您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

黑客开始利用云计算服务暴力破解密码

2009-11-4 10:31| 投稿: blue

摘要:   使用云计算服务来替代在公司里设立维护大量服务器,显然对节省企业的成本有利。不过现在看来从云计算服务中受惠最大的恐怕是黑客等群体,黑客们开始利用亚马逊EC2等云计算服务来暴力破解并窃取用户信用卡密码...
  使用云计算服务来替代在公司里设立维护大量服务器,显然对节省企业的成本有利。不过现在看来从云计算服务中受惠最大的恐怕是黑客等群体,黑客们开始利用亚马逊EC2等云计算服务来暴力破解并窃取用户信用卡密码。不过据安全专家David Campbell的计算,即便用户不使用安全专家建议的大小写字母混合式的密码组合,使用亚马逊提供的云计算服务进行密码暴力破解的黑客,出于成本过高的原因可能也将无法使用这种服务对具备12位长度的密码进行破解。   目前,亚马逊公司为用户提供一种名为EC2的云计算网络服务,这种服务按小时计费.而如果要利用这种服务来暴力破解长度为12位的密码,黑客需要为此支付150万美元以上金额的服务费。不过如果密码的长度缩短为11位,那么便只需要不到6万美元服务费即可,而10位密码则需要支付不到2300美元的费用。   按照传统的安全建议,在密码中采用大小写字母混搭的形式更为安全一些,但根据最近的研究,其提升的安全等级并不如我们所想像得那么大,而密码的位数对密码安全性的提升作用则更大一些。采用这种混搭形式的10位密码只需要支付不到6万美元的服务费,便可以利用EC2云计算服务暴力破解成功。而11位这样的密码则需要花费210万美元。而如果密码的长度较短,即使用户在设置密码时采用诸如“!@#$%”这类生僻字符,暴力破解密码同样比较容易。采用EC2计算8位长度的这种密码的费用大约是10.6万美元左右。   这篇分析文章的全文可以点击这个链接进行查阅。这篇文章以今年早些时候SensePost的安全顾问Haroon Meer在“黑帽”大会上所作的研究报告为基础。在这篇文章中,Campbell向我们介绍了一种利用亚马逊EC2云计算服务来暴力破解并窃取用户信用卡密码的方法。   “由于黑帽组织已经开始利用云计算等超级计算服务开展破解行动,因此我们这批负责安全管理的技术人员需要重新考虑一些过去被我们忽视的安全细节。黑客们窃取了用户的信用卡后,可以利用这些卡里的钱来购买计算能力强劲的机器,这些机器的威力甚至比国家安全机关中装备的超级计算机还强。”   尽管亚马逊向单独一名用户提供的云计算服务计算能力有限,但黑客们也有对应的办法,他们可以利用窃取的多个信用卡账号同时登陆云计算服务,让这些计算同时进行。   Cambell在这次的假设中采用了一种很简单的算法:   在计算暴力破解由8位全小写字母组成的密码的费用时,他简单地将暴力破解的次数设为26的8次方,这样,加上大写字母以及10个阿拉伯数字后,暴力破解的次数则变为(26+26+10)的8次方。而他的密码破解软件则每个小时可以暴力计算出93.6亿个密码,将62的8次方除以93.6亿,然后再乘以EC2服务的服务费,每小时30美分,这样暴力破解8位全小写字母密码的费用计算式便为:((26+26+10)^8/ 9,360,000,000) * .30.   而暴力破解由12位大小写字母+阿拉伯数字组成密码所需的费用则为((26+26+10)^12 / 9,360,000,000) * .30   使用云计算服务来替代在公司里设立维护大量服务器,显然对节省企业的成本有利。不过现在看来从云计算服务中受惠最大的恐怕是黑客等群体。   不久以前,安全专家还对102位的RSA密码长度刚到放心。但随着电脑技术的发展,现在愿意使用2048位密码长度的安全专家数量也越来越多。而现在云计算也开始加入到为密码破解技术提供服务的阵营中去,是时候对一些传统的安全措施进行重新考虑和修改了。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部