comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Como construir un diccionario para Penetration Testing

  • 6 Respuestas
  • 2933 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado LucaSthefano

  • *
  • Underc0der
  • Mensajes: 399
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Marzo 13, 2014, 08:32:37 pm »

No tienes permisos para ver links. Registrate o Entra con tu cuenta es una herramienta que puede ayudar a los especialistas de seguridad a probar que tan predecibles son realmente las contraseñas utilizadas en las empresas, ya que la forma en que construimos nuestras contraseñas, suele ser un punto débil si no se tienen los cuidados necesarios. Si bien el tamaño de la contraseña es importante, no utilizar combinaciones sencillas también lo es.

Cuando se realiza un Penetration Test una de las primeras fases es el reconocimiento, donde se recopila toda aquella información de la empresa que se encuentre pública: nombres de usuario, direcciones de correo, direcciones IP entre otros datos que puedan dar pistas sobre las configuraciones internas de la organización.

En fases posteriores del PenTest se puede probar, entre otras cosas, lo robusto de las contraseñas utilizadas en los diferentes perfiles de la empresa. Si bien existen diccionarios de palabras que pueden ayudar con la tarea, resultaría interesante construir nuestro propio diccionario basado en la información recopilada y es en este punto donde Mutator Tool puede resultar útil.

¿Qué permite hacer la herramienta?

Mutator Tool, es una herramienta que basada en una palabra puede generar una serie de combinaciones alternando minúsculas y mayúsculas, mezclando números, caracteres especiales y otras cadenas definidas previamente.

Una vez se obtiene el diccionario de palabras puede hacerse una revisión exhaustiva que permita establecer si hay alguna coincidencia entre este listado y alguna de las contraseñas utilizadas en los sistemas de la empresa.

Configuración y ejecución de Mutator Tool

Esta herramienta tiene un módulo llamado mutator.c que contiene una sección en la que se pueden definir los caracteres especiales que se van a utilizar, además de aquellos caracteres que se van a reemplazar y las cadenas adicionales que se van a mezclar con las palabras que hayamos definido.


Una vez configuradas las opciones de mutación, se ejecuta la herramienta para que esta realice los cambios sobre la lista de palabras definida.


En este caso, de una lista de cinco palabras hemos obtenido un diccionario de más de 10000 combinaciones diferentes.


Como se puede ver en la captura anterior, Mutator Tool toma las palabras y les va a haciendo modificaciones de acuerdo a las características que hayan sido definidas.

Alternativas de protección

Como ya mencionamos, esta herramienta puede utilizarse para determinar que tan predecibles pueden ser las contraseñas. Pero está el otro lado de la historia, ¿qué pasa si algún atacante utiliza esta herramienta para tratar de acceder a los servicios de la organización?.

Si bien el objetivo de estas herramientas es ayudar a fortalecer la seguridad de la información, pueden existir personas que las utilicen para tratar de vulnerarla. Y es precisamente esta cuestión lo que plantea la importancia de contar con un segundo factor de autenticación.

Además de tener configurado un Firewall que evite conexiones sospechosas, es importante que los especialistas de seguridad de las empresas hagan una revisión periódica de los logs de seguridad para detectar si hay intentos de conexión que puedan considerarse como peligrosos.

Agradecimientos: Camilo Gutierrez Amaya, Laboratorios ESET.

Saludos a todos!

Desconectado Stuxnet

  • *
  • Underc0der
  • Mensajes: 259
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Devel Security
  • Twitter: _stuxnet
« Respuesta #1 en: Marzo 13, 2014, 09:54:17 pm »
Muy buen post.

O.o sthefano02 eres tú? :S
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado LucaSthefano

  • *
  • Underc0der
  • Mensajes: 399
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Marzo 13, 2014, 10:01:29 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Muy buen post.

O.o sthefano02 eres tú? :S

Si compa, el mismo. Tanto tiempo, ah? Jajaja..
Me alegra que el post halla sido de tu agrado.

Desconectado Snifer

  • *
  • Underc0der
  • Mensajes: 1439
  • Actividad:
    0%
  • Reputación 1
  • Snifer@L4b's
    • Ver Perfil
    • Snifer@L4bs
  • Twitter: sniferl4bs
« Respuesta #3 en: Marzo 14, 2014, 11:46:48 am »
Ha vuelto stefy!!....

Kodeinfect!!!

Regards,
Snifer

PD: Buen post!
No tienes permisos para ver links. Registrate o Entra con tu cuenta


Llaman traidor a la persona que evito que caiga el foro, gente bruta!



Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 242
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #4 en: Marzo 16, 2014, 03:00:16 pm »
Muy interesante!!

Desconectado S t Ø r M d ∆ r k

  • *
  • Underc0der
  • Mensajes: 74
  • Actividad:
    0%
  • Reputación 0
  • fb.com/cyberoxyde
    • Ver Perfil
    • Mi Blog
    • Email
  • Twitter: @stormdark_
« Respuesta #5 en: Marzo 16, 2014, 03:13:10 pm »
Excelente post!
No tienes permisos para ver links. Registrate o Entra con tu cuenta
In my mind where before there was order, today there is only chaØs!

Desconectado .:UND3R:.

  • *
  • Underc0der
  • Mensajes: 226
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #6 en: Marzo 21, 2014, 08:27:46 pm »
Excelente tools ;)

 

¿Te gustó el post? COMPARTILO!



Eternal - Un escáner para Eternal Blue

Iniciado por puntoCL

Respuestas: 2
Vistas: 1815
Último mensaje Julio 23, 2017, 10:37:05 pm
por puntoCL
[Phishing] Página de phishing para Twitter

Iniciado por bernatixer

Respuestas: 8
Vistas: 4343
Último mensaje Enero 07, 2016, 10:23:35 am
por ANTRAX
Un Redirect en Facebook para hacer Phishing a Facebook

Iniciado por Stiuvert

Respuestas: 4
Vistas: 4109
Último mensaje Enero 09, 2014, 11:46:26 pm
por Snifer
Paso a paso para ser un verdadero < HACKER > lo mejor que hay

Iniciado por smown

Respuestas: 5
Vistas: 1098
Último mensaje Agosto 17, 2018, 09:20:02 am
por ANTRAX
Sniffer para windows "RawCap"

Iniciado por s747ik

Respuestas: 1
Vistas: 2009
Último mensaje Junio 12, 2011, 04:08:03 pm
por staRgan