar una cuenta de gmail 
    como entrar al gmail de otra persona 
    como hackear cuentas gmail 
    piratear gmail 
    como hackear una cuenta de google+ 
    como hakear una cuenta de gmail 
    como hackear una contraseña de gmail 
    hackear correo de gmail 
    hackear cuenta de gmail online 
    como puedo hackear una cuenta de gmail 
    como hackear una cuenta de correo gmail 
    como entrar a gmail de otra persona 
    como hakear gmail 
    cómo hackear una cuenta de gmail 
    hack cuenta gmail 
    como hackear un email de gmail 
    entrar a gmail de otra persona 
    hackear gmail 2015 online 
    hackear contraseña de facebook sin encuestas 
    encuestas por gmail 
    hacker troyano 
    obtener contrasena de facebook sin encuestas 
    programa online para hackear facebook sin encuestas 
    hackear contraseñas facebook sin encuestas 
    rackear gmail 
    programas para hackear facebook sin encuestas 
    como hackear un ordenador ajeno 
    hackear facebook sin encuestas 
    encuesta online google 
    como hackear un facebook online sin encuestas 
    hackear sin encuestas 
    troyanos para hackear 
    pagina para hackear facebook sin encuestas 
    gmail antivirus 
    encuestas gmail 
    hackear facebook online sin encuestas 
    hackear facebook sin encuestas online 
    antivirus online troyanos 
    troyano hacker 
    hackear un correo 
    programa para hackear facebook sin encuestas 
    trucar foto online 
    hacking gmail pdf 

  2. “No hurtarás” (Exodo 20.15). Robar es un pecado, aunque sean señales de WiFi, e-mails, etc. El internet es buena herramienta, pero la perversidad humana lo trastoca.

  3. Antonio, muchas gracias por la información y te agrego esta que no sé si sabías que hacía google cuando uno entra a la cuenta de Gmail desde otro dispositivo.
    saludos!
    María

  4. Pero aunque él código de ejecute en un 4to nivel de ofuscacion, al final él ejecutable qué descarga el archivo del se ejecuta en un espacio de memoria común, donde un simple firewall puede evitar la descarga de contenido sí no esta dentro de las reglas de entrada y salida, así qué considero qué no esta tan difícil evitar un troyano en un pdf

  5. No se puede saber al 100%, pero si el antivirus está actualizado, es bueno y no te detecta virus, probablemente no tengas ninguno o casi ninguno. Lo mejor es tomar precauciones: no abrir adjuntos de desconocidos, no entrar en páginas web que no sean de confianza, tener cuidado con los pendrives…

  6. ¿Y cómo determino si mi máquina tiene virus que el antivirus (actualizado) no detecta?, ¿Hay una forma segura de limpiar el equipo?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *