कुछ सेकंड में पासवर्ड वाले PDF को क्रैक करना – PZU और उनकी झूठी सुरक्षा। NN Investment Partners भी इन्हीं खराब प्रथाओं को दोहरा रहे हैं।

By | |

सुरक्षा का भ्रम उसकी कमी के बारे में जागरूकता से भी बदतर है, क्योंकि यह गलत आधारों पर निर्णय लेने की ओर ले जाता है। “हम आपके व्यक्तिगत डेटा की सुरक्षा करते हैं” जैसी सार्वजनिक संस्थाओं द्वारा दी गई जानकारी अक्सर सुरक्षा के इस भ्रम को पैदा करती है। आइए पासवर्ड वाले PDF फाइलों के उदाहरण पर दो मामलों का अध्ययन करें।

  1. मुझे PZU से बीमा प्रस्ताव के साथ एक ईमेल मिला, जिसमें “हम व्यक्तिगत डेटा की सुरक्षा करते हैं” को रेखांकित किया गया था:
pdf पासवर्ड के साथ pzu

2. अटैचमेंट में पासवर्ड से सुरक्षित एक PDF फाइल थी:

pdf पासवर्ड के साथ

3. मान लीजिए कि मुझे पासवर्ड नहीं पता। हालांकि, ईमेल के कंटेंट से मुझे पता है कि पासवर्ड 4 अंकों का है। आइए देखें कि इसे आधुनिक घरेलू कंप्यूटर का उपयोग करके क्रैक करने में कितना समय लगता है।

4. PDF को टेक्स्ट मोड में खोलकर, हम फाइल का हेडर पढ़ सकते हैं (उदाहरण के लिए, नोटपैड का उपयोग करके)। यह हमें यह पहचानने की अनुमति देगा कि इसे किस मानक संस्करण में बनाया गया था:

pdf 1.4
जैसा कि अक्षरों की अनुक्रम से देखा जा सकता है – “%PDF-1.4”, यहाँ 20 साल से अधिक पुराना फॉर्मेट PDF 1.4 का उपयोग किया गया है

5. अगला कदम उस पासवर्ड का हैश निकालना है जिसे हम क्रैक करना चाहते हैं। यहाँ हमें pdf2john.py टूल मदद करेगा।

pdf हैश

6. प्राप्त हैश को क्रैक करने के लिए हम हैशकैट को ब्रूटफोर्स मोड में उपयोग करेंगे। 10500 यहाँ PDF फाइलों के संस्करण 1.4-1.6 के हैश को क्रैक करने का मोड दर्शाता है:

hash.txt फाइल में पहले से निकाला गया पासवर्ड हैश है। a3 ब्रूटफोर्स मोड को मास्क ?d?d?d?d के साथ दर्शाता है जहाँ प्रत्येक ?d 0-9 तक के किसी भी अंक को दर्शाता है।
hashcat pdf

जैसा कि नीचे देखा जा सकता है, चार अंकों के पासवर्ड को क्रैक करने में 10 सेकंड लगे:

pdf hashcat

इस प्रकार, यह निश्चित रूप से कहा जा सकता है कि 4 अंकों का पासवर्ड एक प्रकार का सुरक्षा भ्रम है और यह व्यक्तिगत डेटा की सुरक्षा नहीं करता है।

आइए अब NN Investment Partners का “सुरक्षित” PDF देखें।

  1. यहाँ इसे थोड़ी लंबी स्ट्रिंग — PESEL नंबर के साथ “सुरक्षित” किया गया था।
nn investment partners pdf

2. अटैचमेंट का हेडर – “%PDF-1.2” यह इंगित करता है कि फाइल का निर्माण 1996 के मानक का उपयोग करके किया गया था:

pdf 1.2

3. पासवर्ड का निकाला गया हैश भी यही दर्शाता है:

pdf हैश

4. हम हैशकैट के साथ “रॉ” ब्रूटफोर्स शुरू करते हैं। रॉ इसलिए क्योंकि हम कोई अतिरिक्त धारणा नहीं लेते हैं, जो संभावित संयोजनों की संख्या को कम कर देगा, सिवाय इसके कि PESEL 11 अंकों की संख्या है:

hashcat pesel
इस बार पासवर्ड को क्रैक करने में 64 सेकंड लगे। एक बार फिर साबित होता है कि 11 अंकों का पासवर्ड कोई सुरक्षा नहीं है और सुरक्षा के भ्रम का एक उदाहरण है।
pdf hashcat

क्या करें, कैसे जिएं?

डेटा एन्क्रिप्ट करने के लिए लंबी पासवर्ड का उपयोग करना चाहिए — 12 से अधिक वर्णों का, जिसमें बड़े/छोटे अक्षर, अंक और विशेष वर्ण शामिल हों। ऐसे पासवर्ड को दूसरे संचार चैनल (जैसे एसएमएस) द्वारा ग्राहक को भेजा जाना चाहिए। इसके अलावा, संस्थानों को मजबूत एन्क्रिप्शन एल्गोरिदम का उपयोग करना चाहिए, जो ब्रूटफोर्स प्रयासों को काफी धीमा कर देता है। इसका एक उदाहरण AES-256 एल्गोरिदम के साथ 7zip आर्काइव का उपयोग हो सकता है।

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Tagged , , , , , , , , , , , , , . Bookmark the permalink.

लेख के बारे में अपनी राय साझा करें।