martes, 8 de enero de 2013

Obtener Contraseñas Gracias al Volcado de la Memoria RAM

Hace días que no os explicaba nada de este estilo. Así que ya es hora de ponerse el sombrero negro y de explicaros como poder obtener contraseñas de Hotmail, Gmail, Yahoo, etc gracias a nuestra querida memoria RAM (Que en realidad es una tontería pero dicho así acojona xD)


Muchos pensamos que con cerrar nuestra sesión, en un PC de carácter "publico" (los que vamos a encontrar en bibliotecas, cibercafés  en el tuyo mismo cuando viene un colega o el del colega cuando quieres devolverle la putada, etc) ya estamos salvados de que nos entren en nuestra cuenta.

Nada mas lejos de la realidad, el problema radica en que las peticiones que hagamos a una web quedad guardadas en nuestra RAM. Además la mayoría de este tipo de webs, solo para peticiones locales, guardan la contraseña en texto plano (vamos sin ningún tipo de cifrado). Esto nos hace vulnerables a la posibilidad de que alguien sin corazón y con un sombrero negro vuelque esa memoria en un archivo .raw  para mas tarde analizarla tranquilamente. Llevándose consigo tus contraseñas de los sitios que te hayas conectado antes de apagar el PC. Digo esto por que una de las virtudes que tiene el apagarlo de forma normal es que borra todo lo que haya en la RAM mientras que si "tiramos del cable" no le da tiempo y esa información sigue estando allí. Esto es utilizado por los que hacen análisis forenses y necesitan llevarse el ordenador, que en ese momento esta encendido, a la bat-cueva para analizarlo. (por lo que tiran del cable y para casa). 

¿Como realizamos el volcado de memoria? 


De esta tarea se encargará un pequeño programa hecho por MoonSols llamado DumpIt. Este pequeño programa es una fusión entre win32dd y win64dd. Además, es rápido, fácil, ligero y portatil. Solo nos hará falta darle doble click y decirle Yes  para que copie nuestra RAM en un archivo .raw. 





¿Como Analizar en contenido del .raw?


Para este desafío necesitaremos un editor Hexadecimal (esto suena a matemáticas, pero no os preocupéis) para poder leer las contraseñas. Solo tendríamos que encontrar la palabra clave para encontrar el lugar donde esta la contraseña que buscamos. Normalmente, esa palabra clave, suele ser "pass","password", "psswrd"y cosas por el estilo.



Os dejo un vídeo donde explican el procedimiento paso a paso pero con una versión  mas profesional de este programa. Se puede hacer igualmente pero requiere mas tiempo y es una matada. 


No seáis malos. 

2 comentarios: