Autor: prodwald

Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych

Celem artykułu jest przedstawienie metodyki postępowania w przypadku, gdy atakujący (biegły sądowy, technik kryminalistyki, pentester) ma za zadanie złamać hasło do pewnego systemu teleinformatycznego przy nałożonych ograniczeniach czasowych. Sytuacja taka ma często miejsce w toku działań procesowych prowadzonych przez organy ścigania, podczas zatrzymań sprzętu komputerowego. Na wstępie przedstawiono obowiązującą wykładnię prawa wraz z dobrymi praktykami przy zabezpieczaniu materiału dowodowego. Następnie omówiono sposoby przechowywania haseł w systemach informatycznych, po czym dokonano przeglądu różnych klas ataków na hasła. Wyszczególniono także najpopularniejsze narzędzia wspomagające proces łamania haseł. W głównej części pracy przedstawiono autorską strategię przeprowadzania ataku przy nałożonych z góry ograniczeniach czasowych dla dostępnych zasobów sprzętowych. Pokazane zostały również szacunkowe koszty i efektywność ekonomiczna dla wybranych rozwiązań. Obliczenia pokazano na przykładzie dwóch rzeczywistych ataków przeprowadzonych przez autora w trakcie prawdziwych działań procesowych.

Choosing a password breaking strategy with imposed time restrictions

The aim of the article is to present the password breaking methodology in case when an attacker (forensic investigator, court expert, pen tester) has imposed time restrictions. This is a typical situation during many legal investigations where computers are seized by legal authorities but they are protected by passwords. At the beginning, the current state of law in that matter is presented, along with good practices in seizing the evidence. Then, the ways of storing static passwords in information systems are showed, after which various classes of password breaking methods are reviewed (dictionary, brute-force, rule, combinator, mask, hybrid, etc.). The most popular tools supporting this process are listed as well. The main part of the paper presents the original strategy of conducting an attack on a single hashed password with time constraints. Costs as well as economic efficiency for four different hardware solutions (laptop, gaming computer, rig with 6 GPU’s, cloud computing) are discussed. The calculations are shown on the example of two real attacks carried out by the author in the real legal cases.

DOI: 10.5604/01.3001.0013.1467
GICID: 01.3001.0013.1467
Biuletyn WAT 2019; 68 (1): 79-100

Link: https://biuletynwat.pl/resources/html/article/details?id=188207

Randomly chosen e-mail addresses recovered from Gravatars on the website stackoverflow.com

MD5 hashe-mailimg
d088cf3759838471c6542969973a3fc3n*********d@yahoo.co.in
8973736181fb7e74db60f7a719dd7d9ds*********a@gmail.com
b38d3a9f05bc05fae83440267e857856p******n@gmail.com
1e2145a0d3f0772af4276de26b5ba595v**************r@gmail.com
370fdccdc845bbd26db590308dbf5844m*********z@yahoo.com
2bc558771c26ef5006025d3a7fe9c771j*********3@yahoo.com
ce47033948e0019c63e406a5973b7978g*********e@gmail.com
b31288010ba4a69f135989bf3ff27978g*********o@gmail.com
48d47fa7e554c955a1a9fdc5abb53883e***********o@gmail.com
81707ee403cd1d065ab90bdc8f37df34g************n@gmail.com
1113f5f5418aeb4346990727c5db36a2m****************s@gmail.com
69cfb54c62f454f62ed886f46c579d58t****************c@gmail.com
ee4a44c44462b7feae036b6349d2f0bc0********k@gmail.com
24e2fca1f4675a96dc4dbfad6be11adbf*******a@gmail.com
54ffeb6cc25cb72d9baf93d91f542e5el**************2@gmail.com
6dc4a9f26efd85a52e2641ec34512c2ft***********r@outlook.com
1b4505849504df071ccab2b71536e115m*********1@gmail.com
11a29c40915f938b378e475d23d9c99fj**********i@gmail.com
d2a0f236f43144b12a5324d8d86d6f4fz*************z@gmail.com
7ce707f1d34d581ff71842c7c230569cs********n@qq.com

Randomly chosen e-mail addresses recovered from Gravatars on the website jakoszczedzacpieniadze.pl / Losowo wybierane adresy e-mail odtworzone z Gravatarów w serwisie jakoszczedzacpieniadze.pl

MD5 hashe-mailimg
6d4d811624bbf4bb37000dcbf0b6f3a0t********1@gmail.com
9f10f875cea2d430967ac988cd4eef89l*******a@o2.pl
49af7d756a155e9d69ed5bd60d2ef0bbj***************k@gmail.com
0f3470302fcf51fa666c564da4fc5c37p************k@gmail.com
3b366fb63761f0a2d49a380b3e6dde16k******5@gazeta.pl
36b1797b492a397820a61b11a84d837dd***********4@o2.pl
4991db545cfcff64a95a23cb35d85facb*********m@gmail.com
a0089559e9c1d7635db9d92057d75e86a*******************a@autograf.pl
942b84711e0f7618c7b24320c189fc45m*******n@wp.pl
aa59abd91fa571f9d7b809ae228bcc4d1******l@gazeta.pl
0969c7743e6e630a6a738b68420963d4k***********************i@gmail.c
cb0b26071804d96f4a7156c21968a762w*****y@wolnymbyc.pl
6bf6174ce6a6b2d5742caf2dc6fdc399m********r@op.pl
cc3678662d6bb27095b407bd68b982a7p******s@interia.pl
f52c91298858298ce4e5413820ddba08m**************z@o2.pl
494132502335f5feb54f358ae7b5d14el******s@wp.pl
9095afe6dcfde3cbf6966940cba2977cm*****n@wp.pl
66e63779e68e3a4f524f367b56954d87z**********p@gmail.com
08085d3236e97dcaac1f1e8b20b7e986l*************a@gmail.com
29b74e9555db9fb0b5a7ba100fcfd277a****************z@wp.pl

Zabezpieczanie haseł w systemach informatycznych

Celem artykułu jest usystematyzowanie metod zabezpieczania statycznych haseł przechowywanych na potrzeby systemów informatycznych, w szczególności serwisów internetowych, wskazanie słabych stron zaprezentowanych metod oraz wyciągnięcie wniosków w postaci zaleceń dla projektantów systemów informatycznych. Na wstępie przedstawiono pojęcie kryptograficznej funkcji skrótu, a następnie omówiono kolejne metody przechowywania haseł, pokazując ich ewolucję oraz podatności na współczesne ataki. Pokazano wyniki badań nad hasłami maskowanymi w polskich bankach oraz przedstawiono najciekawsze przykłady współczesnych funkcji adaptacyjnych. Następnie dokonano autorskiej systematyzacji metod zabezpieczania haseł oraz wskazano kierunki dalszych badań. Słowa kluczowe: informatyka, hasła, uwierzytelnianie, zabezpieczanie danych, funkcje skrótu.

Password protection in IT systems

The aim of the article is to systematise the methods of securing static passwords stored in IT systems. Pros and cons of those methods are presented and conclusions as a recommendation for IT system designers are proposed. At the beginning, the concept of cryptographic hash function is presented, following discussion of methods of storing passwords showing their evolution and susceptibility to modern attacks. Results of research on masked passwords of Polish banks IT systems
are presented, as well as the most interesting examples of adaptive password functions are given. Then, the systematisation of password protection methods was carried out. Finally, the directions for
further research are indicated.

DOI: 10.5604/01.3001.0011.8036
GICID: 01.3001.0011.8036
Biuletyn WAT 2018; 67 (1): 73-92

Link: https://biuletynwat.pl/resources/html/article/details?id=170409

Kryptograficzne funkcje skrótu

Celem artykułu jest przegląd informacji dotyczących funkcji skrótu oraz przedstawienie najnowszych osiągnięć kryptografii w tym zakresie. Wyjaśnione są podstawowe pojęcia dotyczące funkcji skrótu, ich zastosowanie oraz metody ataków. Pokazany jest bieżący stan kryptoanalizy znanych i powszechnie stosowanych funkcji skrótu: MD4, MD5, SHA. Na zakończenie omówiona jest przyszłość funkcji skrótu i zakończony konkurs na nowy standard funkcji SHA-3.

Cryptographic hash functions

The article presents a synthesis of information about the hash function and shows the latest developments in this field of cryptography. Basic concepts of the hash function are explained: definition, properties, classification, usage of the hash function and methods of attacks. The current state of cryptanalysis of known and commonly used hash functions (MD, SHA) is shown as well as consequences coming from this. At the end the attention will be paid to the future of the hash function and the current state of art in the competition for developing the new standard of SHA-3 function.

Zeszyty Naukowe Akademii Marynarki Wojennej, 2 (193), 2013, 91-102

Link: https://www.amw.gdynia.pl/images/AMW/Menu-zakladki/Nauka/Zeszyty_naukowe/Numery_archiwalne/2013/ZN_2013_2/11_Rodwald%20P.pdf