Informática en general > Seguridad y Criptografía
Brute Force
SFRJ:
Mi respuesta es si, si que utilizo notepad para guardar las combinaciones.
Hahaha...
He leido lo de Palin, no tenia ni idea de que eso habia ocurrido jejeje...
Que tontos que son algunos norte americanos la verdad :)
La verdad me interesa saber como lo habrian logrado, el entrar en la cuenta de yahoo.
Como comente en mi primer post, yo nos soy un gran conocedor de redes, pero tengo entendido que cuando yo exijo algo de un server(ej. Exijo log in en el servidor de yahoo), este server conocera mi ip, i si es cierto, la blokeara al cabo de ciertos intentos. No se si esto que voy a decir ahora es correcto pero yo creo que el server conoce mi ip pero no mi MAC de la tarjeta de red y esto me da cierta ventaja, ya que la MAC es fisica y no es facil de cambiar como lo es la IP. Entonces por esta logica, vamos yo creo que el si se encuentra la manera de que la ip cambie rapidamente o se oculte, o algo por el estilo el server no sabria de que ordenador vienen los pedidos para login.
Vamos no se ya digo que soy un poco novato en todo esto de redes y no estoy seguro de cual es el proceso exacto que ocurre desde que yo hago click en login hasta que recibo la respuesta de que no puedo entrar, pero la verdad me interesaria bastante conocer tambien este proceso.
Chicos gracias por vuestros comentarios.
:)La verdad esque todo esto que os comento si que parece tecnica de lamer, pero yo no soy lamer, simplemente soy un estudiante de programacion con ganas de saber las preguntas del examen final de stadistica que el asistente de mi profesor recibe en su cuenta de yahoo de parte del profesor antes del examen :)
Un saludo a todos. :comp:
F_Tanori:
--- Cita de: "SFRJ" ---Que tontos que son algunos norte americanos la verdad :)
--- Fin de la cita ---
Donde sea hay tontos pero en este caso la referencia es " Estadounidenses " :P
--- Cita de: "SFRJ" ---La verdad me interesa saber como lo habrian logrado, el entrar en la cuenta de yahoo.
Como comente en mi primer post, yo nos soy un gran conocedor de redes, pero tengo entendido que cuando yo exijo algo de un server(ej. Exijo log in en el servidor de yahoo), este server conocera mi ip, i si es cierto, la blokeara al cabo de ciertos intentos. No se si esto que voy a decir ahora es correcto pero yo creo que el server conoce mi ip pero no mi MAC de la tarjeta de red y esto me da cierta ventaja, ya que la MAC es fisica y no es facil de cambiar como lo es la IP. Entonces por esta logica, vamos yo creo que el si se encuentra la manera de que la ip cambie rapidamente o se oculte, o algo por el estilo el server no sabria de que ordenador vienen los pedidos para login.
Vamos no se ya digo que soy un poco novato en todo esto de redes y no estoy seguro de cual es el proceso exacto que ocurre desde que yo hago click en login hasta que recibo la respuesta de que no puedo entrar, pero la verdad me interesaria bastante conocer tambien este proceso.
--- Fin de la cita ---
Bueno lo de la IP es un "ejemplo" de seguridad, pero no es la unica forma, otra de las formas es bloqueando las cuentas por demasiadosintentos (que es una que se utiliza mucho en los sistemas de correo) es decir si estas intentando entrar a una cuenta y tienes muchos fallos el sitema "cerrara" la cuenta por un periodo independientemente de la IP
--- Cita de: "SFRJ" ---Chicos gracias por vuestros comentarios.
:)La verdad esque todo esto que os comento si que parece tecnica de lamer, pero yo no soy lamer
--- Fin de la cita ---
En este momento ya lo eres :P
--- Cita de: "SFRJ" ---... simplemente soy un estudiante de programacion con ganas de saber las preguntas del examen final de stadistica que el asistente de mi profesor recibe en su cuenta de yahoo de parte del profesor antes del examen :)
Un saludo a todos. :comp:
--- Fin de la cita ---
Esto es ilegal en varias formas pero en fin...
Saludos
m0skit0:
¡Hola de nuevo SFRJ!
--- Cita de: "SFRJ" ---ya que la MAC es fisica y no es facil de cambiar como lo es la IP
--- Fin de la cita ---
Desengáñate, la MAC se puede cambiar tan fácilmente como la IP: http://www.irongeek.com/i.php?page=security/changemac
--- Cita de: "SFRJ" ---la ip cambie rapidamente o se oculte
--- Fin de la cita ---
Si cambias la IP pierdes todas las conexiones TCP que tuvieras. La IP no se puede ocultar, a algún lugar se tienen que enviar las respuestas. Lo que normalmente se hace es spoofing, es decir, suplantación de IP (hacerse pasar por otro, generalmente un equipo con más privilegios en dicha red) o pasar por varios proxies en distintos países, con lo que el rastreo es complejo, largo y fastidioso, aunque siempre se puede hacer con los medios necesarios.
--- Cita de: "SFRJ" ---la verdad me interesaria bastante conocer tambien este proceso
--- Fin de la cita ---
Es un proceso sencillo. El login se suele hacer con HTTPS, es decir, HTTP Secure (seguro). El caso es que las peticiones HTTP se hacen sobre un soporte criptografiado (SSL). Al poner el nombre de usuario y el password envías un comando HTTP POST al servidor, pero encriptado. El servidor recibe la petición, la desencripta (él fue quién envió la clave de encriptación por tanto es el único que puede hacerlo) y busca el su base de datos login-password. Si son correctos autoriza el acceso, si no, pues nada.
Espero haberte aclarado las cosas, un saludo!
Nebire:
Indistintamente de tus intenciones... Saber sobre seguridad es algo no sólo curiosos sino necesario y por tanto algo que todo aspirante a programador tiene que tratar.
Yo te recomiendo que dejes la red... e intentes primeramente resolver el tema de la clave, imagina simplemente que no hay limitaciones en cuanto a bloqueos y para el caso por ejemplo crea un archivo RAR con contraseña he intenta con tu programa localizar la clave por fuerza bruta. Será un ejercicio excelente.
Algunoas cosas más...
Las contraseñas de la gente 'corriente' suelen ser del tipo 'nombre de mi mascota' , nombre de un amigo o mote de niño', fecha de nacimiento, nombre de una población donde estudió, etc... porque no son conscientes de lo que implica e ignoran que quien intente acceder a sus 'cuentas' no lo va a hacer teclaeando al azar precisamente. En cambio las contraseñas de gente más informada ya son del tipo 4rf_ds6x9jk22l327. La diferencia entre los 1ºs y los 2ºs es que el ataque de diccionario sólo sirve para los 1ºs ejemplo: "varsovia2001" , para los 2ºs el ataque deberá ser por combinatoria, otra característica a señalar es que los 1ºs a veces por la molestia de recordar tantas contraseñas de la vida, crean contraseñas muy cortas, por eso ciertos sistemas obligan a que como mínimo sea de 6 caracteres (ú otra cifra), en cambio los 2ºs rara vez usarán menos de 12 caracteres. Hay técnicas para recordar contrseñas como '4rf_ds6x9jk22l327', aunque la gente no suele molestarse...
El acceso a un fichero no tiene porqué ser pesado no importa el tamaño que tenga, salvo que tu ordenador sea viejo y tengas cietrtas limitaciones. Lo ideal es que el archivo sea de acceso aleatorio no secuencial, así las escrituras para generar diccionarios deben apuntar al final del fichero y las lecturas a la siguiente línea según el lenguaje que emplees busca si tiene una instrucción ReadLine'...
La ventaja de usar diccionarios (incluso por combinatoria) es el tiempo que puedas tardar en generar la siguiente combinación a leerla de fichero. Si los cálculos que hagas son complejos y tardes más en generar la siguiente clave que en leerla de disco, entonces interesa fabricarse varios archivos , la limitación de usar archivos es precisamente el tamaño del mismo, o lo que es lo mismo la cantidad de combinaciones posibles.
Si a ciencia cierta sabes que por ejemplo se usan 6 caracteres y que estos están limitados de alguna manera, pudiera interesar crear ese archivo.... para 6 guarismos son 720 permutaciones, luego habría que multiplicarlo por las sustituciones posibles de cada guarismo, así que habría 2 bucles uno externo para seleccionar que caracteres entran en juego y otro interno para alterar su orden, si no tuviéramos un tamaño fijo, deberíamos colocar otro bucle externo a estos que fuera fijando y pasando por los distintos tamaños de claves (al caso no lo hagas en orden correlativo creciente o decreciente, es más efectivo recorrer los pares y luego los impares o algo similar que dé más oportunidad a chequear por diferentes tamaños).
Te comento que yo por ejemplo en mis códigos cuando se falla una clave origino un retraso de 10 sg. antes de permitir un nuevo intento de clave, cuando uno se equivoca ese retraso pequeño no importa es despreciable, pero para un rastreador de claves implica que sólo podrá mirar 360 claves por hora, lo cual pierde toda su efectividad, especialmente si fuerzas a los usuarios a que cambien su clave cada cierto tiempo.
Busca descarga y observa este programa, te servirá de guía: "Advanced password Rar recovery" chequea aproximadamente 3000 palabras por sg. Nota que tu proyecto debería ser capaz de salvar el estado de análisis, para parar y comenzar en otro momento desde donde lo dejó, sino quieres perder todo el tiempo empleado anteriormente volviendo a empezar desde cero.
Una vez que hayas hecho el generador de claves y funcione bien, ya pasarás a estudiar la cuestión de la web u otras cosas, ten en cuenta que son aspectos diferenciables que deben realizarse independientemente.
SFRJ:
Nebire he leido detenidamente tu post.
Mas o menos creo que lo he entendido, descargare el programa que me has dicho y lo analizare.
Me interesa lo que comentabas, sobre que el leer del archivo donde estan las claves no ha de hacerse de forma sequencial(tiene sentido pero yo creia que todos los brute force lo hacian asi pero claro en internet no podria empezar a comprovar desde a hasta 9999 tardaria siglos).
Yo conozco dos tecnicas de busca solo que he estudiado hasta ahora en la facultad, una es la conocida binary search y otra es la secuencial.
Me as dado bastante que pensar son lo de acceso aleatorio, bueno eso ya es tema que no pertenece a este forum pero como podria mi codigo ser capaz de detectar
la clave que ya ha sido comprovada en el archivo txt y que nunca la vuelva a comprovar y que continue aleatoriamente comprovando hasta que no queden claves.
La verdad que esto esta bastante lejos de mis conocimientos actuales de programacion de algoritmos y estructuras de datos, pero me lo tomare con calma, poco a poco :)
Un saludo
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa