Craccare un PDF protetto da password in pochi secondi – PZU e la loro protezione illusoria. Anche NN Investment Partners ripete queste cattive pratiche.

L’illusione della sicurezza è peggiore della consapevolezza della sua assenza perché porta a decisioni basate su premesse false. Le informazioni trasmesse da istituzioni di fiducia pubblica come “Proteggiamo i tuoi dati personali” spesso creano questa illusione di sicurezza. Studiamo due esempi di ciò utilizzando file PDF protetti da password.

  1. Ho ricevuto un’email da PZU con un’offerta di assicurazione, sottolineando “Proteggiamo i dati personali”:
pdf con password pzu

2. L’allegato era un file PDF protetto da una password:

pdf con password

3. Supponiamo di non conoscere la password. Tuttavia, so dal contenuto dell’email che la password è composta da 4 cifre. Vediamo quanto tempo ci vuole per craccarla usando un computer domestico moderno.

4. Aprendo il PDF in modalità testo, possiamo leggere l’intestazione del file (ad esempio, utilizzando Blocco note). Questo ci permetterà di identificare la versione dello standard in cui è stato creato:

pdf 1.4
Come possiamo vedere dalla stringa “%PDF-1.4”, è stato utilizzato un formato di oltre 20 anni fa nella forma di PDF 1.4.

5. Il passo successivo è estrarre l’hash della password che vogliamo craccare. Qui ci viene in aiuto lo strumento pdf2john.py.

hash pdf

6. Per craccare l’hash ottenuto, useremo hashcat in modalità brute force. 10500 indica qui la modalità di craccatura degli hash per i file PDF nelle versioni 1.4-1.6:

Il file hash.txt contiene l’hash della password precedentemente estratto. a3 indica una modalità brute force con la maschera ?d?d?d?d dove ogni ?d rappresenta un numero da 0 a 9.
hashcat pdf

Come si vede qui sotto, craccare una password composta da quattro cifre ha impiegato 10 secondi:

pdf hashcat

Si può quindi affermare con certezza che una password di 4 cifre è un tipo di protezione illusoria e non protegge i dati personali.

Passiamo ora all’esame del PDF “protetto” da NN Investment Partners.

  1. Qui è stato “protetto” con una stringa di caratteri leggermente più lunga: il numero PESEL.
nn investment partners pdf

2. L’intestazione del file allegato – “%PDF-1.2” indica che il file è stato creato utilizzando lo standard del 1996:

pdf 1.2

3. L’hash della password estratta indica la stessa cosa:

hash pdf

4. Lanciamo un brute force con hashcat. Brute force perché non prendiamo in considerazione nessun altro presupposto che ridurrebbe il numero di combinazioni possibili, tranne il fatto che il PESEL è un numero di 11 cifre:

hashcat pesel
Questa volta craccare la password ha impiegato 64 secondi. Ancora una volta, dimostriamo che una password di 11 cifre non è una protezione e costituisce un esempio di illusione di sicurezza.
pdf hashcat

Cosa fare, come vivere?

Per crittografare i dati, bisogna usare password lunghe – oltre 12 caratteri, con un ampio spazio di caratteri, cioè contenenti lettere maiuscole/min uscole, numeri e caratteri speciali. Una tale password dovrebbe essere inviata al cliente tramite un secondo canale di comunicazione, ad esempio via SMS. Inoltre, le istituzioni dovrebbero utilizzare algoritmi di crittografia forti che rallentano significativamente i tentativi di brute force. Un esempio potrebbe essere l’utilizzo di un archivio 7zip con l’algoritmo AES-256.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Taggato , , , , , , , . Aggiungi ai preferiti : permalink.

Condividi la tua opinione sull'articolo.