Ophcrack

Ophcrack si basa su un algoritmo che mette in relazione memoria e tempo. Quest’ultima è una tecnica che permette di ottenere una notevole riduzione del tempo di crittoanalisi dell’hash di una certa password; ecco perché viene chiamata “time memory Trade-Off” che tradotta significa appunto compromesso tempo-memoria. Nella pratica Ophcrack individua gli utenti e avvia il cracking automatico delle chiavi d’accesso. Al termine del lavoro verranno visualizzate a video le password. Le principali funzioni sono quelle che permettono il cracking degli LM hash (LAN Manager hash) e NTLM hash (NT LAN Manager hash). Il primo è un formato adottato dai sistemi operativi Windows fino al Millennium, utile per immagazzinare le password degli utenti che non superano la lunghezza di 15 caratteri; questi ultimi sono codificati nel formato ASCII. Tuttavia l'algoritmo che implementa la codifica in questo formato è stato successivamente ritenuto vulnerabile ad attacchi esterni; nonostante ciò, viene supportato dalle ultime versioni di Windows. Il secondo invece è un protocollo di autenticazione di Microsoft che cifra una password sia quando questa è composta da un numero di caratteri superiore ai 15 previsti dal primo formato, sia quando la stessa è formata da caratteri speciali previsti dal codice Unicode. Una chiave di accesso codificata attraverso il formato NTLM risulta essere molto più robusta rispetto ad una cifrata con il formato LM. Il software riesce a portare ottimi risultati per il fatto che i due sistemi di codifica adottati da Microsoft non fanno uso del "salting", tecnica che invece è impiegata dai sistemi operativi Linux e Mac e che risulta essere molto più resistente ad attacchi di forza bruta. L’algoritmo “Trade-Off” lavora sfruttando le Rainbow Tables cioè tabelle precomputate che accolgono al loro interno gli hash di tutte le possibili password.

Questa applicazione utilizza le GTK+ cioè un toolkit per la creazione di interfacce grafiche e può essere eseguito in Windows, Mac OS e Linux. Dal sito ufficiale di Ophcrack è possibile scegliere tra due diversi download del programma a seconda del tipo di recupero di password che si vuole effettuare. È infatti possibile scaricare il solo file di installazione ophcrack-win32-installer-3.1.0.exe (per Windows), se si vogliono ricercare le chiavi di accesso attraverso singoli hash già noti all'utente, oppure effettuare il cracking di semplici password attraverso il metodo di forza bruta. Se il cracking della password deve però essere eseguito all'avvio del computer, si può sempre scaricare il file ophcrack-livecd-2.3.4.iso (necessario per la creazione del Live CD), reperibile dal sito di Ophcrack, che contiene una copia del sistema operativo Linux (SLAX), il software Ophcrack e altri file necessari per il recupero delle password. Questo file, deve necessariamente essere copiato all'interno di un CD-rom che successivamente inserito all'interno del drive apposito, riesce ad aggirare la protezione di Windows per la lettura del database SAM (Security Accounts Manager), localizzato all'interno della chiave di registro HKEY_LOCAL_MACHINE\SAM, dentro il quale sono contenuti gli hash da crackare; infatti la lettura di questo database può essere effettuata solamente da parte del sistema operativo. In questo modo può essere eseguito automaticamente il recupero delle password perse, senza intervento da parte dell'utente. Ophcrack è utilizzato nei sistemi Windows e grazie alle Rainbow tables sembra che riesca a recuperare una percentuale molto alta di password.

Ophcrack lavora sulle speciali tabelle chiamate Rainbow tables. Ne esistono di diverse dimensioni e non tutte sono gratuite. Dal sito web di Philippe Oechslin è possibile scaricarne una versione gratuita; questa versione riesce però solamente a rintracciare password alfanumeriche, prive di caratteri speciali. Se si vuole ottenere un buon risultato dalla ricerca, è possibile acquistare la versione a pagamento che riesce a ritrovare password con qualsiasi carattere.

• (EN) Sito ufficiale di Ophcrack
• (EN) Pagina web di Philippe Oechslin
• (EN) Demo delle Rainbow Tables