hacking day 2013 - senhas sob ataque

Análise e ferramentas

Jairo M. (Master_Zion)- CEHv7- Autor dos livros

Universidade Espionagem Digital(2007)Mestres da Espionagem Digital (2008).

- Pós graduado em Governança de TI- Mais de 15 anos em TI atuando em diversas áreas

"O que você sabe não tem valor. O valor está no que você faz com o que sabe" - Bruce Lee

O uso indevido dessas informações é crime!

Quais os formatos mais usados nas senhas?

Mais de 80% das pessoas utilizam somente letras minúsculas e números nas senhas

http://www.digininja.org/projects/pipal.php

Mais de 80% das pessoas utilizam senhas com tamanho entre 6 e 10 caracteres

http://www.digininja.org/projects/pipal.php

http://blog.eset.ie/2011/06/01/security-feature-the-irish-are-using-safer-passwords-than-global-average/

Mark Burnett (2011)http://xato.net/passwords/more-top-worst-passwords/

password123456123456781234qwerty12345dragonpussybaseballfootball

Top 10.000

Rainbow Tables são diversas combinações de hash pré-indexadas.

Sabendo o hash, sabe-se a senha.Ex:0cc175b9c0f1b6a831c399e269772661:a

92eb5ffee6ae2fec3ad71c777531578f:b

...

http://www.hash-cracker.com/http://www.tobtu.com/md5.phphttp://md5.rednoize.com/http://www.hash-cracker.com/http://www.cmd5.org/http://www.tmto.org/

http://www.freerainbowtables.com

- Todos podem contribuir gerando rainbow tables quando computador está inativo ( screensaver ) usando um conceito parecido com o antigo SETI.

- Já possui quase 10 TB de tabelas indexadas

Exemplo de execução para quebra de um hash:

rcracki_mt.exe -h 080b8c203776c8a3bd8a1b4bb0225458 pasta_1\*.rti2 pasta_2\*.rti2

Exemplo de execução vários hash:

rcracki_mt.exe -l lista_de_hashes.txt -o saida.txt pasta_1\*.rti2 pasta_2\*.rti2

Prós:- Muito mais rápido que Brute Force- Maiores chances de ataque que dicionário

Contras:- Ocupa muito espaço em disco ( até 1 tb por formato)- Limitado por formato e tamanho de senhas- Quebra de lista de hash é lenta- Não permite salt

Muitos sistemas utilizam “SALT” no hash.

O “Salt” (salgar) nada mais é que dar uma temperada na senha do usuário usuário.

Essa técnica pode ser utilizada de diversas formas de acordo com o gosto do desenvolvedor.

Ex: Hash = sha1(usuário+senha+usuário+nome_da_empresa)Hash = sha1(usuário+senha+email)

O resultado final é uma senha mais complexa que provavelmente não estará em um “rainbow table”

Mais comuns: Rockyou phpbb Yahoo

http://contest-2010.korelogic.com/wordlists.htmlhttp://www.skullsecurity.org/wiki/index.php/Passwordshttp://www.isdpodcast.com/resources/62k-common-passwords/http://securityxploit.blogger.de/topics/Dictionaries+%26+Wordlists+/http://downloads.skullsecurity.org/passwords/

Ataque é rápido, mas a taxa de acerto varia entre 10 e 15 %.

Ataque híbrido é uma mistura de dicionário com força bruta. Acerto pode chegar a quase 30%

115.380,00 34.056,00 (29,51%)

"Crack Me If You Can" - DEFCON 2012https://contest-2012.korelogic.com/stats.html

http://contest-2010.korelogic.com/rules-hashcat.html

Exemplos:KoreLogicRulesAdd1234_Everywhere.ruleKoreLogicRulesAdd2006Everywhere.ruleKoreLogicRulesAdd2010Everywhere.ruleKoreLogicRulesAddDotCom.ruleKoreLogicRulesAddJustNumbersLimit8.ruleKoreLogicRulesAddOnes.ruleKoreLogicRulesAddShortMonthsEverywhere.ruleKoreLogicRulesAppend1_AddSpecialEverywhere.ruleKoreLogicRulesAppend2Letters.ruleKoreLogicRulesAppend4Num.ruleKoreLogicRulesAppend6Num.rule.gzKoreLogicRulesAppend6NumbersSpecial.rule.gzKoreLogicRulesAppendCurrentYearSpecial.ruleKoreLogicRulesAppendJustNumbers.ruleKoreLogicRulesAppendMonthCurrentYear.rule

Alguns facilitam....

http://nakedsecurity.sophos.com/2012/05/10/tv-password-security/

http://ego.globo.com/Gente/Noticias/0,,MUL1578916-9798,00-LUCIANO+HUCK+TEM+CONTA+ROUBADA+NO+TWITTER+E+LEVA+NA+BRINCADEIRA.html

http://pt.wikipedia.org/wiki/Anexo:Lista_de_listas

Wikipedia fornece uma diversas listas de palavras que podem ser utilizadas para ataque direcionado

MZTG – Busca de palavras no google

www.mztg.org

Principais listas brasileiras na wikipedia já indexados

www.mztg.org

Selecionando dicionários de acordo com palavras na busca no google.

www.mztg.org

www.mztg.org

Gerando dicionário híbrido

Ataque por variações login / host

www.mztg.org

Controle de Maiúsculas para ataques mais elaborados

www.mztg.org

Problemas quanto a ataques remotos:

1. IP pode ser bloqueado.2. Gera muito log, facilmente chama atenção3. Lento4. Pode bloquear o login alvo5. CAPTCHA impede o ataque (pouco usado em sites corporativos)