PHDays Hash Runner challenge

[Admin]

Итак, конкурс закончился и мы заняли на нем почетное второе место.

В ближайшие дни я напишу несколько заметок про наше участие...

[Free]

Поздравляю!

[Admin]

Итак, конкурс закончен и есть, что рассказать и дать пожелания на будущее.

1. Хочу выразить благодарность организаторам конкурса - на все возникающие вопросы они давали быстрые и исчерпывающие ответы, а также быстро фиксили баги - к примеру, поначалу невозможно было отправить Oracle-пароли. И вообще - в целом все прошло на высоком уровне.

2. Приятно, что начало конкурса прошло очень гладко, исходный файл с хэшами появился даже чуть раньше 09.00МСК (где-то минуты на 2), в отличие от постоянных задержек в начале конкурса от KoreLogic (и это уже стало объектом насмешек).

3. Не очень удобно, что конкурс был среди недели - многие мемберы просто не смогли уделить ему достаточно времени (работа, учеба, командировки и т.д.)

4. Досадно, что первые часы после начала конференции сайт PHDays очень сильно "просел" от нагрузки, часто были timeout-ошибки и отправка паролей была почти невозможной.

5. Хотелось бы, чтобы в следующий раз можно было просто отправлять найденные пароли списком, а не составлять странные пары вида "<hash> : <password>".

6. Огромный плюс в том, что списки были небольшие (по ~400 хэшей каждого типа) и их можно было целиком размещать в спойлерах, без внешних файлов.

7. Почти все взломанные пароли можно хоть сейчас закидывать в словарь реалпассов, т.к. правила их формирования совпадают с теми, что используют обычные люди (в отличие от KoreLogic, где большинство правил взято "с потолка") и пароли с этого конкурса вполне могут кем-то реально использоваться.

8. Основными атаками на этом конкурсе были: брутфорс по маске (после набора определенного кол-во паролей для анализа) и комбо-атака. Оказалось, что обычный брутфорс здесь оказался почти бесполезен, т.к. было много длинных паролей.

9. Баллы за хэши были подобраны вполне оптимально и взлом 30-40 MD5-хэшей был ничуть не легче взлома одного-двух Wordpress-хэшей. И вообще приятно, что здесь интеллект оказался важнее вычислительных мощностей.

10. Очень хорошо, что в паролях не было пробела - на прошлом DEFCONе он много попортил нервов, когда стоял в конце некоторых паролей у DES-хэшей.

11. Практически все пароли, что поломал лично я, были найдены в PasswordsPro. Да, она однопроцессорная, с устаревающим простеньким интерфейсом, но только она способна охватить анализом весь список хэшей целиком, уловить закономерности - к примеру, во всех списках первые пароли были вида "PasswordPassword", а ближе к концу всех списков было ровно по 6 хэшей от паролей вида "24.07.2011". Также хэши с определнной солью (стоящие в определенных местах списка) имели однотипные пароли и т.д. И вот такой анализ можно сделать только визуально, когда перед глазами открыто несколько списков - тут PP не заменит ни одна программа в мире.

12. На будущее хочется, чтобы для медленных алгоритмов все-таки пароли были чуть покороче и правила чуть полегче, т.к. 24-символьные пароли к phpBB3-хэшам - ну, явный перебор, имхо.

13. Также можно расширить и список алгоритмов - ведь туда не попали такие популярные алгоритмы, как MySQL3, MD5(Unix), простые DCC (не DCC2), SHA-512 и др.

14. Также хотелось бы видеть более разнообразные бонусы - к примеру, за взлом максимального кол-ва хэшей одного типа, за взлом конкретных хэшей (к примеру, в каждый список можно ввести по 5-7 хэшей от админских паролей и пометить их), и т.д. Или вообще пароли можно разделить на группы - в зависимости от длины и сложности (помимо алгоритма) пароли стоят разное кол-во баллов.

И напоследок я снова хочу выразить огромную благодарность всем членам нашей команды за участие! Мы снова подтвердили статус одной из лучших команд в мире и уже есть твердая уверенность, что во всех подобных конкурсах для нас всегда найдется место в тройке лидеров.

[Tyra]

Поздравляю !

[passcape]

Так держать! Жаль, до первого места не дотянули.

[Admin]

Да ладно, и так неплохо.

Как говорится, "не надо стремиться побеждать, надо стремиться быть непобедимым", так что нам есть еще куда расти.

[k790]

Поздравляю!!!
Респект и уважуха

[.Scorpio.]

Присоединяюсь к поздравлениям!!!

теперь ждем как я понял DEFCON 2012 и занимаем почетное Первое место!!!?

[Admin]

Спасибо!
Да, ждем DEFCON.
Насчет первого места - уж как получится.

[Tyra]

Наши конкуренты по DEFCON тут участвовали ?

[Admin]

Да.
"teardrop" - это мемберы из "hashcat",
"Xanadrel" - тоже мембер "hashcat",
"john-users" - тоже с DEFCONа (меня, кстати, очень удивил их слабый результат).

Так что, на первых местах всё та же "бессменная" троица - hashcat, мы и john-users...

[shadowolder]

Крутяк!!)Поздравляю!!!

[Rolf]

PHD слакеры, слезинка так и не получила видеокарту.

[Admin]

Ну, еще получат, я думаю.

Итак, доступна финальная статистика:
http://phdays.com/program/contests/hashrunner/stat/

1. Теперь понятно, почему некоторые LM-пароли остались ненайденными - у них вместо дефиса (ASCII-код 0x2D) использовался дефис в хз какой кодировке (ASCII-код 0xAD).

2. По общему кол-ву найденных паролей - мы первые.

3. По макс. кол-ву найденных паролей у конкретных алгоритомв мы тоже на первом месте (10 видов у нас против 4 у teardrop).

[Aries86]

Yes I agree, I just finished reading it and posted a question relating to it.