Recupero password .dmg


xtradar
 Share

Recommended Posts

Ci sono cascato.

Come un pivello.

Qualche tempo fa ho creato un .dmg protetto da password e ne ho usata una diversa dalle solite. Era così facile da ricordare che chiaramente non l'ho messa da nessuna parte. Era così facile ed ovviamente non me la ricordo. C'è qualche sistema per cercare di recuperarla? Ho fatto un giro in giro per la rete ma non ho avuto risultati.

Vado a mettere il cilicio.

Link to comment
Share on other sites

Comunque si potrebbe tentare.

(poi dipende anche dalla lunghezza e dalla complessità della pw)

Ci vuole del tempo e non è sempre sicuro.

Con Terminale, e avevo visto anche uno script.

Oppure sono in giro un paio di applicazioni per la sicurezza delle password che con un trucco si potrebbero utilizzare allo scopo.

Cose che ho letto, e non so se pubblicabili qui, ma suppongo di si.

Stasera faccio una prova, vedremo.

Nel caso te invio per mp

Link to comment
Share on other sites

Alla fine è complicato, meno di quel che pensavo ma abbastanza problematico da realizzare.

Creo alcune immagini disco da 100MB.

Per rapidità la cripto a 128-bit AES, nome iCilicioNero seguito da una lettera A, B e C come da diversità che seguono.

A) Inserisco la pw di buona complessità Xtradar21:37.

12 lettere con almeno un segno speciale e almeno due numeri danno una certa robustezza.

E tolgo la spunta su Memorizza la Password nel Portachiavi.

B) Inserisco la pw di facile complessità Xtradar.

7 lettere con almeno una diversità case sensitive.

E tolgo la spunta su Memorizza la Password nel Portachiavi.

C) Inserisco la pw elementare strada.

5 lettere minuscole, nessun numero e segno speciale.

E tolgo la spunta su Memorizza la Password nel Portachiavi.

Ci sono diversi metodi, come avevo capito.

Sostanzialmente sono tre o quattro, più o meno basati su hdiutil.

Ho lasciato subito perdere con Terminale evitando l'uso dello script che in pratica si comporta come una delle utilità che seguono.

Rimangono gli attacchi con i dizionari tramite utilità che applicano lo script per Terminale oppure quelli a forza bruta.

Entrambi hanno i loro limiti ed è possibile un insuccesso, vedremo…

Intanto ho trovato un programmino che sembra serio, l'ho scaricato da un sito che ha utility a scopo forense per OSX.

Ma il problema sono i dizionari, li sto cercando prima di mettermi a costruirne uno ad hoc.

Altro problema diventa scaricare quelli che funzionano a forza bruta, sembra siano dappertutto rimossi nei siti originari e sembrano essere disponibili su siti introvabili o nei torrent

Link to comment
Share on other sites

Intanto se mi dai qualche informazione potremmo anche lavorare su aspetti pratici da usare nello specifico tuo DMG, cercando il materiale.

Dato che le possibilità di successo con entrambe i metodi dipendono in sostanza solo dalla struttura della password.

Con i dizionari bisogna utilizzare elenchi pronti o creati che contengano la password.

Quindi se tu sai che la password è una parola in italiano, minuscola e di uso comune basta un elenco ridotto, ma comunque grande.

Se così non fosse diventa lungo un'eternità.

Se no tocca a crearlo e ci vogliono altre utilità e che siano installati gli Xcode.

Al contrario, se ti ricordi anche il numero delle lettere o una parte della parola diventa più facile.

Si immettono parametri o una stringa nello script allo scopo di cercare solo per numero dei caratteri, per sole minuscole, per solo italiano ecc.

Anziché anche per due parole che ne fanno una (es melablu) o due numeri e una parola (es 12mela).

Con la forza bruta è lunghissimo, mostruosamente lungo, si può risparmiare molto escludendo la ricerca di simboli, segni e casi che sai di poter escludere.

Per esempio immagina la totalità dei caratteri che puoi sviluppare con la tastiera e tutti i tasti speciali e loro combinazioni.

Immagina che la ricerca della password è pari alle combinazioni di una schedina del totocalcio ed i parametri invece che 1 X 2 siano tutti quei caratteri detti o solo le 22 lettere dell'alfabeto italiano minuscolo.

È una parola italiana?

È con maiuscole e minuscole?

Per caso sai di quante lettere? (anche approssimativamente aiuta moltissimo)

Contiene lettere accentate?

Puoi escludere alcuni caratteri? (zxwqykjh per esempio)

Contiene numeri? (Se sì, quanti e in che posizione, anche approssimativamente)

Contiene segni speciali? (£$")>?^\*§)

Contiene simboli? (€®@#¶†∑)

Link to comment
Share on other sites

Beh, intanto, per come ti ci sei messo, mi segno che ti devo una bevuta.

Volendo usare una password nuova sicuramente ne avrò pensata una che potevo ricordare perchè attinta da qualcosa che poi avrei ricordato (si, viene da ridere anche a me visto che non la ricordo) ma sufficientemente complessa da non essere trovata immediatamente. Purtroppo non non ne ricordo la lunghezza, ha influito il fatto che stavo partendo ed ho fatto la cosa all'ultimo istante, in piedi e dicendo al Mac "dai che è tardi". Quello che so, conoscendomi, è che sicuramente non ho usato date, nomi comuni, numeri o lettere sequenziali, sicuramente tutto minuscolo, il tutto infarcito da qualche segno speciale.

Aspetta che si era allentato l'iCilicio, stringo un po'.

Ahi.

Ho fatto un bel giro sul web anche io e l'ho notato che è stato accuratamente fatto sparire il software per attacchi con forza bruta e, sai cosa, in fondo è meglio così.

Credo che ora l'unica cosa da fare è prenderla con un po' di filosofia, mettere da parte la lezione, accendere qualche incenso, ricordarsi di stringere l'iCilicio ed aspettare l'ispirazione che probabilmente non arriverà mai.

Per fortuna il materiale nel .dmg non mi è servito, era per un eventuale "emergenza" che per fortuna non c'è stata.

Grazie davvero tanto per l'impegno Faxus.

Ho fatto la pirlata e ne pago le conseguenze, è giusto così. :)

Link to comment
Share on other sites

... ma sufficientemente complessa da non essere trovata immediatamente. Purtroppo non non ne ricordo la lunghezza... sicuramente non ho usato date, nomi comuni, numeri o lettere sequenziali, sicuramente tutto minuscolo, il tutto infarcito da qualche segno speciale...

Beh, certo...

Io comunque mi sono divertito a scoprire un mondo su cui avevo solo letto.

Ho scoperto che sui siti di tecnica scientifica forense trovi più qualità che nei siti di hacker e come funzionano i sistemi di cifratura.

Ho cinque utility da collezione nella mia cartella Applicazioni e una discreta collezione di vocabolari (liste di nomi dal senso compiuto o usabili in password).

Comunque se vuoi provare, tenendo presente che con quelle caratteristiche, nome di senso non compiuto, anche in assenza di numeri e tutto minuscolo, ma con caratteri speciali

ti ci vorrebbero molti giorni di loop su un quadricore per una password di max 5, forse 6 lettere, oltre a una mezza giornata per impostare il tutto.

Fai prima con una sessione di ipnosi per risvegliare la memoria o qualche esercizio di meditazione...

Il che significa anche che il mio sistema di memorizzazione di password, facili da 8 lettere e di sicurezza da 14, che mi permette di conoscere a memoria centinaia di password da anni è efficace.

Significa anche che la cifratura dei DMG funziona benissimo...

Link to comment
Share on other sites

Vero: spesso online si impara moltissimo.

So che ci vorrebbe tanto tanto tempo e nel frattempo faccio prima a rifare il tutto. Certo ci sarebbe la curiosità accademica di provare ma... figurati quanto può volerci con un MacBook Pro con un processore CoreDuo da 2,0 GHz.

E' andata così, metto da parte la lezione.

E mi metto sotto a rifare le cose.

Grazie ancora :)

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share