Para todos aquellos que no pudieron asistir a la RootedCon, os dejo la presentación de mi charla y un vídeo con las demos que se fueron haciendo durante la ponencia.
Un esquema breve sobre lo que se trató:
1.- Incidentes ocurridos en los últimos años, motivos, estadísticas y comentarios sobre ellos.
2.- Estudio de las políticas de contraseñas, donde se observa que los servicios webs más populares únicamente comprueban la longitud de la contraseña.
3.- Ejemplos de ataques a un listado de hashes.
3.1.- Fuerza bruta
3.1.1- Números donde se visualiza que las Rainbowtables no siempre son la mejor solución para listas de hashes largas.
3.1.2.- Ataque por fuerza bruta utilizando máscaras de caracteres con la herramienta oclhashcat
3.1.3.- Generación de diccionarios en base a IMDB, Wikipedia, FreeDB, etc.
3.2.- Ataques por diccionarios
3.4.- Las reglas en john the ripper y oclhashcat+, permutando palabras a otras combinaciones similares.
3.5.- Un ataque de fingerprint, donde de todas las contraseñas que ya se saben válidas de un listado de hashes, se "expande" (con hashcat-utils) el diccionario formando todas las posibles combinaciones de una misma palabra. Luego se usará como "right" y "left" en oclhashcat para obtener nuevos resultados. Repitiendo todo el proceso hasta que no se obtenga ningún hash.
3.6.- Hardware, ATI / NVIDIA
3.7.- Clusters conocidos y sus utilidades
3.8.- Uso del servicio en la nube de Amazon.
Un esquema breve sobre lo que se trató:
1.- Incidentes ocurridos en los últimos años, motivos, estadísticas y comentarios sobre ellos.
2.- Estudio de las políticas de contraseñas, donde se observa que los servicios webs más populares únicamente comprueban la longitud de la contraseña.
3.- Ejemplos de ataques a un listado de hashes.
3.1.- Fuerza bruta
3.1.1- Números donde se visualiza que las Rainbowtables no siempre son la mejor solución para listas de hashes largas.
3.1.2.- Ataque por fuerza bruta utilizando máscaras de caracteres con la herramienta oclhashcat
3.1.3.- Generación de diccionarios en base a IMDB, Wikipedia, FreeDB, etc.
3.2.- Ataques por diccionarios
3.4.- Las reglas en john the ripper y oclhashcat+, permutando palabras a otras combinaciones similares.
3.5.- Un ataque de fingerprint, donde de todas las contraseñas que ya se saben válidas de un listado de hashes, se "expande" (con hashcat-utils) el diccionario formando todas las posibles combinaciones de una misma palabra. Luego se usará como "right" y "left" en oclhashcat para obtener nuevos resultados. Repitiendo todo el proceso hasta que no se obtenga ningún hash.
3.6.- Hardware, ATI / NVIDIA
3.7.- Clusters conocidos y sus utilidades
3.8.- Uso del servicio en la nube de Amazon.
5 comments :
muy buena la presentación y el vídeo, seria interesante ver algunos artículos sobre john the ripper
saludos cordiales!!
muy buena la presentacion y el video, seria interesante ver algunos articulos sobre john te ripper
Saludos cordiales!!!
Me encantó la presentación, los videos y, por supuesto, la puesta en escena.
Enhorabuena.
muy buena la presentación y el vídeo, seria interesante ver algunos artículos sobre john the ripper
saludos cordiales!!
Estimados, una consulta fuera de este tema, los OTPs (one time password) como su nombre lo dice: es válido sólo una vez...pero en mi empresa quieren implementar un supuesto "OTP" que sea válido mientras el usuario este conectado o navegando dentro de la aplicación...!!! es válido eso ??...de que otras formas les explico el real signficado del OTP ?? Muchas Gracias.
wilson_criollo@hotmail.com
Excelente página, todos los días reviso sus noticias y es una página que muchos otros sitios lo sugieren.... ==> eso significa CONFIANZA y SERIEDAD
Publicar un comentario