17:15
19/7/2018

W założeniach projektu czytamy:

“projektowany system powinien pozwalać na przełamywanie haseł opartych m.in. o MD4, MD5, SHA1, SHA-224, SHA-256, SHA384, SHA-512, SHA-3 (Keccak), NetNTLMv1, NetNTLMv1+ESS, NetNTLMv2, sha256crypt, sha512crypt a także próbę przełamania zabezpieczeń programów m.in, office 2007,2010,2013, PDF, KeePass, 7-zip, Rar oraz powszechnie stosowanych aplikacji szyfrujących (truecrypt,veracrypt, bitlocker).”

To teraz już wiecie, z jakich algorytmów korzystać. Projekt Policji nazywa się cybercrypt@gov i można go zastąpić darmowym hashcatem (plus sprzętem za kilkadziesiąt tysięcy złotych). Ciekawe co wygra (i za ile zostanie zrealizowane).

PS. Pełen wykaz zamawianych projektów jest tutaj. Ciekawe czy sławny ID29 już ukończony…

Ten artykuł był początkowo opublikowany w *ptr, czyli naszym linkblogu, który znajduje się w prawym sidebarze serwisu. Ale jest tak popularny, że postanowiliśmy go przenieść na główną.

Przeczytaj także:

51 komentarzy

Dodaj komentarz
  1. W sumie to łatwo. Nie powiedzieli, jak długo ma “łamać” hash :-)

  2. To co byscie polecili do szyfrowania dyskow ?

    • To co dziala to masz wymienione w zamowieniu :)

    • Proponuję użyć jakiegoś ransomware ;)

    • Bitowe XOR twoich danych ze strumieniem pochodzącym od generatora TRNG.
      Łamania tego nie ma w zamówieniu! :)

    • VeraCrypt bo jest nie do złamania i po pełnym audycie :) po za tym VeraCrypt ma rosyjski hash Streebog który jest silny :)

    • md5 musi działać, skoro jest w zamówieniu ;)

    • LUKSa i FileVault też nie ma w zamówieniu… Możesz rozważyć użycie jakiegoś śmiesznego systemu plików, którego domyślnie nie ma w kernelu… Wtedy nawet Ubuntu z pendriva nie pomoże =)

  3. To proste. Ojciec dyrektor wygra przetarg, dostarczy hashcata + ileś kart graficznych i skasuje kolejne kilkanaście mln zł.

    • Rozumiem po tonie wypowiedzi ze wiesz to na pewno i udowodnisz to przed sadem.

    • Ale co ma udowadniać, swoje przypuszczenia czy oficjalne wyniki przetargu publicznego gdy już będą?

  4. A nuż zgłosi się jakaś polska firma ze skonfigurowaną Octopussy(Program do synchronizacji hashcata na kilku komputerach jednczesnie)?

  5. Takie są efekty wejścia do UE i rezygnacji z tradycyjnej metody pozyskiwania haseł drogą perswazji, hmm, cielesnej

    • Wadą łamania szyfrów przy użyciu klucza (https://www.xkcd.com/538/) jest konieczność fizycznego dostępu do człowieka znającego klucz lub tekst jawny.

  6. Drużyno Niebezpiecznika! Musicie zatem wystartować w tym przetargu! Jeśli wygracie, to przez jakiś czas nie będziecie musieli zamieszczać reklam na stronie :-)

  7. Kiedy doczekamy się wreszcie obiecanego przes Niebezpiecznik „podsumowania” afery z polskim wirusem wojskowym?

    • Bardziej spiskowo wygląda jak jej nie publikujemy :)

    • Czasem się zastanawiam, czy Piotr nie pracował kiedyś w Radiu Erewań. :>

    • @PK
      Tu nie chodzi o to „jak to wygląda” lecz o wywiązywanie się z własnych obietnic. Wybacz ale (zapewne nie tylko) w moim odczuciu skutki tego żartu przerosły redakcję Niebezpiecznika, która po fakcie zdała sobie sprawę że „pojechała po bandzie” (a nawet poza nią) przez co nadszarpnęła zaufanie (confidence – ten termin idealnie tu pasuje) własnych czytelników i teraźniejszości wie jak wyjść z tego „z twarzą” zatem … nie rusza tego tematu od wielu lat, pomimo cyklicznych dopytywań ze strony własnych czytelnków.

    • Tak, na razie wolumen e-maili/reakcji związany z tamtym artykułem nas przerasta. Do rzetelnego podsumowania trzeba by było zapoznać się z jeszcze 2000+ wiadomościami. Mamy je oznaczone i regularnie w wolnej chwili przeglądamy. Kiedyś pewnie nastąpi ten dzień, gdzie podsumowanie będzie gotowe. Po komentarzach możesz sobie wyrobić statystykę ile osób się nabrało. Wiemy też, że co najmniej jedna sformatowała dysk. My żart uważamy za bardzo udany — ciężko będzie nam go przebić w przyszłym roku :)

  8. Ciekawe czy w Ministerstwie Transportu ogłosili konkurs na napęd antygrawitacyjny …

    • Po co? Lepiej od razu zająć się teleme… Wróć! Teleme… Hmmm. No, portalami się zająć.

    • Portalami zajmie się Ministerstwo Cyfryzacji. ( ͡° ͜ʖ ͡°)

    • @Monter telemarketingiem? :P

  9. Czy to jest normalne w tym świecie? Powstają metody zabezpieczeń, a jakaś “wyższa” władza ma mieć możliwość ich złamania? Czyli co, jak będę mieć sejf w banku to oni będą mieć “do niego klucze”? To mi się kupy nie trzyma, jeśli powstanie program który te hasła złamie to te wszelkie algorytmy szyfrujące są słabe i tyle w temacie.

    • Nasza policja może i nie ma ale wystarczy poczytać doniesienia prasowe czy analizy think-tanków żeby dojść do wniosku że “wyższa” władza już ma klucze o których pan mówi, giganci telekomunikacyjni na przykład AT&T w usa są zmuszani wyrokami sądów FISA do udostępniania swojej infrastruktury służbom zasadniczo bez kontroli, firmy takie jak facebook czy google oficialnie potwierdzają współpracę z rządem i co dla mnie oznacza że jesteśmy pod kontrolą.

    • … ale gdyby od złamania tych haseł zależało życie – Twoje lub bliskiej Ci osoby – to rozumiem że wówczas bardzo chciałbyś żeby Państwo „z urzędu” mogło czym prędzej rozpracować takie przypadki zgodnie ze stanem możliwości technicznych „w dzisiejszych czasach”?

    • Do Zdzich:
      O czym ty w ogóle mówisz?

    • Żaden system zabezpieczeń oraz żadna konstrukcja zamka nie zostają dopuszczone do produkcji masowej tak długo, jak długo rzędy znaczących krajów nie mają możliwości ich niezawodnego i masowego łamania. Gdzie ty żyjesz człowieku?

  10. Totalna inwigilacja staje się faktem. Ostrzegałem o tym od dawna, a wyzywano mnie od schizofreników. Już nawet w uzasadnieniu projektu pisze się wprost, że szyfrowanie jest niepokojące i traktuje się je jako zagrożenie, nie rozróżniając czy chodzi o legalnie działające firmy i prawych obywateli, czy tylko o przestępców.

    • podpisujesz się jako osoba z vichana

  11. Nie korcił was mały komentarz jaki sens ma łamanie haseł na średnio 5 rocznych komputerach, których karty graficzne nie pociagną więcej niż wyświetlanie filmu w Full hd? Przecież wszystko to co zaoszczędzą na kupnie sprzętu zapłacą za nowy soft(A nawet wiecej) a po podliczniu zużycia energii nagle stwierdzą że jednak się nie opłaca i trzeba zrobić nowy przetarg.

  12. Teleportami (teleportalami).
    Obsługą połączeń wychodzących.
    Zrobić tak, żeby nie wychodziło.
    A, nie, czekaj…
    ;o)

  13. wedlug mnie nie chodzi o klaster hashcatow tylko o jakis gotowy soft pudelkowy.

    raczej nie od elcomsoft bo nie po linii, moze cos od amerykanow albo z izraela (trzeba by przejrzec czy nie pojawil sie jakis nowy startup ktory by mial produkt dokladnie pasujacy do zapytania).

    VY 73

  14. Wymagania niczym nawiązanie do książki Dana Browna Twierdza Szyfrów : D
    Rzeczywistość mi podpowiada że tak 1/3 albo nawet połowa ich wymagań jest nie do spełnienia metodą brute force.

  15. Ależ głupota wszechobecna . Jak nic chodzi o zrobienie wała na pare zlotych

  16. Na liscie nie ma DiskCryptor, to oznacza ze albo jest niszowy albo juz zlamany?

  17. Widać w głowach im sie przewraca. To potwierdza zasadę żeby szyfrować dyski i co najważniejsze telefony. Dlatego wole używać iPhona, bo z Androidem oprócz BlackBerry mało który producent informuje o szyfrowaniu. Huawei i Samsung milczą, LG, Lenovo mają info w swoich nakładkach. Ciekawe wygląda też Xiaomi bo pyta przy pierwszym uruchomieniu czy zaszyfrować telefon, pytanie na ile skutecznie ? ( takiego testu do dzisiaj nikt nie zrobił ) A i jeszcze ciekawostka, zgodnie z nową ustawą o SN przy każdym Sądzie Rejonowym będzie mógł powstać wydział do zatwierdzania inwigilacji i ujawnienia tajemnicy korespondencji dla wszystkich służb.

  18. Życzę naszym [MIli/Poli}cjantom przyjemnej zabawy z łamaniem SHA-3, Truecrypta i Veracrypta.

    Chcą robić rzeczy, na które nawet US-NSA bywa zbyt cienki.
    (sporą część szyfrów internetowych udało sie NSA złamać dzięki backdoorowi Heartbleed w bibliotece Openssl).

    Ciekawe, jak nasze mądrale zdołają umieścić backdoory w Veracrypcie… xD

    Pozdro

  19. Nie rozumiem Pana Redaktora w ostatnich slowach – to skoro projekt ma lamac te szyfry to juz wiemy jakich algorytmow NIE UZYWAC :)

    • Jak miło się czyta, gdy ktoś tak wprost, zwyczajnie przyznaje, że nie rozumie. Aż miło się odpowiada – otóż, skoro milicja takiego sprzętu szuka, to znaczy, że go obecnie nie posiada. A z tym, czego NIE szuka, najwyraźniej jakoś sobie już radzi.

  20. hehe, przełamywanie haseł opartych o MD4 – ktoś tego jeszcze używa?
    a na poważnie, chyba ciężko jest złamać solone SHA-2 z powiedzmy 32-znakowego skomplikowanego hasła?

    • Microsoft w Windowsach używał MD4.

  21. Mi się wydaje, że to ma być jedynie kolejny sposób na nagranie roboty dla koleżków i przyjaciół królika. Poza etap “projektów”, “ekspertyz”, “opinii”, “prezentacji” nie wyjdzie. Tym bardziej, że przy zapędach naszych dobrozmianowców i biorąc pod uwagę to, jak traktują i uchwalają prawo szybciej i taniej będzie, gdy Pan Marszałek Kochany uruchomi NIGHT EXPRESS i rano obudzimy się z takim oto zapisem w KK:

    “ART.XX Za niepodanie wskazanym w rozporządzeniu organom państwowym hasła, klucza, kodu PIN udostępniającego zawartość urządzenia elektronicznego, danych w chmurze lub innych nośników danych grozi kara pozbawienia wolności do lat 5”.
    TK służy już jedynie wykonywaniu poleceń więc Magister Przyłębska przyklepie, że nie narusza to konstytucyjnego prawa obywateli do prywatności, bo nie. Na skargi do sądów wyznaczy się odpowiedniego sędziego do prowadzenia sprawy. A protestujących się zleje ciepłym moczem jak zwykle. Tanio? Szybko? A dostęp dostaną jednocześnie Policja, Prokuratura, skarbówka (bo mafia vatowska), CBA, ABW czy jakie tam jeszcze “trzyliterowce” w kraju mamy.

    A jeśli wyjdzie to poza etap dojenia kasy na ekspertyzy to będzie powtórka z rozrywki i “CEPIK 3.0” :)

    • AFAIR tak jest w UK gdzie odmowa podania klucza skutkuje wiezieniem.

  22. dostana program i będzie do tego trzeba kupić komputer kwantowy

  23. Kolejny psposob na wyprowadzenie publicznych pieniedzy :)
    NIkt na swiecie tego nie złamał, wiec mozna doic budzet w nieskonczonosc. Pewnie jakas pisowska spolka sie za to wezmie.

  24. Mam caly dysk zaszyfrowany przez TC ponad 30zankow duze litery, male, znaki specjalne itp.Czy jest szansa ,zeby to przelawali w przeciagu np…miesiaca ? zlamali haslo

    • Ciężko stwierdzić – podaj to hasło to będzie można coś powiedzieć

  25. @Zenek
    Nie jest możliwe złamanie Twojego hasła w normalnym czasie.
    Oblicz sobie złamanie hasła:
    np złamanie hasła “Tokurna0700bylmojfonTerassmam9” metodą brute force zajmie zakładając wszystkie możliwości do sprawdzenia: (56^30)/4000000/60/60/24/30/12/100
    4mln hash robi 8xTesta V100
    4.0047604988974386106877272050535031165904238280164609… × 10^34 – tyle wieków zajmie
    Oczywiście będzie tego “trochę mniej” bo tutaj jest przykład dla hasła ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ po sprawdzeniu wszystkich możliwości, no ale nawet redukując do 20 znaków i tak jest nieopłacalne łamanie takiego hasła.

    20 znakowe hasło byłoby również bezpieczne. a 30 to już bardzo mocne a 64 znakowe to już monster nie mający szans złamania (tak samo jak 20 znakowe).
    Kwestia ustalenia długości hasła jest w sumie ilościa psychologiczną, bo np ja nie chciałbym 64 znakowego bo za dużo klepania a i tak byłoby to bezsensowne.
    Jednakże przy 20 znakowym nalezy zachować odpowiednią złożoność, czyli małe i duże litery spacje znaki specjalne.

  26. “Utworzone w ramach projektu aplikacje klienckie
    miałyby na celu analizę aktualnego obciążenia komputera i inicjowanie obliczeń związanych z przełamywaniem zabezpieczeń jedynie w
    momencie niewielkiego obciążenia sprzętu komputerowego oraz automatyczne przerywanie pracy w przypadku wykrycia zwiększonego
    zapotrzebowania na moc obliczeniową przez użytkownika. Działanie aplikacji klienckiej i wykonywanie obliczeń powinno odbywać się w sposób
    niezauważalny dla użytkownika komputera.”

    Śmierdzi mi to chęcią stworzenia policyjnego botnetu do brutowania hashy, tudzież po każdym zarekwirowaniu komputera, użytkownicy dostaną zwrot sprzętu z “bonusem”. Dziwne, że nikt nie zwrócił na ten fragment uwagi.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.