Clouddienst kraakt WPA-wachtwoorden
Een nieuwe clouddienst genaamd WPA Cracker geeft security professionals de mogelijkheid om zeer voordelig WiFi-wachtwoorden te kraken. Het gaat dan om het testen van de beveiliging van met WPA-PSK beveiligde draadloze netwerken, die zijn namelijk kwetsbaar voor woordenboekaanvallen. Het uitvoeren van een fatsoenlijke woordenboekaanval over een WPA-netwerk kan dagen of weken duren. WPA Crack geeft pentesters de beschikking over een cluster van 400 processoren en een woordenboek van 135 miljoen woorden, speciaal gemaakt voor het kraken van WPA-wachtwoorden. Normaliter zou dit op een normale dual-core PC vijf dagen duren, maar het mega-cluster doet hier zo'n 20 minuten over en kost iets meer dan 11 euro. Om de dienst te kunnen gebruiken moet er een handshake bestand, de initiële communicatie tussen de WPA router en PC, worden geüpload.
Church of Wifi
WPA Cracker is het werk van de bekende beveiligingsonderzoeker Moxie Marlinspike, die eerder al de SSLstrip en SSLsniff tools beschikbaar maakte. Marlinspike laat weten dat er wel rainbow tables beschikbaar zijn, zoals die van de Church of Wifi, maar dat deze verzamelingen niet voldoen.
Ten eerste is elke handshake gesalt met het ESSID van het newerk, waardoor je een unieke verzameling rainbow tables voor elk te auditen netwerk moet maken. Ten tweede is de omvang van elke rainbow table beperkt tot zo'n miljoen woorden, wat volgens de onderzoeker niet voldoende voor een uitgebreid onderzoek is. In het geval WPA Cracker het wachtwoord niet weet te vinden, dan moet er nog steeds betaald worden.
Wat is de volgende:
BF Crack van de bankrekening van uw buren.
Het versturen van Spam.
Ergo maak van iets illegaals een Clouddienst en het heet plotseling Business ;-)
Ik kan mij voorstellen dat sommige veiligheiddiensten er af en toe gebruik van maken in onderzoek naar crimineel of naar terroristen of onderzoek naar zedendilicten maar wat moet een huis en tuin pc gebruiker met zulke software?
Verbieden van het opschrijven van een aantal enen en nullen kan niet denk ik - verbieden kan alleen hetgeen je vervolgens met deze enen & nullen van plan bent te gaan doen en dan zelfs pas als je het reeds gedaan hebt of op dat moment daadwerkelijk iets met deze enen & nullen aan het doen bent.
Ik kan mij voorstellen dat sommige veiligheiddiensten er af en toe gebruik van maken in onderzoek naar crimineel of naar terroristen of onderzoek naar zedendilicten maar wat moet een huis en tuin pc gebruiker met zulke software?
Nee ja je hebt helemaal gelijk, stel dat een terrorist straks mijn WPA cracked, O-jee!
Het staat netjes omschreven op de website dat het een " service for penetration testers and network auditors who need to check the security of WPA-PSK protected wireless networks." is.
Is iemand die fietsen verhuurt ook strafbaar als een gek een gehuurde fiets door een ruit gooit? Welnee ;-)
Het staat netjes omschreven op de website dat het een " service for penetration testers and network auditors who need to check the security of WPA-PSK protected wireless networks." is.
Is iemand die fietsen verhuurt ook strafbaar als een gek een gehuurde fiets door een ruit gooit? Welnee ;-)
Is iemand die een mitrailleur verhuurd als service om kogelvrije vesten te testen strafbaar?
Wat moet een ethische pentester met deze dienst? Een kleine woordenboektest is voldoende om te testen of het wachtwoord niet al te simpel is. Daarna is algemeen bekend dat WPA te kraken is en is het aantonen daarvan zinloos.
Het staat netjes omschreven op de website dat het een " service for penetration testers and network auditors who need to check the security of WPA-PSK protected wireless networks." is.
Is iemand die fietsen verhuurt ook strafbaar als een gek een gehuurde fiets door een ruit gooit? Welnee ;-)
Tuurlijk, maar hoe controleren we dat dan? We kunnen met elkaar afspreken dat we niet voor eigen rechter en politie agent gaan spelen maar als niemand zich daaraan gaat houden en lekker het toch doet moet er wel een club zijn die de wet gaat handhaven. Kortom: dan komt het op pure beroeps ethiek aan. En daar hebben we de laatste jaren gezien dat de opvatting over ethiek nogal ruim genomen wordt. Kortom: ja, goed dat er onderzoek is en dit zo beschikbaar komt maar ik wel twijfels of dit nu wel de juiste weg is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.