Password cracking: le rainbow tables

Le password di accesso ad un servizio, di solito (!) non vengono memorizzate in chiaro, per ovvi motivi di sicurezza. Ne viene archiviata la versione “trasformata” secondo un algoritmo, (hash) preferibilmente one way. All’atto dell’autenticazione la password inserita verrà trasformata secondo lo stesso algoritmo di hashing e confrontata con la versione archiviata: se sono uguali viene concessa l’autorizzazione.
Detto in soldoni:)

Come si fa a crackare una password?
Con lo stesso procedimento. Si genera l’hash e lo si controlla al volo. Lo si può fare basandosi su un dizionario che comprenda i termini più comuni, o per brute force, ovvero generando parole da combinazioni di caratteri scelti a discrezione.
Ridetto in soldoni.

E non è un problema solo da ragazzino idiota che gioca a fare il cracker, anche a chi si occupa di sicurezza è necessario un sistema di auditing delle password efficiente!

Il problema è che nel generare la possibile password e confrontarla, il tempo macchina, specialmente per password lunghe e/o complesse è spesso misurabile sulla vita di una sequoia.. Come ovviare al problema?
Perchè cifrare ogni volta tutte le possibili combinazioni fino a ricavare l’hash corrispondente alla password cercata?
Se avessi anzitempo criptato e memorizzato ogni combinazione possibile, potrei molto più velocemente eseguire una ricerca nel mio archivio e trovare l’hash corrispondente, risparmiando notevole tempo; infatti il maggior spreco di cpu è proprio nella codifica ripetuta delle password, non nel confronto.
Però un archivio tale da contenere tutti gli hash frutto delle combinazioni alfanumeriche di password sufficentemente lunghe supererebbe le decine di terabyte…

Ecco intervenire le Rainbow Tables, nate da Philippe Oechslin, un esperto in sicurezza, che ha ideato un procedimento per ridurre un archivio di hash in una tabella molto più piccola.
Ecco, bene, ma adesso che lo so che faccio? Comunque per generarmi le Rainbow Tables necessito di un elaboratore superpotente…
Ma nooo! C’è ovviamente qualcuno che lo ha fatto già per te!
Distributed rainbow tables project: Md5, LM, NTLM hashes
Shmoo group: LM hashes (torrent)
Hak5: LM hashes (torrent)

Una nuova guerra contro Scientology

Il gruppo Anonymous ha dichiarato guerra a Scientology. La scintilla è scoccata dalle azioni di Scientology per rimuovere il celebre video con Tom Cruise come protagonista, pubblicato tempo fa su Youtube.
La guerra è iniziata a colpi di DDoS contro i siti di Scientology e sembra l’intento sia quello di portarla avanti senza quartiere, a giudicare dai proclami, come il video che riporto qui sotto o la frase citata qui:

“This is it guys. We’ve shut down numerous Scientology websites, we’ve gained mainstream media attention, we’ve raided Scientology HQ’s, and most of all we’ve been identified as a threat. Now is the time to deal the finishing blow to the Scientologists while they’re down. Do all you can, in the name of Anonymous.”

EDIT 30/01/2007:
Ho ricevuto vari commenti su questo post, che ho scelto di non pubblicare.
Io ho una precisa opinione su iniziative di questo genere così come ho una chiara opinione su Scientology, che volutamente non ho lasciato trasparire dal post, solo perchè esulano dallo scopo per cui ho pubblicato la notizia, che è strettamente legato al mio interesse per la sicurezza informatica, nella fattispecie.
Nessun intento di censura o mancanza di interesse nei commenti, anzi, un grazie comunque a chi ha commentato e grazie per l’interesse nel post.

Come scaricare velocemente con Firefox

Stanchi della solita finestrella di download, di dover dare conferme aggiuntive etc etc? Ok, fate così:
cliccate con il tasto destro sulla toolbar di Firefox, e selezionate “Customize”, o “Personalizza”.
Cercate l’icona relativa ai downloads e trascinatela sulla toolbar dove meglio vi piace.
Per scaricare un qualsiasi file basterà trascinarne il link sull’icona appena aggiunta e il download partirà automaticamente.

Aggiornare Windows offline

Dopo la chiusura forzata di Autopatcher su pressione della Microsoft, è saltato fuori un valido sostituto, CT Offline Update.
Supporta Microsoft Windows 2000, Windows XP, Windows Server 2003, le edizioni 64-bit di XP , Server 2003 e pure Windows Vista. Inoltre supporta Office 2000, Office XP, Office 2003 e Office 2007. L’utente ha inoltre la possibilità di escludere service packs e creare immagini iso dei download.

Durerà?

Sms gratis, dal vostro desktop

Grazie all’ottimo lavoro di Silvio Moioli, ecco MoioSMS, che vi permette di mandare SMS gratis in modo comodo e veloce appoggiandosi a servizi offerti via web:

190.it: i clienti di schede Vodafone hanno diritto a 10 messaggi gratis al giorno verso numeri Vodafone (Per gli account Vodafone è implementata la tecnica per la gestione automatica delle immagini CAPTCHA evitando così di inserire i soliti codici.);
tim.it : i clienti di schede Tim hanno diritto a 5 messaggi gratis al giorno verso numeri Tim;
tin.alice.it : gli utenti di ADSL di Telecom con un contratto precedente alle offerte Alice hanno diritto a 10 messaggi gratis al giorno;
enel.it: gli utenti del sito possono mandare 1 messaggio gratis al giorno e 5 al mese;
Callwave.com: sms illimitati verso gli Stati Uniti e Canada, registrazione gratuita;
smshosting.it permette di mandare un messaggio gratis per destinatario, senza registrazione;
rossoalice.it: gli utenti di Alice ADSL hanno diritto a 10 messaggi gratis al giorno.

Qui il link al programma, scritto in python, e disponibile sia per Windows (installer e portable) che per Mac, che Linux (è presente sia il pacchetto .deb per Debian e derivate, che l’installazione da sorgente).

Il programma è free software, sotto licenza GPL, ma l’autore sostiene il gruppo missionario MissioMundi: una offerta, anche piccola, è un bel ringraziamento a Silvio per l’ottimo lavoro!

File sharing, the easy way

Sufficientemente veloce, gratuito, senza spyware o malware, senza popup, senza registrazione, senza restrizioni sull’ip, senza timers di attesa. Volete altro? Chessò, un assegno in bianco? :D

Scherzi a parte, trovo che MIHD sia il sistema migliore di condividere con il mondo files di grosse dimensioni.  Ricordatevi di proteggere sempre con una buona password il contenuto di ciò che uploadate, ed evitate assolutamente sistemi di questo genere per contenuti sensibili.

Per scaricare del materiale basterà cliccare su “Request download link” e quindi su: “Download file”.
E’ meglio usare un download manager che supporti il resume in caso di files particolarmente grandi o connessioni non troppo veloci.
Quello che mi chiedo è: ma ci guadagnano così tanto con quei link sponsorizzati? Bastano i click degli utenti poco attenti a fare il “bisiniss”? Una volta di più, ho sbagliato tutto nella vita..

Scaricare video da Youtube

Se avete installato un interprete Python, 2.4 o successivi, è semplicissimo.
Basta scaricare youtube-dl da qui.

Il programma va lanciato con un semplice:
python /directory/youtube-dl “http://www.youtube.com/watch?v=foobar”
o semplicemente youtube-dl “http://www.youtube.com/watch?v=foobar” a seconda del sistema operativo che state usando.

Il file salvato sarà foobar.flv, che potete riprodurre con vlc, o sotto windows, con l’ottimo Flv Player di Martijn de Visser.

Sicurezza delle reti wireless

Per saperne di più, Cwnp offre gratuitamente, online, la
Certified Wireless Analysis Professional – Official Study Guide.
Tra gli argomenti coperti, 802.11 MAC and PHY Layers, Wireless LAN Analysis, 802.11 Protocol Architecture, Connectivity and Data Protection, Configuration, Troubleshooting….

Grazie a ITtoolbox per la segnalazione.

Subnetting facile!

Passate le elucubrazioni del mio precedente post, credo che lo schema riportato nel’immagine qui sotto sia un perfetto sunto da fissare a mente per rendere semplici i calcoli di maschere, sottoreti e simili. Tratto da un bell’articolo di George Ou su TechRepublic.

Console buia in Ubuntu, la saga continua

Nonostante la valanga di segnalazioni il kernel team di Ubuntu continua a non voler dare segni di vita sulla questione legata alla framebuffer console in Gutsy, di cui parlavo tempo fa. Anzi, adesso l’importanza del bug è stata abbassata da critical a medium, segno di un evidente disinteresse al problema. Non solo, ma saltano fuori pure commenti del genere:

Lacking a framebuffer console is not an issue that makes your machine
explode.

Sinceramente lo trovo un comportamento incredibilmente indisponente e sciocco.
Penso di non avere parole migliori di quelle usate da Albin Tonnerre:

And here is the best weapon to fight against the ‘linux is all about command-line’ opinion: You just can’t use your console. Don’t tell me you’re not happy, I know you’ve been wanting to get rid of it for ages.
I have to say, it’s been a pretty good collaboration between users and the kernel development team to bring this feature in:
A bug about that new function was filed 2 months before the release, set as critical (now, you see how badly users wanted their framebuffer not to work),  got dozens of answers and about 20 duplicates, and the kernel team did a great job at keeping this feature in gutsy.
Ok, let’s stop the sarcasm. Actually they did answer. ‘Just remove vga= from you kernel command line‘.

Enjoy :)