Recuperación de Contraseñas. John Ripper


Resumen

Si vemos las estadísticas de ruptura de contraseñas. , comprobaremos como muchas de ellas eran sistemáticas o coincidían total o parcialmente con el nombre del usuario.

El usuario Web promedio mantiene 25 cuentas separadas pero utiliza 6.5 contraseñas sólo para protegerlos,

Una contraseña de 5 caracteres alfanuméricos puede ser vulnerada, por una CPU promedio actual, en 24 segundos a una tasa de 9.8 millones comparaciones por segundo, sí esa triste PC que miras de reojo es capaz de hacerlo.

Ahora imagínate lo que otras máquinas operadas por traviesos (y a veces nefastos) personajes pueden hacer con una máquina más potente, que puede realizar 3300 millones de comparaciones por segundo

 

O la siguiente imagen donde nos muestra muchas de las contraseñas elegidas por los usuarios.


 

Contenido

Resumen    1

Contenido    3

Contraseñas de los usuarios.    4

Fortaleza de las contraseñas de nuestro sistema.    5

Instalando John Ripper    5

Recuperando las contraseñas    10

 

 

 

Contraseñas de los usuarios.

Hoy en día un usuario puede estar dado de alta en más de 25 sitios en internet, pero solo utiliza unas 6.5 contraseñas como promedio.

Tenemos datos en servidores en internet y muchas veces usamos la misma contraseña para diferentes sitios. «Un anillo para gobernarlos a todos»

En una ponencia sobre seguridad a la pregunta de por qué proxies, antivirus, etc. si una contraseña es lo “suficientemente fuerte como salvar nuestros datos?

La respuesta en inglés fue: Because There Is No Patch To Human Stupidity

 

Fortaleza de las contraseñas de nuestro sistema.

John the Ripper, es un programa que nos permite recuperar contraseñas a partir de los usuarios que existan en nuestro sistema.

Aunque realmente es una herramienta para comprobar la complejidad de nuestras contraseñas.

Para comprobar la calidad de nuestras contraseñas en Ubuntu, primero actualizaremos nuestros repositorios. Con el comando:

Instalando John Ripper

Se puede instalar de dos formas, desde el gestor de paquetes sináptic o por medio de la consola. Lo haremos por este último que tiene ciertas ventajas con respecto al método tradicional. Que no eres capaz?, pues siempre puedes recurrir al método tradicional.

apt-get update

 

 

 

 

 

Instalamos John the Ripper, ejecutando el comando:

apt-get install john

Las últimas versiones de Ubuntu para encriptar las claves utilizan sha-512, por ello debemos compilar John the Ripper, para poder utilizarlo en cualquier otra distribución.

El Primer paso será descargar el paquete desde la página con el comando wget, como muestra la imagen:

 

Descomprimimos el fichero con el comando tar y las opciones xvzf

Entramos al directorio del fichero descomprimido y específicamente al directorio run y dentro listamos el contenido

Dentro del contenido podemos observar, que no tenemos los ficheros ejecutables enlaces, etc., necesarios para comprobar las contraseñas.

Por eso, retrocederemos en la ruta, e ingresaremos al directorio src, y ejecutamos el comando make, al igual en la imagen

Buscamos el paquete que necesitamos para compilar, en nuestro caso es una versión de 32bits, elegimos el Linux-x86 with SSE2 (recomendado).

Una vez localizado el paquete, ejecutamos:

make clean Linux-sse2

Si al terminar la compilación aparece un error, es por la falta de una librería. Lo que haremos es ejecutar el siguiente comando:

apt-cache search openssl | grep dev

Y miramos que librería es y la instalamos con apt-get install

Retrocedemos de la carpeta y entramos al directorio run y lo listamos, y vemos ya los ficheros necesarios para comprobar la complejidad de nuestras contraseñas

A continuación, combinamos los ficheros /etc/passwd/ y /etc/shadow con el comando ./unshadow /etc/passwd/etc/shawow en un fichero listadoclaves.txt, y luego visualizamos el contenido del fi chero utilizando el comando tail, al igual que la imagen:

Con tail

Recuperando las contraseñas

Paso seguido ejecutaremos John sobre el fichero listaclave.txt, como vemos en la imagen:

John the Ripper va probando el modo single crack, pasando a usar un diccionario con reglas y por último, el modo incremental, de forma que si la contraseña de un usuario es débil la encontrará en segundos.

Si deseamos probar con usuario nuevos, primero creamos un nuevo usuario con el comando adduser y le asignamos una contraseña débil 1234 por ejemplo.

Y en poco tiempo las tenemos. Eran sencillas

 

 

 

 

 

 

 

 

 


 

Acerca de Rafael Quintana

Con ganas de compartir y de aprender
Galería | Esta entrada fue publicada en Informática e Internet, Seguridad, software y etiquetada , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s