Archive

Archive for the ‘General’ Category

Crackeando volúmenes de TrueCrypt

December 20th, 2009 1 comment

TrueCrypt como ya sabrán, es una aplicación que permite crear volúmenes virtuales cifrados y ocultos en otros volúmenes.

Y es que todo eso de cifrar y ocultar la información que bajo nuestro punto de vista puede ser sensible, de manera que solo nosotros sabemos cómo acceder a dichos datos está muy bien, y sí que es cierto que se nos da el caso de que realmente hay que proteger cierta información (una buena combinación es TrueCrypt + PGP), pero tarde o temprano es intevitable terminar como la siguiente ilustración, y que el botón “Forgot your password?” se convierta en nuestro mejor aliado:

En el caso del botón, todo está solucionado, rellenamos un formulario y listo (si nos acordamos de los datos del registro, claro), pero en el caso de TrueCrypt… ¿Dónde está el botón? Personalmente soy muy dado a olvidar las claves así que suelo tener varias copias de seguridad de un fichero con todas mis credenciales cifrado con PGP, pero como siempre hay algo que puede fallar, y fallará, el problema era que en ese archivo, no estaban todas las claves.

Así que necesitaba acceder a un volumen cifrado con TrueCrypt, por lo que me puse a buscar herramientas para automatizar el crackeo, y solo me encuentro con aplicaciones de pago, porciones de código y alguna que otra aplicación que dice  funcionar pero de fuentes nada fiables. Así que me dispuse a aplicar la filosofía del DIY (o para los menos avispados, Do It Yourself) e hice el script para crackear el volumen. Pero claro, como siempre el problema de los ataques por diccionario es el propio diccionario, ya que la clave rondaba los 100 caracteres, así que generé un diccionario a partir de los caracteres que recordaba, y pude acceder a los datos.

El script es muy simple, se limita a leer las posibles claves del diccionario y lanza directamente el TrueCrypt para tratar de montar el volumen usando dicha clave. Obviamente no es para nada eficiente, y si no conocemos ningún patrón de la clave, no es factible el ataque cuando uno ve datos como este:

# time truecrypt –text –non-interactive –mount –mount-options=ro  –filesystem=none -p “laclave” ./volumen
Error: Incorrect password or not a TrueCrypt volume.

real    0m2.078s
user    0m0.144s
sys     0m0.008s

Aunque ya que el código de TrueCrypt lo podemos descargar de la página oficial, se podría modificar para que el ataque fuese más eficiente.

#!/bin/bash
#

echo -e "\n"
echo -e "############################"
echo -e "#                          #"
echo -e "#        ~ SafetyBits ~       #"
echo -e "#                          #"
echo -e "# Simple TrueCrypt Cracker #"
echo -e "#          v0.1b           #"
echo -e "#                          #"
echo -e "# ~~~~~~~~~~~~~~~~~~~~~~~  #"
echo -e "#                          #"
echo -e "# Written by: Chema Garcia #"
echo -e "#        [email protected] #"
echo -e "#        http://safetybits.net #"
echo -e "#                          #"
echo -e "############################"

if [ ! $# -eq 2 ]
then
 echo -e "\nUse: $0 <volume_path> <dictionary>\n"
 exit 0
fi

TRUECRYPT="`which truecrypt`"
if [ `echo $TRUECRYPT | grep -c "^/"` -eq 0 ]
then
 echo -e "\n[!] 'truecrypt' not found!\n"
 exit 1
fi

IFSaux="$IFS"
IFS="
"

echo -e "\n[+] Started!\n"
for i in `cat $2`
do
 RES="`$TRUECRYPT --text --non-interactive --mount --mount-options=ro --filesystem=none -p "$i" "$1" 2>&1`"

 if [ $? -eq 0 ]
 then
  echo -e "\n[+] KEY FOUND! ==> $i\n"
  $TRUECRYPT --text --non-interactive --volume-properties "$1"

  echo -e "[+] Demounting...\c"
  $TRUECRYPT --text --non-interactive -d "$1"
  echo "OK"

  break
 elif [ `echo "$RES" | grep -ic "create ioctl failed"` -ge 1 ]
 then
  echo -e "\n[+] POSSIBLE KEY FOUND! ==> $i"
  echo -e "\t- Still working..."
 fi

done

IFS="$IFSaux"

echo -e "\n[+] Finished!\n"

unset IFSaux RES TRUECRYPT i
exit 0

Detenido un menor de edad por ataques DDoS

November 27th, 2009 No comments

El menor, un autodidacta informático, consiguió evadir protocolos de seguridad considerados como infranqueables.

Tras controlar más de 75.000 ordenadores repartidos por todo el mundo de internautas, lanzó un ataque masivo de más de doce millones de visitas, a una página web prestigiosa de la seguridad informática

“No sabemos” a qué se refieren exáctamente con eso de “(…)evadir protocolos de seguridad considerados como infranqueables.”, pero aun así, felicitar a la Guardia Civil por su trabajo en la operación “CANDELARIA”.

http://www.guardiacivil.org/prensa/notas/win_noticia.jsp?idnoticia=2724

https://foro.elhacker.net/noticias/un_menor_de_edad_imputado_en_un_ataque_masivo_contra_el_sitio_elhackernet-t275900.0.html

http://meneame.net/story/imputado-hacker-16-anos-habia-infectado-mas-75.000-ordenadores

http://elladodelmal.blogspot.com/2009/11/imputado-por-un-ddos-el-hackernet.html

http://www.elmundo.es/elmundo/2009/11/26/navegante/1259238023.html

http://www.europapress.es/islas-canarias/noticia-menor-detenido-tenerife-presunto-autor-ataque-informatico-20091126162644.html

http://www.abc.es/20091126/nacional-islas-baleares/menor-tenerife-imputado-ataque-200911261636.html

http://www.elpais.com/articulo/sociedad/hacker/anos/ataca/75000/ordenadores/elpepusoc/20091126elpepusoc_10/Tes

http://www.20minutos.es/noticia/575229/0/ataque/informatico/ordenadores/

http://www.publico.es/agencias/efe/273108/imputado/hacker/anos/infectado/ordenadores

http://www.elmundo.es/elmundo/2009/11/26/navegante/1259238023.html

Ni que decir tiene que el virus usado no era nada del otro mundo.

Categories: Ataques, General, Seguridad Tags: