☕ Szyfrowany plik to sejf pancerny czy ściema? / Encrypted file - vault or hype?


🇬🇧 🇺🇸 For English scroll down! 👇

---

🇵🇱 Witajcie! Dziś przyjrzymy się szyfrowanym dokumentom... ☕️

Dostaliście kiedyś od banku plik ZIP i hasełko? Wygląda to spoko, plik zabezpieczony... ale czy na pewno? Banki muszą zabezpieczać pliki klientów z różnych powodów, m.in. RODO. Ale czy to czasem nie dla picu, czy to rzeczywiście coś daje?

Uwaga, spoiler!... 🥁 To zależy!!!

Pokażę Wam to na własnym sprzęcie i własnym pliku z banku. Tak, tak. Na chwilę zamienię się w prawdziwego cyber-złola, złego do szpiku kości RAM tak bardzo, że sam sobie ukradnę plik i spróbuję złamać hasło, które dostałem SMS-em 🤣 Najgorszy typ złola, nic mnie nie powstrzyma!

Dla uproszczenia zakładam, że wiem, że mój bank jako haseł używa 12 znaków: losowe litery (duże i małe) oraz cyfry. To duże ułatwienie, bo skupię się na hasłach o dokładnie takiej długości i rodzaju, zamiast sprawdzać wszystkie kombinacje, znaki specjalne i długości od 1 do 12. Złole często na podstawie innych plików z danej instytucji mogą wywnioskować, czego szukać. Użyję też metody brute-force, czyli siłowe sprawdzanie wszystkich kombinacji literka po literce. Są też inne metody, np. słownikowe, ale przy losowym haśle nie będzie to dobre.

Druga sprawa to fakt, że lokalny plik się nie obraża po 3 nieudanych próbach, jak np. strona do logowania. Tutaj ogranicza nas tylko prędkość procesora, dysku twardego i... rachunek za prąd.

Pobrałem odpowiednie narzędzia, zaparzyłem kawusię i do roboty... Najpierw ustaliłem jakie szyfrowanie było użyte przez bank na moim pliku. Algorytmy szyfrujące zmieniały się na przestrzeni lat. To ważne, bo im starsza metoda, tym mniejsza złożoność matematyczna i tym szybsze sprawdzanie haseł. W przypadku mojego banku była to mocna metoda, czyli tzw. AES-256.

Tutaj porada małego hakerowicza! Jeśli macie wieloletni, zaszyfrowany plik np. Worda, to warto co parę lat, po wyjściu nowych edycji Worda czy algorytmów otworzyć taki plik w Wordzie i zapisać go ponownie jako zupełnie nowy plik upewniając się, że wybieramy najnowszą wersję pliku (najlepiej jeszcze z nowym hasłem 🫶). Po tej operacji stary plik zakopujemy gdzieś z tyłu ogródka, albo po prostu kasujemy.

Wracając do tematu, odpaliłem program i zacząłem testować. Po chwili program wyświetlił szacunki, ile czasu zajmie przeciętne łamanie mojego hasła. Okazało się, że kombinacji do sprawdzenia jest 10 441 353 228 800 000 (słownie: dużo cyferek), a szacowany czas... to ponad 300 lat! Czyli to byłby jednak projekt wielopokoleniowy z notarialnym wpisem w testamencie dla dzieci i wnuków, i negocjacjami z Tauronem. Pomijam fakt, że łamanie hasła na pojedynczym komputerze to nie jedyne rozwiązanie, bo można też podzielić zadanie na wiele komputerów, wynająć moc obliczeniową w chmurze, itp. Ale w zabezpieczeniach nigdy nie chodzi o to, żeby się nie dało, tylko żeby się nie opłacało 😜

Tu wypadło całkiem dobrze, przyznam. Ale często też dostawałem dokumenty, które jako hasło miały np. PESEL. Bardzo upraszczając sprawę, PESEL to 11 cyfr. Odpaliłem więc program ustawiony na łamanie takiego rodzaju hasła. Po chwili szacunki pokazały, że kombinacji do sprawdzenia jest 500 000 000 000 (słownie: mniej cyferek), a czas łamania to... już tylko kilkanaście dni! Na pojedynczym komputerze! Innymi słowy: AES wstawił pancerne drzwi, ale hasło z PESEL-u mówi "proszę wchodzić, nie trzeba ściągać butów". O ile haker nie potrzebuje danych na już, bo właśnie bierze na właściciela pliku kredyt siedząc przy okienku w banku, to jak to mówił Lord Farquaad ze Shreka: "...jest to poświęcenie, na które jestem gotów!" 😆

Jaki z tego morał? Mocne szyfrowanie daje rzeczywiście dość fajną barierę... ale tylko przy dobrej wiedzy i chęciach firmy, która je stosuje.

Do kolejnej kawusi! Trzymajcie się zabezpieczeń. ☕️

---

🇬🇧 English version

Hey folks! Today we're looking at encrypted documents from your bank... ☕️

Have you ever received a ZIP file and a password from your bank? Looks solid, file protected... but is it really? Banks are required to protect client files for various reasons, including GDPR. But is it actual protection, or more of a very confident-looking door handle?

Warning, spoiler!... 🥁 It depends!!!

I'll show you this on my own machine and my own bank file. Yep. I'm briefly turning into a full-blown cyber-villain, so evil that I'll steal a file from myself and try to crack the password I received by SMS 🤣 Worst. Villain. Ever. Nothing can stop me!

To keep it simple, I know my bank uses 12-character passwords: random letters (upper and lower case) and digits. That's a big help - I can focus on passwords of exactly that length and type, rather than testing every combination, special character and length from 1 to 12. Attackers can often infer what to look for based on other files from the same institution. I'll use brute-force - checking every possible combination letter by letter. Other methods exist (like dictionary attacks), but with a random password they won't get you far.

Second thing: unlike a login page, a local file won't get offended after 3 failed attempts and lock you out. The only limits here are your CPU speed, your hard drive... and your electricity bill.

I downloaded the right tools, brewed a coffee and got to work. First I had to identify what encryption the bank used. Encryption algorithms have evolved over the years - the older the method, the simpler the math and the faster the cracking. My bank used a solid one: AES-256.

A little hacker tip while we're here: if you have an old encrypted Word file that's been sitting around for years, it's worth opening it every few years and re-saving it as a brand new file - making sure you pick the latest file format (and ideally a new password 🫶). Then the old file gets ceremonially buried in the back garden, or just deleted.

Back to the test - I ran the program and started cracking. After a moment, the tool showed me an estimate: 10,441,353,228,800,000 combinations to check (in English: a lot of digits), and estimated time... over 300 years! That's less of a cyber-attack and more of a multi-generational family project with a notarized clause in the will and ongoing negotiations with the power company. Also, cracking on a single machine isn't the only option - you can distribute across many computers, rent cloud compute, etc. But in security, the goal is never to make it impossible. Just to make it not worth it 😜

That went pretty well, I'll admit. But I've also often received documents where the password was someone's national ID number (PESEL in Poland - 11 digits). I set the program on that. The estimate came back: 500,000,000,000 combinations and a cracking time of... just a couple of weeks! On a single machine! In other words: AES put in reinforced steel doors, but the PESEL password says "please come in, no need to take your shoes off." As long as the attacker isn't in a hurry - say, not applying for a loan at the file owner's bank right now - as Lord Farquaad from Shrek once said: "...it is a sacrifice I am willing to make!" 😆

So what's the takeaway? Strong encryption is genuinely a solid barrier... but only when paired with the knowledge and willingness of the company applying it properly.

Until next coffee! Stay secured. ☕️

---

#CoffeeBreakCyber #HypeRipper #JackTheHypeRipper #Kawusia #BezpiecznySiorb #SlurpSafe #Hasło #Szyfrowanie #ZIP #Password #Encryption #Bank #Hushtag

Comments

Post a Comment

Popular posts from this blog

🚨 FUD Thursdays with Jack The HypeRipper 🎩 😎

Image
Hi 👋 🤙 I’m Jacek Fleszar (Jack) , a cybersecurity expert based in Poland, with 20+ years in the field. Most of my career was in international banks, and among other teams, I worked in the fascinating world of Cyber Intelligence. My true passion has always been cybersecurity itself - in every form. I love it from the deeply (socio)technical side to the truly (psycho)logical puzzles. Cyber is simply my sandbox with shiny but a bit dirty toys. Life can be as unpredictable as a zero-day! After some tough personal turns in recent years and a career shift toward development, I stayed quiet for a while - stepping back from public talks, conferences, and social spaces. But now it’s time to re-emerge, reconnect, and share again! 🚀 That’s why I’m launching FUD Thursdays to tackle Fear, Uncertainty, and Doubt. Each week, I’ll dissect the most hyped cybersecurity stories and cut through the noise! The name’s inspired by Poland’s Fat Thursday tradition - when we eat way too many doughnuts b...
Read more

🇵🇱 ☕️ Hyper Ipper Coffee Break in Polish (too) / Siorb kawę bezpiecznie! ☕️ 🦹‍♂️

Image
  🇬🇧 🇺🇸 After the warm welcome for the main blog, I'm launching "Hyper Ipper Coffee Break" – a biweekly mini-series with practical, non-technical cyber safety bits and quick scam-spotting guides.   Full posts will be in Polish with a condensed English summary. For English 🇬🇧 🇺🇸 scroll down! 👇 ----- 🇵🇱 Cześć przyjaciele i znajomi! 👋 SIORB KAWĘ I BROŃ SIĘ PRZED CYBER-ZŁOLAMI! ☕️ 🦹‍♂️ Po ciepłym przyjęciu bloga i FUD Thursdays wielu z Was pisało:   "Ej, może coś prostszego? Po polsku? Tak do kawy?".   I oto jest – ✨"Hyper Ipper do kawusi"✨ – lekka seria, trochę z jajem, do czytania do kawusi. Dla Ciebie i dla babci. Jak babcia poczyta, to pan z mocnym akcentem, co dzwoni z banku, sam jej zrobi Blika na wełniane skarpety. 🧶 😎 "Hyper Ipper do kawusi", czyli co? - Co dwa tygodnie (żebym się nie zasapał) - Dla ziomali po polsku i krótko po angielsku (dla dudes & chaps abroad) - Krótsze niż instrukcja ekspresu, dłuższe od sms-a dzi...
Read more

☕ Hakerzy na OLX i υdziwnione znа̄czki! / Fυnny chа̄rs story 🤪

Image
🇬🇧 🇺🇸 For English scroll down! 👇 --- 🇵🇱 Cześć ziomalki i ziomale! Gotowi na pierwszego szota cyber-espresso? ☕️ Dla zniechęconych postami z serii FUD Thursdays, tutaj będzie mniej technicznie i po naszemu 😋 🇵🇱 Pokażę Wam jeden "myk", którego oszuści użyli ostatnio w komunikacji ze mną na OLX. Postaram się Wam wytłumaczyć, po co to zrobili, bo uważam, że jak się coś zrozumie i zna się kontekst, to łatwiej to zapamiętać i wyłapać w przyszłości. Na wstępie zaznaczę, że choć OLX służy tu za przykład, to podobne triki spotkacie wszędzie gdzie ktoś może do Was napisać, a sam OLX robi co może, aby takie próby blokować. I za to należy się im (OLXom, nie oszustom) szacun! 👊 Ale do rzeczy! Wystawiłem przedmiot na OLX. Zero zainteresowania, minęły tygodnie i cisza. A tu nagle wiadomość: "Dziеń dоbrу, сzу pоѕt wсiąż аktυаⅼnу? prоѕzę о rеzеrwасję, pоdоbаłо mі ѕіę wѕzуѕtkо, zаpⅼасę z dоѕtаwą" (pisownia originalna) I zaraz potem: "trаnѕаkcја wуmаgа pоtwіеrdzеnіа — ...
Read more