QU ES UN ATAQUE A CONTRASEAS?

Actividad destinada a romper, descifrar o borrar

contraseas para burlar los mecanismos de
seguridad.
Es lo primero que intentan y aprenden los piratas,
ya que requiere una experiencia tcnica mnima
El objetivo es lograr averiguar la contrasea de
alguno de los usuarios (root) para lograr entrar al
sistema
 CMO GENERA Y ALMACENA LINUX LAS
CONTRASEAS?
Las primeras
distribuciones de Linux
almacenaban las
contraseas en el
archivo /etc/passwd; lo
que no resultaba seguro,
debido a que este
archivo es legible.

De ah que cualquier
usuario puede ver el
contenido de
etc/passwd
EVOLUCIN HISTRICA DE LAS CONTRASEAS

La primera evidencia de contraseas la encontramos

en le antiguo Egipto, cuando un Egipto importante
mora lo enterraban con pergaminos. En estos
pergaminos los sacerdotes escriban contraseas
secretas.
En el ao 2000 A.C. los egipcios comenzaron a usar
contraseas de texto sin formato.
Despus de 1000 aos los egipcios crearon una
criptografa rudimentaria.
 CRIPTOGRAFA
Krypto Escondido

Graphia Escritura

CRIPTOGRAFIA

Es la ciencia de escribir de forma

secreta
 CRIPTOGRAFA
En tiempos de los romanos usaban cifrados por
sustitucin
Julio Cesar populariz uno que consista en desplazar
cada carcter tres posiciones en el alfabeto
Actualmente para la encriptacin no seria de datos se
usa ROT-13 que consiste en desplazar los caracteres 13
posiciones.

Ej. La a se convierte en n, la b en o y as sucesivamente

 CRIPTOGRAFA
A medida que fueron apareciendo las
computadoras que podan ejecutar millones de
clculos por segundo, aumento la demanda de
mayores cifrados.

Las contraseas de Linux se crean utilizando un

avanzado algoritmo de cifrado de IBM llamado
Data Encryption Standard (norma de cifrado de
datos) o DES
 Data Encryption Standard (DES)
Tiene 28 aos

1970 EE.UU. Utilizaba muchos cifrados en

entornos clasificados, secretos y de alto secreto

1973 Se cre la National Burean of Standards

1977 El DES de IBM es Apoyado por la

National Burean of Standards y la National Security
Agency
 DES
DES es un algoritmo matemtico para encriptar y
desencriptar informacin en cdigo binario.

Encriptacin cifrado
Desencriptacin texto sin formato

El encriptado y desencriptado se apoyan en una

clave de 64 dgitos binarios, 56 se utilizan para el
cifrado y 8 para comprobacin de errores.
 DES
Efecta tres operaciones

1) Permutacin inicial: los bits se desplazan a

otras posiciones en un tabla.

2) Bloque de entrada: el bloque se reordena

mediante operaciones matemticas
(transformacin)
3) Bloque de pre salida: Se le aplica otra
permutacin y el resultado es el texto
mezclado o texto cifrado
 ATAQUES A DICCIONARIO
DES no es infalible, por lo que las contraseas
codificadas con DES pueden romperse en cuestin de
minutos, por dos razones:

El factor Humano: Los usuarios eligen contraseas

simples
Longitud limitada: Las contraseas en Linux son
cortas, el nmero de transformaciones es relativamente
pequeo
 ATAQUES A DICCIONARIO
Los atacantes toman grandes listas de palabras y los
codifican utilizando DES, envan palabras corrientes,
nombres propios y otro texto a travs de las mismas
permutaciones y transformaciones.
Los atacantes pueden codificar cada palabra del
diccionario de 4.096 formas diferentes, cuando obtiene
el texto codificado lo compara con las contraseas de
/etc/passwd y cuando encuentra una contrasea avisa al
agresor que se ha roto la contrasea.
 MONOGRAFIA: RUPTURA DE CONTRASEAS DE
LINUX A TRAVES DE ATAQUE A DICCIONARIO
Se necesita:
Las contraseas de /etc/passwd
Herramienta adecuada para auditar contrasea (Crack)
Los archivos de configuracin: dictgrps.conf,
dictrun.conf y network.conf
Historial de seguridad
Para ejecutar el Crack hay que ser root
 EJECUCIN PARA ROMPER CLAVE
Se ejecuta en varias fases:

Descomprimir Crack

Crear Crack

Ejecutar Crack

Observar los resultados

 EJECUCIN PARA ROMPER CLAVE
Descomprimir Crack

Descomprimir el directorio root utilizando gunzip

Gunzip crack5.0.tar.gz
Se descomprime a un archivo de tipo tar llamado crack5.0.tar,
usando el comando tar: tar xvf crack5.0.tar
Se crear un directorio llamado c50a, al que habr que
cambiarse para crear el crack.
 EJECUCIN PARA ROMPER CLAVE
Crear Crack

Escribir la lnea de comando ./Crack makeonly observar el

siguiente mensaje: all made in util make[1]: Leaving
directory/root/c50a/src/util Crack: makeonly done
Compilar los diccionarios: Crack makedit
Cuando acabe mostrar el siguiente mensaje:
Crack: Created new dictionary...
Crack: makedict done
 EJECUCIN PARA ROMPER CLAVE
Ejecutar Crack

Se puede romper directamente el archivo /etc/passwd

pero para mayor comodidad y entendimiento se ha
copiado el archivo en passwords.txt.

Para ejecutar Crack se introduce el siguiente comando:

Crack passwords.txt
 EJECUCIN PARA ROMPER CLAVE
Observar los resultados

Se utiliza la herramienta Reportque se encuentra en el directorio

/c50a: ./Reporter
Ejemplo.Se han encontrado 4 contraseas en 2 minutos que eran
muy dbiles:

Guessedmarty [marty] MartyRush [passwords.txt/bin/bash]

GuessedNicole [alexalex] Caldera OpenLinux User [passwords.txt/bin/bash]
Guessedmanny [willow] Caldera OpenLinux User [passwords.txt/bin/bash]
Guessedmoe [solace] Caldera OpenLinux User [passwords.txt/bin/bash]
 CRACK
Las herramientas del CRACK son muy valiosas ya que
ayudan a probar la robustez relativa de las contraseas de
los usuarios, Pero como cualquier otra herramienta CRACK
puede ser usado tambin por malas malos
Durante muchos aos los intrusos se dirigieron a
/etc/passwd porque era donde se almacenaban las
contraseas, en consecuencia de esto los especialistas se
vieron forzados a darle solucion a este problema y es de ah
que surgi el shadowiing
SHADOWING DE CONTRASEAS Y LA SUITE
SHADOW
El shadowing de contraseas es una tcnica mediante la
que el archivo /etc/passwd sigue siendo legible pero ya no
contiene las contraseas. En su lugar, se almacenan en
/etc/shadow.

La herramienta ms popular que realiza el shadowing es

Linux Password Shadow Suite. Tras instalar el paquete de
shadow se debe de examinar

La base de dados de contraseas de shadow es

/etc/shadow.
 SHADOWING DE CONTRASEAS Y LA SUITE
SHADOW
/etc/shadow consta de un registro por lnea con nueve campos:
1. El nombre de usuario
2. La contrasea de usuario
3. Fecha en la que se cambi la contrasea por ltima vez
4. Nmero de das que queda para permitir al usuario cambiar su contrasea.
5. Nmero de das de antelacin con que se avisa al usuario de que tendr que
cambiar su contrasea.
6. Nmero de das que queda para que el usuario cambie su contrasea antes
de que su cuenta sea cancelada.
7. Nmero de das desde que la cuenta ha sido cancelada.
8. Est reservado
 SHADOWING DE CONTRASEAS Y LA SUITE
SHADOW
Implementa dos nuevos conceptos:

Vencimiento de la contrasea(tiempo de vida limitado)

Bloqueo automtico de cuenta(se bloquean las cuentas

sino cambian las contraseas o se han caducado).
UTILIDADES DE SUITE SHADOW Y SUS FUNCIONES
Utilidad Funcin
Chage Se utiliza para cambiar la informacin de expiracin de
contrasea de los usuarios.
Gpaswwd Se utiliza para aadir nuevos usuarios a los grupos.
Groupadd Se utiliza para aadir nuevos grupos
Id Un sustituto de la suite shadow para el comando id. Es
una utilidad que muestra el UID y la
informacin asociada.
Passwd Un sustituto de la suite shadow para el comando
passwd. Sirve para crear nuevas contraseas de usuario o para
cambiar las existentes.
Userdel Se utiliza para borrar usuarios. Este comando borrar
al usuario y su directorio de origen.
usermod Se utiliza para cambiar la informacin de un
usuario(shell, tiempo de expiracin de
contrasea,etc.).
AADIR USUARIOS CON SHADOWING: USERADD

Para aadir un usuario con shadowing se utiliza:

useradd, que gestiona las entradas de /etc/passwd,
/etc/group y /etc/shadow.

Aplicacin: useradd (/user/sbin/useradd)

Necesita: useradd
Archivos de configuracin: Ninguno
Historial de seguridad: UID o root
AADIR USUARIOS CON SHADOWING: USERADD
Opciones de la lnea de comandos de useradd:

Opcin Propsito
-c Para especificar el nombre real del usuario o un
comentario.
-d Para especificar el directorio de inicio del
nuevo usuario.
-g Para asignar el usuario a un grupo especfico
-m Se utiliza para que useradd cree el directorio de
inicio del nuevo usuario.
-s Para especificar la shell predeterminada del
nuevo usuario
u Para especificar el UID del nuevo usuario
AADIR USUARIOS CON SHADOWING: USERADD

Si se llama al useradd sin argumentos, aparece un

resumen de uso.
usage: useradd[-u uid] [-g group] [-m] [-d home][-s
shell][-r rootdir] [-e expire dd/mm/yyyy][-f inactive]
name useradd -D useradd v

Esta es una lnea mnima que creara una entrada de

usuario en:
/etc/passwd, /etc/group y /etc/shadow
TRAS LA INSTALACIN DE SUITE SHADOW
El shadowing de contraseas es un excelente
comienzo, pero no puede garantizar la seguridad de
las contraseas del sistema.

Se debe ampliar el concepto de seguridad:

Eleccin humana de contraseas y seguridad del

sistema
Comprobacin proactiva de las contraseas
Seguridad auxiliar de las contraseas
 ELECCIN HUMANA DE CONTRASEAS Y
SEGURIDAD DEL SISTEMA
Se deben elegir contraseas fuertes y no a partir de datos
personales del usuario.
Crack rompera cualquier contrasea de este tipo en
segundos.
Las computadoras actuales tienen una gran potencia de
proceso, y las herramientas de ataque a diccionarios se han
vuelto muy avanzadas.
Las herramientas como crack son valiosas. Mediante la
comprobacin regular de la fortaleza de las contraseas, es
posible asegurarse de que ningn intruso pueda penetrar en la
red aprovechando una mala eleccin de la contrasea.
COMPROBACIN PROACTIVADE CONTRASEAS
Hace que se eliminen las contraseas dbiles antes de su envo a
la base de datos de contraseas.

Cuando un usuario crea una contrasea, sta se comparar

en primer lugar con una lista de palabras y una serie de reglas.

Si la contrasea no cumple los requisitos de este proceso se

obliga al usuario a elegir otra.

Actualmente existen 3 comprobadores proactivos de

contraseas que prevalecen:
Passwd+
Anlpasswd
npasswd
 COMPROBACIN PROACTIVADE CONTRASEAS

Comprobacin proactiva de contraseas Passwd+

Grandes capacidades de registro, de sesiones, errores, usuarios,

reglas y xito o fracaso en el cambio de una contrasea.

Especificacin del n de caracteres significativos de la

contrasea.
Algunas reglas proporcionadas:
El n oficina, Telf.., nombre de host y dominio prohibidas
Las contraseas deben tener como mnimo n caracteres de
longitud
Las contraseas deben mezclar maysculas y minsculas
El nombre y apellidos prohibidos (al derecho o al revs)
El nombre de conexin prohibido (al derecho y al revs)
 COMPROBACIN PROACTIVADE CONTRASEAS

Comprobacin proactiva de contraseas Anlpasswd

Escrito en cdigo Perl, bien documentado, utiliza el archivo

de diccionarios que se elija y permite crear reglas
personalizadas.

Las reglas predeterminadas son:

Nmeros con espacios
Maysculas y minsculas con espacios
Todo en mayscula o en minscula
Todo nmeros
La 1 letra mayscula y nmeros
Todas las combinaciones de las anteriores.
 COMPROBACIN PROACTIVADE CONTRASEAS

Comprobacin proactiva de contraseas npasswd

Npasswd es un sustituto del comando passwd de UNIX y de los

SO similares.

Somete a las contraseas de usuario a estrictas pruebas de

capacidad de adivinacin.
Npasswd est diseado para complementar o reemplazar
los programas estndar de cambio de contraseas: passwd,
chfn y chsh.
Su distribucin cuenta con un conjunto de herramientas
de desarrollo para poder ampliarlo o incorporarlo a otras
aplicaciones.
 OTROS ASPECTOS DE LA SEGURIDAD DE
CONTRASEAS

El shadowing no garantiza la seguridad completa de las

contraseas, ya que una red Linux media existen muchos
otros mecanismos de contrasea, muchos de los cuales no
utilizan /etc/passwd o /etc/shadow para su autentificacin.
Examinaremos otras posibilidades de ataques y cmo se
pueden resolver:

Proliferacin de contraseas y seguridad

Mdulos de autentificacin que pueden conectarse
Otras soluciones para la seguridad de contraseas
 PROLIFERACIN DE CONTRASEAS Y
SEGURIDAD
Hasta el momento nos hemos centrado principalmente en las
contraseas de inicio de sesin. Sin embargo dentro de un
esquema mayor, stas son solo el principio.

Puede existir la posibilidad de tener al menos 5 contraseas:

 PROLIFERACIN DE CONTRASEAS Y
SEGURIDAD
Pero Linux es un sistema multiusuario y sabemos que es posible
que tenga la intencin de tener unos cuantos usuarios, por
ejemplo 5:
 PROLIFERACIN DE CONTRASEAS Y
SEGURIDAD
Para tener un sistema completo, supongamos que utiliza
Linux en un entorno empresarial:
 PROLIFERACIN DE CONTRASEAS Y
SEGURIDAD
La red podra tener 200 contraseas con 2 posibilidades:

La mayora de contraseas iguales: Si los usuarios crean

contraseas idnticas para varias aplicaciones, si alguna de
ellas tiene agujeros de seguridad, el sistema podra ser
invadido.

La mayora de las contraseas diferentes: Hace que los

usuarios escojan contraseas fciles para no olvidarse, y por
lo tanto, muy dbiles.
Las aplicaciones no suelen implementar un almacenamiento
de contraseas completamente seguro.
 PROLIFERACIN DE CONTRASEAS Y
SEGURIDAD

Incremento de las demandas del pblico de nuevas

herramientas de red.

Los desarrolladores siguen generando aplicaciones

innovadoras y lanzndolas rpidamente al mercado, a
menudo sin un control estricto de seguridad.
El mercado de consumo se llena de aplicaciones que
almacenan o transmiten contraseas de forma insegura.
MDULOS DE AUTENTIFICACIN QUE PUEDEN
CONECTARSE (PAM)
PAM, permiten cambiar la forma en que las
aplicaciones de Linux ejecutan la autentificacin sin
tener que reescribirlas ni compilarlas.

Los PAM proporcionan muchas opciones de gestin de

autentificacin, de cuentas, de sesiones y de
contraseas, y se han utilizado para desarrollar
operaciones de autentificacin como la firma nica (es
cuando un usuario se autentifica una sola vez en una
red de mquinas de confianza).
MDULOS DE AUTENTIFICACIN QUE PUEDEN
CONECTARSE (PAM)
Algunos mdulos PAM tpicos son:

Pam_cracklib= un comprobador proactivo de

contraseas que puede conectarse
Pam_deny= fuerza la autentificacin y deniega
cualquier sesin en la que no se haya proporcionado
una autentificacin o sta haya resultado fallida
Pam_pwdb= un mdulo de base de datos de
contraseas que pueden conectarse, que
proporciona expiracin de contraseas, avisos, etc.
Pam_group= asigna y rastrea la pertenencia a un
grupo de los usuarios y de sus sesiones terminales
 OTRAS SOLUCIONES EXTICAS PARA LA
SEGURIDAD DE LAS CONTRASEAS

Controles de acceso biomtrico (seguridad fsica)

Estas herramientas autentifican al usuario basndose en el
olor corporal, estructura facial, huellas dactilares, patrones
del iris o retina, voz, etc. Son poco realistas debido a su alto
coste

Contraseas que se utilizan una sola vez

Las contraseas desechables no se transmiten por la red. En
su lugar, el servidor reta al cliente con un valor numrico,
que el cliente puede utilizar para generar un valor secreto
adecuado para la transmisin de retorno.