OneRuleToRuleThemStill

nfsec.pl 1 rok temu

M

inęło kilka lat, odkąd Will Hunt stworzył regułę hashcat OneRuleToRuleThemAll. Od tego czasu wprowadzono w niej jedną czy dwie poprawki, ale głównym celem było stworzenie wydajnego zestawu reguł, które nadawałyby się do atakowania szybkich funkcji skrótów, takich jak NTLM, MD5, SHA1/2 itp. Zawiera ona 52.000 reguł, które obejmują najlepsze reguły z domyślnej instalacji programu hashcat jak i te niestandardowe: hob064, best64, T0XICv1, toggles5, InsidePro-PasswordsPro, rockyou-30000, InsidePro-HashManager, d3ad0ne, dive, unix-ninja-leetspeak, generated2, d3adhob0, KoreLogic’s Rockyou50000, _NSAKEY.v2.dive – zostały one przetestowane na około 4.3 miliona niesolonych skrótów MD5 pochodzących z naruszenia bezpieczeństwa danych MineCraft Lifeboat community w 2016 roku.

OneRuleToRuleThemAll został dobrze przyjęty przez społeczność zajmującą się łamaniem haseł, ale zawsze jest przestrzeń na ulepszenia. W pierwszym podejściu został zastosowany proces deduplikacji tych samych reguł, które pojawiły się w kilku z powyżej wymienionych zestawów reguł – ale nie został przeprowadzony proces deduplikacji w wynikowym procesie generowania kandydatów do złamania hasła. Na przykład reguły $0Z5 i $0$0$0$0$0$0 dają ten sam jawny tekst – obie dodają sześć zer na końcu kandydata – jak pokazują odniesienia do znaczenia $ i Z na wiki. Ostatni proces udało się osiągnąć dzięki narzędziu duprule, który wyszukuje takie sytuacje. Po tym zabiegu udało się zmniejszyć 52.000 reguł do 50.088 bez jakiegokolwiek spadku wydajności łamania skrótów.

Kolejną optymalizacją było sprawdzenie, czy wszystkie reguły brały udział w łamaniu haseł z zestawu danych Lifeboat. Te, które były bierne w tym procesie również zostały usunięte. Aby test był nieco solidniejszy i bardziej wiarygodny do testowych danych został dołączony jeszcze zestaw LastFM (również z 2016 roku), który obejmował około 21 milionów niesolonych skrótów MD5. Usunięcie kolejnych 623 reguł nie spowodowało żadnej anomalii. Ostateczna suma została zmniejszona z 52.000 do 49.465 reguł, co stanowi redukcję o około 5%. To może nie wydawać się dużo, ale to wciąż 2535 reguł mniej nie generujących kandydata do złamania hasła i oszczędność nadmiarowego czasu obliczeniowego (w stosunku do tych, które mogą zamodelować prawdziwe hasła). Zgodnie z oczekiwaniami w rezultacie zaobserwowano pewne marginalne przyrosty czasu, jednak w przypadku szybkich procesorów graficznych nie będą one zbyt zauważalne. Nowy zestaw reguł o nazwie OneRuleToRuleThemStill w porównaniu z poprzednikiem nie zanotował żadnego spadku wydajności skutkując złamaniem 63,36% skrótów Lifeboat i 69,8% LastFM:

Dataset OneRuleToRuleThemAll OneRuleToRuleThemStill
Lifeboat (~4.3 mln unikalnych haszy) 2,960,729 złamanych 2,960,729 złamanych
LastFM (~21 mln unikalnych haszy) 14,634,893 złamanych 14,634,893 złamanych

Więcej informacji: OneRuleToRuleThemStill

Idź do oryginalnego materiału