ATAQUES A CONTRASEÑAS.

Slides:



Advertisements
Presentaciones similares
Certificados X.509 Federico García
Advertisements

UNIX COMP 240.
Procesamiento de cadenas
Solución para Control de Presencia Empleados
Bienvenido a Marangatu'i, Módulo del Contribuyente de la SET!
Unidad 8 Capa de PRESENTACIÓN
Telnet y SSH Integrantes: Carlos Parra José Isabel
Aprendizaje de Microsoft® Access® 2010
Iniciaremos el proceso de instalación de Ubuntu (Versión 11.04), partiendo de la base que ya se encuentra instalado en nuestro PC el sistema operativo.
Access Bases de datos.
Que es el protocolo “SSL”
Resolución de Problemas Algoritmos y Programación
Especialista en Business Intelligence Integration Services SSIS (Sesión 5) Microsoft SQL Server 2008 R2 (Nov.2013) Suscribase a o.
SQL Server Integration Services SSIS
Redes I Unidad 7.
SISTEMA DE NACIMIENTOS MANUAL DEL USUARIO. El objetivo del presente manual es servir de guía al usuario final para interactuar con el Sistema, permitiéndole.
Directorio Activo- Active Directory
Windows XP sp3.
Combinación de correspondencia
Seguridad en las redes de computadores
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
Seguridad del protocolo HTTP
DE LAS CUENTAS DE USUARIO Y OPCIONES DE CARPETA
ESTRUCTURA DE LOS SISTEMAS OPERATIVOS
EL CORREO ELECTRONICO. Introducción : El correo electrónico es el servicio de Internet con más usuarios de todo el mundo. Con este servicio se pueden.
Sistema Operativo. ¿Qué es el Sistema Operativo? Un sistema operativo (SO) es el conjunto de programas y utilidades software que permiten al usuario interactuar.
Planificación de los grupos de usuarios El primer paso del proceso de planificación, decidir la estrategia global de seguridad, es como establecer la.
POP3 UCLV Mapas Conceptuales para la enseñanza de Redes de Computadoras.
Sistemas decimal, binario, octal y hexadecimal
HERNANDEZ RAMIREZ CAROLINA CONALEP IXTAPALUCA 236.
Sesión 2 Tablas Propiedades de los campos. Sesión 2 Borrar el contenido del directorio Mis documentos.
Capítulo 7 Seguridad en las redes de computadores Nota sobre el uso de estas diapositivas ppt: Proporcionamos estas diapositivas de forma gratuita para.
Principios de seguridad de Windows XP La mayoría de sistema operativos aparecen términos lógicos como Autentificación y Autorización AUTORIZACION Para.
(Organización y Manejo de Archivos)
Sesión 2 Tablas Propiedades de los campos. Sesión 2 Borrar el contenido del directorio Mis documentos.
Diseño de algoritmos La computadora puede realizar procesos y darnos resultados, sin que tengamos la noción exacta de las operaciones que realiza. Con.
Capítulo 7 Gestión de memoria.
SEGURIDAD DE REDES CARRERA DE INGENIERÍA DE SISTEMAS Ing. Moisés Toapanta, MSc. Guayaquil, junio del 2014.
1 ATAQUES A CONTRASEÑAS CRACK Marta Benítez González José Gutiérrez Benítez.
Dos años para un golpe El Ordenador del director general Revisando el servidor web secundario, encontró el nombre de usuario y número de IP del director.
FILTROS. Un filtro es un programa que recibe una entrada, la procesa y devuelve una salida. Relacionando filtros simples podemos hacer prácticamente cualquier.
Modulo 2. Filesystem Bàsico
FUNDAMENTOS DE PROGRAMACION
Ing. Elmer Raúl Aro Valderrama
Seguridad DNS. Javier Rodríguez Granados.
Sesión 2 Tablas Propiedades de los campos. Sesión 2 Borrar el contenido del directorio Mis documentos.
Cuentas de usuarios y grupos en windows 2008 server
Supongamos que un usuario desea escribir un informe e imprimirlo en una impresora conectada. Para realizar esta tarea, se precisa una aplicación de procesamiento.
Trabajo realizado por: Rosa Fernández Extremera Virginia Sánchez López.
Integrantes: Hilbert Méndez Velásquez Wendy Aguirre Alvarez Jhon the Ripper (Juan el destripador)
Metodología de la programación
Encriptación de los datos. Una de las principales preocupaciones de los DBA es que puedan salir datos de la empresa. El típico ejemplo es que se guarden.
Tema 6 – Servicio de Correo Electrónico
La administración de dominios
Wordpress. ¿Qué es WordPress? WordPress es un sistema de gestión de contenidos (CMS) que permite crear y mantener un blog u otro tipo de web. Con casi.
FACULTAD: CIENCIAS ECONÓMICAS Y EMPRESARIALES ASIGNATURA: GESTIÓN DE CONTENIDO ELECTRÓNICO TÍTULO: TINFOPATH - VENTAJAS Y USO. AUTORA: MARIA DANIELA TOMALÁ.
Seguridad del protocolo HTTP:
File Transfer Protocol.
MARIANA PRECIADO VILLA TELECOMUNICACIONES 11º3
Cuentas de usuarios y grupos en windows 2008 server
CONBINACION DE CORRESPONDENCIA
Firma Electrónica Eduardo Chiara Galván
Unidad 4. Servicios de acceso remoto
CODIGO ASCII.
Guardando el secreto Protección de datos.
Cristina Sánchez.  Linux y Windows son sistemas multiusos. Esto permite que varias personas puedan usar el mismo ordenador para realizar sus tareas.
Para generar una transmisión segura de datos, debemos contar con un canal que sea seguro, esto es debemos emplear técnicas de forma que los datos que.
Omar Herrera Caamal Rigoberto Lizárraga Luis Cetina Luna.
Usuarios y Grupos Identificación: consiste en saber quién es en el sistema a fin de determinar los permisos de la persona. Todo usuario en el sistema tiene.
Transcripción de la presentación:

ATAQUES A CONTRASEÑAS

¿QUÉ ES UN ATAQUE A CONTRASEÑAS? Actividad destinada a romper, descifrar o borrar contraseñas para burlar los mecanismos de seguridad. Es lo primero que intentan y aprenden los piratas, ya que requiere una experiencia técnica mínima El objetivo es lograr averiguar la contraseña de alguno de los usuarios (root) para lograr entrar al sistema

¿CÓMO GENERA Y ALMACENA LINUX LAS CONTRASEÑAS? Las primeras distribuciones de Linux almacenaban las contraseñas en el archivo /etc/passwd; lo que no resultaba seguro, debido a que este archivo es legible. De ahí que cualquier usuario puede ver el contenido de etc/passwd

EVOLUCIÓN HISTÓRICA DE LAS CONTRASEÑAS La primera evidencia de contraseñas la encontramos en le antiguo Egipto, cuando un Egipto importante moría lo enterraban con pergaminos. En estos pergaminos los sacerdotes escribían contraseñas secretas. En el año 2000 A.C. los egipcios comenzaron a usar contraseñas de texto sin formato. Después de 1000 años los egipcios crearon una criptografía rudimentaria.

Es la ciencia de escribir de forma secreta CRIPTOGRAFÍA Krypto Escondido Graphia Escritura CRIPTOGRAFIA Es la ciencia de escribir de forma secreta

CRIPTOGRAFÍA En tiempos de los romanos usaban cifrados por sustitución Julio Cesar popularizó uno que consistía en desplazar cada carácter tres posiciones en el alfabeto Actualmente para la encriptación no seria de datos se usa ROT-13 que consiste en desplazar los caracteres 13 posiciones. Ej. La a se convierte en n, la b en o y así sucesivamente

CRIPTOGRAFÍA A medida que fueron apareciendo las computadoras que podían ejecutar millones de cálculos por segundo, aumento la demanda de mayores cifrados. Las contraseñas de Linux se crean utilizando un avanzado algoritmo de cifrado de IBM llamado Data Encryption Standard (norma de cifrado de datos) o DES

Data Encryption Standard (DES) Tiene 28 años 1970 EE.UU. Utilizaba muchos cifrados en entornos clasificados, secretos y de alto secreto 1973 Se creó la National Burean of Standards 1977 El DES de IBM es Apoyado por la National Burean of Standards y la National Security Agency

DES DES es un algoritmo matemático para encriptar y desencriptar información en código binario. Encriptación cifrado Desencriptación texto sin formato El encriptado y desencriptado se apoyan en una clave de 64 dígitos binarios, 56 se utilizan para el cifrado y 8 para comprobación de errores.

DES Efectúa tres operaciones Permutación inicial: los bits se desplazan a otras posiciones en un tabla. Bloque de entrada: el bloque se reordena mediante operaciones matemáticas (transformación) Bloque de pre salida: Se le aplica otra permutación y el resultado es el texto mezclado o texto cifrado

El factor Humano: Los usuarios eligen contraseñas simples ATAQUES A DICCIONARIO DES no es infalible, por lo que las contraseñas codificadas con DES pueden romperse en cuestión de minutos, por dos razones: El factor Humano: Los usuarios eligen contraseñas simples Longitud limitada: Las contraseñas en Linux son cortas, el número de transformaciones es relativamente pequeño

ATAQUES A DICCIONARIO Los atacantes toman grandes listas de palabras y los codifican utilizando DES, envían palabras corrientes, nombres propios y otro texto a través de las mismas permutaciones y transformaciones. Los atacantes pueden codificar cada palabra del diccionario de 4.096 formas diferentes, cuando obtiene el texto codificado lo compara con las contraseñas de /etc/passwd y cuando encuentra una contraseña avisa al agresor que se ha roto la contraseña.

MONOGRAFIA: RUPTURA DE CONTRASEÑAS DE LINUX A TRAVES DE ATAQUE A DICCIONARIO Se necesita: Las contraseñas de /etc/passwd Herramienta adecuada para auditar contraseña (Crack) Los archivos de configuración: dictgrps.conf, dictrun.conf y network.conf Historial de seguridad Para ejecutar el Crack hay que ser root

EJECUCIÓN PARA ROMPER CLAVE Se ejecuta en varias fases: Descomprimir Crack Crear Crack Ejecutar Crack Observar los resultados

EJECUCIÓN PARA ROMPER CLAVE Descomprimir el directorio root utilizando gunzip Gunzip crack5.0.tar.gz Se descomprime a un archivo de tipo tar llamado crack5.0.tar, usando el comando tar: tar –xvf crack5.0.tar Se creará un directorio llamado c50a, al que habrá que cambiarse para crear el crack. Descomprimir Crack

EJECUCIÓN PARA ROMPER CLAVE Escribir la línea de comando ./Crack –makeonly observará el siguiente mensaje: all made in util make[1]: Leaving directory‘/root/c50a/src/util’ Crack: makeonly done Compilar los diccionarios: Crack –makedit Cuando acabe mostrará el siguiente mensaje: Crack: Created new dictionary... Crack: makedict done Crear Crack

EJECUCIÓN PARA ROMPER CLAVE Se puede romper directamente el archivo /etc/passwd pero para mayor comodidad y entendimiento se ha copiado el archivo en passwords.txt. Para ejecutar Crack se introduce el siguiente comando: Crack passwords.txt Ejecutar Crack

EJECUCIÓN PARA ROMPER CLAVE Observar los resultados Se utiliza la herramienta Reportque se encuentra en el directorio /c50a: ./Reporter Ejemplo.Se han encontrado 4 contraseñas en 2 minutos que eran muy débiles: Guessedmarty [marty] MartyRush [passwords.txt/bin/bash] GuessedNicole [alexalex] Caldera OpenLinux User [passwords.txt/bin/bash] Guessedmanny [willow] Caldera OpenLinux User [passwords.txt/bin/bash] Guessedmoe [solace] Caldera OpenLinux User [passwords.txt/bin/bash]

CRACK Las herramientas del CRACK son muy valiosas ya que ayudan a probar la robustez relativa de las contraseñas de los usuarios, Pero como cualquier otra herramienta CRACK puede ser usado también por malas malos Durante muchos años los intrusos se dirigieron a /etc/passwd porque era donde se almacenaban las contraseñas, en consecuencia de esto los especialistas se vieron forzados a darle solucion a este problema y es de ahí que surgió el shadowiing

SHADOWING DE CONTRASEÑAS Y LA SUITE SHADOW El shadowing de contraseñas es una técnica mediante la que el archivo /etc/passwd sigue siendo legible pero ya no contiene las contraseñas. En su lugar, se almacenan en /etc/shadow. La herramienta más popular que realiza el shadowing es Linux Password Shadow Suite. Tras instalar el paquete de shadow se debe de examinar La base de dados de contraseñas de shadow es /etc/shadow.

SHADOWING DE CONTRASEÑAS Y LA SUITE SHADOW /etc/shadow consta de un registro por línea con nueve campos: El nombre de usuario La contraseña de usuario Fecha en la que se cambió la contraseña por última vez Número de días que queda para permitir al usuario cambiar su contraseña. Número de días de antelación con que se avisa al usuario de que tendrá que cambiar su contraseña. Número de días que queda para que el usuario cambie su contraseña antes de que su cuenta sea cancelada. Número de días desde que la cuenta ha sido cancelada. Está reservado

SHADOWING DE CONTRASEÑAS Y LA SUITE SHADOW Implementa dos nuevos conceptos: Vencimiento de la contraseña(tiempo de vida limitado) Bloqueo automático de cuenta(se bloquean las cuentas sino cambian las contraseñas o se han caducado).

UTILIDADES DE SUITE SHADOW Y SUS FUNCIONES Utilidad Función Chage Se utiliza para cambiar la información de expiración de contraseña de los usuarios. Gpaswwd Se utiliza para añadir nuevos usuarios a los grupos. Groupadd Se utiliza para añadir nuevos grupos Id Un sustituto de la suite shadow para el comando id. Es una utilidad que muestra el UID y la información asociada. Passwd Un sustituto de la suite shadow para el comando passwd. Sirve para crear nuevas contraseñas de usuario o para cambiar las existentes. Userdel Se utiliza para borrar usuarios. Este comando borrará al usuario y su directorio de origen. usermod Se utiliza para cambiar la información de un usuario(shell, tiempo de expiración de contraseña,etc.).

AÑADIR USUARIOS CON SHADOWING: USERADD Para añadir un usuario con shadowing se utiliza: useradd, que gestiona las entradas de /etc/passwd, /etc/group y /etc/shadow. Aplicación: useradd (/user/sbin/useradd) Necesita: useradd Archivos de configuración: Ninguno Historial de seguridad: UID o root

AÑADIR USUARIOS CON SHADOWING: USERADD Opciones de la línea de comandos de useradd: Opción Propósito -c Para especificar el nombre real del usuario o un comentario. -d Para especificar el directorio de inicio del nuevo usuario. -g Para asignar el usuario a un grupo específico -m Se utiliza para que useradd cree el directorio de inicio del nuevo usuario. -s Para especificar la shell predeterminada del nuevo usuario u Para especificar el UID del nuevo usuario

AÑADIR USUARIOS CON SHADOWING: USERADD Si se llama al useradd sin argumentos, aparece un resumen de uso. usage: useradd[-u uid] [-g group] [-m] [-d home][-s shell][-r rootdir] [-e expire dd/mm/yyyy][-f inactive] name useradd -D useradd –v Esta es una línea mínima que creara una entrada de usuario en: /etc/passwd, /etc/group y /etc/shadow

TRAS LA INSTALACIÓN DE SUITE SHADOW El shadowing de contraseñas es un excelente comienzo, pero no puede garantizar la seguridad de las contraseñas del sistema. Se debe ampliar el concepto de seguridad: Elección humana de contraseñas y seguridad del sistema Comprobación proactiva de las contraseñas Seguridad auxiliar de las contraseñas

ELECCIÓN HUMANA DE CONTRASEÑAS Y SEGURIDAD DEL SISTEMA Se deben elegir contraseñas fuertes y no a partir de datos personales del usuario. Crack rompería cualquier contraseña de este tipo en segundos. Las computadoras actuales tienen una gran potencia de proceso, y las herramientas de ataque a diccionarios se han vuelto muy avanzadas. Las herramientas como crack son valiosas. Mediante la comprobación regular de la fortaleza de las contraseñas, es posible asegurarse de que ningún intruso pueda penetrar en la red aprovechando una mala elección de la contraseña.

COMPROBACIÓN PROACTIVADE CONTRASEÑAS Hace que se eliminen las contraseñas débiles antes de su envío a la base de datos de contraseñas. Cuando un usuario crea una contraseña, ésta se comparar en primer lugar con una lista de palabras y una serie de reglas. Si la contraseña no cumple los requisitos de este proceso se obliga al usuario a elegir otra. Actualmente existen 3 comprobadores proactivos de contraseñas que prevalecen: Passwd+ Anlpasswd npasswd

COMPROBACIÓN PROACTIVADE CONTRASEÑAS Comprobación proactiva de contraseñas Passwd+ Grandes capacidades de registro, de sesiones, errores, usuarios, reglas y éxito o fracaso en el cambio de una contraseña. Especificación del nº de caracteres significativos de la contraseña. Algunas reglas proporcionadas: El nº oficina, Telf.., nombre de host y dominio prohibidas Las contraseñas deben tener como mínimo n caracteres de longitud Las contraseñas deben mezclar mayúsculas y minúsculas El nombre y apellidos prohibidos (al derecho o al revés) El nombre de conexión prohibido (al derecho y al revés)

COMPROBACIÓN PROACTIVADE CONTRASEÑAS Comprobación proactiva de contraseñas Anlpasswd Escrito en código Perl, bien documentado, utiliza el archivo de diccionarios que se elija y permite crear reglas personalizadas. Las reglas predeterminadas son: Números con espacios Mayúsculas y minúsculas con espacios Todo en mayúscula o en minúscula Todo números La 1º letra mayúscula y números Todas las combinaciones de las anteriores.

COMPROBACIÓN PROACTIVADE CONTRASEÑAS Comprobación proactiva de contraseñas npasswd Npasswd es un sustituto del comando passwd de UNIX y de los SO similares. Somete a las contraseñas de usuario a estrictas pruebas de capacidad de adivinación. Npasswd está diseñado para complementar o reemplazar los programas estándar de cambio de contraseñas: passwd, chfn y chsh. Su distribución cuenta con un conjunto de herramientas de desarrollo para poder ampliarlo o incorporarlo a otras aplicaciones.

OTROS ASPECTOS DE LA SEGURIDAD DE CONTRASEÑAS El shadowing no garantiza la seguridad completa de las contraseñas, ya que una red Linux media existen muchos otros mecanismos de contraseña, muchos de los cuales no utilizan /etc/passwd o /etc/shadow para su autentificación. Examinaremos otras posibilidades de ataques y cómo se pueden resolver: Proliferación de contraseñas y seguridad Módulos de autentificación que pueden conectarse Otras soluciones para la seguridad de contraseñas

PROLIFERACIÓN DE CONTRASEÑAS Y SEGURIDAD Hasta el momento nos hemos centrado principalmente en las contraseñas de inicio de sesión. Sin embargo dentro de un esquema mayor, éstas son solo el principio. Puede existir la posibilidad de tener al menos 5 contraseñas:

PROLIFERACIÓN DE CONTRASEÑAS Y SEGURIDAD Pero Linux es un sistema multiusuario y sabemos que es posible que tenga la intención de tener unos cuantos usuarios, por ejemplo 5:

PROLIFERACIÓN DE CONTRASEÑAS Y SEGURIDAD Para tener un sistema completo, supongamos que utiliza Linux en un entorno empresarial:

PROLIFERACIÓN DE CONTRASEÑAS Y SEGURIDAD La red podría tener 200 contraseñas con 2 posibilidades: La mayoría de contraseñas iguales: Si los usuarios crean contraseñas idénticas para varias aplicaciones, si alguna de ellas tiene agujeros de seguridad, el sistema podría ser invadido. La mayoría de las contraseñas diferentes: Hace que los usuarios escojan contraseñas fáciles para no olvidarse, y por lo tanto, muy débiles. Las aplicaciones no suelen implementar un almacenamiento de contraseñas completamente seguro.

PROLIFERACIÓN DE CONTRASEÑAS Y SEGURIDAD Incremento de las demandas del público de nuevas herramientas de red. Los desarrolladores siguen generando aplicaciones innovadoras y lanzándolas rápidamente al mercado, a menudo sin un control estricto de seguridad. El mercado de consumo se llena de aplicaciones que almacenan o transmiten contraseñas de forma insegura.

MÓDULOS DE AUTENTIFICACIÓN QUE PUEDEN CONECTARSE (PAM) PAM, permiten cambiar la forma en que las aplicaciones de Linux ejecutan la autentificación sin tener que reescribirlas ni compilarlas. Los PAM proporcionan muchas opciones de gestión de autentificación, de cuentas, de sesiones y de contraseñas, y se han utilizado para desarrollar operaciones de autentificación como la firma única (es cuando un usuario se autentifica una sola vez en una red de máquinas de confianza).

MÓDULOS DE AUTENTIFICACIÓN QUE PUEDEN CONECTARSE (PAM) Algunos módulos PAM típicos son: Pam_cracklib= un comprobador proactivo de contraseñas que puede conectarse Pam_deny= fuerza la autentificación y deniega cualquier sesión en la que no se haya proporcionado una autentificación o ésta haya resultado fallida Pam_pwdb= un módulo de base de datos de contraseñas que pueden conectarse, que proporciona expiración de contraseñas, avisos, etc. Pam_group= asigna y rastrea la pertenencia a un grupo de los usuarios y de sus sesiones terminales

OTRAS SOLUCIONES EXÓTICAS PARA LA SEGURIDAD DE LAS CONTRASEÑAS Controles de acceso biométrico (seguridad física) Estas herramientas autentifican al usuario basándose en el olor corporal, estructura facial, huellas dactilares, patrones del iris o retina, voz, etc. Son poco realistas debido a su alto coste Contraseñas que se utilizan una sola vez Las contraseñas desechables no se transmiten por la red. En su lugar, el servidor reta al cliente con un valor numérico, que el cliente puede utilizar para generar un valor secreto adecuado para la transmisión de retorno.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.