hacking day 2013 - senhas sob ataque
TRANSCRIPT
Análise e ferramentas
Jairo M. (Master_Zion)- CEHv7- Autor dos livros
Universidade Espionagem Digital(2007)Mestres da Espionagem Digital (2008).
- Pós graduado em Governança de TI- Mais de 15 anos em TI atuando em diversas áreas
"O que você sabe não tem valor. O valor está no que você faz com o que sabe" - Bruce Lee
O uso indevido dessas informações é crime!
Quais os formatos mais usados nas senhas?
Mais de 80% das pessoas utilizam somente letras minúsculas e números nas senhas
http://www.digininja.org/projects/pipal.php
Mais de 80% das pessoas utilizam senhas com tamanho entre 6 e 10 caracteres
http://www.digininja.org/projects/pipal.php
http://blog.eset.ie/2011/06/01/security-feature-the-irish-are-using-safer-passwords-than-global-average/
Mark Burnett (2011)http://xato.net/passwords/more-top-worst-passwords/
password123456123456781234qwerty12345dragonpussybaseballfootball
Top 10.000
Rainbow Tables são diversas combinações de hash pré-indexadas.
Sabendo o hash, sabe-se a senha.Ex:0cc175b9c0f1b6a831c399e269772661:a
92eb5ffee6ae2fec3ad71c777531578f:b
...
http://www.hash-cracker.com/http://www.tobtu.com/md5.phphttp://md5.rednoize.com/http://www.hash-cracker.com/http://www.cmd5.org/http://www.tmto.org/
http://www.freerainbowtables.com
- Todos podem contribuir gerando rainbow tables quando computador está inativo ( screensaver ) usando um conceito parecido com o antigo SETI.
- Já possui quase 10 TB de tabelas indexadas
Exemplo de execução para quebra de um hash:
rcracki_mt.exe -h 080b8c203776c8a3bd8a1b4bb0225458 pasta_1\*.rti2 pasta_2\*.rti2
Exemplo de execução vários hash:
rcracki_mt.exe -l lista_de_hashes.txt -o saida.txt pasta_1\*.rti2 pasta_2\*.rti2
Prós:- Muito mais rápido que Brute Force- Maiores chances de ataque que dicionário
Contras:- Ocupa muito espaço em disco ( até 1 tb por formato)- Limitado por formato e tamanho de senhas- Quebra de lista de hash é lenta- Não permite salt
Muitos sistemas utilizam “SALT” no hash.
O “Salt” (salgar) nada mais é que dar uma temperada na senha do usuário usuário.
Essa técnica pode ser utilizada de diversas formas de acordo com o gosto do desenvolvedor.
Ex: Hash = sha1(usuário+senha+usuário+nome_da_empresa)Hash = sha1(usuário+senha+email)
O resultado final é uma senha mais complexa que provavelmente não estará em um “rainbow table”
Mais comuns: Rockyou phpbb Yahoo
http://contest-2010.korelogic.com/wordlists.htmlhttp://www.skullsecurity.org/wiki/index.php/Passwordshttp://www.isdpodcast.com/resources/62k-common-passwords/http://securityxploit.blogger.de/topics/Dictionaries+%26+Wordlists+/http://downloads.skullsecurity.org/passwords/
Ataque é rápido, mas a taxa de acerto varia entre 10 e 15 %.
Ataque híbrido é uma mistura de dicionário com força bruta. Acerto pode chegar a quase 30%
115.380,00 34.056,00 (29,51%)
"Crack Me If You Can" - DEFCON 2012https://contest-2012.korelogic.com/stats.html
http://contest-2010.korelogic.com/rules-hashcat.html
Exemplos:KoreLogicRulesAdd1234_Everywhere.ruleKoreLogicRulesAdd2006Everywhere.ruleKoreLogicRulesAdd2010Everywhere.ruleKoreLogicRulesAddDotCom.ruleKoreLogicRulesAddJustNumbersLimit8.ruleKoreLogicRulesAddOnes.ruleKoreLogicRulesAddShortMonthsEverywhere.ruleKoreLogicRulesAppend1_AddSpecialEverywhere.ruleKoreLogicRulesAppend2Letters.ruleKoreLogicRulesAppend4Num.ruleKoreLogicRulesAppend6Num.rule.gzKoreLogicRulesAppend6NumbersSpecial.rule.gzKoreLogicRulesAppendCurrentYearSpecial.ruleKoreLogicRulesAppendJustNumbers.ruleKoreLogicRulesAppendMonthCurrentYear.rule
Alguns facilitam....
http://nakedsecurity.sophos.com/2012/05/10/tv-password-security/
http://ego.globo.com/Gente/Noticias/0,,MUL1578916-9798,00-LUCIANO+HUCK+TEM+CONTA+ROUBADA+NO+TWITTER+E+LEVA+NA+BRINCADEIRA.html
http://pt.wikipedia.org/wiki/Anexo:Lista_de_listas
Wikipedia fornece uma diversas listas de palavras que podem ser utilizadas para ataque direcionado
MZTG – Busca de palavras no google
www.mztg.org
Principais listas brasileiras na wikipedia já indexados
www.mztg.org
Selecionando dicionários de acordo com palavras na busca no google.
www.mztg.org
www.mztg.org
Gerando dicionário híbrido
Ataque por variações login / host
www.mztg.org
Controle de Maiúsculas para ataques mais elaborados
www.mztg.org
Problemas quanto a ataques remotos:
1. IP pode ser bloqueado.2. Gera muito log, facilmente chama atenção3. Lento4. Pode bloquear o login alvo5. CAPTCHA impede o ataque (pouco usado em sites corporativos)