Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

John the Ripper 1.8

2013.06.02. 15:45 | buherator | 18 komment

Megjelent a John the Ripper jelszótörő 1.8-as változata, az alverzió-ugrás több izgalmas újdonságot hozott.

A Rapid7 Magnificient7 programjának keretében fejlesztésre került az inkrementális törési mód: Ebben a módban a program minden lehetséges jelszót kipróbál egy adott karakterkészleten illetve maximális hosszon belül, karakterpozíciónként figyelembe véve a jellemző karaktergyakoriságokat. A mostani fejlesztés egyebek mellett lehetővé teszi, hogy a John karakterpozíciónként eltérő karakterkészlettel dolgozzon, így megfelelő adatokkal tréningezve adott idő alatt akár 91%-kal több jelszó is kipöröghet (ez persze egy szélsőséges eset, de kellően nagy hash-lista esetén a jellemzőbb 1%-os növekedés is értékes jelszavakat eredményezhet).

A másik igen hasznosnak tűnő újítás a --fork illetve --node kapcsolók bevezetése a párhuzamos és elosztott munka  támogatására. Előbbi kapcsolóval megadhatjuk, hogy a John hány példában forkolja magát, így egyszerűen kihasználhatók a többprocesszoros rendszerek erőforrásai, utóbbi opció segítségével pedig egyszerűen szétoszthatjuk a feladatokat több számítógép között is, bár hálózati kapcsolat híján ez a fajta triviális feladatmegosztás bizonyos esetekben nem hatékony. A kifinomultabb MPI párhuzamosítás, az OpenMP-vel támogatott multiprocessing, illetve az OpenCL-es GPU támogatás továbbra is fejlesztés alatt van, a mostani újítások az egyszerűbb konfigurációk létrehozását könnyítik meg. 

Az új verzió a fentieken túl számos optimalizációt és új parancssori interfészt is hoz, részletek a hivatalos bejelentésben.

Címkék: john the ripper

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

álfirkász · http://narancsosliba.blog.hu/ 2013.06.04. 10:18:39

Biztosan én vagyok rosszindulatú, de ugye ennek elsődleges célja nem a hálózati biztonság növelése? ;)

_2501 2013.06.04. 10:57:17

@álfirkász: a konyhádban a kések elsődleges célja ugye a gyilkosság?

álfirkász · http://narancsosliba.blog.hu/ 2013.06.04. 11:04:40

@_2501: kíváncsi vagyok, buherator érti-e, miért kérdeztem. :)

álfirkász · http://narancsosliba.blog.hu/ 2013.06.06. 12:53:34

@_2501:
egyébként csak arra gondoltam, hogy a több számítógép közt elosztott törési kísérletekről már inkább feltételezem a rosszindulatú felhasználást, mint a biztonsági lyukak keresését.
Bár csak nagyon távolról foglalkoztam a témával, de azt hiszem, a gyenge jelszavakat nem úgy szokás kiszűrni, hogy bevetek egy botnetet, vajon fel tudom-e törni a segítségükkel. ;)

buherator · http://buhera.blog.hu 2013.06.06. 13:04:23

@álfirkász: Foglalkozz egy kicsitt többet a témával mielőtt kérdezel...

álfirkász · http://narancsosliba.blog.hu/ 2013.06.06. 13:12:00

@buherator: foglalkozhatok, de ettől még erős bennem a gyanú, hogy azok a réges-régi pletykák, amik a projekt indulásakor terjedtek, nem voltak teljesen alaptalanok. :)

_2501 2013.06.06. 13:14:00

@álfirkász: pedig manapság trendi cloudban törni. botnet más sztori.

buherator · http://buhera.blog.hu 2013.06.06. 13:14:18

@álfirkász: Alapvető összefüggéseket nem látsz, pedig csak gondolkodnod kellene, nem is túl sokat.

_2501 2013.06.06. 13:20:13

@álfirkász: Stop. Hammertime. Nem az eszköz az oka ha rosszra használják hanem a használó. Ha 80-al a villamosmegállóban ácsorgó emberek közé hajtasz, nem az autó de nem is a gyártó lesz a felelős.

álfirkász · http://narancsosliba.blog.hu/ 2013.06.06. 13:24:32

@_2501: törni igen, de amikor utoljára - mondom, nagyon érintőlegesen - foglalkoztam ilyesmivel, akkor a kollégák nem annyira a brute force ellenőrzést részesítették előnyben.
(brute force alatt értem, hogy nem elsősorban feltörni próbálták a rendszereket, hanem a beállításokat, forráskódokat ellenőrizték)

@buherator: lásd fent! Én még ott tartok, hogy egy rendszer biztonságának ellenőrzéséhez nem feltétlenül szükséges az ilyen jellegű törési kísérlet, mert (ex has) pl. a password policy (nem a szóbeli, hanem a gép által elvárt) alapján meg lehet saccolni, kb. milyen erő szükséges az adott környezetben megadható leggyengébb jelszavak töréséhez. Tévedek?

álfirkász · http://narancsosliba.blog.hu/ 2013.06.06. 13:27:41

@_2501: félreértesz asszem. Anno terjedtek erről a projektről olyan pletykák, hogy elsősorban a "homályzóna" t. képviselői számára készült és hogy ők az elsődleges felhasználók, nem a biztonsági szakemberek.
Nem az eszközt okolom a felhasználása miatt.
A puska sem feltétlenül gyilkos eszköz. (lásd sportlövészet) ;)

buherator · http://buhera.blog.hu 2013.06.06. 13:38:27

@álfirkász: Még nem találkoztam olyan password policy-vel, ami 0 sikeres hash törést eredményezett, ezért az ilyen jellegű mérés is szükséges, nem beszélve az egyéb felhasználásokról (tegnapi posztban volt szó backdoor hozzáférésekről pl.). Az alapértelmezett Windows AD policy a Password1-et engedi pl. Másrészt - hogy tisztítsam a képet - semmi értelme egy gép teljesítményére hagyatkozni a védekezésben, mikor a támadónak botnetje van.

álfirkász · http://narancsosliba.blog.hu/ 2013.06.06. 13:47:41

@buherator:
Ha netán a "gondolkodni kellene" arra vonatkozott, hogy a hash-t törni szándékozónak jó eséllyel megvan a maga hálózata, azzal nem mondtál újat.

Inkább arról beszélek, hogy akikkel eddig dolgom volt, azok nem nagyon foglalkoztak konkrét törésekkel, hanem felmérték a rendszereket és megmondták, hogy mit találnak kockázatosnak az adott rendszeren (pl. gyenge policy, gyenge hash stb)
Ezért értetlenkedek, mikor azt látom, hogy ezt a szoftvert van aki védekezésre használja.
Jó, feltöröd a p4ssw0Rd8764 jellegű jelszót vele.
Ha ez megtörtént, mit tudsz tenni? Mit tudsz mondani a megbízódnak azon túl, hogy ezt most sikerült feltörni?
(windows-t hagyjuk, nagyon nem értek hozzá, inkább unix-linux vonalon mozgolódtam)

álfirkász · http://narancsosliba.blog.hu/ 2013.06.06. 13:49:40

@álfirkász: félreértések elkerülése végett: "törés" alatt kifejezetten a hash-ben tárolt jelszavak feltörését értettem, a rendszerekbe való behatolási kísérletek más lapra tartoznak. Attól kezdve, hogy sikerült megszerezni egy adott rendszerhez tartozó hash-eket, már nem nagyon volt tovább ismereteim szerint. Az a rendszer nem számított biztonságosnak attól kezdve.

buherator · http://buhera.blog.hu 2013.06.06. 14:11:01

@álfirkász:
Akikkel te találkoztál valószínűleg szabályzással foglalkoztak, nekik az a dolguk, hogy ilyeneket mondjanak.
Nekem meg az a dolgom, hogy rámutassak, hogy egy jónak tűnő jelszó policy is eredményezhet könnyedén feltörhető jelszavakat. Ha ezt sikerül demonstrálnom, akkor az eredmények alapján javasolhatok módosításokat a jelszó policy-hoz, vagy akár a jelszótároláshoz, beléptetéshez.

álfirkász · http://narancsosliba.blog.hu/ 2013.06.06. 16:20:38

@buherator: akikkel találkoztam, azok technikailag mérték fel a rendszereinket. Személyesen nem találkoztam velük, csak az általuk készített doksikkal, plusz a főnökünk mondta el, hogy kb. mi mindent műveltek.
Úgy tudom, végighekkeltek jónéhány rendszert, de a tárolt jelszavakat nem piszkálták. Legalábbis én így tudtam. (a történet kb. 10+ éves)

álfirkász · http://narancsosliba.blog.hu/ 2013.06.07. 12:05:52

@álfirkász: no, akkor korrigálom az emlékeimet :)
Szóval ténylegesen történt jelszótörés, de a végkövetkeztetés az volt, hogy ezzel felesleges bíbelődni, ha megvan a hash.
Szóval részben jól emlékeztem a történetre, csak az maradt ki, hogy azért biztos ami biztos alapon a srácok meg is törtek pár jelszót.