Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych

Celem artykułu jest przedstawienie metodyki postępowania w przypadku, gdy atakujący (biegły sądowy, technik kryminalistyki, pentester) ma za zadanie złamać hasło do pewnego systemu teleinformatycznego przy nałożonych ograniczeniach czasowych. Sytuacja taka ma często miejsce w toku działań procesowych prowadzonych przez organy ścigania, podczas zatrzymań sprzętu komputerowego. Na wstępie przedstawiono obowiązującą wykładnię prawa wraz z dobrymi praktykami przy zabezpieczaniu materiału dowodowego. Następnie omówiono sposoby przechowywania haseł w systemach informatycznych, po czym dokonano przeglądu różnych klas ataków na hasła. Wyszczególniono także najpopularniejsze narzędzia wspomagające proces łamania haseł. W głównej części pracy przedstawiono autorską strategię przeprowadzania ataku przy nałożonych z góry ograniczeniach czasowych dla dostępnych zasobów sprzętowych. Pokazane zostały również szacunkowe koszty i efektywność ekonomiczna dla wybranych rozwiązań. Obliczenia pokazano na przykładzie dwóch rzeczywistych ataków przeprowadzonych przez autora w trakcie prawdziwych działań procesowych.


Choosing a password breaking strategy with imposed time restrictions

The aim of the article is to present the password breaking methodology in case when an attacker (forensic investigator, court expert, pen tester) has imposed time restrictions. This is a typical situation during many legal investigations where computers are seized by legal authorities but they are protected by passwords. At the beginning, the current state of law in that matter is presented, along with good practices in seizing the evidence. Then, the ways of storing static passwords in information systems are showed, after which various classes of password breaking methods are reviewed (dictionary, brute-force, rule, combinator, mask, hybrid, etc.). The most popular tools supporting this process are listed as well. The main part of the paper presents the original strategy of conducting an attack on a single hashed password with time constraints. Costs as well as economic efficiency for four different hardware solutions (laptop, gaming computer, rig with 6 GPU’s, cloud computing) are discussed. The calculations are shown on the example of two real attacks carried out by the author in the real legal cases.


DOI: 10.5604/01.3001.0013.1467
GICID: 01.3001.0013.1467
Biuletyn WAT 2019; 68 (1): 79-100


Link: https://biuletynwat.pl/resources/html/article/details?id=188207

Randomly chosen e-mail addresses recovered from Gravatars on the website stackoverflow.com

MD5 hashe-mailimg
474683f5ceb0458bd98b11e0ac7bd168r********i@gmail.com
6eee84d0120800b6d15478e6aacc07d7k********l@byzero.com
a7cb4b826b8e67ee73f0b8624db872a7t*******i@gmail.com
c9b27ad1c58ca490dd651f6597d18545c*********x@gmail.com
9f221fc9ac27c8a8b440465f424cdf6ed******4@gmail.com
ca0608720061e6e2d0686bd0783d2f98n*********t@gmail.com
4c840b291bba4a0777442d00951faed4i************e@gmail.com
a9bc7669a484424b2f12097b337d25b9j**************d@yahoo.com
81c67f66311e7c60a0b1867f34570bb7l********4@gmail.com
341db7ab6ee45feb897b419eb71d4e81p******t@gmail.com
6dfc1ee22b4a0bb5bc712963b567a32fr********************n@gmail.com
971adb25c9aaaf3eab61357cae689e3fk*********3@gmail.com
892e2115d8384a803d6fa9342b1a3580s***************4@gmail.com
4982fcb89db50f5902b6fae51b06a2f6j********************r@gmail.com
8f439960718f0dcd01d26f47a791a599s*************3@gmail.com
dca338003210849527d90354651811d0c**************7@gmail.com
9c7163bf72d3905c4f80ca9b7a580a4bp*******s@surkan.com
df53bebcda7ede7a0f3a4da726ef1938j************e@hotmail.com
9a58da0e07d108e6dce79ab3c5014ad4l**********o@yahoo.com
ac4e41766dc395d2ea23441a117cd50cm******z@gmail.com

Losowo wybierane adresy e-mail odtworzone z Gravatarów w serwisie jakoszczedzacpieniadze.pl

MD5 hashe-mailimg
c8c8ef752b0739406119ae0a052acf58b*******o@gmail.com
b52ef0f8a447e2ff0ce8156a1c28b10bc************a@gmail.com
87e762cd6f262babdf0c097f5dab93c9k**********0@gmail.com
49ceeb8deeb0f2a4b46e7563858d7462g******r@wp.pl
038c5e9a5ddf62efc60a402a0f90b89fw************a@yahoo.com
c9d9f9ac072cb7af6f87004fdd51f200t****************r@gmail.com
d07906921ba0f2baf85cc1aca7b12401m*************k@op.pl
64c57407721f0ff043d64d04375c40f4o**********r@gmail.com
87b9893ae594595a1fc644cd10c1202fm************3@wp.pl
5011a971dca7c7eb54712bf3e9346443k**********a@gmail.com
bf139481ef3b2cc6da3c6b856c21c167g*****n@wp.pl
444ba96e85a36f9805887657ed1e66a2s********3@wp.pl
3d6a744d170817a9a35e5aec1eba034dd****d@wp.pl
813e3abeaffee34ea8d6016b809e1a46w**********m@gmail.com
04a6d23800ca39d436e3ff7bc7bdd945s************s@gmail.com
12f1d3f5a577375fb165800a119501c9g*************2@gmail.com
1d24850a6a34d4da91d1772161694f81m*****5@hotmail.com
09a800528b398968d782d5b5b7dc49f6k************k@interia.pl
1eeacdc9cfae088ae8d06034f09d09d9i*******m@gmail.com
f88836a56d33248545dfe91d50ce80f2j********a@o2.pl

Zabezpieczanie haseł w systemach informatycznych

Celem artykułu jest usystematyzowanie metod zabezpieczania statycznych haseł przechowywanych na potrzeby systemów informatycznych, w szczególności serwisów internetowych, wskazanie słabych stron zaprezentowanych metod oraz wyciągnięcie wniosków w postaci zaleceń dla projektantów systemów informatycznych. Na wstępie przedstawiono pojęcie kryptograficznej funkcji skrótu, a następnie omówiono kolejne metody przechowywania haseł, pokazując ich ewolucję oraz podatności na współczesne ataki. Pokazano wyniki badań nad hasłami maskowanymi w polskich bankach oraz przedstawiono najciekawsze przykłady współczesnych funkcji adaptacyjnych. Następnie dokonano autorskiej systematyzacji metod zabezpieczania haseł oraz wskazano kierunki dalszych badań. Słowa kluczowe: informatyka, hasła, uwierzytelnianie, zabezpieczanie danych, funkcje skrótu.


Password protection in IT systems

The aim of the article is to systematise the methods of securing static passwords stored in IT systems. Pros and cons of those methods are presented and conclusions as a recommendation for IT system designers are proposed. At the beginning, the concept of cryptographic hash function is presented, following discussion of methods of storing passwords showing their evolution and susceptibility to modern attacks. Results of research on masked passwords of Polish banks IT systems
are presented, as well as the most interesting examples of adaptive password functions are given. Then, the systematisation of password protection methods was carried out. Finally, the directions for
further research are indicated.


DOI: 10.5604/01.3001.0011.8036
GICID: 01.3001.0011.8036
Biuletyn WAT 2018; 67 (1): 73-92


Link: https://biuletynwat.pl/resources/html/article/details?id=170409

Kryptograficzne funkcje skrótu

Celem artykułu jest przegląd informacji dotyczących funkcji skrótu oraz przedstawienie najnowszych osiągnięć kryptografii w tym zakresie. Wyjaśnione są podstawowe pojęcia dotyczące funkcji skrótu, ich zastosowanie oraz metody ataków. Pokazany jest bieżący stan kryptoanalizy znanych i powszechnie stosowanych funkcji skrótu: MD4, MD5, SHA. Na zakończenie omówiona jest przyszłość funkcji skrótu i zakończony konkurs na nowy standard funkcji SHA-3.


Cryptographic hash functions

The article presents a synthesis of information about the hash function and shows the latest developments in this field of cryptography. Basic concepts of the hash function are explained: definition, properties, classification, usage of the hash function and methods of attacks. The current state of cryptanalysis of known and commonly used hash functions (MD, SHA) is shown as well as consequences coming from this. At the end the attention will be paid to the future of the hash function and the current state of art in the competition for developing the new standard of SHA-3 function.


Zeszyty Naukowe Akademii Marynarki Wojennej, 2 (193), 2013, 91-102


Link: https://www.amw.gdynia.pl/images/AMW/Menu-zakladki/Nauka/Zeszyty_naukowe/Numery_archiwalne/2013/ZN_2013_2/11_Rodwald%20P.pdf