Offline Password Hash Cracking: Escenarios de aplicación

Gabilitron · 28 Junio 2014, 02:02 AM

Hola,
me gustaría saber cuáles son los principales escenarios de aplicación del Offline Password Hash Cracking (disculpad la terminología anglosajona, solo pretendo dar claridad).
Así como es posible obtener un fichero con el Hash en MD5 (creo) de una contraseña WiFi (p.e. WPA, WPA2, etc) y crackearla (o morir en el intento), me gustaría saber en qué otros escenarios de seguridad es "factible" obtener un fichero Hash que pueda ser crackeado.

También se puede aplicar a las contraseñas de administrador del S.O. Windows, cifradas bajo LM/NTLM accediendo al disco duro mediante un LiveCD/USB Linux.

Por otra parte, por lo que sé, los sitios web en general almacenan las contraseñas cifradas en una base de datos de tipo SQL. Sin embargo, obtener el Hash de la contraseña alojada en una base de datos no parece tan trivial. Por eso, el número de intentos de "cracking" (por llamarlo de alguna forma) suele estar limitado por un servicio Web que bloquea los intentos de autenticación cuando se supera un cierto número de intentos (al igual que ocurre con los códigos PIN de un teléfono móvil).

¿Me equivoco, o es posible obtener los Hashes de sitios Web para poder crackearlos offline?

Además de los escenarios de WiFi y Windows, me gustaría saber en qué otros se aplica el Offline Password Hash Cracking.

Un saludo, y gracias de antemano.

EDIT:
Si alguien piensa que la pregunta es confusa o está mal enfocada, que no dude en comentarlo.

engel lex · 28 Junio 2014, 02:31 AM

primero aclarar algo... un hash no es un cifrado, es un valor de comprobación... basicamente su mayor diferencia radica en que el cifrado toma un mensaje y lo "oculta", el hash toma un mensaje y lo destruye completamente dejando solo un resultado, el cifrado es reversible, el hash está hecho para que no lo sea...

el hash no necesita ser un fichero, normalmente son cadenas no muy largas... en wifi no es hash, es un cifrado, se intenta romper un paquete cifrado por fuerza bruta (o diccionario) probando valores hasta que ese paquete sea "legible"

en hacking de servidores normalmente se capturan los valores md5 y se intentan crackear en local... si te limitas por el numero de intentos, es porque estás haciendno fuerza bruta normal por los mecanismos regulares del servidor

"Offline Password Hash Cracking" no es el termino mas acertado porque hablas tanto de hash como de cifrados...

los casos son tantos como programa hayan que cifren su contenido... desde ransonware, rar con contraseñas, archivos de whatsapp cifrados....

no se si quieres saber algo más

Gabilitron · 28 Junio 2014, 02:57 AM

Gracias por la contestación.
Puede que me haya confundido por intentar variar el léxico. Aunque haya utilizado la palabra "cifrado" de un Hash, me refiero en efecto, al resultado de una función Hash sobre la contraseña. La palabra correcta sería "encriptar_" en vez de "cifrar". Un hash es una función "de una sola vía", ya que no es posible obtener la entrada que fue encriptada_ a partir del resultado, que además tiene otras propiedades. Sin embargo, hablo de crackear un Hash y no de descrifrarlo (ya que eso no es posible).

Por hacer una pregunta más concreta: qué tipos de sistemas, además de los que he comentado, son vulnerables al Offline Password Cracking utilizando, por ejemplo, John The Ripper ó Hashcat (que soportan MD5, SHA-1 entre otros)?

Y por otra parte, ¿puede un usuario corriente acceder a un hash md5 de un servidor sin tener que vulnerar algún sistema de seguridad adicional?
Gracias

EDIT:
No sé qué tipo de brujería me impide escribir la palabra en crip tar, que es la que pretendo escribir en vez de "cifrar": en crip tar -> cifrar

engel lex · 28 Junio 2014, 03:14 AM

Citarqué tipos de sistemas, además de los que he comentado, son vulnerables al Offline Password Cracking

todos a los que se le pueda aplicar fuerza bruta...

Citar¿puede un usuario corriente acceder a un hash md5 de un servidor sin tener que vulnerar algún sistema de seguridad adicional?

no

para los md5 ya seguro tendrás que pasar varias capas de seguridad... y probablemente te encuentres con algo difícil: md5(pass+salt)

CitarLa palabra correcta sería "cifrar" en vez de cifrar.
..fue cifrada a partir del resultado

no te entendí, aunque realmente no creo que sea un cifrado, ya que esto implicaría que este oculta un valor (y que tiene vuelta) y no lo hace, es simplemente una firma

Gabilitron · 28 Junio 2014, 03:22 AM

Citar
no te entendí, aunque realmente no creo que sea un cifrado, ya que esto implicaría que este oculta un valor (y que tiene vuelta) y no lo hace, es simplemente una firma

La palabra que quería escribir es encriptar_. Si la escribo tal cual, el foro me la traduce como cifrar

A todo esto, muchas gracias. Creo que has aclarado todas mis dudas.

engel lex · 28 Junio 2014, 03:30 AM

en general "encript@r" es el "anglosajonismo" de Encrypt que se traduce realmente como "cifrar" XD

Gabilitron · 28 Junio 2014, 03:36 AM

Sí, vale. Antes he hecho una búsqueda rápida y me han aparecido las palabras encriptar_ y hash con bastante relación.
He vuelto a hacerlo y lo primero que he encontrado ha sido un artículo de un profesor que parece estar indignado por la relación que se le da a la palabra hash con la palabra encriptar_ (que es un anglicismo de "cifrar", como tú has dicho).

Fuente: http://www.srbyte.com/2007/09/cifrar-y-hashing.html

Un saludo, y gracias de nuevo.

EDIT: De hecho, al pegar aquí el enlace, el foro ha sustituido la cadena encriptar_ por cifrar, de tal forma que no es accesible xD

Gh057 · 28 Junio 2014, 04:33 AM

hola Gabilitron, con respecto al hilo, gnu/linux también utiliza la función de hash para las contraseñas; son los hashes que se comparan y no ellas para un acceso legitimo. los valores correspondientes se ubican en /etc/shadow. saludos

Gabilitron · 28 Junio 2014, 17:40 PM

Correcto, se me habían pasado por alto esos. ¡Gracias!