Web bazirani servisi za krekiranje lozinki - Marija Barušić
1. Stručni studij: Informatika
Kolegij: Sigurnost i zaštita informacijskih sustava
Prezentaciju izradila: Marija Barušić
Krapina, 9. prosinac 2017.
WEB BAZIRANI SERVISI ZA
KREKIRANJE LOZINKI
1.
2. SADRŽAJ:
1. UVOD
2. TIPOVI LOZINKI
3. VRSTE NAPADA
4. RAZLIKA IZMEĐU HAKERA I KRAKERA
5. PODJELA KRAKERA
6. ŠTO JE KREKIRANJE?
7. POSTUPAK KREKIRANJA LOZINKI
8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE LOZINKI
9. ZAKLJUČAK
10. POPIS LITERATURE, TABLICA, GRAFIKONA I SLIKA
2.
3. 1. UVOD
• Web servis je program koji je pohranjen ili smješten na nekom serveru.
uloga: interakcija između dva stroja ili hosta te omogućavanje međusobne razmjene
informacija i podataka.
• Web aplikacija je namijenjena krajnjim korisnicima te omogućuje međusobnu razmjenu
informacija i podatka.
3.
Slika 2. Web aplikacija
Slika 1. Web servis
4. 2. TIPOVI LOZINKI
• Dijeli se na nekoliko sljedećih kategorija:
Samo slova;
Samo brojevi;
Samo posebni znakovi;
Slova i brojevi;
Samo slova i posebni znakovi;
Samo brojevi i posebni znakovi;
• “Jaka” lozinka je termin koji označava lozinku koja se sastoji od niza posebnih znakova,
slova i brojeva.
• Pravila kreiranja “jake” lozinke:
Niti jedan dio lozinke ne smije sadržavati ime Vašeg korisničkog računa;
Lozinka se mora sastoji od najmanje 8 znakova; 4.
5. 2. TIPOVI LOZINKI
• Pravila kreiranja “jake” lozinke:
Lozinka mora sadržavati znakove od najmanje tri navedene sljedeće kategorije:
Ne alfanumerički simboli ($ , : “ % @ ! # &);
Brojevi;
Velika slova;
Mala slova
5.
Slika 3. Primjer “jake”
lozinke
6. 3. VRSTE NAPADA
• Pasivni online napadi:
“Sniffing” ili “njuškanje” preko bežične mreže (WIFI) ili preko žice.
“Man in the middle” ili “čovjek u sredini”, MITM
6.
Slika 4. Prikaz pasivnog online
napada “njuškanja” ili “Sniffing-a”
8. 3. VRSTE NAPADA
• Napadi izvan mreže:
Ne – elektronički napad ili ne – tehnički napad: Socijalni inženjering, “surfanje preko
ramena” (engl. shoulder surfing), keyboard sniffing i “kopanje po smeću” (engl. dumpster diving).
8.
Tabela 1. Prikaz napada izvan mreže (Offline napadi)
9. 3. VRSTE NAPADA
• Napadi izvan mreže:
Socijalni inženjering
9.
Slika 6. Šaljivi prikaz napada izvan mreže - Socijalnog inženjeringa
10. 3. VRSTE NAPADA
• Napadi izvan mreže:
“Surfanje preko ramena” (engl. shoulder surfing)
10.
Slika 7. Prikaz napada izvan mreže
“surfanja preko ramena”
11. 3. VRSTE NAPADA
• Napadi izvan mreže:
(RJEŠENJE?) “Surfanje preko ramena” (engl. shoulder surfing)
11.
Slika 8. Prikaz moguće obrane napada izvan
mreže “surfanja preko ramena”
12. 3. VRSTE NAPADA
• Napadi izvan mreže:
“Kopanje po smeću” (engl. dumpster diving)
12.
Slika 9. Prikaz napada izvan mreže
“kopanja po smeću”
13. 4. RAZLIKA IZMEĐU HAKERA I KRAKERA
13.
Slika 10. Haker
Slika 11. Kraker
14. 5. PODJELA KRAKERA
• Bijeli krakeri – Osobe koje svoje znanje koriste kako bi testirale i poboljšale programe te
surađuju s proizvođačima softvera.
Crni krakeri – kriminalci koji namjerno uništavaju sustave
Sivi krakeri – Kombinacija bijelih i crnih krakera, npr. Špijuni
14.
Slika 12. Bijeli i crni kraker
15. 6. ŠTO JE KREKIRANJE?
• Čin provale u računalni sustav te ilegalno kopiranje komercijalnih softvera probijanjem raznih
tehnika zaštite i sigurnosti samog sustava.
15.
Slika 13. Provala sigurnosti računalnog
sustava
16. 7. POSTUPAK KREKIRANJA LOZINKI
• Pokušaj prijave sa različitim lozinkama, pri čemu kraker prati sljedeće
korake:
Pronalaženje valjanog korisničkog računa (kao što je gost ili administrator);
Izrađivanje popisa mogućih lozinki;
Redoslijed (rangiranje) lozinki od visoke do niske vjerojatnosti;
Utipkavanje svake lozinke;
Pokušavanje upisa lozinki dok se ne pronađe točna lozinka;
16.
17. 7. POSTUPAK KREKIRANJA LOZINKI
• Pronalaženje valjanog korisničkog računa (kao što je gost ili administrator);
17.
Slika 14. “Traženje” admina
18. 7. POSTUPAK KREKIRANJA LOZINKI
• Izrađivanje popisa mogućih lozinki;
18.
Slika 15. Popis mogućih lozinki
19. 7. POSTUPAK KREKIRANJA LOZINKI
• Redoslijed (rangiranje) lozinki od visoke do niske vjerojatnosti;
19.
Slika 16. Rangiranje lozinki
21. 7. POSTUPAK KREKIRANJA LOZINKI
• Pokušavanje upisa lozinki dok se ne pronađe točna lozinka;
21.
Slika 18. Pokušavanje upisa lozinki
dok se ne pronađe točna lozinka
22. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
1. OPHCRACK
• Besplatan web servis baziran na Windows OS-u.
• Mogućnost importiranja i korištenja hashing-a za višestruke formate i izvore.
• Poznat je i kao jedan od najboljih web servisa za krekiranje lozinki na
Windows OS-a u svega nekoliko minuta!
22.
23. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
1. OPHCRACK
23.
Slika 19. Prikaz korisničkog sučelja
OphCrack web servis
24. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
2. RAINBOWCRACK
• Osim brutalne vrste napada koristi i rječnički napad, stoga zahtjeva veće
vremensko opterećenje za krekiranje lozinki.
• Mogućnost unaprijed vremenskog izračunavanja krekiranja lozinki ili
datoteka.
• Korisnik ima mogućnost odabira korištenja sučelja naredbenog retka ili
grafičkog sučelja.
24.
25. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
2. RAINBOWCRACK
25.
Slika 20. Prikaz korisničkog
sučelja RainbowCrack web
servisa
26. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
2. RAINBOWCRACK
• Dugine tablice prikazuju sve moguće kombinacije lozinki te korisničkih
imena i direktorija.
• Ovaj besplatan web servis omogućuje stotinu puta veću brzinu pronalaženja
korisničkih imena i lozinki te direktorija nego sami brutalni napad.
• Mogućnost otkrivanja raznih autentifikacijskih protokola: NTLM, MD5,
SHA1.
• Ubrzavanje GPU-a također je jedna od značajki ovog web servisa.
26.
27. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
3. HASHCAT
• Jedan od najbržih besplatnih web servisa za krekiranje lozinki.
• Podržava algoritme poput MD4, MD5, Microsoft LM hashove, SHA-obitelj,
MySQL, Cisco, PIX i Unix Crypt formate.
• Dolazi u dvije verzije: CPU baziran te GPU bazirana verzija.
• Vrste izvođenja napada: brutalni napad, kombinirani napad, napad “otisaka
prstiju”, rječnički napad, hibridni napad, maskirani napad, napad na tablice,
napad permutacija itd.
27.
28. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
3. HASHCAT
28.
Slika 21. Prikaz HashCat web
servisa
29. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
4. CAIN & ABEL
• Vrste izvođenja napada: brutalni napad, rječnički napad, kriptoanaliza za krekiranje
šifriranih lozinki.
• Mogućnost “sniffing”-a ili “njuškanja” mreža, bilježenje VoiP razgovora, dekodiranje
lozinki, analiziranje protokola usmjeravanja.
• Sastoji se od dvije komponente: Cain je front – end bazirana aplikacija koja služi za
vraćanje lozinki te “njuškanje” mreže. Able je Windows NT servis kojemu je uloga
pregledavanje brzine prometa, prijenosa podataka i informacija.
• Dostupan za Windows OS-e.
29.
30. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
4. CAIN & ABEL
30.
Slika 22. Prikaz Chain & Abel
web servisa
31. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
5. WFUZZ PASSWORD CRACKING TOOLS
• Softverski dizajniran za brutalni napad na web aplikacije.
• Koristi se i za pronalaženje resursa koji nisu povezani (direktoriji, skripte,
itd).
• Brutalni napad prikuplja i šalje određene parametre za provjeru različitih
vrsta programskih jezika i skripti (SQL, XSS, LPAD, itd).
31.
32. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
5. WFUZZ PASSWORD CRACKING TOOLS
32.
Slika 23. Prikaz Wfuzz web servisa
33. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
6. JOHN THE RIPPER
• Uglavnom je napisan u C programskom jeziku.
• Kombinirano izvođenje napada.
• Sposobnost prepoznavanja hashanih lozinki – Odabir etičkih hakera (zbog
provedbe sigurnosti).
• Pripada obitelji Raspid7 sigurnosnih alata.
• Dostupan za sve platforme, uključujući Linux, Windows OS-e, DOS i OS X.
33.
34. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
6. JOHN THE RIPPER
34.
Slika 24. Prikaz John The Ripper web
servisa
35. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
7. THC HYDRA
• Koristeći sljedeće protokole: Asterix, FTP, HTTP – Proxy, MySQL, XAMPP i Telnet, THC
Hydra izvodi super brzi brutalni napad te rječnički napad na web stranice za prijavu
korisnika.
• Ponajviše prilagođen za hakere (istraživanje i učenje jednostavnog daljinskog pristupa
IKS-u.).
• Omogućava i dodavanje novih modula za povećanje funkcionalnosti.
• Putem GitHub web stranice, možete sudjelovati u određenom razvojnom procesu THC
Hydra-e.
• Dostupan je za: Windows OS, Linux, Solaris, FreeBSD i OS X. 35.
36. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
7. THC HYDRA
36.
Slika 25. Prikaz THC Hydra web servisa
37. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
8. L0PTHCRACK
• Krekira Windows lozinke.
• Vrste napada: brutalni napad, rječnički napad, hibridni napad, napad
duginim tablicama.
• “Sniffing” ili “njuškanje” hashova.
• Mogućnost skeniranja datoteka, podataka i informacija u prikladnom
vremenu.
37.
38. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
8. L0PTHCRACK
38.
Slika 26. Prikaz L0PTHCrack web servisa
39. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
9. AIRCRACK - NG
• Kompletan softverski paket koji služi za krekiranje wifi mreža.
• Dostupan za Linux, OpenBSD, FreeBSD, OX X, Windows i
Android OS.
39.
40. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
9. AIRCRACK - NG
40.
Slika 27. Prikaz AirCrack - ng web servisa
41. 8. TOP 10 NAJBOLJIH WEB SERVISA ZA KREKIRANJE
LOZINKI
10. BRUTUS PASSWORD CRACKING TOOLS
• Krekiranje lozinki web aplikacija.
• Jedan od najpopularnijih daljinskih alata za krekiranje lozinki.
41.
Slika 28. Prikaz Brutus web servisa
42. 9. ZAKLJUČAK
• Napadi na web servise i web aplikacije postaju najveća zabrinutost zbog sve većeg
korištenja Interneta.
• Kupci i klijenti koriste Internet za istraživanje kompanija, izvršavanje online kupnji,
pristup bp-a banaka te investiranje u korporacijska društva.
• Upravo zbog toga, potencijalni podaci i informacije postaju sve više vrijedni.
• Zlatni cilj hakera i krakera: brojevi kreditnih kartica, osobni podaci…
• Sve je to pohranjeno na web serverima i web aplikacijama baze podataka.
• Metode prikupljanja potencijalnih podataka i informacija hakera i krakera: Izrada novih
web servisa, web servera i web aplikacija.
• Širenje dezinformacija, napad na IKS-e (nekih poznatijih kompanija) i krađa novaca.
42.
43. 10. POPIS LITERATURE, TABLICA, GRAFIKONA I SLIKA
1. <http://web.studenti.math.pmf.unizg.hr/~ksekuli/napadi.htm>, pristupano: 20.10.2017.;
2. K.Graves, „CEH – Cerified Ethical Hacker Study Guide“ ;
3. <https://hr.wikipedia.org/wiki/Haker>, pristupano: 05.11.2017. ;
4. Šarčević M., Furjan K.: <<Hakeri>>, <https://sites.google.com/site/tkosuhakeri/home/podjela-hakera>,
5. pristupano: 10.11.2017.;
6. Hoffman C., <<How - To Geek>, <https://www.howtogeek.com/157460/hacker-hat-colors-explained
7. black-hats-white-hats-and-gray-hats/>, pristupano: 10.11.2017., kreirano: 20.04.2013.
8. <https://www.webprogramiranje.org/web-servisi-osnove/>, pristupano: 11.11.2017.;
9. <https://fossbytes.com/best-password-cracking-tools-2016-windows-linux-download/>, pristupano:
10. 29.10.2017., 28.07.2016.;
11. Miroslav Baća - Uvod u računalnu sigurnost, Narodne novine, Zagreb, 2004.;
12. <http://www.ptt.rs/korisnici/r/a/raka/tekstovi/hakeri.htm>, pristupano: 26.10.2017.;
13. <https://www.concise-courses.com/hacking-tools/password-crackers/>, pristupano: 26.10.2017.;
14. <https://www.technig.com/password-cracking-tools/>, pristupano: 02.11.2017.
15. <https://www.webopedia.com/TERM/C/crack.html/ >, pristupano: 08.11.2017.
43.
44. 10. POPIS LITERATURE, TABLICA, GRAFIKONA I SLIKA
Slika 1: Web servis.............................................................................................................3
Slika 2: Web aplikacija .....................................................................................................3
Slika 3: Primjer “jake” lozinke ........................................................................................5
Slika 4: Prikaz pasivnog online napada “njuškanja” ili “Sniffing-a”..........................6
Slika 5: Prikaz pasivnog online napada MITM-a ...........................................................7
Tabela 1: Prikaz napada izvan mreže (Offline napadi) .................................................8
Slika 6: Šaljivi prikaz napada izvan mreže - Socijalnog inženjeringa..........................9
Slika 7: Prikaz napada izvan mreže “surfanja preko ramena”....................................10
Slika 8: Prikaz moguće obrane napada izvan mreže “surfanja preko ramena”.......11
Slika 9: Prikaz napada izvan mreže “kopanja po smeću”............................................12
Slika 10: Haker...................................................................................................................13
Slika 11: Kraker.................................................................................................................13
Slika 12: Bijeli i crni kraker..............................................................................................14
Slika 13: Provala sigurnosti računalnog sustava.............................................................15
Slika 14: “Traženje” admina ............................................................................................17
Slika 15: Popis mogućih lozinki.........................................................................................18
Slika 16: Rangiranje lozinki...............................................................................................19
Slika 17: Tipkanje...............................................................................................................20
Slika 18: Pokušavanje upisa lozinki dok se ne pronađe točna lozinka .........................21
Slika 19: Prikaz korisničkog sučelja OphCrack web servis...........................................23
Slika 20: Prikaz korisničkog sučelja RainbowCrack web servisa.................................25
Slika 21: Prikaz HashCat web servisa...............................................................................28
Slika 22: Prikaz Chain & Abel web servisa......................................................................30
Slika 23: Prikaz Wfuzz web servisa..................................................................................32
Slika 24: Prikaz John The Ripper web servisa.................................................................34
Slika 25: Prikaz THC Hydra web servisa.........................................................................36
Slika 26: Prikaz L0PTHCrack web servisa......................................................................38
Slika 27: Prikaz AirCrack - ng web servisa....................................................................40
Slika 28: Prikaz Brutus web servisa..................................................................................41 44.