A Rainbow table hack definicióját, leírná valaki?

Szia.

Igen, szótáras, a szivárvány táblákban a megadott karakterkészlettel (pl. ascii-32-95) a megadott maximális jelszó hossz (pl. 1-8) és megadott HASH algoritmussal (pl. NTLM) készült jelszavak HASH-ja rendezett formában (és gondolom a jelszavak) vannak benne tömöritve.

Igy ha a táblában megtalálható a jelszó HASH-ja akkor onnan ki tudja irni a hozzá tartozó jelszót is.

A hátránya, hogy minden egyes Hash algoritmushoz, másik szivárvány tábla kell, illetve a hosszú jelszavak esetében a táblák nagysága már igen sok helyet igényel, itt vannak a méretek : [link]

Üdv.

Minden tisztességes rendszerben a jelszónak csak egy egyirányú HASH kódja van tárolva, maga a jelszó nem. Így a tárolt kódból közvetlenül nem fejthető vissza a jelszó (ezért van az, hogy elfelejtett jelszó esetén egy új jelszót tud generálni a rendszer, de a meglévőt megmondani nem).

Az ellenörzés úgy megy, hogy megadja a user a jelszót, azt ugyanazzal az algoritmussal átalakítja HASH kóddá és összehasonlítja a tárolt kóddal. Ha egyezik, akkor beléphet. Az, hogy két különböző jelszónak ugyanaz legyen a HASH kódja nagyon ritka (de előfordul), legalább is normális algoritmus esetén.

Namármost, a rainbow table egy olyan táblázat, amiben sok-sok ilyen HASH kód van, a hozzájuk tartozó jelszóval. Ha valaki megszerzi a user HASH kódját és megtalálja a rainbow táblában, akkor megvan a jelszó is.

Ez ellen úgy szokás védekezni (és ezt is már minden tisztességes rendszer alkalmazza), hogy "megsózzák" a HASH-t, azaz a jelszóhot egy csak a userre jellemző kódsort még hozzáad és úgy generálja a HASH-t. Ez egyrészt azért jó, mert így ha két usernek ugyanaz a jelszava, a HASH akkor is különböző lesz, másrészt a rainbow tábla használatát is lehetetlenné teszi vagy legalább is megnehezíti, hiszen már nem csak a jelszó hanem jelszó+só kódsorokra kellene rainbow táblát generálni.

Egyébként a Brute Force, amit említesz az pont hogy nem szótáras, hiszen azt jelenti, hogy "nyers erővel" végigpróbálgatsz minden lehetséges kombinációt.

"De ha minden kombinációt kipróbál az rengetek idő nem?"

De.

"Meg azért, ha 100x-szor próbálnak belépni valakinek a facebook fiókjába azt hiszem letiltja."

Igen.

"Vagy a brute force kijátsza ezt a rendszert?"

Nem.

"Én úgy olvastam, hogy a Brute Force szótárral működik."

Akkor az az infó helytelen volt.

"De ha minden kombinációt kipróbál az rengetek idő nem?"

Igen, az. Pont ezért nem túl hatékony módszer. Brute Force segítségével elméletileg bármilyen jelszó megtalálható, de lehet, hogy több száz számítógépnek is ezer évbe telne, tehát nem éri meg.

"Meg azért, ha 100x-szor próbálnak belépni valakinek a facebook fiókjába azt hiszem letiltja."

Így van, ez egy védelem a hackerek ellen.

A jobb jelszótörő programok támogatnak több módszert is.

Brute Force a leglassabb, mivel itt az összes lehetséges kombinációt kell végigpörgetni, az meg évekbe is telhet még sok számítógéppel is, nem éri meg.

Szintén nagyon régi módszer a szótáras támadás, ekkor a program a szólistában megadott szavakat próbálja végig, akár több millió szóval, darkweben meglehetősen olcsó lehet venni szólistákat ill. akár a sima neten is találhatsz. Beállítható, hogy a program keressen anagrammákra ill. kis-nagy betűkkel variálva is ill. számokat és jeleket elé vagy mögé rakva. Ha értelmes szót használ valaki jelszónak a szótártámadással meglesz visoznylag hamar, másodpercenként akár 10 millió szót is lehet ellenőrizni. Lásd pl. Tornacipo jelszó azonnal meglesz, a T0rnac1p0 már szótáras támadással nem. De a tornacipo74- igen.

Szivárvány táblák a brute force támadást segítik azzal, hogy van rengeteg előre legenerált HASH, így azokkal kell csak összehasonlítani és nem kell legenerálni, vagyis olyan gyorsan megy majdnem, mintha szótárból dolgozna.

Az, hogy hány belépési próbálkozás után tilt le teljesen mindegy egy komoly törésnél, mert nem úgy próbálkozik a cracker, hanem megszerzi a jelszófájlt és a saját gépén indíta rá. Régebben ez még kevésbé volt akadály, mert a kezdeti Unix/Linux és Windows rendszerekben nem volt védett egyáltalán, bárki olvashatta mondván abban úgyis kódolva vannak a jelszavak nem baj ha megnézik. De hash-t ellopni sem nagy művészet.

Másik módszer ha pl. Facebook fiókokat kel ltörni, hogy a leggyakoribb jelszavakkal próbálkoznak akár több millió profilnál és ha nem talált akkor kicsit később másik jelszóval. Több millió FB profil linkjét megszerezve statisztikailag lesz pár , ahol pl. "password123" "jelszó" vagy hasonló lesz megadva és ha nincs 2 faktoros se már meg is van. Ezt nem fogja kimutatni semmi. Szivárványtáblából visszanyert hash adatokkal is lehet próbálkozni "pass the hash" módszerrel be lehet gyűjteni rengeteg hast és a szivárványtáblában lehet keresgélni benne van-e.

Van 300 GB nagyságú szivárványtábla is darkweben lehet rendelni, abban már rengeteg jelszó hash benne van.

Sőt vannak weboldalak ahol pl. lehet hash-re keresni ill. beírsz egy szót és kiirja miaz MD5 hash. Próbáld csak ki, hogy beírsz egy hash-t, amire azt mondja nem tudja ez mihez tartozik. Majd írd be a szót és persze rögtön megmondja mi a hash-e. Most keress rá újból a hash-re és már mondja is mi votl a szó. Egy iylen weboldallal 100 millió hash-t begyűjtenek a rosszfiúk akár pár nap alatt.

Ezért kell sózni a hash-t amit előttem már leírtak.

Ha megvan a jelszófájlod, amit a szerverről lenyúltál ( régebbi Windows szerver esetén ez kb. 3 perc ha fizikailag hozzáférsz, és nincs levédve, hogy ne engedjen USB-ről bootolni), van egy szivárvány táblád és egy rengeteg szóból álló szótárad. Elindítod a jelszótörő programod, be lehet állítani, hogy először szaladjon végig a szavakon, anagrammákat és elől-hátul keraktereket is nézve mondjuk 16 karakterig. Majd ugorjon neki a szivárványtáblákban lévő hash-eknek. És utána amit nem tört fel, annak menjen neki brute force-al is. Szinte biztos, hogy mondjuk 1000 felhasználós gépen még a brute force előtt meglesz több 100 jelszó. A rendszergazdának vélhetően van anyni esze, hogy olyan jelszót használjon, amit így nem fejtesz vissza. Arra rá lehet menni Brute Force-al.

De egy okos rendszergazda legalább havonta jelszót vált, hogy mire feltörik a jelszót már másik legyen.

Egy mezei user meg sok helyen használja ugyanazt a jelszót, szóval elég egy weboldalt csinálni, ami őt érdekli ( social engineering tudománya, kideríteni róla minnél többet és célzottan csapdát állítani) aztán ajánlani neki, hogy regisztráljon, megad egy jelszót, és azzal próbálkozni ha ugynaazt adta meg megvan.