Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

CrackStation udostępnia ogromny słownik haseł

20 lutego 2013, 23:01 | Narzędzia | komentarzy 6

Ataki słownikowe niezmiennie pozostają jedną z najskuteczniejszych metod odzyskiwania haseł. Tam, gdzie próby siłowe nie są w stanie w rozsądnym czasie doprowadzić do jakichkolwiek rezultatów, dobry słownik może zdziałać cuda. Do skutecznego działania niezbędne jest odpowiednie oprogramowanie oraz właśnie dobry słownik. O ile programy takie jak John The Ripper czy hashcat są dobrze znane i łatwo dostępne, o tyle znalezienie dobrego słownika nie jest już wcale takie proste.

Jak już wspomniałem, w celu odzyskania haseł z odpowiadających im skrótów (hashy) możemy skorzystać z odpowiedniego oprogramowania. Możemy też odwiedzić jeden z wyspecjalizowanych serwisów internetowych takich jak CrackStation. CS jest w stanie w ciągu kilku sekund odzyskać hasła ze skrótów wyznaczonych za pomocą algorytmów takich jak: LM, NTLM, md2, md4, md5, md5(md5), md5-half, sha1, sha1(sha1_bin()), sha224, sha256, sha384, sha512, ripeMD160, whirlpool, MySQL 4.1+.

Co więcej, do wykonania powyższego zadania serwis wykorzystuje ogromne tablice skrótów i odpowiadających im haseł (jest to tzw. tablicowanie – z ang. lookup table) o wielkościach liczonych w setkach gigabajtów. Odpowiednie tablicowanie wpływa na szybkość całego procesu, zaś o skuteczności decyduje jakość oraz rozmiar bazowego słownika, ale o tym za chwilę.

Dict vs Brute

Atak słownikowy kontra próba siłowa. Źródło: http://crackstation.net

Nie zawsze odzyskiwanie czy też testowanie siły haseł sprowadza się do łamania hashy. Wiele programów lub metod słownikowego odzyskiwania haseł wymaga podania wprost słownika haseł, które chcemy po kolei sprawdzić. Przykładem mogą być tu ataki online, czyli takie, które próbują odzyskać hasło na podstawie przeprowadzania kolejnych prób logowania do docelowego systemu/usługi. Jak już wspomniałem, zdobycie interesujących i bardzo rozbudowanych słowników wcale nie jest proste, jednak z pomocą ponownie przychodzi nam wspomniany już serwis.

Tak się składa, że CrackStation niedawno udostępnił wszystkim zainteresowanym własny słownik bazowy zawierający 1.493.677.782 (niemal 1,5 miliarda) wpisów o rozmiarze ~15 GB. Jak zapewnia sam autor słownika, zawiera on:

  • wszystkie słowa z Wikipedii we wszystkich językach,
  • wszystkie słowa z wielu książek dostępnych w ramach Projektu Gutenberg,
  • ogromną liczbę haseł zebranych z wielu upublicznionych do tej pory wycieków baz haseł.

Skompresowany słownik waży „zaledwie” 4.2 GB i jest dostępny m.in. za pośrednictwem sieci Torrent.

Z pewnością wielu czytelników już w tej chwili widzi wiele bardzo interesujących zastosowań dla tego imponującego pliku, jednak gwoli ścisłości wspomnę o najbardziej oczywistych. Oczywiście przede wszystkim można podjąć próbę zweryfikowania odporności wszystkich własnych haseł na atak z wykorzystaniem tak rozbudowanego słownika. Z pewnością taka baza haseł może się również przydać w trakcie rozmaitych testów penetracyjnych.

Kończąc, zachęcam wszystkich do sprawdzenia, czy ten ogromny słownik nie zawiera przypadkiem również… waszego ulubionego hasła!

Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ekstra wiadomość. Wpis na miarę złota :)

    Odpowiedz
  2. bl4de

    Dodane do „ulubionych” :D

    Odpowiedz
  3. Daniel Kukuła
    Odpowiedz
  4. gdzie to pobrać

    Odpowiedz

Odpowiedz