Windows Password Kracker является свободным программным обеспечением для восстановления потерянных или забытых Windows паролей. Он может быстро восстановить оригинальный пароль из хэша LM (LAN Manager) или NTLM (NT LAN Manager).
ОС Windows шифрует пароли входа с помощью LM или NTLM хэш-алгоритма. Поскольку применяется один хэш-алгоритмов нельзя напрямую расшифровать хэш, чтобы узнать пароль. В таких случаях "Windows Password Kracker" может помочь в восстановлении пароля Windows с помощью простого метода перебора по словарю (брутфорса).
Он используется, когда нет доступных алгоритмов. Хакеры, использующие эти методы, особенно стремятся взломать пароли и получить доступ к персональным данным. Для этой цели они используют программное обеспечение с простым алгоритмом, который быстро запускает множество различных возможностей, состоящих из символов, пробелов и букв до максимальной определенной длины.
Чем короче пароль, тем быстрее он будет взломан методами грубой силы. Вот почему рекомендуются более длинные пароли, состоящие из разных символов, и также рекомендуется использовать системы шифрования. Поскольку количество вычислительной мощности, необходимой для совершения таких нападений с применением грубой силы, становится все более доступным, это означает, что больше проверок может быть выполнено за более короткий период времени, что делает комплексную защиту от грубых атак, имеющих первостепенное значение.
FireMasterCracker является бесплатным программным обеспечением для взлома мастер паролей в Firefox. Это Графическая версия , первого в истории инструмента для восстановления потерянных мастер-паролей из Firefox.
Браузер Firefox использует мастер-пароль для защиты сохраненных паролей от всех посещаемых веб-сайтов. Если этот мастер-пароль забыт, то нет никакого способа восстановить его и пользователь теряет также и все доступы ко всем Web-сайтам.
Почему вы должны атаковать грубую силу
Учитывая примитивность метода, кажется очевидным, что необходимо принять соответствующие защитные меры, но это не обязательно так. Каждый компьютер, подключенный к Интернету, потенциально подвержен риску. После того, как хакер проработал свой путь в систему, ваши пароли не за горами.
Пароли в этих файлах не хранятся в виде простого текста, они шифруются с использованием криптографических алгоритмов. Тем не менее, злоумышленник может получить доступ к файлам, если они недостаточно защищены от несанкционированного доступа. Хакер может создать копию файла, а затем выполнить обширные атаки грубой силы, не поддерживая системное соединение. В принципе, теперь есть только три переменные, которые определяют, сколько времени потребуется, пока атака не будет успешной.
В таких случаях, утилита "Fire Master Cracker", может помочь вам восстановить потерянный мастер-пароль.
Мастер-пароль используется для защиты логинов, паролей и прочей информации о посещаемых веб-сайтах, хранящейся в браузере FireFox. Если этот мастер-пароль забыт, то нет никакого способа восстановить мастер-пароль и пользователь теряет все пароли, хранящиеся в нем. Однако теперь вы можете использовать FireMaster для восстановления забытых мастер-паролей и получить обратно все сохраненные аутентификационные данные (логины и пароли к сайтам).
- Продолжительность одного шага проверки.
- Длина пароля.
- Сложность пароля.
Это то, как длина и сложность влияют на то, как быстро они разбиваются. Если вы разворачиваете комбинацию на 72 символа, проверка грубой силы потребует около 83 дней с той же вычислительной мощностью. Однако это не является поводом для самоуспокоенности: попробовав списки комбинаций символов или используя таблицы радуги, злоумышленники могут сократить время, затрачиваемое на атаку грубой силы.
Appnimi Password Unlocker является бесплатным, универсальным инструментом "все-в-одном", служащим для восстановления пароля различных типов защищенных файлов, включая ZIP, RAR, PDF, XLS, XLSX и т.д.
Эта утилита для восстановления пароля, поддерживает как метод подбора по словарю, так и метод перебора грубой силы (простой брутфорс), позволяя тем самым пользователю легко восстановить пароль любой сложности.
Защита от нападений грубой силы - как закрыть спину
Когда дело доходит до частных паролей системы, вы можете взять дело в свои руки. Используйте комбинации, которые состоят из множества разных типов символов. В лучшем случае используйте как строчные буквы, так и буквы верхнего регистра, специальные символы и цифры в ваших паролях. Чем больше символов содержит пароль, тем труднее его взломать.
Здесь вы привязаны к спецификациям соответствующего поставщика. Как правило, пароли имеют максимальную длину всего восемь символов и часто ограничиваются буквами и цифрами, что не совсем точно заполняет вас. Если это так, вам обязательно нужно выяснить, какие меры предосторожности предприниматели веб-сайта принимают, чтобы защитить себя от нападений грубой силы.
Не секрет, что попытки подбора пароля методом перебора (брутфорс) - постоянное явление. Подбирают пароли к серверам и виртуальным машинам, к админкам сайтов и FTP-аккаунтам, к почтовым ящикам и социальным сетям.
Обычно брутфорс идет в фоновом режиме и практически не заметен для владельцев ресурсов, т.к. не создает значительную нагрузку и не мешает работе сайта, по крайней мере до тех пор, пока злодеи не проникнут на сервер:)
Если вы являетесь оператором веб-службы с механизмом входа в систему, это ваша ответственность. Существует два возможных подхода.
- Защита механизма паролей.
- Создание многофакторной аутентификации.
Кроме того, после каждой попытки сделать пароль можно увеличить время. Многие поставщики предлагают многофакторную аутентификацию в качестве опции. Это делает процесс входа в систему несколько более сложным, поскольку в дополнение к паролю необходим дополнительный компонент. Последние - это небольшие тесты для определения того, выполняется ли процесс регистрации фактическим лицом или - например, с программным обеспечением грубой силы - роботом.
1 августа началась, пожалуй, самая мощная в рунете брутфорс-атака на сайты, созданные с помощью самых распространенных бесплатных CMS: Wordpress, Joomla! и др.
И вот как это было:
Мода на мега-брутфорс дошла и до нас
Похожая атака на Wordpress-сайты была предпринята в апреле этого года. Эта атака затронула в основном западные ресурсы и российские пользователи и хостинг-провайдеры ее не заметили. На этот раз ботнет направлен прежде всего на взлом русскоязычных сайтов.
Соединенные против нападений грубой силы
В дополнение к представленным мерам есть несколько трюков для предотвращения нападений грубой силы. Использование альтернативных имен для полей ввода или текста, которые затем восстанавливаются после попытки входа в систему, также может вызвать проблемы для некоторых хакерских инструментов.
В любом случае вы повысите безопасность своего веб-проекта или паролей, если вы используете одну или несколько упомянутых мер защиты от грубой силы. Аутентификация лежит в основе защиты приложения от несанкционированного доступа. Если злоумышленник может нарушить функцию проверки подлинности приложения, они могут владеть всем приложением.
Первые публичные сообщения об атаке появились 2 августа. На самом деле, аномальная активность в нашей системе мониторинга была заметна еще первого числа. До этого нагрузка, создаваемая ботами, была не так заметна. Возможно, это были пробные запуски, но мы предполагаем, что активная работа началась с малого количества зараженных машин. По мере подключения новых участников, нагрузка на инфраструктуру росла и ко 2 августа ее почувствовали на себе все российские хостинг-провайдеры и их клиенты.
Узнайте, как загрузить, установить и использовать этот проект. Снимите предустановленные позиции полезной нагрузки, используя кнопку «Очистить» справа от редактора запросов. Добавьте значения параметров «имя пользователя» и «пароль» в качестве позиций, выделив их и используя кнопку «Добавить».
В настройках «Наборы полезных нагрузок» убедитесь, что «Набор полезных данных» - 1, а «Тип полезной нагрузки» - «Простой список». В параметрах «Параметры полезной нагрузки» введите несколько возможных имен пользователей. Вы можете сделать это вручную или использовать пользовательский или предварительно настроенный список полезной нагрузки.
На графике выше может показаться, что что-то начало происходить еще 31 июля, я даже выделил этот момент красной линией. Как показало дальнейшее исследование, это была локальная аномалия, вызванная не началом атаки, а нагрузкой на одной из нод. По этому графику с детализацией легко выявить источник аномалии:
Затем в параметрах «Наборы полезных нагрузок» измените «Полезная нагрузка» на 2. В параметрах «Параметры полезной нагрузки» введите несколько возможных паролей. Вы можете сделать это вручную или с помощью настраиваемого или предварительно заданного списка.
Подбор пароля к шарам
В окне «атака» вы можете отсортировать результаты, используя заголовки столбцов. В этом примере сортируйте по «Длина» и «Статус». В таблице теперь приведены некоторые интересные результаты для дальнейшего изучения. 
Если для входа в систему требуется имя пользователя и пароль, как указано выше, приложение может ответить на неудачную попытку входа в систему, указав, была ли причиной отказа непризнанное имя пользователя или неверный пароль.
Зная ноду, можно углубиться дальше и узнать, кто именно создает нагрузку:
Как видим, повышенная активность в одном из клиентских виртуальных серверов. При этом у соседей по серверу все хорошо и на других нодах все в норме. Отсюда мы делаем вывод, что случай не имеет отношения к исследуемой атаке, т.е. большой брутфорс начался 1 августа.
В этом случае вы можете использовать автоматическую атаку для итерации через большой список общих имен пользователей, чтобы перечислять, какие из них действительны. Список перечисленных имен пользователей может использоваться как основа для различных последующих атак, включая угадывание пароля, атаки на пользовательские данные или сеансы или социальную инженерию.
В этом примере сканер смог перечислить множество проблем, которые могут помочь злоумышленнику нарушить аутентификацию и управление сеансом веб-приложения. Также известная как атака с помощью пароля или словарная атака, они используют систематический метод проб и методов, где каждая комбинация используется для взлома пароля.
Борьба с ботами
Поведение ботов было стандартным: они обращались к типовой странице авторизации CMS. Например, для WP это страница wp-login.php. В первой фазе атаки обращения были достаточно топорными: боты сразу делали POST логина и пароля в форму без предварительного получения страницы (GET). Таким образом, на этом этапе их было очень легко отличить от настоящих пользователей, которые сначала получали страницу, а потом уже вводили логин и пароль.Используя эту особенность, боты достаточно быстро были заблокированы. Естественно, после этого злоумышленники внесли коррективы в поведение ботов. Они научились делать GET-POST и работать с куками.
Если у вас есть сайт, который включает аутентификацию входа в систему, вы, скорее всего, будете мишенью для атаки. Как только злоумышленники нарушили ваш логин, они получают неограниченный доступ к ресурсам вашего сайта. Они могут использовать ваш сайт для получения экономичных выгод, вставки вашего бренда или просто завоевания популярности. Как только совпадение найдено, бот начнет атаку, сделав бессрочные попытки взлома пароля администратора. Нападавшие обычно не знают, на кого они атакуют, пока атака не будет успешной.
Рекомендации по предотвращению нападений с применением грубой силы
Разговор о полной автоматизации, да? Они довольно просты для наблюдения, но очень эффективны в своей цели. Использование надежных паролей - одна из лучших практик, рекомендованных любым экспертом по безопасности. Боты, используемые злоумышленниками, могут взломать такие слабые пароли в нескольких попытках. В случае надежного пароля бот возьмет миллион попыток добраться где угодно. Поэтому всегда не забывайте использовать длинные непредсказуемые пароли, избегать слов словаря, избегать повторного использования паролей и регулярно менять пароли.
После этого из возможных вариантов прикрытия остались:
1) переименование страницы авторизации;
2) ограничение доступа к админскому разделу по ip-адресам (белый список, географический или иной принцип деления);
3) двойная авторизация.
Переименование страницы авторизации
хорошо подходит конкретно для Wordpress, т.к. в результате ничего не ломается и можно продолжать работу. Но не факт, что этот способ хорошо работает для других CMS. В системе вполне может быть привязка к конкретному названию скрипта.
Таким образом, этот способ не подходил для нас как хостинг-провайдера, т.к. мы просто не можем пойти и переименовать всем клиентам файлы без их ведома. Это может сделать только сам клиент.
После обнаружения они попытаются взломать ваш пароль, чтобы получить полный контроль над вашим сайтом. Вы можете сделать свою работу более сложной, переименовав имя администратора в нечто уникальное. Теперь у хакеров есть дополнительная задача, чтобы сначала угадать ваше имя пользователя, прежде чем пытаться взломать ваш пароль. Простое изменение имени пользователя может оказаться недостаточным.
Скорость, ограничивающая попытки входа в систему
Еще один очень полезный способ защитить ваш сайт от грубых атак - это ограничение количества неудачных попыток входа в систему. Эта функция блокирует пользователей, когда они достигают предварительно настроенного количества неудачных попыток, например, поскольку боты имеют тенденцию бомбардировать наши сайты неопределенными попытками входа в систему, этот механизм очень эффективен в ограничении их попыток.
Ограничение доступа к админке по белому списку ip-адресов подходит далеко не всем, т.к. во-первых, практически всегда интернет-провайдеры выдают динамический адрес, который может меняться от сессии к сессии, а во-вторых, это исключает возможность доступа к админке извне, например, с мобильного устройства. Этот вариант также был отметен, как нерабочий.
Существует много плагинов безопасности, которые помогают ограничить максимальное количество неудачных попыток входа в систему. Такие пользователи затем блокируются в течение определенного периода времени. Все плагины безопасности позволяют почтовые уведомления по умолчанию для неудачных попыток входа в систему или блокировки пользователя. Помимо возникновения ненужной паники, их практически невозможно сортировать. Даже если вы это сделали, нет конкретных действий, которые вам нужно предпринять. Следовательно, мы считаем, что лучше всего отключить эти уведомления или включить их только для определенных событий.
Ограничение по географической принадлежности ip работает только в случае, если у ботнета есть ярко выраженный «регион проживания», например, Вьетнам или Индия. Опять-таки для принятия единых мер на крупном хостинге такой способ не подходит, т.к. сразу находятся зарубежные клиенты, которые попадают под действие этих фильтров.
Двойная авторизация — способ, который мы в итоге применили к сайтам, подверженным атакам на нашем шаред-хостинге. Мы установили дополнительную страницу авторизации, которая выдается при попытке обращения к админке без определенных кук. Пройдя нашу дополнительную авторизацию один раз, легитимный пользователь получает особую куку и может спокойно войти в админку CMS. При этом боты не могут пройти через страницу и не только не могут осуществлять подбор пароля к CMS, но и не создают большой нагрузки на сервер.
Судя по новостям хостинг-провайдеров, многие воспользовались похожим методом, но установили жутко секретные пароли, узнать которые клиент мог только по запросу в техническую поддержку или в персональной электронной рассылке.
Мы сочли такой сверх-секретный подход избыточным и некорректным по отношению к клиентам. Порой доступ в админку нужен срочно, а писать заявку, звонить или искать искомое письмо от хостера может быть очень неудобно. Поэтому данные для дополнительной авторизации мы указали на странице в явном виде, исходя из простого предположения, что боты не умеют читать и думать, а учить их конкретно для нашего случая - слишком трудоемкое и неблагодарное злодейское занятие.
Примерно так выглядит страничка с дополнительной авторизацией (простите, было не до красивого оформления страницы):
Также мы отказались от использования классической http-авторизации по причине того, что всплывающее окно с запросом логина и пароля - не самый удобный способ рассказать клиенту что случилось с его CMS и отчего он видит этот запрос. Такое окно блокирует браузер, пугает и мешает сориентироваться.
Наблюдения
Помимо борьбы с ботами нам было весьма интересно понаблюдать за тем, как координируются и распределяются их усилия. Судя по аналитике из нашей системы, количество одновременных запросов на 1 хостинговый ip-адрес устойчиво держалось не более 30 для каждой CMS, вне зависимости от количества атакуемых сайтов на этом адресе. Таким образом, если на одном ip-адресе размещались сайты и на Wordpress, и на Joomla!, то количество одновременных обращений держалось на уровне 60 штук. Это достаточно много для shared-хостинга.Если сайт переставал отвечать — запросы к нему мгновенно прекращались. Это разумно, т.к. злоумышленникам выгоднее оставить жертву в живых. Тем не менее, 60 одновременных запросов — достаточно большой поток, чтобы его гарантированно заметили и владельцы сайтов, и хостинг-провайдеры. Есть мнение, что злодеям разумнее было бы брутфорсить в 3-4 раза меньшим потоком запросов. В этом случае деятельность ботнета была бы гораздо менее заметна.
Активная фаза атаки начиналась вечером и продолжалась всю ночь. Адреса сайтов ботам отдавались в алфавитном порядке.
Таким образом, вечером начинали страдать сайты на букву А, а ближе к утру — сайты на Z. Им в этом смысле повезло чуть больше.
И вновь продолжается бой
Сейчас атака все еще продолжается, хотя и в существенно сниженном темпе. Нам удалось минимизировать ущерб от атаки для пользователей shared-хостинга. В зоне риска остаются пользователи выделенных физических и виртуальных серверов, т.к. централизованно прикрыть доступ к админке CMS в этом случае нельзя и меры по защите должны быть приняты администратором сервера.Спасибо за внимание! :)
Всем успехов в борьбе с ботами. способы для самостоятельной защиты озвучены выше. Если у вас есть классный готовый рецепт — прошу в комменты!
