Cloud Computing, un beau sabre de pirate

Actualités - Hack - Posté on 03 Nov 2009 at 6:44 par cnis-mag

idontreallywanttosayLe Cloud Computing, outil de luxe pour hacker ? ce n’est pas franchement nouveau, puisque cette idée trotte dans les esprits depuis au moins les premières heures d’existence de Seti@home : disposer d’un réseau de calcul distribué – et donc d’une formidable puissance de traitement-, voilà un véritable rêve de pentesteur.

L’équipe de Neohapsys a repris cette idée et s’est lancé dans la fabrication d’un casseur de mot de passe nouvelle génération. La partie active du programme peut être diffusée via une attaque XSS, et quelques astuces permettent de continuer à faire travailler la JVM distante même lorsque la page web infectée a été fermée. Une petite séquence vidéo montre grossièrement comment fonctionne ce « cloud hacking ».
MĂŞme idĂ©e, mais plus de dĂ©tails techniques et surtout financiers sur le blog Electric Alchemy (ce qui prouve qu’une bonne trouvaille n’est que trop rarement le fait d’une seule Ă©quipe). Cette fois, le programme de hacking utilisĂ© est disponible en tĂ©lĂ©chargement (gratuit). Ce n’est autre que EDPR (Elcomsoft’s Distributed Password Recovery)… AmĂ©liorĂ© par une dll magique offerte, pour les besoins de la cause, par Andrey Belenko, d’Elcomsoft. Restait Ă  rĂ©aliser la Cloudification effective de l’outil d’attaque, ce qui fut rĂ©alisĂ© tout naturellement en faisant appel au service EC2 d’Amazon. Toute la question Ă©tait de savoir si le « coĂ»t du service » pouvait s’avĂ©rer rentable, et en fonction de quelle complexitĂ© de mot de passe. Tous les dĂ©tails de l’attaque, les rĂ©sultats des tests de « soliditĂ© » des mots de passe et le rapport complexitĂ©/coĂ»t d’une attaque en « brute force » sur le site des briseurs de clefs. Les rĂ©sultats sont Ă©difiants. Un mot de passe « simple » -alphabĂ©tique uniquement- de plus de 13 caractères coĂ»tera, avec cette technique, près d’un million de dollars Ă  casser. En dessous de 12 caractères, l’opĂ©ration sera pratiquement gratuite. Idem pour les mots de passe complexe (lettres, chiffres, symboles…). En dessous d’une longueur de 8 caractères, les coĂ»ts sont insignifiants. Au-delĂ , les prix grimpent rapidement. Insistons sur le fait que ces mĂ©triques ne reposent que sur l’usage d’un procĂ©dĂ© « brute force ». Un mot de passe de 30 ou 40 caractères alphabĂ©tiques constituĂ© de diffĂ©rents mots connus ne rĂ©siste pas très longtemps face Ă  une attaque par dictionnaire. Et l’on ne parle pas de l’efficacitĂ© des Rainbow Tables. Les vendeurs de ressources de calcul « cloudifiĂ©es » ont donc de beaux jours Ă  vivre.

2 commentaires

  1. ça existe depuis un certain temps. Rien qu’Ă  voir la liste très allongĂ©e des IP bannies de mes serveurs openssh , y’a du monde au balcon. Marrant de voir aussi les vagues selon l’activation des botnets…

Laisser une réponse