wifiEen Duitse hacker heeft een manier gevonden om met behulp van de Amazon cloud eenvoudig en snel WPA-keys van WiFi-netwerken te kraken. Hij heeft hiervoor een tooltje ontwikkeld dat hij binnenkort vrijgeeft.

De Duitse beveiligingsonderzoeker Thomas Roth is erin geslaagd om met een speciaal tooltje binnen 20 minuten toegang te krijgen tot een met WPA beveiligd WiFi-netwerk. Hij maakt daarvoor gebruik van een brute force aanval die draait op acht grafische processors (gpu’s) van NIVDIA die in de cloud van Amazon staan.

400.000 wachtwoorden per seconde

Roth claimt dat hij de software na deze succesvolle test heeft verbeterd. Hetzelfde wachtwoord zou nu binnen zes minuten gekraakt zijn. Zijn software maakt daarvoor behalve van brute force ook gebruik van rainbow tables. Door die tabel met mogelijke wachtwoorden tegelijk met de brute force te laten draaien boekt hij tijdswinst.

De hacker vertelt op de website Darkreading dat zijn systeem zo’n 400.000 mogelijke wachtwoorden per seconde kan genereren. Met één gpu zou dat uitkomen op ongeveer 50.000 wachtwoorden per seconde. Ter vergelijking: twee X5570 quad core Xeon server-cpu’s van Intel zouden niet boven de 7.000 wachtwoorden per seconde uitkomen.

Wachtwoord van de buren

Dat verschil komt omdat gpu’s door hun parallelle architectuur veel opdrachten naast elkaar uit kunnen voeren. “Omdat dit soort brute force en dictionary aanvallen redelijk eenvoudig van opzet zijn, is een gpu erg geschikt voor deze taak”, stelt Roth.

Zijn oplossing is overigens alleen geschikt voor relatief eenvoudige wachtwoorden. Als een wachtwoord alleen bestaat uit letters of getallen is het veel eenvoudiger te kraken dan bij een sterker wachtwoord.

Sterkere wachtwoorden zijn wel met de tool te kraken maar dat duurt, logischerwijs, veel langer. Volgens Roth is zijn vondst daardoor opnieuw een bevestiging van het belang van sterke wachtwoorden. Als test kraakte hij, met toestemming, het wachtwoord van zijn buurman. Het is onbekend hoe lang en sterk dat wachtwoord is.

Amazon heeft er geen problemen mee

Wachtwoorden kraken via een clouddienst is niet nieuw maar door het gebruik van Amazon wordt het wel toegankelijker. Roth betaalde 28 dollarcent per minuut voor zijn virtuele server bij Amazon. De provider zegt tegen Reuters er geen problemen mee te hebben als haar servers gebruikt worden om beveiligingsproblemen op te sporen.

Het is niet voor het eerst dat Roth de Amazon cloud gebruikt om wachtwoorden te kraken. In november wist hij al eens in 49 minuten alle wachtwoorden uit een SHA-1 hash (een veelgebruikte methode om wachtwoorden te versleutelen) van 560 tekens te extraheren. Ook toen gebruikte hij grafische processors om zijn doel te bereiken.

Roth gaat zijn tool, die hij Cloud Cracking Suite heeft genoemd vrijgeven tijdens de Blackhat DC conferentie. Die hackersconferentie wordt vanaf 31 januari gehouden in het Amerikaanse Arlington. De Cloud Cracking Suite komt beschikbaar onder een open source licentie.

Bron: Webwereld.nl