SoloCodigo

Hola amigos conocedores de redes y de seguridad.
Les escribo porque me gustaria saber si hay alguien interesado en echarme un cable.

Me gustaria saber como se utilizan esos programas BruteForce, que generan claves para burlar los sistemas de seguridad de los email.
Tengo muy poco conocimiento sobre este tema(Lo mio es Java )

Estoy interesado en conseguir uno de estos programas,pero no se donde descargarlos.
Seria interesante probar como funciona e intentar yo programar alguna aplicacion en Java que pueda imitar su funcionamiento.

Espero que este sea el foro adecuado para buscar este tipo de programas.

Un saludo a todos, muchas gracias.

Entiendo.
No parece facil, bueno de momento lo unico que he conseguido es hacer el generador de palabras en minusculas de hasta 5 caracteres.
He notado quelos programas estos guardan estas palabras en los llamados diccionarios, que son como archivos de txt. Lo que ocurre que al haber creado un archivo de teksto de 19.000.000 de palabras de hasta 5 caracteres, luego es imposible abrir este archivo debido a la capacidad.Bueno mi ordenador no lo puede habrir.
Me gustaria saber si se pueden almacenar estos diccionarios en algun otro tipo de archivo que no sea txt?

Es metodo no es valido para una cuenta de correo decente... un buen admin bloquearia la ip despues de cierto numero de intentos, he incluso, reportarlo a abuse.org o algo asi.

He notado quelos programas estos guardan estas palabras en los llamados diccionarios, que son como archivos de txt. Lo que ocurre que al haber creado un archivo de teksto de 19.000.000 de palabras de hasta 5 caracteres, luego es imposible abrir este archivo debido a la capacidad.Bueno mi ordenador no lo puede habrir.

Lo estas intentando con el notepad?  

Si vas a hacer algo tan lamer, mejor intenta lo que paso con la cuenta de Sarah Palin  

Que tontos que son algunos norte americanos la verdad

Donde sea hay tontos pero en este caso la referencia es  " Estadounidenses "

La verdad me interesa saber como lo habrian logrado, el entrar en la cuenta de yahoo.
Como comente en mi primer post, yo nos soy un gran conocedor de redes, pero tengo entendido que cuando yo exijo algo de un server(ej. Exijo log in en el servidor de yahoo), este server conocera mi ip, i si es cierto, la blokeara al cabo de ciertos intentos. No se si esto que voy a decir ahora es correcto pero yo creo que el server conoce mi ip pero no mi MAC de la tarjeta de red y esto me da cierta ventaja, ya que la MAC es fisica y no es facil de cambiar como lo es la IP. Entonces por esta logica, vamos yo creo que el si se encuentra la manera de que la ip cambie rapidamente o se oculte, o algo por el estilo el server no sabria de que ordenador vienen los pedidos para login.
Vamos no se ya digo que soy un poco novato en todo esto de redes y no estoy seguro de cual es el proceso exacto que ocurre desde que yo hago click en login hasta que recibo la respuesta de que no puedo entrar, pero la verdad me interesaria bastante conocer tambien este proceso.

Bueno lo de la IP es un "ejemplo" de seguridad, pero no es la unica forma, otra de las formas es bloqueando las cuentas por demasiadosintentos (que es una que se utiliza mucho en los sistemas de correo) es decir si estas intentando entrar a una cuenta y tienes muchos fallos el sitema "cerrara" la cuenta por un periodo  independientemente de la IP

Chicos gracias por vuestros comentarios.
:)La verdad esque todo esto que os comento si que parece tecnica de lamer, pero yo no soy lamer

En este momento ya lo eres

... simplemente soy un estudiante de programacion con ganas de saber las preguntas del examen final de stadistica que el asistente de mi profesor recibe en su cuenta de yahoo de parte del profesor antes del examen

Un saludo a todos.

Esto es ilegal en varias formas pero en fin...


Saludos

Indistintamente de tus intenciones... Saber sobre seguridad es algo no sólo curiosos sino necesario y por tanto algo que todo aspirante a programador tiene que tratar.

Yo te recomiendo que dejes la red... e intentes primeramente resolver el tema de la clave, imagina simplemente que no hay limitaciones en cuanto a bloqueos y para el caso por ejemplo crea un archivo RAR con contraseña he intenta con tu programa localizar la clave por fuerza bruta. Será un ejercicio excelente.

Algunoas cosas más...
Las contraseñas de la gente 'corriente' suelen ser del tipo 'nombre de mi mascota' , nombre de un amigo o mote de niño', fecha de nacimiento, nombre de una población donde estudió, etc... porque no son conscientes de lo que implica e ignoran que quien intente acceder a sus 'cuentas' no lo va a hacer teclaeando al azar precisamente. En cambio las contraseñas de gente más informada ya son del tipo 4rf_ds6x9jk22l327. La diferencia entre los 1ºs y los 2ºs es que el ataque de diccionario sólo sirve para los 1ºs ejemplo: "varsovia2001" , para los 2ºs el ataque deberá ser por combinatoria, otra característica a señalar es que los 1ºs a veces por la molestia de recordar tantas contraseñas de la vida, crean contraseñas muy cortas, por eso ciertos sistemas obligan a que como mínimo sea de 6 caracteres (ú otra cifra), en cambio los 2ºs rara vez usarán menos de 12 caracteres. Hay técnicas para recordar contrseñas como '4rf_ds6x9jk22l327', aunque la gente no suele molestarse...

El acceso a un fichero no tiene porqué ser pesado no importa el tamaño que tenga, salvo que tu ordenador sea viejo y tengas cietrtas limitaciones. Lo ideal es que el archivo sea de acceso aleatorio no secuencial, así las escrituras para generar diccionarios deben apuntar al final del fichero y las lecturas a la siguiente línea según el lenguaje que emplees busca si tiene una instrucción ReadLine'...

La ventaja de usar diccionarios (incluso  por combinatoria) es el tiempo que puedas tardar en generar la siguiente combinación a leerla de fichero. Si los cálculos que hagas son complejos y tardes más en generar la siguiente clave que en leerla de disco, entonces interesa fabricarse varios archivos , la limitación de usar archivos es precisamente el tamaño del mismo, o lo que es lo mismo la cantidad de combinaciones posibles.

Si a ciencia cierta sabes que por ejemplo se usan 6 caracteres y que estos están limitados de alguna manera, pudiera interesar crear ese archivo.... para 6 guarismos son 720 permutaciones, luego habría que multiplicarlo por las sustituciones posibles de cada guarismo, así que habría 2 bucles uno externo para seleccionar que caracteres entran en juego y otro interno para alterar su orden, si no tuviéramos un tamaño fijo, deberíamos colocar otro bucle externo a estos que fuera fijando y pasando por los distintos tamaños de claves (al caso no lo hagas en orden correlativo creciente o decreciente, es más efectivo recorrer los pares y luego los impares o algo similar que dé más  oportunidad a chequear por diferentes tamaños).

Te comento que yo por ejemplo en mis códigos cuando se falla una clave origino un retraso de 10 sg. antes de permitir un nuevo intento de clave, cuando uno se equivoca ese retraso pequeño no importa es despreciable, pero para un rastreador de claves implica que sólo podrá mirar 360 claves por hora, lo cual pierde toda su efectividad, especialmente si fuerzas a los usuarios a que cambien su clave cada cierto tiempo.

Busca descarga y observa este programa, te servirá de guía: "Advanced password Rar recovery" chequea aproximadamente 3000 palabras por sg. Nota que tu proyecto debería ser capaz de salvar el estado de análisis, para parar y comenzar en otro momento desde donde lo dejó, sino quieres perder todo el tiempo empleado anteriormente volviendo a empezar desde cero.

Una vez que hayas hecho el generador de claves y funcione bien, ya pasarás a estudiar la cuestión de la web u otras cosas, ten en cuenta que son aspectos diferenciables que deben realizarse independientemente.

Es un proceso sencillo. El login se suele hacer con HTTPS, es decir, HTTP Secure (seguro). El caso es que las peticiones HTTP se hacen sobre un soporte criptografiado (SSL). Al poner el nombre de usuario y el password envías un comando HTTP POST al servidor, pero encriptado. El servidor recibe la petición, la desencripta (él fue quién envió la clave de encriptación por tanto es el único que puede hacerlo) y busca el su base de datos login-password. Si son correctos autoriza el acceso, si no, pues nada.

M0skito gracias por la aclaracion parece sencillo en teoria. Tengo que coger el libro de redes y empezar a estudiar mas afondo
El dia 25 tengo mi primer  examen de redes... Haber que tal me sale

Pozdrav brate

Mi respuesta es si, si que utilizo notepad para guardar las combinaciones.

Juaz, ahora si que te puedes catalogar como un lamer... acaso no puedes hacer que el programa lo guarde en un archivo... y quieres tener un password de una cuenta de correo   .

Tambien existe la posibilidad de utilizar una base de datos como access, puede aumentar la efectividad aunque en algunos casos elimina portabilidad

Es posible pero no necesario, es mas facil crear otro fichero que diga en que punto estaba.

He leido lo de Palin, no tenia ni idea de que eso habia ocurrido jejeje...
Que tontos que son algunos norte americanos la verdad  

Si tienes cuenta facebook con datos reales y yo se su nombre, y su cuenta de correo lo mas probable es que pueda adivinar el recovery password, si ere un persona comun claro esta.

Esto no deja de ser ilegal como ya ha dicho F_Tanori y por esa razon creo que debe de ser cerrada esta discucion, teniendo en cuenta tus intenciones...

Por otro lado, es bueno que quieras aprender todas estas cosas (que por cierto, yo desconozco) pero por favor, no las uses para el mal.