Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Crackeo de claves - wide screen

Password cracking
by

Mauro Graziosi

on 20 August 2010

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Crackeo de claves - wide screen

Crackeo de contraseñas
Temario:
1. ¿Qué es el crackeo de contraseñas?
2. Métodos para crackear
4. Objetivos comunes de un ataque
5. Herramientas - Aspectos a considerar
6. Demostración sobre Herramientas
7. Conclusiones Crackeo de contraseñas/claves

Definición:

Crackeo de contraseñas es el proceso de recuperación de contraseñas a partir de datos de que ha sido almacenados o transmitidos por un sistema informático.
Métodos para crackear contraseñas/claves
Vulnerabilidad del algoritmo criptográfico
Adivinando
Fuerza bruta (incremental)
Diccionarios
Tablas Rainbow (arcoiris) Depende de cada algoritmo, puede crackearse sin ninguna entrada de información. Objetivos comunes de un ataque de cracking

Ingresar a un sistema operativo
Ingresar a un recurso de red
Abrir archivos Herramientas - Aspectos a considerar

Objetivo general
Objetivos específicos
Algoritmos soportados
Métodos utilizados
Licencia
Costo
Sistema operativo / Servicios En blanco (ninguna)
Las palabras "password", "contraseña", "clave", etc.
Una fila de letras del teclado qwerty, asdfg, etc.
El nombre del usuario o nombre de inicio de sesión
El nombre de un un amigo, familiar o una mascota
Su lugar de nacimiento o fecha de nacimiento, o la de un amigo o familiar
Sus números teléfono: oficina, residencia o celular
El nombre de una celebridad que le gusta
Una mala palabra Bajo entorno Microsoft Windows
- Cain & Abel Bajo entorno Microsoft Windows
- Cain & Abel (práctica)
Bajo entorno GNU/Linux
- wyd
- cupp
- john (JTR) http://www.hackingetico.com/diccionario.zip
pass:·"$·s4s7563ÑllKK@ñ ñ Ñ Ç}}{]`[]_ +=?

http://packetstormsecurity.org/Crackers/wordlists/language/spanish.gz
Bajo entorno Microsoft Windows
- Ophcrack (Linux, Windows, LiveCD)
- Rainbowcrack Calculadores de hash:
http://www.tmto.org/home/
http://www.md5decrypter.com/
http://www.plain-text.info/
http://www.rixler.com/
http://www.lostpassword.com/
http://www.elcomsoft.com/edpr.html
http://www.accessdata.com/ No existen herramientas mágicas, usan los métodos mencionados.

Fuerza bruta puede ser la única alternativa.

La técnica de diccionario depende del conocimiento sobre el objetivo.

Se puede ampliar la efectividad de un diccionario con reglas.

Los ataques por tablas de hash precalculadas son muy eficientes, pero tiene que estar precalculado el hash de la clave a encontrar.

Las tablas rainbow: se bajan gratis (MUY GRANDES), se compran, se calculan (MUY LENTO) o se usan como servicio.

La tendencia es utilizar el GPU por su velocidad de procesamiento. Métodos y Herramientas Ing. Mauro Graziosi CNEISI 2010 Una tabla “rainbow” es una tabla de búsqueda especial. Tiene precomputados los pares “hash - clave texto claro”. Vulnerabilidad
del algoritmo Es 100% efectivo, si se puede esperar varios siglos (no es eficiente). Fuerza Bruta Más elegante que fuerza bruta, pero tiene que estar en el diccionario... a menos que le agreguemos reglas y sea híbrido (diccionario+fuerza bruta). Diccionarios Es una técnica de fuerza bruta, pero mucho más eficiente, los hashes están precomputados. Tablas Rainbow
No busquemos soluciones mágicas en la tecnología, son sólo herramientas.

La "clave" está en el conocimiento y en la astucia.

Ing. Mauro Graziosi
mgraziosi@asegurarte.com.ar Reflexión Final: Evaluación de Herramientas Tablas rainbow gratuitas para descargar:
http://rainbowtables.shmoo.com/
http://lasecwww.epfl.ch/SSTIC04-5k.zip
http://freerainbowtables.com/ Adivinando Más efectivo de lo que pensamos, aunque poco atractivo para los informáticos. Descifrar un archivo: Con Fuerza Bruta y Diccionario
1) tomando una palabra se genera un hash
2) el hash generado se compara con el del archivo cifrado
Con rainbow tables
1) se comparan hashes almacenados con el del archivo cifrado Soft para calcular hashes:
-Cain y Abel
-Jsummer
-md5summer Cifrar un archivo: 1) tomar la clave del usuario y generar un hash
- Ej.: mauro con hash MD5
- mauro:b134860b473ea4a20f923b7b990f34d5
2) guardar el hash obtenido dentro del archivo camioneta
cneisi2010
universidad tecnológica nacional
mauro c994612add1894907b3febad64e00697
352e6dca97017d559aa500dfa5473267
359ab490500d4ecef19d7c0d07b7cca3
b134860b473ea4a20f923b7b990f34d5 mgraziosi@ Conclusiones Sobre las contraseñas...

La mayoría de la gente usa contraseñas muy cortas (hasta 8 caracteres).
La mayoría de la gente usa contraseñas muy simples (sólo letras en minúsculas).
La mayoría de la gente usa contraseñas relacionadas a su entorno.
Cada vez más gente publica información de su vida privada a disposición de todos en internet.
https://sites.google.com/site/herramientasdecracking/ Preguntas https://sites.google.com/site/herramientasdecracking/ ¡Muchas Gracias! .com.ar
Full transcript