miércoles, 25 de junio de 2014

Fuerza Bruta Funciona ?

Existe un método de hackeo , que resulta poco elegante , nada eficiente y solo contadas ocasiones eficaz se trata del ya tan popular ataque de Fuerza Bruta , si tienen un nivel de educación hacking básico deben
saber mucho de este tema sino permitan me instruirlos , este método consiste en ingresar todas las combinaciones en un determinado sistema con la experansa de  alguna sea la correcta y que se demore el menor tiempo posible para ello existen programas como Hydra o Medusa para realizar el ataque y Crunch o JhonThe Ryper para generar diccionarios.
Demas esta decir que este ataque consume muchos recursos del ordenador y sobre todo los mas preciado tiempo , es por eso que esta entrada he querido darles mi opinión sobre este ataque , primero les haré un simple calculo matemático , supongamos que la contraseña a la que queremos aplicar fuerza bruta , se ingresa al login de una pagina , también supongamos que por FingerPrinting sabemos que la contraseña puede tener una longitud máxima de seis caracteres que solo puede contener letras y números , también que se procesa 150 contraseñas por segundo (algo exagera mente alto ya que para establecer 150 conexiones por segundo terndriamos que tener un ancho de banda bastante alto) , usando un poco de Análisis Combinatorio y matemática básica les planteo lo siguiente

(((26 + 10) ^ 5) /150)/3600))
(((36 ^ 5) /150)/3600 ))
((60466176 /150)/3600 )
(403107.84/3600 )
111.9744

Como pueden ver la respuesta es 111.9744  equivale a 4 días y medio maso menos y eso si es que tenemos una gran banda ancha de internet , y si es que en la contraseñas no se permiten caracteres raros y por ultimo si el servidor no lo toma como un ataque de denegación de servicio y nos restringe la conexión , ahora les pondré otro ejemplo supongamos que vamos a crakear una red wifi WPA/2 , que como ya se sabe el mínimo es 8 caracteres , también suponemos que tenemos un diccionario de claves PMK pre-calculadas por lo cual aumentamos los intentos a 1000 por segundo ,  les planteo el siguiente problema

(((26 + 10) ^ 4) /150)/3600))
(((36 ^ 5) /1000)/3600 ))
((2821109907456 /1000)/3600 )
(2821109907.456/3600 )
783641.64096

Como pueden ver sale 783641.64096 lo que equivale a 97.17778285714 años un tiempo realmente largo.
Eso no quiere decir que la fuerza bruta no sirve , claro que sirve pero solo en condiciones especificas , por ejemplo podemos hackear un servidor y desde ahí correr un script que realice el ataque de fuerza bruta , tambien debo recordarles que existe otras tecnicas de ataque como un exploit o sqli , etc eso es todo en esta entrada espero que les haya gustado si tienen alguna duda o sugerencia por favor comenten , me despido  pero  no sin antes recordarles que Todo estan tam complejo antes de ser sencillo