Nieuws
image

Onderzoeker kraakt WPA-PSK met Amazon cloud

maandag 10 januari 2011, 13:17 door Redactie, 9 reacties

Een Duitse beveiligingsonderzoeker heeft een goedkope manier gevonden voor het kraken van draadloze netwerken die met WPA-PSK versleuteld zijn. Thomas Roth gebruikte Amazons cloud om op het WiFi-netwerk van zijn buren in te breken. Hiervoor had hij ongeveer twintig minuten nodig. Sinds het onderzoek heeft de onderzoeker zijn software verbeterd, waardoor het nu nog maar zes minuten zou duren. Roth zal zijn onderzoek tijdens de Blackhat conferentie in Washington bespreken en de gebruikte software aanbieden, om een "misvatting" bij veel systeembeheerders weg te nemen.

Die zouden nog ten onrechte denken dat WPA-PSK veilig is. "Mensen vertellen me dat het onmogelijk is om WPA te kraken, en als het al mogelijk was, het zeer veel geld zou kosten. Maar het is eenvoudig om te brute-forcen," aldus de onderzoeker. Amazon rekent 22 eurocent per minuut voor de machines die Roth gebruikte. Voorheen was het brute-forcen van WPA WiFi-netwerken niet haalbaar, omdat een aanvaller vaak niet over de vereiste rekenkracht beschikte. Met de komst van Amazons cloud is dat veranderd.

Tool
Een woordvoerder van Amazon laat weten dat het onderzoek van Roth in strijd met het bedrijfsbeleid is als hij zonder toestemming inbreekt op het netwerk van iemand anders. "Hij gebruikte Elastic Compute Cloud (EC2) als een tool om te laten zien dat de beveiliging van sommige netwerkconfiguraties te verbeteren is."

De woordvoerder vindt testen een uitstekend doel van de clouddienst. "Het is echter een schending van de gebruikersovereenkomst om onze diensten te gebruiken om zonder toestemming de veiligheid van een netwerk te compromitteren."

Reacties (9)
10-01-2011, 13:28 door Anoniem
En WPA2-PSK dan?
Kan dat nog wel als veilig beschouwd worden?
10-01-2011, 13:31 door Anoniem
Tegenwoordig is er ook al WPA2-AES....

Is dat ook zo makkelijk te kraken?
10-01-2011, 13:45 door Anoniem
Met brute force is ALLES kraken! Als er maar genoeg rekenkracht voorhanden is...
10-01-2011, 14:08 door Anoniem
Gaat het hier om WPA-TKIP of WPA-AES? Of wordt WPA2-AES bedoeld?

Waarschijnlijk maakt het niet veel uit, omdat WPA op de meeste accesspoints niet staat uitgeschakeld.
10-01-2011, 14:21 door spatieman
kwestie van software aanpassen, en raggen maar, imho.
10-01-2011, 14:40 door Anoniem
"Het is echter een schending van de gebruikersovereenkomst om onze diensten te gebruiken om zonder toestemming te veiligheid van een netwerk te compromitteren", aldus de woordvoerder van Amazon.

Alsof iemand die kwaad wil zich daaraan zal storen. Ik zou er geruster op zijn als deze woordvoerder had verklaard dat men dit actief tegen zou gaan.
10-01-2011, 16:09 door Syzygy
Lezen jullie het stukje nou eigenlijk wel of niet ??

WPA is niet gekraakt !!

Het enige dat het stukje meldt is dat het met behulp van de cloudcomputers effectief meer BF aanvallen kunnen doen dan met een of een paar computers voor een relatief lage prijs.
De moeilijkheidsgraad van het wachtwoord van het gehackte Wifi netwerk wordt ook niet genoemd dus misschien was het wel iets eenvoudigs

It tests 400,000 potential passwords per second using Amazon's high-speed computers.
Nou dat is knap veel. Maar ergens ga je een maximum bereiken aan de server kant want die moet het weer verwerken.

That leaves businesses as well as home networks prone to attack if they use relatively simple passwords to secure their networks.
Hier zeggen ze het zelf al !!!

That encryption method, dubbed WPA-PSK, scrambles data using a single password. If a potential intruder is able to figure out the password, he or she can gain access to computers and other devices on the network.

Roth said that the networks can be broken into if hackers use enough computer power to "brute force" their way into figuring out the passwords that protect networks.
Hier wordt het nog eens bevestigd !

BF is geen breken van een technologie.
Het is gewoon "Raai maar raak voor een knaak" maar dan HIER wel snel en volgens een bepaald patroon.

WPA in al zijn varianten heeft er dus feitelijk niets mee te maken.

WEP, als methodiek, is echter wel te kraken door maar genoeg inloggingen te verzamelen.
10-01-2011, 16:22 door SirDice
Deja Vu?

http://www.security.nl/nieuwsbrief/artikel/76/31718
23-02-2011, 06:26 door Anoniem
Op http://bit.ly/b2mrPO en http://bit.ly/bvhN91 zijn presentaties te vinden van een operationeel ICT-Systeem wat gebaseerd is op quantum principes. Door de gescheiden bron- en kanaalcodering en informatie-theoretische veiligheid gebaseerd op quantum principes is dit systeem onkraakbaar en ongevoelig voor aanvallen van virussen, tojaanse paarden etc. in tegenstelling tot de rekenkundige veiligheid van de huidige generatie systemen. Dit systeem is sinds 2007 operationeel en zal tot minimaal 2030 operationeel blijven. Het systeem ondersteund het gebruik van private quantum randomness en een public quantum randomness server welke bijvoorbeeld op de link http://qrng.physik.hu-berlin.de/ te vinden is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure