MSN Messenger e la codifica delle password

Ecco a voi la storia del sistema di salvataggio delle password di MSN messenger, con relative decodifiche XD.

msn_butterfly.jpg

MSN Messenger Versione 5.0 e precedenti:
Le passwords venivano salvate nel registro semplicemente applicandovi il base64….. praticamente in chiaro… L’indirizzo della chiave è HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger ed era possibile decodificarli con una qualsiasi decoder base64 :S

Msn Messenger Versione 6.0-7.0:
Microsoft si accorge che “forse” applicare il base64 non bastava… così si è inventata la funzione interna CryptUnprotectData, ma nell’agosto del 2004, il buon to0mbkeeper ha postato su security focus i sorgenti della suo tool per decodificarle, funzionante solo su Win2000.
Le modifiche apportate alla versione 7.0 che aggiungeva un sistema entropico one delgi hash, e l’incompatibilità con Windows XP hanno fatto da propellente all’opera di Napalm e Gregory Panakkal, che hanno sviluppato dei tool di recupero delle password (ma non è stupefacente questo infinito ciclo “tu proteggi, io ti frego” ? hackers e sistemisti si creano posti di lavoro a vicenda!! XD)

Msn Messenger Versione 7.5:
Nasce il Windows Credentials Manager (con relativo coro di stupore tipo whoooa XD), che accoppia l’entropia ad un salt generato automaticamente, salvando i dati nella chiave: HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\ . Naturalmente i vecchi tool di decodifica sono stati resi inefficaci.

Windows Live 8:

Questa versione che voi tutti conoscete, non fa a ltro che importare i profili delle vecchie versioni, ed aggiunge dei dati alla fine delle password generate dall’algoritmo introdotto con la 7.5.

A questo punto,l in base alla versione di MSN installata sul computer da cui volete recuperare account potete scaricare gli appositi Tool… io vi consiglio questo (Il collegamento è diretto al download dell’eseguibile).

Chissà cosa attende il futuro di Messenger?

Chissene io uso Kopete!!! 😀

Annunci

Wireshark: Analisi di una conversazione MSN

Wireshark è un potentissimo, diffusissimo,utilissimo ma soprattutto divertesntissimo (XD) tool di analisi delle reti. È in grado di analizzare i pacchetti formattati da diversi protocolli ed offre una marea di opzioni di configurazione, come il filtraggio delle informazioni e funzioni di reportistica. Può essere utilizzato per scovare insicurezze di rete, studiare i diversi protocolli di rete ed ottenere informazioni dettagliate sui pacchetti.Wireshark nasce dal suo predecessore Ethereal e quindi da un software solido e usatissimo, lo uso da oggi XD, quindi in questo articolo daremo un’occhiata alle sue funzioni di base, con particolare attenzione scambio di pacchetti tra client MSN Messenger (ma guarda un pò..).

L’interfaccia grafica di Wireshark

Gran parte dell’interfaccia è occupata dalla lista dei pacchetti osservati, se non applichiamo alcun filtro e se sul dispositivo di rete della macchina che stiamo osservando girano parecchi servizi di rete, avremo una lista caotica ed in aggiornamento continuo e rapidissimo. La lista presenta diverse informazioni per ogni pacchetto:

  • No: Il numero del pacchetto in esame, utile per riordinare i pacchetti
  • Time: Il timestamp del pacchetto
  • Source: L’indirizzo della macchina che ha emesso il pacchetto
  • Destination: L’indirizzo della macchina che ha ricevuto il pacchetto
  • Protocol: il protocollo utilizzato per la comunicazione
  • Info: Dettagliate informazioni sul pacchetto, ottenute da wireshark grazie al sistema di riconoscimento del formato in uso

Direttamente sotto alla lista dei pacchetti, troviamo la lista Header, che contiene informazioni riguardanti il protocollo utilizzato dai pacchetti

Al livello ancora più basso troviamo le informazioni riguardanti la decodifica del formato dei pacchetti, mentre in alto, la pulsantiera con la barra per editare i filtri da applicare: per iniziare la scansione, basta premere il pulsante in alto a destra.

Analisi dei pacchetti di una conversazione MSN

Per le comunicazioni MSN, troviamo diversi tipi di pacchetti che informazo client e server delle azioni effettuate dagli utenti:

  • JOI: Un client remoto sta cercando di aprire una conversazione
  • MSG: Una comunicazione, come ad esempio l’invio dell’header o un vero e proprio messaggio
  • USR: Segnala che una connessione è avvenuta con successo
  • CAL: Invita un utente ad una conversazione
  • BYE: Segnala che un contatto ha lasciato la conversazione

Questi sono solamente alcuni dei tipi di pacchetti del protocollo MSNMS, per una lista completa vi rimando al wiki (unofficial)

Dalla lista dei pacchetti possiamo analizzare una conversazione MSN nella sua totalità, cerchiamo il pacchetto di tipo JOI, ovvero l’apertura della conversazione, ->Click destro->Follow TCP Stream. A questo punto abbiamo una nuova shermata contenente la lista delle informazioni scambiate tra i9 cient, inoltre, essendo basato su Plain Text (testo semplice) da questa schermata possiamo vedere anche i i messaggi inviati tra i clients!, non il massimo della sicurezza dopotutto.

Sempre dalla lista dei pacchetti possiamo vedere i pacchetti USR OK, contenenti gli indirizzi di posta dei client connessi, per quel che riguarda le informazioni sulla password, la totalità (creddei clients di IM, utilizzano una connessione sicura HTTPS. Per procedere al furto di account, bisognerebbe (in caso di password criptata) procedere con un attacco Brute-Force, oppure industriandosi con i soliti falsi servizi di assistenza MSN… Non cè bisogno che io vi ricordi che Queste cose non si fanno vero? 😉

Hackers or Fu**ers?

Gira da un po di tempo per la rete, una famigerata guida che promette un modo semplice e sicuri per rubare account msn…. lasciatemi dire una csa… MA CHE CAZZATA!!. Più ci penso e più mi chiedo come sia possibile che qualcuno c’è cascato veramente…
Vediamo di analizzare (per quanto possa esserci da analizzare, visto che è una cosa veramente scema) il procedimento consigliato:

  • Ci viene subito propinato un indirizzo email del tipo msn-QALCOSADIFALSOSERIO@hotmail.com, i meno esperti, anzi, i meno diffidenti, penseranno che si tratti di un contato della microsoft in quanto sfoggia le tre lettere MSN: in realtà chiunque potrebbe aver creato un account con quel particolare nome!!
  • Subito dopo ci viene sugegrito il soggetto della e-mail, che sempre per darsi un tono veritiero, è di solito Password Recovery, potrebbe anche essere Fagioli o, meglio ancora DEVI MORIRE visto che non ci sarà nessun impiegato microsoft ad offendersi XD.
  • Ora arriva il bello: ci suggeriscono di scrivere nella email il contatto dell’account che si vuole rubare, ma poi anche il nostro contatto e SOPRTUTTO la nostra password!!!!!!….. a che cosa serve la password del nostro contatto visto che, in teoria, staremmo facendo una segnalazione??? basta ragionare un minimo per capire che è una bufala XD

Spero di essere stato chiaro, e prossimamente pubblicherò qualche metodo serio per ottenere password di account MSN, ma mi raccomando NON RUBATE ACCOUNT MSN è una coglionata che fa perdere tempo a voi e a chi subisce il danno… . Se non vi ho ancora convinto a non rubare account MSN, leggetevi un po di etica Hacker su internet, ci sono una miriade di testi (ecco un buon modo di passare il tempo).