Senha

Quebra de senha: Ataques off-line

Os ataques off-line representam ainda outra forma de ataque que é muito eficaz e difícil de detectar em muitos casos. Tais ataques dependem do atacante ser capaz de aprender como as senhas são armazenadas e, em seguida, usando essas informações, realizar um ataque. Veja abaixo um ataque de senha que extrai hashes. (mais…)

Quebra de senha: Ataques ativos online

Continuando com as opções de ataques para quebra de senha, veremos o próximo tipo de ataque é o ataque online ativo. Esses ataques usam uma forma mais agressiva de invasão que é projetada para recuperar senhas.

As técnicas, basicamente, são:

  • Adivinhação de senha
  • Trojans, Spyware e Keyloggers
  • Injeção de Hash

(mais…)

Quebra de senha: Ataques passivos online

Como em outros casos em que examinamos e usamos medidas passivas, os ataques às senhas são usados para obte-las sem interagir diretamente com o alvo. Estes tipos de ataques são eficazes em ser furtivos, porque eles tentam coletar senhas sem revelar muito sobre o sistema coletor. Esse tipo de ataque depende menos da maneira como uma senha é construída e mais sobre como ela é armazenada e transportada. Quaisquer problemas com essas áreas podem ser apenas o suficiente para abrir a porta para obter essas valiosas credenciais. (mais…)

Técnicas para quebrar uma senha

Na fase de enumeração de um pentest, foram coletadas diversas informações sobre o alvo, incluindo usuários. Estes usuários são importantes nesta fase porque eles te dão uma visão em que se deve focar durante o ataque a um sistema. Use a quebra de senhas para obter credenciais de uma conta com a intenção de usar esta conta para ganhar acesso autorizado ao sistema com um usuário legítimo.

De forma resumida, a quebra de senha é o processo de recuperar senhas transmitidas ou armazenadas como dados. Desta forma, um invasor pode recuperar e usar uma senha extraviada ou esquecida. Administradores de sistemas pode usar este processo para auditar e testar por brechas em um sistema para avaliar a força delas e os invasores poderão fazer este processo para tentar causar prejuízos.

Tipicamente, o processo de invasão inicia-se com as senhas, pois elas podem ser quebradas ou auditadas usando técnicas manuais ou automatizadas com a intenção de revelar as credenciais.

Antes de continuar falando sobre a quebra de senha, temos que entender o que é uma senha. A senha foi feita para ser algo que um indivíduo possa lembrar facilmente mas ao mesmo tempo não ser fácil de ser adivinhada ou quebrada. É onde o problema reside, pois o ser humano tende a escolher senhas fáceis de lembrar, o que as tornam fáceis de adivinhar. (mais…)

Atacando redes wifi com Aircrack-ng protegidas com criptografia WEP

Muitos roteadores vem com um método de criptografia padrão chamado Wired Equivalent Privacy (WEP). Um problema fundamental com o WEP é uma falha no algoritmo, o qual é possível um atacante recuperar qualquer chave WEP. WEP usa a cifra de fluxo Rivest Cipher 4 (RC4) e uma pre-shared key. Qualquer um que queira se conectar à rede pode usa a mesma chave, composta de uma string de dígitos hexadecimais, tanto para criptografar quanto para descriptografar. Os dados em texto claro (não criptografados) passam por uma operação de OU-Exclusivo (XOR) bit a bit de fluxo com uma chave para criar um texto cifrado.

A operaçõe tem quatro possibilidade:

  • 0 XOR 0 = 0
  • 1 XOR 0 = 1
  • 0 XOR 1 = 1
  • 1 XOR 1 = 0

Os zero e um em um fluxo de dados pode representar qualquer dado sendo enviad através da rede. Veja um exemplo de texto claro sendo cifrado com XOR e uma chave para criar um texto cifrado: (mais…)

Dropbox está pedindo para usuários antigos trocarem suas senhas por precaução

A plataforma de nuvem Dropbox está pedindo para que seus usuários mais antigos troquem suas senhas para prevenir possíveis problemas de segurança. A empresa não sofreu nenhum ataque recentemente, mas pede para que seus usuários que não atualizam sua password desde 2012 façam isso.

Há quatro anos, a empresa sofreu com um vazamento de credenciais devido a falhas cometidas por uma empresa de terceiros que prestava serviços a plataforma de armazenamento em nuvem. Na época, o Dropbox notificou os usuários e disse que poucas contas foram comprometidas.

Caso você seja usuário do serviço desde a época e não tenha trocado sua senha, é recomendado seguir as instruções do serviço, principalmente se você costuma reaproveitar passwords. (mais…)

Falha de segurança da Apple permite resetar senhas dos outros

Apple mal lançou um recurso de verificação em duas etapas para o Apple ID e oiCloud e uma falha grave de segurança foi descoberta que afeta diretamente quem aindanão fez a migração. O problema permitia a usuários mal-intencionados o ‘reset’ da senha dos outros apenas com o endereço de e-mail e a data de nascimento da vítima, utilizando as próprias ferramentas da empresa.

A vulnerabilidade é explorada colando na barra de endereços uma URL modificada enquanto responde a data de nascimento na página do iForgot. Segundo o The Verge, que recebeu a denúncia, testou e confirmou, se trata de um processo muito simples e que qualquer um poderia realizar. (mais…)

Pesquisa da AVG mostra que 86% dos brasileiros não protegem seu smartphone com senha

AVG Tecnologies  divulgou nesta semana os resultados de uma pesquisa que analisa o comportamento dos brasileiros no que diz respeito à segurança em dispositivos móveis. O levantamento deixou claro que a maioria dos usuários está ciente dos riscos neste meio, embora muitos ainda não  tomem as medidas preventivasnecessárias.

Uma das constatações é a de que 86% dos usuários entrevistados não utilizam senhas para bloquear seus smartphones. Com isso, dados pessoais armazenados noaparelho podem facilmente cair em mãos erradas caso o dispositivo seja furtado ou perdido, por exemplo. No que diz respeito a tablets, este número cai consideravelmente, mas ainda é alto: 46%. (mais…)

Será que a senha do Windows protege mesmo seus arquivos?

Na prática, recurso não serve para impedir que seus dados caiam em mãos erradas. Um sistema de criptografia é a melhor solução.

Já faz algum tempo que o Windows tem o conceito de múltiplas contas de usuário, cada uma com suas próprias preferências e pastas com arquivos pessoais. E cada conta pode ser protegida com uma senha.

Mas ao contrário do que se pensa, essa senha não protege seus arquivos mais importantes contra acesso não autorizado. Um administrador tem acesso a todos os arquivos da máquina, há formas de burlar a senha e um malfeitor mais determinado poderia simplesmente arrancar o HD do computador e lê-lo em outro PC. A senha do Windows apenas impede que outras pessoas usem seu computador como se fossem você. (mais…)

Lançado Hashkill 0.3.0 PRE2

Hashkill é uma ferramenta open source, projetada para realizar recuperação de senhas. A ferramenta é multi-threaded, de modo que possa se beneficiar de sistemas multi-core/multi-CPU. Além disso, há algoritmos SSE2 acelerados para atingir altas velocidades em modernas CPUs x86, quatro modos de ataque: dicionário / bruteforce / hybrid/ markov; 35 plugins para diferentes tipos de senhas, que vão desde senhas simples como hashes MD5 e SHA1 para arquivos .ZIP e SSL passphrases-chave. (mais…)

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!