Windows, un-due-tre password!

Un ricercatore svizzero ha dimostrato come sia possibile craccare password di Windows in pochi secondi utilizzando una modesta potenza di calcolo. Si può testare online

Losanna (Svizzera) - Craccare le password della famiglia di Windows basati sul kernel NT (NT 4.0, 2000, XP e Server 2003) in pochi secondi. E' quello che è riuscito a fare un ricercatore del Cryptography and Security Laboratory of the Swiss Federal Institute of Technology in Lausanne (EPFL), Philippe Oechslin, che in un documento ha descritto un metodo, chiamato ?time-memory trade-off?, per abbassare drasticamente i tempi con cui è possibile ottenere una password alfanumerica in chiaro a partire da una stringa codificata (hash).

Nel documento si apprende che il programma messo a punto da Oechslin è riuscito, utilizzando un computer desktop con un processore Athlon XP 2500+ e 1,5 GB di memoria, a craccare il 99,9% di tutte le password alfanumeriche di Windows in un tempo medio di 13,6 secondi, circa 10 volte inferiore a quello necessario con gli attacchi di forza bruta tradizionali.

Oechslin ha spiegato di aver implementato un vecchio teorema di criptoanalisi risalente al 1980 che descrive un modo per craccare le password alfanumeriche avvalendosi di una tabella di ricerca contenente dati precalcolati: per la sua prova, il criptoanalista si è avvalso di una tabella di 1,4 GB. Il ricercatore svizzero afferma di essersi limitato ad ottimizzare il processo e svilupparne un'implementazione pratica: quest'ultima, accessibile on-line qui, può essere provata da chiunque per craccare la password del proprio sistema a patto che accetti la pubblicazione dei propri e-mail, hash e password e che disponga dei privilegi di amministratore per lanciare il tool necessario a recuperare l'hash della propria password.
Nel proprio documento Oechslin sottolinea come i sistemi operativi Unix-like, fra cui anche Linux e Mac OS X, adottino un sistema di codifica delle password sensibilmente più robusto di quello di Windows (NTHash) perché basato su un vettore di inizializzazione, detto "salt", più resistente agli attacchi di forza bruta.

Oechslin ha ritenuto superfluo avvertire Microsoft dei risultati del proprio lavoro: sostiene infatti che la mancanza del salt in Windows è cosa ben nota e che il suo tool di cracking, di cui il ricercatore per il momento non ha intenzione di rilasciare i sorgenti, si basa su concetti vecchi di vent'anni.

Alcuni esperti hanno spiegato che la debolezza del meccanismo di hashing utilizzato da Windows non è peraltro cruciale ai fini della sicurezza generale del sistema, questo perché per ottenere la password da decrittare un cracker necessita in ogni caso di un account con privilegi di amministrazione: una volta ottenuti i massimi privilegi, e con essi l'accesso alla lista delle password, il salt diventa un ostacolo del tutto marginale.
248 Commenti alla Notizia Windows, un-due-tre password!
Ordina
  • esiste qlcs d simile da far girare su account guest?
    non+autenticato
  • Microsoft gioca sporco in 2 maniere:
    1) enciclopedie e altri software compatibili solo con windows 95/98/ME cambio windows non li posso più usare devo gettarli e comperarne di nuovi.
    2) molti software non funzionano con windows 98/me per motivi di incompatibilità e cosi sono costretto a cambiare windows.
    Mettete insieme le 2 problematiche e che succede? Auguri se dovete fare assistenza informatica! Ammeno che uno non usi il computer solo per una determinata cosa sta sicuro che sti problemi si sentono e anche molto! Strano! Dovrebbero esser sentiti più con LINUX! E allora perchè pagare un sistema operativo se sono obbligato poi a cambiarlo e a pagarne un altro? Non è giusto che io paghi solo per imparare ad usarlo ?? Linux in un certo senso funziona cosi.
    Tutti lo possono provare poi c'è chi paga qualcuno , che chi perde il suo tempo per imparare. Voi che ne pensate?
    non+autenticato

  • - Scritto da: Anonimo
    > Voi che ne pensate?

    Penso che i mercati aziendale e privato non si dovrebbero proprio sovrapporre.

    Nell'azienda dove ero prima tutte le macchine "tecniche" erano UNIX (HP e Compaq) ma in amministrazione c'erano una dozzina di PC con le varie versioni di windows. C'era il suo bel serverino NT, due PC per il vecchio gestionale di magazzino che girava solo su 95, un paio di PC per l'ultimissima versione di office e così via. Come vedi il "problema" non esiste se uno si organizza un po', nel mondo reale le installazioni sono spesso miste e non devi "cambiare sistema", al massimo aggiungi un paio di macchine o usi il multiboot. Certo per il PC di casa le cose sono diverse...
    non+autenticato
  • Ti rispondo Dipende!
    Per utenze prettamente domestiche no, non serve a nulla anzi... visto che uno a casa può "fare ciò che vuole" ben venga Linux con tutte le sue notti insonni.

    Il discorso cambia per utenze aziendali.
    Dietro il pagamento della licenza si nasconde uno scudo bello grosso per tutti i professionisti dell'IT mi spiego meglio.

    Io Professionista X, installa un Web server per esempio IIS, domani scoprono una falla di IIS 6 che manda a puttane il lavoro di tutti i webmaster (e migliaia di euro).
    La ditta a chi fà causa? A Microsoft xchè fà dei webServer barbini!

    Ora sempre lo stesso professionista X, installa Apache, si scopre una falla nel webserver che manda alle ortiche migliaia di ore di lavoro dei suddetti WebMaster (e migliaia di euro) la ditta a chi fà causa? A TE!

    Essendo un professionista si deve in un qualche senso essere in grado di poter revisionare il codice OPEN del suddetto WebServer.
    Morale della favola ci sono svariate sentenze di corti americane che hanno accusato i progettisti a cui si erano affidati adducendo la seguente scusa...

    "Tu potevi e dovevi sapere..."

    Assurdo ma è così ve lo garantisco
    non+autenticato

  • - Scritto da: Anonimo
    > Ti rispondo Dipende!
    > Per utenze prettamente domestiche no, non
    > serve a nulla anzi... visto che uno a casa
    > può "fare ciò che vuole" ben venga Linux con
    > tutte le sue notti insonni.
    >
    > Il discorso cambia per utenze aziendali.
    > Dietro il pagamento della licenza si
    > nasconde uno scudo bello grosso per tutti i
    > professionisti dell'IT mi spiego meglio.
    >
    > Io Professionista X, installa un Web server
    > per esempio IIS, domani scoprono una falla
    > di IIS 6 che manda a puttane il lavoro di
    > tutti i webmaster (e migliaia di euro).
    > La ditta a chi fà causa? A Microsoft xchè fà
    > dei webServer barbini!

    ROTFL ! Ma le leggi le licenze o cliccki su "accetto" sulla fiducia ?

    Se la tua azienda viene rasa al suolo per un bug di qualsiasi prodotto microsoft, e' solo colpa tua. Microsoft se ne lava le mani e te, accettando le loro licenze, sei daccordo con questo.

  • > ROTFL ! Ma le leggi le licenze ...

    Si!

    > ... Microsoft se ne lava le mani e
    > te, accettando le loro licenze, sei daccordo
    > con questo.

    Non sto dicendo che microsoft rimborsa per i danni subiti anzi, ma che nel caso in cui ce ne fosse la necessità c'è una figura legale a cui poter fare causa.
    non+autenticato
  • > Non sto dicendo che microsoft rimborsa per i
    > danni subiti anzi, ma che nel caso in cui ce
    > ne fosse la necessità c'è una figura legale
    > a cui poter fare causa.

    ??? a che scopo? spendere un sacco di soldi inutilmente in avvocati per poi perderla la causa? una bella idea, compro microsoft cosi se i loro sistemi mi provocano danni economici posso rovinarmi ulteriormente cercando di fargli causa...
    non+autenticato

  • - Scritto da: Anonimo
    >
    > > ROTFL ! Ma le leggi le licenze ...
    >
    > Si!
    >    
    > > ... Microsoft se ne lava le mani e
    > > te, accettando le loro licenze, sei
    > daccordo
    > > con questo.
    >
    > Non sto dicendo che microsoft rimborsa per i
    > danni subiti anzi, ma che nel caso in cui ce
    > ne fosse la necessità c'è una figura legale
    > a cui poter fare causa.

    E io ti sto dicendo che NON puoi fargli causa, perche' accettando la loro licenza, accetti il fatto che microsoft non puo' essere considerata responsabile per nessuna problema derivante dall'uso del loro software.

    Forse non ho capito bene, ma per cosa dovresti aver bisogno di fargli causa ?
  • Rispondo ad un pò di gente:

    Microsoft pur essendo un colosso etc etc... e pur avendo uno dei migliori studi legali degli USA etc etc..

    ha perso e continua a perdere moltissime cause riguardanti, responsabilità legale dei propri software e con questo intendo danni provocati da Bug!
    (PS: non sempre vengono segnalati tempestivamente anzi)
    Per non parlare di cause riguardanti il monopolio.

    Forse parlare di Apache non è molto calzante, però spero che hai + elastici sia bastato questo possibile esempio di prospettiva...

    In riguardo alle cause provvederò a documentarli + dettagliatamente, non sono un giurista, ma il discorso che ho fatto è uscito fuori con un mio amico laureatosi in diritto Informatico (Specializzato in ...)

    PS: assicurazioni personali che coprono ste cose non ce ne sono, se non per cifre irrisorie (spreco di soldi e tempo)

    > Forse non ho capito bene, ma per cosa
    > dovresti aver bisogno di fargli causa ?

    La MS ha assicurazioni aziendali che coprono eventuali risarcimenti richiesti per danni senza la necessità di mandare il caso in aula. Lei non ci farebbe bella figura per una casa del genere e a te costerebbe un patrimonio, ergo si può beneficiare di un accordo tra parti.

    La necessità di fargli causa? tentare di essere rimborsato in qualche modo per il danno subito.
    non+autenticato
  • Definisco Danno onde evitare problemi:

    Il danno non è quello del server che devi riformattare e delle ore di lavoro perse, ma uno degli appigli possibili mi pare che sia il danno d'immagine subito dall'attacco.

    Sempre facente riferimento all'esempio della WebFarm...
    non+autenticato
  • > ha perso e continua a perdere moltissime
    > cause riguardanti, responsabilità legale dei
    > propri software e con questo intendo danni
    > provocati da Bug!

    siccome scrivere codice sbagliato e venderlo dicendo espressamente che non ci si assume alcuna responsabilita in caso di malfunzionamento non e' un reato, non ci credo finche non mi fai vedere un esempio.

    > (PS: non sempre vengono segnalati
    > tempestivamente anzi)
    > Per non parlare di cause riguardanti il
    > monopolio.

    scrivere codice potenzialmente affetto da bug e scriverlo anche nella licenza non e' un reato, abusare della propria posizione di monopolio si.

    > In riguardo alle cause provvederò a
    > documentarli + dettagliatamente,

    sara meglio.

    > PS: assicurazioni personali che coprono ste
    > cose non ce ne sono, se non per cifre
    > irrisorie (spreco di soldi e tempo)
    >
    > > Forse non ho capito bene, ma per cosa
    > > dovresti aver bisogno di fargli causa ?
    >
    > La MS ha assicurazioni aziendali che coprono
    > eventuali risarcimenti richiesti per danni
    > senza la necessità di mandare il caso in
    > aula.

    o stai sognando, o le confondi con i risarcimenti recentemente introdotti da ms, che in caso di danno (che puo benissimo essere peggiore di un danno di immagine, pensa alla perdita di dati o alla fuoriuscita di informazioni sensibili, cose che succedono davvero) ti ridanno i soldi spesi nel software e praticamente niente piu.

    > Lei non ci farebbe bella figura per
    > una casa del genere e a te costerebbe un
    > patrimonio, ergo si può beneficiare di un
    > accordo tra parti.

    se fosse vero, conoscendo cosa hanno provocato i vari outlook e iis in passato ms avrebbe gia dovuto da tempo fare bancarotta.

    > La necessità di fargli causa? tentare di
    > essere rimborsato in qualche modo per il
    > danno subito.

    per me te lo stai sognando.
    non+autenticato

  • Penso che sia inutile insistere oltre, tu se delle tue idee e credi che stia sognand... fatti tuoi!
    non+autenticato
  • Non mi sembra che ci sia niente di nuovo in quello che ha scoperto il ricercatore se non il fatto che avendo una tebella da 2Gb di pre-hash si riesca a crackare le pass molto + velocemente!
    E grazie invece di calcolarlo di volta in volta con la pass dell'eventuale dizionario vai a vesere nella tabella (PRE CALCOLATA) e incroci CA + SA e vedi l'hash di CASA

    Semplicistico ma è così
    Tengo a sottolineare alcune imprecisioni per esempio

    basta uno stupidissimi sniffer per riuscire a prendere il challenge che il client spedisce al server di autenticazione, ma questo avviene in qualsiasi sistema operativo MS o *nix
    a quel punto LC4 o Jonh non fà differenza!

    Per crackare una password non è questione di stabilità o affidabilità ma solo di potenza di calcolo...
    non+autenticato
  • per poter ottenere le firme delle password da decriptare bisogna accedere al sistema come amministratore quindi a sto punto a cosa razzo serve decriptare le password hai gia l'accesso al sistema.


    peggio della utontagine c'è l'ignoranza.

    a raga se non sapete niente evitate brutte figure e non postate idiozie.

    utonti siamo quasi ad agosto perche non andate in vacanze invece di scrivere fesserie, e per migliorare la vostra inteliggenza quando siete sulla scogliera un bel tuffo di testa in fondali bassi aiuta molto a non dover leggere più tanti commenti idiofani
       
    non+autenticato

  • - Scritto da: Anonimo
    > per poter ottenere le firme delle password
    > da decriptare bisogna accedere al sistema
    > come amministratore quindi a sto punto a
    > cosa razzo serve decriptare le password hai
    > gia l'accesso al sistema.
    >

    Molto interessante. Quindi se uno sfruttando una vulnerabilità riesce a farsi dare il file delle password, e poi da allora in poi accede al sistema come utente normale (ma UN ALTRO utente), tanto valeva loggarsi sempre con un rootkit!

    Ma tornatene a studiare al CEPU.
    non+autenticato
  • -->
    per poter ottenere le firme delle password da decriptare bisogna accedere al sistema come amministratore quindi a sto punto a cosa razzo serve decriptare le password hai gia l'accesso al sistema.


    peggio della utontagine c'è l'ignoranza.

    a raga se non sapete niente evitate brutte figure e non postate idiozie.

    utonti siamo quasi ad agosto perche non andate in vacanze invece di scrivere fesserie, e per migliorare la vostra inteliggenza quando siete sulla scogliera un bel tuffo di testa in fondali bassi aiuta molto a non dover leggere più tanti commenti idiofani
    <--

    > Molto interessante.
    e si è incredibile quante castronate hai inserito in un post unico

    come potete vedere sopra è riportato il post originale vediamo come l'idraulipc non ha capito un razzo.

    > Quindi se uno sfruttando
    > una vulnerabilità riesce a farsi dare il
    > file delle password,

    ahahahhahahhaha e come no il pc mi saluta e mi da le password ahahhahahahhahahahhahahhah

    >e poi da allora in poi
    > accede al sistema come utente normale

    a che serve accedere come utente normale se i migliori danni li fai come administrator
    >(ma UN
    > ALTRO utente), tanto valeva loggarsi sempre
    > con un rootkit!

    peccato che un rootkit e un insieme di strumenti atti a nascondersi in un sistema prettamente di tipo *nix, e non un tipo di utenza, che l'idraulipc intendeva l'utenza root però questa si riferisce a sistemi *nix

    >
    > Ma tornatene a studiare al CEPU.


    questa e veramente il colmo un completo ignorante che dice a me di ritornare alla cepu, guarda amico uno che ha seguito mezzo corso cepu e sicuramente migliaia di anni luce superiore a te.

    comunque segui un consiglio comprati una xbox o una playstation il pc e troppo complesso per te.

    ciao idraulipc e non leggere troppo hacker giurnal che ti fa male
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | Successiva
(pagina 1/8 - 38 discussioni)