Brutal Force Attack, o que vocês acham?

[tesla 0]

Ultimamente tenho estudado alguns hackers, HACKERs e não CRACKERs, e estou aprendendo muita coisa, inclusive obtendo resultados interessantes de algumas pesquisas...

Para quem não sabe, nenhuma senha, por maior que seja, NUNCA, isso mesmo, nunca estará segura! Por que? Um Simples Motivo, Toda senha digital é uma combinação de caracteres!

 

Até aí nenhuma novidade né? Agora vem o que surpreende, é possível hackear seu MSN, Orkut ou o que for, com um simples código PHP.

 

É um metódo em que a Máquina vai testando todas as conbinações possíveis até conseguir uma que de certo.

Ai vai vim gente falando: "Ahh, Mas isso pode demorar dias, meses ou talvez Anos"...

 

Estão muito enganados sobre isso!

Com o avanço da tecnologia, processadores cada vez mais rápidos, sistemas de transmissão de dados cada vez com taxa de transferencia mais altas isso já é ultrapassado.

 

Pra vocês terem uma idéia um amigo meu, hacker me deu um exemplo que eu presenciei com meus próprios olhos, ele conseguiu descobrir uma senha de 67 caracteres de teste no servidor ftp dele, em impressionantes 6 dias :louco:

 

Ele diz que isso não é uma falha (das quais todos o hackers exploram com boas intenções), e sim pura lógica!

Um exemplo: "Tenho duas maçãs, corto elas de formas diferentes, pra descobrir como elas eram antes, é só tentar juntar de várias formas"

Ele falou também que isso é impossível de deter, e por mais incrível que pareça, ele disse que nem a impressão digital escapa :cry:, pois não passa de uma imagem, imagens são conbinações de que? Pixels!

 

Então agora que vocês já tem uma noção do poder do Brutal Force Attack, o que vocês acham?

Seria possível existir algum tipo de senha que não use combinações?

Qual seria o futuro das senhas?

 

A Minha opinião é que por mais que tentem pará-lo, o velho e bom BFA vai funcionar para sempre. Pois tudo na vida são conbinações!

Em breve trarei mais notícias de minhas pesquisas :w00t:, Fiquem Atentos!

 

DICA: É impossível deter, mas não é impossível atrapalhar, não vou falar como para não prejudicar meus amigos que lidam com este tipo de trabalho!

 

Pra ficar mais interessante falem em MB quanto de memória RAM o seus PCs tem x A Quantidade de GHz que o seu processador possui, e quantos caracteres seria senha que vocês queriam descobrir, que eu falarei aproximadamente o tempo que levaria!

Editado 7 Março, 2009 por tesla

[DungeonTales 0]

Humm...

O que acontece é que a maioria das empresas que usam sistema de acesso por senha; por exemplo bancos; tem um sistema de bloqueio; esse sistema é ativado quando você erra a senha uma determinada quantidade de vezes em determinado periodo de tempo; até os servers tem isso, se errar a senha 10 vezes o IP fica bloqueado por 24 horas; então esse sistema de ataque por senhas só funciona se não houver esse bloqueio, não é mesmo?

Abraços!

[tesla 0]

ahuahuauhauh pior que tem, mas isso n qr dizer nada para os hackers, o proprio programa, mesmo com código de verificação com sistema de bloqueio, testa no Binário do servidor, são programas fod*s realmente eu nunca vi igual, por isso q eu to te falando q o pessoal axa q o BFA tah ultrapassado mas n eh assim!

 

PS: mt obrigado outra questão levantada pra eu perguntar como eles lidam com o problema do bloqueio!

Editado 7 Março, 2009 por tesla

[Flay 0]

Ta cara mesmo assim cara que hacker vai querer se da mal dando um golpe em um banco. Isso seria o fim da linha para eles, seria colocar vc mesmo na cadeia nao acha?

[tesla 0]

não confunda hacker com cracker, hoje em dia até empresas contratam hackers

[Deragon 25]

quero ver

digamos q eu tenha 1024mb de ram, processador 2.8 GHZ e uma senha de 8 a 12 caracteres, quanto tempo levaria ?

e se for 8 gb de ram e 3.0 ghz mesma senha ?

[dudots 0]

Uma maneira facil e que infernizaria a vida dos hakers é dividir a senha em varias etapas, como no tibia: account, password. Podendo botar quantas quiser..

 

@hmm

 

4096mb de ram, processador quad-core Q6600(2.4Ghz) em uma senha de 6 caracters daria quanto tempo +-?

[Raphael Carnaúba 1]

Seria interessante você dizer a sua formula pra calcular o tempo.

 

É uma verdade a parte da combinação, não há como escapar só se eles conseguirem criar até lá criptografias fantasticas que demorasse anos pra conseguir ser quebrada.

[PoSo 0]

Um jeito que os bancos estão encontrando de driblar ainda mais isso, é doando um aparelho verificador de usuário, ou seja se um hacker/cracker descobrir sua senha, logo em seguida será questionada a senha do tal aparelho, que é gerada temporáriamente e que muda de cliente pra cliente, ou seja: além de saber a senha fixa, tenho que saber como é programado o aparelho, se a senha muda de minuto em minuto e que informações mescla para que seja uma senha única.

Logo, essa tal BFA não funcionaria para esse caso.

Mas gostei do tópico, continue nos educando!

Abraços.

[tesla 0]

bom, só sei que o bloco de notas com MSN, Orkut, senhas de algumas empresas que ele trabalha, Tibia, MU, e WoW não era muito pequeno

 

@Deragon a primeira rate com 12 Caracteres daria: aprox 74 Horas, com a segunda na mesma quantidade de caracteres impressionantes: aprox 8 horas

 

@dudots, não sou eu quem faz o calculo é ele, mas vou perguntar pra ele ^^, com as suas configs daria: arpox 16 hrs

[Nightzz 0]

Velho varios sistemas de site.. tal como o ORKUT (msn eu n sei) ja tem um sistema que eh assim

se vc erra X vezes sua senha.. vc deve digitar a senha seguida de uma imagem (letras) que sera mostrada e que muda a cada nova tentativa..

entao MESMO se vc acertar a senha por acaso.. vc n vai saber pq n sera digitada as letras..

e se as letras nao sao digitadas apos cada tentativa.. mesmo se for a senha certa, sera considerada errada..

 

e esse sistema de Hacker ai.. (isso pra mim nem Hacker é)

é pra quem n tem mais o que fazer que quer "invadir" mSn dos outros e mesmo assim se tiver esse sistema de letras.. ja n iria dar certo..

tibia n daria certo..

 

 

 

entao vc pode usar isso pra invadir BLOG..fotolog..

ficar 20h no pc pra invadir um fotolog.. acho que foi por isso que esse sistema se tornou ultrapassado

Editado 9 Março, 2009 por Nightzz

[PoSo 0]

Só pra constar ao Nightzz, existem programas que podem "ler" os CAPTCHAS gerados em pouco tempo.. Seria apenas mais um pequenino obstáculo.

[tesla 0]

uahuahuahu sobre o captcha, nightzz vc não entendeu... O programa não testa via HTTP, ele testa direto no servidor, e em tibia daria CERTO sim, sabia que acounts são combinações de números? Sabia que dah pra roubar accs do tibia pelo msn?

 

E só pra constar BFA é hacker (ou cracker, depende de como é usado) sim...

 

e sobre as 20hrs, leia o tópico todo! Depende da senha, do processador, refrigeração entre outros fatores... Os hackers possuem pcs que podem ficar 1 mes ligado ou mais, sem problemas, o segredo tah no processador, na refrigeração, e nos no-breaks ^^

Editado 9 Março, 2009 por tesla

[Malskuio 0]

Pode crer, é ligeiramente facil detectar senha desse jeito, MASS, quando os duentes que fazem a segurança abrir os olhos o brutal force vai pro saco (tem SIM como impossibilitar que descubram a senha, se seu amigo acha que não tem, manda ele estudar mais que ta precisando)

 

 

12288 mb ram

processador i7 extreme (3.20Ghz, 8 núcleos (na verdade são 4.. maass...)

12 caracteres incluindo números, letras, e "simbolos" (, . ? / | e ae vai)

[tesla 0]

fala como ué!

puts con essa config tu pod ser um hacker tranquilo: 4 hrs no maximo

[Lion~ 0]

Um jeito que os bancos estão encontrando de driblar ainda mais isso, é doando um aparelho verificador de usuário, ou seja se um hacker/cracker descobrir sua senha, logo em seguida será questionada a senha do tal aparelho, que é gerada temporáriamente e que muda de cliente pra cliente, ou seja: além de saber a senha fixa, tenho que saber como é programado o aparelho, se a senha muda de minuto em minuto e que informações mescla para que seja uma senha única.

Logo, essa tal BFA não funcionaria para esse caso.

Mas gostei do tópico, continue nos educando!

Abraços.

no emprego da minha mãe há vários desses, eles chamam Token e mudam de senha de 30 em 30 segundos

 

Eu tenho um amigo que meche com Brutus (um programa de Brute force) e, teoricamente, não existe senha que não pode ser descoberta, mesmo que leve anos.

Vai da regra, quanto mais complicada a senha, mais dificil de descobri-la, eu sempre uso senhas aleatórias do tipo "t5Hatt3z?"

Editado 10 Março, 2009 por Lion~

[tesla 0]

aham exatamente isso Lion~ , mas cá entre nós, o Brutus jah eh ultrapassado XD

[gp1998 0]

hum, interessante, mais tem sim como se proteger disso facilmente, minha opiniao....