Aunque todos estamos de acuerdo en que no existe una contraseña perfecta, eso no nos debe impedir buscar la combinación más segura posible, que también incluye ahogar en frustración a quien intente quebrarla. Sin embargo, con la aparición del GPGPU y el monstruoso poder de procesamiento de algunas tarjetas gráficas, los ataques de fuerza bruta se han vuelto mucho más viables. En el marco de la reciente conferencia Passwords^12 que se llevó a cabo en Oslo, Jeremi Gosney presentó el potencial del crackeado de contraseñas utilizando sistemas de alto rendimiento a través de un nodo con 25 tarjetas gráficas AMD. Como referencia, una contraseña en Windows XP con 14 caracteres caería en sólo seis minutos.
-
-
Un estudio de seguridad publicado por Microsoft en 2007 reveló que el usuario promedio debe lidiar con 25 cuentas separadas, para las que solamente usa seis o siete contraseñas dedicadas. Ese margen de repetición y redundancia ha sido el caldo de cultivo ideal para algunos de los ataques más importantes en los últimos tiempos. A eso también hay que sumar nuevas debilidades en ciertos algoritmos de cifrado, y el drástico aumento en la calidad de las herramientas utilizadas para quebrar contraseñas, tanto en hardware como en software. Con una tarjeta gráfica de última generación como punto de partida, cualquier “entusiasta” puede comenzar a explorar este vector de la seguridad informática. ¿Pero qué sucede cuando se usan 25 tarjetas gráficas?
Y eso es apenas una parte...
Básicamente, se libera al Kraken. Jeremi Gosney es un nombre bien conocido dentro del circuito de seguridad informática, y en su reciente paso por la conferencia Passwords^12 que finalizó el pasado miércoles, realizó una demostración de un sistema con 25 tarjetas gráficas AMD, basado en Virtual OpenCL, que hace aparecer a tarjetas gráficas remotas como si fueran parte del sistema local. El resto de la ecuación está bajo el control del programa hashcat, que además de ser gratuito, puede manejar hasta 128 tarjetas gráficas a la vez. En una de las pruebas, este sistema puede abrirse camino a través de algoritmos como LM y NTLM, quebrando contraseñas en un tiempo más que razonable. A modo de ejemplo, una contraseña de 14 caracteres con algoritmo LM para su uso en un perfil de Windows XP apenas resistiría seis minutos, mientras que en el caso de NTLM, la espera sería mucho más larga, aunque por debajo de las seis horas. Después de todo, el sistema puede pulverizar unos 348 mil millones de hashes NTLM por segundo.
Una idea del rendimiento del sistema bajo diferentes "hashes"
Fuente: The Security LedgerEl sistema no está preparado para realizar ataques “en línea”, sino que resulta mucho más útil a la hora de procesar listas de usuarios y los “hashes” de las contraseñas que pueden filtrarse de algún portal. De hecho, Gosney procesó cerca del 95 por ciento de los seis millones y medio de “hashes” que se filtraron de LinkedIn algunos meses atrás. Aún así, este sistema está lejos de alcanzar su límite, pero el costo se convierte en un factor muy importante. Gosney ha invertido una cantidad considerable de tiempo y dinero en este proyecto, y necesita que el saldo esté un poco más a su favor, por lo que tal vez “alquile” tiempo de procesamiento en el sistema, o decida ofrecer un servicio de recuperación de contraseñas en línea.
-
¿Y tú, qué opinas?
-
#1Mariano viernes, 07 de diciembre de 2012, 13:13
Que porquería los artículos que subis Lisandro, todos los de Neoteo, pero principalmente los tuyos. Parece que estas desesperado por subir noticias y en la desesperación subis cualquier cosa. Vuelvo a decir Neoteo ya no es lo de antes. Hace ya un tiempo bastante largo que me desilusionó el cambio de rumbo que le dieron al sitio, antes era fanático y se la recomendaba a todo el mundo ahora lamentablemente ni digo que entro. Lo peor de todos es que se jactan de ser una página científica. Vuelvan a ser lo de antes! Mientras tanto no vuelvo a entrar.
-
#2Gabriel viernes, 07 de diciembre de 2012, 14:23
#1
A tomarse la leche caliente que es hora de dormir.
-
#3egg viernes, 07 de diciembre de 2012, 14:30
#1 Te equivocás! Lo peor son los artículos del facho de Mario Sacco y todos sus comentarios derechosos fuera de contexto.
Lo mejor? como siempre Max! -
#4cordobes viernes, 07 de diciembre de 2012, 15:15
#3 Atacar a una persona por sus ideales, decir que si sos facho, que si sos zurdito, que si sos tal cosa o la otra, siempre me dio repugnancia. Te basas en una frase para menospreciar el trabajo de una persona que publica(ba?) sus artículos de una forma muy manejable para casi cualquier persona que entendiera algo de electrónica.
Si las frases que publica (fuera de contexto, según vos) te hace morder vidrio, compartilo con tu cabecita o tu grupo de amigos militantes. Acá no interesa, compartimos experiencia y conocimientos, no da para criticarnos o sacarnos los ojos. Saludos -
#5fly viernes, 07 de diciembre de 2012, 15:16
#3
de que te preocupas, si Mario Sacco ya no publica articulos en neoteo, hasta me sorprende que no hayan quitado su nombre de lista de autores. talves si quitan su nombre la caida de neoteo sea mas veloz de lo que es ahora. -
#6Mentira viernes, 07 de diciembre de 2012, 15:20
#1 #2 #3 Mentira. Los mejores comentario son las mías. Pero no tengo la culpa que todos me acribillen con negativos por mi fotico donde me veo guay y toda sexi les cause envidia. Estoy harta hasta los ovarios intrauterinos.
Vaya otra vez el maldito captcha que casi no lo entiendo. l-e-B-a-r-r-i r-e-a-l-l-y -
#7Sebastian viernes, 07 de diciembre de 2012, 15:30
#3 me parece bastante tonto tu comentario, los artículos de electrónica de Mario son bastante buenos, lo que cada uno piense de política no me importa después de todo entro a esta pagina por la ciencia.
PD: facho viene de fascista y el fascista es de derecha sin embargo los de derecha no necesariamente son fascista por lo tanto no todos son fachos. -
#8Gonzalo viernes, 07 de diciembre de 2012, 15:35
Al margen de todo el ejercicio en el derecho de opinar anterior, una cosa que me ha sorprendido de este artículo es el empleo de tarjetas AMD; no es que menosprecie su potencia o valor, ni mucho menos (de hecho siempre he sido un gran seguidor de los modelos facturados por 'Sapphire'), pero esperaba que fuesen gráficas 'NVidia' empleando el motor CUDA, que es por ejemplo empleado por un progaba de render llamado 'Octane'.
-
#9
-
#10anonymous viernes, 07 de diciembre de 2012, 16:24
#1 pues no entre pendejo, y lárgate mas bien, porque eres un puto ignorante camionero y no te interese este articulo no quiere decir que a nadie le interesa, me refiero a personas con mas intelecto que vos pinche pendejo, y si no te gusta el sitio para que entras a el, que persona tan idiota.
-
#11
-
#12
-
#13
-
#14cr0wm4nx viernes, 07 de diciembre de 2012, 21:28
El poder de computo podria impresionar pero se habla de Fuerza bruta (que es lo que requiere este tipo de ataque de cryptoanalisis "poder de computo y tiempo "), quizas si utilizara Rainbow Tables podria darles "para cierta cantidad de hashes mejores resultados con ese hardware" ... El proyecto se aprecia su fortaleza para romper contraseñas a grandes volumnes, sin embargo, a mi parecer ese poder de computo combinado con Raibow Tables, si seria interesante verlo en acción.
-
#15Mariano viernes, 07 de diciembre de 2012, 22:55
Solo entre para ver los comentarios, que la verdad me parecieron bastante pobres.
Dicen que esto es manejable por cualquier persona que no entiende de electrónica, más bien que es así, porque los temas se tocan todos, en mi opinión, a la ligera, he leído muchas revistas de electrónica que cualquier desentendido también podría leer, las entendería y saldría sabiendo al menos algo de electrónica. También, por ejemplo, me llamaron ignorante Con que fundamento decís eso?
Los invito a ver un comentario mio anterior en el artículo de los cuadrópteros en jaula y me digan su opinión:
http://www.neoteo.com/hytaq-cuadricoptero-que-se-desplaza-por-tierra -
#16carloncho sábado, 08 de diciembre de 2012, 00:11
Ubiese sido mas interesante saber porque le parece tan repugnante este articulo y en general la pagina de neoteo. Yo por mi parte la leo casi a diario, me ayuda mucho y no logro entender porque tanto odio.
Acaso lo que se escribe en NeoTeo es mentira y lo que en realidad hacen es desinformar? aun siendo asi, lo unico que bastaba era poner un comentario discrepando con las ideas vertidas... -
#17
-
#18Molusco sábado, 08 de diciembre de 2012, 06:59
#17 Último parrafo: "El sistema no está preparado para realizar ataques “en línea”"
-
#19Perito Mandela sábado, 08 de diciembre de 2012, 22:50
#18 En línea?? Para obtener una contraseña WPA/WPA2 hay que obtener un handshake de apenas pocos KB, y con eso utilizar fuerza bruta desde cualquier ordenador (offline). Los procesadores más potentes no tiran más de 1000 contraseñas por segundo. Las placas de video, en especial las ATI (AMD), tiran como 80.000 contraseñas por segundo (cada una). Y si están en SLI, o unidas por algo, supongo que habría que multiplicar dichos valores.
-
#20Syker domingo, 09 de diciembre de 2012, 00:56
#1 Si perdiste la fe en el sitio
¿por qué sigues visitandola?
¿por que no te haces un blog, myspace, página del face y posteas toOOOoodo lo que consideres que debe ser lo que el mundo espera con tu graaaan conocimiento y sibarita gusto por la información?
Déjate de hacer polución digital, pibe. -
Cargando...
-
nuevo comentario
Nombre Campo obligatorio
Email Escriba una dirección de correo electrónico con el formato sunombre@ejemplo.com.
Campo obligatorio
-
