GPU-monster verslindt wachtwoorden in seconden
Een beveiligingsonderzoeker heeft een speciale machine gebouwd om supersnel wachtwoord-hashes te kunnen kraken. De cluster van Jeremi Gosney bestaat uit vijf 4U-servers, met daarin 25 AMD Radeon GPUs (Graphics Processing Unit). Om precies te zijn 10 Radeon HD 7970 kaarten, 4 HD 5970 en 3 HD 6990 kaarten (die elk over twee GPUs beschikken) en één HD 5870 videokaart.
Gosney demonstreerde zijn cluster tijdens de Passwords^12 conferentie in de Noorse hoofdstad Oslo. Een wachtwoord van 14 karakters versleuteld met Microsoft LAN Manager zou binnen 6 minuten te kraken zijn.
Een wachtwoord van acht karakters dat met NT LAN Manager (NTLM) gehasht is, wordt, met een snelheid van 348 miljard pogingen per seconde, in vijf en een half uur gekraakt. Microsoft raadt gebruikers al geruime tijd af om beide protocollen te gebruiken.
Cluster
Voor het kraken van MD5-hashes kan de cluster 180 miljard pogingen per seconde proberen, terwijl in het geval van SHA1 dit 63 miljard pogingen per seconde zijn. De zogeheten 'tragere hash' algoritmes zijn beter tegen het GPU-monster beschermd. Bcrypt en sha512crypt maken respectievelijk 71.000 en 364.000 pogingen per seconden mogelijk.
"We probeerden gewoon de grootste GPU-machine mogelijk te bouwen, met zoveel mogelijk GPUs in een enkele server, zodat we niet met het verdelen van de belasting of clustering te maken kregen", aldus Gosney tegenover de Security Ledger.
Tijdens de ontwikkeling van het platform ontdekte de onderzoeker VCL, de Virtual Open Cluster. Een klein onbekend project dat voor het eerst in 1970 verscheen. "Het deed precies wat we wilden. Niet met een compleet besturingssysteem, maar met een complete OpenCL applicatie, en dat is goed genoeg voor mij."
Uiteindelijk wist Gosney één van de ontwikkelaars van VCL, professor Amnon Barak, te overtuigen om hem te helpen. "Toen we Amnon hadden overtuigd dat we de wereld niet in één groot botnet wilden veranderen, was hij erg behulpzaam bij het oplossen van de problemen waardoor VCL niet met hashcat werkte." Hashcat is een zeer populaire wachtwoordkraker.
De onderzoeker is nu van plan om een deel van zijn investeringen terug te verdienen door het GPU-monster aan geïnteresseerden te verhuren, bijvoorbeeld voor security audits.
Het minen van bitcoins is nauwelijks nog de kosten van de electriciteit en hardware waard...
Meer on topic: 't kraken van hashes is al vaker gedaan met GPU's, wel aardig om te zien dat 'ie er nu 25 in 1 apparaat weet te proppen. Hoe lang zou 'ie kunnen rekenen voor de kosten voor de hardware als 'ie dat in bijvoorbeeld Amazon's EC3 cloud zou investeren?
Mijn reactie was overigens niet bedoeld om Microsoft te bashen of iets dergelijks.
Mijn reactie was overigens niet bedoeld om Microsoft te bashen of iets dergelijks.
En als een aanvaller toegang kan verschaffen tot de hashes (waarschijnlijk niet NTLM) op de server, dan is het überhaupt game over. Password hashes is het soort beveiliging dat je beschermt tegen je kleine zusje.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
