Este documento habla sobre técnicas avanzadas de cracking de contraseñas, incluyendo el uso de GPU, diccionarios generados a partir de fuentes de datos en línea, y máscaras para fuerza bruta. También analiza incidentes de seguridad pasados donde se revelaron contraseñas robadas y sus frecuencias.
2. Yo. Ego - presentación
Manager del TigerTeam de SIA
Profesor en el MOSTIC de la Universidad Europea de
Madrid
Editor de SecurityByDefault.com
Aunque lo parezca. No soy gamer =]
Blah Blah…
¡Ah! mi twitter: @aramosf
3. ¿Password cracking en 2011?
Estudio de políticas de contraseñas
«Nuevas» técnicas:
Usos distribuidos
GPGPU
La nube, servidores en Internet
Una contraseña suele ser válida para varios sitios
«un anillo para gobernarlos a todos»
Para qué ASLR, DEP, IPS, Antivirus, proxies… si la
contraseña es el nombre de la compañía
Because There Is No Patch To Human Stupidity
4. Aplicaciones que comprueban contraseñas
Alejandro2011
http://www.passwordmeter.com/
Alejandro2011
https://www.microsoft.com/security/pc-security/password-checker.aspx
5. Políticas de contraseñas
Long. Min Dígitos Caráct.Esp. Ej válidos
8 No No 1234567ab
6 No No qwerty
6 No No qwerty
6 No No asdfgh
8 No No qwertyui
6 No No qwerty
6 No No qwerty1234
8. ¡STOP! Ya todos sabemos…
Las contraseñas se deben almacenar de forma segura en
nuestras aplicaciones web
El método más común es utilizar algoritmo de hash
Ejemplo MD5, MD5, SHA1, SHA256
Registro en Contraseña 4d186321c1a7f0f354b297e8
md5(hola) 914ab240
web «hola»
Acceso:
4d186321c1a7f0f35
Contraseña: md5(hola)
4b297e8914ab240
«hola»
9. Dorking
filetype: sql log txt
Cadenas a buscar:
@hotmail.com @gmail +password +username
Hashes sin salt
e10adc3949ba59abbe56e057f20f883e (md5 123456)
7c4a8d09ca3762af61e59520943dc26494f8941b (sha1 123456)
Volcados de software de gestión de BBDD
"phpMyAdmin SQL Dump" "Richsoft 2010 Data backup"
"MySQL dump" "PHPwind bakfile"
"PostgreSQL database dump" "SHOPEX SQL MultiVolumn"
"Dumped by N3tShell.SQL" "MySQL Administrator dump 1.4"
Trozos de Bases de datos:
"INSERT INTO `phpbb_users"
14. Incidentes – Singles.org
Red social de citas para Contraseña Num
religiosos (?) 123456 221
jesus 63
Acceso al perfil del usuario con
password 58
su ID de 6 dígitos
12345679 46
En el perfil se muestra la christ 36
contraseña. love 29
16.250 usuarios princess 27
12.234 contraseñas jesus1 25
sushine 24
1234567 23
15. Incidentes – Internet is for.. Pr0n!
Origen y sitio desconocido Contraseña Num
1234 28
10.000 usuarios 123456 25
8.089 contraseñas válidas password 20
pussy 19
12345 18
6969 15
mustang 14
love 14
michael 13
dick 13
21. Ejemplos de contraseñas encontradas
Rockyou: y los hackers: phpBB y el amor:
fuckyouhackers SANDRA TE AMO
trytohackme Tru Love
some1hackedmypassword teamojuanpablo
hackingisfunbutbecareful! lovedogs
hacker!@#$%^&*( ilovetits
Rootkit y el sexo Gawker y ...:
Transexual27 asslover
pornking notgay
Ilovebrittanie gayboy
iownyourass assfuck1
23. Fuerza Bruta
Probando todas las combinaciones posibles:
aaaaa…ZZZZ
Markov (http://openwall.info/wiki/john/markov)
Uso de Tablas Rainbow para algoritmos sin salt
Mejoran rendimiento en discos duros SSD ($$!)
Lista de 500hash MD5 mixalpha_all_space 1-6:
Rainbow Tables: ~6horas
GTX460 IGHASHGPU: 23min
Un solo hash MD5:
Rainbow Tables: 2,5min
GTX460 IGHASHGPU: 16min
25. Fuerza Bruta (eh, pero con clase): Máscaras
Crear ataques en base a reglas. Ejemplos:
«Los 5 primeros carácteres tiene que ser letras minúsculas y
luego 2 dígitos»:
?l?l?l?l?l ?d?d
«La primera letra máyuscula y luego 6 letras minúsculas»:
?u?l?l ?l?l?l
«5 caracteres alfanúmericos»
-1 ?l?u?d ?1?1?1 ?1?1?1
?l = abcdefghijklmnopqrstuvwxyz
?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
?d = 0123456789
?s = !”#$%&’()*+,-./:;<=>?@[]^_`{|}~
?h = ISO-8859 characters from (0xc0 – 0xff)
31. Diccionarios: fingerprint
Dado un diccionario de contraseñas válidas, generar otras
combinaciones:
$ echo cosa|./hashcat-utils-0.3/expander.exe| sort -u
a
ac
aco
acos
c
co
cos
cosa
o
os
osa
osac
s
sa
sac
saco
47. Amazon
Ofrece Instancia con 2 Nvidia TESLA a 2$ la hora =
410M/s
Velocidad similar a 1 Geforce GT 240 (70$)
8 instancias durante
una semana = 4 ATI
5790
4 ATI =36.000M/s
8 Instancias =
1.640M/s