Προς το περιεχόμενο

Decrypt 81ecc514bf28bad219aa45d8f09826f8 someone?

Downloadpercent

Από τον Downloadpercent
στο Προγραμματισμός

 Share

Προτεινόμενες αναρτήσεις

  • Απαντ. 43
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Δημοφιλείς Ημέρες

Συχνή συμμετοχή στο θέμα

Δημοφιλείς Ημέρες

imitheos Grand Master

imitheos

Δημοσ.
Δημοσ.

Τι είδους κρυπτογράφηση έχει γίνει?

 

81ecc514bf28bad219aa45d8f09826f8

 

Όπως είπε ο hawkpilot μοιάζει md5 ή οποιοδήποτε άλλο hash είναι 128bit. Επίσης μπορεί να είναι lm κωδικός username από windows για να θες να το σπάσεις κιόλας.

 

Όπως και να έχει το πράγμα δεν νομίζω να επιτρέπεται από τους κανόνες του φόρουμ να σε βοηθήσουμε να το σπάσεις. Ψάξε στο διαδίκτυο.

defacer Grand Master

defacer

Δημοσ.
Δημοσ.

Δεν μπορούμε να ξέρουμε γιατί αυτή είναι η βλακεία με την κρυπτογράφηση... δεν μπορείς να αντλήσεις καμία πληροφορία από τα κρυπτογραφημένα δεδομένα (προφανές?).

 

Απο κει και πέρα όπως είπε ο hawkpilot κατά πάσα πιθανότητα δεν είναι κρυπτογράφηση αλλά κάποιο hash, το οποίο δεδομένου ότι μιλάμε για 128 bits (32 δεκαεξαδικά ψηφία * 4 bits πληροφορίας το κάθε ένα) κατά 99.8453478% είναι md5. Όντας hash δεν μπορεί κανένας πάνω στον πλανήτη να το "αποκρυπτογραφήσει" γιατί τα hashes δεν είναι συναρτήσεις 1 προς 1. Μπλα μπλα μπλα.

 

Τι θέλεις να κάνεις;

Downloadpercent Proficient

Downloadpercent

Δημοσ.
  • Μέλος
Δημοσ.

μου κάνει εντύπωση με τα Online MD5 Decrypters, γιατί απ'όσο ξέρω ένας κωδικός θέλει αρκετή προσπάθεια

προσπάθησα σε 5-6 sites αλλά δεν μπόρεσα να το βρω, μάλλον αυτά τα sites περιέχουν μια DB με ηλίθια Pass(123...)

 

Τι θέλεις να κάνεις;

απλά ήθελα να μπω στο Control Panel ενός Site, αλλά το login page δεν έχει να κάνει με τη βάση από που τα τράβηξα αυτά... χέστο μέσα...

defacer Grand Master

defacer

Δημοσ.
Δημοσ.

Rainbow tables.

 

Βέβαια αυτά είναι old news και με τις μοντέρνες προσεγγίσεις για τον χειρισμό passwords (die md5 die, adaptive hashing, salting, ενσωμάτωση nonce στη διαδικασία του authentication) δεν κάνουν απολύτως τίποτα. Τώρα το ποιός ακριβώς ακολουθεί τις μοντέρνες προσεγγίσεις είναι άλλου παπά ευαγγέλιο.

hawkpilot Mentor

hawkpilot

Δημοσ.
Δημοσ.

μου κάνει εντύπωση με τα Online MD5 Decrypters, γιατί απ'όσο ξέρω ένας κωδικός θέλει αρκετή προσπάθεια

προσπάθησα σε 5-6 sites αλλά δεν μπόρεσα να το βρω, μάλλον αυτά τα sites περιέχουν μια DB με ηλίθια Pass(123...)

 

 

απλά ήθελα να μπω στο Control Panel ενός Site, αλλά το login page δεν έχει να κάνει με τη βάση από που τα τράβηξα αυτά... χέστο μέσα...

 

Αν όντως είναι md5 hash από credentials να περιμένεις ότι θα είναι salted (βασικός κανόνας για "κρυπτογράφησης" username/passwords). Αδύνατο να πάρεις πίσω το plain text ακόμα κι αν έχεις το καλύτερο desktop που υπάρχει, παρόλο που ο συγκεκριμένος αλγόριθμος έχει, διαπιστωμένα, αποδειχτεί αναξιόπιστος.

Downloadpercent Proficient

Downloadpercent

Δημοσ.
  • Μέλος
Δημοσ.

Αν όντως είναι md5 hash από credentials να περιμένεις ότι θα είναι salted (βασικός κανόνας για "κρυπτογράφησης" username/passwords). Αδύνατο να πάρεις πίσω το plain text ακόμα κι αν έχεις το καλύτερο desktop που υπάρχει, παρόλο που ο συγκεκριμένος αλγόριθμος έχει, διαπιστωμένα, αποδειχτεί αναξιόπιστος.

 

και κάτι άλλο, σε πολλές βάσεις βλέπω ότι τα usernames δεν είναι κρυπτογραφημένα, δεν είναι απαραίτητο αλλά πιστεύω ότι είναι μια καλή επιλογή για να προστατευτείς και το σημαντικότερο!!!

 

να μην βάζουμε usernames/passwords του τύπου "admin", "administrator" τα οποία είναι εύκολα να βρεθούν από μερικά προγράμματα (Havij) Πχ

 

Και κάτι άλλο που βλέπω και ξενερώνω, μερικοί αποθηκεύουν τους κωδικούς τους χωρίς κρυπτογράφηση

imitheos Grand Master

imitheos

Δημοσ.
Δημοσ.

Τώρα το ποιός ακριβώς ακολουθεί τις μοντέρνες προσεγγίσεις είναι άλλου παπά ευαγγέλιο.

Αν όντως είναι md5 hash από credentials να περιμένεις ότι θα είναι salted (βασικός κανόνας για "κρυπτογράφησης" username/passwords). Αδύνατο να πάρεις πίσω το plain text ακόμα κι αν έχεις το καλύτερο desktop που υπάρχει, παρόλο που ο συγκεκριμένος αλγόριθμος έχει, διαπιστωμένα, αποδειχτεί αναξιόπιστος.

 

Έχεις δίκιο ότι θεωρητικά θα είναι salted και επίσης θα έχει πολλά iterations/rounds. Μπακάλικα να το εξηγήσω δίνεις κωδικό "mitsos" και τον περνά από το hash με αποτέλεσμα να παραχθεί το a3b2c1d0κτλ. Αυτό ξαναδίνεται ως είσοδος στο hash και παράγει κάτι άλλο. Αυτό γίνεται καμμιά 200αριά φορές (configurable φυσικά όσες φορές θέλεις).

 

Όπως όμως είπε και ο defacer τι γίνεται πρακτικά έχει τεράστια διαφορά. Εδώ βλέπουμε κάθε τόσο leaks από sites με 10Κ και 100Κ χρήστες να έχουν απλά md5 hashes χωρίς salt και χωρίς τπτ.

παπι Crazy Insomniac

παπι

Δημοσ.
Δημοσ.

Το εχω απορια.. Sniffarω ενα loggin ok, και ειναι σε hash md5 και τα κερατα του, για ποιο λογο θα επρεπε να το απαοκωδικοποιησω αντι απλα να το στειλω ως εχει;

Directx Crazy Insomniac

Directx

Δημοσ.
Δημοσ.

Τυπικά το κάνεις HASH γύρο στις 1000 φόρες και φυσικά φροντίζεις να είναι SALTED. Επίσης αντί MD5 μπορείς να δοκιμάσεις και τον SHA.

 

Από εκεί και πέρα, αν μιλάμε για γενική κρυπτογράφηση δεδομένων (όχι HASH κλπ), πριν εφαρμοστεί καλό είναι να συμπιέσεις τα δεδομένα σου ώστε και χώρο να κερδίσεις (όχι πάντα) και να αυξήσεις την εντροπία τους (ως ένα ακόμα εμπόδιο στην πιθανή κρυπτανάλυση τους) - και εδώ φυσικά το SALT είναι απαραίτητο.

defacer Grand Master

defacer

Δημοσ.
Δημοσ.

Αν όντως είναι md5 hash από credentials να περιμένεις ότι θα είναι salted (βασικός κανόνας για "κρυπτογράφησης" username/passwords). Αδύνατο να πάρεις πίσω το plain text ακόμα κι αν έχεις το καλύτερο desktop που υπάρχει, παρόλο που ο συγκεκριμένος αλγόριθμος έχει, διαπιστωμένα, αποδειχτεί αναξιόπιστος.

 

Πρώτον, αν χρειαζόταν να μαντέψω θα έλεγα ότι δεν είναι salted γιατί... πού είναι το salt? Θα μπορούσε βέβαια να υπάρχει αποθηκευμένο "δίπλα" στο hash σε άλλο "πεδίο" or something, αλλά δε μου ακούγεται σαν ενδεχόμενο πιο πιθανό από το απλά να μην υπάρχει salt.

 

Δεύτερον, νταξ είπαμε μακριά από τον md5 αλλά ας μη τα ισοπεδώνουμε όλα. "Αναξιόπιστος" είναι βαριά κουβέντα. "Στα όρια της υπολογιστικής δυνατότητας κάποιου που έχει τη δυνατότητα να ξοδέψει καμπόσα χιλιάρικα για τον κωδικό σου" είναι πιο αντικειμενικό.

 

Το εχω απορια.. Sniffarω ενα loggin ok, και ειναι σε hash md5 και τα κερατα του, για ποιο λογο θα επρεπε να το απαοκωδικοποιησω αντι απλα να το στειλω ως εχει;

 

Όταν το sniffaρεις γενικά δε θα είναι σε hash αλλά plaintext οπότε δε γίνεται αυτό (το hashing το κάνει ο server).

 

Θεωρητικά (και λέω θεωρητικά γιατί δε μπορώ να φανταστώ κάποια περίπτωση που πραγματικά σε ενδιαφέρει η ασφάλεια και δε βάζεις end to end crypto, για τους φίλους SSL) υπάρχει η περίπτωση να θέλεις να κάνεις ασφαλές login πάνω από ανασφαλές κανάλι. Σ' αυτή την περίπτωση το hashing δε μπορεί παρά να γίνει στον client, οπότε αν σνιφάρεις θα πάρεις το hash και μετά μπορείς να κάνεις replay attack. Μέχρι εδώ δεν κέρδισες ούτε έχασες τίποτα με το client-side hashing, θα μπορούσαμε απλά να μην είχαμε κάνει τίποτα και να είχες σνιφάρει το pass -- το ίδιο αποτέλεσμα θα είχε.

 

Η μαγκιά είναι όμως ότι μπορείς να το πας ένα βήμα παραπέρα ενσωματώνοντας μέσα στη διαδικασία μια "τυχαία μεταβλητή μιας χρήσης", aka nonce. Η διαδικασία πάει ως εξής:

 

1. O client δηλώνει πρόθεση να κάνει login (π.χ. φορτώνεις το login page).

2. O server στέλνει στον client ένα nonce και το σημειώνει.

3. Ο χρήστης δίνει password.

4. O client υπολογίζει το hash(nonce + hash(password)) και το στέλνει στον server.

5. O server έχει αποθηκευμένο το hash(password) και σημειωμένο το nonce απο πριν, οπότε μπορεί αυτόνομα να υπολογίσει το hash(nonce + hash(password)) και να δει αν ταιριάζει μ' αυτό που έστειλε ο client.

 

Αν θεωρήσουμε ότι η πιθανότητα να ξαναχρησιμοποιηθεί η ίδια τιμή για nonce στο μέλλον είναι απειροστά μικρή (και όντως μπορείς να την κάνεις όσο μικρή θέλεις) τότε μ' αυτό τον τρόπο αποφεύγεις το replay attack γιατί όταν ο attacker κάνει το replay θα του έχει δοθεί διαφορετικό nonce οπότε τα hashes δε θα ταιριάζουν.

 

 

Κάποτε που νόμιζα ότι έχει νόημα είχα κάνει ακριβώς αυτό με Javascript. :-D

 

 

Τυπικά το κάνεις HASH γύρο στις 1000 φόρες και φυσικά φροντίζεις να είναι SALTED. Επίσης αντί MD5 μπορείς να δοκιμάσεις και τον SHA.

 

Από εκεί και πέρα, αν μιλάμε για γενική κρυπτογράφηση δεδομένων (όχι HASH κλπ), πριν εφαρμοστεί καλό είναι να συμπιέσεις τα δεδομένα σου ώστε και χώρο να κερδίσεις (όχι πάντα) και να αυξήσεις την εντροπία τους (ως ένα ακόμα εμπόδιο στην πιθανή κρυπτανάλυση τους) - και εδώ φυσικά το SALT είναι απαραίτητο.

 

Βασικά αντί για md5, sha1 και τα ρέστα καλύτερα χρησιμοποιείς bcrypt που είναι φτιαγμένο γι' αυτόν ακριβώς το σκοπό.

 

Για γενική κρυπτογράφηση δε χρειάζεται να συμπιέσεις για λόγους ασφαλείας (αν και δε μπορώ να φανταστώ τη συμπίεση να βλάπτει βέβαια -- disclaimer: δεν είμαι cryptanalyst ^_^), αυτό που χρειάζεται είναι να επιλέξεις σωστά τον τύπο κρυπτογράφησης (π.χ. όχι block cipher σε ECB mode). Αν δεν ξέρεις τι σου γίνεται και κάνεις τέτοια πατάτα, πίστεψέ με δεν πρόκειται να σωθείς από κάποιον που ξέρει συμπιέζοντας τα δεδομένα.

 

Επίσης, salt στην κρυπτογράφηση τι εννοείς; IV?

hawkpilot Mentor

hawkpilot

Δημοσ.
Δημοσ.

Πρώτον, αν χρειαζόταν να μαντέψω θα έλεγα ότι δεν είναι salted γιατί... πού είναι το salt? Θα μπορούσε βέβαια να υπάρχει αποθηκευμένο "δίπλα" στο hash σε άλλο "πεδίο" or something, αλλά δε μου ακούγεται σαν ενδεχόμενο πιο πιθανό από το απλά να μην υπάρχει salt.

 

Δεύτερον, νταξ είπαμε μακριά από τον md5 αλλά ας μη τα ισοπεδώνουμε όλα. "Αναξιόπιστος" είναι βαριά κουβέντα. "Στα όρια της υπολογιστικής δυνατότητας κάποιου που έχει τη δυνατότητα να ξοδέψει καμπόσα χιλιάρικα για τον κωδικό σου" είναι πιο αντικειμενικό.

 

...

 

Δε μπορώ να σε ακολουθήσω στη... μαντική - υποθέτω ότι θα είναι salted. Το ότι δε βλέπεις πλεονάζουσα πληροφορία δε σημαίνει ότι δεν έχει χρησιμοποιηθεί salt (link).

Ο όρος "αναξιόπιστος" που χρησιμοποίησα είναι όντως υπερβολικός για μας αλλά επιηκής :devil: για όρους κρυπτογράφησης...

Directx Crazy Insomniac

Directx

Δημοσ.
Δημοσ.
[..]Βασικά αντί για md5, sha1[..]

 

Στην αργκό ο ορισμός του IV συνήθως καλείται SALT του Cipher. Από εκεί και πέρα φυσικά οφείλεις να επιλέγεις με προσοχή το MODE λειτουργίας του Cipher σου διαφορετικά πράγματι μπορεί να οδηγηθείς σε κάποιο ανασφαλές κρυπτοσύστημα. Όσον αφορά την συμπίεση δεδομένων, στα περισσότερα κρυπτοσυστήματα είναι μια τυπική πια διαδικασία (από την εποχή της πρώτης έκδοσης του PGP) η οποία επιταχύνει την κρυπτογράφηση και αυξάνει όπως έγραψα την δυσκολία κρυπτανάλυσης.

 

Αυτά τα γράφω από προσωπική εμπειρία στην ανάπτυξη μερικών συμμετρικών κρυπτοσυστημάτων.

 

---

 

Υ.Γ.

1. To SALT όταν αποθηκεύεται μαζί με τα δεδομένα, συνήθως ορίζεται όπου εξυπηρετεί τον developer (αρχή ή τέλος).

2. Ένα σημείο που θέλει προσοχή στο "SALTing" είναι η επιλογή των τυχαίων τιμών του (εδώ δεν καλύπτεσαι από τις τυπικές ρουτίνες ψευδοτυχαίων αριθμών των γλωσσών προγραμματισμού - αυτό βέβαια αν μιλάμε για κρυπτοσυστήματα υψηλού ρίσκου που δεν αφήνουμε τίποτα στην "τύχη").

3. Τώρα όσον αφορά την κρυπτανάλυση.. λοιπόν πριν μερικά χρόνια στο παρόν forum είχε αναρτηθεί ένας μικρός άτυπος διαγωνισμός κρυπτανάλυσης μερικών απλών κρυπτογραφημάτων, τότε είχα δημοσιεύσει μερικούς κώδικες που τα έσπαγαν με συντονισμένη χρήση διαφόρων τυπικών κρυπταναλυτικών μεθόδων σε C (ωραίες εποχές ^_^).

Η κρυπτανάλυση σύγχρονων Ciphers είναι μια διαδικασία υψηλής κατάρτισης, έμπνευσης και τεχνικής για λίγους :D

Ενώ καλό είναι το review τους ανά τακτά χρονικά διαστήματα ώστε να ενημερωνόμαστε για τυχόν προβλήματα (έστω και θεωρητικά) της ασφάλειας τους.

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
 Share
Προς την λίστα θεμάτων
  • Δημιουργία νέου...