05 marzo 2011

RootedCon 2011: Advanced Password Cracking

Para todos aquellos que no pudieron asistir a la RootedCon, os dejo la presentación de mi charla y un vídeo con las demos que se fueron haciendo durante la ponencia.

Un esquema breve sobre lo que se trató:

1.- Incidentes ocurridos en los últimos años, motivos, estadísticas y comentarios sobre ellos.
2.- Estudio de las políticas de contraseñas, donde se observa que los servicios webs más populares únicamente comprueban la longitud de la contraseña.
3.- Ejemplos de ataques a un listado de hashes.
3.1.- Fuerza bruta
3.1.1- Números donde se visualiza que las Rainbowtables no siempre son la mejor solución para listas de hashes largas.
3.1.2.- Ataque por fuerza bruta utilizando máscaras de caracteres con la herramienta oclhashcat
3.1.3.- Generación de diccionarios en base a IMDB, Wikipedia, FreeDB, etc.
3.2.- Ataques por diccionarios
3.4.- Las reglas en john the ripper y oclhashcat+, permutando palabras a otras combinaciones similares.
3.5.- Un ataque de fingerprint, donde de todas las contraseñas que ya se saben válidas de un listado de hashes, se "expande" (con hashcat-utils) el diccionario formando todas las posibles combinaciones de una misma palabra. Luego se usará como "right" y "left" en oclhashcat para obtener nuevos resultados. Repitiendo todo el proceso hasta que no se obtenga ningún hash.
3.6.- Hardware, ATI / NVIDIA
3.7.- Clusters conocidos y sus utilidades
3.8.- Uso del servicio en la nube de Amazon.







5 comments :

Ruben dijo...

muy buena la presentación y el vídeo, seria interesante ver algunos artículos sobre john the ripper

saludos cordiales!!

Anónimo dijo...

muy buena la presentacion y el video, seria interesante ver algunos articulos sobre john te ripper

Saludos cordiales!!!

coridora dijo...

Me encantó la presentación, los videos y, por supuesto, la puesta en escena.

Enhorabuena.

Ruben dijo...

muy buena la presentación y el vídeo, seria interesante ver algunos artículos sobre john the ripper

saludos cordiales!!

Wachito dijo...

Estimados, una consulta fuera de este tema, los OTPs (one time password) como su nombre lo dice: es válido sólo una vez...pero en mi empresa quieren implementar un supuesto "OTP" que sea válido mientras el usuario este conectado o navegando dentro de la aplicación...!!! es válido eso ??...de que otras formas les explico el real signficado del OTP ?? Muchas Gracias.


wilson_criollo@hotmail.com



Excelente página, todos los días reviso sus noticias y es una página que muchos otros sitios lo sugieren.... ==> eso significa CONFIANZA y SERIEDAD