Het nieuwe brute-forcen 2

Door HaX0r op zondag 14 augustus 2011 13:37 - Reacties (6)
Categorie: Diepere Shit, Views: 2.799

Vorige week publiceerde ik deze blog: The HaX0r Monologue: Het nieuwe brute-forcen En daar kreeg ik een aantal hele goede reacties op die mijn theorie al verbeterde. Naar aanleiding daarvan heb ik contact opgenomen met de Duitse hacker in kwestie. Hij stuurde het volgende als reactie terug op mijn theorie.
If you have a 5 node cluster and each computation unit start at either

0, 00, 000, 0000 or 00000, the workloads are not equally big. You
actually will want to start at something like
00000
22222
44444
66666
88888
for 5 character passwords. And something like this is actually common
practice and CCS does it already.
There's (luckily) no speedloss when scaling encryption breaking across
a lot of machines, it's one of the most easiest things to scale. :)
Hij gaf mij daarbij de link naar zijn presentatie van Black Hat EU:
Presentatie
Documentatie
Die zullen een hoop van jullie interessant vinden.

Dus geen baanbrekende nieuwe theorie van mij maar ik heb weer een hoop bijgeleerd. Thomas Roth heeft op het moment nog steeds problemen met justitie. Hij mag niet zijn CSS online vrijgeven. Hopelijk weet hij het toch te publiceren.

Het nieuwe brute-forcen

Door HaX0r op donderdag 4 augustus 2011 13:37 - Reacties (27)
Categorie: Diepere Shit, Views: 4.169

Laats las ik een artikel over een duitse hacker genaamd Thomas Roth die een GPU Cluster had gemaakt van een amazon Cloud. Hij kon hiermee binnen 49 minuten 14 verschillende hashes van 95 karakters bestaande 6 cijferige codes kraken. Het ging hier om de SHA-1 hash. Mijn intresse was gewekt en ik begon na te denken over de toekomst van brute-force aanvallen.

Nu is de SHA-1 hash niet bedoelt om wachtwoorden in op te slaan maar om data te verifiŽren. Dealnietsmin is dit een enorme prestatie. Het laat zien dat je op een hele goedkope manier GPU's kan parallelliseren om een enorme rekenkracht te verkrijgen. Voor maar 2 dollar en 10 cent per uur! Dat betekent dat bijvoorbeeld creditcard wachtwoorden enorm snel verkregen kunnen worden. Het gevaar zit hem in de lage kosten, iedereen kan hier gebruik van maken.

Nog even voor de leken onder ons. Brute forcen betekent simpelweg alle mogelijke combinaties proberen die mogelijk zijn. Als we in de toekomst Clouds beter kunnen aansturen is het misschien mogelijk om deze speciaal te gebruiken voor brute-force aanvallen. Ik denk hier aan aan een systeem om verschillende startpunten te gebruiken. Even heel simpel uitgelegd.

Je hebt een password, je weet dat hij niet meer als 5 cijfers lang is en bestaat uit de nummers 0-9. Dit is even om het makkelijk te maken. Je bruteforce begint in dit geval bij 0 en gaat dan de cijfers af tot 9. Vervolgens begint hij bij 00 en gaat vervolgens deze cijfers weer af in dit geval gaat dat dus met 10, 20, 30 enz en dan 11, 12, 13 en zo gaat hij alle mogelijke combinaties af.

Als je nou eens verschillende clusters zou kunnen aansturen om op een verschillende punten te beginnen met de brute-force. Bijvoorbeeld: 0, 00, 000, 000, 0000 en 00000 dan zou de snelheid waarmee je de juiste code raad een stuk hoger liggen dan dat je braaf van 0 begint. Zou je geen snelheid verliezen door met verschillende startpunten te beginnen dan zou je de tijd die nodig is om de juiste combinatie te raden heel erg inkorten.

Persoonlijk zou ik niet weten hoe dit echt in zijn werk zou gaan maar ik vond het een interessante gedachte. De strijd tussen encrypters en decrypters staat in ieder geval al lang genoeg aan de kant van de encrypters. Tijd voor verandering!

Voor de mensen die zich hierin willen verdiepen heb ik een lijstje gemaakt.

Leesvoer:
http://en.wikipedia.org/wiki/Brute-force_attack
http://en.wikipedia.org/wiki/Hash_function
http://en.wikipedia.org/wiki/SHA1
http://en.wikipedia.org/wiki/Collision_attack
http://en.wikipedia.org/wiki/Hash_table#Collision_resolution
http://en.wikipedia.org/wiki/Rainbow_tables
http://en.wikipedia.org/wiki/Salt_%28cryptography%29

Met jullie hulp kan deze lijst vast uitgebreid worden!
Dank aan: Llanorant

Ding-dong

Door HaX0r op woensdag 27 juli 2011 14:47 - Reacties (17)
Categorie: Weekly Spit, Views: 3.782

Vandaag ging wel liefst 3x de deurbel over. Elke keer opende ik vol verwachting de deur op iets wat ik besteld had. En 3x raak! Ik bedacht echter hoe onhandig het huidige pakket-service systeem eigenlijk is.

Vroeg‚h ging de pakket-service gewoon via het rijk. Niks geen 6 verschillende post en pakket services. Het was een stuk handiger geweest als ik al die 3 verschillende pakketjes gewoon in 1x zou ontvangen. Nu moet ik dus de hele dag thuis zijn om 3x een pakketje aan te nemen. Wellicht kunnen ze allemaal fuseren en alles via 1 centrale regelen.

RED: Het is natuurlijk belachelijk dat 't milieu 3x belast wordt met (vracht)auto's die op-en-neer moeten rijden, 3 mensen die zich bezig moeten houden met het afleveren van je pakketje, 3 keer de "slijtage" aan allerlei infrastructuur en ga zo maar door.
RobIII

Maargoed, vandaag ontvangen:
  • Vervanging kapot G110 keyboard
  • Luchtfilter Wat is dat??
  • Star Wars Pre-Order Kit
Ondanks dat de post beter geregeld kan worden ben ik toch wel blij dat het zo snel geleverd wordt. Meestal ontvang ik bestellingen gelijk de volgende dag. Ik wacht dan ook al weer met smart op mijn volgende bestelling.

Communicatie

Door HaX0r op zaterdag 23 juli 2011 09:56 - Reacties (6)
Categorie: Weekly Spit, Views: 2.784

Vandaag zat ik in de bus met 2 mensen die geanimeerd met elkaar aan het praten waren. Ze maakten echter geen geluid, 1 van hun was doof en ze communiceerde met gebaren taal. Ik had dit eigenlijk nog nooit eerder gezien, geÔntrigeerd luisterde keek ik stiekem hun gesprek af.

Ondanks dat ik nooit gebaren taal geleerd heb kon ik het redelijk volgen. Ze gebruikten een combinatie van handgebaren en overdreven emoties en vervormingen van hun gezicht. Die emoties die zij aan elkaar lieten zien waren zo duidelijk dat ik gewoon een grapje aan zag zitten komen. Het was heel erg leuk om die 2 mensen in stilte te zien lachen.

Goede communicatie echt face-to-face is iets wat ik vaak mis bij mijn mede IT'ers. Het zij door een zekere intelligentie en/of een vorm van autisme. Al hoewel dit zeker niet waar is voor iedereen, zullen de meesten dit toch wel een beetje herkennen. De communicatie wordt daardoor niet minder maar wel anders. Het is een stuk makkelijker als het grootste deel van de communicatie gaat door non-verbale communicatie in een normale conversatie maar dat kom ik dus minder tegen.

Misschien is het een idee om IT'ers die minder communicatief sterk zijn gebaren taal te laten leren. Omdat hier de emoties overdreven worden geuit is het makkelijker dergelijke lichaamstaal te herkennen.

Wat je al niet bedenkt als je in de bus zit. :+

First Post!

Door HaX0r op zondag 17 juli 2011 01:24 - Reacties (13)
Categorie: Weekly Spit, Views: 3.517

Jawel, mijn eerste week als actief lid bij Tweakers zit er op. Ik heb het hier prima naar mijn zin. Leuke community en een hoop mensen met kennis van zaken! Hopelijk mag ik hier nog een hele tijd met plezier doorbrengen. Aangezien ik nieuw ben en eigenlijk een beetje out of the blue kom zal ik me even kort voorstellen.

Ik ben sinds mijn 4de levens jaar aan het kloten met pc's en al falend van alles te ontdekken en te leren. Heb al een aantal computers versleten en menig OS laten crashen. Na een wat onconventionele school carriŤre eindelijk aan de start van mijn informatica opleiding waar ik al een tijd naartoe aan het werken ben.
In mijn vrije tijd houd ik van muziek maken (met instrumenten uiteraard), feesten en af en toe nog wel eens sporten. Daarnaast ben ik werkzaam als webdesigner voor mijn eigen bedrijfje.

Ik heb het gevoel hier wel een bijdrage op 1 of andere manier te kunnen leveren. Ben creatief en help graag anderen. Graag zou ik in de toekomst horen wanneer ik geen n00b meer ben. Tot die tijd draag ik met trots deze ondertitel!

Check mijn profiel om te zien wat ik allemaal heb uitgespookt deze week.