Uusi pilvipalvelu varastaa Wi-Fi-salasanat

US $ 34: ssa uusi pilviperusteinen hakkerointipalvelu voi murtaa WPA (Wi-Fi Protected Access) -verkoston salasanan vain 20 minuutissa, jonka luoja sanoo.

WPA Cracker -palvelu lasketaan käyttöön maanantaina hyödyllisenä työkaluna turvatarkastajille ja tunkeutumisen testaajille, jotka haluavat tietää, voisivatko ne osua tiettyihin WPA-verkkoihin. Se toimii tunnetun haavoittuvuuden vuoksi, joka on etukäteen jaettu avain (PSK), jota kotikäyttäjät ja pienyritykset käyttävät yleensä.

Palvelun käyttämiseksi testeri toimittaa pienen "kättelyn" tiedoston, ja WP-reitittimen ja PC: n välillä. Näiden tietojen perusteella WPA Cracker voi sitten selvittää, näkyykö verkko tällaisen hyökkäyksen riskialttius.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

tunnettu turvallisuus tutkija, joka kulkee nimellä Moxie Marlinspike. Haastattelussa hän sanoi, että hän sai ajatuksen WPA Crackerista keskustellessaan muiden turvallisuusasiantuntijoiden kanssa siitä, miten nopeuttaa WPA-verkkotarkastusta. "Se on eräänlainen vedonlyönti, jos kestää viisi päivää tai kaksi viikkoa tulosten saamiseksi."

Hakkerit ovat jo jonkin aikaa tunteneet, että nämä WPA-PSK-verkot ovat alttiita sanakirjaskohtaukselle, jossa hakkeri arvailee salasanan kokeilemalla tuhansia yleisesti käytettyjä salasanoja, kunnes yksi lopulta toimii. Mutta koska WPA on suunniteltu, WPA-verkon haittaohjelmien hyökkäys on erityisen pitkä aika.

Koska jokainen WPA-salasana on kerättävä tuhansia kertoja, tyypillinen tietokone voi arvata vain 300 salasanaa toiseksi, kun taas muut salasanakäärittelijät voivat käsitellä satoja tuhansia sanoja sekunnissa. Tämä tarkoittaa, että 20 minuutin WPA Cracker-työ, joka sisältää 135 miljoonaa mahdollista vaihtoehtoa, kestää noin viisi päivää kaksoisydämetkulla, Marlinspike sanoi. WPA Cracker -asiakkaat pääsevät käsiksi 400-solmun tietokoneklusteriin, joka käyttää mukautettua sanastoa, joka on suunniteltu nimenomaan WPA-salasanojen arvaamiseksi. Jos he löytävät 34 dollarin hintalistan liian jyrkkää, he voivat käyttää puolet klusterista ja maksaa 17 dollaria, mikä voisi olla 40 minuutin työ.

Hyökkäys toimii, jos verkon salasana on Marlinspike 135 miljoonan fraasi-sanakirjassa, mutta jos se on vahva, satunnaisesti luotu salasana, se ei todennäköisesti ole crackable.

Palvelu voi säästää paljon aikaa turvatarkastajille, mutta se todennäköisesti helpottaa ylimmän johdon ymmärtävän heidän kohtaamiaan riskejä, sanoi penetraatiotestausyhtiö Errata Securityn toimitusjohtaja Robert Graham. "Kun näytän tämän johdolle ja sanon, että se maksaa 34 dollaria halki WPA-salasanasi, se on jotain, jonka he voivat ymmärtää", hän sanoi. "Se auttaa minua paljon."