|
|||||||
|
|
|
 |
|
|
Strumenti |
16-08-2003, 10:52
|
#1 |
|
Senior Member
Iscritto dal: Aug 2003
Città: Eutropia
Messaggi: 94
|
Craccare password di Windows in 13,6 secondi!
25/07/03 - News - Losanna (Svizzera) - Craccare le password della famiglia di Windows basati sul kernel NT (NT 4.0, 2000, XP e Server 2003) in pochi secondi. È quello che è riuscito a fare un ricercatore del Cryptography and Security Laboratory of the Swiss Federal Institute of Technology in Lausanne (EPFL), Philippe Oechslin, che in un documento ha descritto un metodo, chiamato “time-memory trade-off”, per abbassare drasticamente i tempi con cui è possibile ottenere una password alfanumerica in chiaro a partire da una stringa codificata (hash).
Nel documento si apprende che il programma messo a punto da Oechslin è riuscito, utilizzando un computer desktop con un processore Athlon XP 2500+ e 1,5 GB di memoria, a craccare il 99,9% di tutte le password alfanumeriche di Windows in un tempo medio di 13,6 secondi, circa 10 volte inferiore a quello necessario con gli attacchi di forza bruta tradizionali. Oechslin ha spiegato di aver implementato un vecchio teorema di criptoanalisi risalente al 1980 che descrive un modo per craccare le password alfanumeriche avvalendosi di una tabella di ricerca contenente dati precalcolati: per la sua prova, il criptoanalista si è avvalso di una tabella di 1,4 GB. Il ricercatore svizzero afferma di essersi limitato ad ottimizzare il processo e svilupparne un'implementazione pratica: quest'ultima, accessibile on-line qui, può essere provata da chiunque per craccare la password del proprio sistema a patto che accetti la pubblicazione dei propri e-mail, hash e password e che disponga dei privilegi di amministratore per lanciare il tool necessario a recuperare l'hash della propria password. Nel proprio documento Oechslin sottolinea come i sistemi operativi Unix-like, fra cui anche Linux e Mac OS X, adottino un sistema di codifica delle password sensibilmente più robusto di quello di Windows (NTHash) perché basato su un vettore di inizializzazione, detto "salt", più resistente agli attacchi di forza bruta. Oechslin ha ritenuto superfluo avvertire Microsoft dei risultati del proprio lavoro: sostiene infatti che la mancanza del salt in Windows è cosa ben nota e che il suo tool di cracking, di cui il ricercatore per il momento non ha intenzione di rilasciare i sorgenti, si basa su concetti vecchi di vent'anni. Alcuni esperti hanno spiegato che la debolezza del meccanismo di hashing utilizzato da Windows non è peraltro cruciale ai fini della sicurezza generale del sistema, questo perché per ottenere la password da decrittare un cracker necessita in ogni caso di un account con privilegi di amministrazione: una volta ottenuti i massimi privilegi, e con essi l'accesso alla lista delle password, il salt diventa un ostacolo del tutto marginale. -------------------------------------------------------- Windozz: where do you crack today? --------------------------------------------------------
__________________
"Il comando più difficile è comandare a se stessi." (Lucio Anneo Seneca) Immagine rimossa dallo staff per violazione del regolamento. |
|
|
|
17-08-2003, 08:28
|
#2 |
|
Member
Iscritto dal: Aug 2003
Messaggi: 129
|
questa debolezza è comune a tutti i so di casa ms? secondo me è proprio un bel problema visto che nn ci vuole molto se pensiamo ad una lan aziendale dove si puo' avere accesso fisico ai pc ad avere i benefici di amministratore di sistema dal pc che si ha intenzione di crackare
|
|
|
|
|
17-08-2003, 11:05
|
#3 |
|
Senior Member
Iscritto dal: Jun 2002
Città: ALTARE
Messaggi: 12419
|
a parte che ci sono prg fatti x linux (girano su una versione di linux su floppy) che ti permettono di resettare le psw a tuo piacimento.... se hai accesso fisico nn c'è speranza...
__________________
Scusate se dico le cose come credo che stiano. Lunga vita e prosperità! /Naso San Home Page***www.AdrianaLima.it |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:10.
