Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych

Celem artykułu jest przedstawienie metodyki postępowania w przypadku, gdy atakujący (biegły sądowy, technik kryminalistyki, pentester) ma za zadanie złamać hasło do pewnego systemu teleinformatycznego przy nałożonych ograniczeniach czasowych. Sytuacja taka ma często miejsce w toku działań procesowych prowadzonych przez organy ścigania, podczas zatrzymań sprzętu komputerowego. Na wstępie przedstawiono obowiązującą wykładnię prawa wraz z dobrymi praktykami przy zabezpieczaniu materiału dowodowego. Następnie omówiono sposoby przechowywania haseł w systemach informatycznych, po czym dokonano przeglądu różnych klas ataków na hasła. Wyszczególniono także najpopularniejsze narzędzia wspomagające proces łamania haseł. W głównej części pracy przedstawiono autorską strategię przeprowadzania ataku przy nałożonych z góry ograniczeniach czasowych dla dostępnych zasobów sprzętowych. Pokazane zostały również szacunkowe koszty i efektywność ekonomiczna dla wybranych rozwiązań. Obliczenia pokazano na przykładzie dwóch rzeczywistych ataków przeprowadzonych przez autora w trakcie prawdziwych działań procesowych.


Choosing a password breaking strategy with imposed time restrictions

The aim of the article is to present the password breaking methodology in case when an attacker (forensic investigator, court expert, pen tester) has imposed time restrictions. This is a typical situation during many legal investigations where computers are seized by legal authorities but they are protected by passwords. At the beginning, the current state of law in that matter is presented, along with good practices in seizing the evidence. Then, the ways of storing static passwords in information systems are showed, after which various classes of password breaking methods are reviewed (dictionary, brute-force, rule, combinator, mask, hybrid, etc.). The most popular tools supporting this process are listed as well. The main part of the paper presents the original strategy of conducting an attack on a single hashed password with time constraints. Costs as well as economic efficiency for four different hardware solutions (laptop, gaming computer, rig with 6 GPU’s, cloud computing) are discussed. The calculations are shown on the example of two real attacks carried out by the author in the real legal cases.


DOI: 10.5604/01.3001.0013.1467
GICID: 01.3001.0013.1467
Biuletyn WAT 2019; 68 (1): 79-100


Link: https://biuletynwat.pl/resources/html/article/details?id=188207

Randomly chosen e-mail addresses recovered from Gravatars on the website stackoverflow.com

MD5 hashe-mailimg
7ab4bdbe379663890519147d5576f8f6a********7@hotmail.com
f0787263839d3b469aab3e2c9ef49d74p*******k@gmail.com
3274d27fc5f97e3c0a47c6eb03a32f59k***********s@gmail.com
6a7e7feb2366fc1541ab20be6733b97cn************9@gmail.com
6f18696575c45699db8d90f3947ea013s**************r@gmail.com
4854e06b7e4c6b4941443c0cf2da7dfeu**********r@gmail.com
5e9b097cf174c6fbc95f7ea363ef8eddd*********h@gmail.com
440c08d19a10a43cd4b7193bf2233020s*******r@carjct.com
ddf7bb126f2d459f1fbaaad58906ec22f**********f@hotmail.com
7ce655e0696298b7e475739d2d1e3661n*********u@gmail.com
22fe09f14fa1e39281958684a9f63600j************n@gmail.com
65173ff24d0e9fa1aec039f769e74c91e**********n@gmail.com
2b0dfbc49902eb1e920f2c99fc2d1d5a1*******3@gmail.com
307925b39ebdf4daf75ffb79e9897d5ab*************o@gmail.com
519042ce6fbe4692242c5842b06584e2k*************i@gmail.com
5b946cf0eb00e16cfc47e673d5a64176f*******************9@gmail.com
5c2d0d0b4cd3457db67aefcf03fd0d01m**************r@gmail.com
6b0eabab041abac2ac812af5d381ebf4b*******r@gmail.com
46b07b6bf8fbfb681372228284b5dafcm**********p@gmail.com
19943b44fda6f4159d8551492ffc18d9m************t@gmail.com

Randomly chosen e-mail addresses recovered from Gravatars on the website jakoszczedzacpieniadze.pl / Losowo wybierane adresy e-mail odtworzone z Gravatarów w serwisie jakoszczedzacpieniadze.pl

MD5 hashe-mailimg
60dec1f4865db3f3bf1fca370fa5786ak*******o@wp.pl
832380412640fff3a804b3f1ab8c3041k*************6@wp.pl
088eece26c35acf653c79dbf4ecfe9b2a********2@wp.pl
195539fac286d5eea79449e5ac4b9156t*****m@wp.pl
c298d847d6b0525a75b7e7561eac40aca********l@o2.pl
bf55fd26865c7376f0802d6521526a88s*************6@gmail.com
9cb13a8057e5e7700d913b83b0570414h*********i@gmail.com
a76a4eb27ff9972072575bde04643eaem******************i@gmail.com
829bf97fc3f5dc31d2d225de7b77e563z********z@wp.pl
868cc89bab797931419614872f35ede9c********4@gmail.com
9c7aa4e1e93769ff19a112a232fd5d50k*******0@op.pl
cbb7801ad5418e4300a0af79d7140947l**********j@o2.pl
8a1fcd9571fbbb4ba3d9462e46966b98l*****************i@hotmail.com
d8fb1bbf9938a4bdf2eff53753ebb325k******1@poczta.fm
061d9a23aa09d9c5fdebc7e19c04e726p************r@vp.pl
497e7dda1dce85520ead7d70db741754m*********y@wp.pl
4408335af5ea20c043737f5442ba5952l*********s@gmail.com
68e3af66ead6be7840a544033a010e7as********h@gmail.com
34f5a64ed6de0b3a4d2527e13d205634a****l@interia.pl
bbca37aa67af36143eef64652ea8b519k**********e@gmail.com

Zabezpieczanie haseł w systemach informatycznych

Celem artykułu jest usystematyzowanie metod zabezpieczania statycznych haseł przechowywanych na potrzeby systemów informatycznych, w szczególności serwisów internetowych, wskazanie słabych stron zaprezentowanych metod oraz wyciągnięcie wniosków w postaci zaleceń dla projektantów systemów informatycznych. Na wstępie przedstawiono pojęcie kryptograficznej funkcji skrótu, a następnie omówiono kolejne metody przechowywania haseł, pokazując ich ewolucję oraz podatności na współczesne ataki. Pokazano wyniki badań nad hasłami maskowanymi w polskich bankach oraz przedstawiono najciekawsze przykłady współczesnych funkcji adaptacyjnych. Następnie dokonano autorskiej systematyzacji metod zabezpieczania haseł oraz wskazano kierunki dalszych badań. Słowa kluczowe: informatyka, hasła, uwierzytelnianie, zabezpieczanie danych, funkcje skrótu.


Password protection in IT systems

The aim of the article is to systematise the methods of securing static passwords stored in IT systems. Pros and cons of those methods are presented and conclusions as a recommendation for IT system designers are proposed. At the beginning, the concept of cryptographic hash function is presented, following discussion of methods of storing passwords showing their evolution and susceptibility to modern attacks. Results of research on masked passwords of Polish banks IT systems
are presented, as well as the most interesting examples of adaptive password functions are given. Then, the systematisation of password protection methods was carried out. Finally, the directions for
further research are indicated.


DOI: 10.5604/01.3001.0011.8036
GICID: 01.3001.0011.8036
Biuletyn WAT 2018; 67 (1): 73-92


Link: https://biuletynwat.pl/resources/html/article/details?id=170409

Kryptograficzne funkcje skrótu

Celem artykułu jest przegląd informacji dotyczących funkcji skrótu oraz przedstawienie najnowszych osiągnięć kryptografii w tym zakresie. Wyjaśnione są podstawowe pojęcia dotyczące funkcji skrótu, ich zastosowanie oraz metody ataków. Pokazany jest bieżący stan kryptoanalizy znanych i powszechnie stosowanych funkcji skrótu: MD4, MD5, SHA. Na zakończenie omówiona jest przyszłość funkcji skrótu i zakończony konkurs na nowy standard funkcji SHA-3.


Cryptographic hash functions

The article presents a synthesis of information about the hash function and shows the latest developments in this field of cryptography. Basic concepts of the hash function are explained: definition, properties, classification, usage of the hash function and methods of attacks. The current state of cryptanalysis of known and commonly used hash functions (MD, SHA) is shown as well as consequences coming from this. At the end the attention will be paid to the future of the hash function and the current state of art in the competition for developing the new standard of SHA-3 function.


Zeszyty Naukowe Akademii Marynarki Wojennej, 2 (193), 2013, 91-102


Link: https://www.amw.gdynia.pl/images/AMW/Menu-zakladki/Nauka/Zeszyty_naukowe/Numery_archiwalne/2013/ZN_2013_2/11_Rodwald%20P.pdf