Portada
mis comunidades
otras secciones
#10:
Eso tiene facil remedio, en algunas distribuciones de gnu/linux, al introducir la contraseña de inicio de sesion si fallas no te da otra oportunidad hasta pasados un par de segundos, por tanto los intentos bruteforce de esas contraseñas tendran una velocidad de 0.5 contraseñas/s
#21:
#10 bendita ingenuidad... los ataques de fuerza bruta no se hacen contra el la pantalla de login ni por red, sino sobre el fichero de passwords (/etc/passwd o /etc/shadow), al que se puede acceder fácilmente si se tiene acceso físico a la máquina (o al segmento de red) y el administrador es un poco descuidado.
#1:
Mejor, a ver si empezamos a ver establecerse técnicas más molonas y teóricamente infalibles como el reconocimiento de iris que llevan vendiéndonos tantos años y que aún no he visto en ninguna parte.
Aunque por otra parte luego vendrán Wesley Snippes arrancando ojos para abrir puertas o comprar en Ebay (Demolition Man TM)
Aunque por otra parte luego vendrán Wesley Snippes arrancando ojos para abrir puertas o comprar en Ebay (Demolition Man TM)
#17:
La GTX260 es cualquier cosa menos "simple".
Y a tenor de las últimas GPUS, hay cosas que no te dicen:
1.- Necesitas para mover las gráficas actuales medio decentes, una fuente de calidad profesional (en el mercado apenas existe la gama media, o son muy cutres, o valen 120 euros del ala...), con unas lineas de 12V capaces de suministrar unos amperajes muy elevados, que son lo que estas gráficas demandan (los requisitos mínimos son poco más que la gráfica conectada al ordenador sin discos duros, ni cd-roms, ni nada...)
2.- Si tienes algún problema de drivers, chungo. El ordenador puede hacer una cosa distinta cada vez que arrancas, y tú con cara de pasmo tras 400 foros, pensando porque no gastaste los 300 euracos en visitar Paris con tu novia...
3.- Mucha gente se ha gastado mucho dinero en gráficas ultra potentes que han salido con no pocos fallos de memoria, drivers, etc... Es increible que con el dineral que cuestan, se atrevan a dar el más mínimo problema y sorprende que afecte sobretodo al fabricante en teoría más "famoso".
4.- Porque no decirlo, ATI este verano, y un poco antes, se ha llevado el gato al agua con sus nuevas gráficas HD4870 por ejemplo, dejando a nVidia con cara de pasmo por su fabulosa relación calidad-precio. El modelo inferior, el HD4850 (creo que era así) es también una fantástica tarjeta, y no tienes que marearte con versiones arriba y abajo de los drivers como pasa con nVidia. Además, Ati ha sido pionero en las GPUS de doble núcleo
nVidia tiene que hacer muy bien los deberes, ahora mismo, no lo pondría yo como referente de gráficas actuales (dios, de esta, los nvidia fanboys me crucifican...), y a pesar de que todavía no ha terminado el año, se puede decir ya sin ruborizarse, que ha sido el año de ATI.
Y a tenor de las últimas GPUS, hay cosas que no te dicen:
1.- Necesitas para mover las gráficas actuales medio decentes, una fuente de calidad profesional (en el mercado apenas existe la gama media, o son muy cutres, o valen 120 euros del ala...), con unas lineas de 12V capaces de suministrar unos amperajes muy elevados, que son lo que estas gráficas demandan (los requisitos mínimos son poco más que la gráfica conectada al ordenador sin discos duros, ni cd-roms, ni nada...)
2.- Si tienes algún problema de drivers, chungo. El ordenador puede hacer una cosa distinta cada vez que arrancas, y tú con cara de pasmo tras 400 foros, pensando porque no gastaste los 300 euracos en visitar Paris con tu novia...
3.- Mucha gente se ha gastado mucho dinero en gráficas ultra potentes que han salido con no pocos fallos de memoria, drivers, etc... Es increible que con el dineral que cuestan, se atrevan a dar el más mínimo problema y sorprende que afecte sobretodo al fabricante en teoría más "famoso".
4.- Porque no decirlo, ATI este verano, y un poco antes, se ha llevado el gato al agua con sus nuevas gráficas HD4870 por ejemplo, dejando a nVidia con cara de pasmo por su fabulosa relación calidad-precio. El modelo inferior, el HD4850 (creo que era así) es también una fantástica tarjeta, y no tienes que marearte con versiones arriba y abajo de los drivers como pasa con nVidia. Además, Ati ha sido pionero en las GPUS de doble núcleo
editado:
así como en la memoria DDR5.nVidia tiene que hacer muy bien los deberes, ahora mismo, no lo pondría yo como referente de gráficas actuales (dios, de esta, los nvidia fanboys me crucifican...), y a pesar de que todavía no ha terminado el año, se puede decir ya sin ruborizarse, que ha sido el año de ATI.
Comentarios
#6 por favor no me gusta que andes publicando mi contraseña maestra en público.
Eso tiene facil remedio, en algunas distribuciones de gnu/linux, al introducir la contraseña de inicio de sesion si fallas no te da otra oportunidad hasta pasados un par de segundos, por tanto los intentos bruteforce de esas contraseñas tendran una velocidad de 0.5 contraseñas/s
#10 bendita ingenuidad... los ataques de fuerza bruta no se hacen contra el la pantalla de login ni por red, sino sobre el fichero de passwords (/etc/passwd o /etc/shadow), al que se puede acceder fácilmente si se tiene acceso físico a la máquina (o al segmento de red) y el administrador es un poco descuidado.
Mejor, a ver si empezamos a ver establecerse técnicas más molonas y teóricamente infalibles como el reconocimiento de iris que llevan vendiéndonos tantos años y que aún no he visto en ninguna parte.
Aunque por otra parte luego vendrán Wesley Snippes arrancando ojos para abrir puertas o comprar en Ebay (Demolition Man TM)
La GTX260 es cualquier cosa menos "simple".
Y a tenor de las últimas GPUS, hay cosas que no te dicen:
1.- Necesitas para mover las gráficas actuales medio decentes, una fuente de calidad profesional (en el mercado apenas existe la gama media, o son muy cutres, o valen 120 euros del ala...), con unas lineas de 12V capaces de suministrar unos amperajes muy elevados, que son lo que estas gráficas demandan (los requisitos mínimos son poco más que la gráfica conectada al ordenador sin discos duros, ni cd-roms, ni nada...)
2.- Si tienes algún problema de drivers, chungo. El ordenador puede hacer una cosa distinta cada vez que arrancas, y tú con cara de pasmo tras 400 foros, pensando porque no gastaste los 300 euracos en visitar Paris con tu novia...
3.- Mucha gente se ha gastado mucho dinero en gráficas ultra potentes que han salido con no pocos fallos de memoria, drivers, etc... Es increible que con el dineral que cuestan, se atrevan a dar el más mínimo problema y sorprende que afecte sobretodo al fabricante en teoría más "famoso".
4.- Porque no decirlo, ATI este verano, y un poco antes, se ha llevado el gato al agua con sus nuevas gráficas HD4870 por ejemplo, dejando a nVidia con cara de pasmo por su fabulosa relación calidad-precio. El modelo inferior, el HD4850 (creo que era así) es también una fantástica tarjeta, y no tienes que marearte con versiones arriba y abajo de los drivers como pasa con nVidia. Además, Ati ha sido pionero en las GPUS de doble núcleo
nVidia tiene que hacer muy bien los deberes, ahora mismo, no lo pondría yo como referente de gráficas actuales (dios, de esta, los nvidia fanboys me crucifican...), y a pesar de que todavía no ha terminado el año, se puede decir ya sin ruborizarse, que ha sido el año de ATI.
#1, ¿y en qué cambia? La noticia trata de un ataque de fuerza bruta sobre hashes de 128 bits. Da igual si esas hashes se han originado a partir de contraseñas o lecturas del iris...
Impresionante.
Gracias, mezvan.
#10 si no fuera porque estás confundiendo conceptos...
Ese "sistema de seguridad" es común a todos los sistemas operativos, pero de aquí de lo que hablamos no es de forzar un login en su sistema, sino de coger la contraseña cifrada de un sistema operativo, llevártela a tu máquina y entonces pasarla por un crackeador de contraseñas, y una vez rota, hacer login a la primera en la máquina ajena, y para eso, tu "solución de seguridad" no vale de nada.
Yoigaan! yo tengo una voodo tres porhay ¿cuantas password podria petar con elloooo?
#1 mas molonas ? infallibles? lectura del iris? seguridad biometrica?
informate un poco mas hombreyaa... la mayoria de pruebas sobre seguridad biometrica y demas han sido un fracaso y encima muy caros
recuerdo leer un articulo de que con una foto del ojo delaguien de no mucha mas definicion de una camara normal de la epoca (creo ke eran 5 megaspixeles) petabas un sistema megacaroo de reconocimiento de iris
por no hablar de los problemas técnicos si te hackean alguna medida biometrica ..
fijate...
si te hackean el password lo cambias y au
pero ¿y si consiguen copiarte la huella dactilar? ¿te cortas el dedo? vas con guantes el resto de la vida?
te pones un ojo de cristal¿
#21 #22 y iba yo detrás a decir justo lo mismo... Hacía daño al leerlo.
El 123456 se va acabar...
también es capaz de acelerar la velocidad en la que una noticia sale a portada
por cierto, la noticia está redactada de culo o de forma tendenciosa, porque dice "1.000.000.000 passwords por segundo de forma distribuida" para que parezca impresionante comparado con los míseros 200 por segundo de un solo procesador, pero no te dice distribuida entre cuántos procesadores y GPU's, así que no se puede comparar en igualdad de condiciones la mejora de usar las tarjetas gráficas o no.
aquí se ve el incremento real del rendimiento: http://www.elcomsoft.com/images/gpu.gif
es un incremento de 56x, que no está mal, pero no es ni de lejos el 5000000x que insinuaba el texto de la noticia.
#8 eso es como lo que pasaba con algunos juegos protegidos del Amstrad o el Spectrum donde para jugar te pedia cosas como "Introduzca la cuarta palabra de la tercera linea de la pagina 12 del libro de instrucciones", logicamente si fallabas la siguiente palabra que te pedia era otra distinta. Que tiempos aquellos...
Cómo dicen en Slashdot... !news (no son noticias)
Hay nota de prensa de este sistema desde hace un año ( http://www.net-security.org/secworld.php?id=5567 ) y hace muchos meses que ya está funcionando.
Hace ya meses que la gete se ha dedicado a hacer rainbow tables (bases de datos de contraseñas ya crackeadas) con GPUs y FPGAs
un sistema de descifrar contraseñas y no hay todavía ningún mensaje HOYGAN preguntando dónde bajarselo para hackearle el messenger a la vecina, hoygan.
Interné no es lo que era...
#11 Entiendo que si es un ataque de fuerza bruta, da igual la física cuántica. Vamos que la computación cuántica no te va a servir para proteger contraseñas si usas "pepe", "12345" o cualquier otra combinación.
La c.c. en todo caso serviría para proteger sistemas de encriptación por claves públicas - privadas.
#41 MD5 -> 128 bits
MD5 No está roto. Los ataques existentes funcionan, pero no son prácticos. Si lo fueran, eMule debería prescindir de uso a la fuerza.
#36 "a terroristas y criminales."
El "abracadabra" del siglo XXI.
#21 #22
Lo siento, como ha quedado claro no soy ningun experto, solo he comentado lo que me parecia, ahora se que mis opiniones eran erroneas. La ignorancia es muy atrevida jejeje
#38 no, si ya me entiendes, criminales... Stasi 2.0: la policía de Baviera intimida a los que filtraron información del 'Bayerntrojaner'
Stasi 2.0: la policía de Baviera intimida a los qu...
partidopirata.esEn mi universidad hicieron un proyecto muy interesante de tarjetas graficas y su velocidad de calculo, una tarjeta grafica de un Pentium era capaz de realizar calculos con matrices de grandes dimensiones (tipo 200x200 por ejemplo) más rapido que un CoreDuo, basandose en que una matriz es como una malla de colores
#22 algunos talibalinux son así...
#35 Los ataques de fuerza bruta se hacen sobre un hash (función resumen de un solo sentido) de la password, que tiene un espacio de dimensiones finito (2^64 para MD5, 2^160 para SHA-1, etc.), así que por mucho que uses la contraseña más larga del mundo y con todos los caracteres unicode extendidos, seguramente haya otra más corta que produzca el mismo hash y por lo tanto será igualmente válida para autenticarse en el sistema.
Pero de todos modos, no os echéis las manos a la cabeza temiendo por vuestras contraseñas... para reventar esos 1000 millones de contraseñas por segundo hacen falta bastantes ordenadores dedicados al 100% y creo que sale más rentable dedicarlos a otras cosas distintas que juankearos vuestro fichero de claves
Sin embargo, sí que podría tener su utilidad estos sistemas tan optimizados con GPU's si se usasen para critpoanalizar la información cifrada que encuentran en los ordenadores requisados a terroristas y criminales.
#28 nada que sentir, hombre si la pregunta era lícita porque ese es el escenario que primero se le viene a uno a la cabeza, la respuesta quizá haya sido un poco irónica, pero es que lo has puesto a huevo
#43 hmmmmm... pues sí, totalmente cierto, no sé en qué estaría pensando, pero estaba convencido de que eran 64 bit (y el caso es que se me hacían pocos, eh?
) bueno, pues entonces 16 caracteres
no sé cómo andará el estado del arte ahora en cuanto a la rotura del MD5 en temas de encontrar la inversa de un hash dado, pero al menos lo de construir dos textos con el mismo hash ya estaba más que machacado... será cuestión de esperar, pero vamos, que criptográficamente MD5 ya está bastante muerto, lo cuál no quita su utilidad como suma de redundancia, que es para lo que se usa en el emule.
#42 vale, por muy poca entropía que tenga una password, si yo le pongo 111111111111111111111111111111111 como contraseña a mi cuenta, cuesta mucho más que caiga por fuerza bruta que 34 1s por el simple hecho de su posición en la secuencia del generador, que seguramente hará una búsqueda en amplitud.
es decir, que en una búsqueda con ayuda de diccionario, el orden lógico de la planificación es que primero probaría con todas las palabras del diccionario (que son unas 40.000, no?), luego con las combinaciones de mayúsculas minúsculas (aquí la cosa se dispara), luego con las substituciones de caracteres por números (estilo 1337), luego con todos los pares de palabras, después con los pares de palabras con las mayúsculas y minúsculas, luego con los pares de palabras con mayúsculas, minúsculas y números, luego con los tríos de palabras... etc.
así que por hacerlo facilote, como mínimo (40.000^3+40.000^2+40.000)*2^N*2^NK siendo N el tamaño medio de las palabras (por las combinaciones mayúsculas minúsculas) y K la frecuencia de aparición de letras que tienen sustitución numérica posible... visto así creo que zuzónzuzónzuzón sí que es bastante seguro
#37 Pues si se te ocurre alguna forma mejor de describir, por ejemplo, a los etarras, dímela (y no voy a aceptar "movimiento vasco de liberación" como hizo Aznar)...
Hay muchas situaciones en las que, orden judicial mediante, es necesario descifrar información. Se pueden salvar vidas y meter a culpables en la cárcel.
#47 No estamos hablando de lo mismo, una cosa es "La Ley Corcuera Digital" (la patada a la puerta de toda la vida, pero ahora a tu ordenador) y otra distinta es poder sacar la información cifrada de ordenadores incautados cuando se desarticulan comandos terroristas o en operaciones contra la pornografía infantil, todo ello siempre instruido por un juez.
#39 mi password es zuzónzuzónzuzón, para cuando el ataque de diccionario llegue ahí, ya se habrá muerto de viejo el atacante
ah, y a poco que lo pienses, eso de usar contraseñas arbitrariamente largas no proporciona una seguridad especialmente mejor, como había dicho en #36 (un string de 8 caracteres son 256^8 == 2^64 combinaciones distintas, las mismas que el hash, quitando irregularidades en la distribución, pasarse mucho de ahí no te va a dar ninguna seguridad extra).
Este tipo de cosas son las que van a poner las pilas al tema de la física cuántica.
#5 ¿y por qué no? De un simple vistazo en Google:
http://www.gpucomputing.eu/
http://www.gpgpu.org/
[PDF] http://www.cs.sunysb.edu/~vislab/papers/GPUcluster_SC2004.pdf
Hoy en día se está utilizando muchísimo las GPU de las tarjetas gráficas para acelerar cálculos, por ejemplo el el caso de los algoritmos genéticos, intrínsecamente lentos, ¿por qué no iban a poder utilizarse en otras tareas de cálculo intensivo?
#40 añado: con 2^64 me refería al hash de MD5, bastante común todavía, pese a sus ya públicas vulnerabilidades.
#36: Tendrémos que usar entonces versiones más avanzadas de los algoritmos, si es necesario, de 1kb de longitud.
Pues nada... a usar contraseñas más largas y con algún carácter raro.
Creo que Folding@Home funciona en las ATI y las PS3 tiene una versión propia desde hace algún tiempo y daba un rendimiento de la oxtia. Pero claro, varias GPU's con memoria muy rápida, un bus de datos más grande que 10 autopistas, y unas cachés de vértigo, si haces una aplicación específica para todo eso, aprovechando el HW vas a obtener un rendimiento infernal. Pensad que esa misma aplicación compilada de manera general no llegaría a tanto. Estamos hablando de que el compilador también reordena, optimiza y estructura el código siguiendo las directivas de compilación que puedas darle, si sabes como funciona la GPU, el datapath, y le echas un poco de ánimo (creo que programar orientado a registros flotantes puede ser para muchos yo incluído un puto coñazo) conseguirás una aplicación dedicada que será muy pero que muy rápida...
Al final vamos a tener que tener contraseñas cuánticas, de tal modo que el propio hecho de testearla la modificara, sería la leche (bueno, la leche cuántica). Toma Heisenberg al canto, jeje.
#8 Aunque sea un poco offtopic, una puntualización: No es el hecho de medir lo que da la incertidumbre a la cuántica, es porque hay pares de maginutes conjugadas de las que no podemos conocer las dos con precisión arbitraria.
El típico ejemplo de que para ver un electrón tiene que darle un fotón y por lo tanto se altera su velocidad y/o posición es un mal ejemplo. 'Sencillamente' es que la materia es borrosa, y aún sin necesitar de ese hipotético fotón no podriamos saber dónde se encuentra y a qué velocidad.
Saludos
#29 no se actúa sobre el sistema, se actúa sobre el fichero
por ejemplo, en windows no arrancas y pones el programa a funcionar en la pantalla de login
coges el Archivo SAM en windows/system32/config y lo fuerzas
#40 Moraleja, para atacar a un meneante, hacer un scan de la web de menéame. Puede que haya sido capaz de postear su password o lo haya sacado de aquí.
También hay generadores de fuerza bruta que no prueban todas las combinaciones posibles, sino sólo las que sean pronunciables.
Al final lo que cuenta es la entropía que contiene la cosa. Ejemplo:
zuzónzuzónzuzón : Es una repetición (un bit) de tres veces (le doy dos bits) de dos sílabas (ocho bits por cada una) en una secuencia determinada (cuatro bits). Total: 2^23 passwords a comprobar. 8.388.608 posibilidades. A 5000 por segundo: una media hora.
#39 Efectivamente me fui bastante por la tangente... Yo no me refería al ataque por fuerza bruta, que es el tema... De todos modos, pensé que ya nadie usaba una única palabra como contraseña... -inocente por mi parte, quizás.
Para aquellos que aún lo hacen, un consejo/sistema para crear contraseñas fáciles de recordar y resistentes:
Pensad una frase que contenga un número y un nombre propio, al menos. La que sea. Por ejemplo: "¿Sabes que ayer compré 1 sandwitch en el Subway?". Luego simplemente hay que usar las siglas como contraseña respetando mayúsculas, minúsculas y usando números y puntuación cuando se pueda. En este ejemplo: "¿Sqac1seeS?".
Una frase es fácil de recordar, y las siglas que salgan NO van a venir en un diccionario... -amos, salvo que lo hagáis a drede :P- Luego aparte, si pensáis algo más largo pues mejor. Por ejemplo podéis duplicar el tamaño usando simetría simplemente: "¿Sqac1seeS??Sees1caqS¿". A ver quién saca eso...
#21 #22 #33 Eso que describís tiene un nombre: "Ataque offline".
#35 Correcto, porque eso es un "ataque de fuerza bruta", que no tiene nada que ver con romper un algoritmo de hash que dice #31. Los ataques se realizan comparando un diccionario con el hash que se ha copiado. Se prueba cada palabra del diccionario hasta dar con la que produce ese hash.
La gracia es que tu password no esté en el diccionario.
Truquitos que NO funcionan:
- mayúsculas y minúsculas (password, PASSWORD, paSswoRD)
- numeritos por el medio (passw0rd, pa55word)
- invertir palabras (drowssap)
- repetir cosas (passwordpassword)
- numeritos al final (password23)
Pues los programas que leen los diccionarios, ya aprovechan para probar este tipo de cosas. Se llama "ataque de diccionario" que es un tipo de ataque de "fuerza bruta".
Los diccionarios para este tipo de ataques se llaman "wordlist" y los hay a miles, clasificados por temas e idiomas. También hay wordlists de passwords reales, sacados de algun sistema en producción o snifados de alguna red.
La fuerza bruta pura y dura consiste en probar todas las combinaciones de caracteres posibles. Eso encuentra cualquier cosa de ocho caracteres o menos, en un tiempo razonable.
Normas para atacar un password dificillo, cómo puede ser un WPA, pues WEP o windows es tan fácil de romper que la cosa no merece ni un comentario.
- Investigar a la víctima. Saber todo lo que le apasiona: deportes, aficiones, nombres de la família, mascota, etc. Elaborar listas mezclando todo eso.
- Si por ejemplo, se sabe que la víctima sigue el futbol, podemos obtener listas a partir de las webs que hablan del tema. Hay programas que lo hacen automáticamente.
- Atacar siempre en el idioma de la víctima.
Truquitos que SÍ funcionan:
- Usar un password de dos palabras (password*contrasenna)
- Insertar (no sustituir) dígitos o caracteres raros (pass3word, pa-ssword)
- Nunca menospreciar los medios ni la dedicación ni el entusiasmo ni la paciencia del hacker que te ha tocado.
De todos modos, por potentes que sean las GPUs, el SHA-2 una decadita aguanta, eh? En lo que a ataques de fuerza bruta respecta. Luego ya que se meta el equipo de Wang a por ello y empiece a encontrar fallos en el algoritmo y los encuentre como siempre es otra cosa...
- Wang es un criptógrafo cuyo equipo fue el primero en presentar colisiones -dos cadenas con el mismo Hash-. Luego también han hecho sus pinitos con el SHA-1...
Edito: Para quien no lo sepa -que sería lo más normal
pero la fuerza bruta sirve cuando te limitan el numero de intentos a...10 (por ejemplo) ?
lol impresionante
#21 : nos cruzamos con lso comentarios
#12 "y si...? y si...?" Dejate los "y siS" anda...
¿y si con una tarjeta grafica de 50€ te puede sacar cada vez que quieran la contraseña que tu puedes cambiar?
Eres un estrellaoo!
#24 HOYGAN, ALGUN TALIBALINUX KE ME HECHE UNA MANO CON MI PASSWOR EN UBUNTU KE SE ME A OLBIDADO, GRASIAS DE ANTEBRASO.
qué haríais sin ellos
No me creo nada de nada