Hashtopolis è un applicazione multi piattaforma per il cracking distribuito che nasce con un nuovo nome a marzo del 2018 e che ha fatto dei buoni passi avanti. L’applicazione utilizza per la parte di cracking Hashcat il quale viene installato on-demand per mezzo degli agent. Ma entriamo nel dettaglio..

La potenzialità maggiore del progetto è la portabilità, infatti gli autori hanno scelto come linguaggi di sviluppo python e php. Ha una gestione utenti e gruppi granulare che arriva a definire una serie di caratteristiche come ad esempio la disponibilità del numero di nodi di rete per il cracking a seconda del profilo.

Hashtopolis è composto da 2 parti:

  • Agent – Disponibili in Python. Quindi supportati da Windows, (uso di mono anche su OSx) e Linux.
  • Server – Opera con due GUI la parte di Admin e quella relativa agli Agent Connection Point. Il database di backend è in Mysql.

La comunicazione tra agent e server avviene attraverso il protocollo HTTP(S) il che aggiunge un punto in più sulla portabilità. Non necessita quindi di aprire ulteriori porte di rete.

Nell’ultima versione è disponibile la documentazione sul loro Wiki sulle API sia lato client che server. Molto utile per chi vuole capire meglio come avviene la comunicazione.

Uno dei punti deboli di Hashtopolis è il backend appunto in Mysql. Le query a volte molto pesanti, possono risultare molto lente su database non hardenizzati. E’ quindi consigliabile spendere del tempo per il tuning di Mysql.

L’interfaccia di Admin è l’unico punto di accesso per tutti gli agent. Il collegamento di un nuovo agent è molto semplice e richiede la generazione di una one-time password. Questo in termini di sicurezza riduce il rischio di “rogue agent” e assicura l’affidabilità del dato.

Trovo la gestione dei task relativi agli Agent leggermente complessa in quanto ne esistono 3 tipi task: task normale, il superTask e il subtask. Ognuno ha le sue specifiche ma forse un nome diverso avrebbe aiutato a comprendere meglio. Ma questo credo se ne siano accorti anche loro infatti la documentazione ufficiale apre proprio con una spiegazione della terminologia.

Conclusioni

In generale da quello che ho potuto provare si tratta di una piattaforma davvero interessante ma ancora non molto matura su certi aspetti (usabilità fra tutti).

Riferimenti e Guide

Per l’installazione è disponibile la documentazione sul loro Wiki. Se non avete voglia di leggervi tutta la documentazione ecco una guida per l’installazione step-by-step con tanto di videotutorial.

Github Ufficiale: https://github.com/s3inlc/hashtopolis/

Una guida su come creare una rete distribuita su istanze AMI Amazon.