Oramai i nostri processori  sono arrivati ad un punto limite, la maggior parte, cioè quelli commerciali, non superano i 4Ghz di potenza, di fatto le case produttrici per non fermare il mercato hanno iniziato a duplicare i processori anzichè potenziare i chip esistenti.

Esistono sul mercato processori potentissimi, a nostra insaputa, questi processori si trovano nelle nostre amatissime schede grafiche. Per chi ama giocare con il computer, forse non sà che dentro la sua scheda grafica all’ultimo grido esiste una potenza di calcolo senza precedenti.

Le schede grafiche eseguono calcoli grafici in maniera istantanea  rispetto al processore del computer, questo per elaborare la grafica che noi visualizziamo sul nostro monitor nel modo più “fluido” possibile.

Per scoprire le capacità di calcolo, mettiamo alla prova entrambi i processori GPU vs CPU.

Per capire le differenze tra i due processori proviamo a vedere chi per primo riesce a craccare una password NTLM, per chi non sapesse cosa sia, è l’algoritmo con cui Windows cripta le proprie password. Questo algoritmo di criptazione è abbastanza robusto quindi difficile da eludere.

Per eseguire questi test abbiamo trovato in rete 2 software che fanno al caso nostro

• Cain
• Ighashgpu

Gain è un programma conosciuto nel mondo del cracking, che permette di craccare una password con il sistema Bruteforce. Per chi non sapesse cosa sia questo sistema lo rimando a leggere una piccola guida su wikipedia sul bruteforce

L’altro chiamato “banalmente” Ighashgpu è un software a riga di comando, quindi non ha grafica, che utilizza la GPU anzichè il nostro processore primario (CPU). Il programma supporta le seguenti password:

• Plain MD4, MD5, SHA1.
• NTLM
• Domain Cached Credentials
• Oracle 11g
• MySQL5
• MSSQL
• vBulletin
• Invision Power Board

Utilizzando Gain, generiamo una password di test da 5 caratteri alfanumerici.

Ad esempio: “fjR8n” il suo corrispettivo criptato in NTLM è  “AA8251D1BB587ABFAE6403194216041F” ovviamente senza virgolette.

Proviamo a violarla con Cain.

 

Come potete vedere Cain ci ha restituito la password in 24 secondi utilizzando 9.8 milioni di password al secondo.

Ora vediamo Ighashgpu

 

Nettamente superiore, la password è stata trovata in meno di 1 secondo. Il programma ha eseguito la sua scansione con 3.334 miliardi di password per secondo.

Vorrei convincere molte più persone di quanto questo piccolo test abbia fatto. Aumentiamo la posta in gioco…..

Utilizziamo ora una password da 8 caratteri alfanumerici. Il dato importante è che la maggior parte delle password è statisticamente non superiore a 6 caratteri, di cui non sempre alfanumerici.

“t6Hnf9fL” => “7B0E126699A3EE5F0108D07926448E47”

Iniziamo con Cain

Utilizzando la CPU avremmo la nostra password dopo quasi un anno, più precisamente tra 256 giorni.

Accendiamo la nostra GPU…

La differenza si sente, 18 ore e 33 minuti. Tempo di andare a scuola o a lavoro, e avremmo accesso al computer gestito da un sistemista/webmaster di medio livello in qualsiasi parte del mondo.

Ho voluto fare questi test, per far capire che la sicurezza di un sistema o la robustezza di una password oggi è una cosa fondamentale. Ho scelto l’algoritmo per voi più comune come quello NTLM, perchè fà parte della vita quotidiana della maggior parte di noi, esso infatti è utilizzato dai sistemi Windows.

Ma questo software può violare moltissime tipologie di password, da quelle dei database a quelle utilizzate in programmi più comuni. Se pensate di essere al sicuro, vi sbagliate di grosso. Io personalmente vedo che c’è un grande bisogno al giorno d’oggi di mettere al sicuro le password che utilizziamo, e i sistemi più semplici sono i più consigliati.

Password maggiori di 8 lettere..e credo ne avete avuto la prova, utilizzare caratteri alfanumerici insieme con i caratteri speciali (@.!?-_ ) e cambiarla di tanto in tanto. Io consiglio anche di utilizzare intere frasi famose o citazioni sostituendo gli spazi con caratteri speciali.

Oggi vi ho dato la prova che le GPU sono molto veloci per questo tipo di utilizzo.

Se vi dicessi che si possono unire più GPU insieme aumentanto il calcolo computazionale?

Cain è scaricabile da qui: Scarica

Disclaimer:

Questo articolo può sembrare sicuramente interessante, ma l’attività di bruteforce e violare le password sono attività illegali e non devono assolutamente essere usate per scopi illeciti. In questo articolo sono state create password di test, utilizzatele anche voi senza compromettere la sicurezza di altri. Non mi assumo nessuna responsabilità su come utilizzerete queste informazioni.