Amazon democratiseert wachtwoord kraken
Een Duitse hacker heeft een lijst SHA1-hashes in minder dan een uur gekraakt. Daarvoor had hij voor 2,10 dollar rekenkracht gekocht bij Amazon.
SHA1 is een hashtechnologie die ontwikkeld is door het Amerikaanse National Security Agency. Boodschappen worden ermee geklutst, zodat er een unieke SHA1-sleutel uit voortkomt: een reeks van 160 bits.
Het is vreselijk moeilijk om een boodschap te maken die exact dezelfde SHA1-sleutel heeft. De enige manier is via een brute force-aanval: zo vaak mogelijkheden proberen tot er eentje de juiste sleutel genereert.
Kraken met grafische chips
Dankzij cloudcomputing is zo’n brutekrachtaanval heel betaalbaar geworden, zo demonstreerde de Duitse hacker Thomas Roth. Hij gebruikte de nieuwe dienst op Amazon EC2 die met grafische chips (GPU’s) werkt: Cluster GPU Instances.
“Van GPU’s is bekend dat het de beste hardwareversnellers zijn om wachtwoorden te kraken,” zegt Roth op zijn blog, “dus besliste ik om het eens te proberen: hoe snel kan dit soort installaties gebruikt worden om SHA1-sleutels te kraken? Met de [Cuda-Multiforcer] kon ik alle hashes kraken van een [SHA1-hash met 560 karakters] met een wachtwoordlengte van één tot zes tekens in amper 49 minuten." Een uur kost 2,10 dollar.
De GPU-cluster is gebouwd rond twee Nvidia Tesla ‘Fermi’ M2050-GPU’s. Tesla gebruikt Cuda, een software-interface van Nvidia. Daarmee kun je dan programma’s schrijven die het maximum halen uit de onderliggende hardware. En dat is precies wat Roth gedaan heeft.
Meer technische informatie over zijn hack vind je op zijn blog.