Crack ve şifre kırma

Crack Programi ve Golge Sifreler:

Unix sistemlerde kullanici sifreleri,biz ev kullanicilarinin dizini ve tercih edilen komut isleyisi
gibi diger bazi bilgilere /etc/passwd dosyasinda tutulur. O dosya ya ulasinca hemen sevinmeyin.
Cunku o dasyaya ulastigimizda da oyle pat diye sifreler onumuze dokulmez ) peki ne olur
derseniz iste size bir ornek:

pilot:KLsPsilGmnF.:278:954:Pilot Admin:/home/pilot:/bin/csh

iste buyrun size sifre ) hadi cikin isin icinden cikabilirseniz...Simdi bunlari bir aciklayalim:

: isareti ilen ayrilan sifre,garip gorunumlu harf ve rakamlar dizisi yaratmak icin crypt() adi
verilen tek yonlu bir hash fonksiyonu ile isleme tabi tutulur.

Algoritmanin dogasi yuzunden kriptolanmis sifreyi isleme tersini uygulayarak duz yaziya
ulasmak mumkun degildir.(matematik dersi iyi olanlar bilirler. evet burda da matematik :P)
Simdi dusunebilirsiniz madem duz yaziya cevrilemiyor nasil oluyorda login olurken duz yazi
girdigimiz halde sisteme giris yapabiliyoruz?? Cok guzel bir soru ve iste cevap: Duz yaziya
ceviremezsiniz; fakaaatttt sisteme login olmak istediginizde girdigininz sifre alinir ve crypt()
fonksiyonuna gecirilir. Ciktinin hafizada depolanmis olan sifre ile ayni olup olmadigi Eger ayni
ise girdiginiz sifre dogrudur ve login olursunuz.

Bu sistemdeki en buyuk zayiflik,kullanicidan kaynaklanan kolay tahmin edilebilen sifreler

kullaniyor olmasidir. Eger bir hacker yukarida bahsettigimiz dosya dizinine ulasir ve crypt li
sifreye ulasirsa, cok kullanilan kullanilan sifrelerin bulundugu bir sozluk (wordlist) dosyasini
crypt() isleminden gecirerek diger sifre ile karsilastirabilir. Bu islemi yapabilen bir cok program
var. Bknz

http://www.turkhackerlarbirligi.com...wdownload&cid=4
<http://www.turkhackerlarbirligi.com/modules.php?
name=Downloads&d_op=viewdownload&cid=4>

Bu tur saldirilardan korunmak icin ise, tahmin edilmesi zor sifreler kelimelerden secebilir (ornek:
BE1SI9KT0AS3) yada sifre dosyasini ele gecirilmesini daha zor hale getirebilirsiniz.
(ornek:PHP kodlari :-P) programi kendi bilgisayaraniza indirip cesitli araliklarla sifreniz
uzerinizde deneyip kirilip kirilmadigina bakarak zaman harcamayin. Cunku hackerin sizden cok
daha iyi bir wordlisti olacagi suphesizdir. Sunuda soylemeden gecemiyecem; bazi Unix sifre
degistirme programinin cesitli tipleri,eger kullanici bilinen bir sifre giriyorsa kabul etmiyecek
sekilde tasarlanmistir.

Unix sifre dosyasinin problemlerinden bir taneside herkes tarafindan okunabilir durumda olmasi
gerekmesidir. Eger hacker saldirgan ag sunucusnudaki bir aciktan yararlanirsa (cgi aciklari gibi),
sunucu yetkisiz kullanici olarak calissada sifre dosyasini okuyabilir. Fakat sifre dosyasi sadece
root kullanicisi (yetkili) tarafindan okunabilir hackerin root erisimi yoksa (o zaman da sifre
dosyasini dert etmezdi ) bu dosyayi okumak icin cok daha fazla calismasi gerekecekti.

Bazi Unix sistemleri, kullanicilarin kriptolanmis sifrelerinin /etc/shadow veya

/etc/security/password.adjunct gibi ayri dosyalarda tutulmasini saglayan `Golge Sifre` sistemini
destekler. Bu dosya sadece root kullanicisi tarafindan okunabilir. Normal /etc/passwd
dosyasiprogramlarin kullanici dizinleri ve diger ozel olmayan bilgilerin programlar tarafindan
okunabilmesi icin hala yerindedir ) fakat sifre degerleri yok. :P

Eger web siteniz varsa ve Unix uretici firmaniz golge sifreleri destekliyorsa bbundan mutlaka
yararlanin (ya para veriyorsunuz degilmi yani )) Yoksa internette Shadow Suite adli programi
internetten indirp kurun. John Haugh ucretsiz golge sifre pakedi sunuyor fakat pakedinde bir bug
oldugundan tavsiye etmiyorum. Yani evdeki bulgurdan da olmayin )))))))