CharruaCon Security Conference #charruacon2017Montevideo
Hacking de contraseñas
CharruaCon Security Conference #charruacon2017Montevideo
Disclaimer:
- Las opiniones expresadas en esta presentación son de mi autoría y no tienen relación alguna con la posición que la empresa GXC pueda tener.
- Las contraseñas crackeadas a partir del breach fueron obtenidas con fines únicamente estadísticos y académicos.
- Los exploits fueron utilizados únicamente sobre cuentas de nuestra propiedad, para divertirse y aprender un poco
- Aunque más para divertirse.
- No descubrí nada nuevo ni rompí el STM
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
About me:
Ingeniero en Computación recibido en la Universidad de la Repúbilca. Apasionado de la Cyber Seguridad.
Consultor en Seguridad en GeneXus Consulting.
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
Nuestro estudio
CharruaCon Security Conference #charruacon2017Montevideo
10 contraseñas más repetidas (Leak Linkedin 2012)
Puesto Contraseña Frecuencia
1 123456 753.305
2 linkedin 172.523
3 password 144.458
4 123456789 94.314
5 12345678 63.769
6 111111 57.210
7 1234567 49.652
8 sunshine 39.118
9 qwerty 37.538
10 654321 33.854
Fuente: http://www.welivesecurity.com/la-es/2016/05/23/contrasenas-filtradas-de-linkedin-123456/
Fuente: http://www.welivesecurity.com/la-es/2016/05/23/contrasenas-filtradas-de-linkedin-123456/
CharruaCon Security Conference #charruacon2017Montevideo
sunshine…
• Utilizar diccionarios a ciegas no siempre ayuda.• Palabras de nuestra cultura• Nombres y apellidos españoles• Matriculas de autos, Teléfonos, RUTs, Cedulas, Credenciales.• Contraseñas de 6 caracteres o menos• Diccionarios estándar de ataques• Ñ
• No se realizaron diccionarios personalizados
Cambiamos Sunshine por amanecer y estamos
CharruaCon Security Conference #charruacon2017Montevideo
Nuestros Resultados
22542; 81%
5413; 19%
Crackeadas :) Sin Crackear
Dominios (27955) • .uy• Lista de contactos
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
Fuente: https://www.symantec.com/content/dam/symantec/docs/reports/istr-22-2017-en.pdf
CharruaCon Security Conference #charruacon2017Montevideo
https://haveibeenpwned.com/
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
• Usar contraseñas fuertes
• Cambiar las contraseñas cada cierto período de tiempo
• No reutilizar contraseñas
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
Muchas [email protected]
CharruaCon Security Conference #charruacon2017Montevideo
Software is Software
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
Zero-Knowledge Security
ONLINE OFFLINE
RoboForm Everywhere
Almacenando KDBX
en la nube
Problema para sincronizar múltiples dispositivos
CharruaCon Security Conference #charruacon2017Montevideo
"Account","Login Name","Password","Web Site","Comments""CharruaCon","rdelafuente","secretPassword","http://charrua.org/","note"
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
https://www.theregister.co.uk/2017/02/28/flaws_in_password_management_apps/
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
Lastpass hoy – 4.1.52
20/03/2017 – 4.1.42https://1min-ui-prod.service.lastpass.com - postMessages
https://bugs.chromium.org/p/project-zero/issues/detail?id=1209
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/
LastPass 3.2.15 (Chrome) – 07/2016
http://localhost:8080/@facebook.com/@fake.html
Podemos convencer al gestor que somos otro dominio y nos entregará sus credenciales.
CharruaCon Security Conference #charruacon2017Montevideo
DEMO TIME!
CharruaCon Security Conference #charruacon2017Montevideo
CharruaCon Security Conference #charruacon2017Montevideo
• Los gestores de contraseña son una ayuda, no una panacea.
• Siguen siendo software, por lo que debemos auditarlos.
• La utilización de contraseñas para identificar usuarios es una solución… con problemas.
• Tenemos mucho trabajo de concientización por delante.
• Recomendar a los usuarios fuertemente usar 2FA siempre que sea posible.
• Es necesario que cada vez más aplicaciones soporten 2FA.
CharruaCon Security Conference #charruacon2017Montevideo
Preguntas?
CharruaCon Security Conference #charruacon2017Montevideo
Muchas [email protected]
Top Related