Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych

Celem artykułu jest przedstawienie metodyki postępowania w przypadku, gdy atakujący (biegły sądowy, technik kryminalistyki, pentester) ma za zadanie złamać hasło do pewnego systemu teleinformatycznego przy nałożonych ograniczeniach czasowych. Sytuacja taka ma często miejsce w toku działań procesowych prowadzonych przez organy ścigania, podczas zatrzymań sprzętu komputerowego. Na wstępie przedstawiono obowiązującą wykładnię prawa wraz z dobrymi praktykami przy zabezpieczaniu materiału dowodowego. Następnie omówiono sposoby przechowywania haseł w systemach informatycznych, po czym dokonano przeglądu różnych klas ataków na hasła. Wyszczególniono także najpopularniejsze narzędzia wspomagające proces łamania haseł. W głównej części pracy przedstawiono autorską strategię przeprowadzania ataku przy nałożonych z góry ograniczeniach czasowych dla dostępnych zasobów sprzętowych. Pokazane zostały również szacunkowe koszty i efektywność ekonomiczna dla wybranych rozwiązań. Obliczenia pokazano na przykładzie dwóch rzeczywistych ataków przeprowadzonych przez autora w trakcie prawdziwych działań procesowych.


Choosing a password breaking strategy with imposed time restrictions

The aim of the article is to present the password breaking methodology in case when an attacker (forensic investigator, court expert, pen tester) has imposed time restrictions. This is a typical situation during many legal investigations where computers are seized by legal authorities but they are protected by passwords. At the beginning, the current state of law in that matter is presented, along with good practices in seizing the evidence. Then, the ways of storing static passwords in information systems are showed, after which various classes of password breaking methods are reviewed (dictionary, brute-force, rule, combinator, mask, hybrid, etc.). The most popular tools supporting this process are listed as well. The main part of the paper presents the original strategy of conducting an attack on a single hashed password with time constraints. Costs as well as economic efficiency for four different hardware solutions (laptop, gaming computer, rig with 6 GPU’s, cloud computing) are discussed. The calculations are shown on the example of two real attacks carried out by the author in the real legal cases.


DOI: 10.5604/01.3001.0013.1467
GICID: 01.3001.0013.1467
Biuletyn WAT 2019; 68 (1): 79-100


Link: https://biuletynwat.pl/resources/html/article/details?id=188207

Randomly chosen e-mail addresses recovered from Gravatars on the website stackoverflow.com

MD5 hashe-mailimg
a64492e790f89014e1730a8118664bf3v*********c@gmail.com
a77868f2686d4c80319ad37b84d1f5abv*************r@gmail.com
d7d97a7332f076ccbb83c9f98b92309am*********p@gmail.com
dbf810522dcf3c8dd0dae49e7c2cdfe8k*********p@hotmail.com
b9d4c6109c7f3c2278e9e808ed4e9f64r*******s@gmail.com
cce005c2eff690d98633b68a9b2c0957j********a@gmail.com
21dc41945bae5d76503f1350f020218fk************4@gmail.com
b5bc1b8ac889ad02c375ab9f7af8e0fea********c@hotmail.com
f04267fd97da8799f0c5f31d108416b3d*********e@hotmail.com
c31530a6684da536acabdf793f74113bd*****3@hood.edu
5b98fe84c5fb3ff0d88dbf98223c5d93i***********s@gmail.com
9f40d7a6c88d538f51bdfc3fd7cf85c5c*******y@gmail.com
4f496e10b74e686f00800dca7d16969fs*************i@gmail.com
696ced3259f6232f1113e1b195d7b248h**********n@gmail.com
834e69e1869ac9fd4d63bd8d467baf93j*********e@gmail.com
657bf40c7d6e09f752d1a227ada58c0ab******e@gmail.com
f08346bb98bb26064356abf5414b9c8fp***********3@gmail.com
d4fb2883703be46758879c2c8aae6947c*****x@inbox.ru
7798b6337793b0db40c7f6872599a977r****************s@gmail.com
631bab5b07424c4d1b81a7098b155b1ap*************5@yahoo.com

Losowo wybierane adresy e-mail odtworzone z Gravatarów w serwisie jakoszczedzacpieniadze.pl

MD5 hashe-mailimg
3daf457fd596e2e5276b32de35b19c01l**************i@o2.pl
2ff23a81037098c85259c8231ac893bfa**k@ak.pl
b63bb1202f13bfddd5e2a5d9da8afa7fu*******4@wp.pl
d5e79139a86301f30330daa0a48c07fei***********k@interia.pl
403519e6c0ceefc1386f30f9a1cde376f*****p@serewa.pl
21aa7a7116695012798f7f240b09ebb2m*********k@gmail.com
d0d5244ec54770e99e53a99b28e0b2d9p******a@outlook.com
c74656eb2b73292eeb9ac03c305f003dn****y@autograf.pl
976573c3b5f69de1fc2a1e8b97c8af3fa********************i@gmail.com
abf8703dddf5253f6215559d79a0c59al******1@o2.pl
94e776da05cc974c28e346458314b7efm******9@wp.pl
14bd431ba884cde99e89350bb6016faba**************k@o2.pl
16e6fc9b1d24407db9dc6f8b2f11fa4fa*******7@gmail.com
6b6ae8fc5bc018e52b65d48431dc3338k**************a@gmail.com
0ed11af18f5e36def625e2774c1a0aafe*****2@onet.eu
cd28b124e57239bec996dfea7c155640d********b@o2.pl
f7e946a30145fcb320f2101775d10055s*********i@gmail.com
5259c957711b6211b9139777fbcc7e4fw**********c@gmail.com
64bc7232497639f876a082f60742ac69a*********a@onet.pl
c5b415e202d2b3dc645d5711cf8258ccb************l@o2.pl

Zabezpieczanie haseł w systemach informatycznych

Celem artykułu jest usystematyzowanie metod zabezpieczania statycznych haseł przechowywanych na potrzeby systemów informatycznych, w szczególności serwisów internetowych, wskazanie słabych stron zaprezentowanych metod oraz wyciągnięcie wniosków w postaci zaleceń dla projektantów systemów informatycznych. Na wstępie przedstawiono pojęcie kryptograficznej funkcji skrótu, a następnie omówiono kolejne metody przechowywania haseł, pokazując ich ewolucję oraz podatności na współczesne ataki. Pokazano wyniki badań nad hasłami maskowanymi w polskich bankach oraz przedstawiono najciekawsze przykłady współczesnych funkcji adaptacyjnych. Następnie dokonano autorskiej systematyzacji metod zabezpieczania haseł oraz wskazano kierunki dalszych badań. Słowa kluczowe: informatyka, hasła, uwierzytelnianie, zabezpieczanie danych, funkcje skrótu.


Password protection in IT systems

The aim of the article is to systematise the methods of securing static passwords stored in IT systems. Pros and cons of those methods are presented and conclusions as a recommendation for IT system designers are proposed. At the beginning, the concept of cryptographic hash function is presented, following discussion of methods of storing passwords showing their evolution and susceptibility to modern attacks. Results of research on masked passwords of Polish banks IT systems
are presented, as well as the most interesting examples of adaptive password functions are given. Then, the systematisation of password protection methods was carried out. Finally, the directions for
further research are indicated.


DOI: 10.5604/01.3001.0011.8036
GICID: 01.3001.0011.8036
Biuletyn WAT 2018; 67 (1): 73-92


Link: https://biuletynwat.pl/resources/html/article/details?id=170409

Kryptograficzne funkcje skrótu

Celem artykułu jest przegląd informacji dotyczących funkcji skrótu oraz przedstawienie najnowszych osiągnięć kryptografii w tym zakresie. Wyjaśnione są podstawowe pojęcia dotyczące funkcji skrótu, ich zastosowanie oraz metody ataków. Pokazany jest bieżący stan kryptoanalizy znanych i powszechnie stosowanych funkcji skrótu: MD4, MD5, SHA. Na zakończenie omówiona jest przyszłość funkcji skrótu i zakończony konkurs na nowy standard funkcji SHA-3.


Cryptographic hash functions

The article presents a synthesis of information about the hash function and shows the latest developments in this field of cryptography. Basic concepts of the hash function are explained: definition, properties, classification, usage of the hash function and methods of attacks. The current state of cryptanalysis of known and commonly used hash functions (MD, SHA) is shown as well as consequences coming from this. At the end the attention will be paid to the future of the hash function and the current state of art in the competition for developing the new standard of SHA-3 function.


Zeszyty Naukowe Akademii Marynarki Wojennej, 2 (193), 2013, 91-102


Link: https://www.amw.gdynia.pl/images/AMW/Menu-zakladki/Nauka/Zeszyty_naukowe/Numery_archiwalne/2013/ZN_2013_2/11_Rodwald%20P.pdf