Password inutili su Windows 98

Windows (nelle versioni 95, 98 e ME) ha un difetto colossale nel metodo di verifica della password: non ne controlla la lunghezza. Basta un semplice programmino per scovarle ed entrare nei sistemi altrui.



[ZEUS News - www.zeusnews.it - 07-11-2002]

Magari non farà piacere a quelli di Microsoft, ma c'è un sacco di gente che usa ancora Windows 98 e ha ignorato sia Windows ME, sia il nuovo, sfavillante, ultra-animato Windows XP per una lunga serie di ragioni, dai costi alle procedure di attivazione ai requisiti eccessivi delle nuove creature di Redmond.

Fra questi ci sono anch'io, perché sono taccagno, perché mi sono stancato di studiare le trovate (leggasi vulnerabilità) sempre nuove nascoste in Windows e preferisco dedicare il mio tempo a studiare Linux, e perché comunque una partizione Windows mi fa sempre comodo per i miei esperimenti e per le rare volte in cui mi serve la sicura compatibilità con Windows.

Se per caso siete retrogradi come me, leggete oltre, altrimenti saltate pure a un altro articolo.

Indagando su un virus, Opaserv, uscito alcuni giorni fa, ho scoperto che sfrutta una falla di Windows (versioni 95/98/ME) che ha dello stupefacente per diffondersi a tutte le macchine della rete locale. L'utente diligente che condivide file e stampanti adotta la precauzione di proteggere queste risorse con una password di condivisione, ma in realtà quella password è una cortina di fumo, perché è facilissimo indovinarla.

Infatti Windows (95/98/ME) ha un difetto colossale nel metodo di verifica della password: non ne controlla la lunghezza. Mettiamo che il computer A di Angelo voglia condividere una cartella del computer B di Beatrice. A dice a B: "la password è lunga un carattere ed è 'à".

Sapete B come gli risponde? B si fida della lunghezza comunicata da A (sì, avete letto bene), guarda la password effettiva e ne legge soltanto il primo carattere (perché leggere oltre, visto che A gli ha detto che la password ha quella lunghezza?). Se il carattere non è quello indicato da A, gli risponde "no, non è la password giusta"; se A ha indovinato, B risponde "giusto, ma c'è qualcosa che non va lo stesso".

Stando così le cose, basta procedere per tentativi: il computer A dice "la password è lunga 1 ed è 'à", "la password è lunga 1 ed è 'b'"... e così via, finché B gli risponde "giusto, ma c'è qualcosa che non va lo stesso". Ora A sa la prima lettera della password di B. Basta ripetere il procedimento per le lettere successive e in men che non si dica si ottiene la password completa, così Angelo può leggere e scrivere tutte le cartelle condivise che Beatrice crede di aver protetto con una password.

L'intero procedimento può essere automatizzato con un programmino come quello che ho appena provato e che mi ha trovato la password in meno di mezzo minuto. Te la vedi indovinare sotto il naso, una lettera alla volta.

Microsoft ha rilasciato la correzione mesi fa, per cui consiglio vivamente a chi usa Windows 95/98/ME di installarla!

Altre informazioni sono disponibili presso Security Friday e Nsfocus.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
.

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (2)

Stefano Barni
win 2000, password sicure? :-D :-D :-D Leggi tutto
18-2-2003 16:17

marco
Password inutili su Windows 98 Leggi tutto
18-2-2003 16:12

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
I bambini sempre più spesso entrano in contatto con la tecnologia a una tenera età (per giocare, comunicare e cercare informazioni), anche grazie alla diffusione di smartphone e tablet. Quale dovrebbe essere la maggiore preoccupazione dei genitori?
Potrebbero visionare materiale inappropriato o visitare siti inopportuni.
Potrebbero comunicare con sconosciuti o persone non ritenute affidabili.
Potrebbero essere vittime di cyberbullismo, sui social network o altrove.
Potrebbero spendere denaro online senza che i genitori lo sappiano, anche a causa delle app che richiedono acquisti online durante i giochi.
Potrebbero diffondere dati personali (compresi foto e filmati) senza essere coscienti dei rischi.
Potrebbero incorrere in difficoltà a relazionarsi con amici dal vivo, nascondendosi dietro relazioni disintermediate dal mezzo informatico.

Mostra i risultati (856 voti)
Luglio 2016
Moto Z, lo smartphone modulare di Lenovo
Meglio Telegram, Signal o WhatsApp?
Tim potrebbe licenziare 170 dirigenti su 600
TIM, aumenti in vista per ADSL e fibra
Con Ubuntu Snappy le dipendenze non sono più un incubo
Giugno 2016
In vendita lo smartphone da 3 euro
Godless è il nuovo malware che infetta Android
Mikko Hypponen spiega come hackerare una banca
Se un'auto elettrica finisce in acqua, si rimane folgorati?
Rivoluzione Linux con le snap di Ubuntu ovunque
OnePlus 3, ottimo smartphone a prezzo contenuto
Da Samsung lo smartphone che si srotola e diventa un tablet
Autovelox, riconoscimento targhe e volti tutto in uno
Il keylogger travestito da caricabatterie Usb
Aiuto, Windows 10 si installa a forza sul computer!
Tutti gli Arretrati


web metrics