O documento discute como as mídias sociais revolucionaram os ataques de força bruta, explicando três cenários: 1) como dicas de senha em mídias sociais permitem adivinhar senhas, 2) como informações pessoais em mídias sociais facilitam a recuperação de senhas, e 3) como informações pessoais em mídias sociais podem ser usadas para criar wordlists mais efetivas para ataques de dicionário.
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
1. Entendendo como as Mídias
Sociais Revolucionaram os
Ataques de Força Bruta
Henrique Soares
Analista de Segurança
2. $ whoami
• Analista do Grupo Clavis
• Mestre em Informática pela UFRJ
• Detecção e resposta a incidentes de
segurança
• Testes de invasão em redes, sistemas e
aplicações.
3. Agenda
• Ataques sobre Senhas 101
• Estatísticas Interessantes
• Utilizando as Mídias Sociais
• Conclusão
5. • Força Bruta vs. Recuperação de Senhas
• Objetivos deste tipo de ataque:
• White Hat: Descobrir usuários com senhas fracas
• Black Hat: Obter acesso não-autorizado
• Os ataques geralmente são eficazes
somente sobre senhas fracas
Ataques sobre Senhas 101
Introdução
6. • Senha fraca → Fácil de adivinhar
• Dicas clássicas para criar senhas fortes:
• Misturar letras maiúsculas, minúsculas, números
e caracteres especiais
• Não utilizar palavras que podem ser encontradas
em dicionários (de nenhuma língua)
• Prestar atenção no número de caracteres
• Não utilizar uma senha em múltiplos serviços
• Não usar senhas sugeridas em palestras!!! J
Ataques sobre Senhas 101
O Que Caracteriza uma Senha Fraca?
7. • Não-Computacional
• Não envolvem computadores
• Offline
• Não necessitam conectividade
• Passivo
• Não interagem com o alvo na rede
• Ativo
• Interagem com o alvo na rede
Ataques sobre Senhas 101
Classificação dos Ataques
14. • Dica de senha
• Adivinhação da senha pela dica
• Mecanismo de recuperação de senhas
• Alteração da senha pelo fornecimento de
informações pessoais
• Ataques de dicionário
• Adivinhação por um teste iterativo de
possíveis senhas
Mídias Sociais
Ataques sobre Senhas
17. • Informações pessoais → Identidade
• Problema: muitas pessoas têm postado informa-
ções pessoais (e até íntimas) em mídias sociais
• Como resolver este problema?
• Que informação é pessoal a ponto de identificar,
mas desinteressante de postar em redes sociais?
• Solução: Comunicar-se com o cliente por outro
canal de comunicação pré-estabelecido
• Eficaz só se boas práticas não forem seguidas
Mídias Sociais
Cenário 2: Recuperação de Senha
18. • Ataque sobre a recuperação de senha
• Pedia informações facilmente obtidas na Internet
• Atacante encontrado, julgado e condenado
• Acusações incluíram:
• Obstrução da Justiça
• Acesso não-autorizado a computador
• Fraude eletrônica
• Roubo de identidade
• Sarah Palin não ganhou as eleições de 2008
Fonte: http://wikileaks.org/wiki/VP_contender_Sarah_Palin_hacked
Mídias Sociais
Caso Sarah Palin
19. • Ataque de tentativa/erro com wordlists
• Será bem-sucedido se a senha estiver na wordlist
• O que faz uma boa wordlist?
• Senhas com boa probabilidade de acerto
• Senhas mais relevantes ↔ Alvo bem definido
• Como Mídias Sociais podem auxiliar?
• Senha fácil de lembrar ↔ Informações pessoais
• Wordlists baseadas em informações pessoais
são mais relevantes que aleatórias
Mídias Sociais
Cenário 3: Ataque de Dicionário
20. • Ferramenta livre para criação de wordlists
• Características:
• Permite criar wordlists a partir de um charset
• Gera todas strings possíveis com este charset
• Mas e aí? Funciona?
• Funcionar até funciona, mas e o tempo?
• Senhas com baixíssima probabilidade de estarem
sendo usadas por um usuário real
Mídias Sociais
Ferramenta: Crunch
22. • Ferramenta livre para obtenção de informação
• Características:
• Busca informações em mídias públicas sobre
domínios ou empresas alvo
• Coleta emails, hosts e virtual hosts
• Mas isto ajuda em que?
• Fornece nomes de usuários válidos
• Informações sobre a infraestrutura alvo
Mídias Sociais
Ferramenta: The Harvester
24. • Ferramenta livre para criação de wordlists
• Características:
• Recebe informações pessoais sobre o alvo e cria
uma wordlist com base nestes dados
• Mas e agora?
• Atacar com sua ferramenta favorita
• John the Ripper, Aircrack-NG, THC-Hydra, Medusa, etc
• Vale frisar: nada é garantido!
• HULK SMASH!!!
Mídias Sociais
Ferramenta: CUPP
28. • Não escreva sua senha em mídias sociais
• Tem SEMPRE alguém olhando!!!
• Não utilize uma senha em múltiplos serviços
• Caso se descubra a senha em um serviço, o
atacante não terá acesso aos outros serviços
• Escolha senhas fortes e difíceis de adivinhar
• Utilizar uma boa senha ainda é uma boa
medida de segurança
Conclusão
Medidas Importantes
29. • Não escreva sua senha em papel
• Aproveite o fato de não terem inventado ainda
métodos de leitura da mente
• Se possível, utilize autenticação multi-fator
• Mais camadas de segurança não fazem
mal a ninguém! J
• Cuidado com a exposição excessiva
• Não informe aos criminosos de sua cidade
para onde você está indo!!!
Conclusão
Medidas Importantes