• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

CrackQ: descifrado eficiente de contraseñas para pentesters y teamers rojos.

CrackQ emplea la automatización para hacer que el descifrado de contraseñas sea una tarea más rápida y eficiente para los pentesters y los teamers rojos .

“Las pruebas de seguridad periódicas son una práctica que todas las organizaciones deberían incorporar en sus programas de seguridad generales . El descifrado de contraseñas es una fase esencial de un compromiso entre el equipo pentest / red y ayuda a evaluar las mejores prácticas de seguridad organizacional ”, dijo a Help Net Security Dan Turner, consultor principal de seguridad de Trustwave SpiderLabs y autor de CrackQ.

“Pero los pentests y los compromisos de equipo rojo tienen limitaciones de tiempo estrictas, mientras que los actores de amenazas tienen un tiempo ilimitado para apuntar y calibrar herramientas. Los profesionales de seguridad están en desventaja de prueba y necesitan herramientas de automatización avanzadas propias ”.

Descifrado de contraseñas para pentesters

CrackQ es una interfaz para la herramienta de recuperación / descifrado de contraseña de código abierto Hashcat. Es atendido por una API REST y una aplicación web front-end de JavaScript para facilitar su uso.

“Es principalmente un sistema de colas para gestionar el descifrado de contraseñas para los equipos de seguridad ofensivos durante los equipos rojos y los compromisos de pentesting”, explicó Turner .

CrackQ admite la autenticación SAML2 y LDAP con MFA, utiliza una biblioteca de análisis recién creada ( Pypal ) y genera informes de análisis de contraseñas a partir de los resultados de trabajos específicos de descifrado de contraseñas (muestra opciones y patrones de contraseñas inseguras dentro de una organización).

Es capaz de realizar una puesta en cola automática en caso de falla en el trabajo, proporciona soporte para múltiples usuarios y usará el cerebro Hashcat automáticamente cuando sea efectivo para hacerlo (es decir, cuando los algoritmos de baja velocidad están en juego).

 

descifradores de contraseñas

 

Agregar ventana de trabajo con funcionalidad de búsqueda de tipo hash

 

descifradores de contraseñas

 

Genere un informe para un trabajo a partir de la cola completa

Planes de desarrollo futuro.

La herramienta está actualmente en alfa y Turner espera que una comunidad de desarrolladores surja y ayude a desarrollarla aún más.

Las versiones futuras incluirán automatización adicional, mejoras de eficiencia y técnicas de craqueo más avanzadas, nos dijo.

Incluirá una opción de autobloqueo que elige automáticamente técnicas de craqueo eficientes basadas en el tipo de contraseña, algoritmo hash y un período de tiempo elegido, así como:

  • Técnicas adicionales: PACK, Prince, Omen, PCFG
  • Manipulación automatizada de colas para una mejor eficiencia.
  • Craqueo automático en segundo plano de volcados de fugas con colas de menor prioridad
  • Creación personalizada de listas de palabras utilizando un rastreador web / redes sociales.