John The Ripper

Վիքիպեդիայից՝ ազատ հանրագիտարանից
Jump to navigation Jump to search
Image-wertfghjnmbvc.jpg
Տեսակpassword cracking software?
Նախագծումը՝Alexander Peslyak?
Գրված է՝C[1] և Ասսեմբլեր լեզու
Վերջին կայուն տարբերակ1.9.0 (ապրիլի 12, 2019)[2][3]
ԱրտոնագիրGPLv2[4]
Կայքopenwall.com/john/(անգլ.)
Աղբյուր կոդgithub.com/magnumripper/JohnTheRipper

John The Ripper, ազատ ծրագիր, որը նախատեսված է հեշերի միջոցով գաղտաբառերի վերականգնման համար։ Ծրագրիրի հիմնականում վերականգնում է թույլ գաղտնաբառերը՝ գաղտաբառերին հնարավոր տարբերակների հավաքման տարբերակով։ Գոյություն ունեն տարբեր ադապտացիաներ ՕՀ-ների համար։ Ծրագիրը հայտնի է նրանով, որ ապահովում է մեծ քանակությամբ հեշեր, նրանում կա հեշ ինքնաճանաչում և այլն։ Ինչպես նաև ծրագիրը ապահովումը բազմաթիվ կողմնակի մոդուլներ՝ MD4 հեշեր, LDAP և MySQL գաղտնաբառեր և այլն։ Բացի գաղտաբառերի հեշերից հասանելի է նաև արխիվների գաղտնաբառերի հավաքում և այլ հարձակումներ։ Գոյություն ունի կրոսս-պլատֆորմային Johny - GUI միջերես, որը անհրաժեշտ է տեղադրել առաձին[5]։ 2012 թվականին ապահովում էր ավելի քան 30 ֆորմատներ jumbo տարբերակում[6]։ 2018 թվականի տվյալներով JtR bleeding-jumbo տարբերակը ապահովում էր 262 ֆորմատ[7]։

Աշխատանքի սկզբմունք[խմբագրել | խմբագրել կոդը]

Ստորև բերված է ծրագրի աշխատանքային օրինակ (Linux օպերացիոն համակարգում)․

[user@Host ~]$ cat hash
user:$1$plJCD2DU$lpYpkehFUxysMkYmxtrGZ.:14107:0:99999:7:::
[user@Host ~]$ john hash
Loaded 1 password hash (FreeBSD MD5 [32/32])
guesses: 0  time: 0:00:00:21 46% (2)  c/s: 3102  trying: eilrahC
 guesses: 0  time: 0:00:00:26 57% (2)  c/s: 3126  trying: Laddie2

Հարձակման տեսակներ[խմբագրել | խմբագրել կոդը]

John The Ripper-ը հարձակում է կատարում ըստ բառարանի, ամբողջական որոնման և հիբրիդային ռեժիմներով։ Ըստ բառարանի հարձակման ժամանակ ծրագիրը վերցնում է կցված ֆայլում առաջարկված գաղտնաբառերը, հաշվում է հեշը և համեմատում թիրախի հեշի հետ։ Ծրագրի հետ տրամադրվում է 4 մլն տողանոց բառարան[8]։ Ամբողջական որոնման ռեժիմում ծրագիրը հավաքում է բոլոր հնարավոր տարբերակները[6][9]։

Գաղտաբառերի հավաքումը կատարվում է համակարգչի պրոցեսսորի վրա, այն ունի ադապտացիա SSE, XOP, AVX, MMX տարբերակների համար։ Շատ հեշեր կարող են հաշվարվեց մի համակարգչի մի քանի միջուկների վրա մի անգամից շնորհիվ OpenMP-ի։ Միայն մի քանի տիպի հեշերի համար կարելի է օգտագործել նորագույն տեսաքարտերը։

Գործածություն[խմբագրել | խմբագրել կոդը]

Կարելի է օգտագործել մոռացված գաղտնաբառերի վերականգնման համար[10]։

Ծրագիրը կարելի է հանդիպել Parrot Security OS, Kali Linux օպերացիոն համակարգերի ծրագրերի փաթեթի մեջ[11]։

Օգտագործվում է MD5 ֆորմատով աշխատող oclHashcat-plus 122 միլլիոն գաղտաբառերի վերականգնման համար և SHA1 ֆորմատի 146 մլն, չնայած անհարաժեշտություն կլինի կատարաել կոդի որոշակի փոփոխություններ[12][13]. Также использовался для анализа утечки паролей от LinkedIn[14]։

Ծրագրի անալոգներն են համարվում՝ Hashcat, SAMInside, L0phtCrack 6, ophcrack, PasswordsPro, Cain/Abel[15]։

Ծանոթագրություններ[խմբագրել | խմբագրել կոդը]

  1. The john-the-ripper Open Source Project on Open Hub: Languages Page — 2006.
  2. Release 1.9.0 — 2019.
  3. Release 1.9.0 — 2019.
  4. https://github.com/magnumripper/JohnTheRipper/blob/bleeding-jumbo/doc/LICENSE
  5. «Johnny - GUI for John the Ripper [Openwall Community Wiki]» (անգլերեն)։ openwall.info։ Վերցված է 2018-07-19 
  6. 6,0 6,1 Nathan Willis (July 18, 2012)։ «John the Ripper» (անգլերեն)։ LWN։ Վերցված է 2016-10-30 
  7. «John The Ripper bleeding-jumbo»։ Telegraph։ 2018-07-19։ Վերցված է 2018-07-19 
  8. NATE ANDERSON (MAR 25, 2013)։ «How I became a password cracker. Cracking passwords is officially a "script kiddie" activity now.» (անգլերեն)։ Ars Technica։ Վերցված է 2016-10-30 
  9. Mike O'Leary Cyber Operations: Building, Defending, and Attacking Modern Computer Networks. — Apress, 2015. — С. 263. — 744 с. — ISBN 978-1-4842-0457-3
  10. Ken Hess (2011)։ «Checking Password Complexity with John the Ripper» (անգլերեն)։ Admin Magazine։ Վերցված է 2016-10-30 
  11. «KALI Tools: John the Ripper» (անգլերեն)։ KALI։ February 18, 2014։ Վերցված է 2016-10-30 
  12. m3g9tr0n, Thireus (28 AUGUST 2012)։ «Cracking Story - How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords» (անգլերեն)։ Վերցված է 2016-10-30 
  13. Re: JTR against 135 millions MD5 hashes / Solar Designer, 2 Sep 2012
  14. «LinkedIn vs. password cracking» (անգլերեն)։ Errata Security։ June 06, 2012։ Վերցված է 2016-10-30 
  15. https://www.owasp.org/images/a/af/2011-Supercharged-Slides-Redman-OWASP-Feb.pdf

Արտաքին հղումներ[խմբագրել | խմբագրել կոդը]