Professional Documents
Culture Documents
Jairo M. (Master_Zion) - CEHv7 - Autor dos livros Universidade Espionagem Digital(2007) Mestres da Espionagem Digital (2008). - Ps graduado em Governana de TI - Mais de 15 anos em TI atuando em diversas reas
"O que voc sabe no tem valor. O valor est no que voc faz com o que sabe" - Bruce Lee
Mais de 80% das pessoas utilizam somente letras minsculas e nmeros nas senhas
http://www.digininja.org/projects/pipal.php
Mais de 80% das pessoas utilizam senhas com tamanho entre 6 e 10 caracteres
http://www.digininja.org/projects/pipal.php
http://blog.eset.ie/2011/06/01/security-feature-the-irish-are-using-safer-passwords-than-global-average/
Top 10.000 password 123456 12345678 1234 qwerty 12345 dragon pussy baseball football
Rainbow Tables so diversas combinaes de hash pr-indexadas. Sabendo o hash, sabe-se a senha. Ex: 0cc175b9c0f1b6a831c399e269772661:a 92eb5ffee6ae2fec3ad71c777531578f:b ...
http:// www.freerainbowtables.com - Todos podem contribuir gerando rainbow tables quando computador est inativo ( screensaver ) usando um conceito parecido com o antigo SETI. - J possui quase 10 TB de tabelas indexadas
Prs: - Muito mais rpido que Brute Force - Maiores chances de ataque que dicionrio Contras: - Ocupa muito espao em disco ( at 1 tb por formato) - Limitado por formato e tamanho de senhas - Quebra de lista de hash lenta - No permite salt
Muitos sistemas utilizam SALT no hash. O Salt (salgar) nada mais que dar uma temperada na senha do usurio usurio. Essa tcnica pode ser utilizada de diversas formas de acordo com o gosto do desenvolvedor. Ex: Hash = sha1(usurio+senha+usurio+nome_da_empresa) Hash = sha1(usurio+senha+email)
O resultado final uma senha mais complexa que provavelmente no estar em um rainbow table
http://contest-2010.korelogic.com/wordlists.html http://www.skullsecurity.org/wiki/index.php/Passwords http://www.isdpodcast.com/resources/62k-common-passwords/ http://securityxploit.blogger.de/topics/Dictionaries+%26+Wordlists+/ http://downloads.skullsecurity.org/passwords/ Ataque rpido, mas a taxa de acerto varia entre 10 e 15 %.
Ataque hbrido uma mistura de dicionrio com fora bruta. Acerto pode chegar a quase 30%
115.380,00
34.056,00
(29,51%)
Exemplos: KoreLogicRulesAdd1234_Everywhere.rule KoreLogicRulesAdd2006Everywhere.rule KoreLogicRulesAdd2010Everywhere.rule KoreLogicRulesAddDotCom.rule KoreLogicRulesAddJustNumbersLimit8.rule KoreLogicRulesAddOnes.rule KoreLogicRulesAddShortMonthsEverywhere.rule KoreLogicRulesAppend1_AddSpecialEverywhere.rule KoreLogicRulesAppend2Letters.rule KoreLogicRulesAppend4Num.rule KoreLogicRulesAppend6Num.rule.gz KoreLogicRulesAppend6NumbersSpecial.rule.gz KoreLogicRulesAppendCurrentYearSpecial.rule KoreLogicRulesAppendJustNumbers.rule KoreLogicRulesAppendMonthCurrentYear.rule http://contest-2010.korelogic.com/rules-hashcat.html
Alguns facilitam....
http://nakedsecurity.sophos.com/2012/05/10/tv-password-security/
http://ego.globo.com/Gente/Noticias/0,,MUL1578916-9798,00-
Wikipedia fornece uma diversas listas de palavras que podem ser utilizadas para ataque direcionado
http://pt.wikipedia.org/wiki/Anexo:Lista_de_listas
www.mztg.org
www.mztg.org
www.mztg.org
www.mztg.org
www.mztg.org
www.mztg.org
Problemas quanto a ataques remotos: 1. 2. 3. 4. 5. IP pode ser bloqueado. Gera muito log, facilmente chama ateno Lento Pode bloquear o login alvo CAPTCHA impede o ataque (pouco usado em sites corporativos)