2012. május 20., vasárnap

password dictionary - jelszó szótár

Egy jó jelszószótárra minden rendes IT biztonsággal foglalkozó szakembernek szüksége van. Leginkább gyenge jelszavak kiszűrésére.

Itt van egy tavalyi analízis a jelszó használatról :

http://netforbeginners.about.com/gi/o.htm?zi=1/XJ&zTi=1&sdn=netforbeginners&cdn=compute&tm=605&f=00&su=p284.13.342.ip_p504.6.342.ip_&tt=3&bt=1&bts=1&zu=http%3A//www.troyhunt.com/2011/06/brief-sony-password-analysis.html

Itt pedig a leggyakrabban használt jelszavak listája :
http://netforbeginners.about.com/gi/o.htm?zi=1/XJ&zTi=1&sdn=netforbeginners&cdn=compute&tm=1221&f=00&su=p284.13.342.ip_p504.6.342.ip_&tt=3&bt=1&bts=1&zu=http%3A//www.duosecurity.com/docs/top250gawker.txt

Ezen kívül még pár hasznos dolog :

Férfi és női nevek listája :
http://www.nytud.hu/oszt/nyelvmuvelo/utonevek/osszesffi.pdf
http://www.nytud.hu/oszt/nyelvmuvelo/utonevek/osszesnoi.pdf

(pdf 2 txt konverter windows-ra :
http://www.colorpilot.com/pdf2text.html )

Becenevek :
http://www.nevnaptar.eu/kutya_nevek.php

Mesehősök nevei, klubcsapat rövidítések, jegyzéke, népszerű állatok, stb...
(Ezeket mindenki magának elő tudja állítani - csak az kell ami gyorsan az eszébe jut az embernek)

Dictionary maker :
http://lastbit.com/dictmaker/default.asp

Ezen kívül még szükség lehet a egy dátumokat tartalmazó listára.
Ezt egy kétsoros batch fájllal elő lehet állítani :
echo off
for %%C in (50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99) do for %%A in (01 02 03 04 05 06 07 08 09 10 11 12) do for %%B in (01 02 03 04 05 06 07 08 09 10 11 10 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31) do echo 19%%C%%A%%B
make_datum.bat > Wordlist_datum_1950_1999_01.txt

(Ez 19500101-től 19991231-ig tartalmazza a dátumokat. természetesen ezt még lehet variálni, hogy a 01 helyett 1-et használunk, vagy elhgyjuk az évszám első vagy második karakterét, stb. Ez a fájl önmagában is használható, ha a születési dátum a jelszó, de páldául kevert dictionary attack-hoz is nagyon jó, ahol szavak és dátumok vizsgálatát próbáljuk ki. Például : Andi19561023, stb. Egy ilyen jelszót a nevek és a dátum kombinálásával ki lehet szűrni. Név + Dátum típusú jelszavak visszafejtéséhez ezek alkalmas eszközök.

A dátumnál esetleg az évszámot is el lehet hagyni és akkor egy név + hónapnap vizsgálatot lehet csinálni.
Akár egy programot is lehet írni, ami a név és a dátum.txt-kből előállít egy kombinált dictionary-t.
Erre a kombinált dictionary-re utána további kombinációkat lehet ráfuttatni : Leetkey, , + speciális karakter konverziókat.

Értelmes tartalmak használata mindenképpen gyorsabb, mint brute force alkalmazása. Ráadásul egy Andi19561023 jelszóra egy brute force már igen sokáig futna :

http://lastbit.com/pswcalc.asp


Bejegyezte: dátum: 12 megjegyzés:

2012. május 17., csütörtök

SheepDip

A SheepDip egy olyan mesterséges környezet, ahol a "veszélyesnek" ítélt file-okat, adathotdozókat, programokat kipróbálhatjuk mielőtt az éles környezetben károkat okoznánk velük.
 Ez tulajdonképpen nem más, mint egy speciális virtuális gép amiben fut pár előre feltelepített alkalmazás amiknek a segítségével analizálhatjuk a programokat és egyéb adathordozókat, mielőtt az éles környezetben elindítanánk. Én egy Windows XP-t használok erre a célra. Telepítettem egy avast vírusírtót, amit updatelek a vizsgálat előtt. Van egy mentés a rendszerről egy snapshot amire bármikor vissza lehet térni, ha esetleg kárt tenne a program a rendszerben és manuális módon nem lehetne kijavítani.. A következő programokat használom a vizsgálathoz :
  • Process Explorer, Process Monitor 
  • Regshot, JV Power tools 
  • SrvMan , ServiWin 
  • Starter 
  • Netresident és Tcpview 
  • Bintext 
  • Ollydbg 
Mielőtt a programot elindítanám preparálni kell a rendszert. Kell készíteni egy lenyomatot a registry-ről. A fontosabb operációs rendszer fájlokról is kell készíteni egy integritás lenyomatot fciv-vel. Monitorozom a programot a Process monitorral és a hálózatot a tcpview-al vagy a netresident-el (vagy mindkettővel) A virtuális gép természetesen futhat host-only környezetben, de ha a programot futás időben akarom megfigyelni, akkor jobb bridgelt környezetben futtatni, mert így azt is lehet látni, ha adatokat küld valamerre. Ezzel a környezettel egyúttal a vírusirtót (AntiMalware , Anti Spyware szoftvereinket) is tudjuk tesztelni. Fennakad-e a hálójukon a kártékony kód vagy sem. A Starter, SrvMan, Serviwin, bittext és a többi tool pedig akkor kell, ha káros programot talál a vizsgálat. Ebben az esetben gyorsan lehet lokalizálni, hogy a kártékony program hol próbál meg beépülni a rendszerbe.Registry-be, Service-ként, op-rendszer fájlt felülírva, vagy melyik módszert próbálja meg használni.
Bejegyezte: dátum: 2 megjegyzés:

2012. május 1., kedd

A Metasploit használata és a Social Engineering Toolkit - SET

Hogy mi ez a SET arról nem írnék, mert ezt már megtették előttem mások :

http://www.teteny.bme.hu/~puding/set.html

Itt van egy részletes leírás a használatáról angolul :

http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29

Elsősorban nem arról írnék, hogy hogy kell használni, hanem konkrét tapasztaltokról, milyen szoftverek milyen verziói mellett milyen eredmények születtek.

Szóval SET. Több modulját is kipróbáltam, de up-to-date gépeken nem tudott problémát okozni. Pdf attachmentet próbálgattam, de még nem néztem végig az összes lehetőséget. Az, hogy pdf-hez exe kódot lehet csatolni szerintem többeket megtéveszthet és ha olyan e-mail címről jön az üzenet akit megbízhatónak gondol simán végignyomkodja a gombokat és a pdf-hez csatolt exe lefut. Bár ha van vírusirtó a gépen és friss akkor az általában blokklja az ilyen próbálkozásokat. És ha az adobe is friss, akkor az se engedélyezi ezt. de egy régebbi reader és vírusirtú nélküli gép simán áldozatul eshet egy ilyen támadásnak... A helyzet az, hogy le akarok tenni egy CEH vizsgát úgyhogy most leginkább ezzel a témával fogok foglalkozni és az ismeretterjesztést későbbre halasztom. A CEH tanúsítványhoz egy 150 kérdéssorból álló angol nyelvű vizsgán kell megfelelni úgyhogy rendesen fel kell rá készülni. Ha lesz valami érdekes vagy hasznos infó amit szerintem érdemes itt megosztani, akkor billentyűzetet fogok ragadni...de addig is elő a tankönyvekkel és az oktató videókkal és készülök. (Valójában a végső cél egy LPT lenne (Licensed Penetrator Tester) de ahhoz a CEH-en kívül még egy komoly vizsgát le kell tenni (ECSA) de egyelőre úgy néz ki, hogy ezzel szeretnék foglalkozni így valószínűleg lesz rá időm,kedvem,energiám is.
Bejegyezte: dátum: 8 megjegyzés:
Címkék: ,
Feliratkozás: Bejegyzések (Atom)