miércoles, 24 de febrero de 2010

Criptografía básica III (atacando claves)

Superadas las explicaciones de los sistemas criptográficos, la aritmética modular finita y los sistemas simétricos(clave privada) y asimétricos (clave pública), voy a lanzarme a explicar los tipos de ataques que se pueden realizar a sistema de seguridad.

COn tipos de atacas me refiero a formas de atacar una clave, o de conseguir una clave, no voy a guiar en la metodología, sino que voy a ir a lo que es la teoría de los ataques, es decir como se realizan, pero no voy a ejemplarizar un ataque, no porque me parezca feo o ilegal o malo, sino porque eso lo dejo para otros post donde profundizar en un tipo de ataque concreto.

Aqui van algunos tipos de ataques:

  • La fuerza bruta: Es el ataque más básico que se puede hacer sobre una clave, además en más lento y posiblemente infructuoso, es mejorable con ciertas técnicas, pero básicamente, consiste en ir porbando hasta que aciertes, esto se realiza, proponiendo un alfabeto (una serie de letras, números y simbolos) que un programa, ira recorriendo de una forma ordeanda, para no saltarse ninguno, y probando a ver si pasan y coinciden, por alguna casualidad con la clave. De seguido algunas mejoras:

    • Una posible mejora para estos sistemas, es por ejemplo, utilizar alfabetos limitados, conociendo la cultura del objetivo, es decir, si vas a atacar a un inglés, no usas la ñ en el alfabeto, eso, aunque parezca una tontería puede reducir drasticamente, un número de comprobaciones.

    • Otra teoria, es suponer, que es una palabra que tiene sentido, con lo que las limitaciones de pruebas se remiten al diccionario de una lengua, que son muchas menos opciones, que mezclar todas las letras de un alfabeto.

    • Se puede combinar este último con una sistema de sustitución de letras y números, por ejemplo las vocales, cambiando A-4 E-3 I-1 O-0 U-7, por ejemplo, de tal forma que se retiran estas vocales y se sustituyn por esos números.

    • Además existen una serie de claves habituales, que se pueden probar, ya que somos en el fondo poco originales, poniendo claves, pero para este tipo de ataques, debes conocer a la persona, ya que se trata de usar, fechas y nombres, que son muy habituales en las contraseñas de la gente, si no me crees, piensa en las tuyas.



  • Un segundo tipo de ataque, es el de MIM (Man in the Middle) o conocido como ponerse en medio, vamos, una traducción sería, hombre en medio, se trata en este caso de analizar lo que se transmite entre emisor y receptor, para intentar adivinar la clave, es decir, captar la comunicación y con los criptogramas, sacar la clave, est sistema requiere que antes, te cueles en medio, para poder captar las tramas, si se desea se peuden hacer pruebas en casa, con el WiFI de casa, poner un ordenador navegando por WiFi y captar con troo, lo que estan haciendo. Para ello hace falta algunos conocimientos técnicos, pero tarde o temprado hare una prueba y colgare un post, ya lo hice una vez, y fue divertido asaltarme a mi, si al mismo tiempo que bastante estupido.

  • Otro ataque habitual es el de Denegación de servicio, DoS (Dennial of service), estos ataques no quieren obtener la clave de un sistema, sino colapsarlo, hace poco en Estados Unidos, los usarios de Iphone se enfadaron por el servicio de red de AT&T y quisieron colapsar su red, arrancadno una aplicacines, que activaban y generaban muhas conexiones de red via 3G de tal forma que intentaron saturar las redes, esto, aunque parezca una tonteria si lo hace uno, puede saturar una red de datos, porque las colisiones entre unos y otros terminales, provocan un fallo en cadena en la red. (Este tema se merece un post aparte, colisiones en red, broadcast y multicast, zonas de difusión y de colisión en redes, lo haré).

  • Leakage, este tipo de ataque, es cuando bueno, no tiene porque ser un tipo en si mismo, sino que trata cuando un dato que debería ir a un sitio, va a otro donde no debería, es decir, si mi comunicación con una página Web, debería ir solo a esa página y resulta que también va a otro lugar donde no debería, puede superponerse con el caso de Man In the Middle.

  • Como últmo caso para comentar, voy a hablar de la ingeniería social, que pese a que parece el nombre de un libro de autoayuda, es un ataque a los usuarios, directo y sin contemplaciones, es cuando alguien mediante un engaño, nos lleva a entregar información privada, haciendonos creer que es una autoridado entidad a la que debemos entregar esos datos, el típico caso del banco que te manda un mail para que le mandes tus datos, aunque puede complicarse más, llegando a casos donde una llamada telefónica de alguien que se hace pasar por un empleado de una empresa pidiendo que se le abra un puerto para trabajar desde casa.

Publicado por en
Etiquetas: , , , , , ,

3 comentarios:

  1. Igone25 de febrero de 2010, 10:01

    Me ha gustado mucho!

    ResponderEliminar
  2. icrovett25 de febrero de 2010, 14:56

    Me alegro, al principio pense que igual era un poco denso

    ResponderEliminar
  3. Igone25 de febrero de 2010, 17:10

    Pos no y se entiende super bien! Con ejemplos y asi ta muy bien.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)