Le Cloud Computing, outil de luxe pour hacker ? ce n’est pas franchement nouveau, puisque cette idée trotte dans les esprits depuis au moins les premières heures d’existence de Seti@home : disposer d’un réseau de calcul distribué – et donc d’une formidable puissance de traitement-, voilà un véritable rêve de pentesteur.
L’équipe de Neohapsys a repris cette idée et s’est lancé dans la fabrication d’un casseur de mot de passe nouvelle génération. La partie active du programme peut être diffusée via une attaque XSS, et quelques astuces permettent de continuer à faire travailler la JVM distante même lorsque la page web infectée a été fermée. Une petite séquence vidéo montre grossièrement comment fonctionne ce « cloud hacking ».
Même idée, mais plus de détails techniques et surtout financiers sur le blog Electric Alchemy (ce qui prouve qu’une bonne trouvaille n’est que trop rarement le fait d’une seule équipe). Cette fois, le programme de hacking utilisé est disponible en téléchargement (gratuit). Ce n’est autre que EDPR (Elcomsoft’s Distributed Password Recovery)… Amélioré par une dll magique offerte, pour les besoins de la cause, par Andrey Belenko, d’Elcomsoft. Restait à réaliser la Cloudification effective de l’outil d’attaque, ce qui fut réalisé tout naturellement en faisant appel au service EC2 d’Amazon. Toute la question était de savoir si le « coût du service » pouvait s’avérer rentable, et en fonction de quelle complexité de mot de passe. Tous les détails de l’attaque, les résultats des tests de « solidité » des mots de passe et le rapport complexité/coût d’une attaque en « brute force » sur le site des briseurs de clefs. Les résultats sont édifiants. Un mot de passe « simple » -alphabétique uniquement- de plus de 13 caractères coûtera, avec cette technique, près d’un million de dollars à casser. En dessous de 12 caractères, l’opération sera pratiquement gratuite. Idem pour les mots de passe complexe (lettres, chiffres, symboles…). En dessous d’une longueur de 8 caractères, les coûts sont insignifiants. Au-delà, les prix grimpent rapidement. Insistons sur le fait que ces métriques ne reposent que sur l’usage d’un procédé « brute force ». Un mot de passe de 30 ou 40 caractères alphabétiques constitué de différents mots connus ne résiste pas très longtemps face à une attaque par dictionnaire. Et l’on ne parle pas de l’efficacité des Rainbow Tables. Les vendeurs de ressources de calcul « cloudifiées » ont donc de beaux jours à vivre.
ça existe depuis un certain temps. Rien qu’à voir la liste très allongée des IP bannies de mes serveurs openssh , y’a du monde au balcon. Marrant de voir aussi les vagues selon l’activation des botnets…