Hacker erstellt Rainbow Tables für SHA-1 in der Amazon-Cloud

[XX]

Der deutsche Hacker Thomas Roth schaffte es, mit Hilfe gemieteter Ressourcen in der Amazon-Cloud Hashes im SHA-1-Algorithmus zu knacken. Er verwendete dafür eine Reihe für GPU-Berechnungen - also Berechnungen mit Hilfe der Grafikkarte, die oft weitaus schneller sind als diejenigen mit Hilfe der CPU - optimierter Rechner, die von Amazon vermietet werden.

Roth knackte die Hashes sämtlicher ein bis sechs Zeichen langer Passwörter mit Hilfe eines simplen Bruteforce-Angriffs, also durch Ausprobieren aller Möglichkeiten. Aus den Ergebnissen wurde eine sogenannte "Rainbow Table" erstellt, also eine Tabelle, die später das Zuordnen der Passwörter zu ihren Hashes mit weitaus weniger Rechenaufwand erlaubt. Die Erstellung dieser Tabelle dauerte lediglich 49 Minuten.
Die Verwundbarkeit von SHA-1 ist dabei keine große Überraschung: bereits seit Jahren warnen Sicherheitsexperten, dass dieser Algorithmus - ebenso wie MD5 - nicht mehr sicher genug ist und durch kryptographisch stärkere Verfahren ersetzt werden sollte. Trotzdem kommt es noch bei einigen verbreiteten Sicherheitstechnologien - darunter SSL/TLS und S/MIME - zum Einsatz.
Was Roths Vorgehen für Experten interessant macht, ist die Tatsache, wie einfach er an die für seinen Proof-of-Concept benötigten Ressourcen kam. Noch vor wenigen Jahren benötigte man einen Supercomputer - oder ein entsprechend großes Netz von Freiwilligen-Rechnern im Rahmen von Distributed Computing - um derartige Vorhaben erfolgreich durchzuführen. Nun kann offenbar mehr oder weniger jeder einen solchen Angriff realisieren. Roth berichtet, die Miete für die Cloud-Rechner habe ihn lediglich zwei US-Dollar - rund 1,50 Euro - gekostet; ein Betrag, der für praktisch jeden Möchtegern-Hacker erschwinglich sein sollte. Auch für Online-Kriminelle könnten derartige Möglichkeiten zunehmend interessant werden - womöglich finanziert mit Hilfe gestohlener Kreditkarten.
Die verwendeten Rechner verwendeten nVidias neue Tesla-GPUs und die Numbercrunching-Technologie "CUDA", die mittlerweile auch bei zahlreichen anderen Anwendungen - insbesondere im kryptographischen und Distributed-Computing-Bereich - zum Einsatz kommt. Mit Hilfe dieser Technologie erreichen bereits Mittelklasse-Grafikkarten bei geeigneten Anwendungen die zehnfache Rechenleistung moderner Quad-Core-CPUs.



(via)

[Hu5eL]

ich finde es nur fair die quellangabe komplett mit zu schreiben.
Aber noch viel sinnloser finde ich den posts, gibt auf der startseite von fh doch sogar nen tab mit den news von gulli, dort stehen dann wenigstens auch die updates.

[pima]

1,50 € ? Krass...
Somit hat der Cracker ja fast keine Anstrengung gehabt. Einmal die Cloud angeschmißen und ab gehts.

[AlterHacker]

der für praktisch jeden Möchtegern-Hacker erschwinglich sein sollte

Danke (:
Aber das SHA1/MD5 nicht mehr so sicher sind, ist doch ziemlich bekannt. Trotzdem reicht es in Kombination mit Salts und sicheren PWs immer noch dicke

[XX]

Stimmt, ich hatte das gar nicht bedacht, dass die Gulli-News ja in dem Widget auf F-H sind. Wird nicht wieder vorkommen.

[Barbers]

schon durch die hashdatenbanken und frt kann man md5 plain fast total vergessen.
aber frt mal die cloud für 10$ sponsoren wäre interessant. das gibt sicher ne menge punkte xD

[EBFE]

Roth knackte die Hashes sämtlicher ein bis sechs Zeichen langer Passwörter mit Hilfe eines simplen Bruteforce-Angriffs ....
Die Verwundbarkeit von SHA-1 ist dabei keine große Überraschung

Jedes Verfahren ist gegen BruteForce verwundbar

Btw: die "Unsicherheit" von SHA1 ist afaik immer noch rein theoretischer Natur