./autopwn

Zoals wel vaker luisterde ik ergens in de afgelopen week naar de radio. Normaal hoor ik het wel, maar luister ik niet echt. Dit keer schrok ik echter wakker uit mijn gebruikelijke stasis, doordat mijn onderbewustzijn triggerde op de woorden "Voer nu je wachtwoord in op digibewust.nl, en kijk hoe veilig jouw wachtwoord is!".

Geprikkeld en vol anticipatie volgde ik het commando op, en surfte naar http://www.digibewust.nl/. Ik klik op de grote groene knop "Test nu je wachtwoord", en terwijl ik denk "Je zal toch niet echt je wachtwoord..", zit ik op een website waar "Mooiboy, peter, en tijgertje" me streng aankijken. Ook staat er een tekstje waarin mij wordt medegedeeld dat ik moet zorgen voor een "sterk wachtwoord", want dat is "niet te raden en moeilijk te kraken". Verder staan er nog wat hippe schuifbalkjes en klikvakjes om aan te geven waar jouw wachtwoord uit bestaat, en onderaan komt het keiharde doch rechtvaardige oordeel over de veiligheid van jouw wachtwoord. Simpel toch? Om de één of andere reden kreeg ik opeens de onweerstaanbare drang om Ubuntu weer eens een slinger te geven, gewoon, om te kijken of het klopt. Dus, ik download de gelekte database van LinkedIn, en ga aan de slag.

De tools

• i7 3770
• 8GB Ram
• 2x AMD HD5850 in Crossfire
• oclHashcat-plus

De dolle stier methode
Beter bekend bij de mensen thuis als "brute force". Gewoon elke positie karaktjertje voor karaktertje wijzigen, tot er iets nuttigs uit komt. Voor de mensen die nu iets hebben van "OMGWTFBBQ, welk commando dan?", et voilà:

• /tools/oclHashcat-plus-0.09/oclHashcat-plus64.bin - Het programma zelf
• -m 100 - Het type hash dat gekraakt moet worden. 100 staat voor "SHA1".
• -n 160 - Moar pwr captain! De workload voor de GPU's.
• -a 3 - Attack type, 3 staat voor "Brute Force"
• --gpu-temp-retain=80 --gpu-temp-abort=100 - Om te zorgen dat de arme 5850's geen *poef* doen.
• ./leakedIn.txt - Input file met de hashes
• -o leakedIn.bf - De resultaten van de aanval
• ?a?a?a?a?a?a?a?a?a?a?a - Een brute force aanval van 11 karakters ("?a" staat voor 1 positie), met op elke positie uppercase, lowercase, number en special characters. Dit is uiteraard ook te tweaken. Bijvoorbeeld ?l voor alleen lowercase, ?u voor uppercase en zo verder.

Omdat ik eigenlijk niet alle tijd van de wereld heb, besloot ik deze aanval een fantastische 15 minuten te laten draaien. Het resultaat? Niet heel spannend, 44 gekraakte hashes:



Maar, terug naar het doel van deze hele onderneming, wat zeggen onze nieuwe vrienden hiervan? Nou, dit:


Vreemd.. Volgens die uitkomt zou ik er in m'n eentje een aantal millennia over doen om een wachtwoord te achterhalen, terwijl ik na 15 minuten al op een high-score van 44 zit. Oké, granted, dat hangt enorm af van het gebruikte versleutelingsalgoritme, en het al dan niet gebruiken van salt, en waarschijnlijk gaan de vriendjes ook uit van de tijd die nodig is om *alle* combinaties te achterhalen. Desalnietteminplusgedeelddoorkeeretc, vind ik dat een nogal gedurfde claim om te maken.

Nou, wat zeur je dan, 44 uit een lijst van een paar miljoen is onwijs weinig
Ah, ja. Maar we zijn nog niet klaar! We hebben ook nog de woordenlijsten. Dus ik heb via "bedrijfdeliefdemettimkuik.org" een paar woordenlijsten gedownload, en gebruikt met het volgende commando:



De slimme kijker merkt op dat er hier een paar dingen anders zijn dan het vorige commando:

• -a 3 is vervangen door -a 0, om de aanvalsmethode op "Straight" (Lees: woordenlijst) te zetten.
• /tools/lists/wordlist.tx is toegevoegd om het programma te vertellen welk lijstje hij mag gebruiken.

In slechts 30 seconden was het gedaan met mijn bescheiden lijstje, en stond er een lijstje resultaten klaar. *Drumroll*

1052 entries! Dat is al heel wat meer dan 44. Nu zal ik de kostbare tweakblog ruimte niet verspillen met de hele lijst, maar wat stats zijn altijd wel grappig. Gemaakt met het o zo handige programma pipal:


code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

Password length (length ordered) 6 = 2 (0.19%) 7 = 54 (5.13%) 8 = 142 (13.5%) 9 = 236 (22.43%) 10 = 244 (23.19%) 11 = 170 (16.16%) 12 = 112 (10.65%) 13 = 45 (4.28%) 14 = 32 (3.04%) 15 = 15 (1.43%) One to six characters = 2 (0.19%) One to eight characters = 198 (18.82%) More than eight characters = 854 (81.18%) Character sets loweralpha: 627 (59.6%) mixedalpha: 266 (25.29%) loweralphaspecial: 8 (0.76%) mixedalphaspecial: 3 (0.29%)

Oke. Cool. Maar wat nu als er op mijn woordenlijst "welkom" staat, maar het te kraken wachtwoord is "Welkom01"?

Vrees niet! Ook daar is aan gedacht. oclHashcat heeft ook een feature genaamd "rules". Dit zijn bestandjes met regels welke worden toegepast op de woordenlijst om de bestanden te veranderen. Zo wordt "welkom" dus ook "Welkom" "WELKOM" "WeLkOm" en "Welkom01". Added bonus, veel regels zitten standaard bij oclHashcat!

Dus, nog maar een commandotje er tegenaan gooien:


De oplettende kijker van net heeft ook nu weer gezien dat er wéér een extra optie wordt meegegeven, namelijk " -r /tools/oclHashcat-plus-0.09/rules/best64.rule". Dit is één van de (vele) rule bestanden standaard meegeleverd met oclHashcat.

And the final score is: ..
7497! Dat is al heel wat meer Bert! Ja Ernie, maar heb je ook weer statjes? Jahoor, Bert:


code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

6 = 271 (3.61%) 7 = 503 (6.71%) 8 = 2522 (33.64%) 9 = 1468 (19.58%) 10 = 1426 (19.02%) 11 = 609 (8.12%) 12 = 432 (5.76%) 13 = 132 (1.76%) 14 = 101 (1.35%) 15 = 33 (0.44%) One to six characters = 271 (3.61%) One to eight characters = 3296 (43.96%) More than eight characters = 4201 (56.04%) loweralpha: 3174 (42.34%) mixedalphanum: 1713 (22.85%) loweralphanum: 1287 (17.17%) mixedalpha: 772 (10.3%) upperalpha: 160 (2.13%) loweralphaspecial: 25 (0.33%) loweralphaspecialnum: 22 (0.29%) mixedalphaspecialnum: 22 (0.29%) mixedalphaspecial: 11 (0.15%) specialnum: 1 (0.01%)

Maar, wat is je punt dan precies?
Nou, ja, mijn punt is dus dat het een leuke campagne is, maar niet heel erg waarheidsgetrouw, om het politiek correct af te drukken. Als "eindgebruiker" zou ik na de site te hebben bekeken denken dat mijn wachtwoord "Welkom123!@#" onwijs veilig is, terwijl niets minder waar is. Een gevalletje "False sense of security", om er maar eens wat buzz-words tegenaan te ketsen.

Begrijp me niet verkeerd, ik ben allang blij dat er überhaupt aandacht aan besteed wordt aan dit soort dingen, maar het lijkt erop dat de mensen achter deze site puur en alleen uit gaan van een scenario waarbij woordenlijsten niet bestaan, en alle websites de databases netjes hashen en salten. Het tegendeel is helaas al te vaak bewezen de afgelopen tijd.

Dus..
Dus zorg boven alles gewoon voor een *lang* wachtwoord. En dan bedoel ik, 15, 20 tekens of meer. Zorg ook vooral dat het wachtwoord niet één enkel woord is, met wat tekens en cijfers er omheen geplakt, maar mix het wat door elkaar. Of, pak gewoon iets als keepass, en gebruik overal een gegenereerd, lang, random wachtwoord. Al moet je dan natuurlijk niet "Letmein" gebruiken als keepass wachtwoord .

ps. ik haat mensen die beginnen met de tekst: "Dit is mijn eerste blog, dus go easy on me", vandaar dat ik het hier neer zet. Dit is mijn eerste blog, dus go easy on me