Взлом PDF с паролем за несколько секунд — иллюзорная защита PZU. NN Investment Partners также повторяют эти плохие практики.

Автор: | |

Иллюзия безопасности хуже, чем осознание её отсутствия, потому что она приводит к решениям, основанным на ложных предпосылках. Информация, передаваемая учреждениями общественного доверия, типа «Мы защищаем ваши персональные данные», часто создает именно такую иллюзию безопасности. Рассмотрим два примера на основе PDF-файлов с паролями.

  1. Я получил электронное письмо от PZU с предложением страхования, в котором подчеркивается: «Мы защищаем персональные данные»:
pdf с паролем pzu

2. В приложении находился PDF-файл, защищенный паролем:

pdf с паролем

3. Допустим, я не знаю пароля. Однако из содержания письма я знаю, что пароль состоит из 4 цифр. Давайте посмотрим, сколько времени потребуется на его взлом с помощью современного домашнего компьютера.

4. Открыв PDF в текстовом режиме, мы можем прочитать заголовок файла (например, с помощью блокнота). Это позволит нам определить, в какой версии стандарта он был создан:

pdf 1.4
Как видно из последовательности символов — «%PDF-1.4», здесь использован более 20 летний формат в виде PDF 1.4

5. Следующий шаг — извлечение хэша пароля, который мы хотим взломать. Здесь нам поможет инструмент pdf2john.py.

хэш pdf

6. Для взлома полученного хэша мы используем hashcat в режиме bruteforce. 10500 означает режим взлома хэша формата для PDF-файлов версии 1.4-1.6:

В файле hash.txt находится ранее извлеченный хэш пароля. a3 означает режим bruteforce с маской ?d?d?d?d, где каждое ?d обозначает любую цифру от 0 до 9.
hashcat pdf

Как видно ниже, взлом пароля, состоящего из четырех цифр, занял 10 секунд:

pdf hashcat

Таким образом, можно смело утверждать, что 4-значный пароль — это иллюзорная защита и он не защищает персональные данные.

Далее рассмотрим «защищенный» PDF от NN Investment Partners.

  1. Здесь он был защищен уже немного более длинной строкой символов — номером PESEL.
nn investment partners pdf

2. Заголовок файла из приложения — «%PDF-1.2» указывает на то, что файл был создан с использованием стандарта 1996 года:

pdf 1.2

3. Извлеченный хэш пароля указывает на то же:

хэш pdf

4. Запускаем грубую силу с hashcat. Грубую, потому что не учитываем никаких дополнительных предположений, которые уменьшили бы количество возможных комбинаций, кроме того, что PESEL состоит из 11 цифр:

hashcat pesel
На этот раз взлом пароля занял 64 секунды. В очередной раз доказываем, что 11-значный пароль не является защитой и является примером иллюзии безопасности.
pdf hashcat

Что делать, как жить?

Для шифрования данных следует использовать длинные пароли — более 12 символов, с большим диапазоном символов, т.е. такие, в которых будут заглавные/строчные буквы, цифры и специальные символы. Такой пароль должен быть передан клиенту по другому каналу связи, например, смс. Кроме того, учреждения должны использовать сильные алгоритмы шифрования, которые значительно замедляют попытки взлома. Примером может быть использование архива 7zip с алгоритмом AES-256.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Метки: , , , , , , , , . Закладка Постоянная ссылка.

Поделитесь своим мнением о статье.