You are on page 1of 32

Entendendo como as Mídias

Sociais Revolucionaram os
Ataques de Força Bruta

Henrique Soares
Analista de Segurança

$ whoami

• 

Analista do Grupo Clavis

• 

Mestre em Informática pela UFRJ

• 

Detecção e resposta a incidentes de
segurança

• 

Testes de invasão em redes, sistemas e
aplicações.

Agenda

•  Ataques sobre Senhas 101
•  Estatísticas Interessantes
•  Utilizando as Mídias Sociais
•  Conclusão

Agenda Ataques sobre Senhas 101 .

Recuperação de Senhas •  Objetivos deste tipo de ataque: •  •  White Hat: Descobrir usuários com senhas fracas Black Hat: Obter acesso não-autorizado •  Os ataques geralmente são eficazes somente sobre senhas fracas .Ataques sobre Senhas 101 Introdução •  Força Bruta vs.

números e caracteres especiais Não utilizar palavras que podem ser encontradas em dicionários (de nenhuma língua) Prestar atenção no número de caracteres Não utilizar uma senha em múltiplos serviços •  Não usar senhas sugeridas em palestras!!! J . minúsculas.Ataques sobre Senhas 101 O Que Caracteriza uma Senha Fraca? •  Senha fraca → Fácil de adivinhar •  Dicas clássicas para criar senhas fortes: •  •  •  •  Misturar letras maiúsculas.

Ataques sobre Senhas 101 Classificação dos Ataques •  Não-Computacional •  Não envolvem computadores •  Offline •  Não necessitam conectividade •  Passivo •  Não interagem com o alvo na rede •  Ativo •  Interagem com o alvo na rede .

Agenda Estatísticas Interessantes .

79%).99%) 123456 (64).acunetix.9%).Estatísticas Interessantes Vazamento de credenciais do Hotmail •  Tamanho das senhas •  Senhas mais comuns •  Conjunto de caracteres •  •  •  ≤ 5 (1. 1 (19.647%). 9 (12. 6 (21. aA1@ (6. 11 (5. 12 (4.04%). 7 (14. tequiero (9).26%) Fonte: http://www.com/blog/news/statistics-from-10000-leaked-hotmail-passwords/ .33%). alberto (9). 12345678 (9) a (41.01%). ≥ 13 (10.11%). 123456789 (18). aA (3. 8 (20. 10 (8.73%).83%).57%). alejandra (11). alejandro (9). aA1 (29.58%).22%). 111111 (10).

com/5pjjgbMt .66%).Estatísticas Interessantes Vazamento de credenciais do LinkedIn •  Tamanho das senhas •  Conjunto de caracteres •  Ordenação dos caracteres •  •  •  •  •  6 (20.57%).0%) Fonte: http://pastebin. 1 (7.99%). ≥ 14 (0.94%) s@1 (1.05%). 8 (32. s1s (5.57%).35%). 1 (7.16%). s@s (0. 7 (15. s@ (0. @s (0.46%).64%). 1s1 (0.77%).8%).68%). @ (0.79%). 1s (3.71%) s (27.16%).71%) s1 (49.24%).53%) a1 (47.75%). a (24.04%).34%). @s@ (0. 10 (8.05%).04%). 11 (3. 12 (1. 9 (15. 13 (0. aA1 (12.

8 (26. 11 (4.82%). ninja (333). password (780). 6 (17. 10 (12.9%).79%). Aa1 (5. 1a (5.91%). a (33. ≥ 13 (1. 12 (4.05%) Fonte: http://blog.37%).93%). abc123 (250). welcome (436).61%).85%). 9 (14.se/statistics-about-yahoo-leak-of-450-000-plain-text-accounts/ .9%). 7 (14. 123456789 (222).08%).25%) s1 (41.eset.47%) 123456 (1666). 1s1 (1. s1s (4.64%).22%).Estatísticas Interessantes Vazamento de credenciais do Yahoo •  Tamanho das senhas •  Senhas mais comuns •  Conjunto de caracteres •  Ordenação dos caracteres •  •  •  •  ≤ 5 (1.98%). 12345678 (208) a1 (50.89%). 1 (5.

Foca!!! Que as Mídias Sociais têm com isto? .

Agenda Utilizando as Mídias Sociais .

Mídias Sociais Ataques sobre Senhas •  Dica de senha •  Adivinhação da senha pela dica •  Mecanismo de recuperação de senhas •  Alteração da senha pelo fornecimento de informações pessoais •  Ataques de dicionário •  Adivinhação por um teste iterativo de possíveis senhas .

Mídias Sociais Cenário 1: Dica de Senha .

Mídias Sociais Cenário 1: Dica de Senha .

mas desinteressante de postar em redes sociais? Solução: Comunicar-se com o cliente por outro canal de comunicação pré-estabelecido •  Eficaz só se boas práticas não forem seguidas .Mídias Sociais Cenário 2: Recuperação de Senha •  Informações pessoais → Identidade •  Problema: muitas pessoas têm postado informações pessoais (e até íntimas) em mídias sociais •  Como resolver este problema? •  •  Que informação é pessoal a ponto de identificar.

org/wiki/VP_contender_Sarah_Palin_hacked . julgado e condenado •  Acusações incluíram: •  •  •  •  Obstrução da Justiça Acesso não-autorizado a computador Fraude eletrônica Roubo de identidade •  Sarah Palin não ganhou as eleições de 2008 Fonte: http://wikileaks.Mídias Sociais Caso Sarah Palin •  Ataque sobre a recuperação de senha •  Pedia informações facilmente obtidas na Internet •  Atacante encontrado.

Mídias Sociais Cenário 3: Ataque de Dicionário •  Ataque de tentativa/erro com wordlists •  Será bem-sucedido se a senha estiver na wordlist •  O que faz uma boa wordlist? •  •  Senhas com boa probabilidade de acerto Senhas mais relevantes ↔ Alvo bem definido •  Como Mídias Sociais podem auxiliar? •  •  Senha fácil de lembrar ↔ Informações pessoais Wordlists baseadas em informações pessoais são mais relevantes que aleatórias .

Mídias Sociais Ferramenta: Crunch •  Ferramenta livre para criação de wordlists •  Características: •  •  Permite criar wordlists a partir de um charset Gera todas strings possíveis com este charset •  Mas e aí? Funciona? •  •  Funcionar até funciona. mas e o tempo? Senhas com baixíssima probabilidade de estarem sendo usadas por um usuário real .

Mídias Sociais Ferramenta: Crunch .

hosts e virtual hosts •  Mas isto ajuda em que? •  •  Fornece nomes de usuários válidos Informações sobre a infraestrutura alvo .Mídias Sociais Ferramenta: The Harvester •  Ferramenta livre para obtenção de informação •  Características: •  •  Busca informações em mídias públicas sobre domínios ou empresas alvo Coleta emails.

Mídias Sociais Ferramenta: The Harvester .

etc Vale frisar: nada é garantido! HULK SMASH!!! . Aircrack-NG. Medusa.Mídias Sociais Ferramenta: CUPP •  Ferramenta livre para criação de wordlists •  Características: •  Recebe informações pessoais sobre o alvo e cria uma wordlist com base nestes dados •  Mas e agora? •  •  •  Atacar com sua ferramenta favorita •  John the Ripper. THC-Hydra.

Mídias Sociais Ferramenta: CUPP .

Mídias Sociais Ferramenta: CUPP .

Agenda Conclusão .

o atacante não terá acesso aos outros serviços •  Escolha senhas fortes e difíceis de adivinhar •  Utilizar uma boa senha ainda é uma boa medida de segurança .Conclusão Medidas Importantes •  Não escreva sua senha em mídias sociais •  Tem SEMPRE alguém olhando!!! •  Não utilize uma senha em múltiplos serviços •  Caso se descubra a senha em um serviço.

utilize autenticação multi-fator •  Mais camadas de segurança não fazem mal a ninguém! J •  Cuidado com a exposição excessiva •  Não informe aos criminosos de sua cidade para onde você está indo!!! .Conclusão Medidas Importantes •  Não escreva sua senha em papel •  Aproveite o fato de não terem inventado ainda métodos de leitura da mente •  Se possível.

Dúvidas? Perguntas? Críticas? Sugestões? .

Siga a Clavis .

br @hrssoares henriquerssoares Henrique Soares Analista de Segurança .Muito Obrigado! contato@clavis.com.