Hacket mot Stratfor

Stratfor är en oberoende firma som gör analyser av den geopolitiska situationen i olika länder runt om i världen. Särskilt i aktiva och potentiella konfliktzoner. Jag har nämnt dem tidigare, men nu är de aktuella igen i.o.m. att de hackades av Anonymous. Personer som är intresserade av Stratfors analyser kan prenumerera på deras analyser via e-post och betala för detta med kreditkort. Anonymous kom över hela databasen med alla som någonsin prenumererat på stratfors nyhetsbrev och 75.000 av dem har publicerats med all information, inklusive kreditkortsnummer och cv-kod. Övriga 800.000 återfinns ”endast” med e-post och md5-hashat lösenord.

Databasdumpar över liknande hack publiceras varje dag. Skillnaden den här gången är digniteten på användarna. I dumpen återfinns miljonärer, ambassadörer, UD, regeringen, tankesmedjor, Non Governmental Organisations (NGO, aka VGO, Very Governmental Organisations), representanter för olika multinationella företag, investmentbolag, placerare, banker osv.

Som ni förstår är det här hett och tonårsgruppen som kallar sig Anonymous tog direkt avstånd från attacken. Nu misstänks seriösare aktörer ligga bakom hacket.

Jag är inte särskilt intresserad av vem som ligger bakom, däremot mer intresserad av själva filerna. De innehåller drygt 860.000 krypterade lösenord. Här är en bra analys av lösenorden. 75% av lösenorden är alltså automatgenererade. Även om det inte nämns i analysen går det att läsa mellan raderna att programmet pwgen använts för att generera lösenorden.

För att knäcka dem då? Det snabbaste är att använda grafikkortet. Förmodligen är det oclHashCat-plus du ska titta närmare på om du är intresserad av detta.

Kör man på datorns CPU är det bästa programmet John the ripper. Med kännedom om hur automatlösenorden genererats går det att mha pwgen skapa en lista med 1 miljon liknande automatgenererade lösenord (spara undan din original-john.pot om du använt programmet tidigare):

pwgen -1cn 8 1000000 | sed 's/^/:/' > john.pot

Använd sedan denna lista (john.pot) för att skapa ett john-charset som är optimerat för just pwgen:

./john -make=pwgen.chr

Redigera till sist john.conf för att optimera pwgen mode ytterligare. Lägg till:

[Incremental:pwgen]
File = $JOHN/pwgen.chr
MinLen = 8
MaxLen = 8
CharCount = 62

Klart. Sen är det bara att köra igång john med kommandot:

./john -i=pwgen stratfor.hashes

och vänta…

Filen stratfor.hashes skapas genom att välja ut två fält separerade med : och md5-hashen i fält 2. I första fältet kan det stå vad som helst, t.ex. e-post eller användarnamn. Detta kan åstadkommas med excel, eller coolare med awk, eller uebercoolt med sed…

Övriga 25% är de som användarna själva ändrat. Merparten av dessa kan knäckas med metoder som beskrivs i dokumentationen för JtR och oclHashCat. Många ordlistor, regler och slutligen brute force. T.ex. kan två ordlistor kombineras så att alla kombinationer av ord i bägge testas, hybrider kan t.ex. vara alla ord i en lista med en mask före eller efter (mask kan tex vara alla kombinationer av 4 siffror eller liknande). Läs dokumentationen för mer information.

För att välja ett säkert lösenord bör det vara minst 10 tecken långt och inte bestå av ord som finns i några ordlistor eller vanliga kombinationer på tangentbordet (t.ex. qwerty123, 123qweasdzxc, q1w2e3r4 osv). Det bör inte heller vara en kombination av två ord som bägge finns i ordlistor.

Uppdaterat.

Jag fick frågan om hur kommandot för oclHashcat-plus ser ut för 8 tecken stora, små och siffror, blandat. Det blir:

./cudaHashcat-plus32.bin --gpu-watchdog=95 -a 3 stratfor.hash -1 ?d?l?u ?1?1?1?1?1?1?1?1

Först kommer programnamnet. Andra argumentet är en flagga som säger att programmet ska avbrytas om grafikkretsen blir varmare än 95 grader. Tredje argumentet betyder attackmod 3 (brute force). Sedan filen med md5-hasharna och till sist brute force masken. ?d betyder siffror (digits), ?l små bokstäver (lower case) och ?u stora bokstäver (upper case). Den kombinationen kallas 1 och åtta stycken ?1 betyder då alla kombinationer av åtta tecken där varje tecken är antingen en siffra, liten eller stor bokstav.

 

 

 

Annonser

Om albertveli

Grävande programmerare.
Det här inlägget postades i konspiration, Linux/DIY, Paranoia, Programmering, Säkerhet. Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s