Crack ve Şifre Kırma

Crack ve şifre kırma Crack Programi ve Golge Sifreler: Unix sistemlerde kullanici sifreleri,biz ev kullanicilarinin dizini ve tercih edilen komut isleyisi gibi diger bazi bilgilere /etc/passwd dosyasinda tutulur. O dosya ya ulasinca hemen sevinmeyin. Cunku o dasyaya ulastigimizda da oyle pat diye sifreler onumuze dokulmez ) peki ne olur derseniz iste size bir ornek: pilot:KLsPsilGmnF.:278:954:Pilot Admin:/home/pilot:/bin/csh iste buyrun size sifre ) hadi cikin isin icinden cikabilirseniz...Simdi bunlari bir aciklayalim: : isareti ilen ayrilan sifre,garip gorunumlu harf ve rakamlar dizisi yaratmak icin crypt() adi verilen tek yonlu bir hash fonksiyonu ile isleme tabi tutulur. Algoritmanin dogasi yuzunden kriptolanmis sifreyi isleme tersini uygulayarak duz yaziya ulasmak mumkun degildir.(matematik dersi iyi olanlar bilirler. evet burda da matematik :P) Simdi dusunebilirsiniz madem duz yaziya cevrilemiyor nasil oluyorda login olurken duz yazi girdigimiz halde sisteme giris yapabiliyoruz?? Cok guzel bir soru ve iste cevap: Duz yaziya ceviremezsiniz; fakaaatttt sisteme login olmak istediginizde girdigininz sifre alinir ve crypt() fonksiyonuna gecirilir. Ciktinin hafizada depolanmis olan sifre ile ayni olup olmadigi Eger ayni ise girdiginiz sifre dogrudur ve login olursunuz. Bu sistemdeki en buyuk zayiflik,kullanicidan kaynaklanan kolay tahmin edilebilen sifreler kullaniyor olmasidir. Eger bir hacker yukarida bahsettigimiz dosya dizinine ulasir ve crypt li sifreye ulasirsa, cok kullanilan kullanilan sifrelerin bulundugu bir sozluk (wordlist) dosyasini crypt() isleminden gecirerek diger sifre ile karsilastirabilir. Bu islemi yapabilen bir cok program var. Bknz http://www.turkhackerlarbirligi.com...wdownload&cid=4 Bu tur saldirilardan korunmak icin ise, tahmin edilmesi zor sifreler kelimelerden secebilir (ornek: BE1SI9KT0AS3) yada sifre dosyasini ele gecirilmesini daha zor hale getirebilirsiniz. (ornek:PHP kodlari :-P) programi kendi bilgisayaraniza indirip cesitli araliklarla sifreniz uzerinizde deneyip kirilip kirilmadigina bakarak zaman harcamayin. Cunku hackerin sizden cok daha iyi bir wordlisti olacagi suphesizdir. Sunuda soylemeden gecemiyecem; bazi Unix sifre degistirme programinin cesitli tipleri,eger kullanici bilinen bir sifre giriyorsa kabul etmiyecek sekilde tasarlanmistir. Unix sifre dosyasinin problemlerinden bir taneside herkes tarafindan okunabilir durumda olmasi gerekmesidir. Eger hacker saldirgan ag sunucusnudaki bir aciktan yararlanirsa (cgi aciklari gibi), sunucu yetkisiz kullanici olarak calissada sifre dosyasini okuyabilir. Fakat sifre dosyasi sadece root kullanicisi (yetkili) tarafindan okunabilir hackerin root erisimi yoksa (o zaman da sifre dosyasini dert etmezdi ) bu dosyayi okumak icin cok daha fazla calismasi gerekecekti. Bazi Unix sistemleri, kullanicilarin kriptolanmis sifrelerinin /etc/shadow veya /etc/security/password.adjunct gibi ayri dosyalarda tutulmasini saglayan `Golge Sifre` sistemini destekler. Bu dosya sadece root kullanicisi tarafindan okunabilir. Normal /etc/passwd dosyasiprogramlarin kullanici dizinleri ve diger ozel olmayan bilgilerin programlar tarafindan okunabilmesi icin hala yerindedir ) fakat sifre degerleri yok. :P Eger web siteniz varsa ve Unix uretici firmaniz golge sifreleri destekliyorsa bbundan mutlaka yararlanin (ya para veriyorsunuz degilmi yani )) Yoksa internette Shadow Suite adli programi internetten indirp kurun. John Haugh ucretsiz golge sifre pakedi sunuyor fakat pakedinde bir bug oldugundan tavsiye etmiyorum. Yani evdeki bulgurdan da olmayin )))))))