From ruben.colina at gmail.com Wed Jun 9 07:18:35 2010 From: ruben.colina at gmail.com (Ruben Colina) Date: Wed, 9 Jun 2010 09:48:35 -0430 Subject: [caracas-pm] =?iso-8859-1?q?averiguar_contrase=F1as_d=E9biles_en_?= =?iso-8859-1?q?ldap?= Message-ID: Buenas mongers, a ver si me pueden ayudar con esto, En la empresa donde laboro hemos tenido problemas con cuentas de correo que est?n siendo utilizadas para enviar SPAM y varias de estas cuentas tenian claves 1234, 123456 etc. Existir? alguna manera de encontrar con perl las claves d?biles en un servidor ldap? por que pensaba generar las claves con slappasswd sencillas y verificar con las que est?n el en ldap pero cada vez el hash resultante es diferente por la semilla usada en cada proceso. El script con el que estoy leyendo el ldap es el siguiente: #!/usr/bin/perl use strict; use Net::LDAP; my $ldap = Net::LDAP->new( 'DIRECCION_IP' ); my $mesg = $ldap->bind('cn=admin,dc=example', password => 'claveadmin' ); $mesg = $ldap->search( base => "ou=Personas,dc=example", filter => "(uid=*)" ); $mesg->code && die $mesg->error; foreach my $entry ($mesg->entries) { print $entry->get_value('uid') . ":" . $entry->get_value('userPassword') . " \n" ; } $mesg = $ldap->unbind; El resultado obtenido es un listado como el siguiente: pperez:{SSHA}KfEG+JyOUbl06mAPgjc/X90o6O+tHcAw tcolina:{SSHA}U+Rh61xOi3cZ1nlbx3MRyI1f/XQjr+7v etc Si alguien me puede dar una idea se lo agradecer?a, Muchas Gracias. -- Ruben Colina Geek By Nature, Debian of Course GNU/Linux User, Linux Counter #414784 Director de Educaci?n de AVTec Alternativa Venezolana de Tecnolog?a Telf: 04123330943 -------------- next part -------------- An HTML attachment was scrubbed... URL: From lem at itverx.com.ve Wed Jun 9 07:52:55 2010 From: lem at itverx.com.ve (Luis E. =?ISO-8859-1?Q?Mu=F1oz?=) Date: Wed, 09 Jun 2010 10:22:55 -0430 Subject: [caracas-pm] =?iso-8859-1?q?averiguar_contrase=F1as_d=E9biles_en_?= =?iso-8859-1?q?ldap?= In-Reply-To: References: Message-ID: <1276095175.32753.13.camel@maclem-ether.ius.cc> On Wed, 2010-06-09 at 09:48 -0430, Ruben Colina wrote: > Buenas mongers, a ver si me pueden ayudar con esto, > En la empresa donde laboro hemos tenido problemas con cuentas de > correo que est?n siendo utilizadas para enviar SPAM y varias de estas > cuentas tenian claves 1234, 123456 etc. Existir? alguna manera de > encontrar con perl las claves d?biles en un servidor ldap? por que > pensaba generar las claves con slappasswd sencillas y verificar con > las que est?n el en ldap pero cada vez el hash resultante es diferente > por la semilla usada en cada proceso. El script con el que estoy > leyendo el ldap es el siguiente: > > #!/usr/bin/perl > [snip, script para generar listado de hashes] Hola Ruben, Imagino que ya pasaste por http://people.binf.ku.dk/~hanne/blog/?postid=37 (o alguno de sus derivados) para obtener la lista de hashes, pues pareciera que de all? sali? el script que muestras. Te est?s encontrando con un problema cl?sico. Hay varias cosas que debes hacer, algunas relevantes a esta lista, otras off-topic. En el link que puse m?s arriba, hay instrucciones sobre la instalaci?n de John The Ripper. JTR es una herramienta ?til para ejecutar ataques de fuerza bruta / diccionario contra colecciones de passwords como la que construiste con tu script. Definitivamente puedes hacer con Perl lo mismo que hace JTR, o puedes usar "The Perl Way" y aceptar que si ya hay una buena herramienta que hace lo que quieres, es mejor no reinventarla. ("Flojera buena" aplicada). Vas a encontrar que un buen n?mero de las claves van a ser triviales, especialmente cuando construyes tu propio diccionario "tropicalizado" a tu empresa. Perl puede ser ?til para eso. En otra vida, yo hac?a cosas como convertir conjuntos muy grandes de documentos de la empresa en diccionarios que pod?a usar para alimentar a JTR. En mi caso ese esfuerzo me di? quiz?s un 2% m?s de claves comprometidas. Lo siguiente que va a pasar, es que vas a cambiar esas claves por otras m?s robustas. Si s?lo haces eso, en menos de 6 meses continuar?s teniendo problemas porque los usuarios volver?n a moverse hacia claves triviales. Debes entonces enfocarte en hacer en paralelo, estas dos cosas: (1) Implantar un mecanismo que detecte los intentos de adivinar claves y responda afirmativamente -- Piensa en llevar la cuenta de los fallos de autenticaci?n y luego de pasar alg?n umbral, actualizar reglas de firewall para dejar fuera al atacante. (2) Implantar un mecanismo que _obligue_ a que las claves sean robustas antes de aceptarlas. Esto es, debes tener controles proactivos y reactivos, con los reactivos retroalimentando a los procesos. Ahora trata de decir esto r?pido. Perl puede ser ?til para implantar mucho de lo que te digo aqu?, pero este problema requiere m?s que un par de scripts como soluci?n. Saludos -lem From ruben.colina at gmail.com Wed Jun 9 09:29:07 2010 From: ruben.colina at gmail.com (Ruben Colina) Date: Wed, 9 Jun 2010 11:59:07 -0430 Subject: [caracas-pm] =?iso-8859-1?q?averiguar_contrase=F1as_d=E9biles_en_?= =?iso-8859-1?q?ldap?= In-Reply-To: <1276095175.32753.13.camel@maclem-ether.ius.cc> References: <1276095175.32753.13.camel@maclem-ether.ius.cc> Message-ID: gracias por responder, yo ya he tratado con JTR pero no pude descifrar ninguna de las claves, esto es un sistema que herede tendr?a que ver como puedo implementar pol?ticas para poder usar claves mas robustas. muchas gracias El 9 de junio de 2010 10:22, Luis E. escribi?: > On Wed, 2010-06-09 at 09:48 -0430, Ruben Colina wrote: > > Buenas mongers, a ver si me pueden ayudar con esto, > > En la empresa donde laboro hemos tenido problemas con cuentas de > > correo que est?n siendo utilizadas para enviar SPAM y varias de estas > > cuentas tenian claves 1234, 123456 etc. Existir? alguna manera de > > encontrar con perl las claves d?biles en un servidor ldap? por que > > pensaba generar las claves con slappasswd sencillas y verificar con > > las que est?n el en ldap pero cada vez el hash resultante es diferente > > por la semilla usada en cada proceso. El script con el que estoy > > leyendo el ldap es el siguiente: > > > > #!/usr/bin/perl > > [snip, script para generar listado de hashes] > > Hola Ruben, > > Imagino que ya pasaste por > http://people.binf.ku.dk/~hanne/blog/?postid=37 (o alguno de sus > derivados) para obtener la lista de hashes, pues pareciera que de all? > sali? el script que muestras. > > Te est?s encontrando con un problema cl?sico. Hay varias cosas que debes > hacer, algunas relevantes a esta lista, otras off-topic. > > En el link que puse m?s arriba, hay instrucciones sobre la instalaci?n > de John The Ripper. JTR es una herramienta ?til para ejecutar ataques de > fuerza bruta / diccionario contra colecciones de passwords como la que > construiste con tu script. > > Definitivamente puedes hacer con Perl lo mismo que hace JTR, o puedes > usar "The Perl Way" y aceptar que si ya hay una buena herramienta que > hace lo que quieres, es mejor no reinventarla. ("Flojera buena" > aplicada). > > Vas a encontrar que un buen n?mero de las claves van a ser triviales, > especialmente cuando construyes tu propio diccionario "tropicalizado" a > tu empresa. Perl puede ser ?til para eso. En otra vida, yo hac?a cosas > como convertir conjuntos muy grandes de documentos de la empresa en > diccionarios que pod?a usar para alimentar a JTR. En mi caso ese > esfuerzo me di? quiz?s un 2% m?s de claves comprometidas. > > Lo siguiente que va a pasar, es que vas a cambiar esas claves por otras > m?s robustas. Si s?lo haces eso, en menos de 6 meses continuar?s > teniendo problemas porque los usuarios volver?n a moverse hacia claves > triviales. > > Debes entonces enfocarte en hacer en paralelo, estas dos cosas: > > (1) Implantar un mecanismo que detecte los intentos de adivinar claves y > responda afirmativamente -- Piensa en llevar la cuenta de los fallos de > autenticaci?n y luego de pasar alg?n umbral, actualizar reglas de > firewall para dejar fuera al atacante. > > (2) Implantar un mecanismo que _obligue_ a que las claves sean robustas > antes de aceptarlas. > > Esto es, debes tener controles proactivos y reactivos, con los reactivos > retroalimentando a los procesos. Ahora trata de decir esto r?pido. > > Perl puede ser ?til para implantar mucho de lo que te digo aqu?, pero > este problema requiere m?s que un par de scripts como soluci?n. > > Saludos > > -lem > > > > -- -- Ruben Colina Geek By Nature, Debian of Course GNU/Linux User, Linux Counter #414784 Director de Educaci?n de AVTec Alternativa Venezolana de Tecnolog?a Telf: 04123330943 "El amor es como una mariposa. Mientras m?s lo persigues m?s te evade. Pero si lo dejas volar, regresar? a ti cuando menos lo esperes. El amor puede hacerte feliz, pero muchas veces duele. Sin embargo, el amor s?lo es especial cuando se lo entregas a alguien que realmente se lo merece". -------------- next part -------------- An HTML attachment was scrubbed... URL: From jfvasque at me.gob.ve Thu Jun 10 13:29:47 2010 From: jfvasque at me.gob.ve (jfvasque at me.gob.ve) Date: Thu, 10 Jun 2010 15:59:47 -0430 Subject: [caracas-pm] inscripcion en las lista hermanos Message-ID: <20100610155947.pv5qru6r4ogkw4k4@correo.me.gob.ve> amigos este es mi correo para incluirlos en las lista de pm cual son los pasos a seguir gracias <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ***** USO DEL CORREO ELECTRONICO DE MPPE HACIA INTERNET ***** Este mensaje puede contener informaci?n de inter?s s?lo para el Ministerio del Poder Popular para la Educaci?n u otras Instituciones relacionadas. S?lo est? permitida su copia, distribuci?n o uso a personas autorizadas. Si Ud. recibi? esta nota por error, por favor destr?yala y notifique al remitente y/o al Ministerio del Poder Popular para la Educaci?n. ...Moral y Luces: Toda la Patria, una Escuela... <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ****************** MPPE INTERNET MAIL USE ***************** This message may contain privileged, confidential or proprietary information for the sole use of Ministerio del Poder Popular para la Educacion and related parties. The use, copy or distribution of this message may only be made by and to authorized parties. If you received this message by mistake, please destroy it and notify to the sender and /or Ministerio del Poder Popular para la Educaci?n. ...Moral y Luces: Toda la Patria, una Escuela... From lem at itverx.com.ve Thu Jun 10 14:01:33 2010 From: lem at itverx.com.ve (Luis E. =?ISO-8859-1?Q?Mu=F1oz?=) Date: Thu, 10 Jun 2010 16:31:33 -0430 Subject: [caracas-pm] inscripcion en las lista hermanos In-Reply-To: <20100610155947.pv5qru6r4ogkw4k4@correo.me.gob.ve> References: <20100610155947.pv5qru6r4ogkw4k4@correo.me.gob.ve> Message-ID: <1276203693.7350.63.camel@maclem-ether.ius.cc> On Thu, 2010-06-10 at 15:59 -0430, jfvasque at me.gob.ve wrote: > amigos este es mi correo para incluirlos en las lista de pm cual son > los pasos a seguir gracias Un excelente comienzo, es evitar que tus correos incluyan la coletilla que est? m?s abajo y que por definici?n, ser?a falaz en tus mensajes a la lista. Saludos -lem > <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> > > ***** USO DEL CORREO ELECTRONICO DE MPPE HACIA INTERNET ***** > Este mensaje puede contener informaci?n de inter?s s?lo para el > Ministerio del Poder Popular para la Educaci?n u otras Instituciones > relacionadas. > S?lo est? permitida su copia, distribuci?n o uso a personas > autorizadas. Si Ud. recibi? esta nota por error, por favor > destr?yala > y notifique al remitente y/o al Ministerio del Poder Popular para la > Educaci?n. > ...Moral y Luces: Toda la Patria, una Escuela... > > <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> > > ****************** MPPE INTERNET MAIL USE ***************** > This message may contain privileged, confidential or proprietary > information for the sole use of Ministerio del Poder Popular para > la > Educacion and related parties. > The use, copy or distribution of this message may only be made by > and > to authorized parties. If you received this message by mistake, > please destroy it and notify to the sender and /or Ministerio del > Poder Popular para la Educaci?n. > ...Moral y Luces: Toda la Patria, una Escuela...