Cluster GPU Hashcat
A la conférence Passwords^12, Jeremi Gosney a présenté un cluster GPU qui lui a permis de vérifier prés de 180 milliards de hash MD5 par seconde. Pour le SHA1, Gosney a quand même réussi à vérifier près de 63 milliards de hash par seconde. Des algorithmes plus élaborés tels que Bcrypt et Sha512crypt, résistent beaucoup mieux au brute force et ont permis au chercheur d'atteindre respectivement 71.000 et 364.000 combinaisons par seconde.
Gosney a atteint des valeurs de pointe avec les hash LM et NTML qui sont utilisés pour l'authentification sous les vielles versions de Windows mais sont également pris en charge sur les systèmes Windows 8 et Windows Server 2012 (oups!) afin de maintenir la compatibilité entre systèmes lors d'upgrades. Avec 348 milliards de combinaisons NTLM par seconde, un mot de passe de 8 caractères peut être cracké en moins de six heures. Avec le hash LM qui est plus faible, un taux de 20 milliards de combinaisons par seconde suffit à cracker un mot de passe de 14 caractères en à peine 6 minutes.
La configuration du cluster GPU a de quoi être impressionnante. On va commencer par la partie logicielle. Ici, Gosney utilise Virtual OpenCL pour le clustering et le célèbre Hashcat pour cracker le mot de passe. Les deux logiciels ont bien sûr été adaptés pour sa démonstration et les versions actuelles prennent désormais en charge jusqu'à 128 GPU.
Côté matériel, Gosney utilise 5 serveurs 4U avec un total de 14 cartes graphiques combinées via des connexions Infiniband. Le cluster requiert quand même 7.000W de puissance.
Ce genre de système n'est pas adapté pour des attaques de serveur en temps réel mais il peut être utilisé pour cracker des mots de passe chiffrés qui ont été récoltés à partir d'une base de données par exemple. Gosney s'est d'ailleurs fait un nom quand 6.5 millions de mots de passe LinkedIn ont fuités à cause d'une faille de sécurité. En collaboration avec un partenaire, Gosney a réussi à reconstruire plus de 90% des mots de passe.
Le vol de mot de passe est un problème général sur les services en ligne. De nombreux algorithmes de hash sont obsolètes et ne doivent plus être utilisés pour sécuriser un mot de passe en base de données. La plupart des pirates spécialisés dans le cracking de mots de passe se focalisent de plus en plus sur le hardware et en particulier la puissance de calcul délivrée par les GPUs et des divers services de cloud computing comme CloudCracker.
Jeu de briques
Snake
Pacman
Bubble