[Soci SLIP] sicurezza secondo microsoft
Davide Corio
davide.corio a domsense.com
Dom 3 Maggio 2009 16:29:51 CEST
Il giorno dom, 03/05/2009 alle 13.50 +0200, gvsnet a gvsnet.it ha scritto:
> questa e una considerazione priva di fondamento logico.
Mica tanto, io gestisco il disaster recovery in una delle server farm
più importanti del paese e sono pagato per ripristinare un sistema
danneggiato o compromesso nel minor tempo possibile, a volte poche
decine di minuti.
> la gestione delle password di linux basate su file testo sono
> decisamente meno sicure.
Windows dove le tiene?
Quando avevo craccato con successo e poco sforzo la pass di
Administrator di una macchina Win2000Srv ricordo di aver prelevato un
singolo file.
> dove si trova il dato che autentica l'utilizzo di questo apparato?
> in caso di un logon?
Dipende dai dispositivi, ad esempio, il mio lettore biometrico è in
grado di salvare 21 impronte digitali in un chip al suo interno, così da
non doverle salvare sul sistema.
> ----------------------------------------
> cominciamo con una cosa più semplice
> che relazione c'è tra il dato immesso durante il logon(Linux)
> e il dato che ho nel file delle password?
Il file salvato in shadow è un hash calcolato in base alla password
immessa.
Siccome hash SHA e MD5 sono facili da calcolare ma non da recriptare,
viene generato l'hash SHA/MD5/CRAM/altro in base alla password immessa e
confrontato.
decriptare un hash MD5 di 5/6 caratteri random con john the ripper e
simili richiede settimane o mesi di tempo con una CPU comune.
I tempi si stanno però accorciando con l'uso delle GPU.
Molti cracker usano infatti xbox e altre console, o la GPU di nvidia/ati
per decriptare le password o gli algoritmi di protezione dei software.
Ma con una password di 8 caratteri alfanumerici, il tempo richiesto è di
nuovo immenso.
> --------------------------------------------
> che relazione c'è tra il dato immesso durante il logon(Windows)
> e il dato che ho nel file delle password?
Identico a quello di Linux. Windows usa HMAC-MD5.
Ignoro la differenza tra i due algoritmi, ma con john the ripper qualche
anno fa avevo decriptato una password alfanumerica di 5 caratteri in
circa un mese.
> se inserisco il mio dato biometrico usando fingerprint questo dato con
> cosa e confrontato?
con un hash ricavato dall'immagine scansionata.
Ignoro il meccanismo, ma non è un confronto d'immagine.
> Con un dato presente al interno del sistema?
con alcuni fingerprint si, con altri invece i dati stanno sul
dispositivo stesso.
> se si:Questo dato come è protetto al interno del sistema?
esattamente come le password, ma un lettore biometrico potrebbe essere
soggetto ad exploit, cosa che difficilmente può capitare a PAM vista la
sua maturità
> è liberamente accessibile quindi io posso recuperare il dato che
> dovrebbe assicurare che sono io a fare logon?
dovrebbe prendere l'hash sul sistema e clonare il tuo dito.
Non basterebbe nemmeno tagliarlo o farne un calco siccome i lettori
controllano il passaggio di sangue nei capillari del dito.
> ----------------------------------------
> mi sembra la filstrocca di chi protegge chi deve proteggere il protettore?
> ----------------------------------------
Più che altro mi sembra la filastrocca che si ripete ogni volta che si
ha a che fare con bandi di gara per la pubblica amministrazione, dove ti
richiedono politiche di sicurezza assurde e poi la gente va a fare pausa
caffè al ced.
--
Davide Corio
email: davide.corio<at>domsense.com
web: http://www.domsense.com
Maggiori informazioni sulla lista
Soci