La Comunidad DragonJAR

Los diccionarios de passwords, esos archivos que tanto usamos en nuestros ataques de fuerza bruta, con la esperanza de encontrar en su interior una combinación de letras, que formen la contraseña de algún usuario en un servicio que estemos auditando, son de gran ayuda e indispensables en la caja de herramientas de  cualquier auditor; Podemos encontrar listas de passwords con nombres comunes, nombres de famosos, de películas, de ciudades, con los passwords mas utilizados, e incluso crear o extrapolar nuevos… pero hoy traigo otro tipo de passwords, passwords de sitios cuyas bases de datos han sido expuestas en la red.

En esta tabla podemos encontrar sitios tan populares como MySpace, Facebook, Carders.cc, Hack5, los cuales han sufrido ataques en sus servidores y los datos de sus usuarios quedaron expuestos…

También les puede interesar el listado de Diccionarios para Realizar Ataques de Fuerza Bruta publicado hace poco en la comunidad.

Este documento pretende ser de forma explícita, la opción de poder obtener la clave WEP de los router Thomson, en sus versiones 6 y 7, de las cuales se ha realizado pruebas satisfactorias.

Estos routers son distribuidos en Mexico por una compañía que presta los servicios de internet, en España creo que por Orange, y en Guatemala por la empresa que ya conocemos, y que es la principal en los servicios de internet residencial.

Bueno, sin mas preámbulo vamos a las prueba, que pienso que es lo que mas apreciamos, si es cierto es lo que mas aprecio cuando alguien divulga algo interesante sobre las redes inalámbricas, aunque después me toque que leer la introducción. (claro esta que en emergencias la introducción se pasa por alto, si, eso, el conocimiento hace que saltemos ese paso) Leer más…

Si para ti no es suficiente el Listado de Diccionarios para Realizar Ataques de Fuerza Bruta que publicamos hace poco o quieres realizar tu propio diccionario basandote en algunas palabras claves especificas, RSMangler es para ti.

RSMangler es un script desarrollado en Ruby por la compañía de seguridad RandomStorm (los mismos creadores del DVWA – Damn Vulnerable Web App), que tomando como base una lista de palabras y realizando sobre cada una varias manipulaciones logra obtener un diccionario mucho mas completo que el original, para utilizarlo en nuestras herramientas. Leer más…

Hace poco pasaba por la pagina de PC Word y me encontré con un titulo bastante llamativo “Wi-Fi Key-cracking Kits Sold in China Mean Free Internet“, al parecer en china se esta poniendo de moda unos Kits para crackear las redes inalámbricas y obtener Internet de forma gratuita, que se venden a muy bajo costo ($24USD) y con el cualquier persona, sin importar el conocimiento técnico que posea, puede conseguir las claves de las redes wireless de sus vecinos.

Leer más…

Gracias a un mensaje de Tom Brennan, me entero de un problema en el Administrador de Contraseñas del Mozilla Firefox, que permite a un atacante mediante XSS (Cross-site scripting) obtener la clave de un usuario almacenada en el navegador.

El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar. Leer más…

Científicos de la Universidad de Michigan, descubrieron un fallo en OpenSSL (popular paquete open source, de administración y librerías sobre criptografía), que permite a un atacante obtener el componente privado de una clave RSA.

Los científicos universitarios encontraron que podían deducir pequeñas piezas de una clave privada mediante la inyección de pequeñas fluctuaciones en el suministro de energía de un dispositivo  mientras realiza el procesamiento de mensajes cifrados. En poco más de 100 horas, manipulando la alimentación del dispositivo, generaron suficientes “fallos transitorios”  para reunir la totalidad de su clave de 1024 bits. Leer más…

En nuestra comunidad ya hemos visto como resetear contraseña de root utilizando GRUB, también hemos visto como evitar que otras personas cambien tu contraseña por este medio, pero siempre es bueno tener en video todos estos contenidos estáticos, para una mejor compresión. Por eso les dejo estos 2 videos que encontré en el blog del Instituto Tecnológico de Sonora, donde realizan el reseteo de la contraseña root en 2 distribuciones bastante populares, CentOS y Ubuntu. Leer más…

Siglos atrás, cuando empezaron a conformarse sociedades grandes y complejas en donde existían intereses particulares que no debían ser conocidos, se recurría a la utilización de métodos de comunicación que garantizaran el  secreto o confidencialidad de la información a compartir. Por ejemplo Julio César utilizaba un sistema de cifrado1 (de sustitución monoalfabética) para comunicarse con sus fuerzas militares dentro y fuera de Roma, diseño que mucho más tarde fue mejorado en el siglo XIX por Blaise de Vigenère a quien se le atribuyó el desarrollo de un cifrador de sustitución polialfabética2 mucho más elaborado, en el cual se empleó por primera vez el uso de una clave compartida (tal como en la actualidad).

Hasta el siglo XIX las sustituciones y transposiciones constituían las técnicas más comunes para ocultar mensajes a compartir,  mismas que eran confiables hasta que alguien lograba descubrir su funcionamiento (o algoritmo). Actualmente en cambio, se aplican las matemáticas como base fundamental de la criptografía, aportando un nivel de seguridad evidentemente mucho más elevado en donde los algoritmos incluso son conocidos por el público. Leer más…