Feeds:
Entradas
Comentarios

Posts Tagged ‘cracking’

Crackear contraseñas es una necesidad inherente al ser humano. Bueno, a algunos seres humanos…

Hoy en día, con procesadores de varios núcleos hasta en los teléfonos móviles, y con tarjetas gráficas más potentes que los procesadores principales, el crackeo de contraseñas tradicional con un único hilo no tiene demasiado sentido. Necesitamos aplicaciones que aprovechen el paralelismo de las arquitecturas existentes. Y de hecho, ya existen algunas maravillas como pyrit.

Hoy os presento una aplicación de esas características. Hashkill es un crackeador de contraseñas multihilo para Linux, que permite utilizar tanto la CPU como la GPU, para lanzar ataques de fuerza bruta, de diccionario, híbridos o de markov.

La lista de plugins disponibles -es decir, algoritmos que puede crackear- es muy interesante:

Plugins de hashkill

Plugins de hashkill

La instalación es tan simple como ejecutar la siguiente orden, sobre el contenido del paquete descomprimido:

ramiro@cormanthor:~$ sudo ./install.sh

Después, para utilizar la CPU en el ataque lanzaremos “hashkill-cpu”, y para utilizar la GPU lanzaremos “hashkill-gpu”. Los distintos parámetros permiten elegir el plugin a utilizar (algoritmo a atacar), el tipo de ataque, las reglas de generación de las contraseñas (longitud, alfabeto, prefijos, permutaciones…), etc.

Opciones de hashkill

Opciones de hashkill

Aquí tenéis un ejemplo de ataque markov contra un hash MD5, usando las reglas de generación por defecto (longitud de 1 a 8, generación lalphanum), contra una contraseña de 6 caracteres.

Cracking de contraseñas con hashkill

Cracking de contraseñas con hashkill

En mi caso particular, lanzar el ataque con mi CPU (AMD Phenom II 965 X4 Black Edition) supone el cálculo de unos 123 millones de hashes por segundo, con los cuatro núcleos a tope. Lanzar el ataque con mi GPU (NVIDIA GeForce 8300 integrada en la placa) supone el cálculo de unos 28 millones de hashes por segundo, y una ralentización brutal de mi escritorio. :-)

Un software muy interesante, relativamente reciente (junio de 2010) y con mucho futuro por delante (la versión actual es la 0.2.4). Os recomiendo que le echéis un ojo.

Read Full Post »

Con un retraso más que considerable, ya podéis encontrar en vuestro kiosco el número de febrero de la revista @rroba.

Además, este número 161 es, hasta lo que yo sé, el último de la revista @rroba. A pesar de que en sus páginas no se mencione absolutamente nada del tema, y de que ya hubiera rumores de cierre cuando tuvo lugar el cambio de editorial, allá por el número 144; la información que yo tengo indica que el cierre es real y definitivo. Si -como ocurriera hace año y medio- no ocurre algo en el último momento, hasta aquí llega la historia de la publicación más veterana en España sobre Internet y seguridad informática.

Para mí han sido casi cinco años de colaboración con la publicación, en los que he escrito 102 artículos, incluyendo un curso de arquitectura de computadores de 22 entregas y uno de programación en Java de 32 entregas, así como 48 artículos con temática muy variada: desde el hacking puro hasta el análisis de nuevas tecnologías, y pasando por perros verdes como la computación cuántica o la criptografía cuántica. Personalmente, ha sido una experiencia muy enriquecedora, que me ha ayudado a aprender mucho -tanto técnicamente, como en la propia redacción- y me ha reportado muchas satisfacciones.

Ya centrándonos en los contenidos de este número, encontraréis los dos artículos habituales con mi firma.

El primero de ellos es la entrega habitual del Curso de Java Útil, trigésimo segunda del curso y segunda dedicada a la aplicación jWadalCrack. En esta entrega, comenzaremos a diseñar una lógica de negocio real para la aplicación, permitiendo la realización de pruebas reales de ruptura de hashes. Además, introduciremos unas nociones iniciales al análisis del rendimiento del proceso de ataque, realizando unas estimaciones iniciales (y algo burdas) de los tiempos de ruptura estimados para ciertos valores de entrada. Lamentablemente, y tras sólo dos entregas dedicadas a jWadalCrack, el programa es poco más que una prueba de concepto y está muy verde. Afortunadamente, en estas dos entregas ha dado tiempo a esbozar los fundamentos de los principales pilares sobre los que desarrollaríamos la aplicación, por lo que no debería de ser muy complicado continuar su desarrollo sin mi ayuda. Creo que esos serán los últimos deberes que os mande. ;-)

El segundo artículo lleva por título Hacking Android, y en él veremos cómo sacar el máximo partido a nuestro hardware, gracias al sistema libre y abierto de Android. Rootear el terminal, instalación de ROMs personalizadas, desbloqueo de hardware no utilizado por el fabricante, instalación del kit de desarrollo, conexión del terminal a bajo nivel, desbloqueo del bootloader, personalización del recovery, flasheo de componentes del firmware… en definitiva, destripar un dispositivo Android desde el primer tornillo hasta el último punto y coma. Como debe ser.

@rroba 161

@rroba 161

Read Full Post »

Por patentes -o más bien por pelotas- es como, parece ser, Sony pretende proteger la PlayStation 3 de sufrir el mismo destino que la Wii y la Xbox 360, a manos de desaprensivos piratas, corsarios, y demás pendejos electrónicos. Debido al hecho de que en USAmérica puedes patentar lo que te salga del nabuconodosor, nos encontramos con que Sony ha patentado un método para proteger secretos contra ataques a secciones cifradas.

Parece que, como las demandas por ingeniería inversa no suelen prosperar, ahora se van a tirar por la vía de las patentes. Original, desde luego, sí que lo es. Aunque, según yo lo veo, fútil también. Veremos.

Read Full Post »

A %d blogueros les gusta esto: