Jump to content
Forum Kopalni Wiedzy

Recommended Posts

W informatyce nie istnieją zabezpieczenia doskonałe i każde z nich można w końcu pokonać. Jednak czy zostaną one pokonane zależy w dużej mierze od korzyści, jakich spodziewa się atakujący. Dlatego też korzystając z najbardziej rozpowszechnionej metody zabezpieczania danych - haseł - powinniśmy pamiętać, że im dłuższe hasło, tym jego złamanie jest trudniejsze i bardziej kosztowne.

Eksperci z firmy Electric Alchemy pokusili się o oszacowanie nie tylko kosztów złamania hasła metodą brute force, ale również oceny, w jaki sposób wykorzystanie najnowszych technologii wpływa na ich obniżenie.

W ramach eksperymentów przeprowadzono ataki na plik .zip chroniony za pomocą oprogramowania PGP. Wykorzystano przy tym program EDPR do łamania haseł produkowany przez rosyjską firmę ElcomSoft.

Pierwsze próby wykazały, że jeśli użyjemy dwurdzeniowego peceta z systemem Windows 7 to złamanie średniej długości hasła zajmie nam około 2100 dni. To, oczywiście, nieakceptowalnie długo. Dlatego też specjaliści wpadli na pomysł wykorzystania chmur obliczeniowych.

Wynajęli w tym celu moc obliczeniową chmury EC2 Amazona. Jest ona udostępniana w cenie 30 centów za godzinę pracy każdego procesu obliczeniowego. Po odpowiednim skonfigurowaniu okazało się, że 10 wirtualnych komputerów korzystających równocześnie z EDPR jest w stanie złamać hasło w ciągu 122 dni. Koszt takiego przedsięwzięcia wynosi mniej niż 8784 USD. Jeśli jednak wynajmiemy 100 wirtualnych maszyn, to złamią one hasło w ciągu 12 dni, a my zapłacimy za to 8640 USD.

Wyraźnie więc widać, że nowoczesna technologia pozwala na szybkie i tanie łamanie haseł. Dlatego też, co udowodniły kolejne obliczenia Electric Alchemy, hasła powinny  być jak najdłuższe i powinny korzystać z jak największego zestawu znaków.

Wystarczy wspomnieć, że złamanie hasła składającego się z 9 znaków, wśród których mogą znaleźć się wszystkie symbole ASCII kosztuje co najmniej 10 milionów dolarów.  W przypadku 12-znakowego hasła koszt rośnie do 8 miliardów USD. Jednak będzie on znacznie niższy, gdy wykorzystamy tylko małe litery łacińskie i cyfry. Wówczas ośmioznakowe hasło złamiemy za 45 USD, 9-znakowe będzie kosztowało 1628 dolarów, a 10-znakowe - 58 592 USD. Dalej koszt gwałtownie rośnie i przy 11-znakowym wynosi już ponad 2 miliony USD, a przy 12-znakowym zbliża się do 76 milionów dolarów.

Share this post


Link to post
Share on other sites

Wniosek na dole strony jest dość pokrętny. Aby hasło składające się tylko z małych liter było tak samo mocne jak to składające się z wszystkich znaków ASCII wystarczy, żeby było dłuższe o 3 znaki. Jeżeli będzie dłuższe o 2 znaki, to będzie mniej więcej tak samo mocne. http://www.wolframalpha.com/input/?i=(26%2B26%2B10%2B29)^9+/+(26%2B10)^11

Share this post


Link to post
Share on other sites

a uzytkownicy i tak glownie uzywaja haseł "imie1" data urodzenia, imie psa i masa innych ze standardowego słownika, tak że metoda brutal force na zwyklym PC łamie sie hasła w kilka godzin, max dni.

Share this post


Link to post
Share on other sites

a uzytkownicy i tak glownie uzywaja haseł "imie1" data urodzenia, imie psa i masa innych ze standardowego słownika, tak że metoda brutal force na zwyklym PC łamie sie hasła w kilka godzin, max dni.

nie lamie sie, je sie resetuje, lub w najgorszym przypadku korzysta sie z konta administratora glownego [ root ]ktore nie jest chronione zadnym haslem [ systemy windows ]

Share this post


Link to post
Share on other sites

Stopień złożoności algorytmu szyfrującego/hashującego jest bardzo istotny. Różnica między archiwum .zip zakodowanym PGP a np kombinacją Serpent+Twofish (jedna z zalecanych przez TrueCrypt) to kilka rzędów wielkości.

 

Dziś raczej używa się TrueCrypta itp. narzędzi niż szyfrowania zipów..

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Po co nam dodatkowe miejsce, jak tytułowa Chmura Huawei? Zapewne niejednokrotnie spotkaliście się ze stwierdzeniem, że ludzi można podzielić na dwie grupy - tych, co robią backupy oraz tych, którzy dopiero poznają, po co istnieją kopie zapasowe. Naturalnie to tylko jeden z wielu przykładów zastosowania zewnętrznych chmur. Dlaczego warto zwrócić swoją uwagę na tę od Huawei? Z kilku, względnie prostych powodów.
      Chmura Huawei jest obowiązkowa dla posiadaczy urządzeń tej firmy
      Jeśli jeszcze nie posiadacie żadnego smartfona lub tabletu od Huawei, to zapewne nie poznaliście jeszcze Huawei Mobile Services. To zestaw usług firmy, które skutecznie mają pokazać, że istnieje życie z Androidem poza Google. Oczywiście to dosyć ogólny przykład, bo Chmura Huawei istnieje od wielu lat. Tym sposobem nie trzeba się martwić o jej bezpieczeństwo lub potencjalny brak rozwoju. Ostatni rok pokazał dobitnie, że w stosunkowo krótkim czasie można wprowadzić wiele usprawnień, a przy okazji nic nie zepsuć. Jednak dlaczego ta usługa jest obowiązkowa dla posiadaczy urządzeń tej firmy? Z wielu względów - przede wszystkim ułatwia przejście pomiędzy smartfonami i tabletami.
      Naucz się robić kopie zapasowe, nim będzie za późno lub niech robi to za Ciebie Chmura Huawei
      Jak już wiecie, Chmura Huawei jest niemalże obowiązkowa, gdy korzysta się z urządzeń od tego producenta. Już w ramach pierwszego włączenia sprzętu z Androidem od Huawei, ujrzymy komunikat o zarejestrowaniu się lub zalogowaniu do ID Huawei, a następnie wybraniu tego, co chcemy odkładać w ramach backupu. Możemy dbać nie tylko o zdjęcia i ogólne pliki, ale również o aplikacje i dane do nich. To szczególnie istotne w przypadku urządzeń mobilnych, aby odzyskać możliwie najwięcej.
      Chmura Huawei z każdego miejsca na świecie
      Podobnie jak Dysk Google, tak również Chmura Huawei jest dostępna praktycznie wszędzie, gdzie tylko dostępny jest Internet. Nie musimy mieć ze sobą sprzętu tego producenta. Wystarczy jakiekolwiek urządzenie z przeglądarką internetową. W ten sposób możemy zdalnie, na dużym ekranie przejrzeć swoje kontakty i wszystko to, co odkładamy w Sieci.
      Znajdź swoje urządzenie dzięki Chmurze Huawei
      Jednak gromadzenie plików to nie wszystko. Skoro już wiemy, że dostęp do Chmury Huawei jest możliwy niemalże z każdego cywilizowanego miejsca na globie, to wykorzystajmy usługę do czegoś więcej. Huawei postanowił, że z tego samego miejsca zlokalizujemy powiązane z naszym ID Huawei urządzenia. Idąc dalej, możemy również wywołać dźwięk lub je wyczyścić. Proste? Bardzo proste i przy okazji bezpieczne.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Po co nam dodatkowe miejsce, jak tytułowa Chmura Huawei? Zapewne niejednokrotnie spotkaliście się ze stwierdzeniem, że ludzi można podzielić na dwie grupy - tych, co robią backupy oraz tych, którzy dopiero poznają, po co istnieją kopie zapasowe. Naturalnie to tylko jeden z wielu przykładów zastosowania zewnętrznych chmur. Dlaczego warto zwrócić swoją uwagę na tę od Huawei? Z kilku, względnie prostych powodów.
      Chmura Huawei jest obowiązkowa dla posiadaczy urządzeń tej firmy
      Jeśli jeszcze nie posiadacie żadnego smartfona lub tabletu od Huawei, to zapewne nie poznaliście jeszcze Huawei Mobile Services. To zestaw usług firmy, które skutecznie mają pokazać, że istnieje życie z Androidem poza Google. Oczywiście to dosyć ogólny przykład, bo Chmura Huawei istnieje od wielu lat. Tym sposobem nie trzeba się martwić o jej bezpieczeństwo lub potencjalny brak rozwoju. Ostatni rok pokazał dobitnie, że w stosunkowo krótkim czasie można wprowadzić wiele usprawnień, a przy okazji nic nie zepsuć. Jednak dlaczego ta usługa jest obowiązkowa dla posiadaczy urządzeń tej firmy? Z wielu względów - przede wszystkim ułatwia przejście pomiędzy smartfonami i tabletami.
      Naucz się robić kopie zapasowe, nim będzie za późno lub niech robi to za Ciebie Chmura Huawei
      Jak już wiecie, Chmura Huawei jest niemalże obowiązkowa, gdy korzysta się z urządzeń od tego producenta. Już w ramach pierwszego włączenia sprzętu z Androidem od Huawei, ujrzymy komunikat o zarejestrowaniu się lub zalogowaniu do ID Huawei, a następnie wybraniu tego, co chcemy odkładać w ramach backupu. Możemy dbać nie tylko o zdjęcia i ogólne pliki, ale również o aplikacje i dane do nich. To szczególnie istotne w przypadku urządzeń mobilnych, aby odzyskać możliwie najwięcej.
      Chmura Huawei z każdego miejsca na świecie
      Podobnie jak Dysk Google, tak również Chmura Huawei jest dostępna praktycznie wszędzie, gdzie tylko dostępny jest Internet. Nie musimy mieć ze sobą sprzętu tego producenta. Wystarczy jakiekolwiek urządzenie z przeglądarką internetową. W ten sposób możemy zdalnie, na dużym ekranie przejrzeć swoje kontakty i wszystko to, co odkładamy w Sieci.
      Znajdź swoje urządzenie dzięki Chmurze Huawei
      Jednak gromadzenie plików to nie wszystko. Skoro już wiemy, że dostęp do Chmury Huawei jest możliwy niemalże z każdego cywilizowanego miejsca na globie, to wykorzystajmy usługę do czegoś więcej. Huawei postanowił, że z tego samego miejsca zlokalizujemy powiązane z naszym ID Huawei urządzenia. Idąc dalej, możemy również wywołać dźwięk lub je wyczyścić. Proste? Bardzo proste i przy okazji bezpieczne.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Po 11 latach od premiery wysłużony Windows 7 odchodzi na emeryturę. Dzisiaj dobiegł końca okres rozszerzonego wsparcia dla tego systemu. Microsoft nie będzie już udostępniał dla niego poprawek bezpieczeństwa. Warto więc w ciągu najbliższych miesięcy pomyśleć o zaktualizowaniu systemu do nowej wersji.
      Na poprawki, ale już płatne, będą mogli liczyć jedynie użytkownicy wersji Enterprise oraz Pro. Użytkownicy edycji Enterprise będą musieli zapłacić 25 USD, a wersji Pro - 50 USD za rozszerzenie wsparcia do stycznia 2021 roku. Wsparcie będzie można przedłużyć o kolejne dwa lata, w każdym roku płacąc dwukrotnie więcej niż w roku wcześniejszym.
      Microsoft już od wielu miesięcy przypominał użytkownikom Windows 7, że okres wsparcia dobiega końca. Użytkownicy więc o tym wiedzieli. Ponadto jutro wyświetli im się pełnoekranowe powiadomienie, że okres wparcia właśnie się zakończył.
      Koncern z Redmond próbuje przekonać jak najwięcej użytkowników Windows 7 by zaczęli korzystać z Windows 10. Częściowo się to udaje. Jak bowiem donoszą firmy analityczne, rynek pecetów notuje właśnie pierwsze globalne wzrosty sprzedaży od roku 2011. Jest to związane z faktem, że firmy i użytkownicy indywidualni postanowili, przy okazji zmiany systemu operacyjnego, wymienić też komputery.
      Windows 7 jest wciąż niezwykle popularnym systemem i, jak twierdzą analitycy, mogą minąć jeszcze nawet 2 lata zanim jego rynkowe udziały spadną poniżej 10%. Przypomnijmy, że w przypadku równie popularnego Windows XP Microsoft wielokrotnie publikował łaty pomimo zakończenia okresu wsparcia.
      Windows 7 to prawdopodobnie ostatni system operacyjny, który będzie sprawiał Microsoftowi tego typu problemy. Wsparcie dla Windows 8 kończy się w 2023 roku i cały proces powinien przejść bez większych zakłóceń, gdyż system ma mniej niż 5% udziałów w rynku.
      Jeśli zaś chodzi o Windows 10 to jego model publikacji jest zupełnie inny. Dotychczas doświadczyliśmy zakończenia wsparcia dla wielu wersji Windows 10 i nie rodziło to żadnych większych problemów. W bieżącym roku zakończy się wsparcie dla trzech kolejnych wersji. W przypadku tego OS-u wystarczy, by użytkownicy dokonywali regularnych aktualizacji do kolejnych wersji.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Specjaliści z google'owskiego Project Zero poinformowali o znalezieniu licznych złośliwych witryn, które atakują użytkowników iPhone'ów wykorzystując w tym celu nieznane wcześniej dziury. Wiadomo, że witryny te działają od co najmniej 2 lat i każdego tygodnia są odwiedzane tysiące razy. Wystarczy wizyta na takiej witrynie, by doszło do ataku i instalacji oprogramowania szpiegującego, stwierdzają specjaliści.
      Przeprowadzona analiza wykazała, że ataki przeprowadzane są na 5 różnych sposobów, a przestępcy wykorzystują 12 różnych dziur, z czego 7 znajduje się w przeglądarce Safari. Każdy z ataków pozwala na uzyskanie uprawnień roota na iPhone, dzięki czemu może np. niezauważenie zainstalować dowolne oprogramowanie. Przedstawiciele Google'a zauważyli, że ataki służyły głównie do kradzieży zdjęć i informacji, śledzenia lokalizacji urządzenia oraz kradzież haseł do banku. Wykorzystywane przez przestępców błędy występują w iOS od 10 do 12.
      Google poinformowało Apple'a o problemie już w lutym. Firmie z Cupertino dano jedynie tydzień na poprawienie błędów. Tak krótki czas – zwykle odkrywcy dziur dają twórcom oprogramowania 90 dni na przygotowanie poprawek – pokazuje jak poważne były to błędy. Apple zdążyło i sześć dni później udostępniło iOS 12.1.4 dla iPhone'a 5S oraz iPad Air.
      AKTUALIZACJA:
      Z medialnych doniesień wynika, że za atakiem stoją chińskie władze, a ich celem była głównie mniejszość ujgurska. W ramach tej samej kampanii atakowano też urządzenia z systemem Android i Windows, jednak przedstawiciele Project Zero poinformowali jedynie o atakach na iOS-a. Google nie odniósł się do najnowszych rewelacji. Microsoft oświadczył, że bada doniesienia o ewentualnych dziurach.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      W grudniu ubiegłego roku Stany Zjednoczone oficjalnie ujawniły, że wpadły na trop dużej operacji hakerskiej prowadzonej przez rząd Chin. Celem operacji była kradzież własności intelektualnej zachodnich przedsiębiorstw. Amerykańskie władze nie zdradziły nazw zaatakowanych firm, ale dziennikarze dowiedzieli się, że chodziło m.in. o IBM- i Hewlett Packarda.
      Teraz reporterzy Reutersa odkryli, że co najmniej sześć innych firm również padło ofiarą hakerów pracujących dla chińskiego rządu. Są to Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation i DXC Technology. Okazało się również, że wśród ofiar hakerów są też klienci wcześniej wymienionych firm, a wśród nich szwedzki Ericsson, system rezerwacji podróży Sabre czy amerykańska stocznia Huntington Ingalls Industries, która buduje okręty na zlecenie US Navy.
      Większość z wymienionych powyżej przedsiębiorstw albo odmawia komentarza, albo zapewnia, że jej infrastruktura jest dobrze zabezpieczona. Przedstawiciele Sabre poinformowali, że w 2015 roku doszło do incydentu z zakresu cyberbezpieczeństwa, ale żadne dane podróżnych nie zostały ukradzione. Z kolei rzecznik prasowa Huntington Ingalls stwierdziła, że jej firma jest pewna, iż nie utraciła żadnych danych za pośrednictwem HPE czy DXC.
      Rząd w Pekinie oczywiście również wszystkiemu zaprzecza. Rząd Chin nigdy w żaden sposób nie brał udziału, ani nie wspierał żadnej osoby parającej się kradzieżą tajemnic handlowych, oświadczyło chińskie MSZ.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...