C’est le challenge qu’a dû surmonter Jeremiah Grossman de WhiteHat Sec et pas par plaisir.
Une mésaventure qui arrive à tout le monde : oublier son mot de passe. Et quand le mot de passe ne vous revient pas en tête après plusieurs jours, qu’il s’agit de données importantes chiffrées par FileVault avec un algo très fort il y a de quoi perdre la tête.
Heureusement d’autres experts sécu travaillant sur JtR / HashKill et avec d’importantes ressources matériel ont pu donner un coup de main.
Si le mot de passe de Jeremiah a finalement pu être cassé c’est tout de même parce qu’il s’en rappelait une bonne partie (le nombre de combinaisons a pu être fortement réduit) sans quoi même avec le matos à disposition cela aurait été impossible…
Une mésaventure qui aura profité à la communauté puisque un patch pour JtR a été fait pour l’utilitaire dmg2john.
Cryptographie, passwords
Via HN :
Chez Average-Coder, le code d’un keylogger Linux qui se base sur LD_PRELOAD.
Pour ce faire, l’auteur ne hooke pas read() car su ne l’autoriserait pas mais il détourne fork() et execve() afin de capturer l’entrée standard lors de ces deux appels.
Voir aussi sur le thème de SU et le passlogging/keylogging sous Linux :
Phrack 42 : GRABEM 1.0
LOTFREE 8 : Yet Another Su Troyan
LOTFREE 9 : SU trojan – Keep It Simple Stupid
Exploiter la grace period de sudo
iXKeyLog : Keylogger X11
Sniffy : keylogger kernel-land
Phrack 59 : Writing Linux Kernel Keylogger
Linux, passwords, Tools
Via HN :
A lire sur reboot.pro une technique avec un petit goût d’ancien (utilisation de utilman) remis au goût du jour (création d’un CD de récupération Windows).
passwords, Windows
TheRegister reprend la liste de SplashData qui concerne le TOP 25 des mots de passe les plus utilisés.
On y découvre une nouvelle entrée : “welcome”. Un mot de passe bien accueillant pour les pirates 
En revanche, coup dur pour “1234567″ qui perd 6 places au classement !
“password” et “123456″ reste en tête de classement.
A la prochaine les ptis clous !
passwords
Not bad ! VMinjector est un outil qui permet de passer outre l’authentification de systèmes Windows, OSX ou Ubuntu virtualisés via VMWare Player ou Workstation.
Pour cela il manipule la mémoire du système invité lors de l’authentification afin de lui faire croire que les login/pass soumis sont corrects.
passwords, Tools
Une nouvelle version de Hashkill est disponible.
Elle rajoute beaucoup de fonctionnalités dont le support du multi-GPU.
passwords, Tools
Alors que certains sont très détendus du mot de passe, Microsoft a décidé de raccourcir les mots de passe de ses utilisateurs Hotmail à 16 caractères.
Ainsi les utilisateurs qui disposaient d’un mot de passe dépassant les 16 caractères peuvent toujours s’identifier en ne tapant que les 16 premiers caractères de leur mot de passe…
Comment c’est possible ? Vraisemblablement les mots de passe sont stockés en clair 
What’s next ? A leak ?
fail, Microsoft, passwords
Via SecurityWeek :
Le site social formspring.me qui ressemble à une version sans intérêt (ou sans neurones) de Yahoo! Answer a été victime d’une intrusion.
En parvenant à s’introduire dans un serveur de dév, les pirates ont pu accéder à la base de donnée et dumper environ 420.000 hashes de mot de passe.
Suite à cette intrusion, les admins ont passé les hashes des utilisateurs de SHA-256 avec salt (ce qui était déjà pas mal) à du bcrypt. Les mots de passe ont aussi été réinitialisés.
Les hashes auraient été leakés quelque part sur un forum.
Leak, LOL / FAIL / PWNED, passwords
Default password are evils : Un fournisseur d’accès en Hollande avait défini un mot de passe par défaut pour ses abonnés et s’est rendu compte que 140.000 abonnés n’ont jamais pris la peine de changer le pass qui était défini à welkom01.
Le mot de passe en question permet l’accès à la gestion du compte client où on peut trouver le numéro de CB etc.
Le provider a forcé la réinitialisation des mots de passe et s’étonne que personne n’ait exploité cette vulnérabilité (ou alors ils sont très discrets).
LOL / FAIL / PWNED, passwords
L’éditeur de jeu Riot Games a averti les joueurs de son MOBA League of Legends que leurs informations personnelles (password, email, date de naissance etc) ont été pillées lors d’une intrusion informatique.
Aucune données bancaires n’a été dérobée d’après Riot Games.
Plus de 30 millions de comptes sont enregistrés sur ce jeu en ligne.
LOL / FAIL / PWNED, passwords