Уже несколько лет ежегодно проводятся два конкурса по подбору паролей к хешам, шифрованным архивам и т.п. - Crack Me If You Can с 2010 на DEFCON в Лас-Вегасе и Hash Runner с 2012 на проходящей в Москве PHDays. Сегодня в 19:00 по Москве начался очередной Hash Runner (на этот раз не пересекаясь по датам с самой PHDays, чтобы участники конкурса могли посетить конференцию уже на конкурс не отвлекаясь), и продлится он трое суток:
http://hashrunner.phdays.com
http://www.openwall.com/lists/john-users/2014/05/08/2
Наша команда john-users, произошедшая от одноименного списка рассылки (существует с 2005 года), традиционно участвует в этих конкурсах, занимая в разное время разные места с 4-го по 1-е. Да, прошлогодний Hash Runner мы выиграли, и призовую 7990 поставили в HPC Village:
http://openwall.info/wiki/HPC/Village
Если выиграем R290X в этом Hash Runner, для нее есть свободный слот в той же HPC Village, т.е. план такой, что она будет доступна для Open Source сообщества.
Четверка лидеров в этих конкурсах пока не меняется, хотя всего участвуют обычно около 20 команд. Из этой четверки, мы единственная команда, использующая только Open Source инструменты подбора паролей. В частности, мы не используем hashcat.
Для ознакомления, вот некоторые из наших writeup'ов с CMIYC:
http://contest-2012.korelogic.com/team_john-users.html
http://contest-2011.korelogic.com/team_john-users.html
http://contest-2010.korelogic.com/team_john-users.html
Я хочу пригласить LOR'овцев в нашу команду - в качестве полноценных участников (при условии использования только Open Source!) или/и в качестве доноров процессорного времени.
Для присоединения к команде, напишите e-mail Алексею Черепанову - он лидер нашей команды. См. приглашение в списке john-users выше.
Для донорства, я подготовил вот такой tarball:
http://www.openwall.com/pvt/lor/
SHA-256:
f1c9ad21cdc0b5c44ac86bc2be1ee85a90945734965c8ae1e05158206c077ede john-slave-2014-1.tar.gz
Внутри - сборки John the Ripper bleeding-jumbo под x86_64 и под 32-битный x86 (всего 6 различных бинарников с автоматическим выбором наиболее подходящего), и Perl-скрипт (dirty hack, but it works) для соединения с нашим пулом. Запускать всё это - с помощью ./safeslave.sh - и всё, оно соединится по SSH с пулом и будет ждать команд. Соединение только исходящее, так что будет работать и за NAT'ом.
Warning/disclaimer: я советую запускать slave под выделенным для этой цели псевдо-пользователем. В случае чьей-либо успешной атаки на наш пул, я не исключаю ее распространение на slave'ов, особенно учитывая что код John the Ripper писался в предположении что командная строка и т.п. - это trusted input. Разумеется, я не ожидаю, что что-то такое реально произойдет, но мой долг - предупредить о риске.
Донорство GPU пока не предусмотрено (хотя у существующих участников команды есть суммарно несколько десятков GPU, и мы конечно их используем), но в случае большого количества желающих с серьезными GPU может быть реализовано.
