elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Servidor TeamSpeak 3: crea tu propio canal gratis


  Mostrar Mensajes
Páginas: [1] 2
1  Seguridad Informática / Seguridad / Re: Offline Password Hash Cracking: Escenarios de aplicación en: 28 Junio 2014, 17:40
Correcto, se me habían pasado por alto esos. ¡Gracias!
2  Seguridad Informática / Seguridad / Re: Offline Password Hash Cracking: Escenarios de aplicación en: 28 Junio 2014, 03:36
Sí, vale. Antes he hecho una búsqueda rápida y me han aparecido las palabras encriptar_ y hash con bastante relación.
He vuelto a hacerlo y lo primero que he encontrado ha sido un artículo de un profesor que parece estar indignado por la relación que se le da a la palabra hash con la palabra encriptar_ (que es un anglicismo de "cifrar", como tú has dicho).

Fuente: http://www.srbyte.com/2007/09/cifrar-y-hashing.html

Un saludo, y gracias de nuevo.

EDIT: De hecho, al pegar aquí el enlace, el foro ha sustituido la cadena encriptar_ por cifrar, de tal forma que no es accesible xD
3  Seguridad Informática / Seguridad / Re: Offline Password Hash Cracking: Escenarios de aplicación en: 28 Junio 2014, 03:22
Citar
no te entendí, aunque realmente no creo que sea un cifrado, ya que esto implicaría que este oculta un valor (y que tiene vuelta) y no lo hace, es simplemente una firma :P

La palabra que quería escribir es encriptar_. Si la escribo tal cual, el foro me la traduce como cifrar

A todo esto, muchas gracias. Creo que has aclarado todas mis dudas.
4  Seguridad Informática / Seguridad / Re: Offline Password Hash Cracking: Escenarios de aplicación en: 28 Junio 2014, 02:57
Gracias por la contestación.
Puede que me haya confundido por intentar variar el léxico. Aunque haya utilizado la palabra "cifrado" de un Hash, me refiero en efecto, al resultado de una función Hash sobre la contraseña. La palabra correcta sería "encriptar_" en vez de "cifrar". Un hash es una función "de una sola vía", ya que no es posible obtener la entrada que fue encriptada_ a partir del resultado, que además tiene otras propiedades. Sin embargo, hablo de crackear un Hash y no de descrifrarlo (ya que eso no es posible).

Por hacer una pregunta más concreta: qué tipos de sistemas, además de los que he comentado, son vulnerables al Offline Password Cracking utilizando, por ejemplo, John The Ripper ó Hashcat (que soportan MD5, SHA-1 entre otros)?

Y por otra parte, ¿puede un usuario corriente acceder a un hash md5 de un servidor sin tener que vulnerar algún sistema de seguridad adicional?
Gracias

EDIT:
No sé qué tipo de brujería me impide escribir la palabra en crip tar, que es la que pretendo escribir en vez de "cifrar": en crip tar -> cifrar
5  Seguridad Informática / Seguridad / Offline Password Hash Cracking: Escenarios de aplicación en: 28 Junio 2014, 02:02
Hola,
me gustaría saber cuáles son los principales escenarios de aplicación del Offline Password Hash Cracking (disculpad la terminología anglosajona, solo pretendo dar claridad).
Así como es posible obtener un fichero con el Hash en MD5 (creo) de una contraseña WiFi (p.e. WPA, WPA2, etc) y crackearla (o morir en el intento),  me gustaría saber en qué otros escenarios de seguridad es "factible" obtener un fichero Hash que pueda ser crackeado.

También se puede aplicar a las contraseñas de administrador del S.O. Windows, cifradas bajo LM/NTLM accediendo al disco duro mediante un LiveCD/USB Linux.

Por otra parte, por lo que sé, los sitios web en general almacenan las contraseñas cifradas en una base de datos de tipo SQL. Sin embargo, obtener el Hash de la contraseña alojada en una base de datos no parece tan trivial. Por eso, el número de intentos de "cracking" (por llamarlo de alguna forma) suele estar limitado por un servicio Web que bloquea los intentos de autenticación cuando se supera un cierto número de intentos (al igual que ocurre con los códigos PIN de un teléfono móvil).

¿Me equivoco, o es posible obtener los Hashes de sitios Web para poder crackearlos offline?

Además de los escenarios de WiFi y Windows, me gustaría saber en qué otros se aplica el Offline Password Hash Cracking.

Un saludo, y gracias de antemano.

EDIT:
Si alguien piensa que la pregunta es confusa o está mal enfocada, que no dude en comentarlo.
6  Seguridad Informática / Seguridad / Re: Vulnerabilidades en un Server Windows XP en: 9 Enero 2014, 12:19
Gracias por las respuestas. Haré alguna prueba.
Más que a exploits que aprovechen vulnerabilidades propias del sistema operativo, quiero saber las vulnerabilidades propias de la configuración del servidor (puertos abiertos + firewall). Tener conocimiento de algún ataque remoto que pudiera recibir.
Sí que es verdad que cualquier puerto abierto en el sistema y en el router puede servir para que un troyano lo utilice como canal de comunicación con la persona que lo esté controlando.
7  Seguridad Informática / Seguridad / Re: Vulnerabilidades en un Server Windows XP en: 7 Enero 2014, 21:04
Básicamente mi pregunta es: ¿qué vulnerabilidades conocidas se pueden explotar teniendo en cuenta los puertos permitidos por mi firewall de WindowsXP?
8  Seguridad Informática / Seguridad / Vulnerabilidades en un Server Windows XP en: 7 Enero 2014, 11:41
Hola,
tengo en casa un pc con Windows XP SP3 típico de escritorio sin actualizar (no sé exactamente en qué actualización lo dejé).
Lo utilizo como MediaServer en casa con un server multimedia Serviio y demás. Sin embargo, también lo he abierto a la red global, Internet.
Tengo un dominio y un cliente DynamicDNS que actualiza la IP en caso de que cambie. Utilizo un puerto para la conexión al server multimedia, otro puerto para conectar mediante ssh (22), otro para conectar al server Apache (80) y estoy pensando en utilizar algún servicio más. Todos esos puertos están puestos como excepciones en el Firewall de Windows XP (y además los tengo abiertos y encaminados a la IP estática desde el router).
Me gustaría saber y experimentar cuales son los ataques, con indicaciones concretas o un poco generales, que puede un cliente hacer contra mi servidor. Por supuesto, la finalidad es aprender más que blindar el server.
Por ejemplo, teniendo en cuenta que es un dual Core con 3GB de RAM un ataque DOS con paquetes de tamaño máximo desde NetCat supongo que podría tumbar el server (pronto lo comprobaré).
Espero recibir más ideas de este tipo, y soluciones si es posible.

PD: Cualquier sugerencia será bien recibida. No conozco Windows Server, quizá alguien me diga que Windows XP es nefasto para realizar una tarea como la que le estoy dando. Contadme.

Un saludo.
Gracias.
9  Foros Generales / Noticias / Re: El creador de Linux gana el Premio Millennium en: 20 Abril 2012, 00:37
Perdona Alejandro, podrías explicarme eso? Sí que he escuchado siempre, y hasta he llegado a hablar del kernel linux, pero realmente no sé qué significado tiene "kernel". Sé que ubuntu es un SO basado en núcleo kernel, como debian y tantos otros pero no sabía que lo tenían cajeros, routers, lavadoras, microondas... entonces, qué es exactamente un kernel y cuál es su función?

Gracias!
10  Programación / Java / Re: Generar diccionarios WPA con java en: 19 Abril 2012, 13:55
Bueno, estamos de acuerdo en que el programa se encarga de generar las contraseñas por defecto de un determinado router (siempre que lo conozca), que como ya he dicho, son relativamente pocas, es como tu dices un diccionario de "posibles claves". No es fuerza bruta pero tampoco es que sepa la clave exacta y genere una única clave.

Entonces, en el entorno gráfico, el programa que genera las claves está hecho en Java o en C? Con esta última respuesta me has hecho sospechar que el código escrito en java solo se dedica a mostrar el entorno gráfico, pero se sirve de otra parte de código en C para generar las claves. No sé si me entiendes.

Lo que yo quiero pensar es que una primera versión del WPAMagicKey estaba hecha en completamente en C y ahora, la nueva versión gráfica está hecha completamente en Java.
Saludos!
11  Programación / Java / Re: Generar diccionarios WPA con java en: 18 Abril 2012, 22:49
Gracias Seaworth por la respuesta. No sabía que el WPAMagicKey estaba hecho en java.
Por lo que sé, esa aplicación no llega a crear unos ficheros con palabras, directamente genera un conjunto de palabras a partir de ciertos patrones que va a comparar con la información cifrada del handshake. (Corregidme si me equivoco). Sí que es verdad que esos patrones acotan mucho el número de palabras que generan, pero aun siendo "relativamente" pocas, la comprobación es cuasi instantánea. Así que...sí, merecerá la pena intentarlo.

Gracias de nuevo!
12  Programación / Java / Re: Generar diccionarios WPA con java en: 17 Abril 2012, 22:51
Bueno, pido opiniones, no una comparativa en rendimiento. Baste con darme alguna razón por la cual no hay generadores de diccionarios WPA escrito y compilado en java. A ver si alguien se anima
13  Programación / Java / Generar diccionarios WPA con java en: 16 Abril 2012, 23:15
Me he planteado crear alguna aplicación dedicada a generar dicccionarios WPA para hacer pruebas de seguridad, no interactiva, sino programada según mis criterios, que se aplicarán internamente en el código del programa.
El problema es que solo conozco lenguaje Java, e imagino, que no es el más apropiado ni mucho menos para realizar este tipo de aplicaciones que requieran "eficiencia computacional". Sé que se suelen programar en lenguaje del sistema windows, como batch, o en C.

Bien, la pregunta es si merece la pena intentarlo. Será una catástrofe a nivel de eficiencia? He de aclarar que no quiero generar diccionarios de 20 caracteres a pura fuerza bruta, por supuesto, para eso ya hay muchos programas. Lo que busco es  combinar archivos de texto que considero adecuados, con otros caracteres que piense que puedan ser válidos para formar un último fichero de texto.

Gracias!
14  Programación / Java / Re: varios JButton que ejecuten un único método en: 23 Febrero 2012, 23:23
Pues sí, me miraré lo que dices, porque así en principio no tengo ni idea. No conozco casi el JFrame y solo lo he utilizado en el modo gráfico. Osea, que no sé nada del código que autogenera.
Gracias.
Páginas: [1] 2
Powered by SMF 1.1.19 | SMF © 2006-2008, Simple Machines