[ Burgos @ 24.12.2004. 23:13 ] @
Citat:
Those are a few ways to get the frontpage password. Now your asking how do we decrypt it? Well thats what me and vacuum asked our selfs. First I told people to try l0pht crack to see if it was the same encryption but, it wasnt. Then a few minutes later Vacuum msgs me and says he cracked it!!! It turns out the encryption for frontpage passwords is the same as a passwd file in unix. So basically you can use any unix passwd crack to crack frontpage passwords.


[ Milos Stojanovic @ 24.12.2004. 23:25 ] @
Pa samo koriste istu enkripciju, šta je tu čudno? (DES ili MD5, nisam siguran)
Volim ja da budem protiv MSa, ali ovo je već preterivanje :)
[ Sundance @ 24.12.2004. 23:58 ] @
Burgos misli da je MD5 izmisljen da bi se mogao kriptirati unix passwd fajl?

Eh, jos jedan...
[ VRider @ 25.12.2004. 09:03 ] @
Narocito ako se uzme u obzir da je MD5 ne provaljuje nikako osim brute forceom.
[ Sundance @ 25.12.2004. 10:48 ] @
A jel. Si citao prije par mjeseci, svi su mediji trubili o kolizijama u vecini najpopularnijih hash algoritama, ukljucujuci MD5?

http://www.tcs.hut.fi/~mjos/md5/

Citat:

This clearly shows that the resistance of MD5 against collision attacks
is significantly lower than 2^64 indicated by its 128-bit digest. Since the
attack allows free selection of IV, these attacks mean that MD5 should
not be used for any serious cryptographic purpose.


Unix sigurnost my arse.
[ CONFIQ @ 25.12.2004. 11:03 ] @
Da ali kolko sam ja pročitao zamenjeno je sa SHA-1 i RIPEMD.
Nemoj baš tolko da zacrnjuješ linux :Đ
Siguran sam da ne možeš da nabrojis koje enkripcije M$ je dovelo na svetlost.
[ Burgos @ 25.12.2004. 11:20 ] @
Citat:
Sundance: Burgos misli da je MD5 izmisljen da bi se mogao kriptirati unix passwd fajl?


Ne mislim. Koristio sam MD5 i CRC32 u (amaterskim) projektima, a dnevno svučem oko 15GB i tada MD5 dobro dodje

Ali priznajem da nisam znao da je korišćen u Unixu. Pa tako priznajem da sam napravio grešku jer nisam znao da je Unix šifra kriptovana MD5 algoritmom, mislio sam da je to neki drugi, izmišljen čisto za te potrebe.
[ Sundance @ 25.12.2004. 12:14 ] @
Citat:
CONFIQ: Da ali kolko sam ja pročitao zamenjeno je sa SHA-1 i RIPEMD.


http://eprint.iacr.org/2004/199.pdf

Da si malo bolje procitao linkani rad kineza koji su razbili ove fje vidio bi da se spominje i RIPEMD. Nisam znao da linux passwd fajl koristi SHA-1, imas neki link da to potvrdis? Necu valjda trebati rebootati damnit.

Citat:
Siguran sam da ne možeš da nabrojis koje enkripcije M$ je dovelo na svetlost.


Kako mislis "doveo na svijetlost"? Mislis, da su implementirane u OS-u ili da ih je MS izmislio?

Ako je ovo prvo:

1) win32API - cryptoAPI

2) .NET - System.Security.Crpyptography

SHA-*, MD5, *DES, RC*, Rijndael...sve je tu.

Ako je ovo drugo...ma ne moze biti ovo drugo, nije vrag da od MS-a linuxasi ocekivaju postavljanje standarda i na podrucju kriptografije, ccc...
[ brcha @ 25.12.2004. 12:54 ] @
Citat:
Burgos: Ne mislim. Koristio sam MD5 i CRC32 u (amaterskim) projektima, a dnevno svučem oko 15GB i tada MD5 dobro dodje

Ali priznajem da nisam znao da je korišćen u Unixu. Pa tako priznajem da sam napravio grešku jer nisam znao da je Unix šifra kriptovana MD5 algoritmom, mislio sam da je to neki drugi, izmišljen čisto za te potrebe.


mogu i drugi algoritmi da se koriste za kriptovanje linux sifri. ne znam generalno sta koriste unix-i, ali linux u poslednje vreme uglavnom koristi md5 kao default za kriptovanje.
[ dinke @ 25.12.2004. 13:15 ] @
Linux (konkretno SuSE na kome sam ja) koristi seledeće algoritme za enkripciju:

DES
MD5
BlowFish

Što se tiče razbijanja md5 šifre, programčići koji to rade (recimo jack the ripper) koriste se rečnikom najčešće korišćenih passworda i engleskih reči, tako da loše odabrani passwordi budu razbijeni u roku od 5 minuta zaista. Kod ovih drugih koliko ja znam jedino radi brute force, a to može da potraje.
[ VRider @ 25.12.2004. 13:45 ] @
Pa, Dinke, i razbijanje po recniku je vrsta brute force napada. Malo manje brutalna, ali...
[ Sundance @ 25.12.2004. 20:20 ] @
Zakleo bih se da sam lejtli na packetstormu vidio programchich koji utilizira ove nedavne rupe u md5 pri krekiranju, ali ga sad ne mogu naci :( Nemojte misliti da ste sigurni, though! :)
[ dinke @ 25.12.2004. 23:19 ] @
Whatever, passwordi se na Linuxu cuvaju u shadow fajlu (/etc/shadow) kome ima pristup samo root, tako da ... da bi dosao do njih morao bi da budes root ili nekim drugim crackim metodom zadobijes root privilegije.
[ Sundance @ 26.12.2004. 09:29 ] @
Citat:
dinke: Whatever, passwordi se na Linuxu cuvaju u shadow fajlu (/etc/shadow) kome ima pristup samo root, tako da ... da bi dosao do njih morao bi da budes root ili nekim drugim crackim metodom zadobijes root privilegije.


To nema veze jer ovdje ne govorimo o kvaliteti zastite sifri, vec o brzini probijanja istih. Mozes imati ne znam koji mehanizam sa spremanje korisnicikih sifri, ali ako su one hashirane sa nekim busnim algoritmom, isto je kao da su i plain text.

I na win moras biti admin da bi dump-ovao LSA tajne objekte.