Para todos aquellos que no pudieron asistir a la RootedCon, os dejo la presentación de mi charla y un vídeo con las demos que se fueron haciendo durante la ponencia.
Un esquema breve sobre lo que se trató:
1.- Incidentes ocurridos en los últimos años, motivos, estadísticas y comentarios sobre ellos.
2.- Estudio de las políticas de contraseñas, donde se observa que los servicios webs más populares únicamente comprueban la longitud de la contraseña.
3.- Ejemplos de ataques a un listado de hashes.
3.1.- Fuerza bruta
3.1.1- Números donde se visualiza que las Rainbowtables no siempre son la mejor solución para listas de hashes largas.
3.1.2.- Ataque por fuerza bruta utilizando máscaras de caracteres con la herramienta oclhashcat
3.1.3.- Generación de diccionarios en base a IMDB, Wikipedia, FreeDB, etc.
3.2.- Ataques por diccionarios
3.4.- Las reglas en john the ripper y oclhashcat+, permutando palabras a otras combinaciones similares.
3.5.- Un ataque de fingerprint, donde de todas las contraseñas que ya se saben válidas de un listado de hashes, se "expande" (con hashcat-utils) el diccionario formando todas las posibles combinaciones de una misma palabra. Luego se usará como "right" y "left" en oclhashcat para obtener nuevos resultados. Repitiendo todo el proceso hasta que no se obtenga ningún hash.
3.6.- Hardware, ATI / NVIDIA
3.7.- Clusters conocidos y sus utilidades
3.8.- Uso del servicio en la nube de Amazon.
Un esquema breve sobre lo que se trató:
1.- Incidentes ocurridos en los últimos años, motivos, estadísticas y comentarios sobre ellos.
2.- Estudio de las políticas de contraseñas, donde se observa que los servicios webs más populares únicamente comprueban la longitud de la contraseña.
3.- Ejemplos de ataques a un listado de hashes.
3.1.- Fuerza bruta
3.1.1- Números donde se visualiza que las Rainbowtables no siempre son la mejor solución para listas de hashes largas.
3.1.2.- Ataque por fuerza bruta utilizando máscaras de caracteres con la herramienta oclhashcat
3.1.3.- Generación de diccionarios en base a IMDB, Wikipedia, FreeDB, etc.
3.2.- Ataques por diccionarios
3.4.- Las reglas en john the ripper y oclhashcat+, permutando palabras a otras combinaciones similares.
3.5.- Un ataque de fingerprint, donde de todas las contraseñas que ya se saben válidas de un listado de hashes, se "expande" (con hashcat-utils) el diccionario formando todas las posibles combinaciones de una misma palabra. Luego se usará como "right" y "left" en oclhashcat para obtener nuevos resultados. Repitiendo todo el proceso hasta que no se obtenga ningún hash.
3.6.- Hardware, ATI / NVIDIA
3.7.- Clusters conocidos y sus utilidades
3.8.- Uso del servicio en la nube de Amazon.
No hay comentarios:
Publicar un comentario