Archivio per gennaio, 2008

Password cracking: le rainbow tables

Posted in Crack, Hack, Sicurezza on gennaio 31, 2008 by ravem

Le password di accesso ad un servizio, di solito (!) non vengono memorizzate in chiaro, per ovvi motivi di sicurezza. Ne viene archiviata la versione “trasformata” secondo un algoritmo, (hash) preferibilmente one way. All’atto dell’autenticazione la password inserita verrà trasformata secondo lo stesso algoritmo di hashing e confrontata con la versione archiviata: se sono uguali viene concessa l’autorizzazione.
Detto in soldoni:)

Come si fa a crackare una password?
Con lo stesso procedimento. Si genera l’hash e lo si controlla al volo. Lo si può fare basandosi su un dizionario che comprenda i termini più comuni, o per brute force, ovvero generando parole da combinazioni di caratteri scelti a discrezione.
Ridetto in soldoni.

E non è un problema solo da ragazzino idiota che gioca a fare il cracker, anche a chi si occupa di sicurezza è necessario un sistema di auditing delle password efficiente!

Il problema è che nel generare la possibile password e confrontarla, il tempo macchina, specialmente per password lunghe e/o complesse è spesso misurabile sulla vita di una sequoia.. Come ovviare al problema?
Perchè cifrare ogni volta tutte le possibili combinazioni fino a ricavare l’hash corrispondente alla password cercata?
Se avessi anzitempo criptato e memorizzato ogni combinazione possibile, potrei molto più velocemente eseguire una ricerca nel mio archivio e trovare l’hash corrispondente, risparmiando notevole tempo; infatti il maggior spreco di cpu è proprio nella codifica ripetuta delle password, non nel confronto.
Però un archivio tale da contenere tutti gli hash frutto delle combinazioni alfanumeriche di password sufficentemente lunghe supererebbe le decine di terabyte…

Ecco intervenire le Rainbow Tables, nate da Philippe Oechslin, un esperto in sicurezza, che ha ideato un procedimento per ridurre un archivio di hash in una tabella molto più piccola.
Ecco, bene, ma adesso che lo so che faccio? Comunque per generarmi le Rainbow Tables necessito di un elaboratore superpotente…
Ma nooo! C’è ovviamente qualcuno che lo ha fatto già per te!
Distributed rainbow tables project: Md5, LM, NTLM hashes
Shmoo group: LM hashes (torrent)
Hak5: LM hashes (torrent)

Una nuova guerra contro Scientology

Posted in Ddos, Hacking malicious on gennaio 25, 2008 by ravem

Il gruppo Anonymous ha dichiarato guerra a Scientology. La scintilla è scoccata dalle azioni di Scientology per rimuovere il celebre video con Tom Cruise come protagonista, pubblicato tempo fa su Youtube.
La guerra è iniziata a colpi di DDoS contro i siti di Scientology e sembra l’intento sia quello di portarla avanti senza quartiere, a giudicare dai proclami, come il video che riporto qui sotto o la frase citata qui:

“This is it guys. We’ve shut down numerous Scientology websites, we’ve gained mainstream media attention, we’ve raided Scientology HQ’s, and most of all we’ve been identified as a threat. Now is the time to deal the finishing blow to the Scientologists while they’re down. Do all you can, in the name of Anonymous.”

EDIT 30/01/2007:
Ho ricevuto vari commenti su questo post, che ho scelto di non pubblicare.
Io ho una precisa opinione su iniziative di questo genere così come ho una chiara opinione su Scientology, che volutamente non ho lasciato trasparire dal post, solo perchè esulano dallo scopo per cui ho pubblicato la notizia, che è strettamente legato al mio interesse per la sicurezza informatica, nella fattispecie.
Nessun intento di censura o mancanza di interesse nei commenti, anzi, un grazie comunque a chi ha commentato e grazie per l’interesse nel post.

Come scaricare velocemente con Firefox

Posted in Download, Firefox, Web on gennaio 22, 2008 by ravem

Stanchi della solita finestrella di download, di dover dare conferme aggiuntive etc etc? Ok, fate così:
cliccate con il tasto destro sulla toolbar di Firefox, e selezionate “Customize”, o “Personalizza”.
Cercate l’icona relativa ai downloads e trascinatela sulla toolbar dove meglio vi piace.
Per scaricare un qualsiasi file basterà trascinarne il link sull’icona appena aggiunta e il download partirà automaticamente.

Aggiornare Windows offline

Posted in Sicurezza, Windows on gennaio 22, 2008 by ravem

Dopo la chiusura forzata di Autopatcher su pressione della Microsoft, è saltato fuori un valido sostituto, CT Offline Update.
Supporta Microsoft Windows 2000, Windows XP, Windows Server 2003, le edizioni 64-bit di XP , Server 2003 e pure Windows Vista. Inoltre supporta Office 2000, Office XP, Office 2003 e Office 2007. L’utente ha inoltre la possibilità di escludere service packs e creare immagini iso dei download.

Durerà?

Sms gratis, dal vostro desktop

Posted in Gratis, Sms, Telefonia on gennaio 15, 2008 by ravem

Grazie all’ottimo lavoro di Silvio Moioli, ecco MoioSMS, che vi permette di mandare SMS gratis in modo comodo e veloce appoggiandosi a servizi offerti via web:

190.it: i clienti di schede Vodafone hanno diritto a 10 messaggi gratis al giorno verso numeri Vodafone (Per gli account Vodafone è implementata la tecnica per la gestione automatica delle immagini CAPTCHA evitando così di inserire i soliti codici.);
tim.it : i clienti di schede Tim hanno diritto a 5 messaggi gratis al giorno verso numeri Tim;
tin.alice.it : gli utenti di ADSL di Telecom con un contratto precedente alle offerte Alice hanno diritto a 10 messaggi gratis al giorno;
enel.it: gli utenti del sito possono mandare 1 messaggio gratis al giorno e 5 al mese;
Callwave.com: sms illimitati verso gli Stati Uniti e Canada, registrazione gratuita;
smshosting.it permette di mandare un messaggio gratis per destinatario, senza registrazione;
rossoalice.it: gli utenti di Alice ADSL hanno diritto a 10 messaggi gratis al giorno.

Qui il link al programma, scritto in python, e disponibile sia per Windows (installer e portable) che per Mac, che Linux (è presente sia il pacchetto .deb per Debian e derivate, che l’installazione da sorgente).

Il programma è free software, sotto licenza GPL, ma l’autore sostiene il gruppo missionario MissioMundi: una offerta, anche piccola, è un bel ringraziamento a Silvio per l’ottimo lavoro!

File sharing, the easy way

Posted in File sharing on gennaio 15, 2008 by ravem

Sufficientemente veloce, gratuito, senza spyware o malware, senza popup, senza registrazione, senza restrizioni sull’ip, senza timers di attesa. Volete altro? Chessò, un assegno in bianco? :D

Scherzi a parte, trovo che MIHD sia il sistema migliore di condividere con il mondo files di grosse dimensioni.  Ricordatevi di proteggere sempre con una buona password il contenuto di ciò che uploadate, ed evitate assolutamente sistemi di questo genere per contenuti sensibili.

Per scaricare del materiale basterà cliccare su “Request download link” e quindi su: “Download file”.
E’ meglio usare un download manager che supporti il resume in caso di files particolarmente grandi o connessioni non troppo veloci.
Quello che mi chiedo è: ma ci guadagnano così tanto con quei link sponsorizzati? Bastano i click degli utenti poco attenti a fare il “bisiniss”? Una volta di più, ho sbagliato tutto nella vita..

Scaricare video da Youtube

Posted in Multimedia, Youtube on gennaio 13, 2008 by ravem

Se avete installato un interprete Python, 2.4 o successivi, è semplicissimo.
Basta scaricare youtube-dl da qui.

Il programma va lanciato con un semplice:
python /directory/youtube-dl “http://www.youtube.com/watch?v=foobar”
o semplicemente youtube-dl “http://www.youtube.com/watch?v=foobar” a seconda del sistema operativo che state usando.

Il file salvato sarà foobar.flv, che potete riprodurre con vlc, o sotto windows, con l’ottimo Flv Player di Martijn de Visser.