[Soci SLIP] sicurezza secondo microsoft

[Davide Corio]

Il giorno dom, 03/05/2009 alle 13.50 +0200, gvsnet a gvsnet.it ha scritto:
> questa e una considerazione priva di fondamento logico.

Mica tanto, io gestisco il disaster recovery in una delle server farm
più importanti del paese e sono pagato per ripristinare un sistema
danneggiato o compromesso nel minor tempo possibile, a volte poche
decine di minuti.


> la gestione delle password di linux basate su file testo sono  
> decisamente meno sicure.

Windows dove le tiene?

Quando avevo craccato con successo e poco sforzo la pass di
Administrator di una macchina Win2000Srv ricordo di aver prelevato un
singolo file.

> dove si trova il dato che autentica l'utilizzo di questo apparato?
> in caso di un logon?

Dipende dai dispositivi, ad esempio, il mio lettore biometrico è in
grado di salvare 21 impronte digitali in un chip al suo interno, così da
non doverle salvare sul sistema.

> ----------------------------------------
> cominciamo con una cosa più semplice
> che relazione c'è tra il dato immesso durante il logon(Linux)
> e il dato che ho nel file delle password?

Il file salvato in shadow è un hash calcolato in base alla password
immessa.
Siccome hash SHA e MD5 sono facili da calcolare ma non da recriptare,
viene generato l'hash SHA/MD5/CRAM/altro in base alla password immessa e
confrontato.

decriptare un hash MD5 di 5/6 caratteri random con john the ripper e
simili richiede settimane o mesi di tempo con una CPU comune.
I tempi si stanno però accorciando con l'uso delle GPU.
Molti cracker usano infatti xbox e altre console, o la GPU di nvidia/ati
per decriptare le password o gli algoritmi di protezione dei software.

Ma con una password di 8 caratteri alfanumerici, il tempo richiesto è di
nuovo immenso.
 

> --------------------------------------------
> che relazione c'è tra il dato immesso durante il logon(Windows)
> e il dato che ho nel file delle password?

Identico a quello di Linux. Windows usa HMAC-MD5.
Ignoro la differenza tra i due algoritmi, ma con john the ripper qualche
anno fa avevo decriptato una password alfanumerica di 5 caratteri in
circa un mese.

> se inserisco il mio dato biometrico usando fingerprint questo dato con  
> cosa e confrontato?

con un hash ricavato dall'immagine scansionata.
Ignoro il meccanismo, ma non è un confronto d'immagine.

> Con un dato presente al interno del sistema?

con alcuni fingerprint si, con altri invece i dati stanno sul
dispositivo stesso.

> se si:Questo dato come è protetto al interno del sistema?

esattamente come le password, ma un lettore biometrico potrebbe essere
soggetto ad exploit, cosa che difficilmente può capitare a PAM vista la
sua maturità

> è liberamente accessibile quindi io posso recuperare il dato che  
> dovrebbe assicurare che sono io a fare logon?

dovrebbe prendere l'hash sul sistema e clonare il tuo dito.
Non basterebbe nemmeno tagliarlo o farne un calco siccome i lettori
controllano il passaggio di sangue nei capillari del dito.

> ----------------------------------------
> mi sembra la filstrocca di chi protegge chi deve proteggere il protettore?
> ----------------------------------------

Più che altro mi sembra la filastrocca che si ripete ogni volta che si
ha a che fare con bandi di gara per la pubblica amministrazione, dove ti
richiedono politiche di sicurezza assurde e poi la gente va a fare pausa
caffè al ced.



-- 
Davide Corio
email: davide.corio<at>domsense.com
web: http://www.domsense.com