Hacker demonstriert Bruteforce von SHA-1 in der Amazon-Cloud - Unique-Crew

nginx · 20. November 2010, 12:40

Der deutsche Hacker Thomas Roth schaffte es, mit Hilfe gemieteter Ressourcen in der Amazon-Cloud Hashes im SHA-1-Algorithmus zu knacken. Er verwendete dafür eine Reihe für GPU-Berechnungen - also Berechnungen mit Hilfe der Grafikkarte, die oft weitaus schneller sind als diejenigen mit Hilfe der CPU - optimierter Rechner, die von Amazon vermietet werden.

Roth knackte die Hashes sämtlicher ein bis sechs Zeichen langer Passwörter mit Hilfe eines simplen Bruteforce-Angriffs, also durch Ausprobieren aller Möglichkeiten. Aus den Ergebnissen wurde eine sogenannte "Rainbow Table" erstellt, also eine Tabelle, die später das Zuordnen der Passwörter zu ihren Hashes mit weitaus weniger Rechenaufwand erlaubt. Die Erstellung dieser Tabelle dauerte lediglich 49 Minuten.

Die Verwundbarkeit von SHA-1 ist dabei keine große Überraschung: bereits seit Jahren warnen Sicherheitsexperten, dass dieser Algorithmus - ebenso wie MD5 - nicht mehr sicher genug ist und durch kryptographisch stärkere Verfahren ersetzt werden sollte. Trotzdem kommt es noch bei einigen verbreiteten Sicherheitstechnologien - darunter SSL/TLS und S/MIME - zum Einsatz.

Was Roths Vorgehen für Experten interessant macht, ist die Tatsache, wie einfach er an die für seinen Proof-of-Concept benötigten Ressourcen kam. Noch vor wenigen Jahren benötigte man einen Supercomputer - oder ein entsprechend großes Netz von Freiwilligen-Rechnern im Rahmen von Distributed Computing - um derartige Vorhaben erfolgreich durchzuführen. Nun kann offenbar mehr oder weniger jeder einen solchen Angriff realisieren. Roth berichtet, die Miete für die Cloud-Rechner habe ihn lediglich zwei US-Dollar - rund 1,50 Euro - gekostet; ein Betrag, der für praktisch jeden Möchtegern-Hacker erschwinglich sein sollte. Auch für Online-Kriminelle könnten derartige Möglichkeiten zunehmend interessant werden - womöglich finanziert mit Hilfe gestohlener Kreditkarten.

Die verwendeten Rechner verwendeten nVidias neue Tesla-GPUs und die Numbercrunching-Technologie "CUDA", die mittlerweile auch bei zahlreichen anderen Anwendungen - insbesondere im kryptographischen und Distributed-Computing-Bereich - zum Einsatz kommt. Mit Hilfe dieser Technologie erreichen bereits Mittelklasse-Grafikkarten bei geeigneten Anwendungen die zehnfache Rechenleistung moderner Quad-Core-CPUs.

Update:

Entgegen der ursprünglichen Version des Artikels wurden bei dem Angriff - auch wenn dies technisch möglich wäre - keine Rainbow Tables erstellt. Dabei handelt es sich um eine Fehlinformation von The Register.

Quelle: gulli.com - news - view - Hacker demonstriert Bruteforce von SHA-1 in der Amazon-Cloud (Update)

20. November 2010, 12:40	#1
nginx Level 1 User Registriert seit: Nov 2010 Ort: Internez Alter: 99 Beiträge: 132 : 0 For This Post 25 Gesamt	Hacker demonstriert Bruteforce von SHA-1 in der Amazon-Cloud Der deutsche Hacker Thomas Roth schaffte es, mit Hilfe gemieteter Ressourcen in der Amazon-Cloud Hashes im SHA-1-Algorithmus zu knacken. Er verwendete dafür eine Reihe für GPU-Berechnungen - also Berechnungen mit Hilfe der Grafikkarte, die oft weitaus schneller sind als diejenigen mit Hilfe der CPU - optimierter Rechner, die von Amazon vermietet werden. Roth knackte die Hashes sämtlicher ein bis sechs Zeichen langer Passwörter mit Hilfe eines simplen Bruteforce-Angriffs, also durch Ausprobieren aller Möglichkeiten. Aus den Ergebnissen wurde eine sogenannte "Rainbow Table" erstellt, also eine Tabelle, die später das Zuordnen der Passwörter zu ihren Hashes mit weitaus weniger Rechenaufwand erlaubt. Die Erstellung dieser Tabelle dauerte lediglich 49 Minuten. Die Verwundbarkeit von SHA-1 ist dabei keine große Überraschung: bereits seit Jahren warnen Sicherheitsexperten, dass dieser Algorithmus - ebenso wie MD5 - nicht mehr sicher genug ist und durch kryptographisch stärkere Verfahren ersetzt werden sollte. Trotzdem kommt es noch bei einigen verbreiteten Sicherheitstechnologien - darunter SSL/TLS und S/MIME - zum Einsatz. Was Roths Vorgehen für Experten interessant macht, ist die Tatsache, wie einfach er an die für seinen Proof-of-Concept benötigten Ressourcen kam. Noch vor wenigen Jahren benötigte man einen Supercomputer - oder ein entsprechend großes Netz von Freiwilligen-Rechnern im Rahmen von Distributed Computing - um derartige Vorhaben erfolgreich durchzuführen. Nun kann offenbar mehr oder weniger jeder einen solchen Angriff realisieren. Roth berichtet, die Miete für die Cloud-Rechner habe ihn lediglich zwei US-Dollar - rund 1,50 Euro - gekostet; ein Betrag, der für praktisch jeden Möchtegern-Hacker erschwinglich sein sollte. Auch für Online-Kriminelle könnten derartige Möglichkeiten zunehmend interessant werden - womöglich finanziert mit Hilfe gestohlener Kreditkarten. Die verwendeten Rechner verwendeten nVidias neue Tesla-GPUs und die Numbercrunching-Technologie "CUDA", die mittlerweile auch bei zahlreichen anderen Anwendungen - insbesondere im kryptographischen und Distributed-Computing-Bereich - zum Einsatz kommt. Mit Hilfe dieser Technologie erreichen bereits Mittelklasse-Grafikkarten bei geeigneten Anwendungen die zehnfache Rechenleistung moderner Quad-Core-CPUs. Update: Entgegen der ursprünglichen Version des Artikels wurden bei dem Angriff - auch wenn dies technisch möglich wäre - keine Rainbow Tables erstellt. Dabei handelt es sich um eine Fehlinformation von The Register. Quelle: gulli.com - news - view - Hacker demonstriert Bruteforce von SHA-1 in der Amazon-Cloud (Update) __________________ To view links or images in signatures your post count must be 1 or greater. You currently have 0 posts.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)