Auto cracking

Máquinas del demonio, Trenología, ,

Andaba yo, hace unos días, actualizando unas copias de seguridad y lo que son las cosas, volví a encontrarme con un antiguo fichero pdf protegido por contraseña. Supongo que si así lo guardé en su día, tan protegido, sería por algún motivo. Este, el motivo, ahora es irrelevante para lo que les vengo a contar.

Encontrarme de nuevo con este fichero protegido, y del que no me acuerdo de su contraseña ni contenido, me volvió a picar en la curiosidad y, ya saben, la curiosidad mató al gato:

Me armo de herramientas de malo de película para descerrajar el pdf: pdfcrack, hashcat y algunos diccionarios de contraseñas (pueden ustedes flipar con lo que hay por ahí sin necesidad de llegar a la llamada Dark Web).

  • El pdfcrack me dice que el archivo es un pdf versión 1.4 (versión que Adobe mantuvo entre mayo de 2001 a julio de 2003.
  • La probable contraseña utilizada entonces sería probablemente de 8 caracteres: letras, números y símbolos especiales.
  • Siguiente paso, hashcat. Y sí, la bilbainada en modo fuerza bruta: porque yo lo valgo, soy de Bilbo, levanto piedras y además tengo una GPU.
    Esto va a ser coser y cantar, me decía yo muy ufano hasta que puede ver las estimaciones de tiempo (recuerden, una GPU Nvidia en modo fuerza bruta buscando contraseñas de, exclusivamente, 8 caracteres):

¡138 días!
Así que de momento ahí me he quedado. No he probado ataque con diccionarios (no soy yo mucho de contraseñas típicas de diccionarios, pero quien sabe).
Si este pdf lleva «cerrado» desde comienzos de los 2000 no parece que me resulte muy necesario abrirlo. Lo dicho, por el momento ahí se queda.

Curiosidades:

  • La GPU utilizada no es una de juguete pero tampoco es lo más. Es una GPU que permitiendo «renderizar» fotografías panorámicas de varios «gigapixeles» en cuestión de minutos (7-8 Gpx en menos de 15 minutos)…
  • … estima en más de 130 días buscar, que no necesariamente encontrar, una contraseña de 8 caracteres.
  • Y claro, una GPU doméstica contra un archivo de un don nadie no es escenario comparable con granjas de GPU’s contra secretos militares, por ejemplo.
  • Para los muyyyy curiosos, una RTX A2000

Conclusiones:

  • A pesar de los resultados que yo he obtenido, que parecen indicar que reventar contraseñas es un juego imposible, usen buenas contraseñas y gestores de contraseñas para sus necesidades diarias, tanto en local como para servicios «online». No las reutilicen y cámbienlas con frecuencia.
    Y si pueden, que seguro que sí, utilicen un segundo factor de autenticación (2FA).

Ah, y menos mal que se trataba de abrir un simple fichero pdf y no de una cartera electrónica con un montón de criptomonedas.