Deze cloud kraakt al je wachtwoorden

De vrijwel onbeperkte resources van de cloud kunnen ook tegen je gebruikt worden. Het voorbeeld van vandaag laat zien dat accounts met wachtwoorden en verouderde sleutels zinloos zijn geworden.

Stel dat je oudere versleutelingsmethodes toch iets te lang hebben voortbestaan in je datacenter. Er wordt gehakt gemaakt van een angstaanjagend groot aantal wachtwoordversleutelingsmethodes met CloudCracker. Die kan WPA/WPA2, NTML, SHA-512, MD5 en/of MS-CHAPv2-hashes kraken. Dat doet de dienst voor nog geen twee tientjes.

Cloud zorgt voor brute rekenkracht

Zo werkt het: pak een sample van het netwerkverkeer, upload dat naar CloudCracker nadat je hebt geselecteerd wat je wilt kraken. Na betaling wordt een aggregaat van cloudcomputing-kracht ingezet om grote dictionary-aanvallen uit te voeren totdat de hash is gevonden. Laten we even kijken naar wat er allemaal gekraakt kan worden:

  • Miljoenen Wi-Fi-accespoints; de AP's van de meeste thuisgebruikers en kleine gebruikers.
  • Elk wachtwoord op een peer-based Windows-netwerk, inclusief de meeste NAS-apparaten en verschillende SAMBA3-compatibele wachtwoorden. PPTP VPN's ook, een schandalig groot aantal kassasystemen, en NTLM-gelinkte netwerken.
  • Veel dingen die nog steeds in gebruik zijn: MS-CHAPv2-koppelingen, waaronder oudere VPN-verbindingen en remote toegangspunten (Network Acces Servers).
  • MD5-codecertificaten die niets meer waard zijn sinds Flame.
  • x.509-certificaten die worden getekend met MD5.

Misschien beschermen deze wel iets belangrijks in jullie netwerk. Apparaten en diensten van derden die je gebruikt hebben mogelijk dezelfde problemen. Veel Apple VPN's gebruiken PPTP met wachtwoordauthenticatie via MS-CHAPv2, een WiFi-systeem in de bibliotheek met WEP-wachtwoord, je data-archief in dat NAS-apparaat waarvan de firmware niet bijgewerkt kan worden: allemaal voor minder dan twee tientjes gekraakt.

Sample met WireShark

CloudCracker gebruikt dictionary-aanvallen gebaseerd op samples die je levert van het netwerkverkeer via bijvoorbeeld een analysetool als WireShark. Je kunt het ook helemaal zelf doen natuurlijk. Het duurt niet lang om genoeg verkeer te monitoren voor een fatsoenlijke sample.

De IaaS waar CloudCracker gebruik van maakt doet het zware werk en het is waarschijnlijk dat je sample de sleutel/hash bevat van het verkeer. De stappen die je daarna zet bepalen of je een criminele actie onderneemt of iets voor het grotere goed uitvoert: het beschermen van je klanten.

Het is verstandig om de komende tijd zo naar je implementaties te kijken, om bepaalde methodes bij te werken naar sterkere protocollen. Want slechteriken wrikken de deur voor weinig investering open. Laat dit je niet overkomen.

Related:

Copyright © 2016 IDG Communications, Inc.

7 inconvenient truths about the hybrid work trend
 
Shop Tech Products at Amazon