Programmi per togliere le password a file protetti

Lunedì, Marzo 10 2008 di David Terni
Leggi i commenti Stampa questo articolo

Com’è possibile tutto questo? Come avete potuto notare non sto parlando di eseguire un’azione di forza bruta [BruteForce] tentando tutte le possibili combinazioni fino a quando non si trova la password giusta, ma semplicemente aggirando il controllo. Tutto questo è possibile perché i sistemi a tutela delle nostre informazioni sono deboli. In definitiva non è un problema di password, ma del sistema usato [Sistema Operativo e/o Programma].

Le password sono inutili? No! Servono, ma va saputo fino a che punto ti proteggono, come e dove.

  • Richiedere un codice al Bios per la modifica di parametri sensibili è un’ottima cosa, ma all’occorrenza posso comunque toglierla staccando la batteria dalla Scheda madre o “flashando” il bios.
  • Mettere delle chiavi che proteggono i documenti di Word [excell, access, pdf o altro] può esser comodo per far sì che le persone non li modifichino per errore, ma nessuna “sicurezza” in più.
  • Se non si ha accesso [fisico] al vostro computer, forzare un sistema senza password è molto più tecnico e difficile, dove l’unico punto debole è la vostra password. Entrare in un sito che detiene le vostre e-mail ad esempio, è diventato molto difficile, se non impossibile, da violare senza conoscere la vostra chiave.
  • Il sito in cui inserite l’username e la password utilizzano i più moderni mezzi per garantire un accesso protetto, ma inserite i vostri codici in un computer di pubblico dominio come un’internet point, del lavoro, università etc. Capite da soli che pur essendo il sito e la vostra password “sicura” non potete esserlo altrettanto del computer su cui eseguite il login.
  • L’auto completamento in un browser è una cosa meravigliosa per farvi risparmiare tempo, ma per la sicurezza è tutt’altra musica.

Per tutti i software e i sistemi operativi è così semplice scavalcare le protezioni? No, ma è inutile elencare eventuali software oggi “sicuri” perchè in un futuro anche prossimo tutto si può stravolgere?!

Riflettete sulla legge della Privacy Italiana che ogni azienda è costretta a seguire per non incorrere in multe salatissime e ditemi se è possibile mantenere informazioni realmente protette. Altra dimostrazione che le leggi sono fatte da gente che non sa di cosa sta parlando; risultato: meno efficienza nel lavoro con quasi i medesimi livelli di sicurezza.

Vediamo un po di programmi da usare per provare per conto vostro:

  • Pdf Unlocker: rimuove le password dei pdf criptati con 40 e 128 bit.
  • Nirsoft: programmi per rubare scovare le password delle chat, client di posta, browser, chiavi alle reti wi-fi e molto altro.
  • Esistono un sacco di software a pagamento molto completi, ma preferisco non citarli per ovvi motivi
ATTENZIONE! L'articolo che hai letto e' stato scritto piu' di quattro mesi fa. Le informazioni presenti potrebbero dunque non essere aggiornate o non piu' valide!

Pagina precedente 1 2 Pagina successiva


Tags: , , , ,
Lunedì, Marzo 10 2008 di David Terni
Leggi i commenti Stampa questo articolo Condividi questa notizia
Termini & Copyright
Questo articolo é rilasciato sotto Licenza Creative Commons Licence

Vuoi ricevere gratuitamente i nuovi articoli sull'informatica di David Terni nella tua casella E-mail o tramite Feed?

Contattami Rss

Altri Articoli Che Ti Potrebbero Interessare:

«Parla con Wasabi»

Apro questo spazio dedicato a voi, miei lettori che ogni giorno mi tempestate di domande.

Da oggi smetterò di rispondere in maniera privata. Considerato che molto spesso ricevo i medesimi quesiti esisterá questo nuovo spazio dove risponderó pubblicamente.

Le domande più interessanti e d'interesse pubblico verranno pubblicate su Sismi.info
Leggi come pormi una domanda o suggerirmi un argomento...

Ci sono 12 Commenti per questo articolo.

  1. Consiglio a tutti di creare una partizione da pochi mega e li dentro mettere i file delle password del browser (se usate opera il file è il wand.dat, quello di firefox si dovrebbe trovare all’interno della cartella delle preferenze utente).

    Fatto ciò criptare la partizione usando truecript con algoritmo AES.
    In questo modo la sicurezza aumenta notevoltmente, sopratutto se ci si infetta da un virus che oltre a fare danni cerca e decripta le password (e poi le invia a terzi).
    Ma se qualcuno viene a scoprire la master password di truecript siamo finiti.

    Non penso si possa salvare sul disco criptato le password di WLM (gtalk ecc) poichè vengono salvate nel registro. Qualcuno ha qualche idea per criptare anche quelle?

    Ciao David, bell’articolo come sempre

    utente kaliber

    10 Marzo, 2008 19:04

  2. …tanto per dirtene una: quando vivevo da solo e il mio PC veniva usato da tutti gli amici/conoscenti/passanti come un internet center, avevo installato un picclissimo keylogger di quelli invisibili.
    Ora, penso che sia ancora più facile metterne uno in un PC universitario o in un Internet point e raccogliere le password di tutti quelli che si vuole.

    Infatti, come hai scritto tu, la password è un davvero uno scoglio difficile da superare solo se non hai accesso al PC della vittima.

    P.s. l’ultima metodologia di cifratura e protezione da password di ZIP ma anche di PDF non mi pare tanto immediata da aprire…soprattutto se si superano i 10 caratteri ;)

    utente KK

    11 Marzo, 2008 08:52

  3. @Kaliber:
    come ho scritto prima, tutte le tue password possono andare in malora la prima volta che controlli la posta da un PC che non è tuo…

    utente KK

    11 Marzo, 2008 08:54

  4. Grazie per la precisazione: la lunghezza è un’altro parametro da sottolineare quando si crea una password robusta.

    Bè si hai ragione per gli zip oltre 8 caratteri [mi pare] l’hash della password contenuta all’interno del file non permette più di effettuare un attacco di tipo overflow o effettuare un bruteforce in tempi ragionevoli.

    Per i pdf invece è diverso. Fino a 128bit puoi tranquillamente fare un jump del check [basta un programma di debugging che ti mostri l'esadecimale o un programma specifico per sproteggere i pdf], superata tale soglia hai il medesimo problema con gli zip.

    utente David Terni

    11 Marzo, 2008 09:58

  5. Ciao DAvid Terni, mi è molto piaciuto il blog e sopratutto come esponi gli argomenti.
     
    Hotrovato abbastanza esaustivo l’argomento di cui si è discusso e ciò ha catturato la mia attenzione su un problema che mi tocca da vicino.
    Io mi trovo da qualche anno a combattere con un file zippato di cui ho perso la password e per molto tempo mi sono dedicato non solo a cercarla, visto l’importanza che ha per me di quel file, ma anche nel cercare di imparare come poter decriptare una password di qualsiasi file sia pdf, excel ecc… ramazzando i vari software nella rete che un po ti aiutano.
    Purtroppo non sono riuscito ancora a decriptare la password del mio file zippato, mentre ho avuto qualche successo per quanto riguardano altri tipi di file.
    Vista la tua enorme competenza  mi farebbe piacere tu mi potessi dare qualche consiglio sia circa altri software meno conosciuti nella rete  che fanno al caso mio e sia sul come poter decriptare le password in quanto mi piacerebbe imparare quanto più possibile su tale materia  e chissà un giorno potrei essere io a dare una mano a chi me lo dovesse chedere.
    Aspetto una tua risposta o di chiunque mi possa dare qualche consiglio….Grazie !!!

    utente Antonio

    26 Maggio, 2008 20:48

  6. Purtroppo l’unico consiglio è anche l’unica soluzione che già conosci. BruteForce. Se i vari tentativi di sfruttare bug nel codice non hanno avuto esito positivo non cìè via d’uscita. Considerato che sei tu ad aver messo la password dovresti esser in grado di ridurre il range delle possibilità dei caratteri utilizzati in concomitanza con la lunghezza.

    Non c’è soluzione, anche in ambiti forensics siamo costretti al bruteforce se con altre tecniche rimbalziamo… anche in questo caso se il soggetto sapeva il fatto suo è quasi impossibile il recupero per via dell’alta complessità della password.

    Programmi? qualunque purche tu lo tenga li 24 su 24 a compiere tutte le possibili combinazioni.

    utente David Terni

    26 Maggio, 2008 22:07

  7. Ti ringrazio per la risposta anche se me lo sentivo, infatti ho installato un programma che da circa tre mesi sforna password e ancora mi dice che presumibilmente i tempi saranno di oltre 1 anno.
    Io ho fiduciosa pazienza e nel frattempo spero che possa uscire qualche miracoloso software che mi sblocca il file.
    Saluti
     
     

    utente Antonio

    27 Maggio, 2008 10:49

  8. ” … Esistono un sacco di software a pagamento molto completi, ma preferisco non citarli per ovvi motivi …”

    hai fatto 30, fai 31 no? :)

    utente battiz

    16 Settembre, 2008 07:05

  9. @battiz se fai bene attenzione agli articoli che scrivo, avrò citato solo un paio di volte software a pagamento. é la mia linea editoriale citare solo e il più possibile programmi gratuiti perchè i software che si trovano per Win sono troppo costosi e non sempre funzionano come dovrebbero, mettendo me in una situazione difficile nei confronti del lettore. Esistono alternative gratuite? Si, allora usiamole.

    utente David Terni

    16 Settembre, 2008 07:47

  10. david nn sono molto d’accordo con te …
    Dare un’informazione completa credo sia una buona cosa …
    Dare un’informazione parziale e lasciare gli utenti piu’ “esperti” a metà credo sia abbastanza irritante.
    Non credi?
    Cmq. se questa è la tua linea editoriale la rispetto e ti faccio i complimenti per tutto l’ottimo lavoro che stai facendo su questo blog ;)

    utente battiz

    24 Settembre, 2008 08:57

  11. @battiz: bè vedi, c’è da considerare che internet è una fonte d’informazioni per chiunque. Il problema che questo comporta che chiunque può usare quello che legge e se non ha la testa per usarle coscientemente può provocar danni. Io non ho segreti che tengo solo per me che un qualsiasi motore di ricerca non metta già a disposizione con l’ausilio di 3 semplici parole chiave o che i professionisti del settore già non conoscano e usino da tempo, poi non so… io la vedo così.

    utente David Terni

    24 Settembre, 2008 21:18

  12. Links della settimana (34) at Paolo Gatti’s web corner
    utente pingback

    17 Marzo, 2008 08:57

Scrivi un commento

In media nell'arco di 24ore modero tutti i commenti. Tuttavia...
  • Non fornisco assistenza per domande inerenti la configurazione di un particolare programma.
  • I messaggi contenenti frasi offensive, fuori tema, di propaganda o futili saranno modificati o non pubblicati.
  • Accetto le critiche, ma quelle personali mandatele via email
  • E' stato implementato un sistema di filtraggio automatico, per cui verranno cancellati in maniera automatizzata e senza recupero tutti quei commenti che conterranno:
    1. Parole abbreviate come: cmq, nn, qlc
    2. Parole volgari, compresi alcuni intercalari.
    3. Link anche presunti di Spam
    4. Email fasulle o temporanee

N.B. I campi in rosso sono obbligatori