Utilizar la nube (Amazon) para crackear contraseñas y hashes
El investigador de seguridad alemán Thomas Roth (de Lanworks AG), que ha estado utilizando los servicios de Amazon EC2 para descifrar contraseñas cifradas con el algoritmo SHA1, dijo que la computación en nube ponen en mano de las masas las herramientas necesarias para romper contraseñas y datos cifrados.
Roth escribió sobre el resultado de un experimento en el que ha utilizado un una instancia del Cluster GPU (Unidades de Procesamiento Graphics) de Amazon para descifrar hashes generados utilizando el algoritmo SHA1. En dichas instancias instaló GPU Computing SDK de Nvidia y CUDA-Multiforcer v0.7.
Roth fue capaz de descifrar 14 contraseñas en 49 minutos, pagando sólo U$S 2,10 por una hora de tiempo de cómputo de 2 procesadores NVIDIA Tesla "Fermi" M2050 GPUs.
Las GPU son procesadores diseñados para manejar cálculos complejos utilizados por aplicaciones intensivas de gráficos, tales como juegos de computadora. Pero los científicos y los matemáticos los ha adaptado para llevar a cabo otras aplicaciones de uso general. La oferta de cluster CPU de Amazon permite a los desarrolladores alquilar sus servicios de alto rendimiento en lugar de comprar e instalar el equipo por ellos mismos.
"Creo que el craqueo basados en la nube tiene futuro ya que el alquiler de grupos de GPUs ha reducido el tiempo necesario para romper las contraseñas" dijo.
"Lo bueno es que se puede crear un clúster 100 estaciones de trabajo con unos pocos clics y sin necesidad de invertir en una infraestructura propia. A medida que divide la tarea de romper un hash en varias instancias, se puede disminuir el tiempo total, sin tener más costos".
Roth no es el primero en darse cuenta del potencial de los recursos basados en la nube para hacer el trabajo pesado necesario para romper el cifrado. WPACracker es un servicio de cracking de contraseñas basado en la nube y que se puede utilizar para romper contraseñas de Wi-Fi protegidas por WPA y WPA-PSK .
El sitio ofrece un conjunto 40 CPUs que prueban contraseñas contra un diccionario de palabras 135 o 284 millones de contraseñas WPA. El sitio promete ser capaz de descifrar las contraseñas WPA en un promedio de tan sólo 20 minutos a un costo de U$S 17. El servicio es anunciado como una herramienta para pruebas de intrusión y para auditores.
Aquí se puede ver un ejemplo de su funcionamiento y las pruebas que realizó Thomas utilizando esta lista de hash SHA1.
Fuente: Threatpost
Roth escribió sobre el resultado de un experimento en el que ha utilizado un una instancia del Cluster GPU (Unidades de Procesamiento Graphics) de Amazon para descifrar hashes generados utilizando el algoritmo SHA1. En dichas instancias instaló GPU Computing SDK de Nvidia y CUDA-Multiforcer v0.7.
Roth fue capaz de descifrar 14 contraseñas en 49 minutos, pagando sólo U$S 2,10 por una hora de tiempo de cómputo de 2 procesadores NVIDIA Tesla "Fermi" M2050 GPUs.
Las GPU son procesadores diseñados para manejar cálculos complejos utilizados por aplicaciones intensivas de gráficos, tales como juegos de computadora. Pero los científicos y los matemáticos los ha adaptado para llevar a cabo otras aplicaciones de uso general. La oferta de cluster CPU de Amazon permite a los desarrolladores alquilar sus servicios de alto rendimiento en lugar de comprar e instalar el equipo por ellos mismos.
"Creo que el craqueo basados en la nube tiene futuro ya que el alquiler de grupos de GPUs ha reducido el tiempo necesario para romper las contraseñas" dijo.
"Lo bueno es que se puede crear un clúster 100 estaciones de trabajo con unos pocos clics y sin necesidad de invertir en una infraestructura propia. A medida que divide la tarea de romper un hash en varias instancias, se puede disminuir el tiempo total, sin tener más costos".
Roth no es el primero en darse cuenta del potencial de los recursos basados en la nube para hacer el trabajo pesado necesario para romper el cifrado. WPACracker es un servicio de cracking de contraseñas basado en la nube y que se puede utilizar para romper contraseñas de Wi-Fi protegidas por WPA y WPA-PSK .
El sitio ofrece un conjunto 40 CPUs que prueban contraseñas contra un diccionario de palabras 135 o 284 millones de contraseñas WPA. El sitio promete ser capaz de descifrar las contraseñas WPA en un promedio de tan sólo 20 minutos a un costo de U$S 17. El servicio es anunciado como una herramienta para pruebas de intrusión y para auditores.
Aquí se puede ver un ejemplo de su funcionamiento y las pruebas que realizó Thomas utilizando esta lista de hash SHA1.
Fuente: Threatpost
Es interesante, ya que esta nueva "ameneza" llega para quedarse. Y francamente, los beneficios del computo en la nube son bastantes obvios y buenos como para intentar algo retrograda. Habría que ver si esto no se convierte en sitios con venta de "Passwords de Facebook de volada". Por cierto, considerarían que la única carta contra este escenario sea el uso de mas bits en el password o creen necesario un nuevo enfoque ?
ResponderBorrar