Autor: prodwald

Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych

Celem artykułu jest przedstawienie metodyki postępowania w przypadku, gdy atakujący (biegły sądowy, technik kryminalistyki, pentester) ma za zadanie złamać hasło do pewnego systemu teleinformatycznego przy nałożonych ograniczeniach czasowych. Sytuacja taka ma często miejsce w toku działań procesowych prowadzonych przez organy ścigania, podczas zatrzymań sprzętu komputerowego. Na wstępie przedstawiono obowiązującą wykładnię prawa wraz z dobrymi praktykami przy zabezpieczaniu materiału dowodowego. Następnie omówiono sposoby przechowywania haseł w systemach informatycznych, po czym dokonano przeglądu różnych klas ataków na hasła. Wyszczególniono także najpopularniejsze narzędzia wspomagające proces łamania haseł. W głównej części pracy przedstawiono autorską strategię przeprowadzania ataku przy nałożonych z góry ograniczeniach czasowych dla dostępnych zasobów sprzętowych. Pokazane zostały również szacunkowe koszty i efektywność ekonomiczna dla wybranych rozwiązań. Obliczenia pokazano na przykładzie dwóch rzeczywistych ataków przeprowadzonych przez autora w trakcie prawdziwych działań procesowych.

Choosing a password breaking strategy with imposed time restrictions

The aim of the article is to present the password breaking methodology in case when an attacker (forensic investigator, court expert, pen tester) has imposed time restrictions. This is a typical situation during many legal investigations where computers are seized by legal authorities but they are protected by passwords. At the beginning, the current state of law in that matter is presented, along with good practices in seizing the evidence. Then, the ways of storing static passwords in information systems are showed, after which various classes of password breaking methods are reviewed (dictionary, brute-force, rule, combinator, mask, hybrid, etc.). The most popular tools supporting this process are listed as well. The main part of the paper presents the original strategy of conducting an attack on a single hashed password with time constraints. Costs as well as economic efficiency for four different hardware solutions (laptop, gaming computer, rig with 6 GPU’s, cloud computing) are discussed. The calculations are shown on the example of two real attacks carried out by the author in the real legal cases.

DOI: 10.5604/01.3001.0013.1467
GICID: 01.3001.0013.1467
Biuletyn WAT 2019; 68 (1): 79-100

Link: https://biuletynwat.pl/resources/html/article/details?id=188207

Randomly chosen e-mail addresses recovered from Gravatars on the website stackoverflow.com

MD5 hashe-mailimg
cd46b16e4e98e33b31d9b5b161943baam********n@gmail.com
2fc0fce17a01c1fe3726b389ce1775acn*********t@gmail.com
eac3553644a7ccad2756d06a25365a38c********g@gmail.com
cd5b9a4cda3704deb96cd1cc69863b37e*********y@gmail.com
9564bd419be2168c55929de43aed0c27q******1@gmail.com
5ce59b7f5586b711373d604e1212382dg******n@gmail.com
5fec1602f78b80e6aec558ade27d56dcp*p@ptb.io
8433b3c0b0850f781974a5d54e4e82d1a*********5@gmail.com
63896f69fd6c836ea6b90c60867fa2dbi******5@gmail.com
654347fa215a02cb00e6576583fd21e8c***************s@gmail.com
f76959d88a11759c915d6ba6d1125b1bd********n@gmail.com
9de7a41699000c1ddd8a69d47146ddbfg***********0@yahoo.com
e6c13703ad87d9f11f25a5177f6a4087a*********e@gmail.com
c9a416dfe15b07ad31728cea666e51f2r***************j@gmail.com
6cb9370f1d4cfb3da01d404f86977f26k*******g@bigpond.net.au
fb444970ff7f9f1f545438e4324cd741s***********r@outlook.com
1ab669d93d2c27986ba234ac2f373262s*********a@yahoo.com
68bfe2f4f64c844d2768b3f84701facdg***********l@gmail.com
9d4c56c18e15f765516ed21bc9a4813fm********a@hotmail.com
a5707073cbca5b4381cbdcf99df9d9e6o******s@yahoo.gr

Randomly chosen e-mail addresses recovered from Gravatars on the website jakoszczedzacpieniadze.pl / Losowo wybierane adresy e-mail odtworzone z Gravatarów w serwisie jakoszczedzacpieniadze.pl

MD5 hashe-mailimg
29f0f6198ad7501c781964a4b3ce91d3m*********w@gmail.com
b9d724fa064cbda04b9e2bf60cc93d99p**************a@gmail.com
7d82f15817a7a5eb6803f7138551a644a***********3@gmail.com
01847557f3d0fe7883cf57f763f7eb06m*********a@gmail.com
91d9cde646a747a33a3a60d2905c575ap***************k@vp.pl
fd130bde30a85d8708474490af78a2efa*****3@wp.pl
593f93becaf814dbcd479e13af65739ek******n@gazeta.pl
c742daf2618663eff3aa0f88a43dce22m********1@wp.pl
a4c32ae34735907adbeffdb0672e2f30l*******7@yahoo.com
2f573660adf05c5ddc1901a3ed36cc42r******b@o2.pl
33e25d5f6ec84a5d2c74f4850a625500s************n@op.pl
60f9a44eaa3dc345e1ecec4e7a46d4dfp**************a@onet.eu
e1112da33b9eb26e81ca668442aa8b49m************h@gmail.com
d2f4e29bef790816d57d4fb56754b6bfa******y@gazeta.pl
6818105a179e43e1770fbf91e485b8efm***************i@gmail.com
62e3e222fc02311412cf0e2e679235b5k**********i@gmail.com
d3e36a1af53e447c878673ea7ed4b5efl**********1@wp.pl
bf4478c085889b2bd66ceb11f3b8b2a8h*****5@o2.pl
1d71d539a05f411a4bbcb6de9eb196aat***p@wp.pl
f004141c3c801c19dea326b57f9fbf6ck*****l@wp.pl

Zabezpieczanie haseł w systemach informatycznych

Celem artykułu jest usystematyzowanie metod zabezpieczania statycznych haseł przechowywanych na potrzeby systemów informatycznych, w szczególności serwisów internetowych, wskazanie słabych stron zaprezentowanych metod oraz wyciągnięcie wniosków w postaci zaleceń dla projektantów systemów informatycznych. Na wstępie przedstawiono pojęcie kryptograficznej funkcji skrótu, a następnie omówiono kolejne metody przechowywania haseł, pokazując ich ewolucję oraz podatności na współczesne ataki. Pokazano wyniki badań nad hasłami maskowanymi w polskich bankach oraz przedstawiono najciekawsze przykłady współczesnych funkcji adaptacyjnych. Następnie dokonano autorskiej systematyzacji metod zabezpieczania haseł oraz wskazano kierunki dalszych badań. Słowa kluczowe: informatyka, hasła, uwierzytelnianie, zabezpieczanie danych, funkcje skrótu.

Password protection in IT systems

The aim of the article is to systematise the methods of securing static passwords stored in IT systems. Pros and cons of those methods are presented and conclusions as a recommendation for IT system designers are proposed. At the beginning, the concept of cryptographic hash function is presented, following discussion of methods of storing passwords showing their evolution and susceptibility to modern attacks. Results of research on masked passwords of Polish banks IT systems
are presented, as well as the most interesting examples of adaptive password functions are given. Then, the systematisation of password protection methods was carried out. Finally, the directions for
further research are indicated.

DOI: 10.5604/01.3001.0011.8036
GICID: 01.3001.0011.8036
Biuletyn WAT 2018; 67 (1): 73-92

Link: https://biuletynwat.pl/resources/html/article/details?id=170409

Kryptograficzne funkcje skrótu

Celem artykułu jest przegląd informacji dotyczących funkcji skrótu oraz przedstawienie najnowszych osiągnięć kryptografii w tym zakresie. Wyjaśnione są podstawowe pojęcia dotyczące funkcji skrótu, ich zastosowanie oraz metody ataków. Pokazany jest bieżący stan kryptoanalizy znanych i powszechnie stosowanych funkcji skrótu: MD4, MD5, SHA. Na zakończenie omówiona jest przyszłość funkcji skrótu i zakończony konkurs na nowy standard funkcji SHA-3.

Cryptographic hash functions

The article presents a synthesis of information about the hash function and shows the latest developments in this field of cryptography. Basic concepts of the hash function are explained: definition, properties, classification, usage of the hash function and methods of attacks. The current state of cryptanalysis of known and commonly used hash functions (MD, SHA) is shown as well as consequences coming from this. At the end the attention will be paid to the future of the hash function and the current state of art in the competition for developing the new standard of SHA-3 function.

Zeszyty Naukowe Akademii Marynarki Wojennej, 2 (193), 2013, 91-102

Link: https://www.amw.gdynia.pl/images/AMW/Menu-zakladki/Nauka/Zeszyty_naukowe/Numery_archiwalne/2013/ZN_2013_2/11_Rodwald%20P.pdf