Aplicación de técnicas de fuerza bruta con diccionario de datos, para vulnerar servicios con métodos de autenticación simple “Contraseñas”, pruebas de concepto con software libre y su remediación

Autores/as

  • Hernán M. Domínguez L. CIERCOM/FICA, Universidad Técnica del Norte, Av. 17 de Julio 5-21 y Gral. José María Córdova, Ibarra, Ecuador, código postal 199.
  • Edgar A. Maya O. CIERCOM/FICA, Universidad Técnica del Norte, Av. 17 de Julio 5-21 y Gral. José María Córdova, Ibarra, Ecuador, código postal 199.
  • Diego H. Peluffo O. CIERCOM/FICA, Universidad Técnica del Norte, Av. 17 de Julio 5-21 y Gral. José María Córdova, Ibarra, Ecuador, código postal 199.
  • Christian M. Crisanto Ñ. DIO, Banco Central del Ecuador, Av. 10 de Agosto y Briseño, Quito, Ecuador.

Resumen

ABSTRACT
This paper illustrates the increased security risks in recent years of attacks on authentication controls, specifically passwords. Methods and techniques for violating such controls using more and more brute force attack approaches, including data dictionaries. Furthermore, the manuscript presents a proof concept using the free distribution of Linux "Kali Linux" and the penetration tool "Metaexploits Framework" to mitigate attacks; to finally present a more detailed approach for the secure management of passwords, an important issue in times of crisis.
Keywords: Security informatics, controls, passwords, brute force, data dictionary, penetration, attacks.


RESUMEN
El presente artículo muestra el incremento de riesgos de Seguridad Informática en los cinco últimos años en ataques de control de autenticación específicamente las contraseñas, métodos y técnicas para vulnerar este tipo de controles; con énfasis en las técnicas utilizadas por fuerza bruta con diccionario de datos. Además, se presenta una prueba de concepto utilizando una distribución libre de Linux “Kali Linux” y herramientas de penetración “Metaexploits Framework” para finalmente plantear los controles más utilizados que permiten mitigar este tipo de ataques con un enfoque más detallado en el uso y manejo de contraseñas seguras como uno de los controles principales a usarse en época de crisis.
Palabras clave: Seguridad informática, controles, contraseña, fuerza bruta, diccionario de datos, autenticación simple, ataque.

Descargas

Los datos de descargas todavía no están disponibles.

Métricas

Cargando métricas ...

Citas

Asamblea Nacional del Ecuador, 2014. Código Órganico Integral Penal. Quito, Pichincha, Ecuador: Registro Oficial. Disponible en: https://www.registroficial.gob.ec/index.php/registro-oficial- web/publicaciones/suplementos/item/2215-suplemento-al-registro-oficial-no-180.html

Catoira, F., 2012. Cluster de 25 GPU. (ESET, Productor) Recuperado de WeLiveSecurity: http://www.welivesecurity.com/la-es/2012/12/11/cluster- 25-gpu-descifra-contrasenas-8-caracteres-5-5-horas/.

DragonJAR, 2011. DragonJAR. Recuperado de http://www.dragonjar.org/diccionarios-con-passwords-de-sitios-expuestos.xhtml.

El Tiempo, 2015. Presupuesto 2016 tendrá USD 4.000 millones menos. Diario El Tiempo. Recuperado de http://www.eltiempo.com.ec/noticias- cuenca/171158-presupuesto-2016-tendra-usd-4-000-millones-menos/.

ESET welivesecurity, 2015. ESET Security Report Latinoamérica 2015. Recuperado de http://www.welivesecurity.com/la-es/articulos/reportes/.

Goujon, A., 2013. ¿El fin de las contraseñas? La autenticación simple cada vez más amenazada. Recuperado de WeLiveSecurity: http://www.welivesecurity.com/la-es/2013/03/21/articulo-el-fin-de-las-contrasenas-la- autenticacion-simple-cada-vez-mas-amenazada/.

Metasploit, 2016. metasploit.com. (OpenSource, Ed.) Recuperado de https://www.metasploit.com/.

NMAP.ORG, 2016. nmap.org. (OpenSource, Ed.) Recuperado de http://nmap.org/book/.

Paus, L., 2016. Cómo crear una contraseña fuerte en un minuto y proteger tu identidad digital. (ESET Latinoamérica) Recuperado de WeLiveSecurity: http://www.welivesecurity.com/la-es/2016/05/06/crear-contrasena-fuerte-un-minuto/.

PwC., 2015. The global state of information security® Survey 2015. Recuperado de http://www.pwccn.com/home/eng/rcs_info_security_2015.html.

PwC, 2016. The Global State of Information Security® Survey 2016. Recuperado de http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/data- explorer.html.

RedInfoCol, 2010. ¿Qué es y cómo funciona un ataque por fuerza bruta? Recuperado de http://www.redinfocol.org/atacando-por-fuerza-bruta- bruteforce-1/.

SplashData Inc., 2016. Worst passwords list of 2015. (M. Slain, Ed.). Recuperado de http://splashdata.com/blog/ : https://www.teamsid.com/worst-passwords-2015/.

Descargas

Publicado

2017-01-18

Cómo citar

Domínguez L., H. M., Maya O., E. A., Peluffo O., D. H., & Crisanto Ñ., C. M. (2017). Aplicación de técnicas de fuerza bruta con diccionario de datos, para vulnerar servicios con métodos de autenticación simple “Contraseñas”, pruebas de concepto con software libre y su remediación. Maskana, 7(Supl.), 87–95. Recuperado a partir de https://publicaciones.ucuenca.edu.ec/ojs/index.php/maskana/article/view/1079

Número

Vol. 7 (2016): Actas del IV Congreso Ecuatoriano de Tecnologías de la Información y Comunicación - TIC.EC 2016

Sección

Actas

Licencia

Copyright © Autors. Creative Commons Attribution 4.0 License  para cualquier artículo enviado a partir del 6 de junio de 2017. Para los manuscritos presentados anteriormente, se utilizó la licencia CC BY 3.0.

Usted es libre de:

Compartir — compartir y redistribuir el material publicado en cualquier medio o formato.
Adaptar — combinar, transformar y construir sobre el material para cualquier propósito, incluso comercialmente.

Bajo las siguientes condiciones:

Atribución — Debe otorgar el crédito correspondiente, proporcionar un enlace a la licencia e indicar si se realizaron cambios. Puede hacerlo de cualquier manera razonable, pero de ninguna manera que sugiera que el licenciador lo respalda a usted o a su uso.
  Sin restricciones adicionales: no puede aplicar términos legales o medidas tecnológicas que restrinjan legalmente a otros a hacer cualquier cosa que permita la licencia.

Mayor información sobre este acuerdo de autoría y licencia, transferencia de derechos o solicitudes de reproducción, pueden ser consultados en este enlace