Nieuws
image

Politie kraakt encryptie pedofielen met PS3

donderdag 19 november 2009, 15:13 door Redactie, 17 reacties

Agenten van het Amerikaanse Cyber Crimes Center (C3) gebruiken Playstation 3 spelcomputers om wachtwoorden en versleutelde bestanden van pedofielen te kraken. "Criminelen versleutelen tegenwoordig hun spullen, dus hebben we een manier nodig om wachtwoorden te kraken", zegt speciaal agent Claude Davenport van het C3. De organisatie richt zich op transnationale internetmisdrijven, waaronder kinderpornografie. De afbeeldingen zijn meestal van de Derde Wereld afkomstig, maar zodra die op Amerikaanse servers belanden, vallen ze onder de jurisdictie van C3. Agenten kunnen computers wel in beslag nemen, maar verdachten hoeven niet tegen zichzelf te getuigen.

Linux
Daardoor stuitten veel onderzoeken op de aanwezige encryptie en wachtwoorden, die de agenten vervolgens proberen te brute-forcen. Een netwerk van Playstation 3 (PS3) machines kan 4 miljoen wachtwoorden per seconde verwerken, waardoor de juiste combinatie sneller gevonden wordt. De oude modellen van de PS3 maken het mogelijk om Linux te installeren en zijn met zo'n 300 dollar per stuk ook nog stukken goedkoper dan de 8000 dollar kostende Tableau/Dell server combinatie waar agenten voorheen op waren aangewezen.

Inmiddels beschikt de organisatie over 20 spelcomputers, waar het er 40 of meer aan wil toevoegen. Machines die het via veilingsites als eBay moet aanschaffen, aangezien de nieuwste PlayStation 3 'Slim' geen Linux ondersteunt.

Reacties (17)
19-11-2009, 15:37 door Anoniem
Dan waren de wachtwoorden blijkbaar te kort.
Voor een wachtwoord van 20 karakters van kleine letters zijn er 26^20 mogelijkheden = 2 x 10^28
Dat duurt dus 2 x 10^28 / 4 x 10^6 = 5 x 10^21 seconden met 1 ps3
Dat is 1,5 x 10^11 jaar voor 1000 ps3's
19-11-2009, 16:18 door Anoniem
Dat kan ook op je PS3 thuis:

http://blog.distracted.nl/2009/06/psebr-md5-playstation-3-md5-password.html
19-11-2009, 16:28 door Eerde
Toch weer een mooie promo voor Linux.
19-11-2009, 16:57 door SirDice
Door Anoniem: Dan waren de wachtwoorden blijkbaar te kort.
Voor een wachtwoord van 20 karakters van kleine letters zijn er 26^20 mogelijkheden = 2 x 10^28
Dat duurt dus 2 x 10^28 / 4 x 10^6 = 5 x 10^21 seconden met 1 ps3
Dat is 1,5 x 10^11 jaar voor 1000 ps3's
De gemiddelde tijd is de helft ;)

Je kunt namelijk mazzel hebben en bij de eerste poging gelijk de juiste hebben of pech en door de hele keyspace heen moeten. De tijd die jij aangeeft is de tijd die nodig is om alle keys te proberen. De kans is echter vrij groot dat je niet door heel de keyspace heen hoeft. Daarom gaat men altijd uit van de gemiddelde tijd. Verder zijn het 4 miljoen wachtwoorden per seconden voor een netwerk van PS3's en niet voor maar 1. De berekening klopt ook niet echt omdat je geen rekening houdt met wachtwoorden die minder dan 20 karakters bevatten.

Tevens gebruik je natuurlijk niet alleen kleine letters maar ook hoofdletters, cijfers en leestekens wat de keyspace vele malen groter maakt. Het is wiskundig redelijk eenvoudig om aan te tonen dat het gebruik van hoofd- en kleine letters, leestekens etc. een enorme impact hebben op de tijd die nodig is om een sleutel te kraken.

Tsja, dan heb je natuurlijk ook nog rainbow-tables en dan gaat heel die berekening niet meer op ;-)
19-11-2009, 17:03 door [Account Verwijderd]
[Verwijderd]
19-11-2009, 17:12 door [Account Verwijderd]
[Verwijderd]
19-11-2009, 18:02 door SirDice
Door Duckman: Gemiddeld wachtwoord bestaat uit 8 tekens de meeste wachtwoorden bestaan uit hooft letters kleine letters en cijfers.
Een gemiddelde van 8 betekent dus dat wachtwoorden tussen 0 en 16 karakters lang zijn. Maar goed, iemand die wat te verbergen heeft maakt ze langer en gebruikt wel degelijk ook cijfers en leestekens ;)

Nog leuker wordt het wanneer je wachtwoorden gebruikt mbv Unicode/UTF-8 o_O
19-11-2009, 19:21 door [Account Verwijderd]
[Verwijderd]
19-11-2009, 20:26 door SirDice
Voor een crypto-leek klinkt 4 miljoen best veel maar 4 miljoen pogingen per seconde met 20 PS3's is eigenlijk rete traag. Zelfs met 1 PS3 is het niet veel. Een aantal jaren geleden haalde ik op een simpele P2 al 1 miljoen/s met l0phtcrack. Als je het hebt over MD5 dan moet je toch makkelijk 1.4 miljard pogingen per seconde kunnen halen op 1 PS3. Dat maal twintig minus wat overhead voor het distribueren en dan zet je toch al snel aan zo'n 26-27 miljard.

http://www.pcworld.com/article/140064/hacker_uses_sony_playstation_3_to_crack_passwords.html
19-11-2009, 22:09 door Anoniem
Door SirDice: Voor een crypto-leek klinkt 4 miljoen best veel maar 4 miljoen pogingen per seconde met 20 PS3's is eigenlijk rete traag. Zelfs met 1 PS3 is het niet veel. Een aantal jaren geleden haalde ik op een simpele P2 al 1 miljoen/s met l0phtcrack. Als je het hebt over MD5 dan moet je toch makkelijk 1.4 miljard pogingen per seconde kunnen halen op 1 PS3. Dat maal twintig minus wat overhead voor het distribueren en dan zet je toch al snel aan zo'n 26-27 miljard.

Wie heeft het over MD5?
20-11-2009, 01:26 door Anoniem
Door SirDice: Voor een crypto-leek klinkt 4 miljoen best veel maar 4 miljoen pogingen per seconde met 20 PS3's is eigenlijk rete traag. Zelfs met 1 PS3 is het niet veel. Een aantal jaren geleden haalde ik op een simpele P2 al 1 miljoen/s met l0phtcrack. Als je het hebt over MD5 dan moet je toch makkelijk 1.4 miljard pogingen per seconde kunnen halen op 1 PS3. Dat maal twintig minus wat overhead voor het distribueren en dan zet je toch al snel aan zo'n 26-27 miljard.

http://www.pcworld.com/article/140064/hacker_uses_sony_playstation_3_to_crack_passwords.html

De snelheid is natuurlijk ook heel erg afhankelijk van het algoritme dat gebruikt is, en dat zal meestal geen md5 zijn (en ook geen DES zoals bij l0phtcrack). Als het goed is heeft de maker van de encryptieoplossing juist moeite gedaan om het algoritme traag te maken. Die 4 miljoen zegt dus ook helemaal niets zonder verdere details.

Die 1.4 miljard was trouwens een foutje van de onderzoeker, hij zat nog onder de 100 miljoen.
20-11-2009, 07:58 door Anoniem
"Leuk hoor een PS3 maar is het niet goedkoper om eenvoudige PCtjes met een wat grote CPU te gebruiken?"

Niet bepaald, want de PS3 presteert juist een stuk beter dan een PC met een wat grote CPU bij het kraken van encryptie.
20-11-2009, 08:56 door Anoniem
Door SirDice: Voor een crypto-leek klinkt 4 miljoen best veel maar 4 miljoen pogingen per seconde met 20 PS3's is eigenlijk rete traag. Zelfs met 1 PS3 is het niet veel. Een aantal jaren geleden haalde ik op een simpele P2 al 1 miljoen/s met l0phtcrack. Als je het hebt over MD5 dan moet je toch makkelijk 1.4 miljard pogingen per seconde kunnen halen op 1 PS3. Dat maal twintig minus wat overhead voor het distribueren en dan zet je toch al snel aan zo'n 26-27 miljard.

http://www.pcworld.com/article/140064/hacker_uses_sony_playstation_3_to_crack_passwords.html

4 miljoen per seconde is inderdaad erg traag, maar er wordt niet gezegd welk algoritme gekraakt wordt. De 1.4 miljard/s voor md5 op de PS3 klopte achteraf niet, bij compilen werd per ongeluk praktisch alle code weggeoptimaliseerd... dus zelfs voor een benchmark is dat niet goed :)
MD5 op 1 PS3 doe je zonder moeite met 4 miljoen/s, als je meer moeite doet red je ruim 250 Mhashes/s op 1 PS3. Afhankelijk van het algoritme dat ze willen kraken hadden ze beter kunnen investeren in een paar goede grafische kaarten, een PS3 is zo snel niet meer.
20-11-2009, 10:22 door spatieman
nog effe en er komt iets waardoor ze de burgers vragen hun PS3 en of PC over het internet mee te latenrekenen voor die wachtworden te kraken.

zoals scammers chapta mee latenrekenen door andere..
20-11-2009, 12:53 door Anoniem
Je zou een gecrypte database/file/whatever eigenlijk automatisch de functionaliteit moeten geven dat iedere wachtwoordpoging een bepaalde lock geeft waardoor je bijv 1 seconde (of 10) moet wachten tot de volgende poging, dan duurt het wel erg lang, maar dat zal natuurlijk niet gaan lukken omdat je zo een database natuurlijk kan kopieren. Toch zal zoiets toch wel te realiseren zijn lijkt me.
20-11-2009, 16:45 door Anoniem
Er klopt iets niet aan de rekensom. Ze hebben nu 20 consoles a 300 euro = 6000 euro. 40 stuks er bij dan komen ze op zo'n 18000 euro... en dit zou goedkoper zijn dan de 8000 euro kostende Dell combinatie???
20-11-2009, 17:39 door SirDice
Door Anoniem: Er klopt iets niet aan de rekensom. Ze hebben nu 20 consoles a 300 euro = 6000 euro. 40 stuks er bij dan komen ze op zo'n 18000 euro... en dit zou goedkoper zijn dan de 8000 euro kostende Dell combinatie???
Nee, het zijn die 20 stuks die goedkoper zijn. En omdat het zo'n succes is willen ze er nog eens 40 bij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure