Tipos de ataques en los sistemas de control de acceso

WIитX · Enero 20, 2019, 03:22:26 AM

TIPOS DE ATAQUES EN LOS SISTEMAS DE CONTROL DE ACCESO

ATAQUE POR FUERZA BRUTA

¿DÓNDE ENCONTRAREMOS ATAQUES POR FUERZA BRUTA?

En todos los sistemas de atenticación donde probaremos distintas combinaciones automáticas para obtener la contraseña de acceso

¿CÓMO SE REALIZA UN ATAQUE POR FUERZA BRUTA?

Simplemente necesitaremos la ayuda de uno o dos programas, uno llamado hydra y otro llamado crunch, hydra será el encargado de hacer el ataque y con crunch podremos generar diccionarios con una facilidad increible.

Hydra nos ofrece también una interfaz gráfica para que no tengamos que estar escribiendo comandos en la terminal

Código [Seleccionar]

sudo apt-get install hydra-gtk

Código [Seleccionar]

sudo apt-get install crunch

CRUNCH - Nos ayudará en la creación de diccionarios, basandose en los criterios seleccionados por el usuario - Crunch 6 6 abcd123
HIDRA - Nos ayudará con la realización de la fuerza bruta, soporta gran cantidad de protocolos y es una de las top 10 herramientas de seguridad

¿CÓMO FUNCIONA UN ATAQUE POR FUERZA BRUTA?

Un ataque por fuerza bruta funciona probando distintas combinaciones de manera automática hasta dar con la contraseña correcta, no tiene sentido hacer un ataque de fuerza bruta sin saber el usuario, el método que estaría usando sería como por ejemplo este:

aaaaaa
aaaaab
aaaaac
......
zzzzzzx
zzzzzzy
zzzzzzz

ATAQUE POR FUERZA BRUTA POR DICCIONARIO

¿DÓNDE ENCONTRAREMOS ATAQUES POR FUERZA BRUTA CON DICCIONARIO?

En todos los sistemas de atenticación donde probaremos distintas combinaciones automáticas para obtener la contraseña de acceso

¿CÓMO SE REALIZA UN ATAQUE POR FUERZA BRUTA CON DICCIONARIO?

Nos podremos ayudar de los mismos programas mencionados anteriormente hydra para realizar el ataque y crunch para la creación del diccionario, también podremos bajar de internet los diccionarios, ahora os dejaré un par de páginas como ejemplo. Un ataque por diccionario consiste en cargar un documento de texto con miles o millones de palabras que puedan ser la posible contraseña, al igual que podemos cargar posibles contraseñas podemos cargar posibles usuarios, este método se realzia después de investigar al usuario que queremos atacar. Su funcionamiento sería el siguiente:

Usuarios:
Pepe
Pepico
Admin
Usuario
Administrador
Administrator
....
Passwords:
123456
password
admin
administrador
fechadenacimiento
nombredesumascota
....

El programa comenzará a probar todas las combinaciones posibles de usuarios con contraseñas hasta dar con la correcta, este método tiene como desventaja que si la contraseña no se encuentra en el diccionario no podremos saberla.

www.skullsecurity.org - En la web se pueden encontrar las 500 pass más usadas, amplia variedad de diccionarios (por idiomas, actores, porno, etc...), nombres sacados de facebook, también tiene una lista con la localización de archivos (linux, windows), extensiones de aplicaciones web (phpmyadmin, apache, phpbb etc...), sin duda es la web más completa que he visto para encontrar el diccionario específico que buscamos para fuerza bruta.

https://www.passwordrandom.com/most-popular-passwords - Podremos encontrar las contraseñas mas usadas de internet

¿CÓMO PODEMOS EVITAR ESTE TIPO DE ATAQUES?

Usando una contraseña segura
Cambiar la contraseña cada cierto tiempo
Doble factor de autenticación
Umbral de bloqueo en una cuenta por intentos fallidos de inicio de sesión
Recaptcha

Para comprobar cuanto tiempo tardaría en sacar vuestra contraseña apróximadamente podéis usar esta web de kaspersky
https://password.kaspersky.com/es/

Tipos de ataques en los sistemas de control de acceso

WIитX

Enero 20, 2019, 03:22:26 AM