Nieuws

GPU-monster verslindt wachtwoorden in seconden

donderdag 6 december 2012, 12:34 door Redactie, 6 reacties

Een beveiligingsonderzoeker heeft een speciale machine gebouwd om supersnel wachtwoord-hashes te kunnen kraken. De cluster van Jeremi Gosney bestaat uit vijf 4U-servers, met daarin 25 AMD Radeon GPUs (Graphics Processing Unit). Om precies te zijn 10 Radeon HD 7970 kaarten, 4 HD 5970 en 3 HD 6990 kaarten (die elk over twee GPUs beschikken) en één HD 5870 videokaart.

Gosney demonstreerde zijn cluster tijdens de Passwords^12 conferentie in de Noorse hoofdstad Oslo. Een wachtwoord van 14 karakters versleuteld met Microsoft LAN Manager zou binnen 6 minuten te kraken zijn.

Een wachtwoord van acht karakters dat met NT LAN Manager (NTLM) gehasht is, wordt, met een snelheid van 348 miljard pogingen per seconde, in vijf en een half uur gekraakt. Microsoft raadt gebruikers al geruime tijd af om beide protocollen te gebruiken.

Cluster
Voor het kraken van MD5-hashes kan de cluster 180 miljard pogingen per seconde proberen, terwijl in het geval van SHA1 dit 63 miljard pogingen per seconde zijn. De zogeheten 'tragere hash' algoritmes zijn beter tegen het GPU-monster beschermd. Bcrypt en sha512crypt maken respectievelijk 71.000 en 364.000 pogingen per seconden mogelijk.

"We probeerden gewoon de grootste GPU-machine mogelijk te bouwen, met zoveel mogelijk GPUs in een enkele server, zodat we niet met het verdelen van de belasting of clustering te maken kregen", aldus Gosney tegenover de Security Ledger.

Tijdens de ontwikkeling van het platform ontdekte de onderzoeker VCL, de Virtual Open Cluster. Een klein onbekend project dat voor het eerst in 1970 verscheen. "Het deed precies wat we wilden. Niet met een compleet besturingssysteem, maar met een complete OpenCL applicatie, en dat is goed genoeg voor mij."

Uiteindelijk wist Gosney één van de ontwikkelaars van VCL, professor Amnon Barak, te overtuigen om hem te helpen. "Toen we Amnon hadden overtuigd dat we de wereld niet in één groot botnet wilden veranderen, was hij erg behulpzaam bij het oplossen van de problemen waardoor VCL niet met hashcat werkte." Hashcat is een zeer populaire wachtwoordkraker.

De onderzoeker is nu van plan om een deel van zijn investeringen terug te verdienen door het GPU-monster aan geïnteresseerden te verhuren, bijvoorbeeld voor security audits.

Verzekeraar verliest gegevens 1,1 miljoen klanten

'Security professional moet bloggen en twitteren'

Reacties (6)

06-12-2012, 13:44 door Anoniem

zou die beter gebruiken om bitcoin te minen

06-12-2012, 15:30 door Anoniem

Door Anoniem: zou die beter gebruiken om bitcoin te minen

Het minen van bitcoins is nauwelijks nog de kosten van de electriciteit en hardware waard...

Meer on topic: 't kraken van hashes is al vaker gedaan met GPU's, wel aardig om te zien dat 'ie er nu 25 in 1 apparaat weet te proppen. Hoe lang zou 'ie kunnen rekenen voor de kosten voor de hardware als 'ie dat in bijvoorbeeld Amazon's EC3 cloud zou investeren?

06-12-2012, 15:49 door waaromdan

En wat gebruikt Microsoft voor Hotmail? Ik neem aan niet de techniek van MS LAN Manager en NT LAN Manager?

Een wachtwoord van 14 karakters versleuteld met Microsoft LAN Manager zou binnen 6 minuten te kraken zijn.

Microsoft gebruikt SSL-encryptie, maar ik begrijp dus totaal niet waarom Hotmail nog steeds een limiet van 16 karakters heeft. Snap jij het?

06-12-2012, 17:09 door waaromdan

Als degene die mij mint nou gewoon antwoord geeft in plaats van heel laf te minnen..

Mijn reactie was overigens niet bedoeld om Microsoft te bashen of iets dergelijks.

06-12-2012, 17:58 door didrix

Door waaromdan: Als degene die mij mint nou gewoon antwoord geeft in plaats van heel laf te minnen..

Mijn reactie was overigens niet bedoeld om Microsoft te bashen of iets dergelijks.

Ik was niet de persoon die je heeft gemint, en ik verdedig niet dat je een limiet moet hebben van 16 karakters, maar heb je weleens geprobeerd een wachtwoord van 16 karakters te brute forcen over het internet? De kans dat je dan een wachtwoord kraakt binnen 6 minuten is vele male kleiner dan de kans dat je binnen 6 minuten een arrestatieteam door je deur hebt.

En als een aanvaller toegang kan verschaffen tot de hashes (waarschijnlijk niet NTLM) op de server, dan is het überhaupt game over. Password hashes is het soort beveiliging dat je beschermt tegen je kleine zusje.

10-12-2012, 23:51 door Anoniem

ook leuk voor gaming xD

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Wie wordt de volgende president van de Verenigde Staten?

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Chief Information Security Officer

Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

GPU-monster verslindt wachtwoorden in seconden

Wie wordt de volgende president van de Verenigde Staten?

Wachtwoord Vergeten

Password Reset

Registreren