Crackare password con 25 GPU

Un ricercatore mette in mostra il "metallo" usato per gli attacchi a forza bruta contro hash e password: bastano poche GPU (AMD) perché il cracking delle parole chiave diventi a portata di chiunque

Roma – Intervenendo alla conferenza Passwords^12 , il ricercatore Jeremi Gosney ha mostrato al pubblico intervenuto che tipo di attrezzatura occorre per il cracking di password e hash delle suddette. L’hardware presentato da Gosney è di tipo GPGPU , usa 25 schede acceleratici marchiate AMD e può ingoiare miliardi di parole chiave nel giro di qualche minuto.

Gosney, già noto alle cronache per l’ affaire delle password di LinkedIn , ha mostrato quattro rack 4U equipaggiati con le suddette GPU AMD montate in link, capaci di comunicare a 10 Gbps tramite connessione Infiniband.

Il ricercatore ha usato il cluster così composto con software Virtual OpenCL, e una versione modificata di Hashcat: il codice è stato opportunamente adattato alle esigenze specifiche di Gosney, e ora è in grado di supportare fino a 128 GPU gestibili in contemporanea.

Già mettendo all’opera 25 co-processori “grafici” discreti, a ogni modo, i risultati sono a dir poco interessanti. Gosney ha provato a saggiare algoritmi e cifrari più o meno robusti, controllando un numero variabile di hash con un attacco a forza bruta nel tentativo di indovinare la password corrispondente.

Gli algoritmi più forti non permettono di calcare molto la mano nella ricerca, con Bcrypt e Sha512crypt che hanno fatto rispettivamente registrare 71.000 e 364.000 combinazioni al secondo. Quando poi si passa a qualcosa di meno impegnativo come NTLM (usato per proteggere le password di Windows XP e ancora presente in Windows 8), il numero di combinazioni che è possibile controllare sale fino a 348 miliardi di istanze al secondo.

Una password NTLM di 8 caratteri può essere “crackata” in meno di 6 ore, dice il ricercatore, mentre usando l’algoritmo meno forte (LM) il numero di combinazioni necessario per abbattere una password da 14 caratteri è di 20 miliardi al secondo per un totale di 6 minuti di lavoro.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    io lo trovo straordinario...
    Nel senso che c'e' una GROSSA quantita'di "if-then" che devono andare a buon fine perche' il gioco funzioni (lasciando perdere il rischio, visto le tracce che lascieranno i rapinatori)... ed e' straordinario che 30000 persone siano state gabbate.1) zeus spedito via email o sito hacked 2) runna in background sinche' non logghi sul tuo sito Bank.comAl che via javascript ti dice che c'e' un "aggiornamento per cellulari per proteggere l'homebanking". E di nuovo chiede all'utente dati: il num di tel e il modello.3) il theft-server manda un SMS all'utente chiedendo di finalizzare la procedura = gli manda un link con un sw da installare sul telefono [parla solo di android e bberry. e anche qui ci sono varianti, ma cmq]. l'utente deve accettare l'installazione [ma visto che non e' sul market, CREDO avra' un ALTRO warn sul fatto di installare app sconosciute. E va avanti].4) se ben capisco c'e' pure un confirmation code, che l'utente vede sul browser del pc (il ladro vuol essere ben sicuro evidentemente. e presuppone che l'utente gli dia retta al volo.. wow)5) il trojan zeusmobile sul tel e' completato. 6) sul PC quando usera' l'homebanking, lo zeus grabba la sessione e spedisce al ladro dei soldi7) contemporaneamente il tel (trojanato) riceve l'SMS col TAN.. che viene girato silenziosamente al ladro, per completare la transazione...Whoa.. ci sono almeno 125 cose che possono andare male, e non solo non riuscire a grabbare i soldi.. ma anche venire "beccati" (cioe un warn, che poi porta a denuncia o a buttare tutto). Quanti miliardi di mail avranno mandato per ottenere 30000 UTONTI SLAVE?In effetti poi la polizia ha (evidentemente) smantellato la rete... ma non si capisce se/quanta gente abbia ingabbiato
    • collione scrive:
      Re: io lo trovo straordinario...
      beh, certamente uno che si becca un malware sul pc e poi ne installa un altro volontariamente su smartphone.......sono senza parole questa è idiozia all'ennesima potenza
      • bubba scrive:
        Re: io lo trovo straordinario...
        - Scritto da: collione
        beh, certamente uno che si becca un malware sul
        pc e poi ne installa un altro volontariamente su
        smartphone.......

        sono senza parole

        questa è idiozia all'ennesima potenzaeheh. io lo trovo straordinario :P)l'unica cosa che mi lascia perplesso e'... ma su android (e penso in generale) se ti arriva un msg 'installa questo .apk non hostato sul market', per forza avrai anche un msg che ti dice 'sorgente sconosciuta. vuoi davvero installare?'.. o qualcosa del genere.O mi sogno? No,xche nel PDF non c'e' menzione di questo ulteriore warn.Svariate volte, negli anni, sono stato tentato dal tentare di mettere in pista un worm [o qualcosa di funzionalmente analogo]... per rendermi conto SUL SERIO se/quanto cavalca, ecc..Ovviamente oltre a essere parecchio impegnativo, e' anche un filo a rischio manette :PNon e' che mi interessa grabbare dei soldi... solo come esperimento sociale..
  • elpro scrive:
    la matematica è un opinione
    Vogliamo arrotondare aa una media di 1200?
  • eleirbag scrive:
    x Maruccia: Occhio alle cifre
    500 e i 250mila euro x 30.000 fanno parecchie centinaia di miliardi di euro e non milioni.Ergo o sono qualche centinaio di CC oppure le cifre sottratte sonoal max 500 euro a CC. ^_^
    • bubba scrive:
      Re: x Maruccia: Occhio alle cifre
      - Scritto da: eleirbag
      500 e i 250mila euro x 30.000 fanno parecchie
      centinaia di miliardi di euro e non
      milioni.
      Ergo o sono qualche centinaio di CC oppure le
      cifre sottratte
      sono
      al max 500 euro a CC. ^_^ma no.. gh. e' un range. a uno han fregato 500eu, a un altro 250000 (o meglio 223036,12 eu). E tante altre transazioni che stanno nel mezzo.
    • vedi che pedate te mino scrive:
      Re: x Maruccia: Occhio alle cifre
      - Scritto da: eleirbag
      500 e i 250mila euro x 30.000 fanno parecchie
      centinaia di miliardi di euro e non
      milioni.
      Ergo o sono qualche centinaio di CC oppure le
      cifre sottratte
      sono
      al max 500 euro a CC. ^_^Beh, è un articolo di Maruccia. [img]http://25.media.tumblr.com/tumblr_mbysn2TW7c1rw951vo1_400.gif[/img]
      • Alfonso Maruccia scrive:
        Re: x Maruccia: Occhio alle cifre
        Bah....-----------------------------------------------------------Modificato dall' autore il 06 dicembre 2012 19.54-----------------------------------------------------------
        • vedi che pedate te mino scrive:
          Re: x Maruccia: Occhio alle cifre
          Modificato dall' autore il 06 dicembre 2012 19.54
          --------------------------------------------------Maruccia, quando si fanno delle critiche costruttive e/o serie, i messaggi vengono cancellati lo stesso. Quindi non vedo perche' perderci tempo. Almeno con questi mi faccio una risata.
          • Alfonso Maruccia scrive:
            Re: x Maruccia: Occhio alle cifre
            Eh ma i messaggi non li cancello io. E quelle cifre stavano nella press release spedita da CheckPoint...
          • vedi che pedate te mino scrive:
            Re: x Maruccia: Occhio alle cifre
            - Scritto da: Alfonso Maruccia
            Eh ma i messaggi non li cancello io. E quelle
            cifre stavano nella press release spedita da
            CheckPoint...Beh ma chettedevodì, dillo a quello che ha criticato le cifre allora... il "beh è un articolo di Maruccia" con faccia sconcertata era per fa' 'na battuta. ;)
Chiudi i commenti