Специалист по безопасности Джошуа Дастин (Joshua Dustin) опробовал новый способ пополнения словарей, которые используются при брутфорсе. Метод довольно оригинальный, потому что при составлении словаря используется поиск по твиттеру. Идея Дастина заключается в том, что Twitter даёт более актуальные, свежие термины, которые прекрасно дополняют обычную словарную базу.
Сама технология довольно проста: сначала для жертвы составляется список «посевных» слов, которые имеют тематическую связь с жертвой (например, [Afghanistan]).
Далее осуществляется поиск по твиттеру с использованием посевных слов. Результаты поиска являются базой для пополнения словаря.
Джошуа Дастин приводит пример с базой хешей паролей, полученных с тематического сайта militarysingles.com. Поиск в твиттере осуществлялся по запросу [Afghanistan]. Получив 4400 уникальных слов с твиттера, каждое из них хешировалось функцией MD5 и сравнивалось с хешами, полученными с сайта — для этого использовалась программа John the Ripper. В итоге, на маленьком словаре из твиттера удалось подобрать 1976 уникальных хешей, то есть 1976 из 4400 слов реально использовались в качестве паролей.
Сложно сказать, насколько эффективен данный способ на практике, но факт в том, что при использовании такого же по размеру словаря из самых популярных слов английского языка удаётся подобрать меньше паролей. Так что этот метод действительно можно назвать эффективным. Он должен быть особенно действенным при подборе паролей от специализированных сайтов, ведь поиском по твиттеру мы получаем такой же список «самых популярных слов», но с тематическим уклоном.
В любом случае, идея весьма свежая — она напоминает похожую идею с составлением словаря для брутфорса путём парсинга Википедии.
