Een beveiligingsonderzoeker heeft een speciale machine gebouwd om supersnel wachtwoord-hashes te kunnen kraken. De cluster van Jeremi Gosney bestaat uit vijf 4U-servers, met daarin 25 AMD Radeon GPUs (Graphics Processing Unit). Om precies te zijn 10 Radeon HD 7970 kaarten, 4 HD 5970 en 3 HD 6990 kaarten (die elk over twee GPUs beschikken) en één HD 5870 videokaart.
Gosney demonstreerde zijn cluster tijdens de Passwords^12 conferentie in de Noorse hoofdstad Oslo. Een wachtwoord van 14 karakters versleuteld met Microsoft LAN Manager zou binnen 6 minuten te kraken zijn.
Een wachtwoord van acht karakters dat met NT LAN Manager (NTLM) gehasht is, wordt, met een snelheid van 348 miljard pogingen per seconde, in vijf en een half uur gekraakt. Microsoft raadt gebruikers al geruime tijd af om beide protocollen te gebruiken.
Cluster
Voor het kraken van MD5-hashes kan de cluster 180 miljard pogingen per seconde proberen, terwijl in het geval van SHA1 dit 63 miljard pogingen per seconde zijn. De zogeheten 'tragere hash' algoritmes zijn beter tegen het GPU-monster beschermd. Bcrypt en sha512crypt maken respectievelijk 71.000 en 364.000 pogingen per seconden mogelijk.
"We probeerden gewoon de grootste GPU-machine mogelijk te bouwen, met zoveel mogelijk GPUs in een enkele server, zodat we niet met het verdelen van de belasting of clustering te maken kregen", aldus Gosney tegenover de Security Ledger.
Tijdens de ontwikkeling van het platform ontdekte de onderzoeker VCL, de Virtual Open Cluster. Een klein onbekend project dat voor het eerst in 1970 verscheen. "Het deed precies wat we wilden. Niet met een compleet besturingssysteem, maar met een complete OpenCL applicatie, en dat is goed genoeg voor mij."
Uiteindelijk wist Gosney één van de ontwikkelaars van VCL, professor Amnon Barak, te overtuigen om hem te helpen. "Toen we Amnon hadden overtuigd dat we de wereld niet in één groot botnet wilden veranderen, was hij erg behulpzaam bij het oplossen van de problemen waardoor VCL niet met hashcat werkte." Hashcat is een zeer populaire wachtwoordkraker.
De onderzoeker is nu van plan om een deel van zijn investeringen terug te verdienen door het GPU-monster aan geïnteresseerden te verhuren, bijvoorbeeld voor security audits.
Deze posting is gelocked. Reageren is niet meer mogelijk.