Lunes, 27 de Agosto de 2007
La Palm como herramienta del hacker (III): contraseñas
Crackear contraseñas es una labor que siempre ha sido de vital importancia al acceder a equipos protegidos: tanto para acceder de manera no autorizada, como para recuperar el acceso cuando nuestra contraseña se nos ha olvidado, o ha sido cambiada precisamente por un atacante. Pueden utilizarse por tanto para intentar entrar en un servidor cuyo archivo de contraseñas ha sido comprometido, o para precisamente comprobar que nuestro sistema de seguridad es confiable antes de pasarlo a producción.
Es conveniente saber, sin embargo, que el 99% de los ataques que se hacen a un sistema protegido por contraseñas, pueden ser rechazados simplemente eligiendo bien nuestras contraseñas. Una contraseña mal elegida siempre será el punto débil del sistema, como ya se habló en los posts dedicados a cómo crear y administrar buenas contraseñas con la Palm.
Una buena contraseña protegerá en gran medida nuestro sistema
Volviendo al tema de este post, para estos menesteres relacionados con crackear contraseñas, hay un gran número de herramientas para las Palm. Veamos algunas:
- PalmCrack con lista de palabras trata de reventar un archivo de contraseñas UNIX (que utilice la función Crypt(), por lo tanto no valdrá para uno de BSD), CISCO (tipo 7, no valdrá para encriptación tipo 5), o Windows NT (hashes de contrasena NT LANMAN, no hashes MD4 de respuesta a desafío). Si el programa encuentra una lista de palabras, la utilizará para intentar crackear las contraseñas. Por supuesto, cuanto mejor sea esta lista, más efectivo será el programa. Si no encuentra una lista de palabras, intentará un ataque por fuerza bruta. Para crear nuestra propia lista podemos utilizar el script en Perl PCMwDB.
palmCrack permite crackear contraseñas de varios sistemas
- MD5 puede calcular un hash MD5, o también intentar romperlo por fuerza bruta. Recomendado PalmOS 5.
- Hydra es un crackeador de login (autenticación), flexible, rápido y extensible, que soporta los protocolos Telnet, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Teamspeak, Cisco auth, Cisco enable, LDAP2 y Cisco AAA (impresionante lista).
- NotSync demuestra la simplicidad con la que se puede obtener y decodificar la contraseña de sistema de una Palm. Esta herramienta imita los pasos iniciales de un hotsync, a través del puerto de infrarojos, para conseguir precisamente esto. El programa es la prueba de concepto del documento llamado “Palm OS Password Retrieval and Decoding” y aunque no está disponible ya en su web, seguramente pueda conseguirse por otros medios.
- Palm OS Password Lockout Bypass para PalmOS 3.5.2 e inferiores. Utilizando una puerta trasera del sistema operativo, puede conseguirse la contraseña y otros datos de la Palm, aún estando bloqueada.
- Si has olvidado la contraseña de tu Palm, instala No Security para eliminar la contraseña sin perder los registros bloqueados. System Password Cleaner vale para lo mismo. Sword crackea o reemplaza la contraseña de la Palm Pilot sin conocer la existente. Como el anterior, sirve para entrar en la Palm cuando has olvidado la contraseña, sin perder tu información confidencial. Es shareware. pCack es otra opción, sólo válida para PalmOS 3.5.1 o anterior. Palm Password Cracker hace lo mismo pero en el PC, sin necesidad de instalar nada en la Palm. No he conseguido encontrarlo en internet, aunque seguramente esté por algún lado.
Existen diferentes maneras de saltar la contraseña de la Palm
- Finalmente, una curiosidad que se sale del mundo del software para saltar al hardware. Hay programas que mediante un algoritmo matemático reducen el número de combinaciones posibles para un candado MasterLock, de las 64.000 originales a 64. SkeletonKey y Pmaster son dos ejemplos, aunque necesitan como parámetro uno de los números de la combinación.
Un candado Master Lock
Como vemos, muy prolífico el mundo del cracking de contraseñas, incluso para las Palm. En el próximo post seguiremos viendo cómo convertir nuestra Palm en la herramienta definitiva para el hacking.
Por: Marcos González Troyas en Trucos
RSS comentarios | Trackback | 
Imprimir este post
Artículos relacionados
Suscríbete para estar al corriente de las novedades en este blog
Wow genial el hydra sobre todo, igual llega adar un poco de susto, como dijsite es cosa de poner una buena contraseña que no tiene porque ser la mas larga o compleja del mundo tan solo, ingeniosa.
me inscribi en gravtar pese que con solo poner el mail ahora saldria el avatar pero paree que no…
Dale tiempo, y si no chequea otra vez en gravatar que se haya añadido bien la imagen, hace poco que rediseñaron el servicio y aún debe andar un poco “bailón”.
Bueno lo eh chequeado ahora mismo nuevamente y sale mi avatar veremos que ocurre ahora….
Vengo a los tiempos por estos lares y me topo con uno de los mejores articulos de la PDA de tungsteno!!!…. muy bueno Marcos!
orale que intersante articulo y si conicido con cabeza tuna, ese hydra da miedo..