o“cracking”.Sistemas simples de criptografia também são fáceis de serem quebrados. O Windows 3.11utilizava o Trumpet Winsock para a conexão com a Internet. Após cerca de duas horas brincando com ele, descobri como sua criptografia funcionava. Os antigos joguinhos de DOS que precisavam de senhas, tal como Prince of Pérsia e Stunts são também facilmente crackeados. E por aí vai. O maior problema relacionado à segurança é com o descobrimento de senhas. É extremamente fácil de se descobri-las devido ao constante aumento da velocidade dos computadores e dos cada vez mais frágeis sistemas operacionais. Um simples trojan ou um sniffer podem conseguir quebrar uma senha facilmente. Existem também alguns outros recursos utilizados por crackers, como utilização de wordlists e bruteforce.Wordlists
São listas de palavras criadas especialmente para se descobrir senhas. Quando você têm em mãos um arquivo de senha do UNIX com o sistema de criptografia DES, por exemplo. A criptografia é inquebrável, mas você pode utilizar programas como o famoso Cracker Jack ou mesmo o Shadow Scan. Eles pegam um arquivo criado por você com listas de palavras comuns (geralmente utilizadas como senhas, tal como alien3, tricolor, secreta, 101010 e outras) o criptografa utilizando o mesmo sistema das senhas de Unix (DES) e compara os
arquivos. Se o programa encontrar algum usuário em que a criptografia tenha ficado exatamente igual, o nome lhe é informado.
O processo de bruteforce
O método da força bruta é muito demorado. Pode levar horas, e as vezes dias. Mas continua sendo de longe o mais eficaz. Utiliza-se um programa que tenta conectar-se a um sistema utilizando todas as combinações possíveis de letras e números. Para um cracker que possui uma conexão de 56 kbps e utiliza um Pentium III 800, é improvável que consiga descobrir a senha. Para se ter alguma chance deve-se utilizar uma conexão dedicada (à cabo, via rádio e outras) e vários computadores. Tendo 20 computadores rápidos trabalhando cada um em um setor (um tentando descobrir senhas começadas por a, outro por b, outro por c, etc...) o tempo para se conseguir o prêmio diminuirá consideravelmente. Existem alguns
casos em que a força bruta é mais rápido, como quando se tenta quebrar um arquivo de senhas localmente. Pode ser um passwd do Unix ou um mais fácil de se quebrar ainda, o PWL do Windows. O programa CAIN ,ShadowScan, Brutus e NAT (Netbios Auditing Tool) são bons programa para realizar o processo de bruteforce.
Senhas padrões
Senhas padrões são senhas que já vêm configuradas com o sistema ou algum utilitário de atualização as configura. Existem não só nos sistemas operacionais mas também em dispositivos de hardware como roteadores. Use-a para checar se o seu sistema está vulnerável ou crie uma wordlist com as senhas padrões mais usadas de todos os sistemas. De qualquer maneira, tenho certeza que esses dados lhe serão muito interessantes.
Multi-bruteforce
Existem muitos programas de bruteforce específicos, como o WebCrack (que quebra senhas de páginas web). Mas há também excelentes programas que conseguem quebrar senhas de vários tipos diferentes, como senhas de e-mail, netbios, web, unix, enfim, quase tudo. Já citei o Shadow Scan, mas mostrarei dois outros programas ótimos nessa tarefa: Brutus: Excelentes programas de bruteforce. Rápido e com uma configuração muito específica, produz excelentes resultados. Até senhas de netbus ele quebra. E salva as sessões. Unsecure: Mais rápido que o brutus, esse excelente bruteforce é um dos mais usados para
o Windows. Sabendo a porta do servidor (ftp, telnet, etc...), o programa faz o serviço para você.
Política de senhas não-crackeáveis
Não existe mistério para que se possa ter uma senha segura. Se você utilizar o sistema Unix, crie uma combinação não-lógica de letras e números. Como por exemplo: FqTp78nH. Apesar de ser mais difícil de se decorar do que senhas normais, a boa combinação dificulta muito que se consiga crackear a senha. Nunca coloque seu nome como senha, número de telefone, data de aniversário ou coisas assim. Seja precavido.
Nenhum comentário:
Postar um comentário