Il tool John the Ripper installato su Ubuntu

martedì, 13 novembre 2007 di David Terni
commenti stampa

A dispetto di quanto si può pensare mi piacere essere ripreso dai lettori che mi stimolano ha trovare nuovi spunti e a dimostrare sempre di più. Tempo fa scrivevo dei modi per craccare la password dei sistemi operativi. Fu lasciato un commento che mi esortava a non considerare JohnTherRipper un semplice tool.

Oggi vedremo come installarlo su Ubuntu e provare questo programma per capire se esso è realmente un semplice tool o ha qualcosa di diverso. Ritengo, per basare il mio test, di affidarmi al tempo col quale esso riesca a scovare le password più o meno complesse.
Da schell scriviamo:
sudo apt-get update && sudo apt-get install john
A questo punto, creiamo un file contenente la lista delle password del sistema preso dall’output ottenuto dalla visualizzazione di due file principali, scriviamo:
sudo unshadow /etc/passwd /etc/shadow > listadellepassword
Prima di avviare la fase di scansione controlliamo che John sia installato correttamente:
john -test
Adesso avviamo JohnTheRipper e aspettiamo. Il tempo varia dalla complessità della password. Nel mio caso per trovare la password “x” ci ha messo 2 minuti – No comment. Per trovare la password “molesto” dell’utente test ci ha impiegato 30minuti. Una delle password che uso generalmente, ha una lunghezza totale di 13 caratteri ed è composta da lettere alfanumerici mischiate ad una serie di numeri. JohnTheRipper, dopo 52 ore è ancora lì che macina senza darmi un responso positivo. Direi no-good! Voi che risultato ha dato? In quanto tempo vi ha trovato la password?

John the ripper

Faccio notare che il tempo per scovare la password varia dalla potenza di calcolo del vostro computer, dall’uso di un dizionario e dalla complessità della password da scovare. Tutti questi fattori tuttavia non modificano di molto la velocità di risoluzione di una stringa ragionevolmente complessa portano di fatto all’esecuzione di un processo che potrebbe terminare con molta probabilità quando avremo dei nipoti che stanno andando in pensione.

Ophcrack, al contrario, mi ha scovato la password lunga 13 caratteri in poco meno di 20 minuti dimostrando che a volte un algoritmo semplice non sia necessariamente il migliore e ribadendo come JohnTheRipper sia qualcosa di molto semplice da implementare. Basta conoscere un qualsiasi linguaggio di programmazione e far generare tutte le possibili combinazioni di stringhe. Anche con l’ausilio di un dizionario, non ritengo che John si possa comparare minimamente a programmi che sfruttano qualche reversing, collisione nell’algoritmo di hash o vulnerabilità di vario genere.

Ribadisco la mia definizione iniziale affermando che John The Ripper è un banale tool. Voi cosa ne pensate?

ATTENZIONE! L'articolo che hai letto e' stato scritto piu' di quattro mesi fa. Le informazioni presenti potrebbero dunque non essere aggiornate o non piu' valide!

Tags: , , , , ,
martedì, novembre 13 2007 di David Terni
commenti stampa share
Termini & Copyright
Questo articolo é rilasciato sotto Licenza Creative Commons Licence

Vuoi ricevere gratuitamente i nuovi articoli sull'informatica di David Terni nella tua casella E-mail o tramite Rss?

E-mail Rss

Altri Articoli Che Ti Potrebbero Interessare:

Rai

«Parla con Wasabi»

Apro questo spazio dedicato a voi, miei lettori che ogni giorno mi tempestate di domande.

Da oggi smetterò di rispondere in maniera privata. Considerato che molto spesso ricevo i medesimi quesiti esisterá questo nuovo spazio dove risponderó pubblicamente.

Le domande più interessanti e d'interesse pubblico verranno pubblicate su Sismi.info
Puoi contattarmi in vari modi, ecco come...

Ci sono 5 Commenti per questo articolo.

  1. Ciao, non ho capito a cosa serve sudo apt-get update se non abbiamo aggiunto nessun nuovo repository?

    P.S. Complimenti per la grafica, è ancora più bella di prima. ;-)

    utente Marco Calatozzo

    14 novembre, 2007 16:45

  2. Il comando apt-get update serve per tener traccia della lista dei pacchetti nei reposity. Ma non sono eterni, come le dipendenze e la lista contenuta nei reposity cambiano di tanto in tanto, sopratutto se si è su una destribuzione testing. In questo specifico caso magari non era necessario visto che installa solo John e non sono state rilasciate versioni da molto tempo ma come regola generale, prima di installare qualunque cosa è sempre meglio aggiornare la lista dei pacchetti.

    utente David Terni

    14 novembre, 2007 17:12

  3. Ciao :)
    Si hai ragione a dire che è lento così com’è,ma il fatto che possa esser personalizzato con dei filtri nostri secondo me lo rende diverso da altri software che devi prendere “così com’è”.
    Poi io che non sia in grado di scrivere una funzione che migliori le prestazioni non condanna in toto JTR.
    Ad ogni modo non è mio interesse difendere il softwarillo,anche perchè l’ho sempre usato anch’io a livello scolastico,solo che la sua estendibilità mi aveva sempre incuriosito. ciao ciao :)

    utente Chris

    14 novembre, 2007 18:50

  4. Ciao.
    Io stò facendo proprio una tesi su John the Ripper e quello che penso è che l’applicativo in questione sia un tool molto efficace per i sistemisti di rete affinchè controllino che alcun utente appartenente alla rete stessa abbia inserito una banale password…

    utente Pk

    20 novembre, 2007 11:25

  5. Non sapendo il tuo campo, immagino matematico per lo studio di password Strong, ti suggerisco anche di visionarti lo scipt usato nelle distribuzioni Linux per la modifica della password.
    Linux, ha già un suo controllo sulla “debolezza della password”.
    In Debian il sistema non ti farà mai impostare una password con valore “x”, o troppo corta o troppo semplice a suo dire. Per poterlo abbligare devi essere loggato come Root.

    utente David Terni

    20 novembre, 2007 12:02

Scrivi un commento

I commenti sono senza moderazione, tuttavia...
  • I messaggi contenenti frasi offensive, fuori tema, di propaganda, futili o link di spam saranno modificati o non pubblicati.
  • Accetto le critiche, ma quelle personali mandatele via email

Puoi usare i seguenti tag HTML:
  • <a href="" title=""></a>
  • <blockquote></blockquote>
  • <code></code>
  • <em></em>
  • <strong></strong>

N.B. I campi in rosso sono obbligatori