DrCrack et les Rainbow Tables générées depuis des fichiers de dictionnaire et des règles combinatoires complexes

Par Xavier Poli, secuobs.com
Le 23/02/2009

---

Résumé : DrCrack est un outil qui permet d'utiliser des tables arc-en-ciel alimentées par des dictionnaires dont les mots auront été combinés de façon complexe à l'aide de règles issues de l'analyse comportementale de la gestion habituelle des mots de passe par les utilisateurs. - Lire l'article



DrCrack est un utilitaire pour générer et utiliser des tables arc-en-ciel ( Rainbow Tables - lien ) en se basant sur l’utilisation conjointe de fichiers de dictionnaire et de règles combinatoires plus ou moins sophistiquées, ces dernières étant appliquées sur les mots des dictionnaires pour générer des résultats comme « p@55w0rd12 ». DrCrack, dont la dernière version a été présentée lors de la conférence Shmoocon ( lien ), est en fait une version modifiée de Rainbow Crack ( lien ), l’outil développé par Zhu Shuanglei et aussi connu sous le nom de Rcrack.

Rcrack étant lui-même comparable à Ophcrack ( lien & lien ) pour effectuer la récupération des mots de passe à partir des empreintes de hachage répertoriées dans les Rainbow Tables traditionnelles, comme pour NTLM ( lien ) ou MD5 ( lien ) et cela via des techniques de compromis temps/mémoire (lien ) offrant des performances considérables comparativement aux techniques plus classiques de cryptanalyse comme la force brute ( lien ).

Une commande spécifique est disponible dans DrCrack pour générer ces règles de combinaison, les règles initiales ont en fait été définies en fonction de l’analyse comportementale globale des utilisateurs quant aux combinaisons habituelles qu’ils imposent à des mots classiques pour définir des mots de passe plus complexes à casser. De nombreuses options de configuration sont également présentes afin de permettre d’augmenter les performances, un mot de passe peut ainsi être retrouvé en environ dix secondes, des performances qui sont à placer loin devant les techniques classiques de cryptanalyse comme celle citée précédemment.

Dr-Crack supporte par ailleurs le multitâche avec la possibilité d’un calcul distribué entre de multiples processeurs à la seule condition d'être utilisé sous des systèmes d'exploitation de type GNU/Linux ou Apple Mac OS X, la version Microsoft Windows ne permet quant à elle l’utilisation que d’un seul processeur. Outre l’aspect purement offensif de DrCrack, des cas plus légitimes d’utilisation peuvent justifier sa mise à disposition comme le fait par exemple qu’un grand nombre d’administrateurs sont amenés à quitter des entreprises ou des administrations sans laisser de trace quant à la stratégie de mots de passe mise en place.

Sans avoir à disposition les ressources de calcul nécessaires comme un FPGA ( lien ) ou un super calculateur ( lien ), il s’avére alors difficile de les récupérer, en mettant cependant de coté les récentes avancées en matière de processeurs graphiques ( lien & lien ). Les tables DrCrack, le fichiers de dictionnaire ( dic-0294.txt - lien ) et les règles combinatoires ( basic_rules - lien ) sont téléchargeables sur Google Code ( lien ), DrCrack est lui à télécharger ( lien ) sur le site officiel ( lien ).

Quelques limitations sont à prévoir et notamment en ce qui concerne les combinaisons avancées pour la casse des caractères (trYiNG AlL CaSes) alors que les combinaisons plus basiques sont bien supportées (UPPERCASE, Capitalization, lowercase, lasT letteR). Ce point particulier devrait cependant être réglé dans les prochaines versions d'un outil qui n’en est qu’à sa phase de développement, après plus d’une année et demi de code. Dr-Crack est également sensible au fait que les résultats combinatoires comportent des doublons qui seront à l'origine de collisions, son efficacité pourrait alors grandement en pâtir.

Il est donc impérativement nécessaire de bien nettoyer les fichiers de dictionnaire avant de les utiliser avec DrCrack, mais également de porter une attention toute particulière aux règles combinatoires utilisées afin que les mots de passe résultant des combinaisons ne rentrent pas en collision avec un autre résultat issu d'une opération déjà effectuée. Un facteur de protection devrait là-aussi apparaitre dans les prochaines versions afin qu'un résultat soit bloqué si sa valeur est équivalente à celle d'un résultat généré lors d'une opération combinatoire antérieure.

Source : Carnal0wnage Blog ( lien )