Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta

6.224 visualizações

Publicada em

Henrique Soares, analista técnico do Grupo Clavis Segurança da Informação. Esta palestra visa demonstrar como a análise de informações publicadas nas mídias sociais podem ser utilizadas como base de conhecimento para o lançamento de ataques de força bruta. Os ataques de força bruta não são exatamente uma novidade e as técnicas que serão apresentadas nesta palestra também não são novas, entretanto com o advento das mídias sociais como fonte de informações pessoais com bom nível de confiabilidade de um dado indivíduo (pois são fornecidas pelo próprio), a eficiência dos ataques de força bruta pode ser aumentada de maneira significativa sobre o próprio indivíduo ou sobre outros próximos a ele. Assim, a aplicação destas técnicas já bem conhecidas com o conhecimento destas novas informações que, se interpretadas de maneira adequada, podem obter resultados melhores. Assim, esta palestra apresenta as técnicas e ferramentas já tradicionalmente utilizadas para lançar este tipo de ataque e acrescenta a este contexto as melhorias que o conhecimento das informações coletadas nas mídias sociais podem trazer. O objetivo da apresentação é conscientizar sobre os riscos resultantes da exposição descuidada de informações.

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
6.224
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4.740
Ações
Compartilhamentos
0
Downloads
74
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta

  1. 1. Entendendo como as Mídias Sociais Revolucionaram os Ataques de Força Bruta Henrique Soares Analista de Segurança
  2. 2. $ whoami •  Analista do Grupo Clavis •  Mestre em Informática pela UFRJ •  Detecção e resposta a incidentes de segurança •  Testes de invasão em redes, sistemas e aplicações.
  3. 3. Agenda •  Ataques sobre Senhas 101 •  Estatísticas Interessantes •  Utilizando as Mídias Sociais •  Conclusão
  4. 4. Agenda Ataques sobre Senhas 101
  5. 5. •  Força Bruta vs. Recuperação de Senhas •  Objetivos deste tipo de ataque: •  White Hat: Descobrir usuários com senhas fracas •  Black Hat: Obter acesso não-autorizado •  Os ataques geralmente são eficazes somente sobre senhas fracas Ataques sobre Senhas 101 Introdução
  6. 6. •  Senha fraca → Fácil de adivinhar •  Dicas clássicas para criar senhas fortes: •  Misturar letras maiúsculas, minúsculas, números e caracteres especiais •  Não utilizar palavras que podem ser encontradas em dicionários (de nenhuma língua) •  Prestar atenção no número de caracteres •  Não utilizar uma senha em múltiplos serviços •  Não usar senhas sugeridas em palestras!!! J Ataques sobre Senhas 101 O Que Caracteriza uma Senha Fraca?
  7. 7. •  Não-Computacional •  Não envolvem computadores •  Offline •  Não necessitam conectividade •  Passivo •  Não interagem com o alvo na rede •  Ativo •  Interagem com o alvo na rede Ataques sobre Senhas 101 Classificação dos Ataques
  8. 8. Agenda Estatísticas Interessantes
  9. 9. •  Tamanho das senhas •  ≤ 5 (1,01%), 6 (21,79%), 7 (14,04%), 8 (20,58%), 9 (12,22%), 10 (8,647%), 11 (5,9%), 12 (4,83%), ≥ 13 (10,99%) •  Senhas mais comuns •  123456 (64), 123456789 (18), alejandra (11), 111111 (10), alberto (9), tequiero (9), alejandro (9), 12345678 (9) •  Conjunto de caracteres •  a (41,57%), aA1 (29,73%), 1 (19,11%), aA1@ (6,33%), aA (3,26%) Fonte: http://www.acunetix.com/blog/news/statistics-from-10000-leaked-hotmail-passwords/ Estatísticas Interessantes Vazamento de credenciais do Hotmail
  10. 10. •  Tamanho das senhas •  6 (20,75%), 7 (15,64%), 8 (32,79%), 9 (15,04%), 10 (8,99%), 11 (3,77%), 12 (1,8%), 13 (0,68%), ≥ 14 (0,53%) •  Conjunto de caracteres •  a1 (47,66%), a (24,57%), aA1 (12,16%), 1 (7,71%) •  Ordenação dos caracteres •  s (27,57%), 1 (7,71%) •  s1 (49,05%), s1s (5,24%), 1s (3,16%), 1s1 (0,94%) •  s@1 (1,35%), s@s (0,46%), s@ (0,34%), @s (0,05%), @s@ (0,04%), @ (0,0%) Fonte: http://pastebin.com/5pjjgbMt Estatísticas Interessantes Vazamento de credenciais do LinkedIn
  11. 11. •  Tamanho das senhas •  ≤ 5 (1,93%), 6 (17,98%), 7 (14,82%), 8 (26,9%), 9 (14,9%), 10 (12,37%), 11 (4,79%), 12 (4,91%), ≥ 13 (1,47%) •  Senhas mais comuns •  123456 (1666), password (780), welcome (436), ninja (333), abc123 (250), 123456789 (222), 12345678 (208) •  Conjunto de caracteres •  a1 (50,61%), a (33,08%), 1 (5,89%), Aa1 (5,25%) •  Ordenação dos caracteres •  s1 (41,85%), 1a (5,64%), s1s (4,22%), 1s1 (1,05%) Fonte: http://blog.eset.se/statistics-about-yahoo-leak-of-450-000-plain-text-accounts/ Estatísticas Interessantes Vazamento de credenciais do Yahoo
  12. 12. Que as Mídias Sociais têm com isto? Foca!!!
  13. 13. Agenda Utilizando as Mídias Sociais
  14. 14. •  Dica de senha •  Adivinhação da senha pela dica •  Mecanismo de recuperação de senhas •  Alteração da senha pelo fornecimento de informações pessoais •  Ataques de dicionário •  Adivinhação por um teste iterativo de possíveis senhas Mídias Sociais Ataques sobre Senhas
  15. 15. Mídias Sociais Cenário 1: Dica de Senha
  16. 16. Mídias Sociais Cenário 1: Dica de Senha
  17. 17. •  Informações pessoais → Identidade •  Problema: muitas pessoas têm postado informa- ções pessoais (e até íntimas) em mídias sociais •  Como resolver este problema? •  Que informação é pessoal a ponto de identificar, mas desinteressante de postar em redes sociais? •  Solução: Comunicar-se com o cliente por outro canal de comunicação pré-estabelecido •  Eficaz só se boas práticas não forem seguidas Mídias Sociais Cenário 2: Recuperação de Senha
  18. 18. •  Ataque sobre a recuperação de senha •  Pedia informações facilmente obtidas na Internet •  Atacante encontrado, julgado e condenado •  Acusações incluíram: •  Obstrução da Justiça •  Acesso não-autorizado a computador •  Fraude eletrônica •  Roubo de identidade •  Sarah Palin não ganhou as eleições de 2008 Fonte: http://wikileaks.org/wiki/VP_contender_Sarah_Palin_hacked Mídias Sociais Caso Sarah Palin
  19. 19. •  Ataque de tentativa/erro com wordlists •  Será bem-sucedido se a senha estiver na wordlist •  O que faz uma boa wordlist? •  Senhas com boa probabilidade de acerto •  Senhas mais relevantes ↔ Alvo bem definido •  Como Mídias Sociais podem auxiliar? •  Senha fácil de lembrar ↔ Informações pessoais •  Wordlists baseadas em informações pessoais são mais relevantes que aleatórias Mídias Sociais Cenário 3: Ataque de Dicionário
  20. 20. •  Ferramenta livre para criação de wordlists •  Características: •  Permite criar wordlists a partir de um charset •  Gera todas strings possíveis com este charset •  Mas e aí? Funciona? •  Funcionar até funciona, mas e o tempo? •  Senhas com baixíssima probabilidade de estarem sendo usadas por um usuário real Mídias Sociais Ferramenta: Crunch
  21. 21. Mídias Sociais Ferramenta: Crunch
  22. 22. •  Ferramenta livre para obtenção de informação •  Características: •  Busca informações em mídias públicas sobre domínios ou empresas alvo •  Coleta emails, hosts e virtual hosts •  Mas isto ajuda em que? •  Fornece nomes de usuários válidos •  Informações sobre a infraestrutura alvo Mídias Sociais Ferramenta: The Harvester
  23. 23. Mídias Sociais Ferramenta: The Harvester
  24. 24. •  Ferramenta livre para criação de wordlists •  Características: •  Recebe informações pessoais sobre o alvo e cria uma wordlist com base nestes dados •  Mas e agora? •  Atacar com sua ferramenta favorita •  John the Ripper, Aircrack-NG, THC-Hydra, Medusa, etc •  Vale frisar: nada é garantido! •  HULK SMASH!!! Mídias Sociais Ferramenta: CUPP
  25. 25. Mídias Sociais Ferramenta: CUPP
  26. 26. Mídias Sociais Ferramenta: CUPP
  27. 27. Conclusão Agenda
  28. 28. •  Não escreva sua senha em mídias sociais •  Tem SEMPRE alguém olhando!!! •  Não utilize uma senha em múltiplos serviços •  Caso se descubra a senha em um serviço, o atacante não terá acesso aos outros serviços •  Escolha senhas fortes e difíceis de adivinhar •  Utilizar uma boa senha ainda é uma boa medida de segurança Conclusão Medidas Importantes
  29. 29. •  Não escreva sua senha em papel •  Aproveite o fato de não terem inventado ainda métodos de leitura da mente •  Se possível, utilize autenticação multi-fator •  Mais camadas de segurança não fazem mal a ninguém! J •  Cuidado com a exposição excessiva •  Não informe aos criminosos de sua cidade para onde você está indo!!! Conclusão Medidas Importantes
  30. 30. Dúvidas? Perguntas? Críticas? Sugestões?
  31. 31. Siga a Clavis
  32. 32. Muito Obrigado! contato@clavis.com.br @hrssoares Henrique Soares Analista de Segurança henriquerssoares

×