Rainbow Tables para revisiones de seguridad

Quien soy? 'a(imiliano !lon%o Consultor en Seguridad Informtica. Integrante del O !S" cap#tulo $ruguay. malon%o&tib.com.uy

)e *ue se trata esta c+arla?

Cuando podemos necesitar usar una Rainbow Table? , -valuar la robuste% de los +as+ de contrase.as

Tambi/n podemos utili%ar +erramientas de crac0in "ero el uso de +erramientas de crac0ing por fuer%a bruta re*uiere tiempo y poder de computo suficiente.

Con *ue inconvenientes nos encontramos al utili%ar +erramientas de crac0ing por fuer%a bruta?

Tenemos un problema de TI-'"O1 , Insuficiente poder de computo. , Insuficiente tiempo para reali%ar el traba2o. , Cada nueva b4s*ueda 5!S5 +ace *ue sea necesario volver a reali%ar todo el proceso de computo.

-sto +ace *ue pueda resultar inviable su utili%aci3n

"ero....

"odr#amos generar todas las combinaciones de 5!S56C7!8- y almacenarlas?

! fin de a+orrase tener *ue volver a calcularlas y facilitar la futura b4s*ueda.

8arios algoritmos de resumen CRC9 '):9 S5!;9 7'9 +irlpool9 etc. Cada algoritmo genera resultados diferentes< password LM MD5
-:=C!C>?@;A!A!==@!BC;DEFBF!>CC>) :f@dccBb:aa?>:d>;dEB=?debEE=cfAA

Gecesario generar todas las combinaciones por cada algoritmo

Tenemos un problema de -S"!CIO1 Inviable almacenar todas las combinaciones de claves para cada algoritmo de resumen.

Resumiendo los inconvenientes TI-'"O necesario para generar cada uno de los res4menes de las claves. -S"!CIO necesario para almacenar todas las combinaciones generadas previamente.

Que nos puede facilitar la vida? H'a0ing a Faster Cryptoanalytic Time, 'emory Trade OffI by "+ilippe Oec+slin Implementaci3n practica de un compromiso -spacio,Tiempo mas 3ptimo. Rainbow Tables

Que son las Rainbow Tables? Implementaci3n de compromiso espacio,tiempo "ermite almacena de una forma optima el resultado previamente calculado de la generaci3n de claves y su +as+.

mite reali%ar b4s*uedas de claves a partir de un +a

Como funciona una Rainbow Tables?

Resumen9 Reducci3n9 Resumen9 Reducci3n9 ....

R-S$'-G Gos permite obtener un 5!S5 a partir de una C7!8-. R-)$CCIOG Gos permite obtener una C7!8- a partir de una 5!S5.

Gunca se almacena toda la tabla generada. Se generan cadenas y se almacena la Clave inicial y el 5as+ final de la misma.

Dmil a =DDmil iteraciones por cadena.

Como es el proceso de b4s*ueda?

)-'OSTR!CIJG

o+n t+e Ripper 8S Op+crac0 Lby "+ilippe Oec+slinM C4s*ueda de +as+ 7' Tama.o de tablas 7' ;ENC

O !S" TO";D !?< !lmacenamiento criptogrfico inseguro

El error ms comn en este rea es simplemente no cifrar datos que deberan ser cifrados. Cuando se cifra la informacin, son comunes la generacin y almacenamiento inseguros de claves, no rotacin de claves y el uso de algoritmos dbiles. Tambin es comn el uso de hashes inseguros y sin sal para la proteccin de contraseas. Los atacantes externos tendrn dificultades para identificar este tipo de vulnerabilidades debido al acceso limitado que disponen. Normalmente es necesario explotar alguna otra vulnerabilidad primero con el objetivo de obtener el nivel de acceso necesario.

Recomendaciones
, $tili%ar 5!S5 *ue incluyan S!7T. L7as RT son inefectivas.M , 5acer uso de claves comple2as. , Seleccionar algoritmos de resumen robustos.

O"reguntas?

Nracias1