Crack (software de contraseñas)

Programa para descifrar contraseñas de Unix

Crack es un programa de descifrado de contraseñas de Unix diseñado para permitir a los administradores de sistemas localizar a los usuarios que puedan tener contraseñas débiles vulnerables a un ataque de diccionario . Crack fue el primer descifrador de contraseñas independiente para sistemas Unix ^{[1] [2] [3] [4]} y también el primero en introducir la generación de diccionarios programables.

Crack comenzó en 1990 cuando Alec Muffett , un administrador de sistemas Unix de la Universidad de Gales Aberystwyth , intentaba mejorar el cracker pwc de Dan Farmer en COPS . Muffett descubrió que al rediseñar la gestión de memoria, obtenía un notable aumento del rendimiento. Esto condujo a una reescritura total ^[5] que se convirtió en Crack v2.0 y un mayor desarrollo para mejorar la usabilidad.

Comunicados públicos

El primer lanzamiento público de Crack fue la versión 2.7a, que se publicó en los grupos de noticias de Usenet alt.sources y alt.security el 15 de julio de 1991. Crack v3.2a+fcrypt, publicado en comp.sources.misc el 23 de agosto de 1991, introdujo una versión optimizada de la función crypt() de Unix , pero en realidad era solo una versión más rápida de lo que ya estaba disponible en otros paquetes.

Sin embargo, el lanzamiento de Crack v4.0a el 3 de noviembre de 1991 introdujo varias características nuevas que lo convirtieron en una herramienta formidable en el arsenal del administrador del sistema .

• Generador de diccionarios programable
• Descifrado de contraseñas distribuido en red

Crack v5.0a ^[6] lanzado en 2000 no introdujo ninguna característica nueva, sino que se concentró en mejorar el código e introducir más flexibilidad, como la capacidad de integrar otras variantes de crypt() como las necesarias para atacar los hashes de contraseña MD5 utilizados en sistemas Unix , Linux y Windows NT más modernos ^[7] . También incluía Crack v6 - un descifrador de contraseñas minimalista y Crack v7 - un descifrador de contraseñas por fuerza bruta .

Problemas legales derivados del uso de Crack

Randal L. Schwartz , un destacado experto en programación Perl , fue procesado en 1995 por utilizar Crack ^{[8] [9]} en el archivo de contraseñas de un sistema de Intel , un caso cuyo veredicto fue finalmente anulado . ^[10]

Kevin Mitnick también utilizó crack cuando hackeó Sun Microsystems en 1993. ^[11]

Generador de diccionarios programable

Mientras que las herramientas tradicionales para descifrar contraseñas simplemente alimentaban un diccionario de palabras preexistente a través de la función crypt(), Crack v4.0a introdujo la capacidad de aplicar reglas a esta lista de palabras para generar versiones modificadas de estas listas de palabras.

Estos pueden variar desde los más simples (no cambiar) hasta los extremadamente complejos: la documentación ofrece esto como ejemplo:

X<8l/i/olsi1so0$=

Rechace la palabra a menos que tenga menos de 8 caracteres, escriba la palabra en minúsculas, rechácela si no contiene tanto la letra "i" como la letra "o", sustituya todas las i por 1, sustituya todas las o por 0 y añada un signo =.

Estas reglas también podrían procesar el campo GECOS en el archivo de contraseñas, lo que permitiría al programa utilizar los nombres almacenados de los usuarios además de las listas de palabras existentes. La sintaxis de la regla de generación de diccionarios de Crack fue posteriormente tomada prestada ^[12] y ampliada ^[13] por Solar Designer para John the Ripper .

El software de generación de diccionarios para Crack fue posteriormente reutilizado por Muffett ^[14] para crear CrackLib, una biblioteca de verificación de contraseñas proactiva que se incluye con las distribuciones de Linux derivadas de Debian ^[15] y Red Hat Enterprise Linux ^[16] .

Descifrado de contraseñas distribuido en red

Como el descifrado de contraseñas es inherentemente vergonzosamente paralelo, Crack v4.0a introdujo la capacidad de usar una red de estaciones de trabajo heterogéneas conectadas por un sistema de archivos compartido como parte de un esfuerzo distribuido de descifrado de contraseñas .

Todo lo que se requirió para esto fue proporcionar a Crack un archivo de configuración que contenía los nombres de las máquinas, las tasas de potencia de procesamiento y los indicadores necesarios para compilar Crack en esas máquinas y llamarlo con la opción -network .

Véase también

• Seguridad informática
• Descifrado de contraseñas
• Aircrack-ng
• Caín y Abel
• Dave Grohl
• Gato hash
• Juan el Destripador
• L0phtCrack
• grieta óptica
• Grieta del arco iris

Referencias

1. David R. Mirza Ahmad; Ryan Russell (25 de abril de 2002). Cómo proteger su red de ataques informáticos. Syngress. pp. 181–. ISBN 978-1-928994-70-1. Recuperado el 17 de febrero de 2012 .
2. William R. Cheswick ; Steven M. Bellovin ; Aviel D. Rubin (2003). Cortafuegos y seguridad en Internet: cómo repeler al astuto hacker. Addison-Wesley Professional. pp. 129–. ISBN 978-0-201-63466-2. Recuperado el 17 de febrero de 2012 .
3. Venema, Wietse (1 de julio de 1996). "La ley de Murphy y la seguridad informática". Actas del Sexto Simposio de Seguridad UNIX de USENIX . Consultado el 17 de febrero de 2012 .
4. Anónimo (2003). Máxima seguridad. Sams Publishing. pp. 269–. ISBN 978-0-672-32459-8. Recuperado el 17 de febrero de 2012 .
5. Muffett, Alec (15 de julio de 2004). "Crypticide I: Trece años de crack". Entrada de blog . Consultado el 17 de febrero de 2012 .
6. Muffett, Alec. "Crack v5.0" . Consultado el 17 de febrero de 2012 .
7. Sverre H. Huseby (15 de marzo de 2004). Código inocente: una llamada de atención sobre seguridad para programadores web. John Wiley & Sons. pp. 148–. ISBN 978-0-470-85744-1. Recuperado el 17 de febrero de 2012 .
8. Simson Garfinkel; Gene Spafford; Alan Schwartz (17 de mayo de 2011). Seguridad práctica en UNIX e Internet. O'Reilly Media, Inc., págs. 608–. ISBN 978-1-4493-1012-7. Recuperado el 17 de febrero de 2012 .
9. Hakim, Anthony (10 de octubre de 2004), "Documento de certificación de seguridad de la información global Documento de certificación de seguridad de la información global", Intel v. Randal L. Schwartz (PDF), SANS Institute, pág. 5 , consultado el 17 de febrero de 2012
10. "Se eliminan los cargos de Randal Schwartz - Slashdot". Marzo de 2007. Consultado el 17 de febrero de 2012 .
11. Mitnick, Kevin (2011). "Aquí viene el sol". Fantasma en los cables . Little, Brown. ISBN 978-0-316-03770-9.
12. Diseñador, Solar. "John el Destripador - créditos". Diseñador Solar . Consultado el 17 de febrero de 2012 .
13. Diseñador, Solar. "John the Ripper - reglas de sintaxis de listas de palabras". Diseñador Solar . Consultado el 17 de febrero de 2012 .
14. David N. Blank-Edelman (21 de mayo de 2009). Automatización de la administración de sistemas con Perl. O'Reilly Media, Inc., págs. 461–. ISBN 978-0-596-00639-6. Recuperado el 17 de febrero de 2012 .
15. "Búsqueda de paquetes Debian" . Consultado el 17 de febrero de 2012 .
16. "Actualización de mejora de CrackLib". Archivado desde el original el 21 de abril de 2012. Consultado el 17 de febrero de 2012 .

Enlaces externos

• Descifrado de contraseñas: una guía rápida para el éxito