老牌 Windows 密碼審計(jì)工具轉(zhuǎn)向開(kāi)源,不再收費(fèi)
老牌的Windows系統(tǒng)密碼審計(jì)工具L0phtCrack正式宣布開(kāi)源!
Christien Rioux (DilDog)是L0phtCrack的最初作者之一,也是黑客團(tuán)體L0pht Heavy Industries的成員。20多年前,他在DEF CON大會(huì)期間發(fā)布該工具的開(kāi)源版本。在成功解決了與業(yè)務(wù)相關(guān)的障礙之后,本周發(fā)布的L0phtCrack將作為一個(gè)開(kāi)源軟件實(shí)用程序發(fā)布。
Terahash在2020年4月曾宣布將收購(gòu)這個(gè)密碼審計(jì)工具,但由于一直拖欠資金最終導(dǎo)致該筆交易以失敗收?qǐng)?,因此?021年6月 L0phtCrack的所有權(quán)重新回到 Rioux 和他的同事手中。據(jù)the Daily Swig報(bào)道,在Terahash對(duì)該項(xiàng)目進(jìn)行管理的 15 個(gè)月時(shí)間里,L0phtCrack沒(méi)有進(jìn)行過(guò)任何更新,甚至是錯(cuò)誤修復(fù)。
Rioux和他在L0pht Heavy Industries的前黑客同事決定不去尋找替代買(mǎi)家,而是作為一個(gè)開(kāi)源項(xiàng)目進(jìn)一步開(kāi)發(fā)這項(xiàng)技術(shù)。盡管作為一個(gè)獨(dú)立項(xiàng)目很難獲得商業(yè)支持,但這項(xiàng)技術(shù)仍有未來(lái)。
Rioux告訴The Daily Swig:“這仍然是一個(gè)商業(yè)上可行的產(chǎn)品,它很小,不需要進(jìn)一步投資的開(kāi)發(fā)團(tuán)隊(duì)。‘人們是否愿意花錢(qián)’和‘人們是否愿意花時(shí)間去支持它’之間存在著巨大的區(qū)別。”
Wysopal對(duì)這項(xiàng)技術(shù)有很大的野心,現(xiàn)在L0phtCrack 7.2.0已經(jīng)發(fā)布到開(kāi)源社區(qū):
- 越來(lái)越多的開(kāi)發(fā)者會(huì)參與進(jìn)來(lái),協(xié)助維護(hù)和開(kāi)發(fā)項(xiàng)目
- 插件系統(tǒng)和API形式化,支持多種破解工具,如HashCat
- 對(duì)新版Windows和其他操作系統(tǒng)的支持依然會(huì)保持
- 與更多的哈希收集機(jī)制的整合,如 Responder
另一個(gè)開(kāi)發(fā)者 Wysopal 表示:我希望像OWASP或類似的組織或其他有意愿的開(kāi)發(fā)者可以參與進(jìn)來(lái)。我認(rèn)為這個(gè)框架最終可能不僅僅是一個(gè)密碼破解工具,還可以用于普通的‘安全審計(jì)’任務(wù)的一般自動(dòng)化。”
Rioux從事L0phtCrack的代碼編寫(xiě)工作已經(jīng)20多年了,因此,現(xiàn)在是時(shí)候退居二線了,讓其他開(kāi)發(fā)者可以在參與項(xiàng)目開(kāi)發(fā)的同時(shí)也能發(fā)揮領(lǐng)導(dǎo)的租用,L0phtCrack有一個(gè)靈活的插件體系結(jié)構(gòu),可以不斷進(jìn)行擴(kuò)展,以支持更好的服務(wù)。
鏈接:https://portswigger.net/daily-swig/l0phtcrack-password-auditing-tool-goes-open-source