PL EN


Preferencje help
Widoczny [Schowaj] Abstrakt
Liczba wyników
Tytuł artykułu

Wybór strategii łamania hasła przy nałożonych ograniczeniach czasowych

Treść / Zawartość
Identyfikatory
Warianty tytułu
EN
Choosing a password breaking strategy with imposed time restrictions
Języki publikacji
PL
Abstrakty
PL
Celem artykułu jest przedstawienie metodyki postępowania w przypadku, gdy atakujący (biegły sądowy, technik kryminalistyki, pentester) ma za zadanie złamać hasło do pewnego systemu teleinformatycznego przy nałożonych ograniczeniach czasowych. Sytuacja taka ma często miejsce w toku działań procesowych prowadzonych przez organy ścigania, podczas zatrzymań sprzętu komputerowego. Na wstępie przedstawiono obowiązującą wykładnię prawa wraz z dobrymi praktykami przy zabezpieczaniu materiału dowodowego. Następnie omówiono sposoby przechowywania haseł w systemach informatycznych, po czym dokonano przeglądu różnych klas ataków na hasła. Wyszczególniono także najpopularniejsze narzędzia wspomagające proces łamania haseł. W głównej części pracy przedstawiono autorską strategię przeprowadzania ataku przy nałożonych z góry ograniczeniach czasowych dla dostępnych zasobów sprzętowych. Pokazane zostały również szacunkowe koszty i efektywność ekonomiczna dla wybranych rozwiązań. Obliczenia pokazano na przykładzie dwóch rzeczywistych ataków przeprowadzonych przez autora w trakcie prawdziwych działań procesowych.
EN
The aim of the article is to present the password breaking methodology in case when an attacker (forensic investigator, court expert, pen tester) has imposed time restrictions. This is a typical situation during many legal investigations where computers are seized by legal authorities but they are protected by passwords. At the beginning, the current state of law in that matter is presented, along with good practices in seizing the evidence. Then, the ways of storing static passwords in information systems are showed, after which various classes of password breaking methods are reviewed (dictionary, brute-force, rule, combinator, mask, hybrid, etc.). The most popular tools supporting this process are listed as well. The main part of the paper presents the original strategy of conducting an attack on a single hashed password with time constraints. Costs as well as economic efficiency for four different hardware solutions (laptop, gaming computer, rig with 6 GPU’s, cloud computing) are discussed. The calculations are shown on the example of two real attacks carried out by the author in the real legal cases.
Rocznik
Strony
79--100
Opis fizyczny
Bibliogr. 48 poz., tab.
Twórcy
  • Akademia Marynarki Wojennej, Wydział Nawigacji i Uzbrojenia Okrętowego, Instytut Uzbrojenia Okrętowego i Informatyki, ul. Śmidowicza 69, 81-103 Gdynia
Bibliografia
  • [1] Rodwald P., Biernacik B., Zabezpieczanie haseł w systemach informatycznych, Biuletyn WAT/ Bulletin MUT, 2018, vol. 67, s. 73-92, DOI: 10.5604/01.3001.0011.8036.
  • [2] Ponemon Institute, Global Encryption Encryption Trends Study, April 2018, http://go.thalesese¬curity.com/rs/480-LWA-970/images/2018-Ponemon-Global-Encryption-Trends-Study-ar.pdf, [dostęp: 31.10.2018].
  • [3] Blocki J., Harsha B., Zhou S., On the economics of offline password cracking, 2018 IEEE Symposium on Security and Privacy, 2018, s. 853-871.
  • [4] Adamski A., Prawo karne komputerowe, CH Beck, 2000, s. 213.
  • [5] Regulation of Investigatory Powers Act, 2000, http://www.legislation.gov.uk/ ukpga/2000/23/ contents, [dostęp: 31.10.2018].
  • [6] Ward M., Campaigners hit by decryption law, BBCNews.com, 20.11.2007, http://news.bbc. co.uk/2/hi/technology/7102180.stm, [dostęp: 31.10.2018].
  • [7] Denning D.E., Baugh W.E., Hiding Crimes in Cyberspace, 11.08.1999, http://cryptome.org/ hiding-db.htm, [dostęp: 31.10.2018].
  • [8] Wytyczne Nr 3 Komendanta Głównego Policji w sprawie wykonywania niektórych czynności dochodzeniowo-śledczych przez policjantów, z dnia 30 sierpnia 2017 r. (Dz.Urz. KGP z 2017 r., poz. 59).
  • [9] Kodeks karny, Ustawa z dnia 20 lipca 2018 r. (Dz.U. z 2018 r. poz. 1600).
  • [10] Bertrand N., The FBI staged a lovers’ fight to catch the kingpin of the web’s biggest illegal drug marketplace, BusinessInsider.com, 22.01.2015, https://www.businessinsider.com/the-arrest-of-silk-road-mastermind-ross-ulbricht-2015-1, [dostęp: 31.10.2018].
  • [11] Grassi P.A., Fenton J.L., Newton E.M., Perlner R.A., Regenscheid A.R., Burr W.E., Justin P.R., NIST Special Publication 800-63B. Digital Identity Guidelines: Authentication and Lifecycle Management, Bericht, NIST, 2017, https://pages.nist.gov/800-63-3/sp800-63b.html, [dostęp: 31.10.2018].
  • [12] Picolet J., Hash Crack: Password Cracking Manual v 2.0, ISBN-10: 9781975924584.
  • [13] Morris R., Thomson K., Password security: A case history, Communications of the ACM, 1979, vol. 22, no. 11, s. 594-597.
  • [14] Narayanan A., Shmatikov V., Fast dictionary attacks on passwords using time-space tradeoff, Proc. CCS 2005. ACM, 2005, s. 364-372.
  • [15] Castelluccia, C., Durmuth M., Perito D., Adaptive password-strength meters from markov models, in NDSS, 2012.
  • [16] Weir M., Aggarwal S., de Medeiros B., Glodek B., Password cracking using probabilistic context-free grammars, Security and Privacy, 30th IEEE Symposium on. IEEE, 2009, s. 391-405.
  • [17] Melicher W., Ur B., Segreti S.M., Komanduri S., Bauer L., Christin N., Cranor L.F., Fast, lean and accurate: Modeling password guessability using neural networks, Proc. USENIX Security 2016, 2016.
  • [18] Li Y., Wang H., Sun K., A study of personal information in human chosen passwords and its security implications, INFOCOM 2016, The 35th Annual IEEE International Conference on Computer Communications, 2016, s. 1-9.
  • [19] Wang D., Zhang Z., Wang P., Yan J., Huang X., Targeted online password guessing: An underestimated threat, Proceedings of the 2016 ACM SIGSAC conference on computer and communications security, 2016, s. 1242-1254.
  • [20] Castelluccia C., Chaabane A., Durmuth M., Perito D., When privacy meets security: Leveraging personal information for password cracking, arXiv preprint arXiv:1304.6584, 2013.
  • [21] Tung L., Microsoft: Here’s why we’re declaring end of password era, zdnet.com, 25.009.2018, https:// www.zdnet.com/article/microsoft-heres-why-were-declaring-end-of-password-era/, [dostęp 31.10.2018].
  • [22] Senate Bill No. 327 (SB-327) Information privacy: connected devices, 28.09.2018, https://leginfo. legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327, [dostęp: 31.10.2018].
  • [23] Mitnick K., Sztuka podstępu. Łamałem ludzi, nie hasła, Helion, 2003.
  • [24] http://truecrypt.sourceforge.net/
  • [25] https://symantec.com/smb/drive-encryption
  • [26] https://www.passware.com/kit-forensic/
  • [27] https://belkasoft.com/ram-capturer
  • [28] https://accessdata.com/product-download/ftk-imager-version-4.2.0
  • [29] https://gist.github.com/scottlinux/9a3b11257ac575e4f71de811322ce6b3
  • [30] https://github.com/berzerk0/Probable-Wordlists/tree/master/Real-Passwords
  • [31] https://wordlists.capsop.com
  • [32] https://github.com/Mebus/cupp
  • [33] https://pl.wikipedia.org/wiki/Leet_speak
  • [34] https://hashcat.net/wiki/doku.php?id=toggle_case_attack
  • [35] https://hashcat.net/hashcat
  • [36] https://www.openwall.com/john/
  • [37] https://www.oxid.it/cain.html
  • [38] https://www.passware.com/kit-forensic/
  • [39] https://github.com/e-ago/bitcracker
  • [40] https://accessdata.com/product-download/password-recovery-toolkit-prtk-version-7.6.0
  • [41] https://accessdata.com/product-download/distributed-network-attack-dna-version-7.3.0
  • [42] https://azure.microsoft.com/
  • [43] https://aws.amazon.com/free/
  • [44] https://www.nvidia.com/en-gb/data-center/tesla/
  • [45] https://vast.ai/
  • [46] https://md5online.org
  • [47] https://crackstation.net
  • [48] https://hashkiller.co.uk
Uwagi
1. Opracowanie rekordu w ramach umowy 509/P-DUN/2018 ze środków MNiSW przeznaczonych na działalność upowszechniającą naukę (2019).
2. Źródło finansowania pracy — środki własne autora.
Typ dokumentu
Bibliografia
Identyfikator YADDA
bwmeta1.element.baztech-d8ce7afa-91eb-4280-b26c-0098692544c0
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.