Lunes, 27 de agosto de 2007

Trucos PalmLa Palm como herramienta del hacker (III): contraseñas

Crackear contraseñas es una labor que siempre ha sido de vital importancia al acceder a equipos protegidos: tanto para acceder de manera no autorizada, como para recuperar el acceso cuando nuestra contraseña se nos ha olvidado, o ha sido cambiada precisamente por un atacante. Pueden utilizarse por tanto para intentar entrar en un servidor cuyo archivo de contraseñas ha sido comprometido, o para precisamente comprobar que nuestro sistema de seguridad es confiable antes de pasarlo a producción.

Es conveniente saber, sin embargo, que el 99% de los ataques que se hacen a un sistema protegido por contraseñas, pueden ser rechazados simplemente eligiendo bien nuestras contraseñas. Una contraseña mal elegida siempre será el punto débil del sistema, como ya se habló en los posts dedicados a cómo crear y administrar buenas contraseñas con la Palm.

Una buena contraseña protegerá en gran medida nuestro sistema
Una buena contraseña protegerá en gran medida nuestro sistema

Volviendo al tema de este post, para estos menesteres relacionados con crackear contraseñas, hay un gran número de herramientas para las Palm. Veamos algunas:

  • PalmCrack con lista de palabras trata de reventar un archivo de contraseñas UNIX (que utilice la función Crypt(), por lo tanto no valdrá para uno de BSD), CISCO (tipo 7, no valdrá para encriptación tipo 5), o Windows NT (hashes de contrasena NT LANMAN, no hashes MD4 de respuesta a desafío). Si el programa encuentra una lista de palabras, la utilizará para intentar crackear las contraseñas. Por supuesto, cuanto mejor sea esta lista, más efectivo será el programa. Si no encuentra una lista de palabras, intentará un ataque por fuerza bruta. Para crear nuestra propia lista podemos utilizar el script en Perl PCMwDB.

palmCrack permite crackear contraseñas de varios sistemas
palmCrack permite crackear contraseñas de varios sistemas

  • MD5 puede calcular un hash MD5, o también intentar romperlo por fuerza bruta. Recomendado PalmOS 5.
  • Hydra es un crackeador de login (autenticación), flexible, rápido y extensible, que soporta los protocolos Telnet, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Teamspeak, Cisco auth, Cisco enable, LDAP2 y Cisco AAA (impresionante lista).
  • NotSync demuestra la simplicidad con la que se puede obtener y decodificar la contraseña de sistema de una Palm. Esta herramienta imita los pasos iniciales de un hotsync, a través del puerto de infrarojos, para conseguir precisamente esto. El programa es la prueba de concepto del documento llamado “Palm OS Password Retrieval and Decoding” y aunque no está disponible ya en su web, seguramente pueda conseguirse por otros medios.
  • Palm OS Password Lockout Bypass para PalmOS 3.5.2 e inferiores. Utilizando una puerta trasera del sistema operativo, puede conseguirse la contraseña y otros datos de la Palm, aún estando bloqueada.
  • Si has olvidado la contraseña de tu Palm, instala No Security para eliminar la contraseña sin perder los registros bloqueados. System Password Cleaner vale para lo mismo. Sword crackea o reemplaza la contraseña de la Palm Pilot sin conocer la existente. Como el anterior, sirve para entrar en la Palm cuando has olvidado la contraseña, sin perder tu información confidencial. Es shareware. pCack es otra opción, sólo válida para PalmOS 3.5.1 o anterior. Palm Password Cracker hace lo mismo pero en el PC, sin necesidad de instalar nada en la Palm. No he conseguido encontrarlo en internet, aunque seguramente esté por algún lado.

Existen diferentes maneras de saltar la contraseña de la Palm Sacando la contraseña de una PDA Palm
Existen diferentes maneras de saltar la contraseña de la Palm

  • Finalmente, una curiosidad que se sale del mundo del software para saltar al hardware. Hay programas que mediante un algoritmo matemático reducen el número de combinaciones posibles para un candado MasterLock, de las 64.000 originales a 64. SkeletonKey y Pmaster son dos ejemplos, aunque necesitan como parámetro uno de los números de la combinación.

Un candado Master Lock
Un candado Master Lock

Como vemos, muy prolífico el mundo del cracking de contraseñas, incluso para las Palm. En el próximo post seguiremos viendo cómo convertir nuestra Palm en la herramienta definitiva para el hacking.

Posts en esta serie:

si te ha gustado este post.



15 comentarios sobre “La Palm como herramienta del hacker (III): contraseñas”


Deja un comentario


Etiquetas válidas:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Akismet ha protegido ya este blog de miles de comentarios fraudulentos. Pero si por error filtra tu comentario por favor avísame mediante el email de contacto de la derecha.