Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Crack
Crack
INDICE
Qu es un ataque a contrasea? Cmo genera y almacena Linux las contraseas Data Encryption Standar (DES) Ruptura de contraseas de Linux a travs de ataque a diccionario Shadowing de contraseas y la suite shadow Tras la instalacin de suite shadow Otros aspectos de la seguridad de contraseas Mdulos de autebtificacin de contrasea Otras soluciones para laseguridad de las contraseas
2
Ataques a contrasea
Son las diversas tcnicas que incluyen cualquier accin dirigida a romper, descifrar o borrar contraseas o cualquier mecanismo de seguridad de las mismas. En cuanto a seguridad el ataque a contrasea son lo primero porque pone en peligro a todo el sistema. Exige un enfoque a dos niveles: Aplicar herramientas avanzadas para reforzar las contraseas. Educar a los usuarios en polticas de contrasea bsicas.
3
Contraseas
En Linux las contraseas se almacenan en /etc/passwd de forma que no resulta seguro porque el fichero es legible. Las contraseas ocupan el segundo campo y estn alteradas de forma que resulten incompresibles, han sido sometido a criptografa. Conceptos: Criptografa. Es la ciencia de escribir de forma secreta. DES. Algoritmo de cifrado que utiliza linux cuando se crean las contraseas. Se apoya en una clave y es un cifrado de bloque de 64 bits. Efecta tres operaciones: permutacin inicial (cambia de posicin los caracteres), creacin de un bloque de entrada que se reordena (transformacin) obteniendo un bloque de pre-salida y por ltimo, se aplica una permutacin ms y el resultado es el texto cifrado.
4
Ataques a diccionario
El DES se puede romper fcilmente, por: El factor humano: se eligen contraseas dbiles. Longitud limitada: Las contraseas son cortas. El nmero de transformaciones para cifrarlas es pequeo. Los atacantes toman diccionarios (grandes listas de palabras) y los codifican utilizando DES. Con el paso del tiempo pueden codificar cada palabra de 4096 formas distintas. Se compara el texto con las contraseas hasta que se encuentre una coincidencia, por lo que, se ha roto la contrasea.
5
Se necesita: Aplicacin Crack. Programa para encontrar contraseas cifradas mediante DES. C y hay que ser root Los archivos de configuracin: dictgrps.conf, dictrun.conf y network.conf Se ejecuta en varias fases: Descomprimir Crack Crear Crack Ejecutar Crack Observar los resultados
6
A continuacin, se debe compilar los diccionarios: Crack makedit Cuando acabe mostrar el siguiente mensaje:
Crack: Created new dictionary... Crack: makedict done
10
Opciones de Crack
11
Alternativas a Crack
Accesorios de Crack: listas de palabras Cuanto mayores sean las listas de palabras se incrementarn las posibilidades de dar con una contrasea. Herramientas alternativas a Crack
Herramienta
John the Ripper
Descripcin y Localizacin
Herramienta de auditoria de propsito general para windows y Unix. Utiliza algoritmos propios. Admite muchas reglas y opciones y est bien documentada. Herramienta de auditoria de contraseas para Linux y otras versiones de Unix. Suficientemente pequea para caber en un disket, lo que es til para auditar equipos no conectados en red. Un scrpit en Perl para romper contraseas de Linux. Ejecuta un cifrado completo del archivo de diccionarios. Para entornos donde se espera que hayan contraseas excepcionalmente malas.
Lard
Xcrack
12
El shadowing de contraseas es una tcnica mediante la que el archivo /etc/passwd sigue siendo legible pero ya no contiene las contraseas. En su lugar, se almacenan en /etc/shadow. La herramienta ms popular que realiza el shadowing es Linux Password Shadow Suite. Tras instalar el paquete de shadow se debe de examinar la base de dados de contraseas de shadow /etc/shadow. Ejemplo:
root: 1LOTWOUA.YC2o:10713:0::7:7:: bin: *:10713:0::7:7:: ftp: *:10713:0::7:7:: Man: *:10713:0::7:7:: 13
El nombre de usuario La contrasea de usuario Fecha en la que se cambi la contrasea por ltima vez Nmero de das que queda para permitir al usuario cambiar su contrasea. Nmero de das de antelacin con que se avisa al usuario de que tendr que cambiar su contrasea. Nmero de das que queda para que el usuario cambie su contrasea antes de que su cuenta sea cancelada. Nmero de das desde que la cuenta ha sido cancelada. Est reservado
Implementa dos nuevos conceptos: Vencimiento de la contrasea (tiempo de vida limitado) y Bloqueo automtico de cuenta (se bloquean las cuentas sino cambian las contraseas o se han caducado).
14
Para aadir un usuario con shadowing, se utiliza useradd, que gestiona las entradas de /etc/passwd, /etc/group y /etc/shadow. Opciones de la lnea de comandos de useradd:
Opcin -c -d -g -m -s u Propsito Para especificar el nombre real del usuario o un comentario. Para especificar el directorio de inicio del nuevo usuario. Para asignar el usuario a un grupo especfico. Se utiliza para que useradd cree el directorio de inicio del nuevo usuario. Para especificar la shell predeterminada del nuevo usuario Para especificar el UID del nuevo usuario
16
usage: useradd [-u uid] [-g group] [-m] [-d home][-s shell][-r rootdir] [-e expire dd/mm/yyyy][-f inactive] name useradd D useradd v
Ejemplo: lnea de comando que crear una entrada de usuario en /etc/passwd, /etc/group y /etc/shadow: /usr/sbin/useradd jsprat m c JackSprat u510 g100 ss/bin/bash En /etc/passwd se aade: jsprat:x:510:100:Jack Sprat:/home/jsprat/:/bin/bash En /etc/shadow se aade: jsprat:*not set*:10715:0:-1:7:-1:-1: Nota: useradd no genera contraseas,para ello se utiliza el comando passwd: Ejemplo: passwd jsprat Una vez, actualizado en /etc/shadow aparecer la informacin de la contrasea: Ejemplo:jsprat:cALtUMRf40VbU:10715:0:-1:7:-1:-1:1073897392
17
Se utiliza userdel. Suprime la informacin del usuario de /etc/shadow /etc/passwd y /etc/group y la borra del todo. Para borrar un usuario se introduce el siguiente comando: userdel r username La opcin r borra el directorio de inicio del usuario
18
Modificar el registro de un usuario: usermod. Usermod puede modificar uno, varios o todos los campos del registro de un usuario. Las opciones son:
Opcin Propsito Modifica el directorio de inicio del usuario. Modifica la fecha de expiracin de la contrasea de usuario. Modifica los datos de pertenencia al grupo inicial. Modifica el nombre de inicio de sesin del usuario. Para modificar la shell predeterminada del usuario. Para modificar el UID del usuario.
19
-d [directorio inicio] -e [fecha expiracin] -g [grupo inicial] -I [nombre usuario] -s [shell] -u [UID]
Verificar la base de datos de contraseas: pwchk Con el tiempo se realizarn numerosos cambios en la base de datos de contraseas. Se debe verificar peridicamente la integridad de la base de datos de contraseas, dado que con el tiempo se incrementa el riesgo. Pwchk verifica que toda la informacin de /etc/passwd y de /etc/shadow es vlida. Asegura que el usuario y los grupos son vlidos y que tienen shells vlidos, que todos los campos estn presentes y justificados y que todos los usuarios tienen un grupo apropiado y un UID nico.
20
21
Borrado de grupos: groupdel Gestionar el acceso a grupos: gpasswd Se utiliza para asignar administradores de grupos a grupos de usuarios. El administrador puede aadir o eliminar usuarios al grupo o limitar el acceso a ste, mediante contraseas. Las opciones son:
Opcin Propsito Especifica un administrador de grupo que se identifica por su nombre de usuario. Se utiliza para aadir un usuario a un grupo. Se utiliza para borrar un usuario de un grupo. Se utiliza para quitar una contrasea de grupo.
22
Con el paso del tiempo se pueden realizar numerosos cambios en los datos de los grupos, por lo que se debe verificar peridicamente la integridad de la informacin de los grupos, debido al riesgo que se incrementa con el tiempo. grpchk examina los datos de los grupos buscando posibles errores en el nmero de campos y en la validez de sus nombres, sus usuarios y sus administradores. Si grpchk encuentra dichos errores, solicita corregirlos.
23
La suite shadow cuenta con diversas utilidades para el mantenimiento general de las cuentas y de las bases de datos de autentificacin. Cambiar los datos de expiracin de la contrasea de un usuario: chage Chage permite cambiar una, varias o todas las reglas utilizando estas opciones:
Opcin -E [fecha expiracin] -I [das antes de bloqueo] -M [n mximo das] -W [das de advertencia] Propsito Modifica la fecha en que la cuenta de usuario expirar y ser bloqueada. Especifica cuntos das puede permanecer inactiva una cuenta con una contrasea expirada antes de ser bloqueada. Modifica el n mximo de das durante los que es vlida la contrasea del usuario. Modifica el nmero de das durante los que el sistema avisar al usuario de que hay que cambiar las contraseas.
24
Es posible que se tenga que migrar los datos de /etc/passwd al formato de shadow. Para ello se utiliza pwconv. pwconv no slo lo permite sino que adems permite integrar simultneamente informacin con shadowing desde una base datos shadow existente. pwconv tiene varios mecanismos de seguridad: Si se introducen entradas que no tengan ninguna contrasea asignada, pwconv no las migra a /etc/shadow Utiliza la configuracin predeterminada de expiracin, aviso y bloqueo de cuentas que viene definida en /etc/login/defs. Para volver a convertir datos de shadow a /etc/passwd se utiliza pwunconv.
25
Suite shadow solo esconde las contraseas. Los atacante conocen la suite shadow y trasladan su inters a /etc/shadow. La diferencia es que /etc/shadow es ms difcil de alcanzar. La suite shadow es bastante segura en s misma, pero su seguridad depende de la seguridad del sistema, ya que otras aplicaciones tienen agujeros de seguridad, que permiten leer y escribir en /etc/shadow. Ataques dirigidos al acceso a /etc/shadow:
deshadow.c = cdigo fuente intruso para desproteger las entradas de /etc/shadow telnet hole = se puede provocar un error utilizando telnet, que revelar las contraseas ocultas. shadowyank = Aprovechando un agujero de FTP, captura las contraseas ocultas de los fallos de FTP 26
El shadowing de contraseas es un excelente comienzo, pero no puede garantizar la seguridad de las contraseas del sistema. Se debe ampliar el concepto de seguridad:
Eleccin humana de contraseas y seguridad del sistema Comprobacin proactiva de las contraseas Seguridad auxiliar de las contraseas
27
Se deben elegir contraseas fuertes y no a partir de datos personales del usuario. Crack rompera cualquier contrasea de este tipo en segundos. Adems, las computadoras actuales tienen una gran potencia de proceso, y las herramientas de ataque a diccionarios se han vuelto muy avanzadas. Por ello, las herramientas como crack son valiosas. Mediante la comprobacin regular de la fortaleza de las contraseas, es posible asegurarse de que ningn intruso pueda penetrar en la red aprovechando una mala eleccin 28 de la contrasea.
Hace que se eliminen las contraseas dbiles antes de su envo a la base de datos de contraseas. Cuando un usuario crea una contrasea, sta se comparar en primer lugar con una lista de palabras y una serie de reglas. Si la contrasea no cumple los requisitos de este proceso se obliga al usuario a elegir otra. Actualmente existen 3 comprobadores proactivos de contraseas que prevalecen:
Grandes capacidades de registro, de sesiones, errores, usuarios, reglas y xito o fracaso en el cambio de una contrasea. Especificacin del n de caracteres significativos de la contrasea. Algunas reglas proporcionadas:
El n oficina, tlfno, nombre de host y dominio prohibidas Las contraseas deben tener como mnimo n caracteres de longitud Las contraseas deben mezclar maysculas y minsculas El nombre y apellidos prohibidos (al derecho o al revs) El nombre de conexin prohibido (al derecho y al revs)
30
Escrito en cdigo Perl, bien documentado, utiliza el archivo de diccionarios que se elija y permite crear reglas personalizadas. Las reglas predeterminadas son:
Nmeros con espacios Maysculas y minsculas con espacios Todo en mayscula o en minscula Todo nmeros La 1 letra mayscula y nmeros Todas las combinaciones de las anteriores.
31
npasswd es un sustituto del comando passwd de UNIX y de los SO similares. Somete a las contraseas de usuario a estrictas pruebas de capacidad de adivinacin. npasswd est diseado para complementar o reemplazar los programas estndar de cambio de contraseas: passwd, chfn y chsh. Su distribucin cuenta con un conjunto de herramientas de desarrollo para poder ampliarlo o incorporarlo a otras aplicaciones.
32
El shadowing no garantiza la seguridad completa de las contraseas, ya que una red Linux media existen muchos otros mecanismos de contrasea, muchos de los cuales no utilizan /etc/passwd o /etc/shadow para su autentificacin. Examinaremos otras posibilidades de ataques y cmo se pueden resolver:
Proliferacin de contraseas y seguridad Mdulos de autentificacin que pueden conectarse Otras soluciones para la seguridad de contraseas
33
Hasta el momento nos hemos centrado principalmente en las contraseas de inicio de sesin. Sin embargo dentro de un esquema mayor, stas son solo el principio. Puede existir la posibilidad de tener al menos 5 contraseas:
34
Pero Linux es un sistema multiusuario y sabemos que es posible que tenga la intencin de tener unos cuantos usuarios, por ejemplo 5:
35
Para tener un sistema completo, supongamos que utiliza Linux en un entorno empresarial:
36
La mayora de contraseas iguales = si los usuarios crean contraseas idnticas para varias aplicaciones, si alguna de ellas tiene agujeros de seguridad, el sistema podra ser invadido. La mayora de las contraseas diferentes = hace que los usuarios escojan contraseas fciles para no olvidarse, y por lo tanto, muy dbiles.
Incremento de las demandas del pblico de nuevas herramientas de red. Los desarrolladores siguen generando aplicaciones innovadoras y lanzndolas rpidamente al mercado, a menudo sin un control estricto de seguridad. El mercado de consumo se llena de aplicaciones que almacenan o transmiten contraseas de forma insegura.
38
Limitar a los usuarios a un conjunto de aplicaciones establecidas y probadas que se conozcan a la perfeccin. En cada aplicacin probada, verificar el almacenamiento de contraseas y los procedimientos de transmisin. Para evaluar los procedimientos de transmisin de contraseas, probar a espiar una conexin entre dos hosts, utilizando la aplicacin bajo sospecha. Eliminar cualquier aplicacin que emplee un mal almacenamiento de contraseas y unos procedimientos de transmisin deficientes. Respecto a las aplicaciones probadas, estar atento a avisos urgentes de sus distribuidores. Probar la fortaleza del sistema de contraseas una vez al mes, aunque se utilice la comprobacin proactiva de las contraseas. Educar al usuario a comprender la importancia de la seguridad de las contraseas.
39
PAM, permiten cambiar la forma en que las aplicaciones de Linux ejecutan la autentificacin sin tener que reescribirlas ni compilarlas. Algunos mdulos PAM tpicos son:
Pam_cracklib = un comprobador proactivo de contraseas que puede conectarse Pam_deny = fuerza la autentificacin y deniega cualquier sesin en la que no se haya proporcionado una autentificacin o sta haya resultado fallida Pam_pwdb = un mdulo de base de datos de contraseas que pueden conectarse, que proporciona expiracin de contraseas, avisos, etc. Pam_group = asigna y rastrea la pertenencia a un grupo de los usuarios y de sus sesiones terminales
Los PAM proporcionan muchas opciones de gestin de autentificacin, de cuentas, de sesiones y de contraseas, y se han utilizado para desarrollar operaciones de autentificacin como la firma nica (es cuando un usuario se autentifica una sola vez en una red de mquinas de confianza).
40
Controles de acceso biomtrico (seguridad fsica) = estas herramientas autentifican al usuario basndose en el olor corporal, estructura facial, huellas dactilares, patrones del iris o retina, voz, etc.
Contraseas que se utilizan una sola vez: las contraseas desechables no se transmiten por la red. En su lugar, el servidor reta al cliente con un valor numrico, que el cliente puede utilizar para generar un valor secreto adecuado para la transmisin de retorno.
41
42