Il tool John the Ripper installato su Ubuntu
A dispetto di quanto si può pensare mi piacere essere ripreso dai lettori che mi stimolano ha trovare nuovi spunti e a dimostrare sempre di più. Tempo fa scrivevo dei modi per craccare la password dei sistemi operativi. Fu lasciato un commento che mi esortava a non considerare JohnTherRipper un semplice tool.
Oggi vedremo come installarlo su Ubuntu e provare questo programma per capire se esso è realmente un semplice tool o ha qualcosa di diverso. Ritengo, per basare il mio test, di affidarmi al tempo col quale esso riesca a scovare le password più o meno complesse.
Da schell scriviamo:
sudo apt-get update && sudo apt-get install john
A questo punto, creiamo un file contenente la lista delle password del sistema preso dall’output ottenuto dalla visualizzazione di due file principali, scriviamo:
sudo unshadow /etc/passwd /etc/shadow > listadellepassword
Prima di avviare la fase di scansione controlliamo che John sia installato correttamente:
john -test
Adesso avviamo JohnTheRipper e aspettiamo. Il tempo varia dalla complessità della password. Nel mio caso per trovare la password “x” ci ha messo 2 minuti – No comment. Per trovare la password “molesto” dell’utente test ci ha impiegato 30minuti. Una delle password che uso generalmente, ha una lunghezza totale di 13 caratteri ed è composta da lettere alfanumerici mischiate ad una serie di numeri. JohnTheRipper, dopo 52 ore è ancora lì che macina senza darmi un responso positivo. Direi no-good! Voi che risultato ha dato? In quanto tempo vi ha trovato la password?
Faccio notare che il tempo per scovare la password varia dalla potenza di calcolo del vostro computer, dall’uso di un dizionario e dalla complessità della password da scovare. Tutti questi fattori tutta via non modificano di molto la velocità di risoluzione di una stringa ragionevolmente complessa portano di fatto all’esecuzione di un processo che potrebbe terminare con molta probabilità quando avremo dei nipoti che stanno andando in pensione.
Ophcrack, al contrario, mi ha scovato la password lunga 13 caratteri in poco meno di 20 minuti dimostrando che a volte un algoritmo semplice non sia necessariamente il migliore e ribadendo come JohnTheRipper sia qualcosa di molto semplice da implementare. Basta conoscere un qualsiasi linguaggio di programmazione e far generare tutte le possibili combinazioni di stringhe. Anche con l’ausilio di un dizionario, non ritengo che John si possa comparare minimamente a programmi che sfruttano qualche reversing, collisione nell’algoritmo di hash o vulnerabilità di vario genere.
Ribadisco la mia definizione iniziale affermando che John The Ripper è un banale tool. Voi cosa ne pensate?
Tags:find, John, password, ripper, tool, ubuntu
Altri Articoli Che Ti Potrebbero Interessare:
Ci sono 5 Commenti per questo articolo.
Scrivi un commento
- Non fornisco assistenza per domande inerenti la configurazione di un particolare programma.
- I messaggi contenenti frasi offensive, fuori tema, di propaganda o futili saranno modificati o non pubblicati.
- Non riportare lo stesso commento in piú Articoli.
- Accetto le critiche, ma quelle personali mandatele via email
- E' stato implementato un sistema di filtraggio automatico, per cui verranno cancellati in maniera automatizzata e senza recupero tutti quei commenti che conterranno:
- Anche una sola PAROLA tutta maiuscola o EdItAtA in modo strano
- Parole abbreviate come: cmq, nn, qlc
- Parole volgari, compresi alcuni intercalari.
- Evidenti link di Spam
- Email fasulle o temporanee
Ciao, non ho capito a cosa serve sudo apt-get update se non abbiamo aggiunto nessun nuovo repository?
P.S. Complimenti per la grafica, è ancora più bella di prima.
14 Novembre, 2007 16:45
Il comando apt-get update serve per tener traccia della lista dei pacchetti nei reposity. Ma non sono eterni, come le dipendenze e la lista contenuta nei reposity cambiano di tanto in tanto, sopratutto se si è su una destribuzione testing. In questo specifico caso magari non era necessario visto che installa solo John e non sono state rilasciate versioni da molto tempo ma come regola generale, prima di installare qualunque cosa è sempre meglio aggiornare la lista dei pacchetti.
14 Novembre, 2007 17:12
Ciao
Si hai ragione a dire che è lento così com’è,ma il fatto che possa esser personalizzato con dei filtri nostri secondo me lo rende diverso da altri software che devi prendere “così com’è”.
Poi io che non sia in grado di scrivere una funzione che migliori le prestazioni non condanna in toto JTR.
Ad ogni modo non è mio interesse difendere il softwarillo,anche perchè l’ho sempre usato anch’io a livello scolastico,solo che la sua estendibilità mi aveva sempre incuriosito. ciao ciao
14 Novembre, 2007 18:50
Ciao.
Io stò facendo proprio una tesi su John the Ripper e quello che penso è che l’applicativo in questione sia un tool molto efficace per i sistemisti di rete affinchè controllino che alcun utente appartenente alla rete stessa abbia inserito una banale password…
20 Novembre, 2007 11:25
Non sapendo il tuo campo, immagino matematico per lo studio di password Strong, ti suggerisco anche di visionarti lo scipt usato nelle distribuzioni Linux per la modifica della password.
Linux, ha già un suo controllo sulla “debolezza della password”.
In Debian il sistema non ti farà mai impostare una password con valore “x”, o troppo corta o troppo semplice a suo dire. Per poterlo abbligare devi essere loggato come Root.
20 Novembre, 2007 12:02