JohnTheRipper è un programma per il crack degli hash delle password. Le password vengono infatti sempre memorizzate da qualche parte, nei vari sistemi operativi, tipicamente con delle funzioni di hash. Le funzioni di hash hanno il vantaggio di non essere invertibili, quindi dalla password si ottiene sempre l’hash ma non si può fare viceversa. Tuttavia, questo non significa che se un pirata possiede l’hash non possa risalire alla password soltanto tramite il brute force puro (cioè provando tutte le combinazioni). Siccome gli algoritmi di hash hanno delle regole ben precise, è spesso possibile usare dei meccanismi fatti su misura (come le rainbow tables) per individuare alcuni segmenti della password fino a ricostruirla tutta.
JohnTheRipper, password a prova di stress test
A seconda della sicurezza dell’algoritmo di hash può volerci più o meno tempo: per esempio la crittografia dei file zip si risolve facilmente, e la cosa dipende anche dalla complessità della password. JohnTheRipper è il programma perfetto per testare la sicurezza delle proprie password, oppure per recuperare l’accesso a un file di cui si è persa la password stessa.
Il programma, da riga di comando, offre una serie di opzioni per personalizzare la ricerca della password. Per esempio, l’opzione format permette di specificare manualmente il tipo di password che si sta cercando di scoprire (senza che John debba scoprirlo da solo). Le password di Windows, memorizzate nel file SAM e che si possono facilmente estrarre con l’utility PwDump, sono nel formato LM.
JohnTheRipper può anche tentare di scoprire le password dei sistemi GNU/Linux, il cui hash è memorizzato nel file /etc/shadow. Queste password sono solitamente crittografate con l’algoritmo sha512crypt, e se si gestisce un server è utile provare ogni tanto a forzare le proprie password per verificare quali utenti ne abbiano usata una troppo debole e facile da scoprire.
Il programma è anche in grado di forzare i file zip o rar protetti da password. Prima di tutto bisogna estrarre gli hash delle password, con i comandi
zip2john file.zip>filezip.hashes
rar2john file.rar>filerar.hashes
poi si possono passare direttamente a John senza bisogno di specificare altri dettagli, visto che è in grado di riconoscere da solo il formato della password.