Un estudio de caso en cómo los hackers utilizan vulnerabilidades de windows contraseña

En este caso de estudio, el Dr. Philippe Oechslin, un consultor de seguridad de la información independiente, compartió sus hallazgos de investigaciones recientes sobre cómo los hackers pueden utilizar vulnerabilidades de contraseñas de Windows. Esta es una buena información a tener en cuenta para evitar ser hackeado al crear sus propias contraseñas.

Video: hacking desde cero conozca sus vulnerabilidades y proteja su informacion capitulo1

La situación

En 2003, el Dr. Oeschlin descubierto un nuevo método para el craqueo de contraseñas de Windows - que ahora se conoce comúnmente como arco iris de agrietamiento. Durante la prueba de una herramienta de fuerza bruta para descifrar contraseñas, el Dr. Oeschlin pensaba que todo el mundo utilizando la misma herramienta para generar la misma hashes (representaciones criptográficas de contraseñas) fue varias veces una pérdida de tiempo.

Se cree que la generación de un gran diccionario de todos los hashes posibles haría más fácil para romper las contraseñas de Windows, pero luego se dio cuenta rápidamente de que un diccionario de los hashes de LAN Manager (LM) de todas las posibles contraseñas alfanuméricas requeriría más de un terabyte de almacenamiento.

Durante su investigación, el Dr. Oeschlin descubrió una técnica llamada tiempo-memoria compensaciones, donde hashes se calculan por adelantado, pero sólo una pequeña fracción se almacenan (aproximadamente uno por mil). El Dr. Oeschlin descubrió que cómo se organizan los hashes LM permite encontrar cualquier contraseña si pasa algún tiempo volver a calcular algunos de los hashes. Esta técnica ahorra memoria, pero lleva mucho tiempo.

Video: Como Joder a tu Vecino "h4ck3r"

El estudio de este método, el Dr. Oeschlin encontró una manera de hacer que el proceso sea más eficiente, por lo que es posible encontrar cualquiera de los 80 mil millones de hashes únicas mediante el uso de una tabla de 250 millones de entradas (1 GB por valor de datos) y la realización de sólo 4 millones de cálculos de hash . Este proceso es mucho más rápido que un ataque de fuerza bruta, que debe generar el 50 por ciento de los valores hash (40 mil millones) en promedio.

Esta investigación se basa en la ausencia de un elemento de azar cuando son ordenadas las contraseñas de Windows. Esto es cierto tanto para el hash LM y el hash NTLM incorporado en Windows. La misma contraseña produce el mismo hash en cualquier máquina de Windows. Aunque se sabe que los hashes de Windows no tienen ningún elemento aleatorio, nadie ha utilizado una técnica como la que se descubrió el Dr. Oeschlin para romper las contraseñas de Windows.

El Dr. Oeschlin y su equipo colocaron originalmente una herramienta interactiva en su sitio web que permitió a los visitantes a presentar valores hash y hacer que se agrietaron. Durante un período de seis días, la herramienta agrietado 1.845 contraseñas en un promedio de 7,7 segundos! Puede probar el manifestación para ti.

El resultado

Entonces, ¿cuál es la gran cosa, usted dice? Este método de violación de contraseñas puede romper prácticamente cualquier contraseña alfanumérica en unos pocos segundos, mientras que las herramientas actuales de fuerza bruta puede tardar varias horas. El Dr. Oeschlin y su equipo de investigación han generado una tabla con la que pueden romper cualquier contraseña hecha de letras, números y otros caracteres 16 en menos de un minuto, lo que demuestra que las contraseñas compuestas de letras y números no son lo suficientemente buenos.

Video: L̸̢̢̳̞̞̹͙̩͜͜os̵̭̘̲̰̖̳̼̝͈͖ ̷̘̣͕1̴̙̖̲͕͍̹̦̫̩ͅ0̴̡͉̼̝͕̫̰͙͈͚ P̶͇e̴o̷̞̞re̵̳̬s̴͍ VIRUS D̷e O̷r̷de̴n̶a̴d̵o̷r̶

El Dr. Oeschlin también indicó que este método es útil para los hackers éticos que tienen tiempo limitado únicamente para llevar a cabo sus pruebas. Desafortunadamente, los hackers tienen el mismo beneficio y pueden realizar sus ataques antes de que nadie les detecta!

Philippe Oechslin, PhD, CISSP, es un profesor y encargado de investigaciones en el Instituto Federal Suizo de Tecnología de Lausana y es fundador y CEO de Objectif Sécurité.

Artículos Relacionados
Cómo cambiar las contraseñas y la política de contraseñas en el servidor de aplicaciones de servidor de león
La elección y el uso de contraseñas de windows 8.1
Cómo cambiar sus ventanas contraseña de la cuenta
Cómo crear y utilizar un disco de restablecimiento de contraseña en windows
Como crear una contraseña segura
Administrador de contraseñas lastpass
Fundamentos de vulnerabilidades de contraseñas y cifrados
Analizar cadenas en c ++ usando un hash
Contraseñas de mysql
Sea consciente de las vulnerabilidades de contraseñas para evitar ser atacado
Contraseñas de router cisco: permiten y secreto
Estrategias de ataque de red comunes: los ataques de contraseña
Cómo utilizar la seguridad del sistema operativo para evitar ser atacado
Herramientas hackers utilizan para descifrar contraseñas
Cómo descifrar contraseñas de bases de datos
Cómo descifrar contraseñas con pwdump3 y john the ripper
Cómo demostrar las vulnerabilidades de seguridad en las contraseñas del ordenador portátil
Cómo minimizar las vulnerabilidades de bases de datos para evitar ser atacado
Tipos de alta tecnología descifrar contraseñas
Mantener sus quickbooks 2012 datos confidenciales