Search

Crunch and CUPP The Password Generation Tools

מהי סיסמה בעצם?

כל אחד מאתנו מכיר את הצורך באימות כאשר אנחנו רוצים להתחבר לשירות כלשהו עם החשבון האישי שלנו, לצורך כך אנו נצרכים להשתמש בשם משתמש וסיסמה. הם נועדו בכדי להגן עלינו ועל המידע שלנו מתוקפים, אך כמה באמת קשה לנחש אותם?

במאמר זה נדון על מספר כלים אשר מאפשרים "לנחש" סיסמאות של משתמשים. יוצר מילוני הסיסמאות Crunch, אשר מובנה בהפצה של Kali Linux ויוצר מילוני סיסמאות תחת השם CUPP.


הכלי Crunch

באמצעות כלי זה נוכל לבנות רשימת סיסמאות מותאמת אישית אשר תקל עלינו בעת ביצוע Brute Force על מטרה מסוימת בכך שהיא תקזז לנו את הזמן לפיצוח הסיסמה, הורדת הזמן תתבצע עקב בניית רשימת סיסמאות שתכלול רק סיסמאות רלוונטיות, הסיסמאות הרלוונטיות הללו יגיעו אלינו בעת ביצוע איסוף מידע מקדים על המטרה שלנו.

מבנה הפקודה:

crunch <min> <max> <characterset> -t <pattern> -o <output filename>

תווית ה-min - כמות התווים המינימלית לסיסמה

תווית ה-max - כמות התווים המקסימלית לסיסמה

תווית ה-characterset - התווים אשר ישמשו ליצירת הסיסמאות

תווית ה-pattern - תבנית ספציפית, כאשר ישנו מידע כלשהו על הסיסמה של המטרה

תווית ה-output - הקובץ סיסמאות החדש שנוצר

דוגמה לסיסמה מספרית בלבד:

יצירת קובץ סיסמאות כאשר נתון לנו שהסיסמה מורכבת רק מ- 6 ספרות אשר בנויות מהמספרים 0-9, ללא תבנית ידועה מראש על המטרה.


כאשר יצרנו את הקובץ סיסמאות הרלוונטי, נגלה שכמות הססמאות הינה 1000000, למרות שזוהי כמות גדולה יחסית של סיסמאות, עדיין ניתן לפצח את הסיסמה של קובץ RAR מוגן בסיסמה תוך זמן סביר של כ-6 דקות (פריצת offline)


ניתן להסיק מכך שכאשר משתמשים בסיסמה בעלת כמות תווים יותר גדולה והתווים שירכיבו את הסיסמה יכילו אותיות קטנות, אותיות גדולות, מספרים ותווים מיוחדים, זמן הפריצה של הסיסמה יגדל משמעותית, זמן זה יכול להתבטא בחודשים ואף שנים כך שזמן הפריצה לסיסמה מסובכת אינו סביר.

בכדי לחסוך משמעותית בזמן זה נצטרך לבצע איסוף מידע על המטרה בכך שנשיג פיסת מידע רלוונטית על הסיסמה של המטרה לדוגמא הרכב הסיסמה. לאחר תהליך זה נוכל ליצור רשימת סיסמאות אשר תכיל את התבנית המיועדת שתגרום לנו להקטנת כמות הסיסמאות לפריצה וכמובן להקטנה של זמן הפריצה למסגרת זמן סבירה.

דוגמה לסיסמה עם תבנית ספציפית:

יצירת קובץ סיסמאות אשר מורכב מ-7 תווים, כאשר המבנה של הסיסמה יראה כך:

תו מסוג '@' - אותיות קטנות

תו מסוג '%' - מספרים

התווים 1, $ , c , Q - תווים שידועים לנו בוודאות וידוע גם מיקומם בהרכב הסיסמה

כאשר ידוע מה סוג התווים אשר מרכיבים את הסיסמה יש את האפשרות להגדיר ל-crunch להשתמש בקובץ שנמצא בנתיב הבא: usr/share/crunch/charset.lst / אשר מכיל את כל התווים לפי קבוצות כך שכל קבוצה מוקצית למשתנה מסוים.

שימוש בקבוצת תווים שכוללת אותיות קטנות אותיות גדולות מספרים ותווים מיוחדים.


כאשר נוצר הקובץ סיסמאות הנ"ל ניתן לראות שכמות הסיסמאות תהייה תלויה בתווים שמיקומם קבוע, סוגי התווים לשימוש וכמות התווים בסיסמה.


ניתן לראות שכאשר יש לנו את התבנית של הסיסמה ניתן להוריד בהתאם את כמות הסיסמאות הנדרשת לפריצת הסיסמה וכמובן את זמן הפריצה בצורה משמעותית.

הכלי CUPP

משתמשים רבים שמים פרטים אישיים בסיסמאות שלהם בכדי להקל היכולת שלהם לזכור את הסיסמאות שלהם.

למקרים כאלה קיים כלי הנקרא CUPP, כלי זה יכול ליצור קובץ סיסמאות לפי פרטים שמוזנים אליו.

ניתן להוריד את הכלי מ-GitHub מהלינק הבא: https://github.com/Mebus/cupp.git

יש להריץ את הקובץ בעזרת פייתון 3 ביחד עם הדגל -i , דגל זה מאפשר שימוש בממשק המשתמש של הכלי, על מנת ליצור תמונת מצב ברורה על המטרה.


ניתן לראות כי במהלך התשאול בממשק נאספים פרטים שונים לגבי המטרה, פרטים אלה משומשים על ידי הכלי בכדי לייצר קובץ סיסמאות אשר מבוסס על הפרטים האישיים שסופקו, שאלות אלו מאפשרות ליצור קובץ מותאם אישית למטרה ופוטנציאלית להקל על פריצת הסיסמה של המשתמש.


לאחר יצירת הקובץ נראה דוגמה לסיסמאות שהכלי בונה. הכלי משתמש באלגוריתם שמבוסס על מבני סיסמאות פופולאריות ביחס לפרטים שנאספו.

הסיסמה שלנו מהווה את המחסום לשימוש בלתי רצוני של החשבון האישי שלנו, בכדי למנוע את השימוש הזה, נצטרך לבנות סיסמה אשר מורכבת מכל תו אפשרי אשר ניתן לשימוש, כמו שראינו לפני כן כאשר נשתמש בסיסמה אשר מורכבת רק ממספרים, נוריד משמעותית את כמות הזמן אשר נותר לנו לפיצוח הסיסמה על ידי כלי Brute Force כלשהו, זמן זה הוא פיתוי לפורצים אשר יכולים לעשות בחשבון האישי שלנו כרצונם. כלומר, כאשר נרצה שהחשבון שלנו יהיה בטוח, נגדיר סיסמה חזקה שתגדיל משמעותית את הגודל של קובץ הסיסמאות אשר מוקצה לפיצוח ובכך הזמן פיצוח יגדל משמעותית מה שיוביל לשיפור ברמת האבטחה.

יבגני אפטר, מפתח וחוקר בחברת ThinkCyber.


0 views

© 2020 by ThinkCyber

THE 2020

CYBERIUM