В последните дни се занимавам с един полу-сериозен проект в свободното си време. Става въпрос за уеб-базирана, GPU-ускорена password recovery система. Идеята е следната: потребителят който иска да тества/възтанови паролата си ъплоудва pcap dump или rar/zip файл, защитен с парола. Системата анализира ъплоуднатия файл и ако е валиден такъв подлежащ на трошене, предлага няколко варианта (плана) - с нарастваща сложност, изчислително време и съответно цена. Тъй като това не излиза много евтино (видеокарти от висок клас работещи на 100% натоварване в продължение на часове води до доста разходи за електроенергия и климатизация), от потребителят се изисква да плати минимална сума, т.нар "депозит". Това предотвратява и простата DoS където някой засилва 1000 заявки и държи системата заета в продължение на дни напразно. Пълната сума се изплаща единствено при успешно възтановяване на паролата.
При заплащане на депозита, заявката отива в една опашка и когато й дойде реда се изпълнява. При успешно откриване на паролата и след плащане на сумата, потребителят си взема паролата съответно. Като начало, системата подържа Bitcoin разплащания (Bitcoin е децентрализирана крипто-валута, за повече информация:
http://bitcoin.org/ ). Когато й дойде реда, системата се заема с нея. Използва се хардуер от висок клас, старателно подбрани речници и правила. Софтуерът е старателно оптимизиран за постигане на максимална скорост.
Тъй като най-добрият тест е истинския тест, с реални потребители и реални входни данни, реших в следващите няколко дни, основният план (Basic Attack) да бъде абсолютно безплатен - без такса за възтановяване на паролата и без депозитна такса. Абсолютно безплатно.
Който има желание да провери доколко е сигурна паролата за wifi мрежата си, както и доколко са сигурни архивите му, може да се пробва. Атаката е еквивалентна на това, което един относително добър в чупенето на пароли зъл хакер би постигнал с достъпен (макар не много евтин хардуер) за около час. Услугата по принцип е предназначена за любопитни хора, които искат да си проверят password сигурността, както и за pentester-и. Системата не изисква регистрация (единствено мейл на който изпраща детайли за заявката, както и счупената парола), а аз гарантирам, че няма да използвам и няма да предавам вашата информация на трети страни. Качените файлове се архивират, държат за retention период от 3 месеца и се изтриват автоматично. Не ме интересува какво качвате.
Искам дебело да подчертая обаче че няма да толерирам използването на системата за нелегални цели. При оплаквания от органите, ще им предоставя необходимите детайли свързани с вашите заявкиИма известни ограничения засега:
* HTML5 подръжка в браузъра (съвсем основна и почти всички днешни браузъри би трябвало да нямат проблеми)
* 30 MB максимална големина на ъплоуд.
* За WPA: един или повече handshake-а в pcap дъмпа (системата дава избор кой от тях да атакува)
* За RAR: ако не е използван header encryption, архивът трябва да съдържа поне един файл с големина под 128 килобайта.
* За ZIP: няма ограничения, но шансът за успех при архиви без strong (AES-128/AES-256) enryption е далеч по-висок.
Та това е, на който му е интересно да заповяда на:
http://www.gat3way.eu/gpucrackЩе се радвам да чуя вашето мнение, идеи и препоръки. Системата е набързо скалъпена и има доста трески за дялкане. Та ако откриете бъгове ще се радвам да ги споделите...
Ако се окаже интересно занимание, в бъдеще ще се добавят повече възможности за чупене (примерно на DMG или пък TrueCrypt), както и повече хардуер, за да се ускорят заявките. Въпреки че нямам особено големи надежди за това. Ще се радвам обаче да ми финансира донякъде страничните занимания от друга страна
П.П Моля не пробвайте по-горните планове. Системата с биткойн разплащания ужким работи, но далеч не е тествана както трябва. Да не кажете че не съм ви предупредил.
Автор
Тема: GPU-powered WPA/ZIP/RAR recovery (Прочетена 8220 пъти)
Apr 06, 2004, 22:27