¿Piensas que tu contraseña de ocho caracteres que consiste que tiene minúsculas, mayúsculas y números es lo suficientemente fuerte como para resistir un ataque de fuerza bruta? Pues si es así, estas equivocado. Jon Honeyball ha demostrado cómo una GPU moderna de las mas económicas puede ser aprovechada como una herramienta poderosa contra las contraseñas que antes se consideraban a salvo de un ataque de fuerza bruta. Original (en ingles): http://goo.gl/sdvqX
#2:
No es exactamente así como se cuenta en el artículo. Como teoría me parece bien, pero en la práctica cualquier servidor de entrada no va a permitir la introducción de repetidos intentos de contraseña, saltando todas las medidas de seguridad antes de que puedas meter unas cuantas.
Para violaciones de contraseña de andar por casa pues vale, pero ante un servidor serio ésto no funciona.
#5:
#2#3
Hay mil métodos posibles por los cuales hacerse con un fichero que contenga contraseñas cifradas. Una vez obtenidas, se descifran con el método de la noticia. No se trata hacer cientos de millones de intentos de login por segundo, obviamente.
#43:
Para mí no es un problema, yo ya estoy usando la API cuántica de Google Labs para mi correo. La cosa es sencilla, con una pila de petaca y una reactancia genero un campo electromagnético, una vez introducido en el microondas saltan chispas, y una de ellas la atrapo con un tarro al vuelo. Luego separo con pinzas dos electrones, y uno se lo envías a Google.
Como están entrelazados cuánticamente, cuando muevo el tarro se les mueve a ellos también el electrón y saben que quiero entrar en el correo, así que me ponen una clave SSL y entro como siempre, con user/pass. Ya, no es perfecto, pero si alguien intenta entrar sin que se les menee el electrón saben que no soy yo.
#7:
#5 Primero hazte con el fichero y luego el hacker en su casa puede hacer lo que quiera, pero el fichero tienes que pillarlo primero. Y si uno es capaz de pillar un fichero con todos los usuarios para que molestarse en averiguar las contraseñas? Ya puestos en vez de pillarte el fichero con solo los usuarios, te pillas la base de datos completa, como ha pasado en los últimos ataques contra Sony y otros. No hace falta contraseñas de usuario para acceder a los datos, solo tienes que atacar al servidor de otro manera para colapsarlo y hacerte con el y con sus bases.
#3:
#2 Cinco peticiones erroneas desde la misma dirección MAC y desconexion de 20 minutos.
#29:
Eso lo tengo yo para liberar telefonos nokia por fuerza bruta.
y no es como lo pintan ahi de rapido. El termino medio es de 1 día por telefono.
Eso utilizando 2 gráficas ATI Radeon 6900, de 600€ cada una, y un pc con refrigeracion liquida para poder hacer OC.
Asi que de "placa de video económica" ... no es tal.
Pd. En el video se ve liberar un NOKIA X6.
#31:
#22 Estás hablando de WEP, no de WPA... si eres capaz de romper WPA en dos horas, digo más, en dos meses, publica un paper inmediatamente sobre cómo hacerlo...
No es exactamente así como se cuenta en el artículo. Como teoría me parece bien, pero en la práctica cualquier servidor de entrada no va a permitir la introducción de repetidos intentos de contraseña, saltando todas las medidas de seguridad antes de que puedas meter unas cuantas.
Para violaciones de contraseña de andar por casa pues vale, pero ante un servidor serio ésto no funciona.
#3 Si y además si la misma dirección hace repetidos intentos en diversas ocasiones, algún supervisor de la red o el mismo software monitor se ocupará de dar la voz de alarma y del bloqueo del intento de intrusión.
#2, #3, #4 El artículo no propone usar la tarjeta gráfica para conectarse a un servidor web y meter contraseñas muy rápido, sino para descrifrar por fuerza bruta las claves encriptadas una vez las has obtenido del servidor web (bien sea con un algoritmo tipo 'hash', como MD5, o con un algoritmo de encriptación asimétrico). Como bien dicen #5 y #17, pero parece que algunos no lo ha entendido correctamente.
#7, los hackers de verdad (como muchos rusos empapados en alcohol, cuya competencia y pericia es proporcional a su falta de escrúpulos) son capaces de obtener esos ficheros.
#2#3
Hay mil métodos posibles por los cuales hacerse con un fichero que contenga contraseñas cifradas. Una vez obtenidas, se descifran con el método de la noticia. No se trata hacer cientos de millones de intentos de login por segundo, obviamente.
#5 Primero hazte con el fichero y luego el hacker en su casa puede hacer lo que quiera, pero el fichero tienes que pillarlo primero. Y si uno es capaz de pillar un fichero con todos los usuarios para que molestarse en averiguar las contraseñas? Ya puestos en vez de pillarte el fichero con solo los usuarios, te pillas la base de datos completa, como ha pasado en los últimos ataques contra Sony y otros. No hace falta contraseñas de usuario para acceder a los datos, solo tienes que atacar al servidor de otro manera para colapsarlo y hacerte con el y con sus bases.
#7 pues un caso típico en el que es necesario descifrar contraseñas es cuando éstas dan acceso a otros hosts. Por ejemplo, instalo un troyano en tu PC, me bajo las contraseñas cifradas de tu cliente FTP/SSH, y consigo acceso al host donde tienes la web. Otros muchos ejemplos son posibles.
Crackers de passwords hay desde siempre, y tienen su utilidad (para el hacking), la novedad aquí consiste en usar en vez de una CPU, una GPU, y gracias a la capacidad de éstas de ser programadas en paralelo, rebajar los tiempos del cracking drásticamente.
#8 Si instalas un troyano en un pc para vigilarle y conseguir sus claves de usuario y contraseñas para distintos servicios (hosting, bancos, etc...), estos datos los consigues con el troyano no con la GPU. Una vez que tienes estos datos accedes, según tu ejemplo, a la web alojada en el host destino del ataque y como accedes con claves validadas que has pillado con el troyano, tienes acceso a la base completa sin necesidad de descifrar nada.
#9 Con el troyano obtienes el password cifrado, que no te sirve para nada hasta que lo descifres (y ahí entra la GPU).
Las contraseñas se guardan cifradas por algo De hecho, es un fallo muy grave de seguridad almacenar contraseñas sin cifrar.
Como te digo hay multitud de escenarios en los que es posible hacerse con ficheros de passwords cifrados (porque salvo burrada, siempre están cifrados), y es útil descifrarlos.
#10 De eso nada. Con el troyano consigues todo, no necesitas descifrar, basta con conseguir meterlo en la máquina a atacar (cosa hoy en dia mas complicado que hace unos años). Usuarios y contraseñas se consiguen con solo monitorear el ordenador durante un tiempo. Pero bueno, ya digo que el artículo como teoría está bien, el llevarlo a la práctica es otro tema. Y tu intenta meter un troyano en mi ordenador a ver si lo consigues, cosa que dudo.
#13 hombre no te lo tomes como algo personal, lo de "meter un troyano en tu ordenador", que yo no soy hacker ni cracker ni tengo interés
Lo normal es que todos los programas que almacenan contraseñas (tu cliente SFTP, cliente SSH, etc), las guarden cifradas. A poco bien hecho que esté el cliente, el troyano no conseguirá hacerse con el password en claro ya que la conexión con el servidor también está cifrada. En cambio, es posible obtener el password cifrado y crackearlo luego. Pero era solo uno de multiples ejemplos.
Como te digo, los passwords se guardan cifrados por algo y la utilidad (para el hacking) de un programa que las descifre en un tiempo razonable es bastante evidente. Y es obvio que un cracker de estos no es un programa que le facilite el hacking a cualquiera. Es una herramienta más en manos de un hacker y requiere ser un experto, en eso de que llevarlo a la práctica es complicado estoy de acuerdo, es para expertos.
#14 no tranquilo, que no pasa nada. Es que estuve varias años administrando sistemas y cuando se hablan de estos temas me enrollo demasiado. Pero en definitiva, es verdad que cada dia las contraseñas son menos válidas para determinados ataques y que uno no puede estar seguro de nada.
#7 tampoco creo que sea tan raro ni tan dificil poder hacer eso. Hará cosa de tres o cuatro años me metí en el servidor ftp del JPL de la nasa en busca de unas fotos (el ftp es de acceso libre). Curioseando mientras bajaba algunas imágenes me dió por navegar más allá de /pub/ y se podía acceder a /etc. Imagina mi cara de sorpresa cuando vi allí un archivo llamado shadow, fichero que incluso pude descargar y ver como si fuera otra foto (y sí, contenía líneas del palo root: ShUrMaN0sdf*08u98) . Iba a poner el ejemplo real con capturas, pero veo que /etc, pese a seguir siendo accesible, aparece como vacío.
Sé que hay que ser gañán para que eso ocurra, pero puede ocurrir donde menos te lo esperas (pregunta a Sony).
#19 ¿Y? Se trata de tener una secuencia de caracteres que resulta en el hash guardado, que sea la contraseña introducida originalmente o no es irrelevante, el caso es que la dará por válida.
Y sí se guardan contraseñas cifradas, en los clientes (ya que el servidor espera una contraseña, no un hash).
No entiendo la disyuntiva entre "en ficheros" y "hasheadas". En Linux las contraseñas se guardan cifradas (supongo que es a lo que te refieres con "hasheadas") en un fichero. Por seguridad, hace un tiempo que la información de los usuarios (nombre, id, shell) se guarda en /etc/passwd (que todos los usuarios pueden leer), pero las contraseñas cifradas se guardan en /etc/shadow, que sólo root puede leer. Pero creo que antes todo se guardaba en /etc/passwd. En aquel momento, un usuario cualquiera de una máquina podría hacerse una copia local de /etc/passwd, y luego intentar crackear las contraseñas de otros usuarios, o root, con métodos como el que aquí se explica. Ahora es más difícil, pero supongo que no imposible.
#5 estoy muy de acuerdo.
Si intentas hacer un ataque de fuerza bruta en una página web (como han dicho algunos) la propia latencia de la red te va a hacer desistir. ¿Cuántas contraseñas por segundo lograrías con un script en PHP, por ejemplo? ¿Dos? El servidor objetivo tiene que recibir el formulario, procesarlo (conectarse a una bd, hacer una consulta) y devolver la respuesta al cliente del usuario "malintencionado".
Creo que habéis visto muchas películas de hackers.
#2 y #3 Siempre y cuando la pantalla de inicio de sesión no sea un formulario más de algún software de gestión. Muchos sistemas de información que he visto, la aplicación al iniciar ya ha iniciado sesión con un usuario oculto y lo que hace es mostrar el formulario típico de usuario/contraseña, luego toma los datos que el usuario introduce y los compara con los almacenados en una propia tabla llamada por ejemplo "Usuarios", si hay coincidencia entonces se abre una sesión para ese usuario. Eso es todo. Así que un ataque de fuerza bruta si se puede dar.
Y no esperes mas de desarrollo de alta seguridad porque a muchos esto es lo máximo que pueden hacer porque tienen mil y un requisitos que cumplir a clientes caprichosos, y los requisitos se multiplican como ratas.
#3 si por ejemplo quieres saltarte una WIFI con seguridad WPA sólo tienes que esnifar tráfico durante un par de horas en una red que tenga tráfico suficiente, este tráfico estará encriptado y después le lanzas un ataque de fuerza bruta que usaría la CPU para probar contraseñas hasta que consiga encontrarla, usando la GPU como en este método del video (me parece que está liberando un movil, ya que veo que trae número IMEI y que quiere enviar los códigos al teléfono) se tradaría mucho menos.
#22 Estás hablando de WEP, no de WPA... si eres capaz de romper WPA en dos horas, digo más, en dos meses, publica un paper inmediatamente sobre cómo hacerlo...
#22 necesitas un único handshake (el cual se puede ayudar a que se produzca), no recoger tráfico durante "varias horas" #3 será IP no MAC: la dirección MAC es una dirección de enlace y no viaja por internet...
#33 La dirección MAC no es ninguna dirección. Es un número de serie único para cada tarjeta de red. Los primeros dígitos son el fabricante (se asignan series para cada uno que lo pide).
Y si, SI viaja en los paquetes en internet y en la wifi. De hecho, es un filtro común (standard) en el firewall de linux de los servidores web.
Lo que hace #3, es identificar al cliente por su MAC, de manera que ya puede cambiar de ip, usar proxy, lo que quiera, que no entrará.
Por desgracia, también te puedes cambiar o falsear la MAC, pero al menos te quitas a los niñatos copia&pega de enmedio.
Por poner un ejemplo, para descargar otra peli de megaupload, te cambias la MAC (sin tocar nada mas) de tu PC tras tu router (y el de telefonica, y el de espanix, y el del carrier, ...) y vuelve el contador a cero. Porque no viaja, no. Es que megaupload tiene a Aramis Fuster en nómina y les va cantando la MAC de las tarjetas de red.
Yo lo veo diariamente en los logs resumen de mis firewalls, las ip's con sus respectivas mac's. Pero lo mismo es que lleva un generador aleatorio para engañarme.
Y recuerdo en un camping con wifi de pago, que localicé el portátil de la chica de recepción, que estaba por wifi en OTRO router wifi, suplanté la MAC y estuve los 15 días navegando de gorra. Pero claro, lo mismo es que tuve suerte y metí una MAC-llavemágica.
Yo me alegro mucho de que leáis tantos libros y estudiés muchísimo, de verdad. Pero la calle, dice otra cosa.
#65 Para descargar otra peli de Megaupload o para seguir viendo el resto de la peli en Megavideo, lo que haces es apagar y volver a encender el router, y entonces Telefónica, o Jazztel, o Ono, o quien tengas de ISP, te vuelven a dar línea y te vuelven a asignar una IP de nuevo, que casi siempre es diferente de la que tenías.
#65http://es.wikipedia.org/wiki/MAC_address "MAC opera en la capa 2 del modelo OSI, encargada de hacer fluir la información libre de errores entre dos máquinas conectadas directamente. "
#36 cómo bien dice #33, la MAC de las tarjetas, aparte de un número de serie, o identificador único, es una dirección de enlace, imprescindible para el funcionamiento de las redes tal y como las conocemos... (tan imprescindible como la dirección IP)...
y como también bien dice, la del cliente no viaja por Internet, sino que los sucesivos routers que hay por el camino van usando su MAC para proceder al siguiente salto...
#50 Pues antes de aprenderlo habra que olvidarlo:
En muchas ocasiones las direcciones IPv6 están compuestas por dos partes lógicas: un prefijo de 64 bits y otra parte de 64 bits que corresponde al identificador de interfaz, que casi siempre se genera automáticamente a partir de la dirección MAC de la interfaz a la que está asignada la dirección.
#2 me temo que te equivocas, no se trata de atacar por fuerza bruta un formulario en una página web, sino el computo inverso del algorimo MD5, que es como se guardan de manera (poco) segura las contraseñas de una página web en un servidor. http://es.wikipedia.org/wiki/Password_cracking
Que haya otros metodos vale, pero hoy dia los cortafuegos estan preparados para los intervalos, 300 segundos 10 intentos de login por ftp son intervalos largos.
Para mí no es un problema, yo ya estoy usando la API cuántica de Google Labs para mi correo. La cosa es sencilla, con una pila de petaca y una reactancia genero un campo electromagnético, una vez introducido en el microondas saltan chispas, y una de ellas la atrapo con un tarro al vuelo. Luego separo con pinzas dos electrones, y uno se lo envías a Google.
Como están entrelazados cuánticamente, cuando muevo el tarro se les mueve a ellos también el electrón y saben que quiero entrar en el correo, así que me ponen una clave SSL y entro como siempre, con user/pass. Ya, no es perfecto, pero si alguien intenta entrar sin que se les menee el electrón saben que no soy yo.
#32 ni con eso puedes estas seguro, solo con que tu tengas una webcam y una piel algo grasienta, y el atacante un escaner de esos que usan en el csi pueden extraerte todas las contraseñas reflejadas en tu cara.
puedes llevar tus fichero privados en un pendrive, y como sabes que son muy importantes los cifras, luego llega una organización malvada te roba el pendrive y en 5 minutos tu seguridad para nada.
Tambien alguien puede interceptar el trafico que va cifrado por la red mediante un sniffer, captura los datos suficientes y luego en su casa con calma y su nvidia geforce, ya tiene toda tu información, adios a la seguridad https.
Las claves en la informatica no son los formularios de login
#17 En este caso se está hablando de las contraseñas de usuario. Las claves que se usan con TLS son bastante más grandes, generalmente 128/256bits, y se generan nuevas para cada sesión, así que buena suerte intentando la fuerza bruta con ellas porque aun usando la gráfica vas a tardar un rato.
Ya lo ha comentado alguien antes en los comentarios: se está aplicando este ataque de fuerza bruta sobre contraseñas encriptadas en MD5, y es útil para contraseñas relativamente cortas (menos de 9 caracteres). Como indica en en enlace al final del artículo, para contraseñas de 10 tardaría 120 años (9 si tienes en cuenta el avance en potencia de GPU futuras), y multiplica eso por 7 si se trata de contraseñas cifradas en SHA-256…
#18 Eso de obtener la contraseña carácter a carácter pertenece únicamente al mundo de Hollywood. Normalmente es una cuestión de todo o nada. Lo mas parecido al cine que he visto en la vida real, en cuanto a software de crackeo, es ver funcionar el aircrack para romper una clave WEP en modo colorines http://revistaenter.net/portal/images/stories/aircrack.png
Wow. Sin palabras me ha dejado. Si esto es cierto el potencial de las tarjetas gráficas para ciertos campos sin duda alguna está desaprobechado... espero que en el futuro inmediato sirvan para algo más aparte de para dibujarte el Crysis 2 con gráficos realistas.
La complejidad de una contraseña crece exponencialmente según el número de caracteres, mientras que las GPUs pueden reducir esa complejidad solo linealmente.
Esto quiere decir que aunque se usen solo caracteres sencillos en minúscula llega un punto en el que ninguna GPU puede comper la clave. Por ejemplo, para romper la clave 'mimamamemima' se tardarían 30680 siglos (si asumimos un milisegundo para cada comprobación y 26^12 posibilidades).
Aquí se explica con más detalle: http://www.baekdal.com/tips/password-security-usability
Moraleja: un password de 8 caracteres con símbolos y dígitos numéricos es mucho peor que uno largo y fácil de memorizar.
#25 Revisa tus cálculos. La tarjeta gráfica del artículo puede con esa password en 334 días, a 3.300 millones de intentos por segundo.
Un pc normal tardaría 12 años. http://howsecureismypassword.net/
Ya salió en menéame, creo. Lo más seguro es lo que el artículo original marca como "negativo": crear una contraseña muy compleja de 20 caracteres y llevarla escrita.
#45 3300 millones de test por segundo es una brutalidad. En todo caso, si pones 'mimamamemimamucho' ya estás en los 142 millones de años, más de un millón de siglos!. Y esa contraseña está tirada de recordar.
La teoría persiste, la longitud gana a la complejidad de la contraseña.
No os hagáis pajas mentales con servidores y mierdas... todos sabemos que esto realmente se utiliza cuando te bajas porno en un rar del bittorrent y descubres que tiene contraseña... y ya dices, aunque pa la de hoy no... pa la de mañana
Vaya nivelazo en seguridad informática que hay por aquí...
Por si alguien tiene interés, vuestra clave para acceder a multitud de sitios web viaja encriptada por una red pública. Una vez capturada la clave encriptada, cosa que puede hacer mucha gente, un sistema rápido de fuerza bruta puede ser útil para desencriptarla.
Comentarios
No es exactamente así como se cuenta en el artículo. Como teoría me parece bien, pero en la práctica cualquier servidor de entrada no va a permitir la introducción de repetidos intentos de contraseña, saltando todas las medidas de seguridad antes de que puedas meter unas cuantas.
Para violaciones de contraseña de andar por casa pues vale, pero ante un servidor serio ésto no funciona.
#2 Cinco peticiones erroneas desde la misma dirección MAC y desconexion de 20 minutos.
#3 Si y además si la misma dirección hace repetidos intentos en diversas ocasiones, algún supervisor de la red o el mismo software monitor se ocupará de dar la voz de alarma y del bloqueo del intento de intrusión.
Eso lo tengo yo para liberar telefonos nokia por fuerza bruta.
y no es como lo pintan ahi de rapido. El termino medio es de 1 día por telefono.
Platform: AMD compatible platform found
Watchdog: Temperature limit set to 90c
Device #1: Cayman, 1024MB, 0Mhz, 24MCU
Device #2: Cayman, 1024MB, 0Mhz, 24MCU
Device #3: Cayman, 1024MB, 0Mhz, 24MCU
Device #4: Cayman, 1024MB, 0Mhz, 24MCU
[s]tatus [p]ause [r]esume [q]uit => s
Status.......: Running
Hash.Type....: SL3
Time.Running.: 1 min, 20 secs
Time.Left....: 1 day, 20 hours
Plain.Text...: ******0004000503010005000000
Plain.Length.: 15
Speed........: 6180.5M/s
Progress.....: 496553164800/1000000000000000 (0.05%)
HW.Monitor.#1: 98% GPU, 61c Temp
HW.Monitor.#2: 98% GPU, 61c Temp
HW.Monitor.#3: 98% GPU, 61c Temp
HW.Monitor.#4: 98% GPU, 62c Temp
Eso utilizando 2 gráficas ATI Radeon 6900, de 600€ cada una, y un pc con refrigeracion liquida para poder hacer OC.
Asi que de "placa de video económica" ... no es tal.
Pd. En el video se ve liberar un NOKIA X6.
#29 ¿Qué programa es ese?
¿Puedes pasar algún link para lo que comentas de los nokia?
Gracias!
#2, #3, #4 El artículo no propone usar la tarjeta gráfica para conectarse a un servidor web y meter contraseñas muy rápido, sino para descrifrar por fuerza bruta las claves encriptadas una vez las has obtenido del servidor web (bien sea con un algoritmo tipo 'hash', como MD5, o con un algoritmo de encriptación asimétrico). Como bien dicen #5 y #17, pero parece que algunos no lo ha entendido correctamente.
#7, los hackers de verdad (como muchos rusos empapados en alcohol, cuya competencia y pericia es proporcional a su falta de escrúpulos) son capaces de obtener esos ficheros.
#38 In soviet rusia passwords brute force you! (lo siento, no me he podido resistir al comentario de los rusos )
#2 #3
Hay mil métodos posibles por los cuales hacerse con un fichero que contenga contraseñas cifradas. Una vez obtenidas, se descifran con el método de la noticia. No se trata hacer cientos de millones de intentos de login por segundo, obviamente.
#5 Primero hazte con el fichero y luego el hacker en su casa puede hacer lo que quiera, pero el fichero tienes que pillarlo primero. Y si uno es capaz de pillar un fichero con todos los usuarios para que molestarse en averiguar las contraseñas? Ya puestos en vez de pillarte el fichero con solo los usuarios, te pillas la base de datos completa, como ha pasado en los últimos ataques contra Sony y otros. No hace falta contraseñas de usuario para acceder a los datos, solo tienes que atacar al servidor de otro manera para colapsarlo y hacerte con el y con sus bases.
#7 pues un caso típico en el que es necesario descifrar contraseñas es cuando éstas dan acceso a otros hosts. Por ejemplo, instalo un troyano en tu PC, me bajo las contraseñas cifradas de tu cliente FTP/SSH, y consigo acceso al host donde tienes la web. Otros muchos ejemplos son posibles.
Crackers de passwords hay desde siempre, y tienen su utilidad (para el hacking), la novedad aquí consiste en usar en vez de una CPU, una GPU, y gracias a la capacidad de éstas de ser programadas en paralelo, rebajar los tiempos del cracking drásticamente.
#8 Si instalas un troyano en un pc para vigilarle y conseguir sus claves de usuario y contraseñas para distintos servicios (hosting, bancos, etc...), estos datos los consigues con el troyano no con la GPU. Una vez que tienes estos datos accedes, según tu ejemplo, a la web alojada en el host destino del ataque y como accedes con claves validadas que has pillado con el troyano, tienes acceso a la base completa sin necesidad de descifrar nada.
#9 Con el troyano obtienes el password cifrado, que no te sirve para nada hasta que lo descifres (y ahí entra la GPU).
Las contraseñas se guardan cifradas por algo De hecho, es un fallo muy grave de seguridad almacenar contraseñas sin cifrar.
Como te digo hay multitud de escenarios en los que es posible hacerse con ficheros de passwords cifrados (porque salvo burrada, siempre están cifrados), y es útil descifrarlos.
#10 De eso nada. Con el troyano consigues todo, no necesitas descifrar, basta con conseguir meterlo en la máquina a atacar (cosa hoy en dia mas complicado que hace unos años). Usuarios y contraseñas se consiguen con solo monitorear el ordenador durante un tiempo. Pero bueno, ya digo que el artículo como teoría está bien, el llevarlo a la práctica es otro tema. Y tu intenta meter un troyano en mi ordenador a ver si lo consigues, cosa que dudo.
#13 hombre no te lo tomes como algo personal, lo de "meter un troyano en tu ordenador", que yo no soy hacker ni cracker ni tengo interés
Lo normal es que todos los programas que almacenan contraseñas (tu cliente SFTP, cliente SSH, etc), las guarden cifradas. A poco bien hecho que esté el cliente, el troyano no conseguirá hacerse con el password en claro ya que la conexión con el servidor también está cifrada. En cambio, es posible obtener el password cifrado y crackearlo luego. Pero era solo uno de multiples ejemplos.
Como te digo, los passwords se guardan cifrados por algo y la utilidad (para el hacking) de un programa que las descifre en un tiempo razonable es bastante evidente. Y es obvio que un cracker de estos no es un programa que le facilite el hacking a cualquiera. Es una herramienta más en manos de un hacker y requiere ser un experto, en eso de que llevarlo a la práctica es complicado estoy de acuerdo, es para expertos.
Saludos...
#14 no tranquilo, que no pasa nada. Es que estuve varias años administrando sistemas y cuando se hablan de estos temas me enrollo demasiado. Pero en definitiva, es verdad que cada dia las contraseñas son menos válidas para determinados ataques y que uno no puede estar seguro de nada.
#7 No todos los servidores son tan poco serios como Sony, es decir, no todos tienen las contraseñas en texto plano.
#7 tampoco creo que sea tan raro ni tan dificil poder hacer eso. Hará cosa de tres o cuatro años me metí en el servidor ftp del JPL de la nasa en busca de unas fotos (el ftp es de acceso libre). Curioseando mientras bajaba algunas imágenes me dió por navegar más allá de /pub/ y se podía acceder a /etc. Imagina mi cara de sorpresa cuando vi allí un archivo llamado shadow, fichero que incluso pude descargar y ver como si fuera otra foto (y sí, contenía líneas del palo root: ShUrMaN0sdf*08u98) . Iba a poner el ejemplo real con capturas, pero veo que /etc, pese a seguir siendo accesible, aparece como vacío.
Sé que hay que ser gañán para que eso ocurra, pero puede ocurrir donde menos te lo esperas (pregunta a Sony).
#5 Hay mil métodos posibles por los cuales hacerse con un fichero que contenga contraseñas cifradas.
Quien guarda contraseñas en ficheros? se guardaran HASHes...
#19 ¿Y? Se trata de tener una secuencia de caracteres que resulta en el hash guardado, que sea la contraseña introducida originalmente o no es irrelevante, el caso es que la dará por válida.
Y sí se guardan contraseñas cifradas, en los clientes (ya que el servidor espera una contraseña, no un hash).
#19, cat /etc/shadow?
No entiendo la disyuntiva entre "en ficheros" y "hasheadas". En Linux las contraseñas se guardan cifradas (supongo que es a lo que te refieres con "hasheadas") en un fichero. Por seguridad, hace un tiempo que la información de los usuarios (nombre, id, shell) se guarda en /etc/passwd (que todos los usuarios pueden leer), pero las contraseñas cifradas se guardan en /etc/shadow, que sólo root puede leer. Pero creo que antes todo se guardaba en /etc/passwd. En aquel momento, un usuario cualquiera de una máquina podría hacerse una copia local de /etc/passwd, y luego intentar crackear las contraseñas de otros usuarios, o root, con métodos como el que aquí se explica. Ahora es más difícil, pero supongo que no imposible.
#49 Si el usuario tiene la capacidad de poder apagar el ordenador, puede igualmente hacer una copia del etc/shadow sin problemas.
#5 estoy muy de acuerdo.
Si intentas hacer un ataque de fuerza bruta en una página web (como han dicho algunos) la propia latencia de la red te va a hacer desistir. ¿Cuántas contraseñas por segundo lograrías con un script en PHP, por ejemplo? ¿Dos? El servidor objetivo tiene que recibir el formulario, procesarlo (conectarse a una bd, hacer una consulta) y devolver la respuesta al cliente del usuario "malintencionado".
Creo que habéis visto muchas películas de hackers.
#2 y #3 Siempre y cuando la pantalla de inicio de sesión no sea un formulario más de algún software de gestión. Muchos sistemas de información que he visto, la aplicación al iniciar ya ha iniciado sesión con un usuario oculto y lo que hace es mostrar el formulario típico de usuario/contraseña, luego toma los datos que el usuario introduce y los compara con los almacenados en una propia tabla llamada por ejemplo "Usuarios", si hay coincidencia entonces se abre una sesión para ese usuario. Eso es todo. Así que un ataque de fuerza bruta si se puede dar.
Y no esperes mas de desarrollo de alta seguridad porque a muchos esto es lo máximo que pueden hacer porque tienen mil y un requisitos que cumplir a clientes caprichosos, y los requisitos se multiplican como ratas.
#3 si por ejemplo quieres saltarte una WIFI con seguridad WPA sólo tienes que esnifar tráfico durante un par de horas en una red que tenga tráfico suficiente, este tráfico estará encriptado y después le lanzas un ataque de fuerza bruta que usaría la CPU para probar contraseñas hasta que consiga encontrarla, usando la GPU como en este método del video (me parece que está liberando un movil, ya que veo que trae número IMEI y que quiere enviar los códigos al teléfono) se tradaría mucho menos.
#22 Estás hablando de WEP, no de WPA... si eres capaz de romper WPA en dos horas, digo más, en dos meses, publica un paper inmediatamente sobre cómo hacerlo...
#31 sí, como le comentaba para #33 me he liado con eso, es cierto que para WPA sólo necesitas un único handshake
#22 necesitas un único handshake (el cual se puede ayudar a que se produzca), no recoger tráfico durante "varias horas"
#3 será IP no MAC: la dirección MAC es una dirección de enlace y no viaja por internet...
#33 La dirección MAC no es ninguna dirección. Es un número de serie único para cada tarjeta de red. Los primeros dígitos son el fabricante (se asignan series para cada uno que lo pide).
Y si, SI viaja en los paquetes en internet y en la wifi. De hecho, es un filtro común (standard) en el firewall de linux de los servidores web.
Lo que hace #3, es identificar al cliente por su MAC, de manera que ya puede cambiar de ip, usar proxy, lo que quiera, que no entrará.
Por desgracia, también te puedes cambiar o falsear la MAC, pero al menos te quitas a los niñatos copia&pega de enmedio.
#36 La MAC se sustituye cuando atraviesas un router.
#36 Repasa tus apuntes de redes porque no sabes lo que acabas de decir. La dirección MAC si es un dirección y es la del nivel de enlace.
#41 #42 #50
Por poner un ejemplo, para descargar otra peli de megaupload, te cambias la MAC (sin tocar nada mas) de tu PC tras tu router (y el de telefonica, y el de espanix, y el del carrier, ...) y vuelve el contador a cero. Porque no viaja, no. Es que megaupload tiene a Aramis Fuster en nómina y les va cantando la MAC de las tarjetas de red.
Yo lo veo diariamente en los logs resumen de mis firewalls, las ip's con sus respectivas mac's. Pero lo mismo es que lleva un generador aleatorio para engañarme.
Y recuerdo en un camping con wifi de pago, que localicé el portátil de la chica de recepción, que estaba por wifi en OTRO router wifi, suplanté la MAC y estuve los 15 días navegando de gorra. Pero claro, lo mismo es que tuve suerte y metí una MAC-llavemágica.
Yo me alegro mucho de que leáis tantos libros y estudiés muchísimo, de verdad. Pero la calle, dice otra cosa.
#65 Para descargar otra peli de Megaupload o para seguir viendo el resto de la peli en Megavideo, lo que haces es apagar y volver a encender el router, y entonces Telefónica, o Jazztel, o Ono, o quien tengas de ISP, te vuelven a dar línea y te vuelven a asignar una IP de nuevo, que casi siempre es diferente de la que tenías.
#66 Cierto ... para los que tenéis ip dinámica.
#65 http://es.wikipedia.org/wiki/MAC_address "MAC opera en la capa 2 del modelo OSI, encargada de hacer fluir la información libre de errores entre dos máquinas conectadas directamente. "
http://es.wikipedia.org/wiki/Capa_de_enlace_de_datos
http://es.wikipedia.org/wiki/Address_Resolution_Protoco
Lo siento pero los protocolos informaticos se aprenden con libros y no con la calle.
#36 cómo bien dice #33, la MAC de las tarjetas, aparte de un número de serie, o identificador único, es una dirección de enlace, imprescindible para el funcionamiento de las redes tal y como las conocemos... (tan imprescindible como la dirección IP)...
y como también bien dice, la del cliente no viaja por Internet, sino que los sucesivos routers que hay por el camino van usando su MAC para proceder al siguiente salto...
#33
Hay que decirlo más, ya que por más que se diga siempre parecen pocas.
#50 Pues antes de aprenderlo habra que olvidarlo:
En muchas ocasiones las direcciones IPv6 están compuestas por dos partes lógicas: un prefijo de 64 bits y otra parte de 64 bits que corresponde al identificador de interfaz, que casi siempre se genera automáticamente a partir de la dirección MAC de la interfaz a la que está asignada la dirección.
#51 ¿IPv6? ¿Tienes una máquina del tiempo?
#56 Hombre, no, pero en breves se empezara a usar masivamente...
Ya se cambio el 'se estan acabando las IPv4s' por el 'se han acabado las IPv4s' yo creo que en breves tendremos que hacernos a ella...
Pienso yo, vaya, aunque pudiera equivocarme.
#33 cierto, cierto, me he liado con el tema de desencriptación de WEP, para el WPA te vale un único handshake
#2 me temo que te equivocas, no se trata de atacar por fuerza bruta un formulario en una página web, sino el computo inverso del algorimo MD5, que es como se guardan de manera (poco) segura las contraseñas de una página web en un servidor.
http://es.wikipedia.org/wiki/Password_cracking
#2 ¿Cómo de serio?, ¿estilo los de PSN?
#2 Exacto un buen firewall bloqueara la IP del atacante.
Ejemplo
Time: Mon Jun 6 11:56:28 2011 +0200
IP: 64.62.132.66 (US/United States/-)
Failures: 10 (ftpd)
Interval: 300 seconds
Blocked: Permanent Block
Que haya otros metodos vale, pero hoy dia los cortafuegos estan preparados para los intervalos, 300 segundos 10 intentos de login por ftp son intervalos largos.
Para mí no es un problema, yo ya estoy usando la API cuántica de Google Labs para mi correo. La cosa es sencilla, con una pila de petaca y una reactancia genero un campo electromagnético, una vez introducido en el microondas saltan chispas, y una de ellas la atrapo con un tarro al vuelo. Luego separo con pinzas dos electrones, y uno se lo envías a Google.
Como están entrelazados cuánticamente, cuando muevo el tarro se les mueve a ellos también el electrón y saben que quiero entrar en el correo, así que me ponen una clave SSL y entro como siempre, con user/pass. Ya, no es perfecto, pero si alguien intenta entrar sin que se les menee el electrón saben que no soy yo.
#43 Joder, positivo por poder separar dos electrones con pinzas
Hoygan, ¿entonces mi monitor puede leer las contraseñas que tengo pegadas sobre él con postit?
#16 hoy en día es más segura tenerlas con post-it en el monitor que enviarla por mail en texto plano a tu cuenta de correo.
#32 ni con eso puedes estas seguro, solo con que tu tengas una webcam y una piel algo grasienta, y el atacante un escaner de esos que usan en el csi pueden extraerte todas las contraseñas reflejadas en tu cara.
puedes llevar tus fichero privados en un pendrive, y como sabes que son muy importantes los cifras, luego llega una organización malvada te roba el pendrive y en 5 minutos tu seguridad para nada.
Tambien alguien puede interceptar el trafico que va cifrado por la red mediante un sniffer, captura los datos suficientes y luego en su casa con calma y su nvidia geforce, ya tiene toda tu información, adios a la seguridad https.
Las claves en la informatica no son los formularios de login
#17 Tambien pueden ponerse de man-in-the-middle y ahorrarse lo de la paciencia...
#17 En este caso se está hablando de las contraseñas de usuario. Las claves que se usan con TLS son bastante más grandes, generalmente 128/256bits, y se generan nuevas para cada sesión, así que buena suerte intentando la fuerza bruta con ellas porque aun usando la gráfica vas a tardar un rato.
Ya lo ha comentado alguien antes en los comentarios: se está aplicando este ataque de fuerza bruta sobre contraseñas encriptadas en MD5, y es útil para contraseñas relativamente cortas (menos de 9 caracteres). Como indica en en enlace al final del artículo, para contraseñas de 10 tardaría 120 años (9 si tienes en cuenta el avance en potencia de GPU futuras), y multiplica eso por 7 si se trata de contraseñas cifradas en SHA-256…
Se echa en falta una buena interfaz a lo película de hollywood. Para que se vaya viendo como descubre carácter a carácter.
#18 Eso de obtener la contraseña carácter a carácter pertenece únicamente al mundo de Hollywood. Normalmente es una cuestión de todo o nada. Lo mas parecido al cine que he visto en la vida real, en cuanto a software de crackeo, es ver funcionar el aircrack para romper una clave WEP en modo colorines http://revistaenter.net/portal/images/stories/aircrack.png
Wow. Sin palabras me ha dejado. Si esto es cierto el potencial de las tarjetas gráficas para ciertos campos sin duda alguna está desaprobechado... espero que en el futuro inmediato sirvan para algo más aparte de para dibujarte el Crysis 2 con gráficos realistas.
#52 Excepto para los que tengan dos papás.
#53 Pero tienes 'mispapasmariquitasmolan', 44 cuadrillones de años.
Ventajas de OpenCL. Eso tambien acelera como un cabrón la emulacion de la Wii en mi TruñoCoreduo . Y cosas como el Bitcoin mining .
La complejidad de una contraseña crece exponencialmente según el número de caracteres, mientras que las GPUs pueden reducir esa complejidad solo linealmente.
Esto quiere decir que aunque se usen solo caracteres sencillos en minúscula llega un punto en el que ninguna GPU puede comper la clave. Por ejemplo, para romper la clave 'mimamamemima' se tardarían 30680 siglos (si asumimos un milisegundo para cada comprobación y 26^12 posibilidades).
Aquí se explica con más detalle:
http://www.baekdal.com/tips/password-security-usability
Moraleja: un password de 8 caracteres con símbolos y dígitos numéricos es mucho peor que uno largo y fácil de memorizar.
#25 Revisa tus cálculos. La tarjeta gráfica del artículo puede con esa password en 334 días, a 3.300 millones de intentos por segundo.
Un pc normal tardaría 12 años.
http://howsecureismypassword.net/
Ya salió en menéame, creo. Lo más seguro es lo que el artículo original marca como "negativo": crear una contraseña muy compleja de 20 caracteres y llevarla escrita.
#45 3300 millones de test por segundo es una brutalidad. En todo caso, si pones 'mimamamemimamucho' ya estás en los 142 millones de años, más de un millón de siglos!. Y esa contraseña está tirada de recordar.
La teoría persiste, la longitud gana a la complejidad de la contraseña.
Vaya, y yo que pensaba que lo de usar fuerza bruta se invento hace un huevo de años... han descubierto el vino con gaseosa!
joder....
Venga, hombre, si me acuerdo de haber echo fuerza bruta a un word con password y sacarla en 4 segundos hace 10 años.
Si, y seguro que siguen existiendo: word recovery, excel password recovery...
No os hagáis pajas mentales con servidores y mierdas... todos sabemos que esto realmente se utiliza cuando te bajas porno en un rar del bittorrent y descubres que tiene contraseña... y ya dices, aunque pa la de hoy no... pa la de mañana
Que alguien me explique cómo... ha llegado esto a portada.
Vaya nivelazo en seguridad informática que hay por aquí...
Por si alguien tiene interés, vuestra clave para acceder a multitud de sitios web viaja encriptada por una red pública. Una vez capturada la clave encriptada, cosa que puede hacer mucha gente, un sistema rápido de fuerza bruta puede ser útil para desencriptarla.
Guau! Puedo crackear una clave teniendo un LM hash. Soy juanker.
bienvenido a 2006, yo lo probare en el PC cuando tenga puestas las 6 GPU a ver que tal va eso de petar passwords
Me ha matado lo de "placa de vídeo"
...