Aplicación de técnicas de fuerza bruta con diccionario de datos, para vulnerar servicios con métodos de autenticación simple “Contraseñas”, pruebas de concepto con software libre y su remediación

  • Hernán M. Domínguez L. CIERCOM/FICA, Universidad Técnica del Norte, Av. 17 de Julio 5-21 y Gral. José María Córdova, Ibarra, Ecuador, código postal 199.
  • Edgar A. Maya O. CIERCOM/FICA, Universidad Técnica del Norte, Av. 17 de Julio 5-21 y Gral. José María Córdova, Ibarra, Ecuador, código postal 199.
  • Diego H. Peluffo O. CIERCOM/FICA, Universidad Técnica del Norte, Av. 17 de Julio 5-21 y Gral. José María Córdova, Ibarra, Ecuador, código postal 199.
  • Christian M. Crisanto Ñ. DIO, Banco Central del Ecuador, Av. 10 de Agosto y Briseño, Quito, Ecuador.

Resumen

ABSTRACT
This paper illustrates the increased security risks in recent years of attacks on authentication controls, specifically passwords. Methods and techniques for violating such controls using more and more brute force attack approaches, including data dictionaries. Furthermore, the manuscript presents a proof concept using the free distribution of Linux "Kali Linux" and the penetration tool "Metaexploits Framework" to mitigate attacks; to finally present a more detailed approach for the secure management of passwords, an important issue in times of crisis.
Keywords: Security informatics, controls, passwords, brute force, data dictionary, penetration, attacks.


RESUMEN
El presente artículo muestra el incremento de riesgos de Seguridad Informática en los cinco últimos años en ataques de control de autenticación específicamente las contraseñas, métodos y técnicas para vulnerar este tipo de controles; con énfasis en las técnicas utilizadas por fuerza bruta con diccionario de datos. Además, se presenta una prueba de concepto utilizando una distribución libre de Linux “Kali Linux” y herramientas de penetración “Metaexploits Framework” para finalmente plantear los controles más utilizados que permiten mitigar este tipo de ataques con un enfoque más detallado en el uso y manejo de contraseñas seguras como uno de los controles principales a usarse en época de crisis.
Palabras clave: Seguridad informática, controles, contraseña, fuerza bruta, diccionario de datos, autenticación simple, ataque.

Descargas

La descarga de datos todavía no está disponible.

Citas

Asamblea Nacional del Ecuador, 2014. Código Órganico Integral Penal. Quito, Pichincha, Ecuador: Registro Oficial. Disponible en: https://www.registroficial.gob.ec/index.php/registro-oficial- web/publicaciones/suplementos/item/2215-suplemento-al-registro-oficial-no-180.html

Catoira, F., 2012. Cluster de 25 GPU. (ESET, Productor) Recuperado de WeLiveSecurity: http://www.welivesecurity.com/la-es/2012/12/11/cluster- 25-gpu-descifra-contrasenas-8-caracteres-5-5-horas/.

DragonJAR, 2011. DragonJAR. Recuperado de http://www.dragonjar.org/diccionarios-con-passwords-de-sitios-expuestos.xhtml.

El Tiempo, 2015. Presupuesto 2016 tendrá USD 4.000 millones menos. Diario El Tiempo. Recuperado de http://www.eltiempo.com.ec/noticias- cuenca/171158-presupuesto-2016-tendra-usd-4-000-millones-menos/.

ESET welivesecurity, 2015. ESET Security Report Latinoamérica 2015. Recuperado de http://www.welivesecurity.com/la-es/articulos/reportes/.

Goujon, A., 2013. ¿El fin de las contraseñas? La autenticación simple cada vez más amenazada. Recuperado de WeLiveSecurity: http://www.welivesecurity.com/la-es/2013/03/21/articulo-el-fin-de-las-contrasenas-la- autenticacion-simple-cada-vez-mas-amenazada/.

Metasploit, 2016. metasploit.com. (OpenSource, Ed.) Recuperado de https://www.metasploit.com/.

NMAP.ORG, 2016. nmap.org. (OpenSource, Ed.) Recuperado de http://nmap.org/book/.

Paus, L., 2016. Cómo crear una contraseña fuerte en un minuto y proteger tu identidad digital. (ESET Latinoamérica) Recuperado de WeLiveSecurity: http://www.welivesecurity.com/la-es/2016/05/06/crear-contrasena-fuerte-un-minuto/.

PwC., 2015. The global state of information security® Survey 2015. Recuperado de http://www.pwccn.com/home/eng/rcs_info_security_2015.html.

PwC, 2016. The Global State of Information Security® Survey 2016. Recuperado de http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/data- explorer.html.

RedInfoCol, 2010. ¿Qué es y cómo funciona un ataque por fuerza bruta? Recuperado de http://www.redinfocol.org/atacando-por-fuerza-bruta- bruteforce-1/.

SplashData Inc., 2016. Worst passwords list of 2015. (M. Slain, Ed.). Recuperado de http://splashdata.com/blog/ : https://www.teamsid.com/worst-passwords-2015/.
Publicado
2017-01-18
Estadísticas
Resumen visto = 309 veces
PDF descargado = 90 veces
Cómo citar
Domínguez L., H. M., Maya O., E. A., Peluffo O., D. H., & Crisanto Ñ., C. M. (2017). Aplicación de técnicas de fuerza bruta con diccionario de datos, para vulnerar servicios con métodos de autenticación simple “Contraseñas”, pruebas de concepto con software libre y su remediación. Maskana, 7(Supl.), 87-95. Recuperado a partir de https://publicaciones.ucuenca.edu.ec/ojs/index.php/maskana/article/view/1079