Ćwiczenie nr 1 v2

Przedmiot : Zasady Administracji Sieciami
Ćwiczenie nr 1
v2
Testowanie haseł kont przy pomocy programu John the Ripper.
1. Wprowadzenie.
Aby zapewnić bezpieczeństwo systemu należy działać zapobiegawczo, czyli testować go pod kątem luk w
bezpieczeństwie i kontrolować stan jego pracy. Jednym z elementów tej kontroli jest testowanie i
kontrolowanie haseł użytkowników. Zbyt proste hasła mogą być przyczyną przejęcia konta przez osoby
nieuprawnione i wykorzystanie konta np. do penetracji ( ataków ) na nasze własne jak i inne systemy
informatyczne.
http://pl.wikipedia.org/wiki/John_the_Ripper
John The Ripper jest narzędziem do łamania haseł stworzonym przez Openwall Project.
Każdy użytkownik linuxa ma konto zabezpieczone hasłem, czy tez ktokolwiek inny korzystający z internetu ma
założone konto e-mailowe, konto na stronę www, korzysta z jakiś usług wymagających autoryzacji hasłem lub
zabezpiecza nim programy. No właśnie... hasło. Mało kto zastanawia się przy wyborze hasła i wpisuje swoje
imię, ksywę, imię psa, mamy :) itd. Przykłady można wymieniać w nieskończoność. Jest to podstawowy błąd,
ponieważ takie hasło jest bardzo łatwo złamać nawet zwykłemu użytkownikowi, choćby nawet metodą prób i
błędów, nie mówiąc o łamaniu haseł za pomocą programów wykorzystujących do tego słowniki (Crack, John
The Ripper).
Korzystając z małych i dużych liter, cyfr oraz kilkunastu znaków dodatkowych ( ! # $ & % ) liczba wszystkich
możliwych kombinacji haseł wynosi: 1 677 721 599 999 999 !
Jak wynika z dokumentu "Foiling the Cracker - A Survey of Improvemented to Password Security" na około 14
000 losowo wybranych kont (w USA), ponad 3 000 miało ustawione hasła, które znajdowały się w
standardowym słowniku. 1 500 miało hasła 6 lub mniej znakowe, 11 było nazwami bohaterów z utworów
Szekspira, 55 to nazwiska sławnych ludzi.
Jakich haseł nie używać ?
data urodzenia
imię psa
rodzinne miasto
własne imię, nazwisko
łatwe kombinacje klawiszy (ASDF, QWERTY itp.)
popularne słowa (PIES, DOM)
numer telefonu, pseudonim
jakiekolwiek słowo znajdujące się w słowniku polskim
wszystkie poprzednie napisane od tylu
wszystkie poprzednie z dopisanym znakiem na początku lub na końcu wyrazu
Wszystkie podane wyżej rodzaje haseł są hasłami BARDZO łatwymi do odgadnięcia (tzw. hasła słabe).
PAMIĘTAJ: NIGDY NIE UŻYWAJ HASŁA TAKIEGO SAMEGO JAK TWÓJ LOGIN!
Jakich haseł używać ?
Hasła trudne do złamania składają się zarówno z małych jak i dużych liter, cyfr, znaków przestankowych, może
zawierać spacje. Poza tym hasło takie powinno być łatwe do zapamiętania i powinno składać się co najmniej z
siedmiu znaków.
Przykład: hasło "krz18eslo" jest o wiele trudniejsze do złamania niż "krzeslo".
Przykłady dobrych haseł (haseł mocnych):
Tk7Mz
Le BefU
100KrotkA
Wskazówki dotyczące tworzenia haseł :
Dobrym sposobem na stworzenie trudnych do złamania haseł jest wymyślenie sobie jakiegoś zdania, i jako
hasło przyjąć pierwsze litery wyrazów w tym zdaniu. Np. Jestem Tomek mam 17 lat --> JTm17l. Jest to bardzo
dobry sposób, hasło jest mocne, a Ty możesz je łatwo zapamiętać.
Nie zostawiaj zapisanego gdziekolwiek hasła na widoku. Nic ci nie da trudne do złamania hasło skoro wszyscy
wkoło będą je znali :) Może wydać Ci się to śmieszne, ale wiele włamań było możliwych dzięki nieuwadze
ofiary.
Dobrym pomysłem jest również zmiana hasła co jakiś czas. Jest to dosyć męczące, ale jeśli zależy ci na
bezpieczeństwie twojego konta musisz to robić regularnie.
Pomoc : http://www.narf.shl.pl/content/view/34/26/
2. Zadania do wykonania w ćwiczeniu
– Ćwiczenie należy wykonać pod systemem linux. Aby mieć dostęp do tekstu ćwiczenia zapisz je w pliku
*.txt, które następnie będziesz mógł przeglądać pod linuxem. Pomoc dotyczącą kompilacji i stosowania
programu John The Ripper możesz przeglądać w systemie linux po wydaniu polecenia :
lynx http://www.narf.shl.pl/content/view/34/26/
– Uruchom system Linux i przy pomocy przeglądarki lynx ( lynx www.google.com )
znajdź w internecie pakiet John The Ripper i ściągnij na dysk lokalny systemu Linux.
– Odpakuj pakiet John The Ripper do katalogu /root/john.
– Zapoznaj się z instrukcją instalacji ../doc/install , następnie skompiluj program.
– Zapoznaj się z instrukcją użycia programu ../doc/examples
– utwórz w systemie konta ( adduser ) od loginu student0 do loginu student9 i przypisz im hasła :
login : student1 – hasło : student1
login : student2 – hasło : student22
login : student3 – hasło : student333
login : student4 – hasło : student4444
login : student5 – hasło : 12345678
login : student6 – hasło : 87654321
login : student7 – hasło : linux
login : student8 – hasło : dowolne swoje
login : student9 – hasło : dowolne swoje trudne hasło
login : student0 – hasło : dowolne swoje hasło, które należy dodać do domyślnego słownika haseł
– na kolejnej konsoli uruchom program John The Ripper łamiący hasła TYLKO powyższych kont do 30
minut, z wydrukiem raportu na ekran, zaobserwuj w czasie wyniki łamania haseł.
Łamanie wybranych kont można realizować poprzez użycie opcji programu John The Ripper bądź też
przerabiając plik shadow zawierający nazwy kont z hasłami.
–
przedstaw wnioski z powyższych ćwiczeń i wyślij e-mailem na konto prowadzącego ćwiczenia wraz z
następującymi informacjami wszystkich członków grupy :
data :
semestr :
grupa :
imię :
nazwisko :
numer indeksu :
W polu „Temat” e-maila wpisz z dużych liter
–
INF_SD_S6_ZAS_G1_CW1 dla grupy 1
–
INF_SD_S6_ZAS_G2_CW1 dla grupy 2
–
Itp.
Wnioski należy przesłać do czasu rozpoczęcia kolejnych zajęć.