entendendo como as mídias socias revolucionaram os ataques de força bruta
DESCRIPTION
Henrique Soares, analista técnico do Grupo Clavis Segurança da Informação. Esta palestra visa demonstrar como a análise de informações publicadas nas mídias sociais podem ser utilizadas como base de conhecimento para o lançamento de ataques de força bruta. Os ataques de força bruta não são exatamente uma novidade e as técnicas que serão apresentadas nesta palestra também não são novas, entretanto com o advento das mídias sociais como fonte de informações pessoais com bom nível de confiabilidade de um dado indivíduo (pois são fornecidas pelo próprio), a eficiência dos ataques de força bruta pode ser aumentada de maneira significativa sobre o próprio indivíduo ou sobre outros próximos a ele. Assim, a aplicação destas técnicas já bem conhecidas com o conhecimento destas novas informações que, se interpretadas de maneira adequada, podem obter resultados melhores. Assim, esta palestra apresenta as técnicas e ferramentas já tradicionalmente utilizadas para lançar este tipo de ataque e acrescenta a este contexto as melhorias que o conhecimento das informações coletadas nas mídias sociais podem trazer. O objetivo da apresentação é conscientizar sobre os riscos resultantes da exposição descuidada de informações.TRANSCRIPT
Entendendo como as Mídias Sociais Revolucionaram os
Ataques de Força Bruta
Henrique Soares Analista de Segurança
$ whoami
• Analista do Grupo Clavis • Mestre em Informática pela UFRJ
• Detecção e resposta a incidentes de segurança
• Testes de invasão em redes, sistemas e
aplicações.
Agenda
• Ataques sobre Senhas 101 • Estatísticas Interessantes
• Utilizando as Mídias Sociais
• Conclusão
Agenda
Ataques sobre Senhas 101
• Força Bruta vs. Recuperação de Senhas
• Objetivos deste tipo de ataque: • White Hat: Descobrir usuários com senhas fracas • Black Hat: Obter acesso não-autorizado
• Os ataques geralmente são eficazes somente sobre senhas fracas
Ataques sobre Senhas 101
Introdução
• Senha fraca → Fácil de adivinhar
• Dicas clássicas para criar senhas fortes: • Misturar letras maiúsculas, minúsculas, números
e caracteres especiais • Não utilizar palavras que podem ser encontradas
em dicionários (de nenhuma língua) • Prestar atenção no número de caracteres • Não utilizar uma senha em múltiplos serviços
• Não usar senhas sugeridas em palestras!!! J
Ataques sobre Senhas 101
O Que Caracteriza uma Senha Fraca?
• Não-Computacional • Não envolvem computadores
• Offline • Não necessitam conectividade
• Passivo • Não interagem com o alvo na rede
• Ativo • Interagem com o alvo na rede
Ataques sobre Senhas 101
Classificação dos Ataques
Agenda
Estatísticas Interessantes
• Tamanho das senhas • ≤ 5 (1,01%), 6 (21,79%), 7 (14,04%), 8 (20,58%), 9 (12,22%),
10 (8,647%), 11 (5,9%), 12 (4,83%), ≥ 13 (10,99%)
• Senhas mais comuns • 123456 (64), 123456789 (18), alejandra (11), 111111 (10),
alberto (9), tequiero (9), alejandro (9), 12345678 (9)
• Conjunto de caracteres • a (41,57%), aA1 (29,73%), 1 (19,11%),
aA1@ (6,33%), aA (3,26%)
Fonte: http://www.acunetix.com/blog/news/statistics-from-10000-leaked-hotmail-passwords/
Estatísticas Interessantes
Vazamento de credenciais do Hotmail
• Tamanho das senhas • 6 (20,75%), 7 (15,64%), 8 (32,79%), 9 (15,04%), 10 (8,99%),
11 (3,77%), 12 (1,8%), 13 (0,68%), ≥ 14 (0,53%)
• Conjunto de caracteres • a1 (47,66%), a (24,57%), aA1 (12,16%), 1 (7,71%)
• Ordenação dos caracteres • s (27,57%), 1 (7,71%) • s1 (49,05%), s1s (5,24%), 1s (3,16%), 1s1 (0,94%) • s@1 (1,35%), s@s (0,46%), s@ (0,34%), @s (0,05%),
@s@ (0,04%), @ (0,0%) Fonte: http://pastebin.com/5pjjgbMt
Estatísticas Interessantes
Vazamento de credenciais do LinkedIn
• Tamanho das senhas • ≤ 5 (1,93%), 6 (17,98%), 7 (14,82%), 8 (26,9%), 9 (14,9%), 10
(12,37%), 11 (4,79%), 12 (4,91%), ≥ 13 (1,47%)
• Senhas mais comuns • 123456 (1666), password (780), welcome (436), ninja (333),
abc123 (250), 123456789 (222), 12345678 (208)
• Conjunto de caracteres • a1 (50,61%), a (33,08%), 1 (5,89%), Aa1 (5,25%)
• Ordenação dos caracteres • s1 (41,85%), 1a (5,64%), s1s (4,22%), 1s1 (1,05%)
Fonte: http://blog.eset.se/statistics-about-yahoo-leak-of-450-000-plain-text-accounts/
Estatísticas Interessantes
Vazamento de credenciais do Yahoo
Que as
Mídias Sociais
têm com isto?
Foca!!!
Agenda
Utilizando as Mídias Sociais
• Dica de senha • Adivinhação da senha pela dica
• Mecanismo de recuperação de senhas • Alteração da senha pelo fornecimento de
informações pessoais
• Ataques de dicionário • Adivinhação por um teste iterativo de
possíveis senhas
Mídias Sociais
Ataques sobre Senhas
Mídias Sociais
Cenário 1: Dica de Senha
Mídias Sociais
Cenário 1: Dica de Senha
• Informações pessoais → Identidade • Problema: muitas pessoas têm postado informa-
ções pessoais (e até íntimas) em mídias sociais
• Como resolver este problema? • Que informação é pessoal a ponto de identificar,
mas desinteressante de postar em redes sociais? • Solução: Comunicar-se com o cliente por outro
canal de comunicação pré-estabelecido
• Eficaz só se boas práticas não forem seguidas
Mídias Sociais
Cenário 2: Recuperação de Senha
• Ataque sobre a recuperação de senha • Pedia informações facilmente obtidas na Internet
• Atacante encontrado, julgado e condenado • Acusações incluíram:
• Obstrução da Justiça • Acesso não-autorizado a computador • Fraude eletrônica • Roubo de identidade
• Sarah Palin não ganhou as eleições de 2008 Fonte: http://wikileaks.org/wiki/VP_contender_Sarah_Palin_hacked
Mídias Sociais
Caso Sarah Palin
• Ataque de tentativa/erro com wordlists • Será bem-sucedido se a senha estiver na wordlist
• O que faz uma boa wordlist? • Senhas com boa probabilidade de acerto • Senhas mais relevantes ↔ Alvo bem definido
• Como Mídias Sociais podem auxiliar? • Senha fácil de lembrar ↔ Informações pessoais • Wordlists baseadas em informações pessoais
são mais relevantes que aleatórias
Mídias Sociais
Cenário 3: Ataque de Dicionário
• Ferramenta livre para criação de wordlists
• Características: • Permite criar wordlists a partir de um charset • Gera todas strings possíveis com este charset
• Mas e aí? Funciona? • Funcionar até funciona, mas e o tempo? • Senhas com baixíssima probabilidade de estarem
sendo usadas por um usuário real
Mídias Sociais
Ferramenta: Crunch
Mídias Sociais
Ferramenta: Crunch
• Ferramenta livre para obtenção de informação
• Características: • Busca informações em mídias públicas sobre
domínios ou empresas alvo • Coleta emails, hosts e virtual hosts
• Mas isto ajuda em que? • Fornece nomes de usuários válidos • Informações sobre a infraestrutura alvo
Mídias Sociais
Ferramenta: The Harvester
Mídias Sociais
Ferramenta: The Harvester
• Ferramenta livre para criação de wordlists
• Características: • Recebe informações pessoais sobre o alvo e cria
uma wordlist com base nestes dados
• Mas e agora? • Atacar com sua ferramenta favorita
• John the Ripper, Aircrack-NG, THC-Hydra, Medusa, etc • Vale frisar: nada é garantido! • HULK SMASH!!!
Mídias Sociais
Ferramenta: CUPP
Mídias Sociais
Ferramenta: CUPP
Mídias Sociais
Ferramenta: CUPP
Conclusão
Agenda
• Não escreva sua senha em mídias sociais • Tem SEMPRE alguém olhando!!!
• Não utilize uma senha em múltiplos serviços • Caso se descubra a senha em um serviço, o
atacante não terá acesso aos outros serviços
• Escolha senhas fortes e difíceis de adivinhar • Utilizar uma boa senha ainda é uma boa
medida de segurança
Conclusão
Medidas Importantes
• Não escreva sua senha em papel • Aproveite o fato de não terem inventado ainda
métodos de leitura da mente
• Se possível, utilize autenticação multi-fator • Mais camadas de segurança não fazem
mal a ninguém! J
• Cuidado com a exposição excessiva • Não informe aos criminosos de sua cidade
para onde você está indo!!!
Conclusão
Medidas Importantes
Dúvidas?
Perguntas? Críticas?
Sugestões?
Siga a Clavis
