Louskání hashů internetových hesel

Společnost Cybsec S.A. zveřejnila zprávu (PDF) o možnosti neoprávněně získat uživatelská hesla pro přístup přes Internet. Co k tomu potřebujete?

  • Domino server, na kterém běží HTTP task.
  • Alespoň Reader přístup do adresní knihy (names.nsf) - Default je Author, pokud si to nezměníte nebo nepřidáte Anonymous
  • Nástroj na lámání hesel.
Potom stačí vyťukat do prohlížeče http://www.server.cz/names.nsf a v pohledu People otevřít záznam nějaké osoby. Jistě vítě, že hash internetového hesla je uložen v poli Internet Password. To ale není zobrazeno.

 
Opravdu? Zkuste se podívat na zdrojový kód stránky (View source)... Je tam, schováno dole, s příznakem hidden a v polích $dspHTTPPassword a HTTPPassword.
 

Teď už stačí hash přes schránku překopírovat do souboru (jen část mezi závorkami) a pustit na něj nejakou crackovací utilitku, která hashuje slova ve slovníku a porovnává je se získaným hashem. Například, v odkaze zmiňovaný, Domino Hash Breaker.

Slovník českých i anglických slov stáhnete na Internetu nebo si necháte vygenerovat všechny 1-n písmenné kombinace. Zadáte dhb -p hash.txt -d slovnik.txt -va výsledkem bude C:\TEMP\dhb>dhb -p hash.txt -d slovnik.txt -v

Domino Hash Breaker v1.0 by Valgasu (valgasu@securiteinfo.com)

1 HTTP password hashes loaded from "hash.txt"
272015 words loaded from "slovnik.txt"

Starting...
CC122E7260347034CE31D4778A915F81 - tajemstvi [8229 words/s]
End

Number of recovered passwords : 1/1
Time elapsed : 26 s
Za půl minuty je heslo tajemstvi na světě. Jaké jsou proti tomu možnosti obrany?

  • Upravit podformulář v names.nsf, jak je popsáno v odkazované zprávě. Potom se nebude pole s hashem generovat do HTML kódu.
  • Neumožnit anonymní přístup do adresní knihy z webu, nastavit Anonymous na No access.
  • Používat silnou ochranu hesel.

Předchozí: FoxPro na Windows
Následující: Jak hromadně vypnout Sametime při přechodu na ND6