Escolar Documentos
Profissional Documentos
Cultura Documentos
@dsteamseguridad
- Entrenamiento E-learning -
Modalidad E-learning
http://www.dsteamseguridad.com/elearning/
Entrenamiento para preparar y presentar la
certificacin
Certified Offensive and Defensive Security
www.dsteamseguridad.com
Professional
- Entrenamiento E-learning -
Agenda
Presentacin del Ponente
Criterios Legales (Jurdicos)
Certificacin Certified Offensive and Defensive
Security Professional
Recursos y Herramientas (Software)
Laboratorio
El ciclo del Pentesting
Password Attacks
Password Guessing
Password Cracking
Formatos de contraseas
Raimbow Tables
Pash the Hash
www.dsteamseguridad.com
- Entrenamiento E-learning -
-Entrenamiento Elearning
- Entrenamiento E-learning -
Recomendaciones Tcnicas
-Entrenamiento Elearning
uerdo de Confidencialidad-
Criterios Legales.
Las demostraciones, practicas, talleres y conceptos impartidos
en esta charla tecnica, no buscan promover el uso de programas
para la Intrusin en sistemas informticos, solo se hace con fines
educativos, por lo que cualquier uso de los programas aqu
mencionados por parte de los asistentes, no es responsabilidad
de la Empresa DSTEAM Seguridad, del congreso de Hacking
Uniminuto, ni del Ponente Juan Berrio. Si desea probar los
mtodos de ataque vistos en este charla, selos en maquinas
virtuales y servidores dispuestos para pruebas, si los hace en
Ley Colombiana 1273 de 2009 Artculo 269 A. Acceso abusivo a
sistemas uny sistema
redesinformtico.
ajenos El que,
y Pblicos,
hgalo
bajo desulo
sin autorizacin
o por fuera
responsabilidad.
acordado, acceda en todo o en parte a un sistema informtico
protegido o no con una medida de seguridad, o se mantenga dentro
del mismo en contra de la voluntad de quien tenga el legtimo
derecho a excluirlo, incurrir en pena de prisin de cuarenta y ocho
(48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
www.dsteamseguridad.com
mnimos legales mensuales
vigentes.
-Nota
-Entrenamiento Elearning
Importante
La prsnete
charla -tecnica descrita como Pruebas de auditoria, del
tipo Password Attacks y el curso de Hacking tico y Defensa
en profundidad Certified Offensive and Defensive Security
Professional, tienen una metodologa de estudio practica, y
totalmente orientada a realizar auditorias empresariales del tipo
Penetration Testing, y no a la enseanza de tcnicas para realizar
ataques indiscriminados, no planeados y no controlados a
sistemas informticos.
www.dsteamseguridad.com
Introducci
n
Informati
on
Gathering
Scanning
y
Enumeraci
n
Password
Atacks
Fund.
Sec.
Redes
Inalmbri
cas
Anlisis
Vulnerab.
Password
Guessing
Firewalls
VPN
Server
ShellScripting
PostReportes
Explotaci
n y
Power
Shell
Rainbow
Pass The
Tables
Hash
Explotaci
n
(Kung-fu)
Password
Cracking
Gestores
Amenazas
UTM
Linux
Backtrack 5R3/KALI
STORAGE- Criptograf
aNAS
Esteganogr
afia
Forense
Segurida
d Web
http://goo.gl/0qVyb1
- Entrenamiento E-learning -
- Entrenamiento E-learning -
www.dsteamseguridad.com
- Entrenamiento E-learning -
Recursos
Si luego de terminada la charla tecnica, deseas realizar los
ejercicios y pruebas de concepto presentados, se
recomienda tener las siguientes recursos:
Versin de Linux para seguridad Informtica (Linux
Backtrack o Kali Linux)
Maquinas vulnerables (Maquinas Windows Server
virtualziadas, y la maquina vulnerable Metasploitable, la
cual se distribuye de forma gratuita)
Software Ophcrack
Set de tablas Rainbow tables
Software Cain
Jhon The Ripper
Metasploit
THC-Hydra
www.dsteamseguridad.com
Recursos online
- Entrenamiento E-learning -
Atacantes y/o
auditores
www.dsteamseguridad.com
- Entrenamiento E-learning -
y/o Penetration
Test
1.Recoleccio
n de
Informacin
5.PostExplotaccion
Ciclo tcnico
Reglas
de
Negoci
oy
Alance
Inform
e
tcnico
Inform
a
ejecuti
vo
Plan de
accin
4.
Explotacin
de
Vulnerabilid
ades
(Ataque)
www.dsteamseguridad.com
2.Scanning y
Enumeracin
3. Anlisis
de
Vulnerabilida
des
- Entrenamiento E-learning -
assword Attacks. .
Introduccin: Una vez que el auditor de seguridad o
atacante informtico ha realizado las respectivas tareas
de anlisis de vulnerabilidades, explotacin y PostExplotacin, es importante proceder a realizar un
proceso complementario de auditora y chequeos de
seguridad a los Passwords (Contraseas), con el
propsito de que la auditora de seguridad se realice de
una forma mas completa.
www.dsteamseguridad.com
- Entrenamiento E-learning -
assword Attacks. .
Definicin: La auditoria y/o ataque descrita como
Password Attacks consiste en evaluar el nivel de
seguridad y eficiencia de una contrasea (Passwords) en
un sistema de informacin, y de los servicios de red y/o
procesos de los cuales dependen las contraseas.
El procesos de auditoria de este tipo puede verse como
una actividad complementaria a los proceso de anlisis
de vulnerabilidades y Explotacin, aunque dependiendo
de la tcnica de auditoria utilizada, tambin puede verse
como una actividad que hace parte de la fase de PostExplotacin.
www.dsteamseguridad.com
- Entrenamiento E-learning -
assword Attacks. .
Tcnicas de auditoria: Las tcnicas de auditora y/o
pruebas de intrusin relacionada con la auditora de
seguridad del tipo Password Attacks que se van a
estudiar en este curso de seguridad son las siguientes:
Password Guessing
Password Cracking
Password Cracking al estilo Rainbow Tables
Pass The Hash
www.dsteamseguridad.com
- Entrenamiento E-learning -
assword Attacks. .
Aspectos generales de este tipo de pruebas de
auditorias: Es altamente importante comprender
algunos aspectos relevantes, los cuales estn
directamente relacionados con las pruebas de auditoria
del tipo Password Attacks.
Reglas del negocio: Uno de los aspectos mas
importantes a tener presente son las reglas del negocio,
es decir que cuando se pacta con un cliente un proceso
de auditora del tipo Penetration Testing, es
importante dejar claro y por escrito que se harn
pruebas del tipo Password Atatacks.
Mtodos de autenticacin: Hay diversas formas de
autenticarse en un sistema de informacin, tales como
www.dsteamseguridad.com
Tokens, sistemas Biomtricos,
entre otros, sin embargo
- Entrenamiento E-learning -
assword Attacks. .
Aspectos generales de este tipo de pruebas de
auditorias:
Explotar otras maquinas: Una de las situaciones mas
comunes que pueden encontrarse en un proceso de
auditoria de contraseas, es que la misma contrasea se
usa para el ingreso a otras maquinas de la red, o a otros
servicios del sistema de informacin.
Dependencia de otras fases de la auditoria Penetration
Testing Las auditorias del tipo Password Attacks
tienen una total dependencia de otras fases de la
auditora de seguridad, tales como la de scanning, y la
de explotacin.
Claves Dbiles: Otro www.dsteamseguridad.com
de los aspectos importantes a tener
- Entrenamiento E-learning -
assword Attacks. .
Aspectos generales de este tipo de pruebas de
auditorias:
Dependencia del sistema de informacin: En muchas
circunstancias el sistema de informacin en el cual
trabaja el usuario final, y que por consecuente esta en
proceso de auditora de seguridad, no suministra otros
tipos de autenticacin, mas que el usuario y la
contrasea.
www.dsteamseguridad.com
- Entrenamiento E-learning -
1.Password
Guessing
(Adivinando
Passwords)
www.dsteamseguridad.com
- Entrenamiento E-learning -
- Entrenamiento E-learning -
- Entrenamiento E-learning -
- Entrenamiento E-learning -
- Entrenamiento E-learning -
https://www.thc.org/thc-hydra/
www.dsteamseguridad.com
- Entrenamiento E-learning -
https://www.thc.org/thc-hydra/
www.dsteamseguridad.com
- Entrenamiento E-learning -
- Entrenamiento E-learning -
- Entrenamiento E-learning -
www.dsteamseguridad.com
- Entrenamiento E-learning -
EJEMPLOS Y
PRUEBAS DE
CONCEPTO
www.dsteamseguridad.com
- Entrenamiento E-learning -
2.Password
Cracking
(Rompiendo
Passwords)
www.dsteamseguridad.com
- Entrenamiento E-learning -
- Entrenamiento E-learning -
- Entrenamiento E-learning -
- Entrenamiento E-learning -
EJEMPLOS Y
PRUEBAS DE
CONCEPTO
www.dsteamseguridad.com
- Entrenamiento E-learning -
www.dsteamseguridad.com
- Entrenamiento E-learning -
- Entrenamiento E-learning -
- Entrenamiento E-learning -
- Entrenamiento E-learning -
www.dsteamseguridad.com
- Entrenamiento E-learning -
las
contraseas
Sistemas
- Entrenamiento E-learning -
las
contraseas
Sistemas
- Entrenamiento E-learning -
las
contraseas
Sistemas
- Entrenamiento E-learning -
de
las
contraseas
Sistemas
- Entrenamiento E-learning -
de
las
contraseas
Sistemas
- Entrenamiento E-learning -
de
las
contraseas
Sistemas
Caractersticas:
Al momento de aplicar y calcular el cifrado convierte
caracteres ASCII a maysculas
Dentro de los pasos de aplicacin el algoritmo, rellena
de 0 cero la contrasea hasta llegar a 14 caracteres
(en caso de que la contrasea sea inferior a 14
caracteres)
Dentro de los pasos de aplicacin el algoritmo, divide el
resultado en dos partes de 7 bytes cada uno.
Sobre las dos divisiones del resultado aplica un
www.dsteamseguridad.com
algoritmo estndar(DES)
para hacer cifrado sobre una
- Entrenamiento E-learning -
de
las
contraseas
password
PASSWORD
PASSWOR
Aplicacin
Algoritmo DES
Concatenacin
Sistemas
La clave es
password
Se convierte la
clave a
maysculas
Divide el
resultado
D
Relleno
en dos
partes
Aplica
Aplicacin Algoritmo algoritmo
DES
DES
Concatena los
Concatenacin
resultados
www.dsteamseguridad.com
- Entrenamiento E-learning -
EJEMPLOS Y
PRUEBAS DE
CONCEPTO
www.dsteamseguridad.com
- Entrenamiento E-learning -
www.dsteamseguridad.com
- Entrenamiento E-learning -
www.dsteamseguridad.com
- Entrenamiento E-learning -
perteneciente a l contrasea
e52cac67419a9a2261d4de18dda49610
www.dsteamseguridad.com
- Entrenamiento E-learning -
- Entrenamiento E-learning -
de
las
contraseas
Sistemas
- Entrenamiento E-learning -
de
las
contraseas
password
Aplicacin de MD4
a9c12cd707b144872d54d81ba3
1cf3ca
www.dsteamseguridad.com
Sistemas
La clave es
password
Calculo de Hash
con el estndar
MD4
Resultados
- Entrenamiento E-learning -
EJEMPLOS Y
PRUEBAS DE
CONCEPTO
www.dsteamseguridad.com
- Entrenamiento E-learning -
www.dsteamseguridad.com
- Entrenamiento E-learning -
perteneciente a la contrasea
4d333e8b6d66d64f39a4225005cca24b
www.dsteamseguridad.com
- Entrenamiento E-learning -
- Entrenamiento E-learning -
- Entrenamiento E-learning -
Aad3b435b51404eeaad3b435b51404ee
www.dsteamseguridad.com
- Entrenamiento E-learning -
EJEMPLOS Y
PRUEBAS DE
CONCEPTO
www.dsteamseguridad.com
- Entrenamiento E-learning -
conocer
www.dsteamseguridad.com
el
formato
de
la
- Entrenamiento E-learning -
EJEMPLOS Y
PRUEBAS DE
CONCEPTO
www.dsteamseguridad.com
- Entrenamiento E-learning -
www.dsteamseguridad.com
- Entrenamiento E-learning -
- Entrenamiento E-learning -
www.dsteamseguridad.com
- Entrenamiento E-learning -
www.dsteamseguridad.com
- Entrenamiento E-learning -
para
realizar
Password
www.dsteamseguridad.com
- Entrenamiento E-learning -
para
realizar
Password
- Entrenamiento E-learning -
para
realizar
Password
- Entrenamiento E-learning -
para
realizar
Password
- Entrenamiento E-learning -
EJEMPLOS Y
PRUEBAS DE
CONCEPTO
www.dsteamseguridad.com
- Entrenamiento E-learning -
judabe2003@gmail.com
www.dsteamseguridad.com