XX
19.11.2010, 01:48
Der deutsche Hacker Thomas Roth schaffte es, mit Hilfe gemieteter Ressourcen in der Amazon-Cloud Hashes im SHA-1-Algorithmus zu knacken. Er verwendete dafür eine Reihe für GPU-Berechnungen - also Berechnungen mit Hilfe der Grafikkarte, die oft weitaus schneller sind als diejenigen mit Hilfe der CPU - optimierter Rechner, die von Amazon vermietet werden.
Roth knackte die Hashes sämtlicher ein bis sechs Zeichen langer Passwörter mit Hilfe eines simplen Bruteforce-Angriffs, also durch Ausprobieren aller Möglichkeiten. Aus den Ergebnissen wurde eine sogenannte "Rainbow Table" erstellt, also eine Tabelle, die später das Zuordnen der Passwörter zu ihren Hashes mit weitaus weniger Rechenaufwand erlaubt. Die Erstellung dieser Tabelle dauerte lediglich 49 Minuten.
Die Verwundbarkeit von SHA-1 ist dabei keine große Überraschung: bereits seit Jahren warnen Sicherheitsexperten, dass dieser Algorithmus - ebenso wie MD5 - nicht mehr sicher genug ist und durch kryptographisch stärkere Verfahren ersetzt werden sollte. Trotzdem kommt es noch bei einigen verbreiteten Sicherheitstechnologien - darunter SSL/TLS und S/MIME - zum Einsatz.
Was Roths Vorgehen für Experten interessant macht, ist die Tatsache, wie einfach er an die für seinen Proof-of-Concept benötigten Ressourcen kam. Noch vor wenigen Jahren benötigte man einen Supercomputer - oder ein entsprechend großes Netz von Freiwilligen-Rechnern im Rahmen von Distributed Computing - um derartige Vorhaben erfolgreich durchzuführen. Nun kann offenbar mehr oder weniger jeder einen solchen Angriff realisieren. Roth berichtet, die Miete für die Cloud-Rechner habe ihn lediglich zwei US-Dollar - rund 1,50 Euro - gekostet; ein Betrag, der für praktisch jeden Möchtegern-Hacker erschwinglich sein sollte. Auch für Online-Kriminelle könnten derartige Möglichkeiten zunehmend interessant werden - womöglich finanziert mit Hilfe gestohlener Kreditkarten.
Die verwendeten Rechner verwendeten nVidias neue Tesla-GPUs und die Numbercrunching-Technologie "CUDA", die mittlerweile auch bei zahlreichen anderen Anwendungen - insbesondere im kryptographischen und Distributed-Computing-Bereich - zum Einsatz kommt. Mit Hilfe dieser Technologie erreichen bereits Mittelklasse-Grafikkarten bei geeigneten Anwendungen die zehnfache Rechenleistung moderner Quad-Core-CPUs.
(via (http://www.gulli.com/news/hacker-erstellt-rainbow-tables-f-r-sha-1-in-der-amazon-cloud-2010-11-18))
Roth knackte die Hashes sämtlicher ein bis sechs Zeichen langer Passwörter mit Hilfe eines simplen Bruteforce-Angriffs, also durch Ausprobieren aller Möglichkeiten. Aus den Ergebnissen wurde eine sogenannte "Rainbow Table" erstellt, also eine Tabelle, die später das Zuordnen der Passwörter zu ihren Hashes mit weitaus weniger Rechenaufwand erlaubt. Die Erstellung dieser Tabelle dauerte lediglich 49 Minuten.
Die Verwundbarkeit von SHA-1 ist dabei keine große Überraschung: bereits seit Jahren warnen Sicherheitsexperten, dass dieser Algorithmus - ebenso wie MD5 - nicht mehr sicher genug ist und durch kryptographisch stärkere Verfahren ersetzt werden sollte. Trotzdem kommt es noch bei einigen verbreiteten Sicherheitstechnologien - darunter SSL/TLS und S/MIME - zum Einsatz.
Was Roths Vorgehen für Experten interessant macht, ist die Tatsache, wie einfach er an die für seinen Proof-of-Concept benötigten Ressourcen kam. Noch vor wenigen Jahren benötigte man einen Supercomputer - oder ein entsprechend großes Netz von Freiwilligen-Rechnern im Rahmen von Distributed Computing - um derartige Vorhaben erfolgreich durchzuführen. Nun kann offenbar mehr oder weniger jeder einen solchen Angriff realisieren. Roth berichtet, die Miete für die Cloud-Rechner habe ihn lediglich zwei US-Dollar - rund 1,50 Euro - gekostet; ein Betrag, der für praktisch jeden Möchtegern-Hacker erschwinglich sein sollte. Auch für Online-Kriminelle könnten derartige Möglichkeiten zunehmend interessant werden - womöglich finanziert mit Hilfe gestohlener Kreditkarten.
Die verwendeten Rechner verwendeten nVidias neue Tesla-GPUs und die Numbercrunching-Technologie "CUDA", die mittlerweile auch bei zahlreichen anderen Anwendungen - insbesondere im kryptographischen und Distributed-Computing-Bereich - zum Einsatz kommt. Mit Hilfe dieser Technologie erreichen bereits Mittelklasse-Grafikkarten bei geeigneten Anwendungen die zehnfache Rechenleistung moderner Quad-Core-CPUs.
(via (http://www.gulli.com/news/hacker-erstellt-rainbow-tables-f-r-sha-1-in-der-amazon-cloud-2010-11-18))