Ataques de Dicionário com CUPP

298 visualizações

Publicada em

Ataques de Dicionário com CUPP.
Alexandre Borges

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
298
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
1
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Ataques de Dicionário com CUPP

  1. 1. ProfessorCristianoGoulart Borges
  2. 2. Algo que o usuário sabe... Algo que o usuário tem... Algo que o usuário é... Algo que o usuário faz... Senhas e Autenticação
  3. 3. Por mais insuficiente que seja a combinação usuário/senha a situação sempre pode piorar: * se você os deixar escolher uma senha sem qualquer critério, eles automaticamente escolherão uma senha fraca, como “internacional” ou “gremio”.“gremio”. * se você os forçar a escolher uma senha forte com letras maiúsculas, minúsculas, números e símbolos, eles irão anotar num papel e esconder embaixo do teclado. * se você os pedir para alterar, eles alterarão para a mesma senha que usavam no mês passado. * quando você finalmente consegue fazê-los utilizar uma senha forte, eles utilizarão essa mesma senha para diversos serviços diferentes.
  4. 4. http://www.ted.com/talks/bruce_schneier#t-1245418
  5. 5. O consultor de segurança Mark Burnett publicou 10 milhões de senhas junto a seus nomes de usuário correspondentes. A ideia é ajudar outros pesquisadores – ele acredita que a maioria das combinações usuário-senha já foi desativada – mas é algo juridicamente arriscado. Normalmente, pesquisadores de segurança recebem um conjunto de senhas sem os nomes de usuário, só que isso os impede de analisar possíveis interações entre nomes e senhas. http://gizmodo.uol.com.br/10-milhoes-senhas-nomes/https://xato.net/about/ “...há algum tempo, queria criar um banco de dados limpo para compartilhar com o mundo”. Ele acredita que fornecer nomes e senhas em conjunto dá “insights melhores sobre o comportamento do usuário e é valioso para promover a segurança de senhas”.
  6. 6. Assim, Burnett se esforça para explicar porque o FBI não deve prendê-lo: “Embora os pesquisadores normalmente só liberem senhas, eu estou liberando os nomes de usuário com as senhas. A análise de nomes e senhas é uma área que tem sido muito negligenciada e pode fornecer mais insights que estudar senhas isoladamente. A maioria dos pesquisadores tem medo de publicar nomes de usuários e senhas juntos porque, combinados, eles se tornam um recurso de autenticação. Se apenas fornecer o link para recursos de autenticação em um canal de IRC privado é considerado tráfico, certamente o FBI iria considerar a liberação pública de dados reais umcertamente o FBI iria considerar a liberação pública de dados reais um crime… … a intenção aqui certamente não é fraudar, nem facilitar o acesso não-autorizado a um sistema de computador, nem roubar a identidade de outros, nem auxiliar qualquer crime ou prejudicar qualquer pessoa física ou jurídica. A única intenção é avançar as pesquisas com o objetivo de tornar a autenticação mais segura e, portanto, nos proteger contra fraudes e acessos não-autorizados… Em última análise, até o máximo que pude verificar, estas senhas não são mais válidas, e eu tomei medidas extraordinárias para tornar esses dados ineficazes em atacar determinados usuários ou organizações. Estes dados são extremamente valiosos para fins acadêmicos e de pesquisa e para promover a segurança de autenticação, e é por isso que eu os liberei em domínio público.”
  7. 7. http://wpengine.com/unmasked/ WordPress Hosting Platform 10 Million Passwords Unmasked Note que há uma diferença regional que precisa ser levada em consideração.
  8. 8. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  9. 9. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  10. 10. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  11. 11. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  12. 12. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  13. 13. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  14. 14. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI) Afinal, se até o Comando Aéreo Estratégico dos EUA mantiveram por 20 anos os códigos de lançamento doscódigos de lançamento dos mísseis nucleares como “00000000”, o que impediria o usuário mediano de usar senhas fracas? http://www.dailymail.co.uk/news/article- 2515598/Launch-code-US-nuclear- weapons-easy-00000000.html
  15. 15. Conforme Bruce Schneier, o conceito de senhas está relacionado a um Oxímoro: uma figura de linguagem que consiste em relacionar numa mesma expressão ou locução palavras que exprimem conceitos contrários: Uma senha segura é aquela onde o esforço para obtê-la é mais custoso do que o benefício advindo de tal ato. • silêncio ensurdecedor • ilustre desconhecido • mentiroso honesto A ideia é ter uma palavra randômica fácil de lembrar para servir de autenticação. Cristiano = fácil de lembrar, mas não é randômico TRsdj-dsi18*54kuq(0 = randômico, mas não é fácil de lembrar
  16. 16. https://howsecureismypassword.net/ http://password.social-kaspersky.com/pt
  17. 17. Porém esse cálculo é feito considerando-se o método de força bruta. Em ataques de dicionário, uma wordlist será utilizada para tentar quebrar a senha da vítima, ou seja, tudo dependerá: • da qualidade da wordlist do atacante • da qualidade da senha do usuário O CUPP.py nos permitirá criar uma wordlist personalizada, sempre levando em consideração que nosso usuário foi tolo o suficiente para utilizar informações pessoais para compor uma senha. Lembre-se: usando dados pessoais conseguidos através de currículos coletados na Internet, redes sociais ou mesmo através de engenharia social, pode-se aumentar ainda mais a qualidade da wordlist
  18. 18. CUPP: Common User Password Profiler
  19. 19. Exemplo de quebra de SSH com CUPP.py e Hydra-GTK Senha: 5p1k3Cr1571@n0@|@Senha: 5p1k3Cr1571@n0@|@
  20. 20. Criando senhas fortes Senha = MvJ,87,gbdl. Frase = Meu vizinho João, 87, gosta bastante de limonada. 96 possibilidades em 12 dígitos (9612): 612.709.757.329.767.363.772.416 Note que esta já não é mais uma senha segura.
  21. 21. Teste da senha Mvj,87,gbdl. How Secure is my password Kaspersky
  22. 22. DICA DO DIA!!!!!!!!!! Transforme algo que você sabe em algo que você tem e faça autenticação dupla ;o) Escreva num pedaço de papel uma parte da senha e leve-o na sua carteira (afinal, é onde você guarda seus documentos, seu dinheiro, seus cartões...). Você também podeonde você guarda seus documentos, seu dinheiro, seus cartões...). Você também pode ter essa informação no seu celular, usando softwares como o Keepass. Senha = MvJ,87,gbdl.@Mg7F-097DsLp-12 sendo que: MvJ,87,gbdl. é a parte que eu sei e; @Mg7F-097DsLp-12 é a parte que levo anotada na carteira ou celular.
  23. 23. MvJ,87,gbdl.@Mg7F-097DsLp-12
  24. 24. Obrigado!Obrigado!

×