Das Knacken eines passwortgeschützten PDFs in Sekunden – PZU und ihr illusorischer Schutz. NN Investment Partners wiederholt ebenfalls diese schlechten Praktiken.

Von | |

Die Illusion von Sicherheit ist schlimmer als das Bewusstsein über deren Fehlen, weil sie zu Entscheidungen führt, die auf falschen Annahmen basieren. Informationen, die von öffentlichen Vertrauensinstitutionen wie „Wir schützen Ihre persönlichen Daten“ übermittelt werden, schaffen oft diese Illusion von Sicherheit. Lassen Sie uns zwei Beispiele dafür anhand von passwortgeschützten PDF-Dateien untersuchen.

  1. Ich habe eine E-Mail von PZU mit einem Versicherungsangebot erhalten, in der hervorgehoben wird: „Wir schützen persönliche Daten“:
pdf mit Passwort pzu

2. Der Anhang war eine PDF-Datei, die durch ein Passwort geschützt war:

pdf mit Passwort

3. Angenommen, ich kenne das Passwort nicht. Aus dem Inhalt der E-Mail weiß ich jedoch, dass das Passwort aus 4 Ziffern besteht. Schauen wir, wie lange es dauert, es mit einem modernen Heimcomputer zu knacken.

4. Durch das Öffnen des PDFs im Textmodus können wir die Kopfzeile der Datei lesen (z. B. mit dem Notizblock). Dies ermöglicht es uns, die Version des Standards zu identifizieren, in der sie erstellt wurde:

pdf 1.4
Wie man aus der Zeichenkette „%PDF-1.4“ sieht, wurde hier ein über 20 Jahre altes Format in Form von PDF 1.4 verwendet.

5. Der nächste Schritt ist das Extrahieren des Passwort-Hashes, den wir knacken wollen. Hier hilft uns das Tool pdf2john.py.

pdf hash

6. Zum Knacken des erhaltenen Hashs verwenden wir hashcat im Brute-Force-Modus. 10500 bedeutet hier den Modus zum Knacken von Hashes im Format für PDF-Dateien der Versionen 1.4-1.6:

Die Datei hash.txt enthält den zuvor extrahierten Passwort-Hash. a3 bedeutet Brute-Force-Modus mit der Maske ?d?d?d?d, wobei jedes ?d eine beliebige Ziffer von 0 bis 9 darstellt.
hashcat pdf

Wie unten zu sehen, dauerte das Knacken eines Passworts aus vier Ziffern 10 Sekunden:

pdf hashcat

Es kann daher mit Sicherheit gesagt werden, dass ein 4-stelliges Passwort eine Art illusorischer Schutz ist und persönliche Daten nicht schützt.

Betrachten wir nun das „geschützte“ PDF von NN Investment Partners.

  1. Hier wurde es mit einer etwas längeren Zeichenfolge „geschützt“ – der PESEL-Nummer.
nn investment partners pdf

2. Die Kopfzeile der beigefügten Datei – „%PDF-1.2“ zeigt an, dass die Datei mit dem Standard von 1996 erstellt wurde:

pdf 1.2

3. Der extrahierte Passwort-Hash zeigt dasselbe:

pdf hash

4. Wir starten eine brute-force Attacke mit hashcat. Brute-force, weil wir keine anderen Annahmen berücksichtigen, die die Anzahl der möglichen Kombinationen reduzieren würden, außer dass der PESEL aus 11 Ziffern besteht:

hashcat pesel
Diesmal dauerte das Knacken des Passworts 64 Sekunden. Wieder einmal zeigen wir, dass ein 11-stelliges Passwort kein Schutz ist und ein Beispiel für die Illusion von Sicherheit darstellt.
pdf hashcat

Was tun, wie leben?

Zum Verschlüsseln von Daten sollten lange Passwörter verwendet werden – mehr als 12 Zeichen, mit einem großen Zeichensatzraum, d. h. solche, die Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Ein solches Passwort sollte dem Kunden über einen zweiten Kommunikationskanal wie z. B. eine SMS übermittelt werden. Außerdem sollten Institutionen starke Verschlüsselungsalgorithmen verwenden, die brute-force Angriffe erheblich verlangsamen. Ein Beispiel könnte die Verwendung eines 7zip-Archivs mit dem AES-256-Algorithmus sein.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Speichere in deinen Favoriten diesen permalink.

Teilen Sie Ihre Meinung zu dem Artikel mit.