John the Ripper: il cacciatore di password che non perdona

Advertisement

Nel vasto universo dell’hacking etico e della sicurezza informatica, pochi strumenti hanno conquistato una fama tanto leggendaria quanto John the Ripper. Nato come software open source per il cracking delle password, oggi rappresenta un punto di riferimento per penetration tester, ricercatori e – non lo nascondiamo – anche per qualche smanettone con troppa curiosità. Il suo scopo è chiaro: mettere alla prova la resistenza delle credenziali, smascherando debolezze che, troppo spesso, gli utenti ignorano.

John non è un semplice software: è il coltellino svizzero del cracking. Capace di affrontare hash di password di sistemi operativi, archivi compressi, documenti PDF e perfino di testare la robustezza delle password Linux, questo tool si trova già preinstallato su molte distribuzioni di penetration testing, tra cui la celebre Kali Linux e la più estrema BlackArch Linux. Se non è già a bordo della vostra distribuzione preferita, bastano pochi comandi per metterlo in moto.

Installare John the Ripper su ogni piattaforma

Il bello di John the Ripper è che non fa distinzioni di bandiera. Linux, macOS o Windows: lui gira ovunque, pronto a mettere alla prova ogni password.

Su Ubuntu e Debian, l’installazione è questione di un solo comando da terminale:

sudo apt install john

sudo apt install john

Su macOS, dove gli utenti amano i software minimal ma efficaci, basta affidarsi a Homebrew:

brew install john

brew install john

E se siete su Windows, la procedura è leggermente più manuale ma altrettanto accessibile: si scaricano i binari dalla pagina ufficiale di Openwall (https://www.openwall.com/john), si estrae l’archivio ZIP (al momento la release di riferimento è la 1.9.0-jumbo-1 64-bit), e ci si sposta nella cartella scompattata per lanciare finalmente il comando:

john

john

A questo punto il cacciatore di password è pronto a entrare in azione.

Tecniche di cracking: dal dizionario alla forza bruta

John the Ripper non si limita a un singolo approccio, ma sfodera più strategie per mettere in ginocchio le credenziali più deboli. La tecnica più diffusa è l’attacco a dizionario, che sfrutta wordlist di password comuni e già compromesse in passato.

Il perché è semplice e, allo stesso tempo, inquietante: moltissime persone continuano a usare le stesse password per anni, ignorando avvisi, violazioni e buonsenso. Così, se una password viene rubata una volta, finirà quasi certamente nei dizionari usati da John.

Uno dei più celebri è rockyou.txt, incluso in Kali Linux e scaricabile anche da GitHub. Contiene milioni di password trapelate da incidenti di sicurezza, e rappresenta la prima linea d’attacco per ogni pen tester. Altre risorse aggiornate si trovano facilmente online, come nel repository: https://github.com/duyet/bruteforce-database

Quando il dizionario non basta, John passa alle maniere forti. In Incremental Mode, testabile con:

john --incremental hash.txt

john --incremental hash.txt

il tool tenta tutte le possibili combinazioni di caratteri, fino a trovare quella giusta. L’approccio è brutale, richiede tempo e risorse di calcolo, ma è quasi infallibile. Per i più smanettoni c’è anche l’External Mode, che permette di implementare funzioni personalizzate – magari in C – per tentativi di cracking ad hoc.

ZIP, RAR e PDF: quando i file credono di essere al sicuro

John the Ripper non si limita ai sistemi operativi. Anche gli archivi compressi e i documenti protetti da password possono cadere sotto i suoi colpi, grazie a una serie di utility di supporto.

Immaginate un archivio ZIP protetto da una password apparentemente innocua, come cielo1234. L’hacker – o il penetration tester di turno – non perde tempo a tentare manualmente tutte le combinazioni: prima trasforma l’archivio in un hash comprensibile a John, poi lascia che il software faccia il lavoro sporco.

ZIP2JOHN e RAR2JOHN

Per estrarre l’hash da un archivio ZIP basta il comando:

sudo zip2john fileprotetto.zip > hash-hl.txt

sudo zip2john fileprotetto.zip > hash-hl.txt

Il risultato è un file di testo, pronto per essere analizzato. Nel caso di un archivio RAR, si procede in modo analogo con:

rar2john fileprotetto.rar > hash-hl.txt

rar2john fileprotetto.rar > hash-hl.txt

A questo punto John the Ripper può lanciarsi nella caccia alla password con un classico attacco a dizionario:

john --format=zip hash-hl.txt --wordlist=/usr/share/wordlists/rockyou.txt

john --format=zip hash-hl.txt --wordlist=/usr/share/wordlists/rockyou.txt

Dopo qualche minuto, il tool restituisce la password incriminata, in questo caso proprio cielo1234.

Anche i PDF non sono al sicuro

Nemmeno i documenti PDF protetti da password riescono a sottrarsi a John. La procedura è simile:

pdf2john fileprotetto.pdf > hash-hl-pdf.txt

pdf2john fileprotetto.pdf > hash-hl-pdf.txt

Seguito da:

john --format=pdf hash-hl-pdf.txt --wordlist=1000000-password-seclists.txt

john --format=pdf hash-hl-pdf.txt --wordlist=1000000-password-seclists.txt

Cambiare dizionario può accelerare il processo o aumentare le possibilità di successo, soprattutto su documenti protetti con password insolite. Ancora una volta, qualche minuto di pazienza e la protezione svanisce.

Linux e la sfida delle password di sistema

John the Ripper non serve solo a violare archivi e documenti: il suo utilizzo più prezioso è mettere alla prova la sicurezza dei sistemi Linux, scoprendo se gli utenti hanno scelto password vulnerabili.

Su Linux, le credenziali non sono salvate in chiaro ma in forma di hash. I file chiave sono:

• /etc/passwd, che contiene informazioni sugli utenti (username, UID, descrizione dell’account)
• /etc/shadow, che conserva gli hash delle password e le informazioni sugli ultimi cambi.

Per prepararli all’analisi, si usa il comando:

unshadow /etc/passwd /etc/shadow > pwdlinux.txt

unshadow /etc/passwd /etc/shadow > pwdlinux.txt

Ora John può tentare il cracking:

john --format=crypt --wordlist=/usr/share/wordlists/rockyou.txt pwdlinux.txt

john --format=crypt --wordlist=/usr/share/wordlists/rockyou.txt pwdlinux.txt

Il processo richiede tempo, ma al termine il software mostrerà le password degli utenti che hanno ceduto sotto l’attacco. Naturalmente, in un contesto di cybersecurity, il vero scopo è individuare credenziali deboli e rafforzarle, non certo rubarle ;).

L’etica del cracking: un potere da usare con responsabilità

John the Ripper è uno strumento straordinario, ma come ogni tecnologia potente, può essere un’arma a doppio taglio. L’uso improprio – per esempio su sistemi o file di cui non si possiede l’autorizzazione – è illegale nella maggior parte dei Paesi.

Per questo, ogni test di sicurezza deve essere condotto con consenso esplicito e autorizzazione scritta. Le aziende serie fanno auditing delle proprie password proprio con strumenti come John, per anticipare possibili violazioni.

Il consiglio finale è semplice: imparate a conoscere John the Ripper, sfruttatelo in ambito di penetration testing e formazione sulla sicurezza, ma rispettate sempre le leggi e l’etica professionale. Il confine tra il white hat e il black hat, nel cracking, è sottile quanto la riga di comando di un terminale.

Conclusione

In un mondo in cui le violazioni di dati sono all’ordine del giorno, strumenti come John the Ripper non sono solo affascinanti, ma fondamentali per difendersi. Testare le proprie password, scoprire vulnerabilità e imparare dai propri errori è l’unico modo per rafforzare davvero la sicurezza.

Che lo si usi per sfidare un archivio ZIP ostinato o per controllare la robustezza di un server Linux, John rimane il cacciatore di password per eccellenza. Ma ricordate: con grande potere arriva grande responsabilità… e qualche riga di comando in più.

💡 Vuoi saperne di più sul mondo dell’hacking? Segui Hackerlog per approfondimenti su cybersecurity, hacking etico e molto altro!