czyli czego się możecie ode mnie nauczyć
 Oceń wpis
   
_-¯ Witam serdecznie.
Mój blog cieszy się niespotykaną popularnością, która przerosła nawet moje oczekiwania. Skrzynka pocztowa aż pęka w szwach od życzliwych e-maili oraz głosów zachwytu nad moją, niemałą w końcu wiedzą. Dziękuję zatem wszystkim którzy czytają mój blog i przyczyniają się do wzrostu jego popularności.

_-¯ W dniu dzisiejszym chciałem omówić jeden z podstawowych rodzajów ataków na wszelakiego rodzaju systemy, nie tylko informatyczne: to atak słownikowy (ang. dictionary attack).
Nie będę omawiał tutaj rysu historycznego ani genezy ataku, dość powiedzieć że w filmie 'Army of Darkness' atak na hasło 'Klaatu barada nikto' nie powiódł się, z czym wiązały się późniejsze kłopoty bohatera. Ale dość o tym, roma locuta, casa finita. Do rzeczy.

_-¯ Każdy system autentykacji opiera się na przywiązanym do wirtualnej tożsamości kluczu, który identyfikuje tę tożsamość. W systemach biometrycznych takim kluczem może być odcisk palca, wzorzec siatkówki oka, barwa głosu, czy modny w filmach póki co science-fiction kod genetyczny. W systemach biurowych często kluczami autentykującymi są karty magnetyczne czy chipowe, a drogówka weryfikuje naszą tożsamość na podstawie prawa jazdy. Popularne systemy komputerowe wykorzystują zaś hasła.
Bezpieczeństwo systemu chronionego hasłem opiera się na założeniu że 'prawowity' użytkownik hasła dobierze je mądrze i będzie go strzegł przed ujawnieniem. Hasło, 'wymieszane' (shashowane) współcześnie używanymi algorytmami zostaje zmapowane w przestrzeń o wymiarze co najmniej 2^128. Zatem by z całą pewnością 'zgadnąć' takie hasło należałoby rozpatrzeć w skrajnym przypadku 340282366920938463463374607431768211456 kombinacji. Czyli, najogólniej mówiąc: dużo.
Niestety, większość użytkowników zamiast mocnych, losowych haseł wybiera hasła słabe. Jako hasła służą: własny login, data urodzenia, imię męża/żony, rejestracja samochodu, zwrot lub słowo z języka potocznego. I tutaj właśnie uderza atak słownikowy.
Zamiast przeglądać dużo potencjalnych haseł lepiej skupić się na kilkuset milionach tych najczęściej stosowanych. Czasochłonność ataku jest niewielka, a szanse powodzenia - bardzo duże.

_-¯ Tyle teoria. W praktyce atak słownikowy doczekał się całkiem nowej implementacji, którą, jak zwykle, omówię w kilku prostych krokach. Do przeprowadzenia ataku potrzebne będzie:
  1. Duży słownik z jak największą liczbą haseł
  2. Kontakt z prawidłowo uwierzytelnianym użytkownikiem systemu
  3. Spokojny zakątek do przeprowadzenia ataku
Wymóg wymieniony w ostatnim punkcie doskonale spełnia czytelnia bądź biblioteka. Z własnej praktyki wiem że są to miejsca znakomite do przeprowadzenia omawianego ataku (szczególnie jeśli chodzi o dostępność bogatych w hasła słowników). Przystąpmy zatem do ataku:
  1. Nawiązujemy kontakt z prawidłowo autoryzowanym użytkownikiem systemu do którego chcemy się włamać.
  2. Aranżujemy spotkanie 'w realu', najlepiej w miejskiej czytelni. Na miejsce spotkania udajemy się z dużym i ciężkim słownikiem, chyba że takowy jest dostępny na miejscu.
  3. We wspomnianej wcześniej bibliotece czy czytelni powinny być komputery do przeglądania księgozbioru, a także z dostępem do globalnej sieci. Nakłaniamy ofiarę do zalogowania się do systemu (do Państwa należy wymyślenie jak to zrobić, można np. zagrać na ambicji: 'naprawdę masz dostęp do systemu xyz? nie wierzę! pokaż jak się logujesz!')
  4. Gdy ofiara uzyska dostęp do systemu odwracamy jej uwagę od terminala (np. wykrzykując 'O! Elvis!'), a następnie przystępujemy do ataku słownikowego. Mianowicie z całej siły uderzamy dużym, ciężkim słownikiem w ciemię bądź potylicę.
  5. Do nieprzytomnego ciała wzywamy pogotowie ('Siedział tu i zemdlał'), a następnie cieszymy się nieograniczonym dostępem do nowo schakierowanego systemu komputerowego

Pozdrawiam i życzę sukcesów w przeprowadzaniu ataków. Tylko proszę nie uderzać zbyt mocno!

Liczba wczorajszych odwiedzin bloga: 11301
 
 

Komentarze

2007-01-12 23:01:02 | *.*.*.* | olgierd
Re: Teoria i praktyka: atak słownikowy [8]
Doskonały blog, zazdroszczę. Pełen niekwestionowanego profesjonalizmu. Nie są to
czcze słowa, ponieważ nie lansuje się Pan poprzez jego treści, przynajmiej ja
tego nie widzę, chyba że jacyś źli ludzie coś widzą. Sądzę, że powinien Pan
rozważyć wystąpienie w "Miliard z rozumiem" albo "Mmm jaka miłość", lub chociaż w
"Misiu uszatku".

A propos zapierającej dech w piersiach opowieści: mnie to przypomina słynne
zdarzenie z Biblioteki Aleksandryjskiej, bliżej znane z genialnego obrazu Sama
Pekinpaha "Wielka draka w Bibliotece Aleksandryjskiej". To są fakty, które
wymagają naświetlenia!

Tu jeszcze jedna rzecz, o której się mało mówi: bibliotekoznawstwo jako kierunek
studiów, który jest szczególnie niebezpieczny. Nie na darmo mówi się, że od
czytania wzrok się psuje.

Bardzo proszę o naświetlenie problemu ataku "emacsem po sendmailu".


Z uszanowaniem, Czytelnicy. skomentuj
2007-01-12 23:22:09 | *.*.*.* | chakier
Dziękuję Panu za płynące ze szczerego serca wyrazy uznania. Rzeczywiście,
wystąpiłem w paru programach, jak niedawne 'Potem Oni', gdzie zaprezentowałem
szeroki zakres posiadanej przeze mnie profesjonalnej wiedzy.
Oczywiście, wspomniane przez Pana bibliotekoznawstwo niesie zagrożenia,
szczególnie jeżeli niedoświadczeni chakierzy zamiast uderzać stosunkowo
niegroźnie w potylicę, atakują płat czołowy (tzw. 'frontalny atak słownikowy',
lub 'atak z partyzanta', w przypadku gdy zamiast słownika używana jest własna
czaszka).
Tematem schakierowania sendmailowego spoolingu przy pomocy emacsa zajmę się już
niebawem.
Pozdrawiam skomentuj
2007-01-12 23:34:33 | 195.254.156.* | paru
Ja tylko z takim analretentnym drobizagiemn zwiazanym poniekad z moim zawodowym
skrzywieniem - nie "autentykacja", tylko "uwierzytelnianie". Taki chakier
powinien poslugiwac sie prawidlowa terminologia ;-) skomentuj
2007-01-12 23:48:02 | *.*.*.* | chakier
Oczywiście ma Pan rację, lecz po pierwsze primo: nie wszyscy wiedzą przez jakie
'rz' należy pisać 'uwierzytelnienie', a po drugie primo 'autentykacja' za klika
chwil wejdzie do języka polskiego w tym samym stylu w jakim czteroliterowy 'czat'
zastąpił 'internetową pogawędkę'. skomentuj
2007-01-13 09:25:29 | *.*.*.* | olgierd
To musi być jednak wielka odpowiedzialność, być autorem tak popularnego bloga.
Tryliony czytelników, miliony trylionów wejść każdego dnia - kiedy znajduje Pan
czas na odpisywanie na tyle wiadomości e-mail?
Taka popularność musi być troszkę uciążliwa, nie jest?

A do tego listy i wizyty koronowanych głów, prośby o zapobieżenie głodowi i
wojnie na całym świecie. I te niezliczone pytania: czy Windows Vista naprawdę
będzie taki doskonały? Kiedy skończą się światowe zasoby ropy? Czy Prawo Malthusa
nie jest obarczone błędem?
Olbrzymia odpowiedzialność.

Ze swojej strony mam też garść pytań, na które poproszę o odpowiedź: mam
komputer, czasem z niego korzystam - czy to bezpieczne? Włączam też czasem
przeglądarkę internetową - czy nic mi wówczas nie grozi? No i najważniejsze: jak
to jest, że wiadomość e-mail dochodzi (zwykle) do właściwej osoby, skąd taki
malutki głupiutki e-mail wie, gdzie jest np. mój komputer?
To takie ciekawe... skomentuj
2007-01-13 09:29:04 | *.*.*.* | olgierd
Słowo "czat" jest w języku polskim (staropolskim) od wieków, już Wincenty
Kadłubek pisał, że Władysław Laskonogi zwykł w złych chwilach mawiać "tam u
czata!"
Później to słowo zapomniano, obecnie - na fali anglicyzmów - odkurzono, no i
wydaje się nam, że to niepolskie słowo. A to polskie słowo jest, w całości.
Dowodem niech będzie choćby fakt, że składa się z głoski "cz", którą zapisujemy
*dwiema literkami* (podobnie jak "rz", "ch", "sz" - ale odmiennie niż "ó", "ć"
lub "ą"), a przecież "cz" nie ma w żadnym innym języku! skomentuj
2007-01-13 10:30:21 | 83.24.17.* | Cracker
Pozwolę sobie się nie zgodzić. Głoska 'cz' występuje chociażby w języku czeskim,
inaczej Czesi nie potrafiliby sami siebie nazwać!
Co do Władysława Laskonogiego - tak naprawdę nazywał się Władysław Raskonogi, zaś
jego powiedzenie w oryginalnej formie brzmiało 'tam u czarta!', jednak z powodu
wady zgryzu nie potrafił on wymawiać głoski 'r' (co zaowocowało między innymi
Lasko- zamiast Raskonogim). Żeby się nie kompromitować unikał zatem wymawiania
'r', stąd mamy i 'czata', zamiast 'czalta'/'czarta' skomentuj
2008-10-04 08:54:49 | 78.154.81.* |
jestes nienormalny skomentuj
2008-10-04 10:46:34 | *.*.*.* | chakier
Tomaszu D., nieładnie. Wbrew temu co sądzisz nie pozostałeś anonimowy. Nieładnie
wpierw prosić o pomoc, a potem obrażać. skomentuj
 


Najnowsze komentarze
 
2017-05-26 09:20
Carl LOgan do wpisu:
Jak się włamać na konto pocztowe
Trzeba pożyczki płacić rachunki lub rozpocząć nowe przedsięwzięcie? Możesz skontaktować się[...]
 
2017-05-24 02:05
LARRY ELLISON do wpisu:
Jak się włamać na konto pocztowe
Czy potrzebujesz kredytu? LARRY ELLISON FINANCE Spółka jest ograniczona do kapitału[...]
 
2017-05-23 13:27
Pani Elena do wpisu:
Jak się włamać na konto pocztowe
Drogi poszukujący pożyczki Masz jakieś trudności finansowe? Czy chcesz założyć własną firmę?[...]
 
2017-05-17 02:45
Divine do wpisu:
Jak się włamać na konto pocztowe
cześć Czy starałeś się rozpocząć projekt lub otworzyć firmę? Potrzebujesz pilnego[...]
 
2017-05-16 14:54
trustfundds do wpisu:
Jak się włamać na konto pocztowe
Czy potrzebujesz pożyczki? Skontaktuj się z nami pod adresem jullietfinancialaid@yahoo.com, aby[...]
 
2017-05-14 21:05
Dr. Ezra Sebastian do wpisu:
Jak się włamać na konto pocztowe
DO YOU WANT A PERSONAL/BUSINESS/INVESTMENT LOAN? We have provided over $1 Billion in[...]
 
2017-05-12 17:24
Mrs Sandra Brence do wpisu:
Jak się włamać na konto pocztowe
cześć Jesteś my organizacjĘ ... chrześ cijań sskĘ ... utworzonĘ ..., aby pomóc ludziom w[...]
 
2017-05-12 17:22
Mrs Sandra Brence do wpisu:
Jak się włamać na konto pocztowe
PONIŻSZY MOŻESZ ZROBIEĆ PIENIĄDZE ZOSTAĆ Z PŁATNOŚCI KONTAKT Z NAMI:[...]
 



 
Chakier, Charyzjusz. Q2hhcnl6anVzeiBDaGFraWVyCg== chakier[at]vp.pl