Clouddienst kraakt WPA-wachtwoorden
Een nieuwe clouddienst genaamd WPA Cracker geeft security professionals de mogelijkheid om zeer voordelig WiFi-wachtwoorden te kraken. Het gaat dan om het testen van de beveiliging van met WPA-PSK beveiligde draadloze netwerken, die zijn namelijk kwetsbaar voor woordenboekaanvallen. Het uitvoeren van een fatsoenlijke woordenboekaanval over een WPA-netwerk kan dagen of weken duren. WPA Crack geeft pentesters de beschikking over een cluster van 400 processoren en een woordenboek van 135 miljoen woorden, speciaal gemaakt voor het kraken van WPA-wachtwoorden. Normaliter zou dit op een normale dual-core PC vijf dagen duren, maar het mega-cluster doet hier zo'n 20 minuten over en kost iets meer dan 11 euro. Om de dienst te kunnen gebruiken moet er een handshake bestand, de initiële communicatie tussen de WPA router en PC, worden geüpload.
Church of Wifi
WPA Cracker is het werk van de bekende beveiligingsonderzoeker Moxie Marlinspike, die eerder al de SSLstrip en SSLsniff tools beschikbaar maakte. Marlinspike laat weten dat er wel rainbow tables beschikbaar zijn, zoals die van de Church of Wifi, maar dat deze verzamelingen niet voldoen.
Ten eerste is elke handshake gesalt met het ESSID van het newerk, waardoor je een unieke verzameling rainbow tables voor elk te auditen netwerk moet maken. Ten tweede is de omvang van elke rainbow table beperkt tot zo'n miljoen woorden, wat volgens de onderzoeker niet voldoende voor een uitgebreid onderzoek is. In het geval WPA Cracker het wachtwoord niet weet te vinden, dan moet er nog steeds betaald worden.
Wat is de volgende:
BF Crack van de bankrekening van uw buren.
Het versturen van Spam.
Ergo maak van iets illegaals een Clouddienst en het heet plotseling Business ;-)
Ik kan mij voorstellen dat sommige veiligheiddiensten er af en toe gebruik van maken in onderzoek naar crimineel of naar terroristen of onderzoek naar zedendilicten maar wat moet een huis en tuin pc gebruiker met zulke software?
Verbieden van het opschrijven van een aantal enen en nullen kan niet denk ik - verbieden kan alleen hetgeen je vervolgens met deze enen & nullen van plan bent te gaan doen en dan zelfs pas als je het reeds gedaan hebt of op dat moment daadwerkelijk iets met deze enen & nullen aan het doen bent.
Ik kan mij voorstellen dat sommige veiligheiddiensten er af en toe gebruik van maken in onderzoek naar crimineel of naar terroristen of onderzoek naar zedendilicten maar wat moet een huis en tuin pc gebruiker met zulke software?
Nee ja je hebt helemaal gelijk, stel dat een terrorist straks mijn WPA cracked, O-jee!
Het staat netjes omschreven op de website dat het een " service for penetration testers and network auditors who need to check the security of WPA-PSK protected wireless networks." is.
Is iemand die fietsen verhuurt ook strafbaar als een gek een gehuurde fiets door een ruit gooit? Welnee ;-)
Het staat netjes omschreven op de website dat het een " service for penetration testers and network auditors who need to check the security of WPA-PSK protected wireless networks." is.
Is iemand die fietsen verhuurt ook strafbaar als een gek een gehuurde fiets door een ruit gooit? Welnee ;-)
Is iemand die een mitrailleur verhuurd als service om kogelvrije vesten te testen strafbaar?
Wat moet een ethische pentester met deze dienst? Een kleine woordenboektest is voldoende om te testen of het wachtwoord niet al te simpel is. Daarna is algemeen bekend dat WPA te kraken is en is het aantonen daarvan zinloos.
Het staat netjes omschreven op de website dat het een " service for penetration testers and network auditors who need to check the security of WPA-PSK protected wireless networks." is.
Is iemand die fietsen verhuurt ook strafbaar als een gek een gehuurde fiets door een ruit gooit? Welnee ;-)
Tuurlijk, maar hoe controleren we dat dan? We kunnen met elkaar afspreken dat we niet voor eigen rechter en politie agent gaan spelen maar als niemand zich daaraan gaat houden en lekker het toch doet moet er wel een club zijn die de wet gaat handhaven. Kortom: dan komt het op pure beroeps ethiek aan. En daar hebben we de laatste jaren gezien dat de opvatting over ethiek nogal ruim genomen wordt. Kortom: ja, goed dat er onderzoek is en dit zo beschikbaar komt maar ik wel twijfels of dit nu wel de juiste weg is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
