martes, 18 de enero de 2011

¡A reventar contraseñas!

Dulce Martes de mierda me acompaña, después de un día de trabajo bochornoso como el que hemos tenido todos alguna vez, lo más similar a lo que un Lunes eterno de resaca se puede parecer. Me entraron ganas de reventar, aunque dejando a un lado la famas de mi anterior entrada para no hacer daño físico a nadie, aproveché mi tarjeta gráfica más quemada del vicio que de la pólvora de mis juegos bélicos, para fundirla y secar la pantalla de su continuo refresco intermitente que nos empuja a caer en la ceguera dentro una lucha absurda por conseguir la contraseña que protege un puñetero archivo comprimido en RAR.

Tampoco quiero que empecéis a llorar por el agobio con el que me toca relataros hoy, así que al mal tiempo buena cara, pues os traigo un software que me llamó mucho la atención cuando casi se empezaban a ver por la red los primeros ataques de fuerza bruta utilizando la GPU de las tarjetas gráficas más potentes del mercado. Ivan Golubev es el creador de las aplicaciones que contiene en su web, entre las que destacan un cracker de hashes SHA1/MD5/MD4 y un “recuperador” de contraseñas para archivos comprimidos en RAR.

Podemos encontrar una nueva versión de pago que utiliza el motor de procesamiento CPU y GPU conjuntos, para realizar el ataque de fuerza bruta, a su vez es más manejable con una GUI más intuitiva, aunque era fácil de mejorar ya que la anterior era por consola.

Ya que a nosotros nos gusta complicarnos la vida, vamos a ver la versión en linea de comando, pues viene muy bien detallado el funcionamiento que se consigue con cada uno de sus modificadores.

Las compatibilidades de este software, se ven limitadas por los siguientes modelos ATI RV 670/770/870 y nVidia "CUDA", aunque han sido testeados más y no han dado problemas, pueden comprobar el suyo en el archivo readme de la descarga.

Para las pruebas utilizaré un driver ATI Radeon 5800 series HD que es aceptado sin problemas.




Tenemos todo tipo de configuraciones como aparecen en la imagen anterior, tales como las combinaciones de diferentes tipos de ataques pudiendo ser estos, por diccionario, reglas que dependen de un fichero modificable, dígitos, caracteres especiales, delimitaciones del número mínimo o desde un máximo de caracteres.

Dentro del RAR de la descarga del programa, encontraremos un testrules.cmd, que ejecuta fuerza bruta llamando al archivo de diccionario junto con el de reglas para conseguir sacar la contraseña de un test.rar preparado por el creador, que tendréis en la misma ruta raíz para hacer la prueba de velocidad.




135.txt muestra las reglas, pasando una variable que es la palabra para intentar las combinaciones más usuales en la protección de estos ficheros, como son los nombres de dominios.




El diccionario de ejemplo, es similar al visto en otras aplicaciones de fuerza bruta más antiguos.




Al ejecutar el archivo example.cmd, hace una llamada con un pause para hacerlo visible en consola sin que se cierre nuestra prueba. Se muestra la velocidad de reloj de la GPU de mi tarjeta a 850.000 Mhz y los 34 segundos que ha tardado en comprobar todas las palabras del diccionario junto con las reglas, para conseguir el password “test” del diccionario más una “t” dada el fichero de reglas.




Según la opinión de AMD, afirmaron lo siguiente:

“nuestra compañía contempla la combinación CPU-GPU como una nueva categoría de microprocesadores, que hemos bautizado como APU (unidad de procesamiento acelerada). Una de nuestras prioridades a corto plazo es la susodicha integración de GPUs, sin embargo, un APU representa mucho más que simplemente una CPU y una GPU unidas.
En el futuro, AMD divisa APUs que incluirán una mezcla variada de CPU cores (escalares) y GPU cores (paralelizados) y cores dedicados a aceleraciones específicas [me suena al Cell].”

Da miedo pensar las velocidades de vértigo que alcanzarán de aquí a un par de años, así apuesto que en breve se irá cambiando el estándar pensado de contraseña segura, mientras tanto pueden echarle imaginación y pasarse por aquí para ver cuanto de seguras son las suyas.

Saludos 4n4les!

4 comentarios:

  1. jajajaja andará por aquí....


    http://howsecureismypassword.net/passwordstrength.js


    ?¿?¿???????¿?

    ResponderEliminar
  2. no me funciona, capaz q no sea compatible??

    ResponderEliminar
  3. Revisa los modelos que aparecen en la web del autor.

    Saludos!

    ResponderEliminar