امنیت

طول عمر پسورد ویندوز

سال گذشته در “کنفرانس شکستن پسورد” یکی از شرکت کنندگان یکی از پروژه های شخصیش رو ارائه داد.

rack-metre-cracker-500

جرمی گوزنی در این پروژه ۲۵ کارت گرافیک AMD Radeon رو کنار هم قرار داد و یک ابر سیستم برای شکستن پسورد درست کرد. این سیتم با تجهیزات جانبی مانند منبع تغذیه برق ۷ کیلو واتی و یک سیستم خنک کننده، حدود ۲۰ هزار دلار خرج داشته. نتیجه اینه که با این سیستم پسورد ۸ کاراکتری ویندوز (NTLM HASH) رو می تونید طی ۶ ساعت به دست بیارید.

کارت های گرافیک کنار هم چیده شده

کارت های گرافیک کنار هم چیده شده

چرا ویندوز؟ به خاطر اینکه سیستم هش کردن NTLM یکی از ساده ترین سیستم های موجوده با روش MD4  که SALT هم نداره. اگر SALT استفاده نشه هر کس پسورد ۱۲۳۴۵۶ رو انتخاب کنه، پسورد هش شده مشابه خواهد بود و این یعنی که می شه از مقایسه لیست آماده ای از پسوردهای هش شده با پسوردی که می خواهیم بشکونیمش، به مقصد برسیم.

معمولا برای شکستن پسوردهای این شکلی باید لیست خیلی بزرگی از پسوردهای احتمالی درست کرد و همه رو هش کرد و پسورد مورد نظر رو با تک تک اونها مقایسه کرد (کاری که الان انجام می شه) ولی با توجه به اینکه سیستم بالا در هر ثانیه حدود ۴۰۰ میلیارد پسورد هش شده تولید می کنه دیگه دلیل نداره حجم زیادی از سیستم رو به اون فایل اولیه اختصاص بدیم.

مایکروسافت استفاده از NTLM رو دیگه پیشنهاد نمی کنه اما همه ویندوزها به صورت آفلاین پسوردهای هش شده رو در فایل SAM نگهداری می کنند و یا ممکنه در بعضی شبکه های از Active Directory و یا Windows domain استفاده نکنند (من در مورد شبکه اطلاع خاصی ندارم متاسفانه) و در نتیجه بشه پسوردهای هش شده رو به دست آورد.

بیرون کشیدن پسوردهای هش شده

بیرون کشیدن پسوردهای هش شده

و در آخر تکرار حرف های همیشگی. اگر اطلاعات روی ویندوزتون براتون مهمه از پسوردهای طولانی تر و پیچیده تر استفاده کنید. پسورد رو حتما ترکیبی از حروف کوچک و بزرگ و عدد و کاراکترهای خاص انتخاب کنید.

ضمن اینکه به هیچ عنوان از پسورد مشابه در جاهای مختلف استفاده نکنید. بعضی سایت ها پسورد های شما رو به صورت متن ساده زخیره می کنند و این یعنی زمانی صرف کرک نخواهد شد.

و این هم یک نمونه آماری از کرک کردن پسوردهای یک سایت هک شده:

زمان شکستن پسوردهای لو رفته سایت فیلیپس

زمان شکستن پسوردهای لو رفته سایت فیلیپس

منبع

Standard
امنیت

هکرهای ایرانی بر دایره

پنج شنبه گذشته بود که OxAlien، یک هکر اماراتی، ساعت ۱۲:۳۵ توییت کرد که سایت append-hc.com ضعف امنیتی در دستورات sql دارد.

append-Hc

ضعف امنیتی در سایت هکرهای ایرانی

۲ ساعت بعد هم توییت کرد که منتظر انتشار اطلاعات بیشتر باشید و تا ۸ شب اطلاعات کاربران سایت شامل نام کاربری، ایمیل و پسورد هش شده را عمومی کرد.

این سایت قرار بوده سایتی باشه که هکرهای ایرانی سایت های هک شده خودشون رو اعلام کنند، جایی شبیه زون اچ. از نام دیتابیس هم مشخصه که احتمالا از اپلیکیشن مشابهی استفاده می کنند که احتمالا مختص خودشون هم نبوده چرا که همین هکر بعدا سایت دیگری را با همین مشخصات هک کرده است.

موج بعدی زمانی خواهد رسید که این پسوردها دیکود شده و احتمالا بخشی از کاربرها پسورد مشابهی برای ایمیلشان داشته باشند. نتیجه: هک شدن ایمیل هکرهای ایرانی.

هم اکنون سایت از دسترس خارج شده و علت را “ارتقا” نوشته است. متاسفانه امنیت کاربران اونقدر براشون مهم نبوده که رسما اعلام کنند هک شده اند و یا توصیه کنند که کاربرها رمزهای مشابه را سریعا تغییر دهند.

نکته دیگه ای که هکر هم بهش اشاره ای کرده اینه که مدیر سایت پیش از این با نرم افزار اکونیتکس سایتش رو برای پیدا کرد ضعف های امنیتی چک کرده. وجود مقداری در ستون ایمیل مانند http://www.acunetix.tst و print(md5(acunetix_wvs_security_test));die();/* این مساله رو تایید می کنند. با اینحال این مشکل امنیتی از چشمان مدیر سایت به دور مونده و منجر به هک شدن سایت شده.

یکی از مسایلی که در سایت های پرکاربر لازمه که رعایت بشه مانیتورینگ پیوسته سایت و چک کردن ترافیک های مشکوک و جلوگیری از هک شدن با راه کارهای موقت و طولانی مدته. یکیش محدود کردن IP که داره ترافیک زیادی روی سایت میاره. شروع حمله تا به ثمر رسیدنش ۸ ساعت زمان برده که این مدت برای ادمین سایت و یا پشتیبانی سرور می تونسته کافی باشه تا از هک شدن سایت جلوگیری کنند.

Standard
امنیت

آشفته بازار طراحی سایت – پست تکمیلی

پیش از این در پست دیگری به دو سایت اشاره کردم که پسورد کاربرها رو به صورت “متن ساده” یا Plain Text ذخیره می‌کنند. نکته تاسف برانگیز این بود که این سایت ها متعلق به دو آموزشگاه معتبر برنامه‌نویسی در تهران بودند.

روز گذشته یه سوال به ذهنم اومد. اینکه این سایت ها که پسورد رو بدون رمزگذاری نگهداری می کنند آیا موقع ارسال به سرور هم رمزگذاری نمی‌کنند؟

با استفاده از افزونه Live HTTP Headers در فایرفاکس، مقادیر ارسالی این سایت ها رو در زمان لاگین کردن بررسی کردم. همونطور که در عکس های زیر می‌بینید متاسفانه هر دو سایت، اطلاعات کاربری من رو به صورت واضح و بدون کوچکترین رمزگذاری یا پیچیدگی منتقل می‌کنند.

مقادیر ارسالی سایت آموزشگاه دانشگاه شریف

مقادیر ارسالی سایت آموزشگاه دانشگاه شریف

مقادیر ارسالی سایت مجتمع فنی تهران

مقادیر ارسالی سایت مجتمع فنی تهران

مشکل کجاست؟

اطلاعاتی که از براوزر ما به سرور سایت می ره تا بررسی و صحت و سقمش بررسی بشه از چند نقطه می گذره. مهمترین هاش برای مثال مودم وایرلس، ISP، مرکز سرویس دهنده به ISP و جاهای دیگه است تا برسه به سرور سایت و اون هم برسونه به سایت مربوطه.

swiss-chart-ENG

توی هرکدوم از این نقاط می‌شه کلیه اطلاعات ارسالی و دریافتی رو بررسی کرد. اگر این اطلاعات رمزگذاری نباشند بدون کوچکترین زحمتی در اختیار افراد دیگه قرار می‌گیرند. فکر کنید یه همسایه فضول دارید که مودم وایرلس رو هک کرده، اون می تونه همه پسوردهای شما رو داشته باشه به شرطی که رمزگذاری نشده باشند.

اصلا چرا راه دور بریم، همین دعواهای یک ماه گذشته در مورد NSA رو که شنیدید. خب اون به خاطر اینکه وسعت خیلی زیادی داشت و وسیله یک کشور به اصطلاح قانونمند انجام می شد کلی سر و صدا کرد ولی کشورهای دیگه (هند برای مثال) در سطحی کوچک تر اینکار رو می کنند و اطلاعات کاربران کشور رو بررسی می‌کنند.

اینجا دوباره برمی گردیم به سوال اصلی. آیا گردانندگان این سایت ها برای امنیت اطلاعات کاربران ارزشی قایل هستند؟

به‌روز رسانی:

نوشته بالا مربوط به ۶ مرداد بود. امروز ۱۱ مرداد ایمیلی دریافت کردم که نشون دهنده هک شدن سایت آموزشگاه دانشگاه شریف بود. به قول معروف هک شدن از رگ گردن به سایت شما نزدیک‌تره 🙂

ایمیل ارسالی از طرف هکر سایت آموزشگاه دانشگاه شریف

ایمیل ارسالی از طرف هکر سایت آموزشگاه دانشگاه شریف

نکته جالب می دونید چیه؟ از متن ایمیل ارسالی اینطور برمیاد که هکر دبیرستانیه. حالا باید دید مدیر سایت چه تدبیری برای بالا بردن امنیت سایتش به کار می بره. از ایمیل های بعدی هکر مشخصه که ادمین فقط پسورد رو عوض کرده و هکر همچنان کنترل رو در دست داره. امیدوارم آسیب جدی نبینه این سایت.

Standard