Перевод статей про Линукс — Medusa: Свободная программа для проверки паролей

Medusa: Свободная программа для проверки паролей
автор: Поль Рубенс
оригинал


Плохие пароли могут привести к плохим последствиям. Именно поэтому они особенно важны для корпоративной безопасности, для защиты данных (в том числе почтовых серверов, серверов баз данных и других) от несанкционированного проникновения (и от хакеров).
У плохого пароля есть три отличительных признака:

Он легко угадывается
Его с большой вероятностью можно встретить в списке паролей
Его можно быстро подобрать
Все три возможности вкратце разбираются дальше.

Легко угадываемый пароль

Выбирая пароль, люди очень предсказуемы, поэтому встречаются одни и те же пароли. Ниже проанализированы 32 миллиона паролей, которые выложили в публичный доступ после взлома сайта Rockyou.com.

Самые популярные пароли

1 123456 290,731
2 12345 79,078
3 123456789 76,790
4 Password 61,958
5 iloveyou 51,622
6 princess 35,231
7 rockyou 22,588
8 1234567 21,726
9 12345678 20,553
10 abc123 17,542

Почти 1% пользователей Rockyou.com выбрали пароль «123456». Иначе говоря, хакеру был доступен примерно 1аккаунт из 100.
Другие легко угадываемые пароли это имена питомцев, детей, любимой спортивной команды или супруга. Эти данные легко получить, используя социальные сети, например, Facebook.

Список паролей

Попробовав пароли вроде «123456» и «Password», хакер переходит к списку паролей. Обычно это списки слов из словарей, известные имена и наиболее полные списки с комбинациям слов (например, iloveyou), слова и цифры (как money123), а также слова с числовыми вставками (типа m0n3y). В таких списках практически не бывает паролей с использованием верхнего и нижнего регистра одновременно, случайных наборов символов ( d5j*Dg;r?'fRey), комбинации из нескольких слов (doGbutTerbicYclE) или слова со знаками препинания (s(c&H;#0%o"L).

Метод "грубой силы" (брутфорс)
Единственный верный способ найти пароль - это перебирать все варианты, пока не повезет — это называется брутфорс. Пароль из одного, двух или трех символов быстро подбирается, но чем длиннее пароль тем меньше шансов его подобрать. Чтобы подобрать пароль из 15 символов потребуются милларды лет.

Тестирование/Проверка
С одной стороны, чтобы проверить корпоративную систему, вы можете использовать хакерский путь: подбирать разные пароли и оценивать успех. Это так называемая онлайн-атака. Ее еще можно использовать чтобы проверить, как ваша система определяет атаку на сервер в результате неудачных попыток залогиниться и блокируется ли отдельный аккаунт после нескольких неудачных попыток.
Для онлайновых атак существует множество программ, в том числе программа с открытым исходным кодом Hydra. Но, верооятно, одна из самых лучших программ этого типа для OS Linux — это Medusa, написанная «гиками с ресурса Foofus.net».
Medusa это «быстрая, массивно-параллельная, модульная программа для подбора паролей» с модулями для поддержки практически любого сервиса для удаленной аутентификации с помощью пароля, включая: CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, POP3, PostgreSQL, SMTP-AUTH, Telnet и VNC. Medusa быстрее чем Hydra благодаря использованию поточной организации (организация Hydra построена на процессах) и одновременно пытается соединится с несколькими хостами или пользователями.

Medusa 2.0 How-To

Установка
Сохраните medusa-2.0.tar.gz в выбранную папку.
Разархивируйте архив с программой.
-zxvf medusa-2.0.tar.gz
Зайдите в папку с программой
cd medusa-2.0
Используйте обычную процедуру установки в ОС Linux
"./configure ", "make", "make install"
./configure
make
make install

Здесь подробные инструкции, включая список зависимостей.

Список паролей

Medusa соединяется с сервисом, например, через веб-страницу или FTP-сервер, и пытается залогиниться, используя различные имена пользователя и пароли.
Чтобы проверить устотойчивость пароля отдельного пользователя вам понадобится список паролей, которые и будет перебирать Medusa.
В интернете выложено множено платных и бесплатных таких списков, например:
hugewordlist.txt: 3.5 миллиона слов, имен, номеров и комбинаций.
Outpost 9 wordlists: около 40 различных списков, в том числе словари и имена
Packet Storm wordlists: Подборка бесплатных списков на английском и других языка.
Masta-spitz: Огромный (194 мб) мета-список компиляция других списков.

Вы сможете составить Ваш собственный список паролей на базе существующих, используя правила «подстановки» типа @ вместо «а», добавляя цифры в начале или в конце каждого слова.
С этим справится например John the Ripper — мультиплатформенная программа с открытым кодом.
Также пригодиться:
The Associative Wordlist Generator: онлайновый инструмент для создания списков паролей на основе заданных вами слов.
Wyd: свободная программа для Linuх , скачивающая слова с сайтов, файлов и папок.

Использование Medusa

Medusa это консольный инструмент, поэтому использование всего лишь вопрос понимания инструкций команднолй строки.
Например, мы хотим, чтобы Medusa подключилась к сетевому роутеру с IP адресом 192.168.1.1 c типовым именем пользователя admin и проверим, как быстро программа найдет пароль. Используется список паролей hugewordlist.txt (выше о нем уже говорилось).
Мы знаем, что собаку администратора зовут Fido, двух его детей Элис и Боб и добавляем эти имена в начало текстового файла hugewordlist.txt вместе с названием фирмы и 10 самыми распространенными паролями с сайта Rockyou.com (о них говорилось в начале статьи).

В настройках нужно указать следующее:
Хост 192.168.1.1, к которому подключается Medusa с ключом -h
Имя пользователя admin c ключом -u
Название текстового файла со списком паролей с ключом -P
Модуль сервиса, к которому мы хотим получить доступ ( в данном случае http) c ключом -M

Получаем команду medusa -h 192.168.1.1 -u "admin" -P hugewordlist.txt -M http
В моей сети Medusa перебирала 2000 паролей в минуту и нашла пароль "}tvaringa" примерно за 50 секунд.

Но что, если вы хотите проверить прочность паролей многих пользователей вместо одного с логином admin?
Чтобы проверить пароли пользователей на POP3 сервере, потребуется список email адресов в текстовом файле типа "emailusers.txt".
А еще потребуется список паролей. В этот раз мы возьмем более короткий список с популярными паролями и сохраним его в файле с именем "shortpasswordlist.txt". Medusa способна обрабатывать их паралельно, подбирая пароль к 10 (или к любому другому числу) пользователей за раз.
Другими словами Medusa проверит первые 10 имен пользователей на совпадение с первым паролем из списка, затем еще 10 имен на совпадение со вторым паролем и так далее. Когда список дойдет до конца, Medusa начнет проверять следующие 10 имен и сверит их со всеми паролями.

Для проверки нескольких имен надо ввести следующее:
IP адрес POP3 сервера (в этом случае 192.168.1.20) с ключом -h
Текстовый файл со списком имен пользователей (emailusers.txt) с ключом -U
Текстовый файл с паролями (shortpasswordlist.txt) с ключом -P
That Medusa should test multiple usernames at simultaneously using the -L switch
The number of usernames to test at a time using the -t switch
The module to use (POP3) using the -M switch
Medusа сравнит многочисленные имена пользователей одновременно c ключом -L
Число одновременно проверяемых имен задается с ключом -t
Модуль (POP3) задается -М

Команда выглядит так: 192.168.1.20 -U emailusers.txt -P shortpasswordlist.txt -t 10 -L -M POP3
Если Medusa способна найти любые пароли, разумно будет проверить насколько эти пароли отвечают вашей политике безопасности. Если Medusa находит ваши пароли, они должны быть заменены на более стойкие. Если нет, вы можете сообщить сознательным пользователям о риске использования слабых паролей и убедиться, что пароли были изменены.

Больше информации о Medusa

Чтобы узнать все доступные команды наберите medusa
Чтобы узнать, какие сервисные модули установлены наберите medusa -d

Eсть еще примеры использования, но лучше просто скачать программу и начать ею пользоваться.

Отдельная благодарность razum2um за помощь в переводе и ner_uto за вычитку :)
(как обычно, критика категорически приветствуется)