Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych

Celem artykułu jest przedstawienie metodyki postępowania w przypadku, gdy atakujący (biegły sądowy, technik kryminalistyki, pentester) ma za zadanie złamać hasło do pewnego systemu teleinformatycznego przy nałożonych ograniczeniach czasowych. Sytuacja taka ma często miejsce w toku działań procesowych prowadzonych przez organy ścigania, podczas zatrzymań sprzętu komputerowego. Na wstępie przedstawiono obowiązującą wykładnię prawa wraz z dobrymi praktykami przy zabezpieczaniu materiału dowodowego. Następnie omówiono sposoby przechowywania haseł w systemach informatycznych, po czym dokonano przeglądu różnych klas ataków na hasła. Wyszczególniono także najpopularniejsze narzędzia wspomagające proces łamania haseł. W głównej części pracy przedstawiono autorską strategię przeprowadzania ataku przy nałożonych z góry ograniczeniach czasowych dla dostępnych zasobów sprzętowych. Pokazane zostały również szacunkowe koszty i efektywność ekonomiczna dla wybranych rozwiązań. Obliczenia pokazano na przykładzie dwóch rzeczywistych ataków przeprowadzonych przez autora w trakcie prawdziwych działań procesowych.

Choosing a password breaking strategy with imposed time restrictions

The aim of the article is to present the password breaking methodology in case when an attacker (forensic investigator, court expert, pen tester) has imposed time restrictions. This is a typical situation during many legal investigations where computers are seized by legal authorities but they are protected by passwords. At the beginning, the current state of law in that matter is presented, along with good practices in seizing the evidence. Then, the ways of storing static passwords in information systems are showed, after which various classes of password breaking methods are reviewed (dictionary, brute-force, rule, combinator, mask, hybrid, etc.). The most popular tools supporting this process are listed as well. The main part of the paper presents the original strategy of conducting an attack on a single hashed password with time constraints. Costs as well as economic efficiency for four different hardware solutions (laptop, gaming computer, rig with 6 GPU’s, cloud computing) are discussed. The calculations are shown on the example of two real attacks carried out by the author in the real legal cases.

DOI: 10.5604/01.3001.0013.1467
GICID: 01.3001.0013.1467
Biuletyn WAT 2019; 68 (1): 79-100

Link: https://biuletynwat.pl/resources/html/article/details?id=188207

Randomly chosen e-mail addresses recovered from Gravatars on the website stackoverflow.com

MD5 hashe-mailimg
da698e0f6137f881e120ba96344c72a1d*************k@gmail.com
178a44bbcee76f1c129f15350de5a62ct************a@gmail.com
00267b8cd477080b0381ada1aa791712a************p@yahoo.com
e34813c2e2b8cc8821d543af457e6798a*****************2@gmail.com
6e7bd2ff1c07de9e0eeb668e90682eedr*********9@yahoo.com
44c0c1bac518afd0d6aa6764d39b531cs*************h@yahoo.com
fe54ce2c41826d203591b58ee5060738t************4@gmail.com
3a33d5f3b47c19987267118b65328be2l*********8@yahoo.com
c4d8f39591139d6e0702459139c69cc6d*************v@hotmail.com
d2d417ce9bbd6f21381698fe17fc1671l**********3@yahoo.com
7ee19ba67597aeda3722775ad65b4b63a*****s@procrea.es
c8d21d980826ff4c33987a11a4947285g*********1@gmail.com
67a2cad36f84e5a5d27cb6ebb86475bea*************7@gmail.com
93fbad1a6f7a4675186602f7b63952ffc***********l@gmail.com
6ba0c7fabba8137c7d283a334795af29a**********4@gmail.com
82160a02bd617133ae720b95cc27a536f*********r@googlemail.com
21b4d4cc9a67e3ef04ac03c46a89af6bp***********8@gmail.com
985fb6aceb8c7baff877b712b3019f26j*******l@gmail.com
630030e132c16ee4d9b7f63b53ceb838m***************o@gmail.com
28c21881b7a366e80e5b85518e839fe7n****************l@gmail.com

Randomly chosen e-mail addresses recovered from Gravatars on the website jakoszczedzacpieniadze.pl / Losowo wybierane adresy e-mail odtworzone z Gravatarów w serwisie jakoszczedzacpieniadze.pl

MD5 hashe-mailimg
57ea28c066e0d5a2363afbbafa13ec79p**************k@o2.pl
d906ab03c565046b2c1709d29d074dcfm********8@gmail.com
903e3d20b1283ccabcff807bb0964b1ce*********o@gmail.com
2ab85cb78ab437c04f2208881e882dd2a*********l@gmail.com
8273f294f8da3d565504b8fda8f32ba7z**b@o2.pl
b13b4d9853524756769320e3c8d1a0f6d**********g@tlen.pl
d78fe6bda20b25eea1e474b7a945d58aw******************k@wp.pl
78f821588ae1bda6c75cf02988937a0cm*********w@gmail.com
efa8867dfd99b5bfed752814a02d7cd8t********a@gmail.com
d58310dee6e162edc955f4b8313d3e68a********e@gmail.com
94f6d7e13a281459579d4f5399097b19a*****a@giniowiec.pl
ae84c98b471de8d93bcd2c368a248af3s***********k@op.pl
6fb80efb0e4858d67d2d7d3ba0cf3878w******************i@o2.pl
691eb5bba57d2b025e3b7fe51123fa5ed*******r@kr.onet.pl
f67aedd138aefbc73123b93da009db8dk*********1@gmail.com
e66fd20754cca89cce1d53f49c4995dac*********p@gmail.com
9c508984a2df08a2fe0cdd87e1b764a8d*********0@gmail.com
d2c18155a3b3d3e1038264450b46c3b1m***********s@gazeta.pl
034d5e78dca7feeebd7df0f847f2feaer*********5@niepodam.pl
eafa15ab72eddf9e1e03fed8c6d1b9f9t**********i@o2.pl

Zabezpieczanie haseł w systemach informatycznych

Celem artykułu jest usystematyzowanie metod zabezpieczania statycznych haseł przechowywanych na potrzeby systemów informatycznych, w szczególności serwisów internetowych, wskazanie słabych stron zaprezentowanych metod oraz wyciągnięcie wniosków w postaci zaleceń dla projektantów systemów informatycznych. Na wstępie przedstawiono pojęcie kryptograficznej funkcji skrótu, a następnie omówiono kolejne metody przechowywania haseł, pokazując ich ewolucję oraz podatności na współczesne ataki. Pokazano wyniki badań nad hasłami maskowanymi w polskich bankach oraz przedstawiono najciekawsze przykłady współczesnych funkcji adaptacyjnych. Następnie dokonano autorskiej systematyzacji metod zabezpieczania haseł oraz wskazano kierunki dalszych badań. Słowa kluczowe: informatyka, hasła, uwierzytelnianie, zabezpieczanie danych, funkcje skrótu.

Password protection in IT systems

The aim of the article is to systematise the methods of securing static passwords stored in IT systems. Pros and cons of those methods are presented and conclusions as a recommendation for IT system designers are proposed. At the beginning, the concept of cryptographic hash function is presented, following discussion of methods of storing passwords showing their evolution and susceptibility to modern attacks. Results of research on masked passwords of Polish banks IT systems
are presented, as well as the most interesting examples of adaptive password functions are given. Then, the systematisation of password protection methods was carried out. Finally, the directions for
further research are indicated.

DOI: 10.5604/01.3001.0011.8036
GICID: 01.3001.0011.8036
Biuletyn WAT 2018; 67 (1): 73-92

Link: https://biuletynwat.pl/resources/html/article/details?id=170409

Kryptograficzne funkcje skrótu

Celem artykułu jest przegląd informacji dotyczących funkcji skrótu oraz przedstawienie najnowszych osiągnięć kryptografii w tym zakresie. Wyjaśnione są podstawowe pojęcia dotyczące funkcji skrótu, ich zastosowanie oraz metody ataków. Pokazany jest bieżący stan kryptoanalizy znanych i powszechnie stosowanych funkcji skrótu: MD4, MD5, SHA. Na zakończenie omówiona jest przyszłość funkcji skrótu i zakończony konkurs na nowy standard funkcji SHA-3.

Cryptographic hash functions

The article presents a synthesis of information about the hash function and shows the latest developments in this field of cryptography. Basic concepts of the hash function are explained: definition, properties, classification, usage of the hash function and methods of attacks. The current state of cryptanalysis of known and commonly used hash functions (MD, SHA) is shown as well as consequences coming from this. At the end the attention will be paid to the future of the hash function and the current state of art in the competition for developing the new standard of SHA-3 function.

Zeszyty Naukowe Akademii Marynarki Wojennej, 2 (193), 2013, 91-102

Link: https://www.amw.gdynia.pl/images/AMW/Menu-zakladki/Nauka/Zeszyty_naukowe/Numery_archiwalne/2013/ZN_2013_2/11_Rodwald%20P.pdf