Prezentacja o bezpieczeństwie haseł, Politechnika Śląska, Gliwice, 05.04.2017. O bezpieczeństwo w sieci musisz zadbać sam — w szczególności w kontekście bezpieczeństwa haseł. W ramach wykładów pokazuję w jaki sposób dochodzi do wycieków wrażliwych danych z serwisów, jakimi narzędziami i metodami posługują się cyberprzestępcy oraz o tym, jak wygląda praca pentestera w Future Processing.

1. ZNAM TWOJE
HASŁA
I co z tym zrobisz?
Wersja 1. (2017-04)
Adrian `Vizzdoom` Michalczyk
Wszystkieprawazastrzeżone
Link doprezentacji:
http://adrian.michalczyk.website/znam-twoje-hasla
Rysunki, loga, nazwy firmowe/towarów należą/są zastrzeżone przez ich właścicieli i zostały użyte w celach informacyjnych.

2. O MNIE
Adrian „Vizzdoom” Michalczyk
Starszy inżynier ds. bezpieczeństwa
Future Processing Sp. z o.o.
Pentester, full-stack developer, pisarz…
„HackArt” Adrian Michalczyk
Amator papierowych RPGów, postapo,
fotografii i gier wideo
vizzdoom@gmail.com http://adrian.michalczyk.website

3. WIDZIAŁEM MILIONY
• 2 476 431 haseł (i skrótów haseł) z polskich stron
• i... 65 milionów z serwisów zagranicznych
• ~85% z nich zostało złamanych

6. HASŁO
STATYCZNE
Czym jest
Wersja 1. (2017-04)

7. PROCES KONTROLI DOSTĘPU
1. Identyfikacja (jestem administratorem)
2. Uwierzytelnienie (znam hasło administratora)
3. Autoryzacja(administrator może wszystko)

8. INFORMACJA UWIERZYTELNIAJĄCA
• coś, o czym podmiot wie
• coś, co podmiot ma
• coś, czym podmiot jest

9. HASŁO STATYCZNE („CO WIEM”)
• najpopularniejsza metoda uwierzytelniania
• krótki ciąg znaków, często wymyślany przez użytkownika
• charakterystyczny ciąg, łatwy do przejęcia
• może zostać zmienione, blokując dostęp do usługi

12. JEDNOKIERUNKOWE FUNKCJE SKRÓTU
MD4
SHA-1
MD5
SHA-2
SHA-3
…

13. JEDNOKIERUNKOWE FUNKCJE SKRÓTU
• szybkie
• nieodwracalne
• odporne na kolizje
SHA2_224("Adrian")=7cea0f70c11eff7458a3be58ad88daa0c071df152c5b05fc8211f6dd
SHA2_224("adrian")=ff704b568e5a7821927031d4c6203fc960570b6ec9ffea952eea7828
SHA2( )

14. MD5
85%
SHA
13%
Inne
2%
Popularne
funkcje
skrótu
Za: Łamanie haseł statycznych w aplikacjach internetowych –
analiza technik ataków oraz metod zabezpieczeń, Adrian Michalczyk, 2013 r.
Na podstawie analizy 49 591 594 skrótów haseł.

15. PRZECIĘTNA DŁUGOŚĆ HASŁA
DŁUGOŚĆ HASŁA PROCENT WSZYSTKICH HASEŁ
1-6 16%
1-8 54%
1-10 83%
1-14 97%
15+ 3%

16. POPULARNE WZORCE HASEŁ
WZORZEC POPULARNOŚĆ
[a-z] & [0-9] 41%
[a-z] 30%
[0-9] 19%
[A-Z] & [0-9] 2%
[a-z] & [A-Z] & [0-9] 2%
…
}90%

17. CHARAKTERYSTYKA SŁABEGO HASŁA
• plaintext
• hash MD5/SHA (98% przypadków hashy)
• krótsze niż 15 znaków (97% przypadków)
• złożone z małych liter i/lub cyfr (90% przypadków)

18. https://www.thc.org/thc-hydra/

19. https://www.youtube.com/watch?v=DwX2-VOruo0

21. https://hashcat.net/hashcat/
https://github.com/Hydraze/pack
https://github.com/Mebus/cupp
https://github.com/psypanda/hashID

22. GOOGLE HASH CRACKING

23. JAK
WYKRADA SIĘ
HASŁA
Wersja 1. (2017-04)

24. BŁĘDY BEZPIECZEŃSTWA APLIKACJI WWW
• wstrzykniecia kodu SQL
• cross-site scripting (XSS)
• local file Injection (LFI)
• https://www.owasp.org/index.php/Top_10_2013-Top_10
• …

26. INNE PRZYPADKI WYCIEKU DANYCH
• kradzież
• phishing
• przypadkowa publikacja danych
• odgadnięcie danych

27. Źródło
niebezpiecznik.pl

28. LEGALNE ZDOBYWANIE HASEŁ

29. Źródło: niebezpiecznik.pl

33. LEGALNE ZDOBYWANIE HASEŁ
• Google, Bing, Shodan…
• obserwacja for hackerskich (głównie w Torze)

34. LEGALNE ZDOBYWANIE HASEŁ
• Google, Bing, Shodan…
• obserwacja for hackerskich (głównie w Torze)
• nie udostępniaj danych dalej (Torrent!)
• nie włamuj się, nie szantażuj, nie sprawdzaj maila koleżanki

35. MOŻE JA TO PO PROSTU ZOSTAWIĘ TUTAJ…
• http://www.adeptus-mechanicus.com/
codex/hashpass/hashpass.php – kilka fajnych baz i statystyk
• https://forum.insidepro.com – czy pomożesz odzyskać hasło?
• https://haveibeenpwned.com – czy Twoje dane wyciekły?

36. PRAKTYCZNE
PORADY
Wersja 1. (2017-04)

37. MD5
SHA
Funkcje dedykowane
dla skrótów haseł
KORZYSTAJ Z DEDYKOWANYCH FUNKCJI
Funkcje do sprawdzania
integralności danych
BCRYPT
PBKDF2
szybkie,
ale szybkość to twój wróg
dynamiczna funkcja kosztu, sól,
przeciwdziałanie „crackowaniu”

38. Źródło: https://pl.pinterest.com/pin/434738170255431753/

39. MENADŻERY HASEŁ (OFFLINE)

41. NIGDY NIE WIESZ, KIEDY STRACISZ HASŁO
• używaj unikatowych haseł (oraz loginów)
• używaj skomplikowanych haseł
• włącz dodatkowe mechanizmy obrony (np. 2FA)
• nie ufaj bezgranicznie nawet menadżerowi haseł
• nie myśl „jakoś to będzie” (na to liczą przestępcy!)

42. SECURITY W FUTURE PROCESSING
• tworzenie bezpiecznej architektury
• audyty kodu źródłowego
• testy penetracyjne (WWW, mobile, sieci)
• doradztwo specjalistyczne

43. OFERTA PRACY/STAŻU DLA „BEZPIECZNIKA IT”
• realny rozwój umiejętności (mentoring)
• nowoczesne biuro w Gliwicach
• stabilność zatrudnienia
• benefity pracownicze
• praca z najlepszymi fachowcami

44. DOŁĄCZ DO ZESPOŁU SECURITY
https://www.future-processing.pl/job_offer/security-engineer
https://www.future-processing.pl/kariera/praktyki
Szukamy ludzi z podstawowym doświadczeniem w IT SECURITY!
Dołącz do nas wypełniając formularz z dopiskiem event security vizz

45. DZIĘKUJĘ ZA
UWAGĘ
amichalczyk@future-processing.com
vizzdoom@gmail.com
https://www.future-processing.pl/job_offer/security-engineer
Wersja 1. (2017-04)
Link do prezentacji:
http://adrian.michalczyk.website/znam-twoje-hasla