Extra armslag voor crimin ele activiteiten

28 januari 2011

Brutekrachtaanvallen via Amazon zijn een simpel kunstje, als we Roth mogen geloven. Met Amazon wordt vanzelfsprekend niet de gelijknamige onlinewinkel bedoeld, maar de clouddiensten van het bedrijf. In feite huur je voor een halfuurtje gebundelde rekenkracht in die je vervolgens wachtwoorden laat raden. Daarbij loopt de computer per seconde zo’n vierhonderdduizend mogelijkheden af. Huis-tuin-en-keukenhackers krijgen voor pakweg 28 dollarcent per minuut enorme mogelijkheden tot hun beschikking.

Het komt niet volledig uit de lucht vallen. Het Russische Elcomsoft gaf al in 2009 een eerste voorzet met de Software Security Auditor. Daarmee kan men draadloos WPA/WPA2-PSK-wachtwoorden raden dankzij de capaciteiten van de grafische kaart. Met name NVIDIA-kaarten zijn in staat om enorm veel gegevens per seconde te verwerken. De software was niet goedkoop (1199 dollar), maar ook toen al werd gewaarschuwd dat bij toenemende rekenkracht het raden van wachtwoorden steeds makkelijker zou worden.

Deze mogelijkheden zijn dankzij Amazon nu inderdaad ruimer beschikbaar. Amazon lanceerde vorig jaar zijn zogeheten Cluster GPU-dienst. Klanten kunnen beschikken over een cluster van Tesla Fermi M2050-GPU’s van NVIDIA met elk 448 Cuda-processorkernen en 3 GB aan intern geheugen of diverse Opteron- of Xeon-processors voor snelle, parallelle verwerking van data. Bedrijven die tijdelijk rekenkracht nodig hebben voor berekeningen aan olie- en gasboringen, maar zelf niet kunnen beschikken over de benodigde hardware, zijn met Amazon dus snel geholpen.

Maar diezelfde rekenkracht kan ook worden ingezet voor criminele activiteiten. Roth had vorig jaar slechts 49 minuten nodig om alle wachtwoorden uit een SHA-1 hash van 560 tekens te achterhalen. Amazon heeft al wel gewaarschuwd dat men dit soort misbruik SEnD dat in strijd is met de gebruikersvoorwaarden – juridisch wil aanpakken.

Voor alle duidelijkheid: WPA zelf is niet gekraakt. Het gaat simpelweg om het raden van wachtwoorden. Beveiligingsexperts waarschuwen dan ook dat men beter langere wachtwoorden kan gebruiken. De lengte is belangrijk, naast het gecombineerde gebruik van letters, tekens en cijfers. Het systeem afsluiten na een aantal foutieve wachtwoorden gaat niet. Paul Bakker, businessunitmanager Crypto van Fox-IT: “De wachtwoorden worden offline geraden aan de hand van onderschepte datapakketjes. Ook een onzichtbaar gemaakt accesspoint is nog steeds te achterhalen. Een draadloos netwerk aanleggen zonder additionele beveiliging is vragen om moeilijkheden.”

Bakker verwacht echter niet dat het aantal aanvallen dankzij Amazon sterk zal toenemen. “Er zijn al websites zoals WPACracker die een soortgelijke infrastructuur aanbieden als Amazon. Op de lange termijn zijn dit soort diensten echter juist duur in het gebruik. Serieuze aanvallers kunnen de hardware beter zelf aanschaffen. Voor een eenmalige investering van 3000 euro kun je de snelheid van tien Amazon-systemen evenaren. Na zes dagen gebruik heb je de investering er al uit.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!