Anlise e ferramentas

Jairo M. (Master_Zion) - CEHv7 - Autor dos livros Universidade Espionagem Digital(2007) Mestres da Espionagem Digital (2008). - Ps graduado em Governana de TI - Mais de 15 anos em TI atuando em diversas reas

O uso indevido dessas informaes crime!

"O que voc sabe no tem valor. O valor est no que voc faz com o que sabe" - Bruce Lee

Quais os formatos mais usados nas senhas?

Mais de 80% das pessoas utilizam somente letras minsculas e nmeros nas senhas

http://www.digininja.org/projects/pipal.php

Mais de 80% das pessoas utilizam senhas com tamanho entre 6 e 10 caracteres

http://www.digininja.org/projects/pipal.php

http://blog.eset.ie/2011/06/01/security-feature-the-irish-are-using-safer-passwords-than-global-average/

Top 10.000 password 123456 12345678 1234 qwerty 12345 dragon pussy baseball football

Mark Burnett (2011) http://xato.net/passwords/more-top-worst-passwords/

Rainbow Tables so diversas combinaes de hash pr-indexadas. Sabendo o hash, sabe-se a senha. Ex: 0cc175b9c0f1b6a831c399e269772661:a 92eb5ffee6ae2fec3ad71c777531578f:b ...

http://www.hash-cracker.com/ http://www.tobtu.com/md5.php http://md5.rednoize.com/ http://www.hash-cracker.com/ http://www.cmd5.org/ http://www.tmto.org/

http:// www.freerainbowtables.com - Todos podem contribuir gerando rainbow tables quando computador est inativo ( screensaver ) usando um conceito parecido com o antigo SETI. - J possui quase 10 TB de tabelas indexadas

Exemplo de execuo para quebra de um hash: rcracki_mt.exe -h 080b8c203776c8a3bd8a1b4bb0225458 pasta_1\*.rti2 pasta_2\*.rti2

Exemplo de execuo vrios hash: rcracki_mt.exe -l lista_de_hashes.txt -o saida.txt pasta_1\*.rti2 pasta_2\*.rti2

Prs: - Muito mais rpido que Brute Force - Maiores chances de ataque que dicionrio Contras: - Ocupa muito espao em disco ( at 1 tb por formato) - Limitado por formato e tamanho de senhas - Quebra de lista de hash lenta - No permite salt

Muitos sistemas utilizam SALT no hash. O Salt (salgar) nada mais que dar uma temperada na senha do usurio usurio. Essa tcnica pode ser utilizada de diversas formas de acordo com o gosto do desenvolvedor. Ex: Hash = sha1(usurio+senha+usurio+nome_da_empresa) Hash = sha1(usurio+senha+email)

O resultado final uma senha mais complexa que provavelmente no estar em um rainbow table

Mais comuns: Rockyou phpbb Yahoo

http://contest-2010.korelogic.com/wordlists.html http://www.skullsecurity.org/wiki/index.php/Passwords http://www.isdpodcast.com/resources/62k-common-passwords/ http://securityxploit.blogger.de/topics/Dictionaries+%26+Wordlists+/ http://downloads.skullsecurity.org/passwords/ Ataque rpido, mas a taxa de acerto varia entre 10 e 15 %.

Ataque hbrido uma mistura de dicionrio com fora bruta. Acerto pode chegar a quase 30%

115.380,00

34.056,00

(29,51%)

"Crack Me If You Can" - DEFCON 2012 https://contest-2012.korelogic.com/stats.html

Exemplos: KoreLogicRulesAdd1234_Everywhere.rule KoreLogicRulesAdd2006Everywhere.rule KoreLogicRulesAdd2010Everywhere.rule KoreLogicRulesAddDotCom.rule KoreLogicRulesAddJustNumbersLimit8.rule KoreLogicRulesAddOnes.rule KoreLogicRulesAddShortMonthsEverywhere.rule KoreLogicRulesAppend1_AddSpecialEverywhere.rule KoreLogicRulesAppend2Letters.rule KoreLogicRulesAppend4Num.rule KoreLogicRulesAppend6Num.rule.gz KoreLogicRulesAppend6NumbersSpecial.rule.gz KoreLogicRulesAppendCurrentYearSpecial.rule KoreLogicRulesAppendJustNumbers.rule KoreLogicRulesAppendMonthCurrentYear.rule http://contest-2010.korelogic.com/rules-hashcat.html

Alguns facilitam....

http://nakedsecurity.sophos.com/2012/05/10/tv-password-security/

http://ego.globo.com/Gente/Noticias/0,,MUL1578916-9798,00-

Wikipedia fornece uma diversas listas de palavras que podem ser utilizadas para ataque direcionado

http://pt.wikipedia.org/wiki/Anexo:Lista_de_listas

MZTG Busca de palavras no google

www.mztg.org

Principais listas brasileiras na wikipedia j indexados

www.mztg.org

Selecionando dicionrios de acordo com palavras na busca no google.

www.mztg.org

Gerando dicionrio hbrido

www.mztg.org

Ataque por variaes login / host

www.mztg.org

Controle de Maisculas para ataques mais elaborados

www.mztg.org

Problemas quanto a ataques remotos: 1. 2. 3. 4. 5. IP pode ser bloqueado. Gera muito log, facilmente chama ateno Lento Pode bloquear o login alvo CAPTCHA impede o ataque (pouco usado em sites corporativos)