Configuraciones de seguridad para los crackers de contraseñas

Mediante el uso de herramientas de recuperación de contraseñas se puede validar la robustez de las mismas, estas dejan al descubierto la aplicación de algoritmos criptográficos débiles, implementaciones incorrectas de algoritmos criptográficos o contraseñas debido a factores humanos.

Cain and Abel puede ser utilizado para validar contraseñas trasmitidas en habientes conmutados atendiendo al tiempo que transcurre para que estas puedan ser descubiertas utilizando diversas técnicas, que son, este es aplicable a sistemas Windows por lo que es instalando a partir de un ejecutable.

Para poder realizar la detección y captura de contraseñas en un ambiente conmutado es necesario llevar a cabo la técnica de ARP spoofing; en la pestaña Hosts se muestra la lista de estaciones de la red (Anexo 17) que es actualizada con el botón + (Anexo 18), el envenenamiento ARP se realiza utilizando la pestaña ARP y el botón + para seleccionar las estaciones, que son definidas en una ventana de confirmación (Anexo 19) en la que se realiza la técnica entre la selección de la izquierda y derecha.

El inicio del ataque es realizado sobre Start/Stop ARP (Anexo 20), los hash de las contraseñas detectadas son referenciados según el tipo en la pestaña Passwords, utilizando el botón derecho las capturas son enviadas al Cracker (Anexo 21) para ser descodificadas utilizando alguno de los métodos como fuerza bruta, ataque por diccionario o criptografía.

Otra de las herramientas para la auditoria de contraseñas es el John the Ripper, se instala desde el repositorio utilizando apt-get install jonh, sus configuraciones son almacenadas en /usr/share/john/ y el programa debe ejecutarse como root.

Los ficheros *.chr y john.conf son necesarios para que funcione el progragrama. Existen tres formas basicas de aplicar el John. La primera o WordList (archivo de palabras) es el modo más simple, para utilzarla debe ser especificado un archivo que contenga una palabra por línea, el código seria john -wordfile:NOMBRE_FICHERO FICHERO_PASSWORD, además puede añadírseles reglas para analisis utilizando palabras del diccionario mediante john -w:FICHERO_DICCIONARIO -rules FICHERO_PASSWORD. Otro forma de empleo es el de SigleCrack, este modo intentará usar la información de login/GECOS a traves del comando john -single FICHERO_PASSWORD.El mas potente de los modos de aplicacion es el Incremental

(fuerza bruta) ya que probará todas las combinaciones de caracteres posibles, es necesasrio indicar la longitud de la clave y los juegos de caracteres.

Su ejecucion es mediante john -i FICHERO_PASSWORD y las especificaciones de los caracteres que usará con este método y su longitud se realizan en el fichero

john.conf. A modo comnado seria john -i:Alpha FICHERO_PASSWORD (a..z - 26 caracteres), john -i:All FICHERO_PASSWORD (todo - 95 caracteres) o john - i:Digits FICHERO_PASSWORD (0..9 - 10caracteres).

La tercera foma es la Externo, esta utiliza funciones en un sublenguaje de C para crear palabras que usará el software. Se utiliza john -external: NOMBRE_MODO FICHERO_PASSWORD.

Las claves obtenidas se guardan en john.pot, para visualizarlas john -show FICHERO_PASSWORD.

Para continuar con un analisis se escribe john -restore FICHERO_PASSWORD

Para sistemas Linux THC Hidra es muy utilizado debido a su flexibilidad para la obtención de contraseñas desde ficheros o sobre la propia red. Su paquete de instalación puede ser extraído desde http://thc.org/thc-hydra/, esta es realizada descompactando el archivo y ejecutando dentro de la carpeta /configure, Make y make install en modo súper usuario.

Puede ser utilizado en modo comando desde una terminal mediante la sintaxis hydra [[[-l LOGIN|-L ARCHIVO] [-p PASS|-P ARCHIVO]] [-C ARCHIVO]][-e ns] servidor servicio.

La interfaz grafica puede ser iniciada con el comando /xhydra, definiéndose el destino o destinos de los ataques, puerto en caso de usar uno no convencional y protocolo en la pestaña Target (Anexo 22), la configuración sobre la contraseñas y nombre de usuario se indican en Passwords (Anexo 23), puede especificarse además número de ataques en paralelo, tiempo activo y configuración sobre un Proxy Server.

El Inicio del ataque se realiza sobre el botón Start desplegándose los resultados de la búsqueda (Anexo 24).

Otros programas pueden ser utilizados para alcanzar cierto grado de complementariedad en cuanto a los resultados esperados comparado con similares, este puede ser el LoPhtcrack conocido en la actualidad como LC 5. Este auditor de contraseñas es instalado a partir de un ejecutable en sistemas Windows.

La configuración se realiza a través de ventanas siguiendo un orden lógico, la primera es la de inicio que muestra información acerca del programa (Anexo 25), la próxima permite elegir la ubicación de las contraseñas a analizar (Anexo 26), el método de

auditoria es seleccionado en la siguiente (Anexo 27), finalmente elegidos los estilos de reportes y el inicio de auditoria (Anexo 28-29).

Los resultados son mostrados utilizando los pares nombre de usuario contraseña así como sus hash (Anexo 30).

Resulta de utilidad el conocimiento de las contraseñas utilizadas en servicios de autenticación sobre servidores para examinar su resistencia ante determinados ataques, el Pwdump provee de un fichero que puede ser utilizado por herramientas como el LC 5 para realizar diversos tipos de ataques, es capaz de extraer la SAM de una estación y es utilizado únicamente sobre una cuenta de administración. Sobre sistemas Windows con Service Pack 2 y 3 debido a que sus archivos aparecen encriptados con SYSKEY es útil el pwdump 2.

Puede ser intalado a partir de un paquete provisto en la dirección http://www.webspan.net/~tas/pwdump2/.

El proceso vulnerado por el programa es lsass.exe (Local Security Authority Subsystem) siendo necesario conocer el PID (Process ID) del mismo. La obtención de este debe realizarse con la ayuda de otra herramienta como Lsof.

La sintaxis seria C:\> pwdump2 (PIB), que por defecto enviará los hashes a pantalla, lo cual podemos redireccionar a un archivo.

Sobre redes inalambricas es posible realizar analisis de fortaleza de las contaseñas utilizando varios metodos, uno de los programas a traves del cual se pueden realizar estos procesos es el Aircrack. Es instalado desde el repositorio con apt-get install aircrack, su sintasis es descrita mediante airodump <interface name or pcap filename><output prefix> <channel> [IVs flag].

Para utilizarlo la tarjeta de red debe ser configurada en modo monitor mediante el comando iwconfig del paquete, o usando el script de airmon-ng start "interface"

El punto de acceso a la red se localiza con airodump-ng start [interfaz], en este es escogido el objetivo a atacar mediante su bssid y canal, el trafico del mismo es capturado por airodump-ng --bssid [bssid] -c [canal] -w CAPTURA [interfaz], esta forma indica el filtrado por el bssid elegido, el canal es acordado con –c, el tráfico capturado es almacenado en archivo CAPTURA, finalmente es indicada la tarjeta inalámbrica.

Si en el punto de acceso atacado existe un cliente conectado, este puede ser desautenficado con aireplay-ng --deauth 20 -a [bssid punto de acceso] -c [bssid cliente] [interfaz] para obtener el handshake forzando al cliente, pues este debe autentificarse nuevamente.

El ataque es del tipo --deauth (deautentificación), el 20 representa el número de tramas de desautentificación a enviar al punto de acceso y con la dirección mac del cliente y la interfase inalámbrica. La obtención de la clave WPA-PSK es realizada mediante un ataque de diccionario utilizando aircrack-ng -a 2 -w /root/swireless/capturas/dic CAPTURA.cap

En este caso los parámetros de -a 2 especifica el modo de ataque WPA-PSK, -w la ruta al diccionario y CAPTURA.cap es el archivo donde es almacenado el trafico capturado del punto de acceso elegido. De no ser obtenido el handshake debe ser repetido el ataque de autentificación aumentando el número de tramas a enviar.

3.10 Configuraciones de seguridad de las aplicaciones usadas para el análisis de