WPA nog steeds voldoende voor WiFi-netwerk
Eigenaren van een draadloos netwerk met WPA-beveiliging hoeven zich geen zorgen te maken dat hackers binnenkort via hun access point surfen. Vorige week liet het Russische ElcomSoft weten dat het dankzij de kracht van videokaarten WPA en WPA2 sleutels honderd keer sneller kan kraken. Volgens een beveiliger betekende dit zelfs dat WPA/WPA2 overbodig is geworden en iedereen op VPN's moet overstappen. Beveiligingsexpert Robert Graham maakt zich geen zorgen. "Op z'n hoogst betekent dit dat je één extra karakter aan je WPA wachtwoord moet toevoegen om hetzelfde niveau van veiligheid te bereiken."
Het kraken van wachtwoorden is exponentieel, waardoor elk extra karakter in een wachtwoord betekent dat het honderd keer lastiger te kraken is, ervan uitgaande dat cijfers, symbolen, hoofd en kleine letters gebruikt worden. Graham verwacht daarnaast niet dat wachtwoordkrakers massaal Nvidia videokaarten zullen inslaan, aangezien het voordeliger en sneller is om in FPGAs te investeren.
"Je kunt WPA wachtwoorden alleen kraken als iedereen op hetzelfde netwerk hetzelfde wachtwoord gebruikt, via pre-shared keys (PSK). Bedrijven die via RADIUS of EAP verschillende wachtwoorden aan verschillende mensen geven zijn niet kwetsbaar voor dit soort aanvallen. Als thuisgebruikers paranoïde zijn, dan kunnen ze een RADIUS server installeren." George Ou is het helemaal met Graham eens en adviseert gebruikers en bedrijven om niet op een VPN over te stappen. "VPN is nooit de juiste oplossing voor WLAN security geweest. Negeer de 'experts' en bedrijven die je een nieuwe oplossing proberen te verkopen, die in de eerste plaats al niet zinnig is en gebruik je gezonde verstand."
Botnet power
Volgens Graham zijn wachtwoordkrakers goed in het achterhalen op welke manier mensen wachtwoorden kiezen. "Als je iets kiest zoals 'Gordeldier*Zebra', dan zal je wachtwoord snel gekraakt worden. Je WPA wachtwoord moet zowel lang als complex zijn." Toch maakt hij zich zorgen over wachtwoordkrakers zoals die van ElcomSoft. Niet omdat het de GPU gebruikt, maar vanwege de gedistribueerde verwerking. Alle computers in een netwerk, of botnet, zouden kunnen meewerken aan het kraken van één WPA-wachtwoord. "Weinig mensen investeren in hardware voor alleen het kraken van een wachtwoord, maar veel bedrijven hebben rekenkracht over die ze kunnen gebruiken. Als iemand een opensource programma ontwikkelt die WPA via de GPU kan kraken, dan hebben we echt iets om ons zorgen te maken."
Niks om je als thuis gebruiker zorgen over te maken dus. (bedrijven met WPA Enterprise hoeven dat al helemaal niet)
Tevens vind ik het stuitend dat zoveel mensen hun mening baseren op een reeks bogus-artikelen waarin niet wordt aangegeven in hoeveel tijd een WPA-PSK key kan worden gekraakt. Gezond verstand en een kritische houding is dus nog lang niet gemeengoed.
Ik krijg het idee dat men vaak maar wat roept om de aandacht te trekken.
Misschien weet eigenlijk niemand hoe de zaken nu precies in elkaar steken.
Tevens vind ik het stuitend dat zoveel mensen hun mening baseren op een reeks bogus-artikelen waarin niet wordt aangegeven in hoeveel tijd een WPA-PSK key kan worden gekraakt. Gezond verstand en een kritische houding is dus nog lang niet gemeengoed.
Hear hear !!! ;)
Tevens vind ik het stuitend dat zoveel mensen hun mening baseren op een reeks bogus-artikelen waarin niet wordt aangegeven in hoeveel tijd een WPA-PSK key kan worden gekraakt. Gezond verstand en een kritische houding is dus nog lang niet gemeengoed.
Zoals de schrijver al opmerkte: gezond verstand en een kritische houding zijn het belangrijkst.
Velen laten zich deze angst aanpraten want echt verstand -van zaken- hebben ze niet en hun windhoo$ doosjes worden dagelijks van alle kanten bedreigt en zo klinkt het ook weer logisch voor deze groep.
_____________________________________________________________________
"Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !"
Velen laten zich deze angst aanpraten want echt verstand -van zaken- hebben ze niet en hun windhoo$ doosjes worden dagelijks van alle kanten bedreigt en zo klinkt het ook weer logisch voor deze groep.
_____________________________________________________________________
"Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !"
het gaat over de beveiliging van een netwerkprotocol, en de evt kraakbaarheid daarvan dmv nvidia videokaarten...
"nee, mensen in de waan laten dat ze veilig zijn, dat is bevorderlijk voor de algehele veiligheid"
gerefereerd, met fpga processoren kan je hashes genereren waarmee je wel
degelijk veel sneller wpa keys kan kraken. Zijn bedrijf levert apparatuur
waarmee een en ander gekraakt zou kunnen worden.
http://www.picocomputing.com/products/supercluster.php
Je hebt helemaal gelijk.
Het punt is, dat je met een gigantisch botnet een jaar (zoniet langer) bezig bent om een 1024 bits RSA-sleutel te kraken. Doorgaans loont het de moeite niet moderne crypto te brute-forcen. En dat is maar goed ook, want de kracht van moderne crypto zit hem daar juist in.
Er is een liedje geschreven over juist dat uitgangspunt. Het is ten gehore gebracht op het feest ter gelegenheid van het verlopen van het patent op het RSA-algoritme.
Superpolynomial subexponential runtimes.
Even though in practice it would take you several lifetimes,
If you ran it long enough you'd always find those two primes.
Superpolynomial subexponential runtimes
E to the root-log root-log-log [4x]
When I was but a naive lad first coding two's and three's
I thought the only "orders of" were trivialities.
But when I saw this function something opened up to me
The elegance of computational complexity.
[Chorus]
I was at a meeting when up came a man in black
Who told me that his agency had mounted an attack.
Convincing him was fruitless that his budget would collapse
All I know his trumpeter will soon be playing Taps.
[Chorus]
In virtual environments has grown up a debate
Of whether strong cryptography can overthrow the state.
But several such technologies including public key
Shall herald in the coming age of crypto-anarchy.
Superpolynomial subexponential runtimes
Superpolynomial subexponential runtimes
Superpolynomial subexponential runtimes
Superpolynomial subexponential runtimes
Bron: http://hpaste.org/2296 (kan geen directere bron vinden)
Robert Graham: "Als iemand een opensource programma ontwikkelt die WPA via de GPU kan kraken, dan hebben we echt iets om ons zorgen te maken."
Zoals ook al enkele mensen op Grahams blog noemden:
http://code.google.com/p/pyrit/
Echt zorgwekkend is een class-break. Dit is (voorlopig) gewoon snellere brute-force.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
