ПРИМЕНЕНИЕ МЕТОДОВ ВЗЛОМА ХЭШЕЙ В ТЕСТИРОВАНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Ключевые слова:
кибербезопасность, аутентификация, хеширование, криптография, атаки, привилегии, эксплуатацияАннотация
Современные системы аутентификации, основанные на паролях, становятся уязвимыми из-за слабой криптографической защиты. В данной статье исследуются методы автоматизированного взлома хэшей и повышения привилегий, а также их влияние на безопасность информационных систем. Анализируются уязвимости механизмов хеширования паролей, протоколов аутентификации и управления привилегиями, демонстрируя, как злоумышленники могут использовать эти слабости для несанкционированного доступа. В качестве методологии использованы атаки на хэши с помощью словарей и грубой силы с применением инструментов Hashcat и CrackStation для оценки устойчивости хэшей MD5, SHA-256 и SHA-512, включая посоленные версии. Также тестировались методы повышения привилегий, основанные на слабых паролях, неправильно настроенных SSH-ключах и уязвимых SUID-бинарных файлах. Результаты показывают, что несоленые хэши легко поддаются атакам, а посоленные остаются уязвимыми при использовании слабых паролей. Кроме того, ошибки конфигурации аутентификации позволяют злоумышленникам обходить механизмы защиты, получая доступ с правами администратора. В работе подчеркивается необходимость использования современных алгоритмов хеширования, многофакторной аутентификации, строгого управления доступом и постоянного мониторинга безопасности. Решение этих проблем критически важно для повышения устойчивости современных систем к атакам, связанным с компрометацией учетных данных.
Библиографические ссылки
[1] Tasic, I., Villafranca, A., & Cano, M. D. (2024). Reinforcing cybersecurity with Bloom filters: a novel approach to password cracking efficiency. EURASIP Journal on Information Security, 2024(1), 35. https://doi.org/10.1186/s13635-024-00183-2
[2] Asaad, R. R. (2021). Penetration testing: Wireless network attacks method on Kali Linux OS. Academic Journal of Nawroz University, 10(1), 7-12. https://doi.org/10.25007/ajnu.v10n1a998
[3] Tihanyi, N., Bisztray, T., Borsos, B., & Raveau, S. (2024). Privacy-Preserving Password Cracking: How a Third Party Can Crack Our Password Hash Without Learning the Hash Value or the Cleartext. IEEE Transactions on Information Forensics and Security, 19, 2981-2996. https://doi.org/10.1109/TIFS.2024.3356162
[4] Cano, M. D., Villafranca, A., & Tasic, I. (2023). Performance evaluation of Cuckoo filters as an enhancement tool for password cracking. Cybersecurity, 6(1), 57. https://doi.org/10.1186/s42400-023-00193-6
[5] Sadeghi-Nasab, A., & Rafe, V. (2023). A comprehensive review of the security flaws of hashing algorithms. Journal of Computer Virology and Hacking Techniques, 19(2), 287-302. https://doi.org/10.1007/s11416-022-00447-w
[6] Parveen, M., & Shaik, M. A. (2023, August). Review on Penetration Testing Techniques in Cyber security. In 2023 Second International Conference on Augmented Intelligence and Sustainable Systems (ICAISS) (pp. 1265-1270). IEEE. https://doi.org/10.1109/ICAISS58487.2023.10250659
[7] Fedorchenko, V., Yeroshenko, O., Shmatko, O., Kolomiitsev, O., & Omarov, M. (2024). Password hashing methods and algorithms on the. NET platform. Advanced Information Systems, 8(4), 82-92. https://doi.org/10.20998/2522-9052.2024.4.11
[8] Marchetti, K., & Bodily, P. (2022, May). John the Ripper: An examination and analysis of the popular hash cracking algorithm. In 2022 Intermountain Engineering, Technology and Computing (IETC) (pp. 1-6). IEEE. https://doi.org/10.1109/IETC54973.2022.9796671
[9] Islam, S. (2021). Security auditing tools: a comparative study. International Journal of Computing Sciences Research, 5(1), 407-425. . https://doi.org/10.25147/ijcsr.2017.001.1.49
[10] Mohan, A., & Swaminathan, G. A. (2024, July). Implementing vulnerability assessment and penetration testing in government websites to ensure web security from cyber attacks. In AIP Conference Proceedings (Vol. 2965, No. 1). AIP Publishing. https://doi.org/10.1063/5.0211942
[11] А.K. Mektepayeva, A.A. Sakhipov, V. Rystygulova, D. Kaibassovа & L.Belgibayeva. (2024). Optimizing machine learning with quantum enhancements for real-time dynamic systems. Bulletin of KazATC, 135(6), 243-254. https://doi.org/10.52167/1609-1817-2024-135-6-243-254
[12] А.A. Sakhipov, A.K. Mektepayeva, V.Rystygulova, A. A. Abildina & G.K. Omarzhanova. (2024). Machine learning strategies and algorithms for enhancing real-time data processing in dynamic and big data systems. Bulletin of KazATC, 134(5), 278-291. https://doi.org/10.52167/1609-1817-2024-134-5-278-291
Опубликован
Как цитировать
Выпуск
Раздел
Категории
Лицензия
Copyright (c) 2025 Айнур Джумагалиева
Это произведение доступно по лицензии Creative Commons «Attribution-NonCommercial-NoDerivatives» («Атрибуция — Некоммерческое использование — Без производных произведений») 4.0 Всемирная.
