Hasła – Jak to się zaczęło?
Pierwsze hasła zaczęły być wprowadzane w latach 60. XX wieku, kiedy systemy komputerowe zaczęły się rozwijać, a zarządzanie dostępem do nich stało się bardziej skomplikowane. Przykładem może być system CTSS (Compatible Time-Sharing System), który powstał na Massachusetts Institute of Technology (MIT…
Czytaj więcej →
Masz politykę haseł? To jeszcze nic nie znaczy.
Firmy inwestują ogromne pieniądze w narzędzia takie jak SIEM, EDR, NDR, wdrażają MFA i przeprowadzają szkolenia. I bardzo słusznie.
Ale jest jeden problem, większość nadal nie wie, jak silne (czy raczej słabe) są ich hasła.
Powód jest banalny. Ot nikt ich nie sprawdza a bezpieczeństwo pozostaje w st…
Czytaj więcej →
Aktywne podejście do bezpieczeństwa - monitoring wycieków danych
Każdego dnia w sieci pojawiają się absurdalne wręcz ilości nowych wycieków danych. Do tego dochodzą stare, nadal krążące i niestety często łatwo dostępne – zarówno za darmo, jak i za opłatą – które mogą stanowić realne zagrożenie dla Twojej firmy.
Ataki z wykorzystaniem tzw. “kredek” (od credentials…
Czytaj więcej →
120 minut, które mogą ocalić Twoją firmę, czyli szkolenie z cyber bezpieczeństwa
Nie potrzeba wielkiego budżetu, żeby znacząco podnieść poziom bezpieczeństwa. Na początek wystarczą dwie godziny. Dwie godziny, które nie zmienią świata, ale mogą uchronić firmę przed poważnymi konsekwencjami. I to nie jest teoria. To praktyka, którą widać w każdym incydencie, którego można było uni…
Czytaj więcej →
PBKDF i bcrypt
Jednym ze sposobów na przechowywanie podanych przez użytkowników haseł jest wykorzystanie funkcji skrótu. W tym przypadku, wejście podane np. podczas rejestracji użytkownika jest przetwarzane przez wybraną funkcję skrótu, a jej wynik zapisywany jest w bazie danych. Funkcje skrótu, dzięki temu, że są…
Czytaj więcej →
Jak obejść AMSI? Moje doświadczenia z bypassowaniem w PowerShellu
Czasami, niezależnie od tego, czy to HackTheBox, praca, czy po prostu zabawa, trzeba zainfekować system Windows jakimś oprogramowaniem C2 lub malware'em. W moim przypadku najczęściej używam CobaltStrike (link) lub równie skutecznego Sliver (link). Z racji tego, że robiłem to wiele razy, od razu pomy…
Czytaj więcej →
Koktajl z bcrypta i wyłuskiwanie haszy
Koktajl z bcrypta i wyłuskiwanie haszy
TL;DR - łączenie bcrypta z innymi, niesolonymi funkcjami skrótu (typu MD5 czy SHA-1), może powodować poważne konsekwencje w postaci "wyłuskania" bcrypta. Nadal jest to jednak lepsze, niż po prostu używanie słabego algorytmu. W niektórych przypadkach, możliwe je…
Czytaj więcej →
Funkcja skrótu
Czym jest funkcja skrótu?
Funkcja skrótu jest algorytmem, przekształcającym dowolnie długi ciąg wejściowy, na ciąg wyjściowy o stałej długości.
Przykładem tego, jak to jest zrobione, jest wykorzystanie rozbudowywania -- jeżeli mamy funkcję operującą na bloku danych, to możemy wywoływać ją wielokrot…
Czytaj więcej →
Wstęp do łamania haseł #3 Reguły
Jest to trzeci artykuł z serii - przeznaczonej dla początkujących,rozpoczynająćych swoją przygodę z łamaniem haseł
Kiedy przetestowałeś już wszystkie swoje słowniki, a hasła dalej się nie poddają... czas rozszerzyć atak (zakładając, że słownik był z najwyższej półki). Hashcat oferuje kilka trybów p…
Czytaj więcej →
Wstęp do łamania haseł #1 Intro
Chcesz zacząc łamać hashe? To świetnie trafiłeś! Pozwól nam pokazać i objaśnić jak wykorzystać narzędzie Hashcat do łamania haseł.
Jest to pierwszy artykuł z serii - przeznaczonej dla początkujących,rozpoczynająćych swoją przygodę z łamaniem haseł
Kilka rzeczy, które warto wiedzieć na początek. | T…
Czytaj więcej →
Wstęp do łamania haseł #2 Słowniki
Jest to drugi artykuł z serii - przeznaczonej dla początkujących,rozpoczynająćych swoją przygodę z łamaniem haseł
W poprzednim wpisie poznaliśmy jedną z metod ataku jakieoferuje hashcat — atak słownikowy.
Do przeprowadzenia takiego ataku potrzebujemy słownika — dobrego słownika.
Ustalmy jedno – żeby…
Czytaj więcej →
