Sunday, March 7, 2010

Criptografia: Ataques RSA 768 e 1024 bits & FRED-SC




[ Update - 07/03/2010 ]


Pesquisadores da Universidade de Michigan divulgaram um ataque bem sucedido (*) a criptografia RSA 1024 bits - para mais detalhes, veja o paper publicado (PDF).
"The RSA algorithm gives security under the assumption that as long as the private key is private, you can't break in unless you guess it. We've shown that that's not true," said Valeria Bertacco, an associate
professor in the Department of Electrical Engineering and Computer Science, in a statement.

Since 1977, RSA public-key encryption has protected privacy and verified authenticity when using computers, gadgets and web browsers around the globe, with only the most brutish of brute force efforts (and 1,500 years of processing time) felling its 768-bit variety earlier this year. Now, three eggheads (or Wolverines, as it were) at the University of Michigan claim they can break it simply by tweaking a device's power supply. By fluctuating the voltage to the CPU such that it generated a single hardware error per clock cycle, they found that they could cause the server to flip single bits of the private key at a time, allowing them to slowly piece together the password. With a small cluster of 81 Pentium 4 chips and 104 hours of processing time, they were able to successfully hack 1024-bit encryption in OpenSSL on a SPARC-based system, without damaging the computer, leaving a single trace or ending human life as we know it. That's why they're presenting a paper at the Design, Automation and Test conference this week in Europe, and that's why -- until RSA hopefully fixes the flaw -- you should keep a close eye on your server room's power supply.

Outros detalhes: http://rdist.root.org/2010/03/08/attacking-rsa-exponentiation-with-fault-injection/

(*) For whatever reason, the OpenSSL programmers decided to retry with fixed-window exponentiation and trust that since there were no published fault attacks for it, they didn’t have to validate its result (...) This was a nice attack but nothing earth-shattering. The only thing I was floored by (yet again), was the willingness of crypto implementers to perform unsafe operations in the face of an almost certain attack. Shame on OpenSSL.
A RSA demorou, mas respondeu de forma quase realista =) :

(...) Bottom line, FBARA does not report an attack against the RSA algorithm. It describes a hardware-based attack. This essentially induces computational faults by manipulating the power supply on the target device. The resulting faulty output means that it is possible to extract a private RSA key.
The real-world applications of this are limited since it requires physical access to a device operating OpenSSL (or at least to its power supply). Since OpenSSL typically executes on a server (and not something like a smartcard or a light device or consumer device), the attacker would probably have to overcome significant physical obstacles to get to the target. (...)

Para informações em português, leia: http://www.crkportugal.net/?p=892

[ Post Original - 08/01/2010 ]

1) Fatoracao RSA 768 bits

A vasta maioria da criptografia utilizada hoje depende de números enormes (algo maior de 200 dígitos) que sejam resultado do produto de outros dois números primos. É possível criptografar e descriptografar dados a partir do conhecimento dos números. E - se você não os sabe e precisará fazer um ataque de força bruta, é bom que você tenha tempo livre, muitos computadores a disposição e muita paciência e conheça muita gente como você (espere... esta parece ser a perfeita descrição da condição de pesquisadores acadêmicos! =).

Pois então, em um paper (pdf) divulgado a apenas algumas horas atrás, um grupo de pesquisadores anunciou a fatoração de um módulo 768 bit RSA em 12 de dezembro de 2009 e aproveitaram para recomendar que se deixe de usar criptografia RSA 1024 bits dentro dos próximos 3 anos. O paper é leve e tem até link para o Youtube usando o filme Bastardos Inglórios do Tarantino para a hora do "Bingo".

Bem, na verdade é leve até um momento, quando você possivelmente vai dar alguns page-downs por não querer sobrecarregar seus neurônios tentanto compreender as descrições teóricas das fórmulas matemáticas utilizadas durante o processo =)

Mas, o que isto significa, afinal? Bem, não é fácil para um humano imaginar um número de 232 dígitos. Para ajudar, segue o número:

12301866845301177551304949583849627207728535695953347921973224521517264
00507263657518745202199786469389956474942774063845925192557326303453731
54826850791702612214291346167042921431160222124047927473779408066535141
9597459856902143413

e os fatores (multiplicadores primos) encontrados:

33478071698956898786044169848212690817704794983713768568912431388982883793878002287614711652531743087737814467999489 
X 
36746043666799590428244633799627952632279158164343087642676032283815739666511279233373417143396810270092798736308917
Este número de 232 dígitos não foi escolhido a esmo, ele estava em uma lista de desafios da RSA já desativada.

O que acontence é que a com o tempo a dificuldade de quebra é reduzida com o aumento exponencial de velocidade dos processadores. (Moore´s Law). E pode ser ainda mais rápida com as novidades da utilização dos processadores gráficos (GPU), ou computação CUDA e/ou outros multiplos aceleradores gráficos integrados (ou 200 video-grames PS3, como no caso da colisão de hashes MD5 usados em certificados SSL que comentamos aqui há exatamente um ano atrás).

Para informações old-school - vá direto ao MIT do ano de 1978, quando Rivest, Shamir e Adleman - futuros RSA- publicaram o célebre documento "A Method For Obtaining Digital Signatures And Public Key Cryptosystems" (pdf).


2) FRED-SC

Aproveitando o assunto criptografia, e sendo muito comum em análises forenses nos depararmos com documentos criptografados, vale a notícia de um fabricante de hardware especializado para forense computacional que anunciou há poucos dias que está comercializando servidores com múltipas GPUs gráficas prontos para o trabalho de quebra especializada de senhas.

Trata-se da Digital Intelligence, que já fornece o sistema Fred-SC, que vem com quatro placas de vídeo NVIDIA GTX-295 customizadas para funcionar em paralelo (cada placa tem dois GPUs em um total de 1920 processadores!)

Isto possibilita uma velocidade de processamento MONSTRUOSO obviamente para aplicações especialmente construídas para este fim. Por exemplo, este sistema já vem embarcado com a ferramenta da empresa russa Elcomsoft chamado "Distributed Password Recovery (EDPR)" - e a licença permite que este sistema pode ser utilizado em até 20 servidores FRED-SC em paralelo.

Além de possibilitar uma maior eficiência em ataques de força bruta e dicionário, este poder computacional todo conseguir calcular rainbow tables para gerar hashes pré-calculados de forma rapidíssima.

Para deixar bem claro o tamanho da evolução (e também para entender porque dizem que o processamento com múltiplos GPUs explodiu com a lei de Moore), dê uma olhada nos gráficos comparativos de quebra de senha de arquivos do Office 2007, Vista e Win7 (NTLM) e Unix (MD5) em um sistema versus o "Fred-SC" da Digital Intelligence.

Exemplos:

Senhas do Vista (NTLM): CPU Quad-Core stand-alone: 177 mil senhas por segundo.
Senhas do Vista (NTLM): FRED-SC stand-alone: 3.9 bilhões de senhas por segundo.

Senhas do Linux (MD5): CPU Quad-Core stand-alone: 219 mil senhas por segundo.
Senhas do Linux (MD5): FRED-SC stand-alone: 5.3 bilhões de senhas por segundo.

Seguem os tipos de aplicações que são os "alvos-ideais" para trabalhos de quebra de senha com o FRED-SC + EDPR (todos otimizados / acelerados para GPU):

- Microsoft Word/Excel/PowerPoint/Project 2007 (.DOCX, .XLSX, .PPTX, .MSPX)

- PGP disks with conventional encryption (.PGD), whole disk encryption.

- Windows NT/2000/XP/2003/Vista logon passwords (LM/NTLM)

- Windows DCC (Domain Cached Credentials) passwords (password recovery).

- MD5 hashes (plaintext recovery).

- WPA and WPA2 passwords (password recovery).

[ Update - 31/12/2010 ]

Na BlackHat 2010 será apresentado um server capaz de processar "280 DES decryptions per second! permitting the full 56-bit key space to be searched in 3 days" Mais informações aqui.

2 comments:

  1. Gustavo Souza1/08/2010 9:11 PM

    Assuntos complexos mas muito bem apresentados...

    valeu! Gustavo

    ReplyDelete
  2. Fala Suffert,

    Valeu pela visita e pela dica cara.

    Agora US$ 10.999 para mim é caro bagarai!!!! :-D é melhor juntar algumas máquinas e fazer um John The Riper Cluster jejejejeje!!!

    Bricadeiras a parte gostei muito dos resultados apresentados pela solução FRED-SC

    Senhas do Vista (NTLM): CPU Quad-Core stand-alone: 177 mil senhas por segundo.
    Senhas do Vista (NTLM): FRED-SC stand-alone: 3.9 bilhões de senhas por segundo.

    Senhas do Linux (MD5): CPU Quad-Core stand-alone: 219 mil senhas por segundo.
    Senhas do Linux (MD5): FRED-SC stand-alone: 5.3 bilhões de senhas por segundo.

    Meu John The Ripper Cluster não chega nem o chulé.

    Abs,

    Alexos
    http://blog.alexos.com.br

    ReplyDelete

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) ddos (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) privacidade (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shell (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)