Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych

Celem artykułu jest przedstawienie metodyki postępowania w przypadku, gdy atakujący (biegły sądowy, technik kryminalistyki, pentester) ma za zadanie złamać hasło do pewnego systemu teleinformatycznego przy nałożonych ograniczeniach czasowych. Sytuacja taka ma często miejsce w toku działań procesowych prowadzonych przez organy ścigania, podczas zatrzymań sprzętu komputerowego. Na wstępie przedstawiono obowiązującą wykładnię prawa wraz z dobrymi praktykami przy zabezpieczaniu materiału dowodowego. Następnie omówiono sposoby przechowywania haseł w systemach informatycznych, po czym dokonano przeglądu różnych klas ataków na hasła. Wyszczególniono także najpopularniejsze narzędzia wspomagające proces łamania haseł. W głównej części pracy przedstawiono autorską strategię przeprowadzania ataku przy nałożonych z góry ograniczeniach czasowych dla dostępnych zasobów sprzętowych. Pokazane zostały również szacunkowe koszty i efektywność ekonomiczna dla wybranych rozwiązań. Obliczenia pokazano na przykładzie dwóch rzeczywistych ataków przeprowadzonych przez autora w trakcie prawdziwych działań procesowych.

Choosing a password breaking strategy with imposed time restrictions

The aim of the article is to present the password breaking methodology in case when an attacker (forensic investigator, court expert, pen tester) has imposed time restrictions. This is a typical situation during many legal investigations where computers are seized by legal authorities but they are protected by passwords. At the beginning, the current state of law in that matter is presented, along with good practices in seizing the evidence. Then, the ways of storing static passwords in information systems are showed, after which various classes of password breaking methods are reviewed (dictionary, brute-force, rule, combinator, mask, hybrid, etc.). The most popular tools supporting this process are listed as well. The main part of the paper presents the original strategy of conducting an attack on a single hashed password with time constraints. Costs as well as economic efficiency for four different hardware solutions (laptop, gaming computer, rig with 6 GPU’s, cloud computing) are discussed. The calculations are shown on the example of two real attacks carried out by the author in the real legal cases.

DOI: 10.5604/01.3001.0013.1467
GICID: 01.3001.0013.1467
Biuletyn WAT 2019; 68 (1): 79-100

Link: https://biuletynwat.pl/resources/html/article/details?id=188207

Randomly chosen e-mail addresses recovered from Gravatars on the website stackoverflow.com

MD5 hashe-mailimg
e8f8de1efa2b24adf72a7aac65977de2r*******m@gmail.com
1f093aa9dc936d095e88ad16f5b2667bc*********o@yahoo.com
f8d95d79ba69011bc9c6b1726256b1f2u******************s@gmail.com
17fecd16281bbd9066f8fc71a6686fc1p******a@gmail.com
0f48a62ba59b380e5fdc6bebed30dd97p***************t@gmail.com
f4a1d9e2bdbe89987c19de31b107efe0m*********i@gmail.com
bbb7afbb5ecffd02578f19286c1704d9n**********e@gmail.com
376f1396f6eef2beb237b6d2f105e391c*************i@gmail.com
4c5d10f980d8ccd27cb8bfd200ebb955f********i@gmail.com
a42de50391a6c43a6d1403f2d9cad5d3b***************7@gmail.com
404a272792bbb83a098190fdbe042d90a******s@gmail.com
38e17a76cb6388820e7ddc67e98bc9b7g*******d@gmail.com
b91347cce6fecd3f98b81bc08020a217v*********0@gmail.com
99bef79ec4099ab64ad659e5783db59ap*************7@gmail.com
2c3bc1791a2321ef1cc15ec93e9c1829p********v@gmail.com
8432d0b502a6e841e84afe051b04c3a7k********6@aol.com
4ac3924740923e6759c39ab39cf82026c***************n@gmail.com
06b5652c685f054012e322668f55d0ccg****y@barbon.ca
19fddde688ab2266e18993cd2677e17ab*************3@gmail.com
9eae648c16fb7c6eee8b930d7d450496j**************t@gmail.com

Randomly chosen e-mail addresses recovered from Gravatars on the website jakoszczedzacpieniadze.pl / Losowo wybierane adresy e-mail odtworzone z Gravatarów w serwisie jakoszczedzacpieniadze.pl

MD5 hashe-mailimg
6df610e6ffcb283c5422bacc53516e9dk*********a@gmail.com
05a971107ed8c4fb1f7bc8c3d32c35dct**********c@o2.pl
adefddb0a9526f88e8c667aec25bdb82m****************i@wp.pl
209dd63fb5e1ca8dc009d18f502b2de7a********k@gmail.com
71d57c29786c6fe2fb947951b902b221c***i@o2.pl
fd011fcf5524c220e6e5196660f15fd5k****************0@gmail.com
5e59dd81bcbe385c65166ef6069958a9s*******b@gmail.com
cf5e46c1abc0522174ce26d4dc0e3725p********i@gmail.com
1f73007c7c7234aa5e32947e6aadfa08g*************z@gmail.com
e3c5ae75d5d27baf4199950c0b19e99as******n@o2.pl
9b802ed1af8b8bd22f9e6d1e9e29b969a****1@gazeta.pl
fa7a36675ada277a5ae2ec96317c3753w***************k@gmail.com
49aa6321fbd9ce729a1ffd3c01330106m****************t@gmail.com
501b47a46f367d5f11e19e6f693b4815r*************a@gmail.com
66cc6c2f63e22a918d621126c02ce872r***************n@wp.pl
7ec4a3792fae943cd1d7649802b4c42dg******2@wp.pl
e5b99512a1eb69c0ba2788ff989a1933z***********k@gmail.com
ac76f1682f7f47449c41d026b64a84del************i@wp.pl
5f503d5fb960de9780f3454359d5402bk****************a@gmail.com
5c4f8038e7f13ddfaa71577062f40cfdr***********0@wp.pl

Zabezpieczanie haseł w systemach informatycznych

Celem artykułu jest usystematyzowanie metod zabezpieczania statycznych haseł przechowywanych na potrzeby systemów informatycznych, w szczególności serwisów internetowych, wskazanie słabych stron zaprezentowanych metod oraz wyciągnięcie wniosków w postaci zaleceń dla projektantów systemów informatycznych. Na wstępie przedstawiono pojęcie kryptograficznej funkcji skrótu, a następnie omówiono kolejne metody przechowywania haseł, pokazując ich ewolucję oraz podatności na współczesne ataki. Pokazano wyniki badań nad hasłami maskowanymi w polskich bankach oraz przedstawiono najciekawsze przykłady współczesnych funkcji adaptacyjnych. Następnie dokonano autorskiej systematyzacji metod zabezpieczania haseł oraz wskazano kierunki dalszych badań. Słowa kluczowe: informatyka, hasła, uwierzytelnianie, zabezpieczanie danych, funkcje skrótu.

Password protection in IT systems

The aim of the article is to systematise the methods of securing static passwords stored in IT systems. Pros and cons of those methods are presented and conclusions as a recommendation for IT system designers are proposed. At the beginning, the concept of cryptographic hash function is presented, following discussion of methods of storing passwords showing their evolution and susceptibility to modern attacks. Results of research on masked passwords of Polish banks IT systems
are presented, as well as the most interesting examples of adaptive password functions are given. Then, the systematisation of password protection methods was carried out. Finally, the directions for
further research are indicated.

DOI: 10.5604/01.3001.0011.8036
GICID: 01.3001.0011.8036
Biuletyn WAT 2018; 67 (1): 73-92

Link: https://biuletynwat.pl/resources/html/article/details?id=170409

Kryptograficzne funkcje skrótu

Celem artykułu jest przegląd informacji dotyczących funkcji skrótu oraz przedstawienie najnowszych osiągnięć kryptografii w tym zakresie. Wyjaśnione są podstawowe pojęcia dotyczące funkcji skrótu, ich zastosowanie oraz metody ataków. Pokazany jest bieżący stan kryptoanalizy znanych i powszechnie stosowanych funkcji skrótu: MD4, MD5, SHA. Na zakończenie omówiona jest przyszłość funkcji skrótu i zakończony konkurs na nowy standard funkcji SHA-3.

Cryptographic hash functions

The article presents a synthesis of information about the hash function and shows the latest developments in this field of cryptography. Basic concepts of the hash function are explained: definition, properties, classification, usage of the hash function and methods of attacks. The current state of cryptanalysis of known and commonly used hash functions (MD, SHA) is shown as well as consequences coming from this. At the end the attention will be paid to the future of the hash function and the current state of art in the competition for developing the new standard of SHA-3 function.

Zeszyty Naukowe Akademii Marynarki Wojennej, 2 (193), 2013, 91-102

Link: https://www.amw.gdynia.pl/images/AMW/Menu-zakladki/Nauka/Zeszyty_naukowe/Numery_archiwalne/2013/ZN_2013_2/11_Rodwald%20P.pdf