image

GPU-monster verslindt wachtwoorden in seconden

donderdag 6 december 2012, 12:34 door Redactie, 6 reacties

Een beveiligingsonderzoeker heeft een speciale machine gebouwd om supersnel wachtwoord-hashes te kunnen kraken. De cluster van Jeremi Gosney bestaat uit vijf 4U-servers, met daarin 25 AMD Radeon GPUs (Graphics Processing Unit). Om precies te zijn 10 Radeon HD 7970 kaarten, 4 HD 5970 en 3 HD 6990 kaarten (die elk over twee GPUs beschikken) en één HD 5870 videokaart.

Gosney demonstreerde zijn cluster tijdens de Passwords^12 conferentie in de Noorse hoofdstad Oslo. Een wachtwoord van 14 karakters versleuteld met Microsoft LAN Manager zou binnen 6 minuten te kraken zijn.

Een wachtwoord van acht karakters dat met NT LAN Manager (NTLM) gehasht is, wordt, met een snelheid van 348 miljard pogingen per seconde, in vijf en een half uur gekraakt. Microsoft raadt gebruikers al geruime tijd af om beide protocollen te gebruiken.

Cluster
Voor het kraken van MD5-hashes kan de cluster 180 miljard pogingen per seconde proberen, terwijl in het geval van SHA1 dit 63 miljard pogingen per seconde zijn. De zogeheten 'tragere hash' algoritmes zijn beter tegen het GPU-monster beschermd. Bcrypt en sha512crypt maken respectievelijk 71.000 en 364.000 pogingen per seconden mogelijk.

"We probeerden gewoon de grootste GPU-machine mogelijk te bouwen, met zoveel mogelijk GPUs in een enkele server, zodat we niet met het verdelen van de belasting of clustering te maken kregen", aldus Gosney tegenover de Security Ledger.

Tijdens de ontwikkeling van het platform ontdekte de onderzoeker VCL, de Virtual Open Cluster. Een klein onbekend project dat voor het eerst in 1970 verscheen. "Het deed precies wat we wilden. Niet met een compleet besturingssysteem, maar met een complete OpenCL applicatie, en dat is goed genoeg voor mij."

Uiteindelijk wist Gosney één van de ontwikkelaars van VCL, professor Amnon Barak, te overtuigen om hem te helpen. "Toen we Amnon hadden overtuigd dat we de wereld niet in één groot botnet wilden veranderen, was hij erg behulpzaam bij het oplossen van de problemen waardoor VCL niet met hashcat werkte." Hashcat is een zeer populaire wachtwoordkraker.

De onderzoeker is nu van plan om een deel van zijn investeringen terug te verdienen door het GPU-monster aan geïnteresseerden te verhuren, bijvoorbeeld voor security audits.

Reacties (6)
06-12-2012, 13:44 door Anoniem
zou die beter gebruiken om bitcoin te minen
06-12-2012, 15:30 door Anoniem
Door Anoniem: zou die beter gebruiken om bitcoin te minen

Het minen van bitcoins is nauwelijks nog de kosten van de electriciteit en hardware waard...

Meer on topic: 't kraken van hashes is al vaker gedaan met GPU's, wel aardig om te zien dat 'ie er nu 25 in 1 apparaat weet te proppen. Hoe lang zou 'ie kunnen rekenen voor de kosten voor de hardware als 'ie dat in bijvoorbeeld Amazon's EC3 cloud zou investeren?
06-12-2012, 15:49 door waaromdan
En wat gebruikt Microsoft voor Hotmail? Ik neem aan niet de techniek van MS LAN Manager en NT LAN Manager?

Een wachtwoord van 14 karakters versleuteld met Microsoft LAN Manager zou binnen 6 minuten te kraken zijn.
Microsoft gebruikt SSL-encryptie, maar ik begrijp dus totaal niet waarom Hotmail nog steeds een limiet van 16 karakters heeft. Snap jij het?
06-12-2012, 17:09 door waaromdan
Als degene die mij mint nou gewoon antwoord geeft in plaats van heel laf te minnen..

Mijn reactie was overigens niet bedoeld om Microsoft te bashen of iets dergelijks.
06-12-2012, 17:58 door didrix
Door waaromdan: Als degene die mij mint nou gewoon antwoord geeft in plaats van heel laf te minnen..

Mijn reactie was overigens niet bedoeld om Microsoft te bashen of iets dergelijks.
Ik was niet de persoon die je heeft gemint, en ik verdedig niet dat je een limiet moet hebben van 16 karakters, maar heb je weleens geprobeerd een wachtwoord van 16 karakters te brute forcen over het internet? De kans dat je dan een wachtwoord kraakt binnen 6 minuten is vele male kleiner dan de kans dat je binnen 6 minuten een arrestatieteam door je deur hebt.

En als een aanvaller toegang kan verschaffen tot de hashes (waarschijnlijk niet NTLM) op de server, dan is het überhaupt game over. Password hashes is het soort beveiliging dat je beschermt tegen je kleine zusje.
10-12-2012, 23:51 door Anoniem
ook leuk voor gaming xD
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.