Titelaufnahme

Titel
Cloud Attack - Nutzung der Cloud zur Wiederherstellung von Passwörter : aus MD5-Hashwerten
Weitere Titel
.
VerfasserBernt, Thomas
Betreuer / BetreuerinKoschuch, Manuel ; Hudler, Matthias Peter
Erschienen2013
Datum der AbgabeFebruar 2013
SpracheDeutsch
DokumenttypBachelorarbeit
Schlagwörter (DE).
Schlagwörter (EN).
Zugriffsbeschränkung
 _
Klassifikation
Zusammenfassung (Deutsch)

Diese Arbeit beschäftigt sich damit, welchen Nutzen ein Angreifer aus sogenannten Cloud-Diensten ziehen kann.

Eine Cloud stellt Nutzern IT-Dienstleistungen, welche das komplette Spektrum der Informationstechnik beinhalten, über ein Netz zur Verfügung. Hier sind unter anderem Infrastruktur wie Rechenleistung, Speicherplatz, aber auch gesamte Plattformen und Software enthalten.

Es wird davon ausgegangen, dass sich der Angreifer solche Dienstleistungen zunutze machen will, um Passwörter verschiedener Längen aus den zugehörigen MD5-Hashwerten mittels Brute Force wiederherzustellen. Als Brute Force wird das Ausprobieren aller möglichen Passwortkombinationen, bis zur Ermittlung des richtigen Passwortes bezeichnet.

Dafür werden über mehrere Versuche mittels einem Passwort-Recovery Programm, an einer Lokalen Arbeitsstation, Vergleichswerte ermittelt und diese anschließend dazu verwendet, um auf mögliche Performancewerte einer angemieteten Cloud-Instanz zu schließen.

Dieses Programm nutzt zur Berechnung der Hashwerte anstelle des Hauptprozessors den Prozessor der Grafikkarte. Dieser kann durch seine spezielle Architektur enorm viele Berechnungen parallel durchführen, wodurch ein wesentlicher Geschwindigkeitsvorteil zu verzeichnen ist.

Durch die berechneten Performancewerte ist ersichtlich, dass die Cloud-Instanz mehr als 20 mal schneller als die Lokale Arbeitsstation ist, woraus sich schließen lässt, dass die benötigte Rechendauer auf ein Zwanzigstel sinkt.

Man stößt jedoch auf das Problem der, mit der Vergrößerung der Passwortlänge, exponentiell ansteigenden Anzahl der Passwortkombinationen.

Es würde mittels lokaler Arbeitsstation bereits 1.337 Jahre und mit der angemieteten Cloud-Instanz auch noch zirka 62 Jahre dauern, um ein 12 Stellen langes Passwort, im Falle des Worst-Case, mit einem möglichen Zeichensatz von Zahlen und Kleinbuchstaben wiederherzustellen.

Zusätzlich müssten für diese Beschleunigung der Berechnungszeit zirka 1,3 Millionen Dollar aufgebracht werden, was den Kreis der Interessenten dieses Ansatzes wesentlich verkleinert.

Es lässt sich also daraus schließen, dass Angreifer zwar einen Nutzen aus der Anmietung ziehen, über die Wirtschaftlichkeit dieser lässt sich jedoch ab einer bestimmten Länge des Passwortes streiten.

Zusammenfassung (Englisch)

.