Επεσα τυχαία σε αυτό το άρθρο που δείχνει πόσο εύκολο είναι πλέον να σπάσουν passwords με την χρήση του επεξεργαστή της κάρτας γραφικών, με πολλαπλάσια ταχύτητα απο τους κανονικούς επεξεργαστές. Εχοντας έναν απλό φθηνό 5770, σπάει οποιοδήποτε password 8 χαρακτήρων με γράμματα και αριθμούς σε μόλις 18 ώρες έναντι ενός χρόνου που απαιτείται με χρήση CPU. Χρησιμοποιώντας εκτός γραμμάτων και αριθμών και σύμβολα, με χρήση του GPU σπάει το password σε 26 μέρες έναντι 19 ετών!!! Οχι και άσχημα, για σπάσιμο κωδικού.
Και όλα αυτα με τον 5770, σκεφτείτε πιο high end κάρτες και σε SLI/Crossfire που θα πολλαπλασιάσουν την ταχύτητα σπασίματος κωδικών...
Το δια ταύτα; Οι κωδικοί είναι πλέον ευκολότερο να σπάσουν απο παλαιότερα, οπότε εαν συντρέχει λόγος, καλό ειναι να χρησιμοποιείτε δύσκολα passwords, και μεγάλα σε μήκος, πάνω απο 8-10 χαρακτήρες, και με συνδιασμούς γραμμάτων (πεζά - κεφαλαία) αριθμούς και σύμβολα.
Να σημειώσω ότι το σπάσιμο κωδικών αυτό γίνεται με την χρήση του hash, δηλαδή του κωδικοποιημένου μονοσήμαντα παραγώμενου απο το password, άρα μην φοβάστε πχ σε περιπτώσεις του κωδικού σε web sites ότι μπορεί να σπάσει με τέτοια ταχύτητα, εκτός και εαν με κάποιο τρόπο "κλέψουν" το αρχείο password hash απο το site...
Εμφάνιση 1-15 από 24
Θέμα: GPU Cracking
-
07-06-11, 12:46 GPU Cracking #1
QoS: Τι είναι τούτο το πράγμα; Ευρυζωνικά: Μύθοι και πραγματικότητα Οδηγίες Εγκατάστασης Oracle 10G σε Linux (RHEL4)Περι αλόγιστης χρήσης Ιντερνετ
Ikariam.gr anon@AnonCity Guzoos@76:12
-
07-06-11, 14:09 Απάντηση: GPU Cracking #2
Λογικό μου φαίνεται. Οι GPU είναι βελτιστοποιημένες για μαθηματικές διεργασίες και αλγορίθμους που χρειάζονται τόσο για το 3D rendering όσο και για διαδικασίες από/κρυπτογράφησης. Οι GPU της nVidia μάλιστα έχουν εδώ και μερικά χρόνια τη PhysX engine που υλοποιεί πολύ περίπλοκους μαθηματικούς αλγορίθμους που πιστεύω ότι βοηθάνε και σε αυτές τις διαδικασίες.
-
07-06-11, 14:23 Απάντηση: GPU Cracking #3
Ξέχασε να αναφέρει ότι αν ρίξουμε λίγο αλάτι (salt) στα password hashes τα δεδομένα αλλάζουν δραματικά ...
-
07-06-11, 14:29 Απάντηση: GPU Cracking #4
Salt????
-
07-06-11, 14:30 Απάντηση: GPU Cracking #5
-
07-06-11, 14:31 Απάντηση: GPU Cracking #6
Άρχοντας. Ευχαριστώ
-
07-06-11, 14:35 Απάντηση: GPU Cracking #7
Πράγματι, αν δεν ξέρεις το salt, είναι σχεδόν αδύνατο να βρεις τα passwords ακόμα και με brute force. Άρα σε πραγματικές συνθήκες πρέπει να έχεις τα εξής:
1. Τα hashes
2. Το salt που δεν αποθηκεύεται πουθενά (βρίσκεται στον κώδικα)
3. Να κάνεις brute force attacks για να βρεις τα passwords με μικρό μέγεθος.
Νομίζω ότι σε πραγματικές συνθήκες είναι έως και αδύνατο να συμβούν αυτά.
Απλά το άρθρο δείχνει τις μεγαλύτερες δυνατότητες που έχουν οι GPU σε αυτόν τον τομέα σε σχέση με τις CPU.
-
09-06-11, 16:42 Απάντηση: GPU Cracking #8
H ισχύ της GPU και της CUDA σε NVIDIA σε υπολογισμούς εχει χρησιμοποιηθεί και εδώ
http://norma.mbg.duth.gr/index.php?id=about:intro
όπου έχει δημιουργηθεί ένα καταπληκτικό Computing Cluster για την έρευνα στον χώρο της Μοριακής Βιολογίας .
http://utopia.duth.gr/~glykos/index.html
-
09-06-11, 16:48 Απάντηση: GPU Cracking #9
Και μην ξεχνάμε τις εκδόσεις του Folding @ home για GPU.
-
09-06-11, 17:18 Απάντηση: GPU Cracking #10
Νομίζω (τουλάχιστον στο vBulletin) τα salt (είναι διαφορετικά ανά χρήστη) αποθηκεύονται κανονικά στη βάση.
Οπότε αν έχεις πρόσβαση στη βάση (είτε ως admin, είτε με injection ) έχεις το password (αν δεν κάνω λάθος, σε md5(md5(password)+salt)) και έχεις και το salt.
+ Μερικές εφαρμογές που χρησιμοποιούν το GPU για hash cracking, υποστηρίζουν και salt
-
09-06-11, 17:28 Απάντηση: GPU Cracking #11
-
09-06-11, 17:36 Απάντηση: GPU Cracking #12
Πράγματι, στο link που έδωσε ο EvilHawk παραπάνω, γράφει ότι το salt αποθηκεύεται μαζί με το hash. Και στην περίπτωση που χρησιμοποιείται ένα salt ανά χρήστη δεν θα μπορούσε να γίνει διαφορετικά.
Αν όμως χρησιμοποιείς ένα salt για όλους τους χρήστες, αυτό θα μπορούσε απλά να βρίσκεται στον κώδικα ως τυχαίο (σταθερό) string.
-
09-06-11, 20:13 Απάντηση: GPU Cracking #13
(συνέχεια από το προηγούμενο μήνυμα)
Στην πραγματικότητα, αυτό που χρειάζεται για ισχυρή ασφάλεια είναι και τα δύο. Ένα salt ανά χρήστη που μπορεί είτε να αποθηκεύεται στη db αν είναι τυχαίο είτε να μην αποθηκεύεται και να παράγεται από το password με ένα διαφορετικό αλγόριθμο από το hashing του password (π.χ. sha1 για το password και md5 για το generated salt) και ένα per site (ή per application) salt που είναι hard coded στον κώδικα.
Πρέπει να λάβουμε υπόψη μας ότι οι επιθέσεις μπορεί να γίνουν όχι μόνο από έξω, αλλά και από μέσα από την εταιρεία. Αν λοιπόν το salt (και ο αλγόριθμος) βρίσκεται στον κώδικα το ξέρουν οι developers οι οποίοι δεν έχουν συνήθως access στη βάση των πελατών. Αντίθετα, αυτοί που έχουν access στη βάση των πελατών ξέρουν το hash και το per user salt, αλλά δεν έχουν το hard coded salt και βέβαια τον αλγόριθμο.
Με τον παραπάνω τρόπο, η πληροφορία είναι εξασφαλισμένη τόσο από έξω, όσο και από μέσα (όσο το δυνατό βέβαια) από brute force attacks.
-
09-06-11, 20:35 Απάντηση: GPU Cracking #14
νομιζω αυτο εχει αρκετο καιρο που ανακαλυφθηκε ,απο εκεινη τη ρωσικη εταιρια αν θυμαμαι καλα
VAMOS ARIS
-
29-06-11, 10:46 Απάντηση: GPU Cracking #15
Προφανώς και το αρχικό άρθρο είχε ως σκοπό να συγκρίνει τις επιδώσεις της GPU έναντι της CPU.
Δεν είπε κανείς ότι τώρα πλέον θα σου σπάσουν τους κωδικούς στο yahoo ή facebook γιατί φυσικά πρέπει πρώτα με κάποιο τρόπο να κλέψουν το αρχείο ή την βάση με τους κωδικούς με όποια κωδικοποίηση έχουν.
Για να καταλάβετε την δύναμη της GPU απλά δοκιμάστε ένα πρόγραμμα επεξεργασίας video με υποστήριξη GPU encoding.
Απλά είναι μέρα με την νύχτα.
Και στο πιο επιστημονικό...
Και εδώ λίγα ακόμα...| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
Bookmarks