Ερευνητής ασφαλείας ανακοίνωσε ότι βρήκε γρήγορο και οικονομικό τρόπο για να "σπάσει" την προστασία που χρησιμοποιείται στα ασύρματα δίκτυα, χρησιμοποιώντας τους ισχυρούς υπολογιστές που μπορεί οποιοσδήποτε να μισθώσει από την Amazon, μέσω διαδικτύου.Πρόκειται για τον Thomas Roth, σύμβουλο ασφαλείας υπολογιστών στην Κολωνία της Γερμανίας, που ισχυρίζεται ότι μπορεί να εισβάλει σε προστατευόμενα δίκτυα χρησιμοποιώντας ειδικό λογισμικό δικής του ανάπτυξης και εκτελώντας το στο σύννεφο του Amazon. Δοκιμάζει 400.000 πιθανούς κωδικούς ανά δευτερόλεπτο, αξιοποιώντας τη μεγάλη υπολογιστική ισχύ του cloud, με κόστος μόλις 0,22€/λεπτό. Το γεγονός αυτό αφήνει εκτεθειμένες επιχειρήσεις και οικιακά δίκτυα, εάν χρησιμοποιούν απλούς κωδικούς για την προστασία των ασύρματων δικτύων τους.
Η Amazon μισθώνει με την ώρα υπολογιστές σε προγραμματιστές και εταιρείες, οι οποίες δεν έχουν χρήματα για να αγοράσουν δικό τους ισχυρό εξοπλισμό ή δε σκοπεύουν να κάνουν απαιτητική χρήση συστηματικά. Οι πελάτες της εταιρείας είναι ανεξάρτητοι προγραμματιστές, αλλά και επιχειρηματικοί χρήστες.
Ο Roth σκοπεύει να κοινοποιήσει τον κώδικά του και να διδάξει στους ανθρώπους πώς να το χρησιμοποιούν, προς το τέλος του μήνα στο συνέδριο Black Hat στην Ουάσινγκτον. Στόχος του είναι να πείσει τους διαχειριστές δικτύων ότι η κοινή μέθοδος προστασίας ασύρματων δικτύων δεν είναι αρκετή για να προασπίσει τα δεδομένα που διακινούνται στο δίκτυο. Η μέθοδος WPA-PSK, βασίζεται σε έναν κωδικό για την κρυπτογράφηση των δεδομένων. Αν ο εισβολέας καταφέρει να μαντέψει τον κωδικό, τότε όλα τα δεδομένα εκτίθενται σε εκείνον. Με άφθονη υπολογιστική ισχύ, όπως αυτή που μπορεί κάποιος να νοικιάσει από το Amazon, η μέθοδος bruteforce καθίσταται αρκούντως αποτελεσματική, αν ο κωδικός δεν είναι πολύπλοκος.
Μισθώνοντας εξοπλισμό δεκάδων χιλιάδων ευρώ, με μόλις 0,22€/λεπτό, ο Roh κατάφερε να σπάσει ασύρματο δίκτυο σε 20 λεπτά, ενώ με τη βελτιστοποιημένη μορφή του κώδικά του, εκτιμά ότι θα κάνει το ίδιο σε 6 λεπτά της ώρας:
"Ο κόσμος μου λέει ότι δεν είναι δυνατόν να σπάσει το WPA ή, αν ήταν εφικτό, θα χρειαζόταν πολλά χρήματα. Είναι όμως εύκολο να χρησιμοποιήσεις brute force."
No comments:
Post a Comment