Knekker passord i nettskyen

Hackere fryder seg over Amazons nye GPU-klynge.

16. nov. 2010 - 14:42

For noen usle dollar kan man leie kraftige serverklynger på internett. Slik kan bedrifter og privatpersoner få tilgang til datakraft helt uten investeringer i dyr maskinvare.

Nettskyleverandøren Amazon åpnet i går en helt ny instanstype, der kundene for første gang også kan nyttegjøre seg av grafikkprosessorer (GPU-er). Disse har et stort antall kjerner som er særlig godt egnet til å knuse store tallmengder.

Tidsbegrenset leie av slik datakraft har mange bruksområder, og det nye tilbudet har også vekket interessen til sikkerhetsfolk og hackere.

Den tyske krypteringsentusiasten Thomas Roth var raskt ute med å teste løsningen. Han ønsket å prøve hvor raskt én enkelt instans klarte å knekke et knippe passord med SHA1-baserte hash-verdier.

- Det tok bare 49 minutter å knekke alle verdiene i denne filen med passord på opptil seks tegn. Tenk hvor raskt dette vil gå med en hel klynge av slike maskiner (noe som nå er mulig takket være Amazon), skriver han i et blogginnlegg.

I meldingen gir han en komplett oppskrift på hvordan andre kan gjøre det samme. Prisen på serverleien er drøyt 2 dollar for hver påbegynte time.

Hos Amazon gir hver instans tilgang til to Nvidia Tesla M2050 «Fermi»-grafikkprosessorer, to fireveis Intel Xeon X5570 hovedprosessorer, 22 gigabyte ram og 1690 gigabyte lagringsplass. Opptil åtte slike maskiner kan bestilles samtidig, et antall som skal økes i takt med at tjenesten modnes.

- Dette er fine maskiner. Det er verdt å merke seg at Tesla-kortene er dyrere enn rene grafikkort. Grunnen er at de blant annet bruker registrert minne, med bedre sikkerhet mot feil i beregningene - for eksempel hvis minnet skulle være dårlig. Dette er gode alternativer til CPU-baserte servere for tunge vitenskapelige utregninger, sier Frank Stevenson til digi.no.

Velegnet til brute force

Selv har han lang erfaring med bruk av grafikkprosessorer for å knekke kryptering. Det var slik han knakk GSM-krypteringen A5/1 tidligere i år.

Roths metode med å leie Amazons GPU-klynger kan være et ideelt scenario for de som ønsker å knekke passord med «brute force» for å bryte seg inn i kontoer, mener Stevenson.

Han tror derimot ikke tjenesten er like godt egnet til å knekke regnbuetabeller, slik han selv gjorde for å demonstrere at GSM kan avlyttes.

- Vi brukte til sammen åtte hele måneder med GPU fra ATI til vår utregning. Å leie en tilsvarende server ville kostet over 37.000 kroner. Da svarer det seg å bygge egen maskin.

Han påpeker dog at Tesla-riggen ikke er direkte sammenlignbar med grafikkort som brukes til spill-PC-er.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.