Intervenendo alla conferenza Passwords^12 , il ricercatore Jeremi Gosney ha mostrato al pubblico intervenuto che tipo di attrezzatura occorre per il cracking di password e hash delle suddette. L’hardware presentato da Gosney è di tipo GPGPU , usa 25 schede acceleratici marchiate AMD e può ingoiare miliardi di parole chiave nel giro di qualche minuto.
Gosney, già noto alle cronache per l’ affaire delle password di LinkedIn , ha mostrato quattro rack 4U equipaggiati con le suddette GPU AMD montate in link, capaci di comunicare a 10 Gbps tramite connessione Infiniband.
Il ricercatore ha usato il cluster così composto con software Virtual OpenCL, e una versione modificata di Hashcat: il codice è stato opportunamente adattato alle esigenze specifiche di Gosney, e ora è in grado di supportare fino a 128 GPU gestibili in contemporanea.
Già mettendo all’opera 25 co-processori “grafici” discreti, a ogni modo, i risultati sono a dir poco interessanti. Gosney ha provato a saggiare algoritmi e cifrari più o meno robusti, controllando un numero variabile di hash con un attacco a forza bruta nel tentativo di indovinare la password corrispondente.
Gli algoritmi più forti non permettono di calcare molto la mano nella ricerca, con Bcrypt e Sha512crypt che hanno fatto rispettivamente registrare 71.000 e 364.000 combinazioni al secondo. Quando poi si passa a qualcosa di meno impegnativo come NTLM (usato per proteggere le password di Windows XP e ancora presente in Windows 8), il numero di combinazioni che è possibile controllare sale fino a 348 miliardi di istanze al secondo.
Una password NTLM di 8 caratteri può essere “crackata” in meno di 6 ore, dice il ricercatore, mentre usando l’algoritmo meno forte (LM) il numero di combinazioni necessario per abbattere una password da 14 caratteri è di 20 miliardi al secondo per un totale di 6 minuti di lavoro.
Alfonso Maruccia