Autor
ÍÍ͹ Analisis del John The Ripper 1.6 ÌÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ͹DarKdEaTHÌÍÍÍÍ
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
Los passwords en un sistema UNIX generalmente se encuentran en el archivo
/etc/passwd, estos est n muy bien cifrados, hasta no hace mucho a los
administradores no les importaba que ese archivo sea leido por personas
ajenas al sistema ya que crackearlos era algo casi imposible, hasta ahora
la unica manera de crackear estos passwords es cifrando palabras de
igual forma como lo hace el sistema e ir compar ndolas hasta dar con la
palabra buscada, como soluci¢n a esto en algunos sistemas ocultan los
passwords en el archivo /etc/shadow generalmente, este archivo no tiene
permiso de lectura para todo mundo como el /etc/passwd y por eso mismo es
mas dificil conseguirlo, ojo, dificil pero no imposible, han surgido varios
programas para crackear estos passwords, pero sin duda el mas eficiente es
el John The Ripper, ya que es el mas r pido hasta ahora, muchos
administradores desconocen las existencia de este tipo de programas, lo que
es un grav¡simo error ya que al ignorar que puede hacer este programa son
un blanco facil para un ataque del mismo, ya que hay bastante gente que
pregunta sobre el uso del john the ripper aqui analizaremos un poco algunas
de las posibilidades que este nos brinda.
Passwd
ÍÍÍÍÍÍ
Ok, ya tenemos el /etc/passwd, ¨como? bueno ese es otro tema X-D
Que es lo primero que hacemos, pues primero vemos que sea as¡
root:XpAxNqj.2Wh6.:0:0:root:/root:/bin/bash
si en el lugar donde esta "XpAxNqj.2Wh6." vemos "x" o "*" entonces los
passwords estan ocultos, eso lo veremos luego pero por ahora sigamos.
Al ver que si est n los passwords yo recomiendo usar primero la opci¢n
single asi
john -single passwd
donde passwd es el archivo donde se encuentran los passwords pero puede ser
cualquier otro nombre, asi que cuando veas passwd me estoy refiriendo al
archivo donde se encuentran estos passwords y shadow donde estan los passes
en caso de que esten ocultos.
La opci¢n single personalmente es la opci¢n que saca mas passwords, ya que
esta usa la informaci¢n que sale en el passwd sobre ese login, muchas veces,
bueno, much¡simas veces ponen de passwords (hey anota el dato XD) el mismo
login, o el nombre, o el apellido, etc, por ejemplo:
rhantos:RKxhLEYIi7b9o:150:2000:Roberto Hantos:/home/rhantos:/bin/csh
donde el password cifrado es roberto, en modo single este password sale
en mucho menos de un segundo, mas adelante le mostrare algunas cosas sobre
esto.
Listas de Palabras
ÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ
Esto es muy importante si quieres crackear bastantes passwords, aunque de
seguro no sacaras tantos passwords como en modo single, pero si es una muy
buena opci¢n, se usa asi:
john -w:passwords.lst passwd
aqui estoy usando la lista de palabras que trae el john, aqui
podemos usar una opci¢n llamada rules, la cual a cada palabra le pone
variaciones, como sufijos y prefijos, esta opci¢n hace que el tiempo en
terminar sea mucho mayor que sin rules, y personalmente he sacado pocos
passwords con esta opci¢n pero si salen
john -w:passwords.lst passwd -rules
Incremental
ÍÍÍÍÍÍÍÍÍÍÍ
Sin duda, el modo incremental es una muy buena opci¢n, ya que si no
existiera esta opcion tuvieramos que crear listas de palabras del tipo
aaaaaaa hasta zzzzzzz, lo que ocupa mucha memoria en el DD, ademas de
que si vamos a incluir may£sculas y min£sculas seria peor, las opciones
en modo incremental son las siguientes:
alpha: Genera plabras con letras solamente, osea 26 letras
digits: Genera plabras con numeros solamente, desde el 0 hasta el 9
all: Genera plabras con letras, numeros y caracteres especiales, en total
son 90 caracteres, osea se pueden imaginar lo que tardar¡a en terminar
lanman: Es como el del l0phtcrack, nunca lo he usado.
las opciones son...
john -i:alpha passwd
No la he visto terminar, en alpha va probando todas las palabras que se
puedan crear hasta 8 caracteres
john -i:digits passwd
Esta si, con un promedio de 24500 c/s mi pc claro, un pentium 233 MHz MMX
con 32 MB de RAM un password termina en 2 horas y pico, no recuerdo bien,
pero se descubren bastantes, mucha gente pone su numero de c‚dula de
password que aqui en Venezuela es exactamente 8 n£meros, a menos que sea
c‚dula de viejo que son 7.
john -i:all passwd
Hay mucha gente que se obcesiona con un password de algun root y creen que
ajuro lo tiene que conseguir, a ellos les digo que no se obsecionen pero
si funciona, eso tambien depende del tipo de password y de la paciencia que
tengas, por ejemplo una vez puse a crackear un password de root, y a los
9 dias y 3 horas el password habia sido crackeado, restale importancia, y
solo lo pones a trabajar cuando no estes usando el computador, a menos que
tengas linux ya que no hay problema, esto lo digo pq si usas windows y
estas haciendo otras tareas con el y ademas crackeando el pass te va a
ir muy lento, el password que descubr¡ era de este estilo "1446igua"
(sin comillas claro
claro que si el password hubiera sido algocomo ",4*V4x5B" seria casi imposible crackear, quiz s el "casi" este
de mas
Shadow
ÍÍÍÍÍÍ
Si el passwd esta shadow entonces tenemos que conseguir el /etc/shadow
pues al tenerlo tenemos que unir el shadow y el passwd para asi poder
trabajar con el john, para eso esta el unshadow, se usa asi:
unshadow PASSWORD-FILE SHADOW-FILE
y te mostrar en pantalla el archivo unido, pero eso no nos sirve,
tenemos que unirlo, entonces lo redireccionamos a otro archivo asi
unshadow PASSWORD-FILE SHADOW-FILE > nuevo-passwd
y luego podemos usar el archivo nuevo-passwd normalmente, como hemos
visto anteriormente.
Al conseguir un password este es enviado a un archivo llamado john.pot
y si hemos conseguido 2 passwords, no hay problema para saber cual es cual
pero si tenemos mas de 1000 passwords la cosa se nos complica, para eso
esta la opcion show, esta muestra los passwords crackeados, despues de
haber crackeado algunos passwords ponemos esto.
john -show nuevo-passwd
y pasa igual que con el shadow asi que lo hacemos asi
john -show nuevo-passwd > logins-passes
y donde va el password cifrado, pondra el password ya crackeado
Restore
ÍÍÍÍÍÍÍ
El restore es de mucha utilidad, sobre todo si estas crackeando passwords
muy dif¡ciles de crackear que llevan dias, meses, a¤os, siglos (bueno aqui
como que exagero un poco jeje) en crackear, ya que podemos parar cuando
lo deseamos y continuar cuando queramos desde el mismo lugar donde paramos,
¨arrecho no?
Para usar el restore hacemos lo siguiente
queremos crackear el password del root de la NASA
john -i passwd-root
paramos la ejecucion con CRTL C, y la resturamos asi
john -re
-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-
Nota: El john the ripper es muy flexible en cuanto a abreviaciones, como
por ejemplo el caso anterior, coloque, john -re que es igual a john -restore
tambien en el caso john -i passwd es igual a john -incremental:all passwd
john -wordfile:password.lst passwd es igual a john -w:passwd.lst passwd
john -i passwd -session:restore2 es igual a john -i passwd -se:restore2
john -single passwd es igual a john -si passwd etc, deben haber muchas
mas que no he colocado aqui, b£scalas y me avisas
-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-
Pero al parar una ejecuci¢n con CRTL C, el crea un archivo llamado restore
en el cual estan los datos de como iba el crackeo al momento de ser
interrumpido, y si por un descuido no hemos terminado de crackear ese
password y ponemos al john the ripper a crackear otro pass, el borra ese
restore y crea otro con la informacion del password que se esta crackeando,
para evitar esto hacemos esto
john -i passwd-root -se:restore-root
y para restaurarlos solo pones
john -re:restore-root
y listo, problema solucionado
Tambien podemos buscar passwords especificos, como por ejemplo alg£n tipo
de shell, los que tengan privilegios 0:0 (root), etc,
john -w:password.lst -rules -users:0 passwd
john -w:password.lst -rules -group:0 passwd
john -w:password.lst -rules -shells:sh,csh,tcsh,bash passwd
puede haber muchas variaciones, lo podemos poner en modo incremental en
vez de poner con listas de palabras
john -i -users:0 passwd
en fin, hay mucha posiblidades
Estad¡sticas
ÍÍÍÍÍÍÍÍÍÍÍÍ
Este texto no fue solamente escrito para quienes quieren violar la
seguridad de un sistema, sino tambien para los administradores que
quieran mantener su sistema fuera del alcance de un intruso, mis
recomendaciones personales son que deberian pasarle de vez en cuando
el john the ripper a su sistema para asi saber quienes tienen passwords
facilmente crackeables y obligarlos a cambiar estos passwords ya que
por su inconciencia ponen en juego la seguridad del sistema, segun
resultados REALES podemos ver lo siguiente:
Host N§ 1
En un servidor con 3916 cuentas fueron crackeados 1703 lo cual es un
43.5%, de esos 1703 passwords en modo single fueron crackeados 970 lo
que equivale a un 24.77% del total de passwords y un 57% del total de
passwords crackeados, los otros 733 passwords fueron crackeados con
listas de palabras, no fue usado el modo -rules ya que tardaria
demasiado en terminar, debido a la gran cantidad de passwords, pero
de seguro saldr¡an muchos mas, de estos passwords solo salieron 4 en
modo incremtal:digits, claro, no lo deje terminar, por la misma raz¢n,
pero revisando los passwords crackeados 51 (1.3%) passwords son el mismo
login, ejemplo, login: pepe password: pepe lo que es un gran peligro
para el sistema, algunos son ciudades o paises, caracas (11 veces),
barinas, maturin, y otras palabras como cocacola, cracker, y nombres
(de mujeres y de hombres) entre otros, ¨que haria una buena pol¡tica
con respecto a los passwords? veamos el proximo ejemplo...
Host N§ 2
En un host con una pol¡tica en la escojencia de los passwords muy buena,
seg£n dicen por ahi, hay una carta que te leen al momento de darte una
cuenta en el servidor en la cual comentan la importancia de tener un
password seguro, no solo para tu seguridad, sino la seguridad del
sistema, ha dado resultados pero siempre hay gente que no le para,
aqui hay 1359 cuentas y se nota que si funciono un poco la politica
de esta empresa, en modo single crackea solo 17 passwords, lo cual
viene siendo el 1.25%, comparado con el 24.77% del ejemplo anterior
se nota bastante la diferencia, y con listas de palabras fueron
crackeados hasta 40 passwords, lo que seria un 3%, que no se acerca
ni remotamente al 43.5% anteriormente visto, de estos 17 solo en 3
casos el login y el password era el mismo, lo que seria un 0.22%
tambien aqui gana este servidor, en contra del 1.3% del servidor
anterior, concluyendo, es muy importante una buena pol¡tica para la
escojencia de passwords pero no es 100% segura, a ver... creo que tengo
otros passwd por aca, veamos...
Host N§ 3
Aja, aqui est , analicemos esta situaci n, bueno este host me cay¢ bien,
sin duda el administrador esta aprendiendo unix por correspondencia,
parece que ya sabe usar el finger, jeje, si, la verdad, se ve bastante
de esto si buscas bien, administradores que cobran sin trabajar, bueno,
sigamos aqui hay 401 cuentas, de las cuales en modo single fueron
crackeados 143 passwords 35.66%, no parece alarmante en comparaci¢n
con el primer host evaluado pero si analizamos un poco... veamos, de
los 143 passwords crackeados 71 son el mismo login, ¨increible no? un
17.7% wow, que newbies no? seguimos comparando?? pues en el primer host
esta misma cifra era un 1.3%, en el segundo un 0.22% y aqui un GRAN
17.7%, osea se podr n imaginar que puede pasar en este caso }:->
Algo que casi se me olvidaba es que siempre salen bastantes passwords
de este estilo, por ejemplo, login cuaima y password cuaima98 o
cuaima97 o 99 esto es muy importante a la hora de hacer un ataque de
fuerza bruta, en este host hubo 31 passwords de este tipo.
Recomendaciones Finales
ÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ
Tengo otros /etc/passwd por ahi pero no quiero inundar esto de n£meros
aunque me parece muy importante ver cuales son las debilidades en cuanto
a los passwords usados por los usuarios comunes, mi recomendaci¢n para los
administradores es ademas de la pol¡tica de passwords como en el ejemplo
numero 2, seria como dije arriba, pasarle a su sistema el john the ripper
por lo menos una vez por semana y avisarle a los usuarios sobre sus
passwords y que deben cambiarlos ya que ponen en peligro el sistema, y
si ellos no lo hacen lo hace el mismo administrador y le envias el
password antes de cambiarlo porsupuesto, pero esto se debe hacer
inmediatamente, ya que si alguien ya entro a el sistema que manejamos
quizas ya tenga el /etc/passwd y cambiar todos los passwords en un
sistema de 3000 usuarios es mas dificil ¨no? un saludo, nos vemos por ahi.
hVen ezine...
En línea
