Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 30 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
30
Dung lượng
1,45 MB
Nội dung
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần: An tồn mạng Bài báo cáo: Password Attacks Tools: PrinceProcessor Lời Cảm ơn Đầu tiên, em xin gửi lời cảm ơn chân thành đến Học viện Cơng nghệ Bưu viễn thơng đưa mơn học “An tồn mạng" vào trương trình giảng dạy Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến giảng viên môn – Thầy Đặng Minh Tuấn dạy dỗ, truyền đạt kiến thức quý báu cho em suốt thời gian học tập vừa qua Trong thời gian tham gia lớp họcan toàn mạng thầy, em có thêm cho nhiều kiến thức bổ ích, tinh thần học tập hiệu quả, nghiêm túc Đây chắn kiến thức quý báu, hành trang để em vững bước sau Bộ mơn “An tồn mạng” mơn học thú vị, vơ bổ ích có tính thực tế cao Đảm bảo cung cấp đủ kiến thức, gắn liền với nhu cầu thực tiễn sinh viên Tuy nhiên, vốn kiến thức nhiều hạn chế khả tiếp thu thực tế nhiều bỡ ngỡ Mặc dù em cố gắng chắn báo cáo khó tránh khỏi thiếu sót nhiều chỗ cịn chưa xác, kính mong thầy xem xét góp ý để báo cáo em hoàn thiện Em xin chân thành cảm ơn! Mục lục LỜI MỞ ĐẦU Giới thiệu, lịch sử hình thành 1.1 Giới thiệu 1.2 Lịch sử hình thành Hướng dẫn cài đặt 2.1 Cài đặt Kali Linux 2.2 Cài đặt Debian, Linux Mint, Ubuntu 15 Bài lab, kịch demo 15 3.1 Kịch demo 15 3.2 Demo 21 3.3 Demo 22 So sánh, đánh giá 23 4.1 So sánh 23 4.2 Đánh giá 28 Kết luận 29 Tài liệu tham khảo 30 LỜI MỞ ĐẦU Cùng với phát triển nhanh chóng cơng nghệ, ứng dụng web ngày cải tiến sử dụng rộng rãi Kéo theo tiềm ẩn việc bảo mật ứng dụng web ngày gây quan ngại cho người dùng, đó, vấn đề bảo mật web lĩnh vực vơ nóng hổi, thu hút nhiều ý Ứng dụng web ngày dần trở thành mục tiêu công phổ biến tin tặc, hình thức cơng hacker ngày tinh vi phức tạp Cho tới nay, password sử dụng nhiều Song song đó, khao khát để phá vỡ tính Bí mật Bảo mật password từ hacker ngày tăng, có password đúng, hacker có tồn quyền với tài nguyên/dịch vụ người dùng xác thực password Và người dùng thường dùng chung password cho nhiều dịch vụ khác Trong báo cáo em xin giới thiệu demo prinprocessor - công cụ đắc lực giúp ta tạo đốn mật coi công Combinator nâng cao Giới thiệu, lịch sử hình thành 1.1 Giới thiệu - Cơ chế sử dụng rộng rãi để xác thực người dùng mật Do đó, password attack cơng phổ biến hiệu Phần lớn vụ đánh cắp thông tin liên quan đến quyền truy cập tài khoản Ngay thơng tin xác thực người dùng bình thường rơi vào tay kẻ xấu biến thành vũ khí tàn phá tồn hệ thống - Princeprocessor trình tạo mật sử dụng thuật tốn PRINCE (PRobability INfinite Chained Elements) coi công Combinator nâng cao Jens Steube thiết kế công cụ để xâu chuỗi mật riêng lẻ từ file đầu vào theo quy tắc đặc biệt tạo mật Các chuỗi chứa đến N từ bắt nguồn từ file đầu vào nối với Vì vậy, ví dụ: xuất đốn có độ dài bốn, tạo chúng cách sử dụng kết hợp từ file đầu vào như: chữ chữ + chữ chữ + chữ + chữ chữ + chữ + chữ chữ + chữ + chữ chữ + chữ + chữ + chữ ……… 1.2 Lịch sử hình thành - Cho đến thời điểm này, mã nguồn PRINCE chưa phát hành Do chạy thử nghiệm với từ nhỏ khác cơng cụ xem đầu theo cách thủ công Hướng dẫn cài đặt 2.1 Cài đặt Kali Linux − Trước tiên cần sử dụng máy ảo (Virtualbox Vmware) để cài đặt hệ điều hành Kali Linux • Tạo máy ảo chọn hệ điều hành tương ứng • Thêm file iso • Cài đặt ngơn ngữ • Lựa chọn khu vực • Cài đặt mạng • Cài đặt mật - Đầu tiên ta phải đảm bảo phải xóa từ trùng lặp file nguồn trước chạy PRINCE - Sau PRINCE đọc từ điển nhập liệu, lưu trữ từ (phần tử), bảng bao gồm tất từ có độ dài Sau đó, PRINCE xây dựng chuỗi bao gồm đến N phần tử khác Ngay bây giờ, N tám, (được xác nhận sử dụng tùy chọn elem-cnt-min) Nó thực điều cách thiết lập cấu trúc bảng khác sau điền chúng vào Ví dụ với file đầu vào : A Nó tạo đoán sau : A AA AAA AAAA AAAAA AAAAAA AAAAAAA …… - Tương tự với đầu vào khác lớn phần tử : A BB Biglnput Nó tạo đốn sau : A AA BBA AABB Biglnput bbabb aaa bb …… - - Ở e demo với file txt tạo Kali Linux Tạo file test.txt với nội dung bên " yellow, green, black, blue" Ta dùng lệnh " cd /home/kali/Desktop " để chuyển hướng tới thư mục Desktop, sau sử dụng lệnh " cat test " để mở thư mục test.txt Sử dụng lệnh " cat test | princeprocessor " để lọc tất trường hợp mật ghép Sử dụng lệnh " princeprocessor keyspace test" để dự đoán số lượng mật ghép Và ta dự đoán ghép độ khoảng 78 mật tạo thành từ file " test.txt" 3.2 Demo - Ở demo em giới hạn lại số lượng mật đề xuất Em sử dụng từ file " test.txt", soạn chuỗi có độ dài tối thiểu phần tử sử dụng dòng lệnh " –elem-cnt-min =2 " tối đa phần tử sử dụng dòng lệnh " – elem-cnt-max=2", tức chuỗi chứa tối đa từ Câu lệnh " princeprocessor –elem-cnt-min=2 –elem-cnt-max=2 test" 3.3 Demo - Ở demo em in mật đề xuất có độ dài khoảng định Với độ dài nhỏ em sử dụng câu lệnh " –pw-min=4" lớn 10 em sử dụng câu lệnh "—pw-max=10" Câu lệnh " princeprocessor –pw-min=4 –pw-max=10 test" So sánh, đánh giá - Bảng mức độ dự đốn mật khác thuộc tính thường thấy mật 4.1 So sánh • PRINCE: dự định chương trình hồn tồn tự động - Cấu trúc mật : ta định cấu trúc mật riêng rẽ cho Prince Nó lấy tập hợp từ kết hợp chúng lại với theo nhiều cách khác để tạo đoán Người dùng thiết lập mật dù trực tiếp hay gián tiếp, thuộc tính khơng thể xem xét - Đầu vào : sử dụng từ file đầu vào để đoán mật thuộc tính PRINCE, sử dụng từ trực tiếp từ file đầu vào - Với từ File đầu vào chứa kí tự đặc biệt: PRINCE khơng phân biệt với từ khác sử dụng theo cách đặc biệt Vì vậy, muốn sử dụng thuộc tính cần sử dụng cách gián tiếp - Các sách mật khẩu: PRINCE sử dụng từ điển đầu vào để tính độ dài phổ biến tiến hành đốn độ dài trước Như vậy, coi sử dụng độ dài thuộc tính phụ cách gián tiếp Dường khơng có cách để PRINCE tính đến sách yêu cầu ký tự đặc biệt Tuy nhiên, việc sử dụng từ điển có 'từ' đáp ứng yêu cầu ký tự dẫn đến đốn sách chấp nhận Vì lý đó, ký tự đặc biệt thuộc tính phụ định xem xét gián tiếp • HASCAT: Hashcat khơng nhằm mục đích trở thành chương trình tự động khơng có thuộc tính coi thuộc tính tự động Tuy nhiên, kẻ cơng sử dụng Hashcat định xem có sử dụng hầu hết thuộc tính hay không sử dụng - Cấu trúc mật khẩu: Kẻ cơng sử dụng Hashcat cung cấp cho cấu trúc mật Hashcat tiến hành đoán đáp ứng cấu trúc Đây chế độ "brute force" dành cho Nó định điều kiện ‘mặt nạ’ chuỗi nhóm ký tự khớp với mật để đốn Vì mặt nạ cung cấp cho Hashcat sử dụng trực tiếp có mục đích nên coi sử dụng trực tiếp Không thể sử dụng Hashcat để đưa cấu trúc mật tự động - Đầu vào: Kẻ công sử dụng Hashcat cung cấp cho nguồn đầu vào sử dụng làm sở cho đốn, chế độ ‘Straight’ (kiểm tra tất từ đầu vào Chế độ hỗ trợ quy tắc đọc từ, cách để thao tác với từ đầu vào Ví dụ quy tắc ghép chữ bao gồm thêm chữ số, đảo ngược từ viết hoa chữ đầu tiên) - Với từ File đầu vào chứa kí tự đặc biệt: Có thể danh sách từ mà Hashcat sử dụng chứa kí tự đặc biệt người dùng, sau sử dụng làm sở cho phép đoán mật tạo Hashcat coi từ thơng thường khơng phải kí tự đặc biệt, khơng có phân biệt Vì lý đó, thuộc tính sử dụng gián tiếp Hashcat - Các sách mật khẩu: Khi nói đến độ dài thuộc tính phụ, đặt độ dài tối đa số chế độ Khi nói đến ký tự đặc biệt thuộc tính phụ, bạn định mặt nạ tạo mật sách chấp nhận Đây lý để phân loại độ dài thứ sử dụng trực tiếp Hashcat Không thể định sách mật cho Hashcat tạo đốn sách chấp nhận Tuy nhiên, bạn định cấu trúc mật khác (mặt nạ) khớp với mật cho sách định Điều địi hỏi số cơng việc bổ sung, nói Hashcat sử dụng thuộc tính trực tiếp • OMEN and OMEN+: OMEN tự động đưa cấu trúc mật đề xuất tương ứng, đồng thời cho phép định độ dài số thông tin cá nhân bổ sung vào - Cấu trúc mật khẩu: OMEN sử dụng hai giai đoạn, giai đoạn đào tạo giai đoạn phát triển Giai đoạn đào tạo lấy mật đưa chuỗi Markov sử dụng để tạo đề xuất mật giai đoạn tạo Do đó, thuộc tính coi tự động xem xét - Đầu vào: Có thể bao gồm từ bình thường tập liệu sử dụng giai đoạn tạo Tuy nhiên, điều khơng nhằm mục đích chương trình coi từ mật tạo từ theo cấu trúc Vì việc bao gồm từ đầu vào tập liệu có số ảnh hưởng đến đốn tạo ra, thuộc tính coi xem xét gián tiếp - Với từ File đầu vào chứa kí tự đặc biệt: Vì bạn cung cấp mật cho chương trình giai đoạn đào tạo mật sử dụng trực tiếp tạo mơ hình Markov, điều coi sử dụng trực tiếp Điều đáng ý chương trình khơng phân biệt kí tự đặc biệt người dùng - Các sách mật khẩu: Việc triển khai sử dụng không cho phép kẻ công định yêu cầu ký tự đặc biệt, định độ dài đề xuất mật đốn Tương tự PCFG, sử dụng mật đáp ứng sách cho giai đoạn đào tạo, điều làm cho đề xuất mật cho phép theo sách có nhiều khả tạo Cho nên độ dài thuộc tính phụ sử dụng trực tiếp chương trình, ký tự đặc biệt thuộc tính phụ sử dụng gián tiếp • PCFG: tự động đưa cấu trúc mật đề xuất tương ứng, không cho phép tăng cường trực tiếp với thuộc tính bổ sung - Cấu trúc mật khẩu: PCFG sử dụng hai giai đoạn, giai đoạn đào tạo giai đoạn phát triển Giai đoạn đào tạo lấy mật đưa ngữ pháp khơng có ngữ cảnh xác suất để mô tả cấu trúc PCFG sau sử dụng để tạo dự đốn mật hồn tồn tự động, lý cấu trúc mật coi tự động xem xét - Đầu vào: Có thể bao gồm từ thông thường tập liệu sử dụng để tạo PCFG Tuy nhiên, điều khơng nhằm mục đích khác chương trình coi từ mật tạo từ theo cấu trúc Vì việc bao gồm từ từ điển tập liệu có số ảnh hưởng đến đốn tạo ra, thuộc tính coi xem xét gián tiếp - Với từ File đầu vào chứa kí tự đặc biệt: Vì bạn cung cấp mật cho chương trình giai đoạn đào tạo mật sử dụng trực tiếp tạo PCFG, điều coi sử dụng trực tiếp Điều đáng ý chương trình khơng phân biệt phân biệt kí tự đặc biệt người dùng - Các sách mật khẩu: Việc triển khai PCFG không cho phép kẻ công định độ dài ký tự theo cách thủ cơng Có thể cung cấp mật đáp ứng sách, điều làm cho nhiều khả tạo đề xuất mật đáp ứng cấu trúc Thuộc tính coi coi gián tiếp 4.2 Đánh giá - Hiệu PRINCE phụ thuộc nhiều vào từ điển đầu vào mà ta sử dụng cho - PRINCE cơng cụ hữu ích cần có hộp công cụ ta ta sử dụng đầu vào nhập liệu phù hợp cho Kết luận Ứng dụng web phát triển với tốc độ chóng mặt kĩ thuật cơng bảo mật ứng dụng web phát triển với trình độ cao Tấn công bảo mật ứng dụng web đề tài rộng đòi hỏi am hiểu phải có kĩ thuật chun mơn cao Là người học lĩnh vực an tồn thơng tin việc thực hành cơng cần thiết giúp cho người học nắm cách tin tặc thực giúp phòng tránh cách tốt Sinh viên hiểu rõ kĩ thuật công ứng dụng tảng cho phương pháp công đại, đồng thời biết thêm số phương pháp phòng tránh cơng bảo mật ứng dụng web Ngồi từ cơng có thêm kinh nghiệm để thiết kế hệ thống khó bị công giảm thiểu rủi ro bị công Tài liệu tham khảo [1] Princeprocessor Descripsion "https://en.kali.tools/?p=1245" [2] Tool Deep Dive: PRINCE "https://reusablesec.blogspot.com/2014/12/tool-deepdive-prince.html" [3] Comparison of Automated Password Guessing Strategies "https://www.divaportal.org/smash/get/diva2:1325687/FULLTEXT01.pdf" [4] princeprocessor, "https://github.com/hashcat/princeprocessor" ... tiếp thu thực tế nhiều bỡ ngỡ Mặc dù em cố gắng chắn báo cáo khó tránh khỏi thiếu sót nhiều chỗ cịn chưa xác, kính mong thầy xem xét góp ý để báo cáo em hoàn thiện Em xin chân thành cảm ơn! Mục lục... nay, password sử dụng nhiều Song song đó, khao khát để phá vỡ tính Bí mật Bảo mật password từ hacker ngày tăng, có password đúng, hacker có tồn quyền với tài ngun/dịch vụ người dùng xác thực password. .. ngun/dịch vụ người dùng xác thực password Và người dùng thường dùng chung password cho nhiều dịch vụ khác Trong báo cáo em xin giới thiệu demo prinprocessor - công cụ đắc lực giúp ta tạo đốn