7/24/2019 As Redes Sociais e a Fora Bruta
1/32
Entendendo como as MdiasSociais Revolucionaram os
Ataques de Fora Bruta
Henrique SoaresAnalista de Segurana
7/24/2019 As Redes Sociais e a Fora Bruta
2/32
$ whoami
Analista do Grupo Clavis
Mestre em Informtica pela UFRJ
Deteco e resposta a incidentes de
segurana
Testes de invaso em redes, sistemas e
aplicaes.
7/24/2019 As Redes Sociais e a Fora Bruta
3/32
Agenda
Ataques sobre Senhas 101
Estatsticas Interessantes
Utilizando as Mdias Sociais
Concluso
7/24/2019 As Redes Sociais e a Fora Bruta
4/32
Agenda
Ataques sobreSenhas 101
7/24/2019 As Redes Sociais e a Fora Bruta
5/32
Fora Bruta vs. Recuperao de Senhas
Objetivos deste tipo de ataque: White Hat: Descobrir usurios com senhas fracas Black Hat: Obter acesso no-autorizado
Os ataques geralmente so eficazessomente sobre senhas fracas
Ataques sobre Senhas 101
Introduo
7/24/2019 As Redes Sociais e a Fora Bruta
6/32
Senha fraca !Fcil de adivinhar
Dicas clssicas para criar senhas fortes:
Misturar letras maisculas, minsculas, nmerose caracteres especiais
No utilizar palavras que podem ser encontradasem dicionrios (de nenhuma lngua)
Prestar ateno no nmero de caracteres No utilizar uma senha em mltiplos servios
No usar senhas sugeridas em palestras!!! !
Ataques sobre Senhas 101
O Que Caracteriza uma Senha Fraca?
7/24/2019 As Redes Sociais e a Fora Bruta
7/32
No-Computacional
No envolvem computadores
Offline No necessitam conectividade
Passivo
No interagem com o alvo na rede
Ativo
Interagem com o alvo na rede
Ataques sobre Senhas 101
Classificao dos Ataques
7/24/2019 As Redes Sociais e a Fora Bruta
8/32
Agenda
EstatsticasInteressantes
7/24/2019 As Redes Sociais e a Fora Bruta
9/32
Tamanho das senhas "5 (1,01%), 6 (21,79%), 7 (14,04%), 8 (20,58%), 9 (12,22%),
10 (8,647%), 11 (5,9%), 12 (4,83%), #13 (10,99%)
Senhas mais comuns 123456 (64), 123456789 (18), alejandra (11), 111111 (10),
alberto (9), tequiero (9), alejandro (9), 12345678 (9)
Conjunto de caracteres a (41,57%), aA1 (29,73%), 1 (19,11%),
aA1@ (6,33%), aA (3,26%)
Fonte: http://www.acunetix.com/blog/news/statistics-from-10000-leaked-hotmail-passwords/
Estatsticas Interessantes
Vazamento de credenciais do Hotmail
7/24/2019 As Redes Sociais e a Fora Bruta
10/32
Tamanho das senhas 6 (20,75%), 7 (15,64%), 8 (32,79%), 9 (15,04%), 10 (8,99%),
11 (3,77%), 12 (1,8%), 13 (0,68%), #14 (0,53%)
Conjunto de caracteres a1 (47,66%), a (24,57%), aA1 (12,16%), 1 (7,71%)
Ordenao dos caracteres
s (27,57%), 1 (7,71%) s1 (49,05%), s1s (5,24%), 1s (3,16%), 1s1 (0,94%) s@1 (1,35%), s@s (0,46%), s@ (0,34%), @s (0,05%),
@s@ (0,04%), @ (0,0%)
Fonte: http://pastebin.com/5pjjgbMt
Estatsticas Interessantes
Vazamento de credenciais do LinkedIn
7/24/2019 As Redes Sociais e a Fora Bruta
11/32
Tamanho das senhas "5 (1,93%), 6 (17,98%), 7 (14,82%), 8 (26,9%), 9 (14,9%), 10
(12,37%), 11 (4,79%), 12 (4,91%), #13 (1,47%)
Senhas mais comuns 123456 (1666), password (780), welcome (436), ninja (333),
abc123 (250), 123456789 (222), 12345678 (208)
Conjunto de caracteres
a1 (50,61%), a (33,08%), 1 (5,89%), Aa1 (5,25%)
Ordenao dos caracteres s1 (41,85%), 1a (5,64%), s1s (4,22%), 1s1 (1,05%)
Fonte: http://blog.eset.se/statistics-about-yahoo-leak-of-450-000-plain-text-accounts/
Estatsticas Interessantes
Vazamento de credenciais do Yahoo
7/24/2019 As Redes Sociais e a Fora Bruta
12/32
Que as
Mdias Sociais
tm com isto?
Foca!!!
7/24/2019 As Redes Sociais e a Fora Bruta
13/32
Agenda
Utilizando asMdias Sociais
7/24/2019 As Redes Sociais e a Fora Bruta
14/32
Dica de senha
Adivinhao da senha pela dica
Mecanismo de recuperao de senhas Alterao da senha pelo fornecimento de
informaes pessoais
Ataques de dicionrio Adivinhao por um teste iterativo de
possveis senhas
Mdias Sociais
Ataques sobre Senhas
7/24/2019 As Redes Sociais e a Fora Bruta
15/32
Mdias Sociais
Cenrio 1: Dica de Senha
7/24/2019 As Redes Sociais e a Fora Bruta
16/32
Mdias Sociais
Cenrio 1: Dica de Senha
7/24/2019 As Redes Sociais e a Fora Bruta
17/32
Informaes pessoais !Identidade
Problema: muitas pessoas tm postado informa-es pessoais (e at ntimas) em mdias sociais
Como resolver este problema? Que informao pessoal a ponto de identificar,
mas desinteressante de postar em redes sociais?
Soluo: Comunicar-se com o cliente por outrocanal de comunicao pr-estabelecido
Eficaz s se boas prticas no forem seguidas
Mdias Sociais
Cenrio 2: Recuperao de Senha
7/24/2019 As Redes Sociais e a Fora Bruta
18/32
Ataque sobre a recuperao de senha
Pedia informaes facilmente obtidas na Internet
Atacante encontrado, julgado e condenado
Acusaes incluram: Obstruo da Justia Acesso no-autorizado a computador
Fraude eletrnica Roubo de identidade
Sarah Palin no ganhou as eleies de 2008Fonte: http://wikileaks.org/wiki/VP_contender_Sarah_Palin_hacked
Mdias Sociais
Caso Sarah Palin
7/24/2019 As Redes Sociais e a Fora Bruta
19/32
Ataque de tentativa/erro com wordlists
Ser bem-sucedido se a senha estiver na wordlist
O que faz uma boa wordlist? Senhas com boa probabilidade de acerto Senhas mais relevantes $Alvo bem definido
Como Mdias Sociais podem auxiliar? Senha fcil de lembrar $Informaes pessoais Wordlists baseadas em informaes pessoais
so mais relevantes que aleatrias
Mdias Sociais
Cenrio 3: Ataque de Dicionrio
7/24/2019 As Redes Sociais e a Fora Bruta
20/32
Ferramenta livre para criao de wordlists
Caractersticas: Permite criar wordlists a partir de um charset Gera todas strings possveis com este charset
Mas e a? Funciona?
Funcionar at funciona, mas e o tempo? Senhas com baixssima probabilidade de estarem
sendo usadas por um usurio real
Mdias Sociais
Ferramenta: Crunch
7/24/2019 As Redes Sociais e a Fora Bruta
21/32
Mdias Sociais
Ferramenta: Crunch
7/24/2019 As Redes Sociais e a Fora Bruta
22/32
Ferramenta livre para obteno de informao
Caractersticas: Busca informaes em mdias pblicas sobre
domnios ou empresas alvo Coleta emails, hosts e virtual hosts
Mas isto ajuda em que? Fornece nomes de usurios vlidos Informaes sobre a infraestrutura alvo
Mdias Sociais
Ferramenta: The Harvester
7/24/2019 As Redes Sociais e a Fora Bruta
23/32
Mdias Sociais
Ferramenta: The Harvester
7/24/2019 As Redes Sociais e a Fora Bruta
24/32
Ferramenta livre para criao de wordlists
Caractersticas: Recebe informaes pessoais sobre o alvo e cria
uma wordlist com base nestes dados
Mas e agora?
Atacar com sua ferramenta favorita John the Ripper, Aircrack-NG, THC-Hydra, Medusa, etc
Vale frisar: nada garantido! HULK SMASH!!!
Mdias Sociais
Ferramenta: CUPP
7/24/2019 As Redes Sociais e a Fora Bruta
25/32
Mdias Sociais
Ferramenta: CUPP
7/24/2019 As Redes Sociais e a Fora Bruta
26/32
Mdias Sociais
Ferramenta: CUPP
7/24/2019 As Redes Sociais e a Fora Bruta
27/32
Concluso
Agenda
7/24/2019 As Redes Sociais e a Fora Bruta
28/32
No escreva sua senha em mdias sociais
Tem SEMPRE algum olhando!!!
No utilize uma senha em mltiplos servios Caso se descubra a senha em um servio, o
atacante no ter acesso aos outros servios
Escolha senhas fortes e difceis de adivinhar Utilizar uma boa senha ainda uma boa
medida de segurana
Concluso
Medidas Importantes
7/24/2019 As Redes Sociais e a Fora Bruta
29/32
No escreva sua senha em papel
Aproveite o fato de no terem inventado aindamtodos de leitura da mente
Se possvel, utilize autenticao multi-fator Mais camadas de segurana no fazem
mal a ningum! !
Cuidado com a exposio excessiva No informe aos criminosos de sua cidade
para onde voc est indo!!!
Concluso
Medidas Importantes
7/24/2019 As Redes Sociais e a Fora Bruta
30/32
Dvidas?
Perguntas?
Crticas?
Sugestes?
7/24/2019 As Redes Sociais e a Fora Bruta
31/32
Siga a Clavis
7/24/2019 As Redes Sociais e a Fora Bruta
32/32
Muito Obrigado!
@hrssoares
Henrique SoaresAnalista de Segurana
henriquerssoares