趨勢科技雲端安全副總裁 Dave Asprey
不斷地有關於如何利用雲端運算來破解資訊安全的新聞出現,甚至有用「弱點攻擊即服務(Exploit-as-a-Service)」模式來提供付費入侵的雲端服務。雲端技術可以提供幾乎無上限的運算能力,讓我們必需重新思考一些像是雜湊(hashing)這樣的核心安全技術。
而在今日,有研究人員表示他可以利用雲端服務來破解MD-5雜湊碼,這是一個破解相對比較困難的雜湊演算法。他使用的是Google,而且幾乎不需要花費任何運算時間。聽起來很不可思議,但它優雅的地方就在於它真的很簡單。用著非常跳脫框架的作法,就跟駭客有著一樣的思考模式。
我們看過利用Amazon雲端服務(AWS)來做無線網路的密碼破解攻擊,透過Amazon的「GPU叢集運算服務(Cluster GPU Instances)」你可以拿到許多NVIDIA顯示卡建立的高速運算能力加上10 Giga的網路存取速度跟22 GB的記憶體。比自己建立一個網格雲(這裡的例子是用殭屍網路)要來的更容易的多。
這研究人員用了一個叢集GPU虛擬主機,在不到一小時內破解了超過10個SHA-1編碼的密碼。每個密碼只花費了差不多0.2美元的CPU運算時間。
但是今天公布的新方法要更酷得多。它沒有用一堆雲端機器來做暴力字典破解攻擊,它的開發者利用另一組大量的雲端伺服器,就是「Google Search」。用簡單到令人驚訝的方法就破解了一些MD-5編碼。這軟體只是簡單的去搜尋Google上的雜湊值,而假定密碼本文就會出現在第一頁的搜尋結果裡,而且通常真是如此。
這會有用是因為儲存檔案的時候需要有索引值,常見的作法是用檔名的MD5值做索引(是的,MD5不僅僅適合用在資訊安全上…)。這種作法很有用,因為它既快又可以防止意外的重複狀況(兩個不同的字有相同的雜湊值是很罕見的情形)。
所以實際上Google儲存了幾百萬常見檔名的MD5值。這代表你可以直接去搜尋雜湊值,就能找到跟他相關的檔案名稱。所以,如果你的密碼是「pictures」,你就會發現有相同名稱的檔案有雜湊值了。
事實上,這真的很簡單。我用這個線上雜湊值產生器來製造「pictures」的MD5值,得到「9ed98e5c3e9685aa3de82c99009a2ed3」的結果。然後我到Google上搜尋這個值 。果然,「picture」這個字幾乎出現在每個搜尋結果裡:
大大的感謝Juuso Salonen,他寫了這個稱為BozoCrack的Ruby程式可以用Google搜尋來破解用MD5編碼的密碼。雖然看來之前就有人這麼做了,只是並沒有自動化。
@原文出處:The Cheapest Way to Use the Cloud to Crack MD5 Using Google Instead of AWS
@延伸閱讀
十個不虛擬化的理由(5-1)
十個不虛擬化的理由 系列(5-2)
十個不虛擬化的理由 系列(5-3)
十個不虛擬化的理由 系列(5-4)
當你把應用程式移到雲端….
【雲端運算】8分鐘了解Windows 8,除了安全以外
【雲端運算與網路安全 】加密儲存在Amazon上的資料 沒有那麼容易
雲端運算與網路安全:無代理安全防護拿到到一個A 幫你的雲端技術找到適合的防護 真的要從雲端控制潛艇?美國國防部技術研究機構DARPA說:沒錯!
雲端運算與網路安全:五個你必須問SaaS供應商的安全問題
大型加值經銷商與雲端服務,會發生什麼事
【雲端運算】8分鐘了解Windows 8,除了安全以外
【雲端運算與網路安全 】加密儲存在Amazon上的資料 沒有那麼容易
陳文茜訪張明正談雲端運算下一波 看所有影片與內容大綱 《看更多…雲端運算與網路安全相關文章懶人包》
@開箱文與評測報告
防毒也防失竊 趨勢科技行動安全防護軟體測試
[評測]趨勢科技行動安全防護for Android
TMMS 3.75 Stars in PC World AU
◎ 歡迎加入趨勢科技社群網站