elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Offline Password Hash Cracking: Escenarios de aplicación
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Offline Password Hash Cracking: Escenarios de aplicación  (Leído 4,375 veces)
Gabilitron

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Offline Password Hash Cracking: Escenarios de aplicación
« en: 28 Junio 2014, 02:02 am »

Hola,
me gustaría saber cuáles son los principales escenarios de aplicación del Offline Password Hash Cracking (disculpad la terminología anglosajona, solo pretendo dar claridad).
Así como es posible obtener un fichero con el Hash en MD5 (creo) de una contraseña WiFi (p.e. WPA, WPA2, etc) y crackearla (o morir en el intento),  me gustaría saber en qué otros escenarios de seguridad es "factible" obtener un fichero Hash que pueda ser crackeado.

También se puede aplicar a las contraseñas de administrador del S.O. Windows, cifradas bajo LM/NTLM accediendo al disco duro mediante un LiveCD/USB Linux.

Por otra parte, por lo que sé, los sitios web en general almacenan las contraseñas cifradas en una base de datos de tipo SQL. Sin embargo, obtener el Hash de la contraseña alojada en una base de datos no parece tan trivial. Por eso, el número de intentos de "cracking" (por llamarlo de alguna forma) suele estar limitado por un servicio Web que bloquea los intentos de autenticación cuando se supera un cierto número de intentos (al igual que ocurre con los códigos PIN de un teléfono móvil).

¿Me equivoco, o es posible obtener los Hashes de sitios Web para poder crackearlos offline?

Además de los escenarios de WiFi y Windows, me gustaría saber en qué otros se aplica el Offline Password Hash Cracking.

Un saludo, y gracias de antemano.

EDIT:
Si alguien piensa que la pregunta es confusa o está mal enfocada, que no dude en comentarlo.


« Última modificación: 28 Junio 2014, 02:24 am por Gabilitron » En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Offline Password Hash Cracking: Escenarios de aplicación
« Respuesta #1 en: 28 Junio 2014, 02:31 am »

primero aclarar algo... un hash no es un cifrado, es un valor de comprobación... basicamente su mayor diferencia radica en que el cifrado toma un mensaje y lo "oculta", el hash toma un mensaje y lo destruye completamente dejando solo un resultado, el cifrado es reversible, el hash está hecho para que no lo sea...

el hash no necesita ser un fichero, normalmente son cadenas no muy largas... en wifi no es hash, es un cifrado, se intenta romper un paquete cifrado por fuerza bruta (o diccionario) probando valores hasta que ese paquete sea "legible"

en hacking de servidores normalmente se capturan los valores md5 y se intentan crackear en local... si te limitas por el numero de intentos, es porque estás haciendno fuerza bruta normal por los mecanismos regulares del servidor

"Offline Password Hash Cracking" no es el termino mas acertado porque hablas tanto de hash como de cifrados...

los casos son tantos como programa hayan que cifren su contenido... desde ransonware, rar con contraseñas, archivos de whatsapp cifrados....

no se si quieres saber algo más



En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Gabilitron

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Offline Password Hash Cracking: Escenarios de aplicación
« Respuesta #2 en: 28 Junio 2014, 02:57 am »

Gracias por la contestación.
Puede que me haya confundido por intentar variar el léxico. Aunque haya utilizado la palabra "cifrado" de un Hash, me refiero en efecto, al resultado de una función Hash sobre la contraseña. La palabra correcta sería "encriptar_" en vez de "cifrar". Un hash es una función "de una sola vía", ya que no es posible obtener la entrada que fue encriptada_ a partir del resultado, que además tiene otras propiedades. Sin embargo, hablo de crackear un Hash y no de descrifrarlo (ya que eso no es posible).

Por hacer una pregunta más concreta: qué tipos de sistemas, además de los que he comentado, son vulnerables al Offline Password Cracking utilizando, por ejemplo, John The Ripper ó Hashcat (que soportan MD5, SHA-1 entre otros)?

Y por otra parte, ¿puede un usuario corriente acceder a un hash md5 de un servidor sin tener que vulnerar algún sistema de seguridad adicional?
Gracias

EDIT:
No sé qué tipo de brujería me impide escribir la palabra en crip tar, que es la que pretendo escribir en vez de "cifrar": en crip tar -> cifrar
« Última modificación: 28 Junio 2014, 03:11 am por Gabilitron » En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Offline Password Hash Cracking: Escenarios de aplicación
« Respuesta #3 en: 28 Junio 2014, 03:14 am »

Citar
qué tipos de sistemas, además de los que he comentado, son vulnerables al Offline Password Cracking
todos a los que se le pueda aplicar fuerza bruta...

Citar
¿puede un usuario corriente acceder a un hash md5 de un servidor sin tener que vulnerar algún sistema de seguridad adicional?
no :P para los md5 ya seguro tendrás que pasar varias capas de seguridad... y probablemente te encuentres con algo difícil: md5(pass+salt)

Citar
La palabra correcta sería "cifrar" en vez de cifrar.
..fue cifrada a partir del resultado

no te entendí, aunque realmente no creo que sea un cifrado, ya que esto implicaría que este oculta un valor (y que tiene vuelta) y no lo hace, es simplemente una firma :P
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Gabilitron

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Offline Password Hash Cracking: Escenarios de aplicación
« Respuesta #4 en: 28 Junio 2014, 03:22 am »

Citar
no te entendí, aunque realmente no creo que sea un cifrado, ya que esto implicaría que este oculta un valor (y que tiene vuelta) y no lo hace, es simplemente una firma :P

La palabra que quería escribir es encriptar_. Si la escribo tal cual, el foro me la traduce como cifrar

A todo esto, muchas gracias. Creo que has aclarado todas mis dudas.
« Última modificación: 28 Junio 2014, 03:24 am por Gabilitron » En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Offline Password Hash Cracking: Escenarios de aplicación
« Respuesta #5 en: 28 Junio 2014, 03:30 am »

en general "encript@r" es el "anglosajonismo" de Encrypt que se traduce realmente como "cifrar" XD
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Gabilitron

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Offline Password Hash Cracking: Escenarios de aplicación
« Respuesta #6 en: 28 Junio 2014, 03:36 am »

Sí, vale. Antes he hecho una búsqueda rápida y me han aparecido las palabras encriptar_ y hash con bastante relación.
He vuelto a hacerlo y lo primero que he encontrado ha sido un artículo de un profesor que parece estar indignado por la relación que se le da a la palabra hash con la palabra encriptar_ (que es un anglicismo de "cifrar", como tú has dicho).

Fuente: http://www.srbyte.com/2007/09/cifrar-y-hashing.html

Un saludo, y gracias de nuevo.

EDIT: De hecho, al pegar aquí el enlace, el foro ha sustituido la cadena encriptar_ por cifrar, de tal forma que no es accesible xD
« Última modificación: 28 Junio 2014, 13:08 pm por #!drvy » En línea

Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: Offline Password Hash Cracking: Escenarios de aplicación
« Respuesta #7 en: 28 Junio 2014, 04:33 am »

hola Gabilitron, con respecto al hilo, gnu/linux también utiliza la función de hash para las contraseñas; son los hashes que se comparan y no ellas para un acceso legitimo. los valores correspondientes se ubican en /etc/shadow. saludos
En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
Gabilitron

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Offline Password Hash Cracking: Escenarios de aplicación
« Respuesta #8 en: 28 Junio 2014, 17:40 pm »

Correcto, se me habían pasado por alto esos. ¡Gracias!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
CUDA/Stream Hash Cracking.
Criptografía
APOKLIPTICO 4 16,768 Último mensaje 25 Octubre 2011, 13:04 pm
por APOKLIPTICO
ayuda con Hash password creo que MD5 « 1 2 »
Criptografía
hassuni 11 9,558 Último mensaje 28 Septiembre 2012, 21:36 pm
por hassuni
How to... cracking router password
Hacking
cyberboom! 2 3,130 Último mensaje 4 Noviembre 2012, 18:31 pm
por cyberboom!
procesador para edicion de video y cracking de password offline usando la gpu
Hardware
geshiro 8 3,898 Último mensaje 18 Enero 2017, 03:51 am
por geshiro
Software para password cracking distribuido
Hacking
Ethicalsk 0 2,395 Último mensaje 30 Agosto 2017, 08:18 am
por Ethicalsk
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines