14 Jan 2011


Разделы: Новости Интернет it

Облако оказывается сама палка о двух концах: Это гранты отдельным лицам и организациям с ограниченными ресурсами быстрый, недорогой доступ к богатству вычислительной мощности. Это все хорошо для научно-исследовательской организацией хруст данных вылечить изнурительной болезни или разработчик, который является автором следующего большого Mobile App. Но плохие парни могут использовать тот же недорогой мощность для совершения кибер-преступлений в новый, удобный способ.

Немецкий хакер белой шляпе по имени Томас Рот утверждает, что он нашел способ использовать EC2 и некоторые заказного программного обеспечения, чтобы взломать пароль WPA-PSK-сетей охраняемых примерно за 20 минут. С некоторой хитрости, чтобы его программное обеспечение - какие тесты 400000 паролей в секунду при использовании EC2 вычислительную мощность - Рот сказал, что он может сократить этот крекинга время до шести минут, около $ 1,68 стоит времени на Amazon EC2. (Amazon обвинения 28 центов в минуту воспользоваться его услугами.)

Эксплуатации государственных услуг облака для выполнения преступления не совсем новые, точки, что Рот сам признает в своем блоге: "Мокси Марлинспайк, хакер / Матрос / пиротехник, работает услуга называется WPACracker которые могут быть использованы для взлома рукопожатие захватывает из WPA-PSK с использованием нескольких очень больших словарей на 400 процессоров кластера, который работает на облаке Amazon ".

Что нового здесь, по словам Рота, это скорость, с которой хранения паролей на SHA-1 хэшей можно извлечь, благодаря Амазонки новые экземпляры GPU кластера. "Графические процессоры (в зависимости от алгоритма и реализации) несколько сотен раз быстрее по сравнению со стандартными процессорами Quad-Core, когда дело доходит до перебирая SHA-1 и MD," Рот объяснил.

GPU-помощь серверов ранее были доступны только в суперкомпьютерах, а не для широкой общественности, в соответствии с Рот, что изменилось с EC2.

Рот атрибуты успеха его техники грубой силы к слабости в SHA-1. В ранее блоге, он пишет, "SHA-1 не было сделано для хранения паролей. SHA-1 является хэш-алгоритма, это было сделано для проверки данных. Это было сделано для более быстрого и столкновения, насколько это возможно, и в этом вся проблема, когда она используется для хранения паролей: Это слишком быстро ... Вместо того, алгоритмы хеширования, следует использовать ключ-дифференцирование функции как PBKDF2 или scrypt Некоторые из этих функций хэш пароля несколько тысяч раз и сделать перебирая намного сложнее. ".

Среди вопросов исследования Рота поднимает есть, какую роль должны Amazon и других услуг государственным и облака поставщики играют в предотвращении клиентов от использования их услуг для совершения преступлений? Очевидно, что эти услуги в настоящее время эксплуатируемых на совершение преступления. Но это разумно ожидать поставщика внимательно изучить и контролировать всю деятельность своих клиентов в Большой Брат-Подобным же образом, во имя предотвращения потенциальных преступления совершаются. Несколько клиентов, скорее всего, признать, что вроде инвазивности.

Примечательно, что даже решение Амазонки, чтобы загрузить WikiLeaks со своих серверов получила неоднозначную реакцию, зарабатывая как похвала и критика.

В этой статье, "Amazon EC2 позволяет грубой силы нападения на дешевые", была впервые опубликована в InfoWorld.com. Получить первое слово о том, что важные технические новости на самом деле означает в блоге InfoWorld Технология Часы, и последние новости бизнеса Techonology, выполните InfoWorld.com на Twitter.




Метки: it
Рубрики: Новости Интернет it

 Имя       

Ограничение в 1000 символов
Введите ваш комментарий

Введите код