Soy ingeniero de seguridad de redes y respondo

Zerokkk #121 Dic '14

#119 Pero es que el salt que le añades será genérico. Eso se hace muchas veces y en el propio javascript puedes ver el salt sobre el que realizar el hash con la contraseña xD. Realmente, el cifrado asimétrico se inventó para problemas como este, donde la intereceptación de una parte de los datos, puede ser crítica.

Además, el mero hecho de utilizar hashes es bastante poco seguro, se puede sacar fácil con bruteforce. O usas AES, RSA, etc., o estás jodido xD. Y aún así, si la contraseña no es buena, analizando la entropía de la máquina que generó el par de claves, y sabiendo dos o tres cosillas de ella (es corta, no tiene símbolos especiales ni mayúsculas...) te usan una red grande computacional, aplican los datos mediante fuerza bruta, y en unas semanas/meses te la sacan igual xD.

#113 Le puedes dar la vuelta de igual manera, no cambia nada. Con fuerza bruta sacas el primer hash y con otra operación igual sacas el segundo, especialmente porque tras el primero, sabrás cual es el salt del segundo (por lo que viene siendo redundante hacer dos cifrados).

No uséis hashes para cosas que requieran de gran seguridad, o terminaréis viendo las consecuencias.

1 respuesta

archienemigo #122 Dic '14

#121 ¿Pero con los hashes, liando un poco la perdiz, debe ser bastante complicado, supongo. Hacer un sha1 a un md5 con un salt no debe ser fácil de sacar no? O las combinaciones que quieras.

Un salt en el formulario, me refiero, que la contraseña sea "silla" y tu antes de enviarla le incluyas un código delante y otro detrás por ejemplo. Es cutre pero bueno, algo confundiras no? xD

1 respuesta

Zerokkk #123 Dic '14

#122 Puedes hacerlo de mil maneras distintas, que alguien con un poco de conocimiento de criptografía te lo va a terminar sacando igual... Piensa que esa persona va a saber tan bien como tú que estás mandando la contraseña en ese formulario, y se matará en buscarla y luego analizarla detenidamente. Cualquier hash se rompe relativamente rápido; si no te sale bien con uno, pruebas con otro. Al final, probando un poco, terminas sacando lo último.

Piensa que si no se usa ese sistema es, precisamente, porque no es seguro. O usas cifrado asimétrico o alguien que intercepte tus datos podrá sacarte la contraseña, y si estás "jugando" contra un grupo de gente que sabe, ni así te libras. Tendrías que tirar a métodos de encriptación bestias (AES256 por ejemplo), comprarte una clave de decenas de miles de $ en Verisign, y utilizar contraseñas largas (>12 caracteres) con números, minúsculas, mayúsculas y caracteres especiales. Entonces ya sí que para romperte eso, necesitan toda la potencia computacional del mundo en la edad de dos universos.

Tiene tela, créeme xD.

3 1 respuesta

Nucklear #124 Dic '14 BugHunter

WTF estais diciendo de los hashes? Os estais liando mucho. Para almacenar contraseñas de usuarios en una DB de una web que es lo que pregunta #108 tienes que generar un hash si o si.

Lo primero es que todo ese proceso se genere del lado del servidor (Creo que ahi no hay punto de discusion). ¿El problema es que tipo de hash uso? MD5 esá en desuso, es un hash que lleva mucho tiempo roto y ya se han generado rainbow tables para todas las posibles combinaciones.

¿Entonces que uso? ¿AES256, SHA512? Puedes...pero el rendimiento se va a ver afectado si tienes que utilizar este tipo de algoritmos. Lo suyo es utilizar un sistema de clave privada, salt y un algoritmo ligero pero fuerte (Como sha1) por ejemplo y generar el hash con una combinación de esos tres factores.

HMAC...¿Nadie?

#123 Eso no es tan así xD

2 respuestas

archienemigo #125 Dic '14

#124 Esto me gusta más. Osea hacer tu propio algoritmo. Lógico. Soy neófito en el tema, un sistema de clave privada que es? O lectura recomendada?

#126 Ok ok, me lo mirare gracias.

1 respuesta

Nucklear #126 Dic '14 BugHunter

#125 No no no no, ni se te ocurra "inventar" tu cifrado. Lo que muchas plataformas hacen es utilizar una clave privada oculta en el servidor y cuando digo oculta me refiero a que este del lado del servidor (Si te acceden al servidor obviamente estas jodido) mas un salt aleatorio por ejemplo.

Quedaría algo así HMAC('sha1', salt+password, CL4v3_S3cr3t4)

Y aunque el salt lo almacenes junto a la contraseña en la DB no importa. La idea del salt es simplemente añadir mas bytes al conjunto para que sea mas dificil de romper.

1 respuesta

danao #127 Dic '14

Que tecnlogía de NAC usais? Es muy intrusva con el usuario?

Usais fireeye? es tan bueno como parece?

R3P1S0 #128 Dic '14

#126 preguntas para no dormir, seguramente más esta pregunta debería ir en ciencia ficción, pero por curiosidad que sabéis de la computación cuántica? serían tan potentes para crear nuevo tipos de algoritmos? que se sabe de eso? perdón pero es la curiosidad que me pica!

2 respuestas

T

telopeto #129 Dic '14

Gracias por abrir este hilo.

¿Que programa/configuración/redes para bajar torrents me recomiendas para conservar el anonimato después de la ley abusiva que se aprobara el 1 de enero?

Intenta que la explicación sea fácil,rápido y para toda la familia.

1 respuesta

A

ACID-FANTASY #130 Dic '14

#103 El hijo puta de mi vecino me hace ataques DDoS al modem de forma que no me deja conectarme por wifi, después pone su wifi con el mismo nombre que la mía pero sin contraseña esperando que me conecte y así esnifarme a placer.

Tengo WPA2 y el nombre oculto. aunque esto ultimo le resbala bastante.

¿Tú qué harías en mi lugar a parte de intentar averiguar quien es para andarle en la cara?.

3 respuestas

Nucklear #131 Dic '14 BugHunter

#128 No se nada de eso, pero supongo que la potencia de la computación cuántica residirá en el proceso simultaneo de datos.

#129 En el hilo de cypherpunk tienes la respuesta a eso.

#130 Pues si el tío te toma por tonto hazle creer que lo eres. Conectate a su red y esnifa el trafico en primer lugar. Luego accede a su router y create un backdoor así podrás acceder a su red cuando quieras. Analizando lo que captures malo sera que con un poco de lógica no des con ese vecino.

1 1 respuesta

asterix021 #132 Dic '14

#130 Vaya huevos que tiene que tener el tío para abrir su red, o es tonto o el tipo controla y sabe lo que hace.

Una situación curiosa desde luego xD

2 respuestas

archienemigo #133 Dic '14

#132 Bueno con tener otro router a parte para que entres a esa red, con un pc que no contenga nada no te van hacer nada. Es lo que yo haría.

A

ACID-FANTASY #134 Dic '14

#131 #132 Supongo que cuando lo hace se conecta con un ordenador destinado a eso y con el que no hace nada más, solo esnifar, y cuando deja de hacerlo reseta el modem.

S

Spike_Spigel #135 Dic '14

¿Qué buscador te gusta más, Google o Linux?

11

Loa #136 Dic '14 :psyduck:

#41 no me creo nada de la seguridad informatica ... los sslv3 tambien eran seguros hace un año y mira ahora

UrkoZzZ #137 Dic '14

-Que has estudiado?
-Has aprendido mas trabajando que estudiando ? (esto es obv)

allmy #138 Dic '14 CSI

#41 Respecto a tu carrera, que te enseña a hacer pentesting, o a monitorear la seguridad de redes? Lo aprendes con la certificación, ensayo y error,...

Como es tu día normal? Mirar un htop y un tcpdump? O algo más "trepidante"?

Yo en mi trabajo hago mucha ingeniería social a lo largo del día, y es un coladero, la gente siempre está dispuesta a contar y a hablar (cuando deje este curro y pase un tiempo abriré un post sobre ello xD). Cuál es el impacto real en la seguridad de eso? Se suele tener en cuenta?

#41 Foto de tu equipo!!!!

Saiko9 #139 Dic '14

#128 no tengo mucha idea del tema pero básicamente con la computación cuántica se romperían todos los algoritmos actuales de forma basta.

S

SvapL #140 Dic '14

#1 buenas ! me alegra que un ingeniero de redes este por aquí , así puedo contar mi historia como "Hacker".

Bueno empece hackeando webs que eran vulnerables al SQL INYECTION , nunca les jodí nada ,de echo les enviaba un email para que lo parcheasen... con 15 años se me acabo la gracia, yo estaba en un team hacker y ellos me iban enseñando así que encontramos una vulnerabilidad en un server usando metasploit y nmap para el escaneo de puertos y aplicando un xploit a dicha vulnerabilidad para explotarla, total que uno de mi team entro en la maquina y había un ingeniero de redes como tu conectado en un escritorio remoto xd abrio un block de notas y le dijo ¿Quien eres? desde ese momento me cague ya que nos habían pillado y no he vuelto a hacer nada relacionado con hacking.

yo era un lammer no sabia programar y copilaba los xploits en perl y en C

kaitoo #141 Dic '14 Penitente

#137 He aprendido 1000 veces mas trabajando que estudiando, aunque estudiar una carrera me ha servido para que aprenda mucho mas rapido que un no-ingeniero en el trabajo (esto ultimo depende de quien sea, pero por lo general los ingenieros tendemos a hacer un tshooting mucho mas rapido y acertado).

#138 Mi dia a dia es trabajar en proyectos de arquitectura de redes (nuevas implementaciones, cambios en implementaciones ya existentes, etc...) y resolver incidencias criticas (aquellas que impactan a mas de 200 empleados). Para monitoreo y incidencias pequenyas hay otros equipos por debajo del mio.

#129 ayer mismo salio un cliente bittorrent que utiliza TOR para ocultar tu identidad, echale un ojo aqui.

#127 no puedo responder a eso, lo siento.

#140 lool yo empece con todo tipo de MiTM , luego salte a SQL injection... Curioso que despues de tantos anyos aun sigan siendo de los ataques mas utilizados.

#126 Te dejo una conferencia hecha por uno de los referentes de fisica cuantica (la conferencia es para dummies, todo explicado a un bajo nivel). La introduccion igual es en Valenciano, pero la conferencia es en Castellano.

Yo la disfrute mucho

#130 si me das mas detalles del tipo de DDoS que le hace a tu modem (estas seguro que no es al router WiFi?) podemos buscar una solucion.

2 2 respuestas

S

SvapL #142 Dic '14

#141 una pregunta si te están sniffeando tu red , podrían también sacar las contraseñas de paypal? por que justamente hoy voy a realizar un pago...

no tengo ni idea de como van los ataques tipo MiTM por eso pregunto.

1 respuesta

kaitoo #143 Dic '14 Penitente

#142 Si vas a pagar por Paypal y ves el candado a la izquierda de la url que dice PayPal, INC (US) es seguro.

No os obsesionéis con MITM , tampoco es algo que todos tus vecinos sepan hacer, y solo se puede hacer si sois parte del mismo segmento LAN (compartis misma IP de gateway).

Con 'arp -a' desde cmd puedes ver la MAC de tu puerta de enlace... Luego ves al router y compara con la pegatina que hay pegada en el reverso. Si coinciden es que estas mandando el trafico al router directo... si no coinciden tienes un problema.

3 respuestas

S

SvapL #144 Dic '14

#143 muchas gracias por la info.

sonekito #145 Dic '14 :psyduck:

¿Me podrías cambiar un par de notas de la universidad? La matrícula me esta matando...

Zerokkk #146 Dic '14

#124 El problema de usar cifrados ligeros es que no son totalmente seguros. Alguien que tenga recursos y ganas, te puede bruteforcear perfectamente la contraseña. Y como esta no sea fuerte, pues estás apañado.

En cambio lo que pones ahí parece interesante, eso es ya clave asimétrica y por tanto la seguridad es mucho mayor.

A

ACID-FANTASY #147 Dic '14

#141 Es un router de telefónica sí xD, el caso es que no sé que tipo de DDoS me hace, uno muy molesto que hace que no pueda usar mi wifi cuando le da por hacerlo.

1 respuesta

kaitoo #148 Dic '14 Penitente

#147 Probablemente haga miles de fail auths contra la WLAN , rollo fuerza bruta y te tumbe el router a base de eso. Tambien puede ser mediante WPS auth y fuerza bruta.

Prueba a desactivar WPS en tu router y tambien mira si puedes anyadirle delay al fail auth desde las opciones del router (no creo a no ser que tengas un buen router, no el que te manda el ISP).

Otra opcion es montarle un honeypot y ver cuan listo es, si cae en la trampa y puedes identificarlo vas y le partes las piernas. Esta ultima opcion requiere que seas bueno para poder trackear todo lo que hace, no se tus conocimientos tecnicos, pero siempre puedes googlear y aprender

1 respuesta

muanhiaru #149 Dic '14

#148 Hay una cosa mucho más fácil y que se ha puesto de moda últimamente, es una aplicación (cuyo nombre no voy a decir por motivos obvios) que viene de serie en las distribuciones "tan de moda para piratear wifis" que lo que hacen es:

1 - La aplicación monta en el ordenador un servidor DHCP y un servidor WEB HTML básico.
2 - Convierte la antena Wifi en un punto de acceso replicando el original pero sin contraseña.
3 - Elegido el objetivo, empieza a desautentificar a todo cliente que haya conectado a la red, obteniendo handshake.
4 - Como por defecto, los equipos se conectan a la red de mismo nombre pero sin contraseña, les redirige a una web fake-cutre donde dice que si quieres seguir navegando, introduzcas la contraseña de tu red. Si coincide con la del handshake, se paraliza el proceso y la contraseña se muestra al atacante.

Lo que pasa es que no en todos los ordenadores, funciona correctamente, ahi esta el problema de ACID-FANTASY, que básicamente no le deja conectarse porque lo desautentifica. Como curiosidad, esa "aplicación" o "script" aunque solo permita una interfaz Web neutra super-salchichera, con unos pocos conocimientos necesarios puede falsearse cualquier Web de cualquier operador o configuracion de router para que parezca más real.

Un saludo.

1 respuesta

R3P1S0 #150 Dic '14

#143 un amigo se bajo un distro de ubuntu, nose si era wifislax, backtrack, kyle.. entre sus aplicaciones creo hay una que se llama ethercap, no hay que tener muchos conocimientos, lo activas, eliges el rango a snifar y a correr... hubo una epoca que se podía saltar el SSL, con un SSL STRIP; que hacia que el usuario estupido e inocente aceptase certificados falsos, y chachan... por arte de magia saco un listado guapo de emails y contraseñas...

dio un segundo paso y se fue al artimage, otra aplicación curiosa para tomar el control total de un pc aprovechandose de alguna vulnerabilidad, lo probamos entre dos ordenadores nuestros, los dos con windows 7 no hace más de 3 meses con los ordenadores actualizados, y pudimos hacer streming de que veia la otra persona en tiempo real...

a lo que voy con esto, es
deberian tener miedo? si... siempre, y nunca es suficiente.

1 respuesta

Usuarios habituales

Tags