Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych

Celem artykułu jest przedstawienie metodyki postępowania w przypadku, gdy atakujący (biegły sądowy, technik kryminalistyki, pentester) ma za zadanie złamać hasło do pewnego systemu teleinformatycznego przy nałożonych ograniczeniach czasowych. Sytuacja taka ma często miejsce w toku działań procesowych prowadzonych przez organy ścigania, podczas zatrzymań sprzętu komputerowego. Na wstępie przedstawiono obowiązującą wykładnię prawa wraz z dobrymi praktykami przy zabezpieczaniu materiału dowodowego. Następnie omówiono sposoby przechowywania haseł w systemach informatycznych, po czym dokonano przeglądu różnych klas ataków na hasła. Wyszczególniono także najpopularniejsze narzędzia wspomagające proces łamania haseł. W głównej części pracy przedstawiono autorską strategię przeprowadzania ataku przy nałożonych z góry ograniczeniach czasowych dla dostępnych zasobów sprzętowych. Pokazane zostały również szacunkowe koszty i efektywność ekonomiczna dla wybranych rozwiązań. Obliczenia pokazano na przykładzie dwóch rzeczywistych ataków przeprowadzonych przez autora w trakcie prawdziwych działań procesowych.


Choosing a password breaking strategy with imposed time restrictions

The aim of the article is to present the password breaking methodology in case when an attacker (forensic investigator, court expert, pen tester) has imposed time restrictions. This is a typical situation during many legal investigations where computers are seized by legal authorities but they are protected by passwords. At the beginning, the current state of law in that matter is presented, along with good practices in seizing the evidence. Then, the ways of storing static passwords in information systems are showed, after which various classes of password breaking methods are reviewed (dictionary, brute-force, rule, combinator, mask, hybrid, etc.). The most popular tools supporting this process are listed as well. The main part of the paper presents the original strategy of conducting an attack on a single hashed password with time constraints. Costs as well as economic efficiency for four different hardware solutions (laptop, gaming computer, rig with 6 GPU’s, cloud computing) are discussed. The calculations are shown on the example of two real attacks carried out by the author in the real legal cases.


DOI: 10.5604/01.3001.0013.1467
GICID: 01.3001.0013.1467
Biuletyn WAT 2019; 68 (1): 79-100


Link: https://biuletynwat.pl/resources/html/article/details?id=188207

Randomly chosen e-mail addresses recovered from Gravatars on the website stackoverflow.com

MD5 hashe-mailimg
1fe0e6849e6ab37baf58f186b40d3fb7a*********s@gmail.com
9c47b8213f4826e0fd288da61cb5c5f8u********h@gmail.com
1b962dda0a65e014c8e77859de720841a***********r@rocketmail.com
0bcc76344aa66fa2918200e6e98b18bbs****h@southfresh.org
84999f912c1fd1de11a4a04bba63e4bdr********9@gmail.com
b5ef8388ed7d313d8b2d6122d10f0f7ee********t@tut.by
90705853517172fdfe685e77e0181681l********y@gmail.com
e68312e9e65f0d36d2cc5bb205f92fado***********e@gmail.com
b219fe74c13197eb6f4a8389050a6312l********d@gmail.com
b52dd3b9778bdc8421287b0b4c778cbef*********7@yahoo.com
fddb1d5cb957ad25b46d215ab8e1deb39*********9@qq.com
7d9cbe986dcceca9ba4cd6e76f5484d9v******************f@gmail.com
b0a41b59fef0ceb3d867d19baa624b5ab********d@gmail.com
99eeefe1597ae35c701a87be0808e17aw***************e@gmail.com
f99ac822990493bb3af46ed57582f2b2m*************r@barzahlen.de
149019fe3f3b73f34ee68cbb4c9dd114i*********s@gmail.com
1a4df158072f11c3b81e3c6f1c4a6d56m**************o@gmail.com
bb1babb70f994f2080549740e14434a0o********k@gmail.com
383e14c1b5991f8ba33a6a0f21bc1f1ce**********a@gmail.com
66ee210bf34f6bb8be106e2a839c63a9j*******************y@gmail.com

Losowo wybierane adresy e-mail odtworzone z Gravatarów w serwisie jakoszczedzacpieniadze.pl

MD5 hashe-mailimg
e7f0222b3181148c1445a20004dd0fb9f*********o@o2.pl
49c0e4b8e6fab6094430444f39375137d********2@o2.pl
91d585d067b3cde463f8b841f2575bfbe*******s@gazeta.pl
3978827a4de04bc28684c25062d0d3f4a*a@abc.de
9defbf6ff97825f8d8cfda2bcb438e1ee**************a@gmail.com
512f0374cffbbeb5c82bffa6acace559w*********t@gmail.com
69c04d827c9a194b146212b8538e4610p************a@gmail.com
02c9f4c6f2907f137fc63c461b2f67e2n************i@gmail.com
1f359079cbabba0b271479147f176acbm***********t@gmail.com
d407d473d24ca49885159f1f3d1d0826s******************a@gmail.com
c9472425f15934370ccf7590253bfd14y****a@onet.eu
2020739536b9b2426a8f6841f44deca6d************a@gmail.com
03c4c1739d23e00201c92a168b4b528dr***********a@gmail.com
7667f4464e135abe8d5343c560de79dfb***********a@op.pl
0610f3e5e32644e4fb68fdbd99c58157z**********0@gmail.com
dbf700abbf824340a95e4baf75676888d************e@gmail.com
f04a9187c4a1d41f67b78a3a9ef30743i*********o@gmail.com
ac74c11070dc8a1a1c2c4f0b29f33e66j********h@gmail.com
dec3f0ae41882c06b4f5e246420f7f65c************d@interia.pl
0733d7b782306f196c31bb048280e393m***************k@wp.pl

Zabezpieczanie haseł w systemach informatycznych

Celem artykułu jest usystematyzowanie metod zabezpieczania statycznych haseł przechowywanych na potrzeby systemów informatycznych, w szczególności serwisów internetowych, wskazanie słabych stron zaprezentowanych metod oraz wyciągnięcie wniosków w postaci zaleceń dla projektantów systemów informatycznych. Na wstępie przedstawiono pojęcie kryptograficznej funkcji skrótu, a następnie omówiono kolejne metody przechowywania haseł, pokazując ich ewolucję oraz podatności na współczesne ataki. Pokazano wyniki badań nad hasłami maskowanymi w polskich bankach oraz przedstawiono najciekawsze przykłady współczesnych funkcji adaptacyjnych. Następnie dokonano autorskiej systematyzacji metod zabezpieczania haseł oraz wskazano kierunki dalszych badań. Słowa kluczowe: informatyka, hasła, uwierzytelnianie, zabezpieczanie danych, funkcje skrótu.


Password protection in IT systems

The aim of the article is to systematise the methods of securing static passwords stored in IT systems. Pros and cons of those methods are presented and conclusions as a recommendation for IT system designers are proposed. At the beginning, the concept of cryptographic hash function is presented, following discussion of methods of storing passwords showing their evolution and susceptibility to modern attacks. Results of research on masked passwords of Polish banks IT systems
are presented, as well as the most interesting examples of adaptive password functions are given. Then, the systematisation of password protection methods was carried out. Finally, the directions for
further research are indicated.


DOI: 10.5604/01.3001.0011.8036
GICID: 01.3001.0011.8036
Biuletyn WAT 2018; 67 (1): 73-92


Link: https://biuletynwat.pl/resources/html/article/details?id=170409

Kryptograficzne funkcje skrótu

Celem artykułu jest przegląd informacji dotyczących funkcji skrótu oraz przedstawienie najnowszych osiągnięć kryptografii w tym zakresie. Wyjaśnione są podstawowe pojęcia dotyczące funkcji skrótu, ich zastosowanie oraz metody ataków. Pokazany jest bieżący stan kryptoanalizy znanych i powszechnie stosowanych funkcji skrótu: MD4, MD5, SHA. Na zakończenie omówiona jest przyszłość funkcji skrótu i zakończony konkurs na nowy standard funkcji SHA-3.


Cryptographic hash functions

The article presents a synthesis of information about the hash function and shows the latest developments in this field of cryptography. Basic concepts of the hash function are explained: definition, properties, classification, usage of the hash function and methods of attacks. The current state of cryptanalysis of known and commonly used hash functions (MD, SHA) is shown as well as consequences coming from this. At the end the attention will be paid to the future of the hash function and the current state of art in the competition for developing the new standard of SHA-3 function.


Zeszyty Naukowe Akademii Marynarki Wojennej, 2 (193), 2013, 91-102


Link: https://www.amw.gdynia.pl/images/AMW/Menu-zakladki/Nauka/Zeszyty_naukowe/Numery_archiwalne/2013/ZN_2013_2/11_Rodwald%20P.pdf