BlogBang

John The Ripper rapide comme l’éclair grâce au multi core

Par Korben | Nb visites : 736

gpu John The Ripper rapide comme léclair grâce au multi core

Depuis quelques années, le cracking de mots de passe hashé a bien progressé… Les bruteforces de hash prennent de moins en moins de temps, notamment grâce au déport des calculs du CPU vers les GPU de la carte graphique…

Des softs comme BarWF permettent donc de cracker en quelques minutes un simple mot de passe hashé comme celui qu’on trouve dans les bases de données Mysql ou dans les passwd / shadow des serveurs web. Avec une bonne carte graphique type ATI Radeon HD 4870 tournant sur une machine double core, BarWF peut atteindre des bruteforces allant à une vitesse de plus de 1 000 millions de hash à la seconde… Dingue !

BarWF c’est sympa mais limité uniquement aux MD5 et ce genre de logiciels exploitant les GPU de cartes graphiques sont rares. C’est pourquoi, John Jean, expert en sécurité après avoir publié un comparatif de ce genre de ce soft, vient de mettre en ligne une version tunée du célèbre cracker de mots de passe John The Ripper, afin de le faire tourner sur des processeurs Multi-Core. Du coup, il devient possible de cracker du MD5 natif, Mysql, Apache et IPB2, DES, BSDI DES, FreeBSD MD5, OpenBSD Blowfish, Kerberos AFS DES, LM DES, Netscape LDAP, NT MD4, Lotus 5, Microsoft Cache Hash, SHA1, MS-SQL, WPA PSK, …etc à la vitesse de l’éclair en lançant une instance de John The Ripper par Core…

John Jean a d’ailleurs publié ses benchmarks sur son blog, c’est très instructif. Il passe donc d’un crack de MD5 d’une durée de 11h sur un CPU classique à une durée de 1h30 pour un mot de passe de 8 lettres sur un multi core… Je vous laisse imaginer le délire !

Bref, il est fini le temps où vous pensiez que les mots de passes hashés en base de vos utilisateurs étaient secure car hashés…

Puis John Jean est sympa, car si vous voulez tester chez vous, il vous explique même comment installer cette version de John The Ripper tunée pour votre machine multicore.

Merci John Jean !

[Photo]

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



24 commentaires

  1. karpath Reply to this comment


    si j’ai bien lu ta source la méthode de john-jean ne s’applique pas du tout au GPU mais aux CPU multicore. Le patch de bindshell permet de faire tourner une instance de JTR par core.

    Posté le 5 octobre 2009 à 09:50:10

  2. Bruhn Reply to this comment


    @karpath: Exact, t’as bien lu les premières lignes du billet de John Jean.

    Posté le 5 octobre 2009 à 09:54:33

  3. Pierre Reply to this comment


    +1
    c’est pour le multi cpu

    Posté le 5 octobre 2009 à 09:58:51

  4. Korben Reply to this comment


    @Bruhn: @karpath: merci pour vos remarques, j’ai lu ses 2 articles et ça c’est un peu mélangé dans ma tête :-) J’ai corrigé

    Posté le 5 octobre 2009 à 09:59:17

  5. Lenezir Reply to this comment


    Qu’est-ce qu’on peut faire pour protéger nos mots de passes maintenant ? :s

    Posté le 5 octobre 2009 à 10:11:39

  6. Amaury Reply to this comment


    Je pourrais m’amuser moi avec mon i7 et mon double 4850 en crossfire xD

    Posté le 5 octobre 2009 à 10:12:47

  7. www.Romain-fr.net Reply to this comment


    @Lenezir: combiner des hash md5() + sha1() ou autre… enfin faire des combinaisons complexe pour ne pas faciliter le décryptage :)

    Posté le 5 octobre 2009 à 10:22:03

  8. Alix Reply to this comment


    J’adore, c’est énorme, well done John Jean.

    Posté le 5 octobre 2009 à 10:34:49

  9. Targhan Reply to this comment


    Il suffit d’ajouter ce qu’on nomme du « Sel » ; c’est à dire une composante fixe qui va perturber le hash. Et là t’es bien malin avec ton mot de passe forcé qui n’a rien à voir avec le bon.

    Posté le 5 octobre 2009 à 10:56:30

  10. PoP Reply to this comment


    MD5 sucks, SHA-1 FTW.

    Posté le 5 octobre 2009 à 11:11:58

  11. John Reply to this comment


    PoP> Y’a des collisions sur SHA-1 pour 2^63 opérations.

    Posté le 5 octobre 2009 à 11:28:22

  12. shnoulle Reply to this comment


    @Targhan: En même temps, tu peut carrément bruteforcer en direct en passant par des proxy anonyme pour éviter le blocage de ton IP.

    Il faut avoir une bonne raison de le faire, c’est tout.

    Posté le 5 octobre 2009 à 11:43:57

  13. sebsauvage Reply to this comment


    « une durée de 1h30 pour un mot de passe de 8 lettres » (pour du MD5).

    D’où l’intérêt pour les programmeurs d’apprendre à bien stocker/vérifier les mots de passe, c’est à dire SURTOUT PAS avec un simple hash (MD5 ou autre).

    Voir http://www.commentcamarche.net/faq/sujet-8821-comment-bien-stocker-et-verifier-un-mot-de-passe

    Je pense que la situation actuelle est assez abomifreuse, surtout en ce qui concerne les applications web.

    Posté le 5 octobre 2009 à 11:45:35

  14. Jacob Reply to this comment


    @Lenezir : Il ne reste plus qu’à complexifier les mots de passe (plus long, plus de caractères variés, ponctuation, majuscules, minuscules etc…).
    Ce genre d’outil est finalement très pédagogique pour faire « ressentir » pour de vrai la différence entre mot de passe bidon et un vrai mot de passe.

    Posté le 5 octobre 2009 à 12:03:06

  15. TrOu Reply to this comment


    Pédagogique peut être mais peut-on qualifier de « pédagogique » le fait de laisser le soft disponible pour le voir utiliser par n’importe quel Kévin ?

    Posté le 5 octobre 2009 à 12:46:52

  16. John Reply to this comment


    Si quelqu’un récupère ton hash, tu as plus à t’inquiéter de comment il l’a récupéré plutôt que du fait que le tools soit à disposition :-)

    Posté le 5 octobre 2009 à 13:48:34

  17. MikeZ Reply to this comment


    De toute façon il faut déja le récupérer ce hash..
    Donc à moins d’une faille PEBCAK ou d’un défaut de sécurité du site web/serveur..

    Un admin consciencieux regarde les logs, et avec des tentatives erronées de login ca saute grave au yeux :)

    Posté le 5 octobre 2009 à 14:22:19

  18. Joji Reply to this comment


    1000 millions, c’est pas 1 millard ?

    Posté le 5 octobre 2009 à 17:36:18

  19. waffle Reply to this comment


    À quand la version réseau et mpi ? =D

    Posté le 5 octobre 2009 à 19:41:09

  20. Kiwi Reply to this comment


    C’est kwa un mot de passe hashé? style 2fd4&d@fd47 ?

    Posté le 5 octobre 2009 à 20:51:47

  21. Noobi One Kenobi Reply to this comment


    Faut peut-être que je la garde en fait ma 4870X2 :D

    Posté le 5 octobre 2009 à 20:55:53

  22. Clem Reply to this comment


    Gavage, merci pour l’info Korben.

    Posté le 5 octobre 2009 à 21:03:15

  23. MikeZ Reply to this comment


    @kiwi
    Le site oueb pour des raisons de sécurité ne stocke pas ton mot de passe mais son HASH… Quand tu te connecte, il hash le mot de passe que tu rentre et le compare au hash stocké sur son serveur..

    un « hash » est un condensé mathématique d’un texte, par exemple. Que tu « hashe » l’intégralité de l’encyclopédie universalis ou ton mot de passe de x caractères le hash aura la même longueur :p. En aucun cas on ne peut retrouver directement le texte hashé à partir du hash…

    Hashage(motdepasse) = HASH..

    Il faut utiliser un logiciel qui teste les combinaisons possibles de caractères jusqu’a en trouver un qui correspond au hash qu’il connait. On pratique du « bruteforcing ».. Ce n’est pas forcément ton mot de passe, mais une expression qui convient tout de même: on parle alors de « collision ».

    Toutefois cela reste très long si le mot de passe est compliqué.. D’où la news . Mais comme je le dit, en bruteforce de serveur c’est infaisable tester autant de mdp à la seconde .. le serveur saute vite… Et si c’est pour des gros serveurs qui « tiennent » ils auront vite fait de piger ce qui arrive..

    Faut déjà un hash avant de « bruteforcer »….

    Posté le 6 octobre 2009 à 13:21:42

  24. mrboo Reply to this comment


    Et que pense John d’un SHA-256(SHA-256(…(SHA-256(mot de passe)))) ?

    Posté le 8 octobre 2009 à 11:12:41