“Google as a password cracker” o tras la pista de Anthony

Leo via microsiervos una entrada en el blog Light Blue Touchpaper sobre, llamemosle, una anecdota del webmaster que surjio al querer descubrir la contraseña de una persona que habia comprometido su blog (no sabemos lo que hizo). El atacante habia creado una cuenta en uno de sus pasos para hacerse con privilegios de administrador y al webmaster le parecio interesante descubrir su contraseña partiendo de su hash MD5. Muy curioso…

Hash MD5 – Codigo resultante de la encriptacion de un dato, archivo, etc… usando el algoritmo MD5. Este algoritmo es unidireccional lo que hace imposible recuperar el dato de origen teniendo solamente el codigo MD5.

El caso de la contraseña codificada solo puede tener una solucion, ir encriptando palabras, condificarlas con el algoritmo MD5 e ir comparando los codigos resultantes con el que ya tienes (la contraseña del atacante). Despues de probar varias opciones sin resultados positivos hizo lo que todos hacemos a ver que pasa, una busqueda con el hash en Google… i voila! aparecio un sitio sobre genealogia, una web que alberga inumerables nombres propios. El webmaster de este sitio decidio usar los hash MD5 de cada uno de los nombres para estructurar la web, usandolos como nombre de los respectivos directorios donde luego aparecen todos los datos genalogicos de cada uno de los nombres propios del mundo. Esta es una practica habitual entre los webmasters, ya que es una forma sencilla de crear automaticamente los directorios de la pagina y, al mismo tiempo, evitar duplicados.

El webmaster buscaba la contraeña encriptada del atacante: 20f1aeb7819d7858684c898d1e98c1bb
Al buscar en Google aparecio esta web (entre otras):
http://freepages.genealogy.rootsweb.com/~camat/harvey/srn/[…]
[…]2/0/20f1aeb7819d7858684c898d1e98c1bb.html

Si entrais en la pagina vereis que se trata de la web del nombre Anthony, que resulto ser la contraseña que buscaba.

Curioso cuanto menos.