Link alla notizia: http://www.hwfiles.it/news/il-cloud-di-amazon-usato-per-crackare-il-wi-fi_35079.html

Un ricercatore tedesco ha utilizzato le soluzioni cloud di Amazon per crackare il protocollo WPA2 utilizzato per la protezione delle reti Wi-Fi

Click sul link per visualizzare la notizia.

ma secondo i mezzi di oggi è vero che una password

"ZZZVXZZZUU_YZZZ"

è più sicura di

"aaaaaaaaaaaaaaa"

considerata una lunghezza equivalente?

C'è da dire che cmq la password era abbastanza "stupida" (non alfanumerica), quindi possiamo stare ancora tranquilli
se come dice la nius è un vero bruteforce non c'è "intelligenza" che tenga...

e infatti:

"The possibility of doing so is nothing new: Moxie Marlinspike, a hacker/sailor/pyrotechnician, is running a service called WPACracker that can be used for cracking handshake captures of WPA-PSK using several, very large dictionaries on a 400 CPU cluster that runs on the Amazon cloud."

parla di 400k pmk al secondo... praticamente una decina di gpu moderne.. altro che bruteforce!

http://code.google.com/p/pyrit/

ma secondo i mezzi di oggi è vero che una password

"ZZZVXZZZUU_YZZZ"

è più sicura di

"aaaaaaaaaaaaaaa"

considerata una lunghezza equivalente?

Si, più set di caratteri includi più tempo ci vuol,e a decifrarla,

"analfabetatesting"
è meno sicura di
"4nAf4L8Et@t3stInG"
ed hanno la stassa lunghezza, ma, nella prima, ho usato solo caratteri minuscoli, nella seconda caratteri minuscoli, maiuscoli, numeri, simboli;
così facendo aumento i simboli da provare durante un attacco bruteforce, allungandone esponenzialemnte i tempi ;)
p.s. questo vale solo per i brute force, un altro metodo come social engineering, qualche problema di sicurezza del programma o del SO, sniffing o altro, non tiene conto della complessita della password ;)

ciaoo

ma secondo i mezzi di oggi è vero che una password

"ZZZVXZZZUU_YZZZ"

è più sicura di

"aaaaaaaaaaaaaaa"

considerata una lunghezza equivalente?

Considerato l'approccio Cloud Computing riferito nella news, tutte le password sono uguali. Se non ci mette 20 minuti, ce ne metterà 30, che non fa alcuna differenza.

Comunque mancano i dettagli sulla password craccata, però in generale se l'ordine di grandezza del tempo impiegato è quello, tanti saluti alle password wpa-psk.

ma secondo i mezzi di oggi è vero che una password

"ZZZVXZZZUU_YZZZ"

è più sicura di

"aaaaaaaaaaaaaaa"

considerata una lunghezza equivalente?

Non proprio. Diciamo che se sai che la password è composta da sole lettere minuscole, un attacco bruteforce richiede X tentativi. Se l'attacco bruteforce fa in ordine sequenziale e parte dalla a, testando tutte le lunghezze, te la trovano in mezzo secondo "aaaaaaaaaaa". E nel caso peggiore cmq servono [numero di caratteri della stringa]^[numero di caratteri nel set] ovvero nel caso 15^25 (semplifico)

Se invece non sai a priori il set di caratteri usato, devi per forza pensare "in peggio". Quindi 25 lettere maiuscole 25 minuscole + 10 numeri + XX caratteri speciali (ne sceglierai un set, facciamo che sono 15) = 50 lettere possibili.

Una password da 10 caratteri con un set di 50 lettere porta a un numero di combinazioni assurdo...che dovrebbe essere 10^50 se non ricordo male (posto che *testi* solo le stringhe da 10 caratteri, cosa che non farai perché non sai la lunghezza, quindi ilo numero è la somma delle potenze di ogni "subset" di password (da 1, 2, 3, 4... caratteri)

Comunque mancano i dettagli sulla password craccata, però in generale se l'ordine di grandezza del tempo impiegato è quello, tanti saluti alle password wpa-psk.
sì se usano password talmente comuni da essere in un dizionario -.-

sì se usano password talmente comuni da essere in un dizionario -.-

Nel qual caso non si parla di attacco brute force ma di attacco dictionary-based.

scusate ma per le chiavi wpa2 si possono usare stringe composte da qualsiasi sequenza di bytes, compresi quelli non stampabili?

ma secondo i mezzi di oggi è vero che una password

"ZZZVXZZZUU_YZZZ"

è più sicura di

"aaaaaaaaaaaaaaa"

considerata una lunghezza equivalente?


La discriminante è come viene impostato l'attacco. Nel caso più generico possibile si provano tutti i 256 valori che un byte può assumere e si va avanti incrementando il numero di byte fino a che si trova la password. Questo è il "vero" metodo di brute forcing in quanto controlla il 100% delle combinazioni possibili per una data lunghezza. Ovviamente, è anche il più lungo.

Di conseguenza, molti attacchi di brute forcing reali cercano di concentrare i tentativi alle combinazioni più probabili, ad esempio scansionando prima tutti i numeri, poi tutti i numeri + minuscole, poi e maiuscole alla prima lettera o punteggiatura in findo, oppure basandosi su un dizionario aggiungendo o cambiando lettere in numeri, variando maiuscole con minuscole etc. etc.

Spesso le prime combinazioni analizzate in un attacco di brute forcing sono quelle date della ripetizione di n volte dello stesso carattere, principalmente perchè risulta quasi immediato da effettuare.

Quindi per concludere si, mettere caratteri diversi e, possibilmente, di diversi sottoassiemi del codice ascii (caratteri maiuscoli, minuscoli, numeri, punteggiatura, lettere accentate etc) senza pattern prevedibili (maiuscola alla prima lettera e punto alla fine, per esempio, oppure sostituire la A col 4 o la L con l'1) aumenta la resistenza di una password ai brute forcing "reali".

Nel qual caso non si parla di attacco brute force ma di attacco dictionary-based.

http://www.hwupgrade.it/forum/showthread.php?p=34203284#post34203284

L'aarticolo non è completo, a mio avviso.

Io possiedo già un software (registrato regolarmente) che effettua il cracking delle chiavi WPA-PSK delle reti wifi, ma il processo non è un semplice brute-forcing.

Prima di tutto per "entrare" in una rete wifi bisogna essere nelle vicinanze della rete stessa, le chiavi WPA-PSK non viaggiano sulla eventuale estensione cablata della stessa rete, ma solo in "etere".

Da quì la prima fase per craccare una rete wifi: loggare in locale il traffico wifi criptato, senza necessariamente comprenderne il contenuto.
Già da questo elemento si intuisce come il numero di transazioni loggate dipenda dal traffico wifi effettuato.
Se, come ho potuto constatare tramite il mio SW, hai ha disposizione solo qualche centianaio di transazioni al giorno, allora ci fai poco e niente, e quindi devi loggare per un tempo molto più lungo.

Raggiunte almeno 200.000 transazioni criptate e loggate, parte il processo di cracking, questo su un normale PC core2 dura si e no 5 minuti e alla fine ottieni la chiave.

La grande potenza di calcolo può accelerare quest'ultima fase nel caso di chiavi complesse, ma quello che porta via più tempo in assoluto è la fase preparativa iniziale e, ripeto, deve essere svolta nell'ambito della rete wifi che si vuole bucare.
Questo sempre ben inteso che nel frattempo non venga cambiata la chiave.

Ciauzzz :cool:

Beh non è nulla di nuovo... lo stesso Roth era già riuscito a craccare lo SHA-1 con 2,10€, sempre usando i cloud di Amazon...

Per chi volesse approfondire l'argomento qui c'è un bell'articolo sul cloud cracking (http://www.digitalnewschannel.com/approfondimenti/cloud-cracking-le-nuove-possibilita)

La mia password è di 64 caratteri, dovrei restare tranquillo per un po'...

La mia password è di 64 caratteri, dovrei restare tranquillo per un po'...

In media quante volte la sbagli prima di inserire corretta? :D

una buona password dovrebbe comprendere anche caratteri non ascii
ゲ^コィ○¼Дpеж姐虻飴ΔΕ暠撝

avevo scritto con caratteri giapponesi, cinesi, greci ecc.
ma non e' supportato dal forum

La mia password è di 64 caratteri, dovrei restare tranquillo per un po'...

Penso che già una 16 (ma anche meno) mediamente complessa possa comunque fatti stare sufficientemente al sicuro.

una buona password dovrebbe comprendere anche caratteri non ascii
ゲ^コィ○¼Дpеж姐虻飴ΔΕ暠撝

Alcuni siti web fatti male andrebbero in panico :asd:

Prima di tutto per "entrare" in una rete wifi bisogna essere nelle vicinanze della rete stessa...

Costruii un'antenna yagi direzionale da 60db e agganciavo wifi nel raggio di 20Km più o meno, in pianura o sul cucuzzolo della montagna vedrai che arriva anche più lontano.

Si tratta di bruteforce, per un supercomputer di quella portata non fà tanta differenza una password con set caratteri completo e una con set ridotto. Il tempo che dovrai attendere in più sarà quello di una pausa caffè.

Ciò che mi preoccupa(va) è sempre la solita questione, vengono finanziati progetti di supercomputer come il Jaguar o il più potente attualmente Tianhe con soldi provenienti in gran parte da "privati delle lobbys" ma anche con soldi pubblici. Lo scopo apparente è "ricerca" quando temo che in realtà sotto sotto vengano impiegati per quello che ci immaginiamo tutti: intercettazioni, crackaggio di protocolli di sicurezza, invasione della privacy,...

Privacy...non esiste la privacy


Cloud e sicurezza rimane un binomio ancora tutto da esplorare e descrivere. Il cloud computing porta con sè pesanti critiche in merito alla sicurezza dei dati, elementi di valore posti nelle mani e nelle infrastrutture di terzi. In quest'occasione si parla d'altro, ovvero di come il cloud computing possa essere usato per operazioni che violano la sicurezza di terzi.
La vera preoccupazione di "questa gente" non è la tua privacy, ma il fatto che prima solo loro potevano accederci, adesso puoi farlo anche tu e potenzialmente puoi farlo anche contro di loro. Non c'è più sicurezza nè per l'onesto cittadino, ma (cioè che preme di più) nemmeno per il più corrotto dei corrotti.

http://www.hwupgrade.it/forum/showthread.php?p=34203284#post34203284

Ahè non avevo visto il tuo post, forse abbiamo postato quasi contemporaneamente. Se è così non è affatto un attacco bruteforce, la news riportata da hwupgrade è scritta male.

Perciò tutte queste parole per niente?! :O

Perciò tutte queste parole per niente?! :O

Così pare :( (anche se ho letto con interesse le considerazione del tuo post ;) )

se come dice la nius è un vero bruteforce non c'è "intelligenza" che tenga...

e infatti:

"The possibility of doing so is nothing new: Moxie Marlinspike, a hacker/sailor/pyrotechnician, is running a service called WPACracker that can be used for cracking handshake captures of WPA-PSK using several, very large dictionaries on a 400 CPU cluster that runs on the Amazon cloud."

parla di 400k pmk al secondo... praticamente una decina di gpu moderne.. altro che bruteforce!

http://code.google.com/p/pyrit/

Quello di cui parli tu e' un altro attacco

la news parla di un ricercatore tedesco che ha usato amazon ec2 per lanciare un attacco puramente brute force

Se è così non è affatto un attacco bruteforce, la news riportata da hwupgrade è scritta male.

No, la notizia di HWU e' accurata, quello descritto e' un attacco brute force
basta leggere la notizia originale

“People tell me there is no possible way to break WPA, or, if it were possible, it would cost you a ton of money to do so,” Roth told the news service. “But it is easy to brute force them.”

Si dai vabbè, non ci fossilizziamo su bruteforce o attacco_dizionario. In entrambi i casi si tratta di provare combinazioni di lettere, TUTTE nel bruteforce, ALCUNE nell'attacco_dizionario.

La velocità di "scansione" (parole al secondo) sarà in entrambi i casi identica.

Il cloud di amazon è niente in confronto ai mostri. Con questi mostri di supercomputer che conosciamo e sappiamo che esistono, tanto che c'è anche una classifica mondiale, la differenza temporale tra i 2 attacchi è nell'ordine dei minuti. E probabilmente tra quelli che non-conosciamo potrebbe essere di secondi!

Questa è la cosa preoccupante e che deve far riflettere!

L'aarticolo non è completo, a mio avviso.

Io possiedo già un software (registrato regolarmente) che effettua il cracking delle chiavi WPA-PSK delle reti wifi, ma il processo non è un semplice brute-forcing.


Ciauzzz :cool:

Bisognerebbe sempre usare il wpa2-psk per non correre rischi...

Ovviamente resta valido il discorso della password con caratteri "particolari".

Il cloud di amazon è niente in confronto ai mostri. Con questi mostri di supercomputer che conosciamo e sappiamo che esistono, tanto che c'è anche una classifica mondiale, la differenza temporale tra i 2 attacchi è nell'ordine dei minuti. E probabilmente tra quelli che non-conosciamo potrebbe essere di secondi!

Questa è la cosa preoccupante e che deve far riflettere!

Per me sbagli le tue conclusioni...
la cosa preoccupante non sono questi mostri di cui parli (all'utente medio cosa glie ne frega scusa? non si muoveranno mai per te, e se lo faranno significa che hai qualcosa di veramente importante... e allora raddoppia la lunghezza della password ed il problema e' morto li)
la cosa preoccupante e' che amazon ec2 (e il cloud computing in generale) mette a disposizione di tutti delle infrastrutture che per costi irrisori possono violare sistemi di sicurezza considerati mediamente sicuri nel giro di minuti

Visto l'uso potenzialmente pericoloso, direi di bandire o tassare Amazon per questo servizio... Oltre ovviamente al fatto che chiunque lo utilizzi deve autenticarsi con retina/dna/impronte digitali/calco dei denti. Per ragioni di sicurezza nazionale...

Rileggendo la notizia ho notato una cosa:

Nel titolo (occhiello mi sembra si dica in gergo tecnico) si parla di wpa2-psk, nel corpo si cita wpa-psk.

Essendo due protocolli diversi, la notizia può essere interpretata cosi:

WPA-PSK si sapeva che poteva essere crakkato e la notizia sta nel usare Amazon.

WPA2-PSK mi sembra uno scoop. E' ritenuto ancora inviolabile (tranne bruteforce).

Mi chiarite la questione? Grazie.

Alcune domande in merito:
1) che differenze ci sono tra WPA; WPA2, WPA-PSK e WPA-PSK AES

2) molti router di reti wirless non consentono l'uso di caratteri speciali. Ad esempio io posso usare lettere minuscole maiuscole, numeri ma solo caratteri speciali. Ci sono metodi per forsare l'inserimento anche di caratteri speciali.

3) quanto aumenta la sicurezza i bit di cifratura ad esempio quanto è più sicura una password di 32 caratteri alfanumerici a 256 bit rispetto ad una a 128 bit?

Una curiosità:
siuppenendo per ipotesi che si possano immettere in una password di 32 posti tutte le lettere, i numeri e i simboli disponibili su una tastiera quante combinazioni avremo?

io procederei cosi corregetemi se sbaglio?

26 lettere minuscole+
26 lettere maiscole +
10 numeri +
35 simboli +
6 lettere accentate

TOTALE 103 possibilita x
32 posti (diciamo così)

103^32. (se non sbaglio)

Tempo perchè un computer umano la trovi (diciamo l'ultimo intel esacore)?

Dico cosi' perchè per il mio caso mi sembra difficile che un supercomputer si scomodi per trovare la password della mia rete (fossi una banca...)

Grazie

Quanto siete ingenui :cool:

scusatemi ma non credo che si stia parlando di un bruteforce alla maniera "classica", sarebbe veramente stupido partire dalla stessa base di sniff... posso immaginare che la vera innovazione sia una combo di sniff e grande potenza di calcolo, ovvero la capacità di incrementare la sniffata e contemporaneamente sfruttare il cervellone di amazon, cosa che porterebbe a ridurre il tempo di individuazione della chiave (chiaro!) ma anche la quantità di traffico intercettato minimo richiesto (wow!).
Mi collego in 3g e sniffo. Passo al cloud i dati di sniff in realtime ed il cervellone intanto pensa (in modo incrementale man mano che guadagna traffico). La rete vittima trasmette un allegato e questo è quanto basta alla potenza di calcolo enorme del cloud per darmi la chiave in tempi accettabili. Aka poco tempo, ma soprattutto, pochi dati ed un impatto immediato (cogli l'attimo!)

Una curiosità:
siuppenendo per ipotesi che si possano immettere in una password di 32 posti tutte le lettere, i numeri e i simboli disponibili su una tastiera quante combinazioni avremo?

io procederei cosi corregetemi se sbaglio?

26 lettere minuscole+
26 lettere maiscole +
10 numeri +
35 simboli +
6 lettere accentate

TOTALE 103 possibilita x
32 posti (diciamo così)

103^32. (se non sbaglio)

Tempo perchè un computer umano la trovi (diciamo l'ultimo intel esacore)?

Si stima che l'universo abbia circa 13 miliardi di anni... be, con le condizioni che hai descritto te non sarebbero neanche lontanamente sufficienti per considerare tutte le combinazioni :D

http://www.lockdown.co.uk/?pg=combi
Guarda l'ultima colonna della seconda tabella per farti un'idea dei tempi... e si parla di una password di 20 caratteri usando solo l'alfabeto!

Ovviamente quelle cifre sono solo delle stime, il punto è che all'aumentare della lunghezza le combinazioni possibili crescono troppo velocemente perchè sia possibile compensare con elaboratori più potenti (almeno con la tecnologia attuale :D). Questo è il limite del brute force

scusatemi ma non credo che si stia parlando di un bruteforce alla maniera "classica", sarebbe veramente stupido partire dalla stessa base di sniff... posso immaginare che la vera innovazione sia una combo di sniff e grande potenza di calcolo, ovvero la capacità di incrementare la sniffata e contemporaneamente sfruttare il cervellone di amazon, cosa che porterebbe a ridurre il tempo di individuazione della chiave (chiaro!) ma anche la quantità di traffico intercettato minimo richiesto (wow!).
Mi collego in 3g e sniffo. Passo al cloud i dati di sniff in realtime ed il cervellone intanto pensa (in modo incrementale man mano che guadagna traffico). La rete vittima trasmette un allegato e questo è quanto basta alla potenza di calcolo enorme del cloud per darmi la chiave in tempi accettabili. Aka poco tempo, ma soprattutto, pochi dati ed un impatto immediato (cogli l'attimo!)

sei sicuro di non fare un po' di confusione?

nelle reti WPA la "password" viene usata solo durante l'handshake iniziale, tutti gli altri pacchetti invece usano una chiave che varia di volta in volta
quindi non serve a nulla raccogliere pacchetti... perchè crackandoli otterresti una chiave temporanea
gli unici pacchetti che servono sono quelli dell'handshake iniziale

quello che dici dovrebbe/potrebbe valere solo per le reti WEP

Visto l'uso potenzialmente pericoloso, direi di bandire o tassare Amazon per questo servizio... Oltre ovviamente al fatto che chiunque lo utilizzi deve autenticarsi con retina/dna/impronte digitali/calco dei denti. Per ragioni di sicurezza nazionale...

Sarebbe un ottimo servizio di apertura per la puntata di Studio Aperto di domani. :asd:

Si tratta di bruteforce, per un supercomputer di quella portata non fà tanta differenza una password con set caratteri completo e una con set ridotto. Il tempo che dovrai attendere in più sarà quello di una pausa caffè.
qualcuno puo' linkare dove si parla di questo brute-force?

Guarda l'ultima colonna della seconda tabella per farti un'idea dei tempi... e si parla di una password di 20 caratteri usando solo l'alfabeto!

Ovviamente quelle cifre sono solo delle stime, il punto è che all'aumentare della lunghezza le combinazioni possibili crescono troppo velocemente perchè sia possibile compensare con elaboratori più potenti (almeno con la tecnologia attuale :D). Questo è il limite del brute force

Interessante.
Ma il fatto delle cifrature è importante? e Quanto?

Magari linkami le informazioni...l'argomento e succulento:D

Si tratta di bruteforce, per un supercomputer di quella portata non fà tanta differenza una password con set caratteri completo e una con set ridotto. Il tempo che dovrai attendere in più sarà quello di una pausa caffè.

Messa così questa frase non ha senso
la differenza non è tanta SOLO se parliamo di password corte
per le password medio-lunghe (diciamo 8+) la differenza diventa enorme

una password da 8 caratteri con set da 96 richiederà fino a 30.000 volte il tempo necessario a trovare una password da 8 caratteri con set da 26
e la differenza aumenta all'aumentare della lunghezza della password

Interessante.
Ma il fatto delle cifrature è importante? e Quanto?

Magari linkami le informazioni...l'argomento e succulento:D

È una domanda un po' generica :p

La cifratura è importantissima nei compurter.
- viene utilizzata per proteggere i dati mentre vengono trasfessi (ad esempio impedisce che mentre tu navighi con connessione wireless il tuo vicino si salvi le tue password, guardi che siti frequenti, ti rubi i dati della carta di credito quando fai acquisti, ecc)
- può essere utilizzata come verifica dell'identità (es chiave pubblica e privata http://it.wikipedia.org/wiki/Crittografia_asimmetrica )
- può essere usata per proteggere i dati sull'hard disk o in un database (in modo che se qualcuno vi acceda non possa leggere i dati contenuti)...

insomma la cifratura ha tantissimi usi ed è alla base della sicurezza informatica (specialmente su internet)

se sei interessato alle reti wireless google è un buon punto di partenza
http://www.google.it/search?source=ig&hl=it&rlz=&=&q=sicurezza+reti+wireless&btnG=Cerca+con+Google&aq=&oq=sicurezza+reti+wireles

Non capisco una cosa: come fa un programma di cracking a sapere che la pw è basata solo su lettere minuscole, oppure un mix tra maiuscole e minuscole, o un mix alfanumerico o un mix alfanumerico+caratteri speciali?
In ogni caso sarà costretto ad esplorare tutte le possibilità. O sbaglio?

Non credo che ad ogni lettera indovinata ottenga il "bravo" dalla rete wifi: sarà solo la parola completa ad ottenere il pass. Chiedo di nuovo: sbaglio?

Domanda: possibile che non esista un sistema che al terzo tentativo di crackaggio blocchi tutto?

Non capisco una cosa: come fa un programma di cracking a sapere che la pw è basata solo su lettere minuscole, oppure un mix tra maiuscole e minuscole, o un mix alfanumerico o un mix alfanumerico+caratteri speciali?
In ogni caso sarà costretto ad esplorare tutte le possibilità. O sbaglio?

Non credo che ad ogni lettera indovinata ottenga il "bravo" dalla rete wifi: sarà solo la parola completa ad ottenere il pass. Chiedo di nuovo: sbaglio?

Di norma infatti si fanno assunzioni che coprono il 90% dei casi (solo lettere, lettere e numeri, max 10 caratteri). Sono pochi gli utenti che usano password alfanumeriche con caratteri speciali da più di 10 caratteri.

Riguardo alla lettera indovinata, non vale per attacchi Brute-Force normali. Esistono però tipologie di attacchi (Su WEP ad esempio se non erro) che utilizzano exploit per indovinare la password proprio carattere per carattere. E' un vantaggio enorme, in quanto suuna password da 10 caratteri minuscoli il tempo passa da O(10^25) a O(10*25)

Esistono però tipologie di attacchi (Su WEP ad esempio se non erro) che utilizzano exploit per indovinare la password proprio carattere per carattere.
non è che ti confondi con il chop-chop? quello serve "solo" ad ottenere il prga per poter forgiare pacchetti che vengano accettati dall'ap...

http://www.aircrack-ng.org/doku.php?id=korek_chopchop

Non capisco una cosa: come fa un programma di cracking a sapere che la pw è basata solo su lettere minuscole, oppure un mix tra maiuscole e minuscole, o un mix alfanumerico o un mix alfanumerico+caratteri speciali?
In ogni caso sarà costretto ad esplorare tutte le possibilità. O sbaglio?

Ni :D

il programma di cracking non lo puo' sapere (a meno che la password non sia limitata... alcuni sistemi stupidamente non permettono di usare caratteri speciali nella password), quindi si, teoricamente dovrebbe tentare tutte le possibilita'

pero' e' anche vero che la maggior parte degli utenti tendono ad avere password semplici, quindi usando lettere minuscole e numeri puoi probabilmente trovare la maggior parte delle password

quindi un sistema potrebbe farsi furbo e iniziare controllando tutte le combinazioni di lettere minuscole e numeri (fino a 7-8 caratteri, perche' poi diventa lento se parliamo di un pc normale) e se non riesce allora considerare anche quelle con lettere maiuscole e infine quelle con caratteri speciali... e magari dare la precedenza a "_ - ." che son probabilmente quelli piu' utilizzati

ovvio che una password ben scelta vanifica tutto, ma non dimentichiamoci che l'anello debole della sicurezza informatica e' l'utente... e spesso basta anche un attacco basato sul dizionario

Domanda: possibile che non esista un sistema che al terzo tentativo di crackaggio blocchi tutto?

certo che esistono, ma non sempre e' possibile

se parliamo di un sito internet e' possibilissimo e molti siti bloccano l'account dopo 3-10 tentativi andati male

pero' in questo caso non c'e' alcun server :) sotto sotto stiamo parlando di una funzione matematica
y = f( x )
dove conosciamo sia y che f e vogliamo trovare x, ma f non e' invertibile e quindi quindi l'unico modo per trovare x e' provare f(1), f(2), f(a), f(1bcd) ecc fino a quando il risultato della funziona non e' uguale a y
e dato che tu conosci gia' y non hai bisogno di chiedere ad un server "e' giusta questa x?"
di conseguenza nessuno puo' bloccarti

non è che ti confondi con il chop-chop? quello serve "solo" ad ottenere il prga per poter forgiare pacchetti che vengano accettati dall'ap...

http://www.aircrack-ng.org/doku.php?id=korek_chopchop

Può darsi, il riferimento era comunque genrico. Esistono molti exploit che lavorano sfruttando overflow di memoria e simili e permettono di ottenere password facilmente. Sempre e solo a seguito di bachi ovviamente.

Posso dire che sono contento, per quanto fosse stata una password numerica quindi semplice?

Ok non c'entra nulla nulla con questa news, lo so e lo ammetto, ma ho odiato il cloud da quando l'ho sentito ultimamente nominare e continuo a pensare che non e' il futuro ma il passato ed un modo per controllare tutto e tutti. Quindi piu' cose negative escono contro il cloud piu' sono contento.

E' la prima volta che mi capita di dirlo e pensarlo, ma spero veramente che l'idea del cloud sparisca per sempre dalla faccia della Terra.

Anche per una cosa semplice come l'antivirus, se per qualche motivo sei senza connessione viene a meno la sua funzione. Quindi servirebbe un database locale. Al che rende inutile la presenza del database su server, in quanto appena il pc e' collegato, l'antivirus si aggiorna immediatamente.

Pure gli hard disk virtuali online, una piccola forma di cloud. Quanto di piu' insicuro io possa pensare. I miei dati su un server chissa' dove che potrebbero sparire in qualsiasi momento per un qualsiasi motivo.

Pure gli hard disk virtuali online, una piccola forma di cloud. Quanto di piu' insicuro io possa pensare. I miei dati su un server chissa' dove che potrebbero sparire in qualsiasi momento per un qualsiasi motivo.
beh con lo stesso principio immagino quindi che tu tenga i soldi solo in contanti e sotto il materasso :D

Posso dire che sono contento, per quanto fosse stata una password numerica quindi semplice?

Ok non c'entra nulla nulla con questa news, lo so e lo ammetto, ma ho odiato il cloud da quando l'ho sentito ultimamente nominare e continuo a pensare che non e' il futuro ma il passato ed un modo per controllare tutto e tutti. Quindi piu' cose negative escono contro il cloud piu' sono contento.



E' la prima volta che mi capita di dirlo e pensarlo, ma spero veramente che l'idea del cloud sparisca per sempre dalla faccia della Terra.

E' un ragionamento da utente "che ignora".
Ignori quanto le aziende ci hanno investito, ignori perché ci hanno investito (se fosse la cazzata che pensi, non ci sarebbero Amazon e MS come leader), ma sopratutto ignori persino quali sono gli ENORMI vantaggi derivanti dal suo utilizzo (no, non parlo del crac del WPA).
Oppure sei rimasto allo stadio di "il computer lo usano solo gli utOnti a casa", allora hai ragione: loro probabilmente possono farne a meno ancora per un po'...finché non sbatteranno la faccia in uno degli innumerevoli problemi che, risolti con il cloud, danno un vantaggio costi/tempi/benefici da farsi chiedere perché non l'hanno inventato prima...



Anche per una cosa semplice come l'antivirus, se per qualche motivo sei senza connessione viene a meno la sua funzione. Quindi servirebbe un database locale. Al che rende inutile la presenza del database su server, in quanto appena il pc e' collegato, l'antivirus si aggiorna immediatamente.


Ma si dovrebbe essere abbastanza stupidi per essere uno senza internet, ma così aggiornato da portarsi in casa virus nuovi via USB o DVD no?


Pure gli hard disk virtuali online, una piccola forma di cloud. Quanto di piu' insicuro io possa pensare. I miei dati su un server chissa' dove che potrebbero sparire in qualsiasi momento per un qualsiasi motivo.
[/QUOTE]
Certo, esistono infatti dei contratti. Di norma se il servizio è gratuito sono affari tuoi (e ci mancherebbe!), se paghi hai un determinato servizio, e se ti cancellano i dati, scatta come minimo una denuncia.
Ad ogni modo molto ma molto più raro che un hard disk che salta o di due hd in raid che saltano contemporaneamente (capitato).

beh con lo stesso principio immagino quindi che tu tenga i soldi solo in contanti e sotto il materasso :D

LoL

Sotto il materasso no, ma sotto alcuni aspetti sarebbe meglio... Comunque c'e' una leggera differenza di sicurezza :D

Non so, il discorso per me e' differente. Nel senso che sono sempre servizi online ok, ma sapere che possono entrare e vedermi il conto in banca mi da' meno fastidio che entrino e si facciano i cavoli miei guardando i dati che potrei avere sul disco virtuale. Boh, non so, e' come quando mi hanno rubato il cellulare anni fa in un acquapark. Non e' tanto il cellulare in se' ma sono le foto, video, messaggi e numeri che ho perso e che potevano guardarmi che mi aveva fatto girare le scatole...

E' un ragionamento da utente "che ignora".
Ignori quanto le aziende ci hanno investito, ignori perché ci hanno investito (se fosse la cazzata che pensi, non ci sarebbero Amazon e MS come leader), ma sopratutto ignori persino quali sono gli ENORMI vantaggi derivanti dal suo utilizzo (no, non parlo del crac del WPA).
Oppure sei rimasto allo stadio di "il computer lo usano solo gli utOnti a casa", allora hai ragione: loro probabilmente possono farne a meno ancora per un po'...finché non sbatteranno la faccia in uno degli innumerevoli problemi che, risolti con il cloud, danno un vantaggio costi/tempi/benefici da farsi chiedere perché non l'hanno inventato prima...

Ok se ne parli sotto questo aspetto POTREI darti ragione. Ma sinceramente non vedo nessun vantaggio. Poi, se davvero penso agli utOnti che dici tu, mi immagino un bel facebook, ovvero invece che farsi semplicemente i fatti degli altri tra foto e cose scritte, ora hai accesso diretto ai loro contenuti online. Non so, mi e' venuta in mente cosi' ora :D

No comunque non vedo nessun vantaggio.

Ma si dovrebbe essere abbastanza stupidi per essere uno senza internet, ma così aggiornato da portarsi in casa virus nuovi via USB o DVD no?

Be', il mio amico, senza offesa per lui, e' uno di quelli. Lui internet non lo usa praticamente e non ha manco un'adsl. Strano ma vero, pero' oh se gli serve qualcosa lo vede dal lavoro oppure si collega da casa con....... ehm...... col 56K (essi') del pc. Si e' preso una chiavetta umts solo perche' il 56K e' ovviamente lento, ma non si collega quasi mai.

Basta sua madre che ne sa ancora meno di pc (nulla) e col pc infettato della scuola, mette la chiavetta, si scarica i suoi documenti (e il virus intanto e' gia' dentro), lo porta a casa e infetta il pc di casa.

Quando ho portato a casa quel pc non veniva rilevato nulla, appena ho collegato, aggiornato l'antivirus da solo e l'ha rilevato.

Certo un esempio magari su 1000, un caso raro. Ma mi fa pensare all'inutilita' del cloud.

Se poi penso a quanto sia facile per gli hacker entrare nei sistemi informatici... Certo, ti entrano, volendo, piu' facilmente nel pc di casa, come se niente fosse.
Ma se tu fossi un hacker, sarebbe piu'....."divertente" (come se lo fosse) entrare uno per uno nei pc casalinghi di utenti, oppure mandare a pu**ane un'intero sistema che gestisce milioni di utenti e creare un disagio pesante per tutti in un colpo solo?

Certo, esistono infatti dei contratti. Di norma se il servizio è gratuito sono affari tuoi (e ci mancherebbe!), se paghi hai un determinato servizio, e se ti cancellano i dati, scatta come minimo una denuncia.
Ad ogni modo molto ma molto più raro che un hard disk che salta o di due hd in raid che saltano contemporaneamente (capitato).

Be' uao una denuncia... Intanto i tuoi dati salutali che non li trovi piu'. E non intendo ovviamente per rotture fisiche di hard disk. Li' anche i servizi gratuiti, grazie alla pubblicita', racimolano abbastanza per avere un banda bella larga e i raid per la sicurezza dei dati.

Pero' permettimi di continuare a pensare che se fosse tutto centralizzato, basta un disagio per mandare a cozze tutto quanto.

Il cloud dovrebbe restringersi solo a certi campi. Per esempio potresti dirmi in un'azienda, nel quale un mega serverone fa da pc centrale collegato a tanti terminali, uno per ogni dipendente (magari con un hard disk locale che si sa mai in ogni caso).

Ma cosi' si torna nel passato e non si va avanti. Poi ovviamente sono mie opinioni...

http://farm3.static.flickr.com/2326/2091055752_b2eb3e0776_o.jpg

http://henomis.wordpress.com/2007/12/06/un-videotel-come-terminale-unix/

LoL... :D