image

NFI onderhoudt opensourcesoftware voor kraken wachtwoorden smartphones

woensdag 12 juli 2023, 11:03 door Redactie, 5 reacties

Het Nederlands Forensisch Instituut (NFI) onderhoudt opensourcesoftware voor het kraken van de wachtwoorden van in beslag genomen smartphones. Volgens het instituut komt het zelden voor dat overheidsinstanties actief meewerken aan het verbeteren en onderhouden van opensourcesoftware. Het programma in kwestie is Hashtopolis, dat oorspronkelijk door een student werd ontwikkeld.

Hashtopolis is een wrapper voor de populaire wachtwoordkraker Hashcat. Het maakt het mogelijk om taken van Hashcat over meerdere servers te verdelen. Daarnaast ondersteunt Hashtopolis ook andere kraaktools, zoals John the Ripper, Brutus en Aircrack. De software werd vijf jaar geleden door een student ontwikkeld, maar die had na drie jaar geen tijd meer om het programma te onderhouden. "Het programma werd niet meer geüpdatet, fouten niet meer hersteld en er kwam geen nieuwe functionaliteit meer bij", aldus een onderzoeker van het NFI.

Meerdere internationale opsporingsinstanties maken echter gebruik van Hashtopolis voor het kraken van wachtwoorden. "Nu stonden we voor een keuze: we gaan zelf vanaf nul alles opnieuw schrijven en opbouwen of we bouwen verder aan en voeren verbeteringen door aan wat er al ligt. Het zelf opnieuw maken had veel tijd gekost. We hebben daarom besloten om gebruik te maken van wat er al ligt en hiermee verder te gaan", laat de onderzoeker verder weten.

Wachtwoorden kraken

Er zijn meerdere manieren om wachtwoorden te kraken. De eenvoudigste methode is gewoon het wachtwoord raden, zo merkt de onderzoeker op. "Sommige mensen hebben makkelijke wachtwoorden, zoals de naam van hun kind, gecombineerd met een geboortedatum. Dan heb je geen rekenkracht nodig, alleen informatie over de specifieke verdachte."

Andere methodes zijn bruteforce-aanvallen of het kraken van de hash. Hashtopolis stuurt de software aan waarmee hashes worden gekraakt. Het NFI heeft inmiddels tweehonderd commits gemaakt aan de broncode en achtduizend regels code voor Hashtopolis geschreven. Dat heeft tot vier updates van de software geleid.

Reacties (5)
12-07-2023, 13:22 door Anoniem
Hoe werkt dat dan, wordt de telefoon dan via USB verbonden met een computer waar deze software op draait? Ik neem aan dat het hier om het 'lockscreen' wachtwoord gaat? Dat is het enige wachtwoord wat ik heb op LineageOS.
12-07-2023, 15:00 door Anoniem
Door Anoniem: Hoe werkt dat dan, wordt de telefoon dan via USB verbonden met een computer waar deze software op draait? Ik neem aan dat het hier om het 'lockscreen' wachtwoord gaat? Dat is het enige wachtwoord wat ik heb op LineageOS.

Hashcat is een programma dat test welk wachtwoord de juiste hash oplevert, met bruteforce, dictionary of custom woordenlijst in allerlei varianten en combinaties. Maar je hebt dus wel eerst een hash van het wachtwoord nodig, dus die zal eerst uit de telefoon gehaald moeten worden. Zie https://hashcat.net/wiki/
12-07-2023, 17:30 door Anoniem
Door Anoniem:
Door Anoniem: Hoe werkt dat dan, wordt de telefoon dan via USB verbonden met een computer waar deze software op draait? Ik neem aan dat het hier om het 'lockscreen' wachtwoord gaat? Dat is het enige wachtwoord wat ik heb op LineageOS.

Hashcat is een programma dat test welk wachtwoord de juiste hash oplevert, met bruteforce, dictionary of custom woordenlijst in allerlei varianten en combinaties. Maar je hebt dus wel eerst een hash van het wachtwoord nodig, dus die zal eerst uit de telefoon gehaald moeten worden. Zie https://hashcat.net/wiki/

Het bruteforcen van een numerieke pin lijkt met in dat geval kinderlijk eenvoudig.
12-07-2023, 19:11 door Anoniem
Door Anoniem:
Door Anoniem: Hoe werkt dat dan, wordt de telefoon dan via USB verbonden met een computer waar deze software op draait? Ik neem aan dat het hier om het 'lockscreen' wachtwoord gaat? Dat is het enige wachtwoord wat ik heb op LineageOS.

Hashcat is een programma dat test welk wachtwoord de juiste hash oplevert, met bruteforce, dictionary of custom woordenlijst in allerlei varianten en combinaties. Maar je hebt dus wel eerst een hash van het wachtwoord nodig, dus die zal eerst uit de telefoon gehaald moeten worden. Zie https://hashcat.net/wiki/

Echter gaat dit artikel over Hashtopolis en niet over Hashcat, dus dit is geen antwoord op de vraag. Welke extra functionaliteit biedt Hashtopolis en wat maakt deze tool specifiek geschikt voor smartphones?
12-07-2023, 23:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoe werkt dat dan, wordt de telefoon dan via USB verbonden met een computer waar deze software op draait? Ik neem aan dat het hier om het 'lockscreen' wachtwoord gaat? Dat is het enige wachtwoord wat ik heb op LineageOS.

Hashcat is een programma dat test welk wachtwoord de juiste hash oplevert, met bruteforce, dictionary of custom woordenlijst in allerlei varianten en combinaties. Maar je hebt dus wel eerst een hash van het wachtwoord nodig, dus die zal eerst uit de telefoon gehaald moeten worden. Zie https://hashcat.net/wiki/

Echter gaat dit artikel over Hashtopolis en niet over Hashcat, dus dit is geen antwoord op de vraag. Welke extra functionaliteit biedt Hashtopolis en wat maakt deze tool specifiek geschikt voor smartphones?

Het is een wrapper om een kraak-job over meerdere systemen te verdelen.

Voor zo ver ik zie is er niks smartphone-specifieks aan , alleen is het kraken van smartphones/crypto-phones de voornaamste use-case van het NFI waarom ze hashtopolis willen bijhouden.

De dummy-uitleg van het NFI waar het artikel naar linkte legt dat uit.

En uit de https://github.com/hashtopolis/server blurb lees ik de functionaliteit van hashtopolis, (en het niet-smartphone specifiek zijn) .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.