Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 Resumen—Aquí se presenta la actividad de colaborativa de la Unidad 1 – Introducción a la Criptografía, para desarrollar las actividades según la guía para la Fase 2 diseño y construcción. Donde se realizan ejercicios haciendo uso de la herramienta Openssl que implementa diferentes rutinas criptográficas, desarrollando actividades enfocadas a la firma digital, contraseñas inseguras y live http headers, de tal manera que se unifiquen en este articulo la actividad colaborativa con aportes de los participantes del grupo. Palabras Clave—Criptografía, código, contraseñas inseguras, firma digital, hash, MD5, salt, script, Abstract- Here collaborative activity Unit 1 presents - Introduction to Cryptography to develop activities according to the guidance for Phase 2 design and construction. Where exercises using OpenSSL cryptographic tool that implements different routines, activities focused on developing digital signature, weak passwords and live http headers, so that in this article are unified collaborative activity with input from group participants are made . Key Words-Cryptography, code, weak passwords, digital signature, hash, MD5, salt, script. I. INTRODUCCIÓN plicar los conocimientos adquiridos mediante la investigación relacionando unificadamente los aportes de los participantes del grupo para la actividad colaborativa denominada Fase 2 – diseño y construcción, de acuerdo a la práctica de firma digital, contraseñas seguras y live http headers, siendo estos parte de la temática general del curso de Criptografía,en la unidad 1 Introducción a la criptografía, dando respuesta a los interrogantes propuestos en el desarrollo de las actividades.De esta manera se adquieren conceptos útiles de cada aporte, y constituyen un insumo importante generador de conocimiento para el equipo de trabajo. La criptografía responde a la necesidad de codificar mensajes que sólo pueda descifrar el destinatario y se ha aplicado tanto a defensa, como a secretos industriales y, en los últimos años, sobre todo, al comercio electrónico. Esto es así porque actualmente la seguridad de los sistemas informáticos se ve debilitada por el fuerte crecimiento de las redes y cuando se trata este tema hay que tener en cuenta un aspecto tan importante como la privacidad e integridad de los datos. II. PRACTICA FIRMAS DIGITALES Las firmas Digitales son bastante útiles en estos tiempos, pero se debe comprender su funcionamiento para evitar futuros problemas de seguridad en dicho proceso. A continuación se ejecutará un ejercicio haciendo uso de la herramienta Openssl que implementa diferentes rutinas criptográficas, deben instalarla en el entorno de trabajo que deberá virtualizar, se recomienda virtualizar la última versión de Debían, así que los pasos a seguir son los siguientes: Descargar archivos: ➢ Archivo_1y.ps ➢ Archivo_2z.ps • Ejecutar el siguiente comando en el terminal de Debían: “openssl genrsa” para generar una pareja de claves: Sánchez Ávila Gilbert Jair Escuela de Ciencias Básicas, Tecnología e Ingeniería Universidad Nacional Abierta y a Distancia – Grupo 233011_7 gilbertjair21@yahoo.es, (Septiembre de 2015) Actividad No. 1: Unidad 1 - Introducción a la Criptografía, Fase 2 - Diseño y Construcción A mailto:gilbertjair21@yahoo.es 2 ➢ Archivo de salida: rsa_2048.key ➢ Tamaño de la pareja de claves en bits: 2048 ➢ Exponente público: “65537” ➢ Cifrado de la clave privada: AES ➢ con una clave de 128 bits ➢ Contraseña: cripto2015 ➢ Comando: openssl genrsa -aes192 -f4 -passout pass:cripto2015 -out rsa_2048.key 2048 Fig. 1. Generación de Clave privada Fuente: El Autor El procedimiento genera el siguiente archivo: rsa_2048.key. Fig. 2. Archivo de clave privada Fuente: Autor • El siguiente paso es extraer la clave, se debe ejecutar el siguiente comando en el terminal de Debían: “openssl rsa”: Clave pública:rsa_2048_pub.key ➢ Archivo de entrada: rsa_2048.key ➢ Archivo de salida: rsa_2048_pub.key ➢ Comando: openssl rsa -in rsa_2048.key -passin pass:cripto2015 -pubout -out rsa_2048_pub.key Fig. 3 Generación de la clave publica Fuente: El Autor El procedimiento genera el siguiente archivo: rsa_2048_pub.key Fig.4 Archivo clave publica Fuente: Autor 3 • En el entorno AVA se subirá un comprimido que contendrá los siguientes archivos: ➢ Archivo_1y.ps cd ➢ Archivo_2z.ps cr Fig. 5. Archivos 1y y 2z Fuente: Autor • Deberán firmar con el comando “openssl dgst” y la clave “rsa_2048.key” el documento “archivo_2z.ps”. Se hará uso de la función hash (resumen) criptográfica MD5 para calcular la firma. ➢ Archivo que se va a proceder a firmar: archivo_2z.ps ➢ Clave privada: rsa_2048.key ➢ Contraseña: cripto2015 ➢ Función hash (resumen): md5 ➢ Archivo de salida (firma): firma_archivo_2z.txt ➢ Comando a ejecutar en el terminal de Debían para ejecutar el proceso antes mencionado: openssl dgst -sign rsa_2048.key -md5 -passin pass:cripto2015 -out firma_archivo_2z.txt archivo_2z.ps Fig. 6. Generación de la firma digital Fuente: Autor Como resultado se genera el archivo de la firma. Fig.7. Firma digital Fuente: Autor • Deberán verificar con el comando “openssl dgst” y la clave pública “rsa_2048_pub.key” la firma digital del archivo generado en el proceso anterior “firma_archivo_2z.txt” pero haciendo uso del archivo “archivo_1y.ps” como documento firmado. ➢ Archivo que contiene la firma digital: firma_archivo_2z.txt ➢ Archivo firmado: archivo_2z.ps ➢ Clave pública: rsa_2048_pub.key ➢ Función hash (resumen): md5 ➢ Comando: openssl dgst -verify rsa_2048_pub.key -md5 -signature firma_archivo_2z.txt archivo_1y.ps Fig. 8. Archivo de la firma digital Fuente: Autor 4 Fig. 9. Verificación de firma digital Fuente: Autor Respuesta a preguntas: ✓ ¿Qué resultado obtuvieron en este proceso de firma digital, esto sí debería suceder o ser posible? Se generaron un par de claves una privada y una pública para poder firmar el documento. ✓ Qué es una función hash MD5? La función hashMD5es un algoritmo que consiguen crear a partir de una entrada ya sea un texto, una contraseña o un archivo una salida alfanumérica de longitud de 128bits (32 dígitoshexadecimales) que representa un resumen de toda la información que se le ha dado. El algoritmo MD5 no sirve para cifrar un mensaje. La información original no se puede recuperar ya que hay pérdida de datos. MD5 es usado para firmas digitales.[1] ✓ ¿Por qué obtuvieron dicho resultado? ¿Cuál es la debilidad en el sistema de firma digital OpenSSL? Se generó un archivo con la firma digital (firma_archivo_2z.txt) para el archivoarchivo_2z.ps utilizando el hash MD5, pero al verificar la firma digital (firma_archivo_2z.txt) se utilizó otro archivo archivo_1y.ps dando como resulto OK, podemos verificar la función hash MD5 de los dos archivos por medio del siguiente comando md5sum archivo_1y.ps y md5sum archivo_2z.ps podemos observar que son los mismos. Fig. 10. Comprobación del hash MD5 Fuente: Autor Este es una vulnerabilidad llamada ataque de colisión hash “se produce al aplicar a dos archivos distintos una función hash y que éstos arrojen la misma salida”. III. SEGURIDAD DE CONTRASEÑAS En este punto nos enfocaremos a la seguridad de las contraseñas, para ello es importante que tengan conceptos básicos sobre temas como: ataque diccionario, programar script, John The Ripper, con estos conceptos podrán realizar este punto que se tratará de atacar contraseñas. Ataque diccionario:Es un tipo de ataque informático relacionado al hacking que utiliza un diccionario de palabras para llevar a cabo su cometido. Porejemplo, para ingresar a un sistema con contraseña, se puede utilizar un diccionario con palabras frecuentes y un programa automáticamente irá probando una a una para descifrarla. También suele usarse en el envío de spam, probando direcciones de correo electrónico usando un diccionario. Contrasta con el ataque por fuerza bruta, en donde las claves son buscadas sistemáticamente. En el ataque por diccionario, sólo se prueban las posibilidades de una lista de palabras. Este tipo de ataque tiende a funcionar debido a que muchas personas 5 emplean claves sencillas, incluso palabras del diccionario, tal vez apenas combinadas con uno o dos números. Algunas herramientas empleadas en el ataque por diccionario (aunque algunas no tienen el objetivo de ser ilícitas) son Brutus, Cain, Crack by Alec Muffett, John the Ripper, L0phtCrack, Metasploit Project, THC Hydra y Medusa. Protección frente a un ataque por diccionario:La protección más usual para evitar un ataque por diccionario, consiste en establecer un límite a la cantidad de intentos para ingresar a una cuenta de usuario. Cuando ese límite se alcanza, ya no será posible intentar acceder al sistema, teniendo que esperar un determinado tiempo o, incluso, debiéndose contactar con el administrador. También elegir una buena contraseña ayuda a evitar este tipo de ataques (u otros). Lo ideal es que las contraseñas tengan más de 7 caracteres, que empleen mayúsculas y minúsculas, y usen letras y números.[2] John the Ripper: Es una herramienta de crackeo de contraseñas escrita en C y muy utilizada por los analistas de seguridad para comprobar la robustez de una clave frente a ataques de fuerza bruta. En este artículo vamos a ver cómo puede utilizar un administrador de sistemas John the Ripper para comprobar la seguridad de la clave del equipo. De esta forma comprobaremos si somos vulnerables a un ataque de fuerza bruta o diccionario por parte de un pirata informático que busca obtener acceso remoto (o local) al mismo.[3] Suponiendo que contamos con el siguiente alfabeto Alfabeto 1: a b c d e f g h i j k l m n o p q r s t u v w x y z Alfabeto 2: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Alfabeto 3: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + <> ? = ( ) / % # Alfabeto 4: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z : . ; , _ + <> ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9 Utilizaremos un script que se relacionará en el aula virtual. Este script tiene una característica que permite realizar un ataque de fuerza bruta para encontrar contraseñas de tres caracteres sobre el Alfabeto. Fig. 11. Script ataque fuerza bruta Fuente: https://www.dropbox.com/sh/2844smnjju7g725/AABOKtGz7 fRpP2yUR1bfuxeha?dl=0 Programación de scripts: Los scripts (guiones) son meros ficheros de texto ASCII que presentan una serie de órdenes y estructuras organizadassecuencialmente. Así pues el script se ejecuta de forma lineal-secuencial orden tras orden.Los lenguajes scripts son lenguajes "interpretados". Lo que quiere decir que sus órdenes secuenciales son interpretadas porun sistema o programa padre.Descargamos el script dentro de máquina virtual en OS Debían 8.0, a través del navegador Fig. 12 Script en Debían 8.0 Fuente: Autor Después de descargar el script lo movemos de la carpeta Descarga a la carpeta Escritorio. ✓ Utilizar el script para hallar la contraseña del Alfabeto 1, que equivale una contraseña de tres caracteres. Recuerden completar el campo de 6 tiempo, allí deben especificar el tiempo real utilizado para encontrar la contraseña. 1. El programa tiene como parámetro de entrada o Input el "Salt" y el “hash” de la contraseña, estos datos están descritos en la tabla que visualizarán más adelante. A continuación se dará un ejemplo de cómo ejecutar el script en Debían 8.0, recuerden que esto lo deben ejecutar desde el terminal de Debían y tener permisos de súper root, el script también deberá tener permisos para poder ser ejecutado: ✓ Descargar Script: ✓ https://www.dropbox.com/sh/2844smnjju7g725 /AABOKtGz7fRpP2yUR1bfuxeha?dl=0 Por ejemplo: time ./script ok ok961FcL7R4oU Donde ok es el salt y ok961FcL7R4oU es el hash de la contraseña, el resultado Dará como salida: tst, qué hace referencia a la contraseña encontrada. PARA TENER EN CUENTA: Este "script" debe ser ejecutado (deben proporcionar permisos para ejecutarlo) en una consola de comandos de Debían 8.0 y utilizar "OpenSSL". En la plataforma Linux esta herramienta ya está instalada. Fig. 12. Script en el Escritorio Fuente: Autor Luego se realizar el cambio de permisos al script, por la opción de propiedades, clic derecho sobre el archivo. Fig. 13. Cambio de permisos Script Fuente: Autor Seleccionamos las propiedades para el script. Fig. 14. Seleccionar permisos script Fuente: Autor Luego ejecutamos la Terminal para ingresar como usuario root. Fig. 15. Ingresar con usuario root Fuente: Autor https://www.dropbox.com/sh/2844smnjju7g725/AABOKtGz7fRpP2yUR1bfuxeha?dl=0 https://www.dropbox.com/sh/2844smnjju7g725/AABOKtGz7fRpP2yUR1bfuxeha?dl=0 7 Enseguida ingresamos al directorio donde se encuentra el script. Fig. 16. Ingresar al directorio del script Fuente: Autor Ataque de fuerza bruta utilizando un script Fig. 17. Ejecutar el script Fuente: Autor Asignamos privilegios plenos Fig. 18. Asignar permisos ejecución Fuente: Autor Posteriormente se ejecuta el script para el primer alfabeto. Fig. 19. Primera contraseña Fuente: Autor ✓ Modificar el código del script para encontrar la contraseña del "Alfabeto 2" equivalente a tres caracteres en longitud. Deben capturar pantalla del Script modificado y del resultado obtenido, recuerden tener en cuenta el tiempo para completar la casilla de tiempo en la tabla. Para continuar con lo requerido en la actividad, se procede a editar el script cambiando el número del alfabeto a trabajar space1 y lo cambiamos por space2. Fig. 20. Editar script Fuente: Autor Realizando los cambios en el script se obtiene la segunda contraseña. Fig. 21. Segunda contraseña 8 Fuente: Autor ✓ Modificar el código del script para lograr completar el resto de contraseñas de la tabla.La tercera clave no se obtuvo con el script en mención, y fue necesario aplicar otras herramientas. Fig. 22. Tercera contraseña Fuente: Autor ✓ Buscar un método, si así lo desea, para poder encontrar todas las contraseñas, en caso de no lograrlo con el script.Para dar continuidad se utilizara la herramienta John The Ripper, procedemos a instalarlo. Fig. 23. Instalación John de Ripper Fuente: Autor Para la obtención de la sexta contraseña, es necesario crear un texto con el hash llamando hash6. Fig. 24. Hash6 Fuente: Autor Procedemos a realizar el ataque. Fig. 25 Ataque Fuente: Autor A continuación se muestra una tabla que contiene algunos datos como el número de caracteres que contiene la contraseña ya cifrada, también se cuenta con los hash de cada contraseña, para el ejercicio deberán hacer uso del hash y el salt de la tabla. Tabla 1. Contraseñas cifradas Alfabeto Número caracteres Salt Hash contraseña Contraseña Tiempo Alfabeto 1 3 ss. zzxro5xjinmvM yep 57 seg Alfabeto 2 3 OO OOxtB6h5YruaA YEP 7 min 45seg Alfabeto 3 3 U. U./Se8tPqytD2 Alfabeto 4 3 4Y 4Yy77AHdCPNqY Alfabeto 1 5 bb bbzNErQvUSZOI. marta Alfabeto 1 6 uu uuFPJnWAcNys2 madrid 0.2 seg Fuente: Autor y la guía de actividadesdel curso 9 ✓ ¿Qué es un Salt? ¿Para qué se usa? Una sal criptográfica es un dato que se utiliza durante el proceso de hash para eliminar la posibilidad de que el resultado pueda buscarse a partir de una lista de pares precalculados de hash y sus entradas originales, conocidas como tablas rainbow. Es decir, una sal es un pequeño dato añadido que hace que los hash sean significantemente más difíciles de crackear. Existe un gran número de servicios online que ofrecen grandes listas de códigos hash precalculados, junto con sus datos de entrada originales. El uso de una sal hace muy difícil o imposible encontrar el hash resultante en cualquiera de estas listas. ¿Por qué debo usar hash en las contraseñas de los usuarios de mi aplicación? El hash de contraseñas es una de las consideraciones de seguridad más elementales que se deben llevar a la práctica al diseñar una aplicación que acepte contraseñas de los usuarios. Sin hashing, cualquier contraseña que se almacene en la base de datos de la aplicación podrá ser robada si la base de datos se ve comprometida, con lo que inmediatamente no sólo estaría comprometida la aplicación, sino también las cuentas de otros servicios de nuestros usuarios, siempre y cuando no utilicen contraseñas distintas.Si aplicamos un algoritmo hash a las contraseñas antes de almacenarlas en la base de datos, dificultamos al atacante el determinar la contraseña original, pese a que en un futuro podrá comparar el hash resultante con la contraseña original.[4] IV. LIVE HTTP HEADERS Pruebas con live http headers para hackear contraseñas de facebook o correos: Ya hemos instalado Live Http Headers en la Fase 1 del curso, ahora para hackear la contraseña de alguna victima, lo primero que se tiene que hacer antes de que la victima abra su facebook o correos es abrir el live http headers y dejarlo minimizado, en este imagen vemos que no ha capturado ningún código de los encabezados. Fig. 26. Abrir el live http headers Fuente: Autor Vamos a probar esto colocando un correo y password en el facebook, por ejemplo pruebacripto@hotmail.comy un password de prueba (1234), mientras vamos colocando esos datos vemos que el componente de live headers sigue capturando datos (ver siguiente imagen): Fig. 27. Contraseña de prueba Fuente: Autor En este caso la contraseña es errónea, pero el componente live http headers sigue capturando los datos enviados a la página, ver siguiente imagen: Fig. 28. Capturando datos Live http headers mailto:pruebacripto@hotmail.com 10 Fuente: Autor Ahora suponemos que una víctima ha ingresado a su cuenta de facebook, esta vez con la contraseña correcta y mire su facebook normalmente, en este caso mostramos en esta imagen que el componente live http headers sigue trabajando, aunque en la vida real para que el ataque de efecto tenemos que dejar el componente minimizado y esperar que la víctima se vaya del puesto de trabajo para poder tomar los datos (más adelante daremos a conocerel ejecicio). Fig. 29. Ingreso al Facebook Fuente: Autor Ahora suponemos que la víctima ingresa a su cuenta de correo personal, y el componente de live http headers también captura los datos que toma el formulario de inicio de sesión (correo y password) para acceder a nuestra cuenta de correo electrónico, (aquí vemos a live http headers actuando) en la vida real obviamente tenemos que dejar esto minimizado para que la víctima no se dé cuenta y tener éxito en el ataque: Fig. 30. Ingreso a cuenta de correo electonico Fuente: Autor Ahora suponemos que la víctima se levantó del puesto de trabajo por alguna razón, en ese momento el atacante abre la aplicación y donde dice guardar todo (recuadro en rojo) le damos un nombre al archivo y una ubicación (incluso esa información se guardar como un documento .txt o bloc de notas y se puede guardar en una memoria USB) una vez hecho esto el atacante se puede ir con la información guardada y analizar para un ataque o acceso a las cuentas de facebook o correos de la víctima. 11 Fig. 31. Capturando información Fuente: Autor Análisis de la información encontrada Una vez el atacante se ha ido para su casa con el documento guardado en el que se tiene los encabezados de las páginas web que ha accedido la victima a lo largo del día abre ese bloc de notas y en la opción buscar colocamos la palabra pass: Fig. 32. Verificando contraseña de la victima Fuente: Autor Podemos ver que nos aparece el password del usuario en facebook pruebacripto@hotmail.com y la clave es 1234 (ver bien la imagen donde está el color verde) Seguimos dándole buscar la palabra pass a lo largo del documento y vemos que se recoge los encabezados de facebook (ver recuadro verde de la imagen) si vemos el recuadro en rojo de esta imagen vemos el correo asociado a esa cuenta de facebook y en pass la clave de esa cuenta de facebook Fig. 33.Identificando contraseñas live http headers Fuente: Autor Aquí podemos ver ahora si en detalle lo anterior, ver esta imagen: Fig. 34. Contraseña de la supuesta víctima de ataque Fuente: Email:coronelturman@hotmail.com Password: gjsa8031 Si seguimos dándole pass ahora vemos que busca la información no solo de facebook o de otras redes sociales sino también de cuentas de correo como la que probamos anteriormente: 12 Fig. 35. Pass para identificar más contraseñas Fuente: Autor Aquí vemos los datos de la cuenta de correo usada para este ejercicio en detalle: Fig. 36. Datos cuenta de correo electrónico Fuente: Cuenta de correo gilbertuts@hotmail.com Password: jair8031 Ver el vídeo de cómo obtener información por medio de un complemento, el vídeo lo pueden encontrar en el siguiente link: una vez lo visualicen responder a las siguientes preguntas: Respuesta a las preguntas: ✓ ¿Por qué se presenta esta falla de seguridad? Live http headers su función es interceptar las cabeceras que manda nuestro navegador a un servidor, esto se puede decir que nosotros cuando por ejemplo escribimos un usuario y clave en un formulario de una página web estos datos se envían hacia un servidor especifico (servidor de Hotmail, servidor de facebook etc...)En ese momento hacemos la función de cliente, los servidores procesan nuestra solicitud y si aceptada pues ejecutan lo que los pedimos en este caso sería dejarnos entrar a nuestro correo o facebook etc... live http headers funciona como una especie de sniffer interceptando todo el tráfico que pasa por el puerto 80,además de eso live http headers no solo analiza las cabeceras sino que nos puede servir para modificarlas y ejecutar diversos ataques de inyección de códigos (XSS por ejemplo). ✓ ¿Que se debería Encriptar para que no suceda este error? Se debe Encriptar los datos de envió de los formularios de los aplicativos web cuando esto van hacia el servidor buscando solución a las solicitudes de la página en cuestión que hace la función cliente, Encriptar las peticiones GET o POST ✓ ¿Cuál sería la solución para solventar este error? Una de las soluciones seria que los programadores de estas aplicaciones web revisaran los códigos fuentes, se pueden guiar por la metodología de OWASP para estos análisis y revisiones. También que el administrador de red este monitoreando el flujo de datos constantemente para ver si hay irregularidades, también podríamos usar un WAF (firewall de aplicaciones web) el cual filtra los envíos de mensajes por HTTP por medio de reglas las cuales bloquean ataques como XSS e inyecciones SQL y usar VPN para que los equipos se conecten entre sí como si fuera una red local. También es recomendablecomo usuarios revisar nuestro equipo para ver si hay programas extraños instalados si es así desinstalarlos o eliminarlos, actualizar el antivirus, no bajar programas desconocidos ni abrir correos desconocidos, también podemos una vez nos levantemos de un puesto de trabajo dejar el equipo con sesión de usuario con su respectiva clave o que el protector de pantalla se active al poco tiempo inactividad y al protector de pantalla colocarle una clave mientras llegamos al puesto de trabajo, otra recomendación seria cambiar la contraseña seguido de nuestras cuentas de correo y redes sociales. V. CONCLUSIONES La seguridad informática es algo primordial para un usuario, y en la actualidad existen diferentes formas para poder proteger la información del usuario, entre ellas la criptografía. La criptografía es una de los mejores métodos para la protección de nuestra información, ya que en base a caracteres o sustitución de letras se logra una mayor protección para documentos o para mensajes de manera que sean de difícil descifrado para los usuarios que tengan fines malicioso del uso de nuestra información. 13 En este caso vemos que usar el algoritmo MD5 en openssl el cual vemos que tiene falencias en seguridad lo cual no es recomendable para almacenar contraseñas se aconseja usar SHA512 ya es mas imperceptible con respecto a MD5. El Salt es útil para almacenar el hash de la contraseña ya que introduce elementos que impiden que un atacante use contraseñas que ya están compilados en hash de contraseñas anteriores. Y es muy usado en aplicaciones como seguridad en esquemas de contraseñas protegiendo estos datos. También como usuarios normales tener presente que a nuestras contraseñas de correo y cuentas sociales no hacerlas de frases o palabras conocidas sino usar combinaciones alfanuméricas ,mayúsculas y minúsculas para que dificulte a un potencial atacante incluso cuando use programas para hacer ataques de fuerza bruta (se prueban todas las combinaciones posibles al descifrar una contraseña ) o diccionario (usar palabras comunes por los usuarios) en programas como Hydra o Jhon the Reaper y estar cambiando las contraseñas periódicamente o cuando se tenga sospecha de que nos han accedido a nuestras cuentas de redes sociales y correo, con esto ayudamos a proteger nuestros datos de un potencial atacante. VI. REFERENCIAS [1] Grupo ADSL Zone, «Criptografía : Algoritmos de autenticación (hash),» MD5, 2015. [En línea]. Available: http://www.redeszone.net/2010/11/09/criptografia- algoritmos-de-autenticacion-hash/. [Último acceso: 19 Septiembre 2015]. [2] L. Alegsa, «Definición de ataque por diccionario (hacking),» ALEGSA.com.ar, 16 Noviembre 2010. [En línea]. Available: http://www.alegsa.com.ar/Dic/ataque%20por%20diccion ario.php. [Último acceso: 19 Septiembre 2015]. [3] Grupo ADSL Zone, «John The Ripper: Crackea contraseñas de usuarios en Linux,» Redes @ Zona, 2014. [En línea]. Available: http://www.redeszone.net/seguridad-informatica/john- the-ripper-crackear-contrasenas/. [Último acceso: 17 Septiembre 2015]. [4] The PHP Group, «Hash de contraseñas seguro ¶,» PHP, 2014. [En línea]. Available: http://php.net/manual/es/faq.passwords.php. [Último acceso: 22 Septiembre 2015]. [5] CCM.NET, «Criptografía,» Julio 2015. [En línea]. Available: http://es.ccm.net/contents/129-criptografia. [Último acceso: Agosto 2015]. [6] J. A. P. Cadavid, «La criptografía y la protección a la información digital,» 2010. [En línea]. Available: http://dialnet.unirioja.es/servlet/articulo?codigo=364762 3. [Último acceso: Agosto 2015]. [7] Hispasec, «Cifrado GSM. ¿Desarrollo cerrado o desarrollo intencionado?,» Febrero 2000. [En línea]. Available: https://www.jcea.es/artic/hispasec33.htm. [Último acceso: Agosto 2015]. [8] Tu Web Venezuela, «Qué es y cómo protegerse de una ataque diccionario,» 2011. [En línea]. Available: http://www.tuwebvenezuela.com/vernoticias.php?Id=81. [Último acceso: 19 Septiembre 2015]. [9] L. Sanchez, «Instalar las Guest Additions en Debian,» 03 Marzo 2014. [En línea]. Available: https://www.youtube.com/watch?v=6S8FQGGgvZE . [Último acceso: Septiembre 2015]. [10] G. Maretti, «Compartir carpetas Windows a Ubuntu (VirtualBox) [Win8-Ubuntu 12.04],» 19 Marzo 2014. [En línea]. Available: https://www.youtube.com/watch?v=Le7lD0RxSI0. [Último acceso: Septiembre 2015]. [11] U. d. México, «El último clavo al ataúd del hash MD5: Generalizan colisiones criptográficas,» Coordinación de Seguridad de la Información, 05 Noviembre 2014. [En línea]. Available: http://www.seguridad.unam.mx/noticia/?noti=2012. [Último acceso: Septiembre 2015]. [12] El Blog de Loretahur , «Instalando John The Ripper,» Lorena Fernández, 27 Julio 2007. [En línea]. Available: http://blog.loretahur.net/2007/07/instalando-john- ripper.html. [Último acceso: Septiembre 2015]. [13] Taringa, «HTTP al Descubierto,» 2014. [En línea]. Available: http://www.taringa.net/posts/info/13845034/HTTP-al- Descubierto.html. [Último acceso: Septiembre 2015]. [14] SOPHOS, «Ataque por fuerza bruta,» 2013. [En línea]. Available: https://www.sophos.com/es-es/threat- center/threat-analyses/threatsaurus/a-to-z-of- threats/b/brute-force-attack.aspx. [Último acceso: Septiembre 2015]. [15] J. H. Rivera, «Programación Shell bajo Linux,» [En línea]. Available: https://aurea.es/assets/scriptsenlinux.pdf. [Último acceso: Septiembre 2015]. 14
Compartir