Dette er supermaskinen norske statshackere bruker til å knuse passord

[Gjest Slettet-Pqy3rC]

Hvis man skal bruke skjermkort for å beregne passord ut fra hash trenger man det hasha passordet først.

... og helst vite hva som brukt som salt. Dersom du ikke vet salt er alle opplysningene om "menneskets vaner" i artikkelen ganske nytteløse. Endret 5. desember 2014 av Slettet-Pqy3rC

[PoTski]

 

Så hvis man i stedet forandrer sine rutiner til "SOmmeren2014" så blir det aldri sjekket, og er 100% sikkert? Hva med spesialtegnet " " (åpenrom), "Sommeren 2014"?

 

Jeg har passord ala "Mamma Var 40 År I 1980" eller "MammaVar40AarI1980" når det ikke godtas åpenrom og norske tegn. Hvor lang tid hadde de brukt på slike hvis dette var sant og de kjente meg og min familie?

 

Vel, det er et enkelt svar på det, står i artikkelen også;

 

"Skal de bryte seg inn i systemet til en større virksomhet finnes det kanskje 300 brukerkontoer med tilgang. Knekker de én av kontoene, så har de fått fotfeste i systemet.

 

? Da hjelper det ikke at de 299 andre i bedriften har et godt passord"

 

Men hadde de gått målrettet mot deg så hadde de fått litt (les; mye ) større problemer ja.

 

Men hackere går nok etter større nettverk med mange brukere (vil jeg tro)

 

Og til alle; :xmas: :xmas: :xmas: :xmas: :xmas: :xmas: :xmas:

 

Edit; @Andrull; "I et møterom som er klarert for topphemmelige samtaler, fordi det både er lydtett og sperret for radiosignaler, satt vi oss ned." og "Med oss er seksjonssjef Jørgen Botnan, informasjonssjef Kjetil Berg Veire og to menn til vi ikke kan fortelle hvem er."

 

Tror nok de har kraftigere saker som ikke vises, men jeg tar innlegget ditt som en spøk jeg :)

 

nei. de har ikke det.

[PoTski]

 

 

 

Hvordan kan de rekonstruere hashen som ligger i en database de ikke har tilgang til?

 

Hvis man skal bruke skjermkort for å beregne passord ut fra hash trenger man det hasha passordet først. Det er liten vits med skjermkortets regnekraft om man bare skal forsøke å logge på tilfeldige kontoer hos en bedrift.

 

Så denne maskinen er helt avhengig av at man først har hentet ut hashet passord.

 

Om man har tilgang til en windows maskin kan man hente ut lokale brukere rimelig enkelt. Domenebrukere er litt mer komplisert men fult mulig. Dette kan også automatiseres av f.eks. skadevare levert via pishing, USB tilkobling eller ren fysisk tilgang til maskin.

 

Eventuelt så kan en slik maskin benyttes på hashlister som er hentet ut fra kompromitterte servere (f.eks. på web).

Det er ikke vanskligere med domene brukere. det er like lett. Kanskje lettere.

[tHz]

 

 

Det er ikke vanskligere med domene brukere. det er like lett. Kanskje lettere.

 

 

Det spørs vel på perspektivet ditt. Det finnes verktøy som gjør det like enkelt å hente ut begge deler. Men jeg vil påstå at det teknisk sett ikke er like enkelt.

[Svampebob_1]

 

En ting jeg ikke har fått med meg: de prøver vel ikke å logge seg inn 2 milliarder ganger på kontoen min? Et slikt forsøk vil vel bli stoppet fort? Gjerne etter det tredje forsøket. Selve knekkingen av passordet må vel skje i en sandkasse, og hva er da kriteriet for at de har funnet rett passord?

 

Nemlig!

Men det vet ikke politikerene som tar de økonomiske avgjørelsene. De lager seg et program som med bruteforce knekker et passord og demonstrerer hvor dårlig dette funker med en ordinær PC for politikerene som skal finansiere dette og sier: "Dette er for dårlig! Vi må ha penger til ny maskinvare" Politikere er som vanlig redde for å være den som IKKE ga penger til rikets sikkerhet og vips så får de kroner til å bygge en råskinns spillemaskin de kan kose seg med ;-)

Dette virket som en veldig rask og enkel konklusjon, synes jeg. Det du sier er med andre ord at jobben til NSM kun er luft og fasade for politikerne og at de i praksis ikke gjør noe for sikkerheten i Norge?

 

De hevder noe annet selv, ihvertfall: https://www.nsm.stat.no/tjenester/inntrengingstesting

 

Hvis du derimot har noe fakta som underbygger påstandene dine om at folk er så tjukke i hodet, så synes jeg du skal sende inn tips til de største avisene i Norge! Flere av disse betaler vel for gode nyhetstips, så da tjener du nok en liten slant på det i samme slengen ;-).

[Kikert]

 

 

Tror nok de har kraftigere saker som ikke vises, men jeg tar innlegget ditt som en spøk jeg :)

nei. de har ikke det.

 

 

[La Menthe]

Følte ikke jeg fikk så mye ut av denne artikkelen. Det virket som den definerte "code-breaking" av passord som det å skrive in masse tall og bokstaver til man får rett svar, som om det er en skaplås vi snakker om. Mao. gjøre uendelig mange forsøk før man får riktig svar? Det gir jo ikke mening. Selv enkle hverdagslige redskaper som mobiltelefoner og datamaskiner har sikkerhetssystemer som forhindrer dette med å finne seg fram på denne måten.

Endret 5. desember 2014 av La Menthe

[IndirectCell]

For dem som ikke vet hva som er på bildet.

 

En dårlig kasse, hovedkort med 2 cpuer.

Å 8 skjermkort som bruke CUDA til å knekke enklere koder.

 

Å hvis du lurer på om den klarer 128bit krypering og eller høyere, så er det nei.

Å denne kan heller ikke knekke Linux maskiner sin login.

 

Det denne maskinen er laget for er kun å knekke koder på filer ( i flertall ) som allerede er enkle.

 

For dem som kan litt om cuda, så kan jeg si at dem vet at CUDA ikke er like bra som en vanlig cpu til mer avanserte utregninger.

[IndirectCell]

Følte ikke jeg fikk så mye ut av denne artikkelen. Det virket som den definerte "code-breaking" av passord som det å skrive in masse tall og bokstaver til man får rett svar, som om det er en skaplås vi snakker om. Mao. gjøre uendelig mange forsøk før man får riktig svar? Det gir jo ikke mening. Selv enkle hverdagslige redskaper som mobiltelefoner og datamaskiner har sikkerhetssystemer som forhindrer dette med å finne seg fram på denne måten.

 

Denne vil aldri knekke facebook passordet ditt for å si det sånn.. men har du brukt WinZip å passord beskyttet noe, så tar denne knekken på det.

 

Bruker du 7z med 128bit kryptering og eller andre komprimeringsprogrammer og eller dedikert krypteringsprogramm med tilsvarende eller høyere, så kan nok ikke denne "super" knekkern gjøre noe.

[Occi]

Siden det er snakk om Radeon skjermkort bruker de vel ikke CUDA?

[tHz]

 

Bruker du 7z med 128bit kryptering og eller andre komprimeringsprogrammer og eller dedikert krypteringsprogramm med tilsvarende eller høyere, så kan nok ikke denne "super" knekkern gjøre noe.

 

Det stemmer ikke helt. Hvis man har mulighet for å kontrollere et passord opp mot en passordhash eller en kryptert fil (uansett krypteringsmåte), har man mulighet til å gjette seg frem til passord. Skjermkort er svært effektiv for å kalkulere passordhash el. og man kan først forsøke vanlige måter å generere passord på.

Ta f.eks. et passord på 8 tegn. Hvert tegn kan bestå av store bokstaver (32), små bokstaver (32), tall (10) samt noen av de vanligste tegnene (10).

Hvert tegn blir da 32 + 32 + 10 + 10 = 84 mulige symboler.

Et passord på 8 tegn har da: 84 * 84 * 84 * 84 * 84 * 84 * 84 = 2.478.758.911.082.500 kombinasjoner.

 

Det kan virke i meste laget, men om man først prøver vanlige måter å skrive passord på.

Feks.

Starte med stor bokstav og ende på to siffer. Slik som dette: Passor00 eller Gbkert34

Da har man i praksis: 32 * 32 * 32 * 32 * 32 * 32 * 10 * 10 = 107.374.182.400 kombinasjoner. Hvor man kan sjekke samtlige muligheter på få sekunder. Så kan man utvide med flere tall på slutten, kanskje en stor bokstav underveis etc.

 

Så kan man legge til vanlige setninger fra kjente bøker og filmer samt andre dictionary-lister over vanlige passord. "May the force be with you", "Svaret er 42". Kjøre disse med vanlige substitusjoner (0 for o, 1 for L, 5 for S, 3 for E etc) og feilstavelser.

 

Man trenger med andre ord ikke å knekke krypteringen, man trenger bare å gjette passordet. Og i de fleste tilfeller vil man treffe om man er ivrig nok.

Endret 5. desember 2014 av tHz

[efikkan]

Denne maskinen er da ingenting, jeg regner med at de har et helt datasenter av slike et sted. Uansett bringer artikkelen frem ett viktig poeng; den største svakheten til folks passord er at de består av forutsigbare mønster. De som kan litt matematikk vet at forutsigbare mønster kan gi et kjempelangt passord betydelig lavere entropi enn et passord på 12-15 uforutsigbare tegn, som viser at XKCD tok veldig feil.

Uansett er det ikke passordknekking eller innbrudd i systemer norske skattepenger skal brukes på for å sikre rikets innbyggere, men derimot sørge for at aktører som oppbevarer personinfo ivaretar gode sikkerhetsrutiner og sørger for at infrastrukturen til nettet er robust. Det er den eneste måten vi kan beskytte oss på, og all verdens "statshacker" kan aldri "krigføre" tilbake. Det krever forståelse av teknologien for å vite hva som hjelper, og det er ren idioti å tro at en standard militærstrategi kan overføres direkte til nettverk og kommunikasjon.

[IndirectCell]

 

 

Et passord på 8 tegn har da: 84 * 84 * 84 * 84 * 84 * 84 * 84 = 2.478.758.911.082.500 kombinasjoner.

 

 

Jøss, mener å huske det var 256 om ikke mere antall tegn mann kan bruke i dag når man skriver passord, å dem fleste bruker vell en generator til å lage passord som dem lagrer på en usb.

 

å da blir det nok flere tall i tillegg til langt større tall en det du har laget i formelen din.. igjen kan jeg fortelle deg, NEI denne kan ikke knekke 128bits kryptering.. ja den kan knekke korte passord i klartekst ved å gjette på selve passordet.... men det må gjøres via programmet du lagde filen i, i tilleg så må den som skal prøve å knekke passordet vite om det er saltet passord der det legges til..

 

Derfor kan du ikke bare starte den supermaskinen i å starte å gjette på et klartekst passord som er laget i uansett program.. derfor kan den ikke brukes til for eksempel 7z.. mens winzip kan knekkes på denne måten.

 

Å Cuda er lite effektivt om det må gjøre ting som er mer avansert... det er derfor man bruker cpu og ikke gpu til knekking.. selv om prislappen blir høyere.. og selv da er ikke cpuene i dag på nivå til å knekke noe.. om du ikke har en lab med noen tusen maskiner som er satt opp til å knekke en enkel fil... selv da kan det gå noen år i dag

 

 

 

Mer info om knekking av passord på nett, det går ikke pga man får bare vis antall forsøk å man er avhengig av linja sin hastighet osv osv.. derfor HACKER man seg inn i systemer, en å prøve å finne ut passord på nette.. og eller noen lager bare falske websider for å lure folk til å skrive inn det faktiske passordet...

 

Man hører jo også om dem som hacker seg inn i sony der dem vist lagret passordene i klartekst... da trenger man ikke akkurat en kodeknekker i dag.. og selv om dem hadde passord beskyttet det i excel.. så er det ikke noe man trenger en sterk maskin til å knekke.. excel og eller microsoft office produkter har lik NULL sikkerhet i dokumenter.. det kan ola nordmann knekke med en 486 som kjører xp på 1 minutt uten mer kunskap en det han klarer å google. (å det er ikke tull engang).. derfor i dag, har en cracke maskin ingen bruk i dag en å knekke enklere passord på en maskin politiet har tatt fra en forbryter.. åpner alle filer på maskinen (som ikke er kryptert) på sekunder (avhengig av hastigheten på hardisken).. sålangt da at forbryteren ikke bruker linux.. da kan den ikke gjøre noe.

[tHz]

Jøss, mener å huske det var 256 om ikke mere antall tegn mann kan bruke i dag når man skriver passord, å dem fleste bruker vell en generator til å lage passord som dem lagrer på en usb.

 

Du tenker nok på en byte. En byte kan inneholde en verdi fra 0 til 255 (altså 256 forskjellige verdier). Men selv om man tidligere lagret ett tegn per byte, betyr ikke det at hvert tegn i et passord kan inneholde 256 forskjellige verdier.

De fleste passord har begrensninger på hva som kan legges inn. Like vell får man ikke så veldig mange flere muligheter. I praksis kan du nok finne de fleste passord ved å kun inkludere ,.-!@$#()<>?

 

a den kan knekke korte passord i klartekst ved å gjette på selve passordet.... men det må gjøres via programmet du lagde filen i, i tilleg så må den som skal prøve å knekke passordet vite om det er saltet passord der det legges til..

 

Derfor kan du ikke bare starte den supermaskinen i å starte å gjette på et klartekst passord som er laget i uansett program.. derfor kan den ikke brukes til for eksempel 7z.. mens winzip kan knekkes på denne måten.

Det hadde vært bra om det hadde vært slikt. Men det er helt feil.

Det er akkurat det en slik maskin kan brukes til. De har sikkert profesjonell software som gjør dette, men for andre kan man benytte seg av freeware.

 

Eks: http://www.crark.net/cRARk-7z.html

Denne har også støtte for CUDA (Nvidia) og OpenCL (AMD)

Eller gå nedover på denne siden og se på støttede algoritmer.

http://hashcat.net/oclhashcat/

 

 

Å Cuda er lite effektivt om det må gjøre ting som er mer avansert... det er derfor man bruker cpu og ikke gpu til knekking.. selv om prislappen blir høyere.. og selv da er ikke cpuene i dag på nivå til å knekke noe.. om du ikke har en lab med noen tusen maskiner som er satt opp til å knekke en enkel fil... selv da kan det gå noen år i dag

 

Mer info om knekking av passord på nett, det går ikke pga man får bare vis antall forsøk å man er avhengig av linja sin hastighet osv osv.. derfor HACKER man seg inn i systemer, en å prøve å finne ut passord på nette.. og eller noen lager bare falske websider for å lure folk til å skrive inn det faktiske passordet...

 

Du er helt på viddene her. GPU kjører ringer rundt CPU når det gjelder brute force passord kjøring.

Man er som nevnt avhengig av å ha mulighet for å kontrollere om et passord er korrekt. Enten ved at man har en krypter fil man kan forsøke seg på, eller at man har en hash.

Dette gjelder selfølgelig ikke forsøk på å looge på Facebook el. Der har man kun noen få forsøk og en slik fremgang vil som du sier ikke fungere. Phishing i en slik kontekst, er effektivt ja.

 

 

Man hører jo også om dem som hacker seg inn i sony der dem vist lagret passordene i klartekst... da trenger man ikke akkurat en kodeknekker i dag.. og selv om dem hadde passord beskyttet det i excel.. så er det ikke noe man trenger en sterk maskin til å knekke.. excel og eller microsoft office produkter har lik NULL sikkerhet i dokumenter.. det kan ola nordmann knekke med en 486 som kjører xp på 1 minutt uten mer kunskap en det han klarer å google. (å det er ikke tull engang).

 

Det stemmer at tidligere Office produkter var svært enkle å knekke, men i dag er det faktisk ikke så enkelt. Men å prøve ut passord, slik som nevnt i artikkelen fungerer ofte der også.

derfor i dag, har en cracke maskin ingen bruk i dag en å knekke enklere passord på en maskin politiet har tatt fra en forbryter.. åpner alle filer på maskinen (som ikke er kryptert) på sekunder (avhengig av hastigheten på hardisken).. sålangt da at forbryteren ikke bruker linux.. da kan den ikke gjøre noe.

 

Litt usikker på hva du mener her?

[Gjest Slettet+6132]

En ting jeg ikke har fått med meg: de prøver vel ikke å logge seg inn 2 milliarder ganger på kontoen min? Et slikt forsøk vil vel bli stoppet fort? Gjerne etter det tredje forsøket. Selve knekkingen av passordet må vel skje i en sandkasse, og hva er da kriteriet for at de har funnet rett passord?

Dette er vel noe som kanskje gikk oss alle hus forbi i artikkelen, men jeg så ikke noe om hvordan de validerte passordene

 

Om det er en eller mange IP'er som forsøker seg på en login (som ikke er en "lekelogin") vil etter n antall forsøk (normalt 3) bli låst og du må ringe "brukerservice" for å få passord resatt(og konto markert som "open").

 

Det som en rekke ganger har dukket opp i media som "skandaler" er at hackere har klart å få tak i brukerdatabasen (tabeller).

Det er da en slik "dings" kan brukes for å verifisere at man har funnet/"cracket" ett passord,

Endret 6. desember 2014 av Slettet+6132

[tHz]

Å denne kan heller ikke knekke Linux maskiner sin login.

 

Det er helt feil. I fila /etc/shadow ligger hashede passord i det fleste linux-distroer. hver linje er delt opp i flere deler med et $ tegn. Den første delen indikerer hva slags hashalgoritme som er benyttet.

 

1 = md5

2a = Blowfish

2y = Blowfish, 8 bit characters

5 = sha256

6 = sha512

Man kan lett benytte f.eks.

http://hashcat.net/oclhashcat/

For å kjøre brute force passormatching ved hjelp av GPU.

Så med mindre du har kryptert hele disken er det rimelig enkelt å hente ut passordhash.

[litera]

 

 

Hvordan kan de rekonstruere hashen som ligger i en database de ikke har tilgang til?

 

Hvis man skal bruke skjermkort for å beregne passord ut fra hash trenger man det hasha passordet først. Det er liten vits med skjermkortets regnekraft om man bare skal forsøke å logge på tilfeldige kontoer hos en bedrift.

 

Så denne maskinen er helt avhengig av at man først har hentet ut hashet passord.

 

Om man har tilgang til en windows maskin kan man hente ut lokale brukere rimelig enkelt. Domenebrukere er litt mer komplisert men fult mulig. Dette kan også automatiseres av f.eks. skadevare levert via pishing, USB tilkobling eller ren fysisk tilgang til maskin.

 

Eventuelt så kan en slik maskin benyttes på hashlister som er hentet ut fra kompromitterte servere (f.eks. på web).

 

 

Interessant. Jeg har alltid trodd "brute force" ville stoppes av begrensninger på antall påloggingsforsøk. Hvordan sikrer man seg mot at hashet passord for domenebrukere lekker ut?

[tHz]

Interessant. Jeg har alltid trodd "brute force" ville stoppes av begrensninger på antall påloggingsforsøk. Hvordan sikrer man seg mot at hashet passord for domenebrukere lekker ut?

 

Foruten det vanlige (oppdater med patcher, steng ned det som ikke benyttes, etc), kan man gjøre det vanskeligere ved å ta noen grep. F.eks.

- Ikke la brukere kjøre med lokal admin tilgang (hindre skadevare å få installere seg med rettigheter)

- krypter disk (hindre lesing av disk vet tyveri el.)

- bruk en maskin mellom brukere og viktige servere. Dvs at man må benytte remote desktop til denne maskinen før man logger seg videre inn på servere el. Helst da med en egen bruker videre mot servere.

Da vil brukerens maskin ikke cache noen viktige domenekontoer.

 

Dette er selvfølgelig ikke en komplett liste

[madammim]

 

Å denne kan heller ikke knekke Linux maskiner sin login.

 

Det er helt feil. I fila /etc/shadow ligger hashede passord i det fleste linux-distroer. hver linje er delt opp i flere deler med et $ tegn. Den første delen indikerer hva slags hashalgoritme som er benyttet.

 

1 = md5

2a = Blowfish

2y = Blowfish, 8 bit characters

5 = sha256

6 = sha512

Man kan lett benytte f.eks.

http://hashcat.net/oclhashcat/

For å kjøre brute force passormatching ved hjelp av GPU.

Så med mindre du har kryptert hele disken er det rimelig enkelt å hente ut passordhash.

 

Det er vel ikke enkelt så lenge passordet er lang og komplisert nok ? 12 tegn, store/små/tall. Hvor lang tid ved hjelp av GPU?

[tHz]

Det er vel ikke enkelt så lenge passordet er lang og komplisert nok ? 12 tegn, store/små/tall. Hvor lang tid ved hjelp av GPU?

 

Hvis du benytter deg av 12 tegn og ikke tyr til vanlige formater med stor bokstav først og tall på slutten, eller 2 tall først og 2 tall sist, el. Så er du helt trygg. Vi snakker tidsbruk i flere tusen milliarder år

 

Problemet er å huske slike passord, om man har mange av dem.

 

En annen løsning er XKCD sitt passordforslag. Det er rimelig bra, spesielt om du blander norsk og engelsk.

 

http://xkcd.com/936/