F
fearx
Neues Mitglied
- 0
hallo ich bin da grade auf etwas sehr intressantes im netzt gestossen:
(PA) Neuss, 19. November 2010 [headline]
Sicherheitsexperte Thomas Roth knackt gehashte Passwörter mithilfe der Cloud
[abstract]
Seit 15. November bietet Amazon neue Cloud-Instanzen mit NVIDIA-Tesla-Karten an. Mit den GPUs dieser Grafikkarten ist das Knacken von Passworthases laut Untersuchungen von Thomas Roth, einem Sicherheits-Experten der Lanworks AG, durch die Parallelisierung in der Cloud in einer Geschwindigkeit möglich, die bisher Geheimdiensten vorbehalten war.
[text]
Thomas Roth, Experte für Sicherheit und Softwareentwicklung bei der Lanworks AG, berichtet in seinem Blog stacksmashing.net über die Möglichkeit, Passworthashes mit Hilfe der in Amazons ElasticCloud am
Anfang der Woche gestarteten GPU-Cluster-Instanzen zu brechen.
Der neue Instanztyp bietet neben einer schnellen CPU auch 2 NVIDIA Tesla "Fermi" M2050 GPUs, also 2 Grafikprozessoren, welche dank der von NVIDIA bereitgestellten CUDA-Schnittstelle für massiv parallele und schnelle mathematische Berechnungen genutzt werden können. Im Gegensatz zu einer CPU, welche im Prinzip eine "eierlegende Wollmilchsau" ist und normalerweise zwischen ein und acht Kernen hat,
ist eine GPU dafür geeignet, viele kleine, voneinander unabhängige Operationen gleichzeitig auszuführen. Zum Vergleich: Eine NVIDIA M2050 GPU hat 448 Kerne.
Herr Roth testete in einer Versuchsreihe, mit welcher
Geschwindigkeit es auf einer der Cloud-Instanzen möglich ist, SHA1-Passworthashes aus Passwörtern verschiedener Länge zu cracken. Bei einem Zeichenvorrat von 95 Zeichen (alphanumerische und Sonderzeichen)gelang ihm eine Brute-Force-Attacke auf den Hash eines sechs Zeichen langen Passworts in lediglich 49 Minuten. Dieser Wert wurde in weiteren
Versuchen durch Optimierung der Parametrisierung noch deutlich unterschritten: Aktuell gelingt es, die Berechnung in ca. 30 Minuten durchzuführen. Mit derselben Instanz würde das Knacken eines 7-stelligen
Passworts etwa 47 Stunden dauern. Längere Passwörter würden entsprechend exponentiell mehr Zeit benötigen.
Was sich wie eine gute Nachricht anhört, ist keine, da es die Cloud ermöglicht, das Berechnen von Passworthashes auf viele Maschinen zu verteilen. Mit 100 Instanzen würde das Knacken eines 7-stelligen
Passworts nur noch etwa 28 Minuten dauern. Das Besondere sind dabei die Kosten. Hätte bis vor Kurzem die Anschaffung der hundert Instanzen in
Hardware Unsummen an Geld verschlungen, reicht es jetzt aus, die Instanzen für die entsprechende Zeit zu mieten. Der Preis für die Benutzung von hundert Instanzen für eine Stunde ist dabei derselbe, wie
der Preis für das Benutzen einer Instanz für hundert Stunden.
Die Kosten für eine Instanz belaufen sich momentan (Stand 19.11.2010) auf 2.10$ pro Stunde. Das macht es im Prinzip jedem möglich, in kurzer Zeit mit geringem finanziellen Aufwand, Passworthashes zu brechen. Um so
größer ist der Bedarf, sich vor entsprechenden Angriffen zu schützen.
Ein guter Weg wäre die Verwendung von Algorithmen die speziell dafür entwickelt wurden, Passwortauthentisierung sicher zu implementieren.
Normale Hashalgorithmen wie MD5, SHA1 und SHA2 sind darauf optimiert, Daten eindeutig und vor allen Dingen schnell zu identifizieren und zu überprüfen. Doch in diesem Fall ist gerade die Geschwindigkeit ein Problem. Deswegen raten wir zur Verwendung von so genannten Key-Derivation-Funktionen wie PBKDF2 und scrypt. Diese führen eine Hashfunktion nicht nur einmal sondern mehrere tausend Male aus; das
Berechnen der Passwörter durch Ausprobieren wird dadurch massiv verlangsamt.
Nicht zuletzt sollte man selbstverständlich darauf achten, strikte Passwortrichtlinien im Unternehmen durchzusetzen, denn ein Passwort mit 12 Stellen, das nicht auf einem lexikalischen Wort basiert, ist
auch bei der Verwendung von SHA1 weiterhin als sicher anzusehen.
Aufgrund der aktuellen Entwicklung, bietet die Lanworks AG im Rahmen einer Abendveranstaltung noch im Dezember die Möglichkeit, sich über Kryptografie im Allgemeinen und den beschriebenen Sachverhalt im
Speziellen zu informieren. Der Infoabend bietet nicht nur einen theoretischen Background sondern auch praktische Demonstrationen. Details auf Anfrage:
dass wäre doch eine möglichkeit um unser rsa- problem zu lösen oder nicht?
aslo ich wäre sofort dabei , auch finanziel würde ich es unterstützen. man müste wohl einfach eine spenden aktion starten und sehen ob wir die kosten deken können. vileicht ist es auf diesem weg für xvilak möglich oder was denkt ihr dazu?
lg FearX
(PA) Neuss, 19. November 2010 [headline]
Sicherheitsexperte Thomas Roth knackt gehashte Passwörter mithilfe der Cloud
[abstract]
Seit 15. November bietet Amazon neue Cloud-Instanzen mit NVIDIA-Tesla-Karten an. Mit den GPUs dieser Grafikkarten ist das Knacken von Passworthases laut Untersuchungen von Thomas Roth, einem Sicherheits-Experten der Lanworks AG, durch die Parallelisierung in der Cloud in einer Geschwindigkeit möglich, die bisher Geheimdiensten vorbehalten war.
[text]
Thomas Roth, Experte für Sicherheit und Softwareentwicklung bei der Lanworks AG, berichtet in seinem Blog stacksmashing.net über die Möglichkeit, Passworthashes mit Hilfe der in Amazons ElasticCloud am
Anfang der Woche gestarteten GPU-Cluster-Instanzen zu brechen.
Der neue Instanztyp bietet neben einer schnellen CPU auch 2 NVIDIA Tesla "Fermi" M2050 GPUs, also 2 Grafikprozessoren, welche dank der von NVIDIA bereitgestellten CUDA-Schnittstelle für massiv parallele und schnelle mathematische Berechnungen genutzt werden können. Im Gegensatz zu einer CPU, welche im Prinzip eine "eierlegende Wollmilchsau" ist und normalerweise zwischen ein und acht Kernen hat,
ist eine GPU dafür geeignet, viele kleine, voneinander unabhängige Operationen gleichzeitig auszuführen. Zum Vergleich: Eine NVIDIA M2050 GPU hat 448 Kerne.
Herr Roth testete in einer Versuchsreihe, mit welcher
Geschwindigkeit es auf einer der Cloud-Instanzen möglich ist, SHA1-Passworthashes aus Passwörtern verschiedener Länge zu cracken. Bei einem Zeichenvorrat von 95 Zeichen (alphanumerische und Sonderzeichen)gelang ihm eine Brute-Force-Attacke auf den Hash eines sechs Zeichen langen Passworts in lediglich 49 Minuten. Dieser Wert wurde in weiteren
Versuchen durch Optimierung der Parametrisierung noch deutlich unterschritten: Aktuell gelingt es, die Berechnung in ca. 30 Minuten durchzuführen. Mit derselben Instanz würde das Knacken eines 7-stelligen
Passworts etwa 47 Stunden dauern. Längere Passwörter würden entsprechend exponentiell mehr Zeit benötigen.
Was sich wie eine gute Nachricht anhört, ist keine, da es die Cloud ermöglicht, das Berechnen von Passworthashes auf viele Maschinen zu verteilen. Mit 100 Instanzen würde das Knacken eines 7-stelligen
Passworts nur noch etwa 28 Minuten dauern. Das Besondere sind dabei die Kosten. Hätte bis vor Kurzem die Anschaffung der hundert Instanzen in
Hardware Unsummen an Geld verschlungen, reicht es jetzt aus, die Instanzen für die entsprechende Zeit zu mieten. Der Preis für die Benutzung von hundert Instanzen für eine Stunde ist dabei derselbe, wie
der Preis für das Benutzen einer Instanz für hundert Stunden.
Die Kosten für eine Instanz belaufen sich momentan (Stand 19.11.2010) auf 2.10$ pro Stunde. Das macht es im Prinzip jedem möglich, in kurzer Zeit mit geringem finanziellen Aufwand, Passworthashes zu brechen. Um so
größer ist der Bedarf, sich vor entsprechenden Angriffen zu schützen.
Ein guter Weg wäre die Verwendung von Algorithmen die speziell dafür entwickelt wurden, Passwortauthentisierung sicher zu implementieren.
Normale Hashalgorithmen wie MD5, SHA1 und SHA2 sind darauf optimiert, Daten eindeutig und vor allen Dingen schnell zu identifizieren und zu überprüfen. Doch in diesem Fall ist gerade die Geschwindigkeit ein Problem. Deswegen raten wir zur Verwendung von so genannten Key-Derivation-Funktionen wie PBKDF2 und scrypt. Diese führen eine Hashfunktion nicht nur einmal sondern mehrere tausend Male aus; das
Berechnen der Passwörter durch Ausprobieren wird dadurch massiv verlangsamt.
Nicht zuletzt sollte man selbstverständlich darauf achten, strikte Passwortrichtlinien im Unternehmen durchzusetzen, denn ein Passwort mit 12 Stellen, das nicht auf einem lexikalischen Wort basiert, ist
auch bei der Verwendung von SHA1 weiterhin als sicher anzusehen.
Aufgrund der aktuellen Entwicklung, bietet die Lanworks AG im Rahmen einer Abendveranstaltung noch im Dezember die Möglichkeit, sich über Kryptografie im Allgemeinen und den beschriebenen Sachverhalt im
Speziellen zu informieren. Der Infoabend bietet nicht nur einen theoretischen Background sondern auch praktische Demonstrationen. Details auf Anfrage:
dass wäre doch eine möglichkeit um unser rsa- problem zu lösen oder nicht?
aslo ich wäre sofort dabei , auch finanziel würde ich es unterstützen. man müste wohl einfach eine spenden aktion starten und sehen ob wir die kosten deken können. vileicht ist es auf diesem weg für xvilak möglich oder was denkt ihr dazu?
lg FearX
