Sono stato hackerato???

wildancer · Guru Joined: 02 Apr 2004 Posts: 472

Ragazzi, il mio utente (non root) puo fare il login anche con la pass incompleta... Che succede?!??! Voglio dire... Posso entrare con la pass anche se non introduco gli ultimi 4 caratteri!! (la pass odierna è di 12 caratteri, ma bastano i primi 8! con 8 caratteri casuali non entra vedo...) Aiuto!! Hacker, bug o malconfigurazione di qualcosa??

Laux · n00b Joined: 25 Apr 2007 Posts: 44 Location: Monkey Island

Con ogni probabilità la password è composta da al più 8 caratteri, e la cosa è confortata da quanto ho trovato in rete: una piccola lettura in inglese molto esplicativa, soprattutto per quel che raccomanda con le password (ho evidenziato con "<<--")
Vedi se la risposta è soddisfacente

riverdragon · Veteran Joined: 14 Sep 2006 Posts: 1269 Location: Verona

Beh puoi vantarti di aver trovato una delle rare "collisioni" nelle sequenze di hash di /etc/shadow!

Per spiegare in breve: nel sistema non è salvata la tua password (per motivi di sicurezza), bensì viene fatto un hash di lunghezza fissa della coppia nome utente + password, e viene salvata quello; all'atto dell'autenticazione, il sistema registra il nome utente che inserisci, quindi fa l'hash spiegato prima: se e solo se il risultato dell'operazione corrisponde a quanto salvato nel sistema, fa entrare l'utente,

Nel tuo caso probabilmente l'hash derivato dal tuo nome utente e dai primi 8 caratteri della password risulta uguale a quello che si ottiene con la password completa (infatti dici anche tu che con 8 caratteri a caso l'autenticazione non va a buon fine). Non sei stato "hackerato". Non so se sia il caso di riportare il caso a qualcuno, ma a te basta cambiare password per vivere tranquillo.

wildancer · Guru Joined: 02 Apr 2004 Posts: 472

allora... quindi mi date due possibilità: hash collision e malconfigurazione (o meglio... buona configurazione visto che le pass lunghe non so perché sono sconsigliate...)

Vediamo....

Ebbene si.... Ho scoperto dopo mille anni che la mia password da 12 caratteri non aveva proprio significato!!! secondo il file di conf:

Laux · n00b Joined: 25 Apr 2007 Posts: 44 Location: Monkey Island

Molto probabilmente è più semplice di quanto si pensi: una password di root od utente che subisca un brute force risulta inutile se si ha a disposizione il pc che si vuole "ispezionare", mentre sarebbe concepibile solo da remoto, ma a questo punto qualche sistema di sicurezza dovrebbe fare il suo lavoro e rendere sicura la macchina...

Tuttavia ci sarebbe la strada della ricerca secondo la quale potremmo dibattere sulla questione a puro titolo accademico per approfondire la questione

In effetti devo controllare bene poichè, se ben ricordo, la mia password utente variando l'ultimo carattere non va.... Mi capita spesso di battere il carattere "ù" assieme all'invio

_________________
In vino veritas, in scarpe adidas, in bagno badedas, in culo........ un ananas!

wildancer · Guru Joined: 02 Apr 2004 Posts: 472

Si beh l'hash si può prendere avendo accesso fisico alla macchina, ok... Quindi potrei impostare a 16 la lunghezza delle pass e via... Però a questo punto credo che potrei anche dare un'occhiata a altre codifiche magari piu forti... Per esempio che ne dite di DES o l'algoritmo SHA512-based?