Julio César Ardita 14 de Noviembre de 2013 COATZACOALCOS - MEXICO

Transcripción

1 Julio César Ardita 14 de Noviembre de 2013 COATZACOALCOS - MEXICO

2 Agenda Autenticación y claves de acceso Passwords Ataques a los passwords Estadisticas 2

3 Conceptos generales Autenticación: Es la asociación entre una identidad y un objeto. Identidad es la entidad externa (persona, proceso cliente). objeto es la entidad informática (UID).

4 Establecimiento de la Identidad Permanentemente estamos validando la identidad de las personas. En base a que sabemos: - PIN de desbloqueo de acceso al celular. - Clave de alarma antirrobo En base a que tenemos: - Autenticación en el cajero automático (ATM). - Rosa en el ojal.

5 Establecimiento de la Identidad Qué es lo que la entidad sabe? (clave) Qué es lo que la entidad tiene? (documento, tarjeta) Qué es lo que la entidad es? (dactilares, retina) Dónde está la entidad? ( terminal local, remota)

6 Claves Secuencia de caracteres Combinación de letras, dígitos y símbolos elegidos por el usuario. Secuencia de Palabras Pass-Phrases

7 Claves Almacenamiento de Claves Texto transparente Si el archivo es comprometido, todas las claves lo están. Archivo cifrado Necesita claves para cifrado/descifrado en memoria terminamos en problema anterior. One-way Hash de la clave Si el archivo es comprometido, el atacante aún debe adivinar las claves o invertir la función.

8 UNIX utiliza un hash de la clave Claves en UNIX Convierte utilizando una de 4096 funciones de HASH la clave en un string de 11 caracteres. El algoritmo original: Cifra mediante DES un bloque de 64 bits en 0, utilizando la password como clave. El proceso se repite 25 veces, cifrando en cada paso el resultado del anterior. Para complicar el proceso, se agrega un SALT, que, basado en la hora del día, selecciona una de 4096 leves variantes de DES. La Salt se almacena sin cifrar junto con la password cifrada.

9 Claves en UNIX Archivo de passwords: etc/passwd root:3dgywlnrgn20y:0:1:operator:/:/bin/csh nobody:*:65534:65534::/: daemon:*:1:1::/: sysadm:ddj4sbqj3y09m:0:5:system administrator:/home/aurora/sysadm:/bin/csh sys:*:2:2::/:/bin/csh bin:*:3:3::/bin: uucp:*:4:8::/var/spool/uucppublic: news:dkduhx8lw3iks:6:6::/var/spool/news:/bin/csh audit:*:9:9::/etc/security/audit:/bin/csh sync::1:1::/:/bin/sync ada:.gadsk7s9dcxa:102:25:ada owner:/local/ada:/bin/csh pop:*:50:20:pop mailer:/var/spool/pop:/bin/csh sll1j:pezasyn11mn6.:750:20:stephen l levy:/home/newton1/sll1j:/bin/csh rjs3h:iboujmvgcoxog:695:20:randy j shehady:/home/turing/rjs3h:/bin/csh cep2y:pexdpzlgqobyk:821:20:carol e papenhausen:/home/newton1/cep2y:/bin/csh

10 Claves en Windows Windows utiliza un hash de la clave Microsoft Windows almacena las passwords de los usuarios en el archivo denominado SAM (Security Account Manager) para las contraseñas locales (que se encuentra en %systemroot%\system32\config\sam) y en el archivo ntds.dit del controlador de dominio para los usuarios que se validan contra controladores de dominio. Para calcular los hashes que se almacenan en la SAM, Windows XP y versiones anteriores utilizan por defecto dos algoritmos para cifrar cada clave: LM (por compatibilidad hacia atrás) y NTLM (más seguro).

11 Claves en Windows Los hashes se encuentran en la zona de memoria. Para obtenerlos hay que conectarse a la LSASS (Local Security Authority Subsystem) como administrador. Se obtienen los HASH LM y NTLM (password dump 3). Otra forma de acceso es la física sobre el archivo. Administrator:500:B3D2169D889A0D5CAAD3B435B51404EE:E7BFEA97991A 2F75A5B57C BD::: Guest:501:31B3E9E3E38B1AFD36077A718CCDF409:46FAB0161A32D00A46 B2DE363E309F7C:::

12 Ataques a las passwords Hay dos grandes formas: Off-line (ya se obtuvo el archivo con las passwords enriptadas) Ejemplo: L0phtcrack, crack, john-the-ripper, hashcat On-line (se prueba en tiempo real). Problemática del bloqueo de usuarios. Ejemplo: THC hydra, Medusa

13 Ataques a las passwords Off-line Para poder crackear las passwords obtenidas existen tres grandes formas: - Ataque por entorno. - Ataque por diccionario. - Ataque por fuerza bruta.

14 Ataques a las passwords Off-line - Ataque por entorno Comparar con: - Nombre del usuario. - Nombre de la Compañía. - Username. - Año. - Números (0 a 99).

15 Ataques a las passwords Off-line - Ataque por diccionario Un ataque de diccionario es un método de cracking que consiste en intentar averiguar una contraseña probando todas las palabras del diccionario.

16 Ataques a las passwords Off-line - Ataque por fuerza bruta Se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Variables que entran en juego: - Longitud de la clave - Set de caracteres utilizado Menos eficiente que el ataque de diccionario. Muchas veces se combinan.

17 Ataques a las passwords Prueba del L0pthCrack

18 Estadísticas Estadisticas Contraseñas de dominio de 10 organizaciones (LM) Contraseñas Historial de contraseñas Software desarrollado in-house 18

19 Diccionario trivial admin administrador administrator No trivial 86% Estadisticas Trivial 14% password pa$$w0rd querty querty123 19

20 Nombre de organización Empresa2012 Contraseñas por defecto Estadisticas 50,0% 45,0% 40,0% 35,0% 30,0% 25,0% 20,0% 15,0% 10,0% 5,0% 0,0% 44,7% 35,2% 31,2% 6,1% 7,3% 3,7% 0,8% 0,8% 1,0% 1,6%

21 Diccionario español Estadisticas Diccionario de palabras de 6 o más caracteres 21

22 Diccionario Nombres Estadisticas Diccionario de nombres de 5 o más caracteres No Incluyen 79% Incluyen 21% 22

23 Estadisticas Parte del nombre de usuario en contraseña Al menos 6 caracteres consecutivos del nombre de usuario Usuario: jose.gonzalez Contraseña: Gonzalez71 12,00% 10,00% 9,70% 10,73% 8,00% 6,00% 5,13% 5,07% 5,15% 6,25% 4,00% 2,00% 0,00% 3,41% 2,22% 0,68% 0,00%

24 Longitud contraseñas Estadisticas

25 Cálculo de complejidad Cálculo de complejidad de contraseña Alfabeto Cantidad de caracteres Letras Mayúsculas 26 Letras Minúsculas 26 Números 10 Símbolos 10 Total 72 25

26 Cálculo de complejidad Cálculo de complejidad de contraseña: Fuerza bruta #de caracteres Combinaciones Tiempo (NT MD4 Hash) segundo minuto hora días días años años años Procesador: Pentium Dual-Core 2.50GHz contraseñas por segundo 26

27 Cálculo de complejidad Cálculo de complejidad de contraseña: Combinado # de caracteres Combinaciones Tiempo (NT MD4 Hash) 8 (2+6) minutos 9 (3+6) días 10 (4+6) días 11 (5+6) años Diccionario español: definiciones de 6 caracteres o más 27

28 La frase como password La selección de la password estará basada en una frase que debemos recordar y utilizar la primera letra de cada una de las palabras como password. Ejemplo: A las 7! tenemos clase en el aula 423 Password: Al7!tceea4

29 29

30 Preguntas?

31 Julio César Ardita 14 de Noviembre de 2013 COATZACOALCOS - MEXICO