GPU-monster verslindt wachtwoorden in seconden
Een beveiligingsonderzoeker heeft een speciale machine gebouwd om supersnel wachtwoord-hashes te kunnen kraken. De cluster van Jeremi Gosney bestaat uit vijf 4U-servers, met daarin 25 AMD Radeon GPUs (Graphics Processing Unit). Om precies te zijn 10 Radeon HD 7970 kaarten, 4 HD 5970 en 3 HD 6990 kaarten (die elk over twee GPUs beschikken) en één HD 5870 videokaart.
Gosney demonstreerde zijn cluster tijdens de Passwords^12 conferentie in de Noorse hoofdstad Oslo. Een wachtwoord van 14 karakters versleuteld met Microsoft LAN Manager zou binnen 6 minuten te kraken zijn.
Een wachtwoord van acht karakters dat met NT LAN Manager (NTLM) gehasht is, wordt, met een snelheid van 348 miljard pogingen per seconde, in vijf en een half uur gekraakt. Microsoft raadt gebruikers al geruime tijd af om beide protocollen te gebruiken.
Cluster
Voor het kraken van MD5-hashes kan de cluster 180 miljard pogingen per seconde proberen, terwijl in het geval van SHA1 dit 63 miljard pogingen per seconde zijn. De zogeheten 'tragere hash' algoritmes zijn beter tegen het GPU-monster beschermd. Bcrypt en sha512crypt maken respectievelijk 71.000 en 364.000 pogingen per seconden mogelijk.
"We probeerden gewoon de grootste GPU-machine mogelijk te bouwen, met zoveel mogelijk GPUs in een enkele server, zodat we niet met het verdelen van de belasting of clustering te maken kregen", aldus Gosney tegenover de Security Ledger.
Tijdens de ontwikkeling van het platform ontdekte de onderzoeker VCL, de Virtual Open Cluster. Een klein onbekend project dat voor het eerst in 1970 verscheen. "Het deed precies wat we wilden. Niet met een compleet besturingssysteem, maar met een complete OpenCL applicatie, en dat is goed genoeg voor mij."
Uiteindelijk wist Gosney één van de ontwikkelaars van VCL, professor Amnon Barak, te overtuigen om hem te helpen. "Toen we Amnon hadden overtuigd dat we de wereld niet in één groot botnet wilden veranderen, was hij erg behulpzaam bij het oplossen van de problemen waardoor VCL niet met hashcat werkte." Hashcat is een zeer populaire wachtwoordkraker.
De onderzoeker is nu van plan om een deel van zijn investeringen terug te verdienen door het GPU-monster aan geïnteresseerden te verhuren, bijvoorbeeld voor security audits.
Het minen van bitcoins is nauwelijks nog de kosten van de electriciteit en hardware waard...
Meer on topic: 't kraken van hashes is al vaker gedaan met GPU's, wel aardig om te zien dat 'ie er nu 25 in 1 apparaat weet te proppen. Hoe lang zou 'ie kunnen rekenen voor de kosten voor de hardware als 'ie dat in bijvoorbeeld Amazon's EC3 cloud zou investeren?
Mijn reactie was overigens niet bedoeld om Microsoft te bashen of iets dergelijks.
Mijn reactie was overigens niet bedoeld om Microsoft te bashen of iets dergelijks.
En als een aanvaller toegang kan verschaffen tot de hashes (waarschijnlijk niet NTLM) op de server, dan is het überhaupt game over. Password hashes is het soort beveiliging dat je beschermt tegen je kleine zusje.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.