Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

(2017) Znam twoje hasła. I co z tym zrobisz?

129 views

Published on

Prezentacja o bezpieczeństwie haseł, Politechnika Śląska, Gliwice, 05.04.2017.

O bezpieczeństwo w sieci musisz zadbać sam — w szczególności w kontekście bezpieczeństwa haseł. W ramach wykładów pokazuję w jaki sposób dochodzi do wycieków wrażliwych danych z serwisów, jakimi narzędziami i metodami posługują się cyberprzestępcy oraz o tym, jak wygląda praca pentestera w Future Processing.

Published in: Software
  • Be the first to comment

  • Be the first to like this

(2017) Znam twoje hasła. I co z tym zrobisz?

  1. 1. ZNAM TWOJE HASŁA I co z tym zrobisz? Wersja 1. (2017-04) Adrian `Vizzdoom` Michalczyk Wszystkieprawazastrzeżone Link doprezentacji: http://adrian.michalczyk.website/znam-twoje-hasla Rysunki, loga, nazwy firmowe/towarów należą/są zastrzeżone przez ich właścicieli i zostały użyte w celach informacyjnych.
  2. 2. O MNIE Adrian „Vizzdoom” Michalczyk Starszy inżynier ds. bezpieczeństwa Future Processing Sp. z o.o. Pentester, full-stack developer, pisarz… „HackArt” Adrian Michalczyk Amator papierowych RPGów, postapo, fotografii i gier wideo vizzdoom@gmail.com http://adrian.michalczyk.website
  3. 3. WIDZIAŁEM MILIONY • 2 476 431 haseł (i skrótów haseł) z polskich stron • i... 65 milionów z serwisów zagranicznych • ~85% z nich zostało złamanych
  4. 4. HASŁO STATYCZNE Czym jest Wersja 1. (2017-04)
  5. 5. PROCES KONTROLI DOSTĘPU 1. Identyfikacja (jestem administratorem) 2. Uwierzytelnienie (znam hasło administratora) 3. Autoryzacja(administrator może wszystko)
  6. 6. INFORMACJA UWIERZYTELNIAJĄCA • coś, o czym podmiot wie • coś, co podmiot ma • coś, czym podmiot jest
  7. 7. HASŁO STATYCZNE („CO WIEM”) • najpopularniejsza metoda uwierzytelniania • krótki ciąg znaków, często wymyślany przez użytkownika • charakterystyczny ciąg, łatwy do przejęcia • może zostać zmienione, blokując dostęp do usługi
  8. 8. JEDNOKIERUNKOWE FUNKCJE SKRÓTU MD4 SHA-1 MD5 SHA-2 SHA-3 …
  9. 9. JEDNOKIERUNKOWE FUNKCJE SKRÓTU • szybkie • nieodwracalne • odporne na kolizje SHA2_224("Adrian")=7cea0f70c11eff7458a3be58ad88daa0c071df152c5b05fc8211f6dd SHA2_224("adrian")=ff704b568e5a7821927031d4c6203fc960570b6ec9ffea952eea7828 SHA2( )
  10. 10. MD5 85% SHA 13% Inne 2% Popularne funkcje skrótu Za: Łamanie haseł statycznych w aplikacjach internetowych – analiza technik ataków oraz metod zabezpieczeń, Adrian Michalczyk, 2013 r. Na podstawie analizy 49 591 594 skrótów haseł.
  11. 11. PRZECIĘTNA DŁUGOŚĆ HASŁA DŁUGOŚĆ HASŁA PROCENT WSZYSTKICH HASEŁ 1-6 16% 1-8 54% 1-10 83% 1-14 97% 15+ 3%
  12. 12. POPULARNE WZORCE HASEŁ WZORZEC POPULARNOŚĆ [a-z] & [0-9] 41% [a-z] 30% [0-9] 19% [A-Z] & [0-9] 2% [a-z] & [A-Z] & [0-9] 2% … }90%
  13. 13. CHARAKTERYSTYKA SŁABEGO HASŁA • plaintext • hash MD5/SHA (98% przypadków hashy) • krótsze niż 15 znaków (97% przypadków) • złożone z małych liter i/lub cyfr (90% przypadków)
  14. 14. https://www.thc.org/thc-hydra/
  15. 15. https://www.youtube.com/watch?v=DwX2-VOruo0
  16. 16. https://hashcat.net/hashcat/ https://github.com/Hydraze/pack https://github.com/Mebus/cupp https://github.com/psypanda/hashID
  17. 17. GOOGLE HASH CRACKING
  18. 18. JAK WYKRADA SIĘ HASŁA Wersja 1. (2017-04)
  19. 19. BŁĘDY BEZPIECZEŃSTWA APLIKACJI WWW • wstrzykniecia kodu SQL • cross-site scripting (XSS) • local file Injection (LFI) • https://www.owasp.org/index.php/Top_10_2013-Top_10 • …
  20. 20. INNE PRZYPADKI WYCIEKU DANYCH • kradzież • phishing • przypadkowa publikacja danych • odgadnięcie danych
  21. 21. Źródło niebezpiecznik.pl
  22. 22. LEGALNE ZDOBYWANIE HASEŁ
  23. 23. Źródło: niebezpiecznik.pl
  24. 24. LEGALNE ZDOBYWANIE HASEŁ • Google, Bing, Shodan… • obserwacja for hackerskich (głównie w Torze)
  25. 25. LEGALNE ZDOBYWANIE HASEŁ • Google, Bing, Shodan… • obserwacja for hackerskich (głównie w Torze) • nie udostępniaj danych dalej (Torrent!) • nie włamuj się, nie szantażuj, nie sprawdzaj maila koleżanki
  26. 26. MOŻE JA TO PO PROSTU ZOSTAWIĘ TUTAJ… • http://www.adeptus-mechanicus.com/ codex/hashpass/hashpass.php – kilka fajnych baz i statystyk • https://forum.insidepro.com – czy pomożesz odzyskać hasło? • https://haveibeenpwned.com – czy Twoje dane wyciekły?
  27. 27. PRAKTYCZNE PORADY Wersja 1. (2017-04)
  28. 28. MD5 SHA Funkcje dedykowane dla skrótów haseł KORZYSTAJ Z DEDYKOWANYCH FUNKCJI Funkcje do sprawdzania integralności danych BCRYPT PBKDF2 szybkie, ale szybkość to twój wróg dynamiczna funkcja kosztu, sól, przeciwdziałanie „crackowaniu”
  29. 29. Źródło: https://pl.pinterest.com/pin/434738170255431753/
  30. 30. MENADŻERY HASEŁ (OFFLINE)
  31. 31. NIGDY NIE WIESZ, KIEDY STRACISZ HASŁO • używaj unikatowych haseł (oraz loginów) • używaj skomplikowanych haseł • włącz dodatkowe mechanizmy obrony (np. 2FA) • nie ufaj bezgranicznie nawet menadżerowi haseł • nie myśl „jakoś to będzie” (na to liczą przestępcy!)
  32. 32. SECURITY W FUTURE PROCESSING • tworzenie bezpiecznej architektury • audyty kodu źródłowego • testy penetracyjne (WWW, mobile, sieci) • doradztwo specjalistyczne
  33. 33. OFERTA PRACY/STAŻU DLA „BEZPIECZNIKA IT” • realny rozwój umiejętności (mentoring) • nowoczesne biuro w Gliwicach • stabilność zatrudnienia • benefity pracownicze • praca z najlepszymi fachowcami
  34. 34. DOŁĄCZ DO ZESPOŁU SECURITY https://www.future-processing.pl/job_offer/security-engineer https://www.future-processing.pl/kariera/praktyki Szukamy ludzi z podstawowym doświadczeniem w IT SECURITY! Dołącz do nas wypełniając formularz z dopiskiem event security vizz
  35. 35. DZIĘKUJĘ ZA UWAGĘ amichalczyk@future-processing.com vizzdoom@gmail.com https://www.future-processing.pl/job_offer/security-engineer Wersja 1. (2017-04) Link do prezentacji: http://adrian.michalczyk.website/znam-twoje-hasla

×