Youtube Facebook Twitter EN DIRECT 2224 connexion / inscription
Connexion

Surnom/Pseudo
Mot de Passe :

[ Vous avez perdu votre mot de pass ? | Devenir membre ]

×

Un hacker crée son propre super calculateur avec huit GTX 1080 pour casser des mots de passe

Casey Cammilleri avait besoin d'un supercalculateur mais semblait pas disposer des millions nécessaires à l'acquisition de ce dernier, il a donc décidé d'en créer un lui-même.
Il a tout simplement assemblé huit cartes graphiques GTX 1080.

hacker propre-super-calculateur huit-gtx-1080 mots-de-passe


Casey Cammilleri a donc acheté deux processeurs Intel Xeon E5, 64 Go de DDR4, un SSD de 1 To et 8 GeForce GTX 1080 Founders Edition de chez EVGA.
Le Hacker a installé le systéme d'exploitation Ubuntu 14.04.2 Server et deux programmes : hashcat et hashview, dédiés au cassage de mots de passe. Après un test, la configuration atteint 341 GH/s (Gigahash par seconde), soit une incroyable capacité de casser des dizaine de milliers de mots de passe par heure.
Rassurez-vous, Casey Cammilleri n'utilisera pas ses super pouvoirs pour répandre le mal, sa configuration lui sera utile pour analyser la sécurité des systèmes dont il a la charge.

source : Fredzone


Posté le 16 Février 2017 à 09:44 par  - 38515 lectures 29 commentaires
Augmenter taille du texte Augmenter taille du texte Flux rss cowcotland Sauvegardez cette news Envoyer à un ami Signaler une erreur dans cette news
29 commentaires
Vous devez être membre pour poster des commentaires.
Identification
Surnom/Pseudo :
Mot de Passe :
Posté le 16/02/2017 09:50:50
Oui Jonathan... bon y'a une faute d’orthographe alors...

Il s'agit donc un supercalculhackeur...

» Album Photos
Posté le 16/02/2017 09:53:22
J'approuve ce que fait ce mec, un passionné qui se donne à fond.
Ca peut donner de belles choses.

Par contre, 341 GH/s, ca ne me parle pas, quelqu'un a un élément de comparaison par rapport à quelque chose de connu et concret.

1million d'année lumière, ça me parle déjà plus ^^
Posté le 16/02/2017 09:58:12
Par contre, 341 GH/s, ca ne me parle pas, quelqu'un a un élément de comparaison par rapport à quelque chose de connu et concret.





2,21 gigowatts !
dernière édition : 16/02/2017 10:05:53
Posté le 16/02/2017 10:05:32
Effectivement ça envoie du pâté
Posté le 16/02/2017 10:15:17 depuis version mobile
Pourquoi opté sur des 1080 et non pas sur des version carte graphique pro ? Cela serait pas plus efficace pour ce genre de chose ?
» Album Photos
Posté le 16/02/2017 10:23:57
raptor_rico : Pourquoi opté sur des 1080 et non pas sur des version carte graphique pro ? Cela serait pas plus efficace pour ce genre de chose ?

Parce qu'il joue aussi au démineur de temps à autre.
Posté le 16/02/2017 10:28:01
Donc un investissement très faible pour les mafia qui exploite ce genre de bizness
Posté le 16/02/2017 10:56:14
raptor_rico : Pourquoi opté sur des 1080 et non pas sur des version carte graphique pro ? Cela serait pas plus efficace pour ce genre de chose ?

Quelque chose me dit que son banquier a à voir là dedans
dernière édition : 16/02/2017 10:56:36
» Album Photos
Posté le 16/02/2017 10:56:30
Est-ce vraiment illégal de cracker des mot de passes, du moment que c'est sur le net, logiquement ça devrait hors d'atteinte des autorités.
Ou alors le mec passe par un pays où c'est pas punis, bref
Lui le fait légalement, mais finalement qu'est ce qui est légal ou illégal, internet devrait appartenir à tous.
Posté le 16/02/2017 11:02:23
Il amasse le bitcoin à la pelle lui
Posayyyy
Posté le 16/02/2017 11:13:57 depuis version mobile
Il devrait miné du bitcoin
Machine de ouff!
» Album Photos
Posté le 16/02/2017 11:20:16
djshotam :
Par contre, 341 GH/s, ca ne me parle pas, quelqu'un a un élément de comparaison par rapport à quelque chose de connu et concret.
2,21 gigowatts ! :D

Il peut retourner dans le futur avec ça?
Posté le 16/02/2017 11:35:09
J'aime bien le "simplement'
Posté le 16/02/2017 11:45:21
jojolapotatoes : Il amasse le bitcoin à la pelle lui Posayyyy

ou pas... Les carte nVidia sont pourrie pour le minage de crypto monnaie ^^
Posté le 16/02/2017 11:49:06
jojolapotatoes : Il amasse le bitcoin à la pelle lui Posayyyy

De ce que je connais, non. Il faut utiliser des machines spéciales pour miner.
Posté le 16/02/2017 12:00:17
poca : De ce que je connais, non. Il faut utiliser des machines spéciales pour miner.

A la base c'était simplement sur des CG mais oui maintenant des puces mises les unes sur les autres sont spécialisé dans le minage du coup ca chauffe pas du tout à puissance égale (à coté des cartes graphiques) donc ça vaut meme plus le coup de miner avec des cartes graphiques par contre 8 1080 ça peut en envoyer quand même ^^
Posté le 16/02/2017 12:06:13
ok, ça explique pourquoi hier sur le chat aide de top achat, y'en avait un qui voulait une super carte graphique pour craquer des mots de passe, mais qui n'y connaissait rien XD
dernière édition : 16/02/2017 12:07:08
Posté le 16/02/2017 12:49:10
La machine est performante pour trouver le mdp avec comme base le hash (d'où le terme "Gigahash per second"), on hash des milliards de strings par seconde et on arrête quand on trouve le même hash que le mdp hashé. Autrement dit, ça marche sur les base de données de mdp hashés hackés (offline donc), mais ce n'est certainement pas un système qui va essayer des milliards de combinaisons sur un site pour cracker un mdp. Il faut donc avant tout qu'un site se fasse dérober sa bdd de mdp pour que le système soit effectif. Ca démontre également que le hash de mdp est strictement inutile mais ça ça fait 20 ans qu'on le dit.

Sinon c'est clairement pas nouveau :

348 GH/s en 2012

un mdp de 14 caractères hashé trouvé en 6 minutes, pas mal.
dernière édition : 16/02/2017 12:51:15
Posté le 16/02/2017 13:43:43
Hecatonchyr : La machine est performante pour trouver le mdp avec comme base le hash (d'où le terme "Gigahash per second"), on hash des milliards de strings par seconde et on arrête quand on trouve le même hash que le mdp hashé. Autrement dit, ça marche sur les base de données de mdp hashés hackés (offline donc), mais ce n'est certainement pas un système qui va essayer des milliards de combinaisons sur un site pour cracker un mdp. Il faut donc avant tout qu'un site se fasse dérober sa bdd de mdp pour que le système soit effectif. Ca démontre également que le hash de mdp est strictement inutile mais ça ça fait 20 ans qu'on le dit. Sinon c'est clairement pas nouveau : 348 GH/s en 2012 un mdp de 14 caractères hashé trouvé en 6 minutes, pas mal.

C'est clair qu'il faut déjà avoir le hash du password.
Si tu pars de rien, c'est tout autre chose
Posté le 16/02/2017 14:25:40
Et même avec ça je suis sur que Minecraft continuerait de laggué
» Album Photos
Posté le 16/02/2017 14:41:48
TJ619 : Et même avec ça je suis sur que Minecraft continuerait de laggué :D

Si ça lag, ça vient de ta connexion ^^
» Album Photos
Posté le 16/02/2017 15:18:46
p3rn3l : Si ça lag, ça vient de ta connexion ^^

MOVE ***** Get out the way


Posté le 16/02/2017 15:19:27
Je savais pas que les cartes maxwel&pascal avaient dépassées les AMD sur les hashs ! Les benchs entre kepler et maxwell sont impressionnants !
http://www.crackingservice.com/?q=node/20
Posté le 16/02/2017 15:37:34
Oye oui en effet c'est violent du coup ça devait bel et bien être dû à la puissance brute
Posté le 16/02/2017 16:10:42
A cela s'ajoute le prix des autres composants

Rien que la carte mère coute 4000€....
1000€ pour les deux CPU



Posté le 16/02/2017 16:42:28
kikamaruu : J'approuve ce que fait ce mec, un passionné qui se donne à fond. Ca peut donner de belles choses. Par contre, 341 GH/s, ca ne me parle pas, quelqu'un a un élément de comparaison par rapport à quelque chose de connu et concret. 1million d'année lumière, ça me parle déjà plus ^^

341 milliards de mots de passe testés par seconde. J'imagine qu'on parle de hashs MD5.

Il faut noter que c'est aussi un setup sympathique pour hasher ses propres mots de passe. On peu par exemple choisir un nombre d'itérations de hashing qui prenne une certain temps sur cette config (disons une seconde pour l'exemple), et se dire que si notre base fuite, une gars qui voudrait cracker les mots de passe qu'elle contient ne pourra effectuer qu'un essai par seconde, en admettant qu'il ait une config identique.
dernière édition : 16/02/2017 16:48:17
Posté le 16/02/2017 21:32:47
Hello,

Ayant un peu de connaissance en sécurité informatique je me suis permis de répondre à vos commentaire pour y apporter plus de clarté :

Pourquoi opté sur des 1080 et non pas sur des version carte graphique pro ? Cela serait pas plus efficace pour ce genre de chose ?
=> Le coût des cartes et la non nécessité de mémoire sont les principaux argument pour le choix des cartes grand publique

Est-ce vraiment illégal de cracker des mot de passes, du moment que c'est sur le net, logiquement ça devrait hors d'atteinte des autorités.
=> C'est légal dans plusieurs cas : Capture The Flag (des événements de sécurité organisés pour apprendre la sécurité informatique), audit de sécurité en entreprise, pour du "ethical hacking" càd une personne qui pratique le hacking dans des conditions connues et légales

Ou alors le mec passe par un pays où c'est pas punis, bref
=> C'est aussi possible, si on désire utiliser ce type de solution à des fins malvaillantes

Il amasse le bitcoin à la pelle lui
=> Non, ce type de carte n'est pas rentable en terme de performance / consommation. Il existe pour ça ce qu'on appelle des ASIC (Application-Specific Integrated Circuit), ce sont des puces spécialisées dans une seule tâche qui consomment très peu d'énergie. Ici il faut pouvoir effectuer plein de type de tâches différentes, donc ce n'est pas du tout le même type d'application (mais ça consomme plus).

La machine est performante pour trouver le mdp avec comme base le hash (d'où le terme "Gigahash per second"), on hash des milliards de strings par seconde et on arrête quand on trouve le même hash que le mdp hashé. Autrement dit, ça marche sur les base de données de mdp hashés hackés (offline donc), mais ce n'est certainement pas un système qui va essayer des milliards de combinaisons sur un site pour cracker un mdp. Il faut donc avant tout qu'un site se fasse dérober sa bdd de mdp pour que le système soit effectif. Ca démontre également que le hash de mdp est strictement inutile mais ça ça fait 20 ans qu'on le dit.
=> Il faut remettre les choses à leurs places. On parle ici effectivement de hashcat, qui est un outil spécialisé dans le cassage de hash. Les DB contenant des passwords c'est une application, mais ce n'est clairement pas limité à la reconstruction de mot de passes (voir ici : https://hashcat.net/wiki/doku.php?id=oclhashcat#options). Le fait d'arriver à dérober les hashs d'une DB ne pose en soit pas de problème, à deux conditions : les hashs doivent être "salté" (càd qu'on couple le mot de passe en claire avec un nombre aléatoire (grand) et ensuite on hash l'ensemble de telle sorte que deux mots de passes identiques n'ont pas le même hash) et les passwords doivent être hashé avec un algorithme reconnu comme étant solide (SHA-512, SHA-3, etc). Si on ne dispose pas du salt (donc si on a uniquement le hash) dans ce cas le hash est considéré comme "safe".
Concernant l'utilité du hashing de mot de passe, c'est clairement utile de nos jours ! Ce qui est inutile de nos jours c'est de hasher un mot de passe en MD5 (cassé) ou en SHA1 (théoriquement cassé)

Rien que la carte mère coute 4000€....
1000€ pour les deux CPU
=> 4000€ c'est le prix du chassis + carte-mère + allimentation, càd un prix extrêmement raisonable pour du matériel pro. Idem pour les CPU, ce sont des "petits" CPU, mais le prix est très correct.
dernière édition : 16/02/2017 21:35:53
Posté le 16/02/2017 21:34:05
La suite :

341 milliards de mots de passe testés par seconde. J'imagine qu'on parle de hashs MD5.
=> Non, le test a été effectué sur des hash NTLM (source : https://www.shellntel.com/ => ./hashcat64.bin -m 1000 -b => 1000 = NTLM)

Il faut noter que c'est aussi un setup sympathique pour hasher ses propres mots de passe. On peu par exemple choisir un nombre d'itérations de hashing qui prenne une certain temps
=> Non ce n'est pas nécessaire, les algorithmes de hashage actuels (SHA-3 par exemple) sont prévus pour être extrêmement performant (un peu de lecture ici : https://bench.cr.yp.to/results-sha3.html).

une gars qui voudrait cracker les mots de passe qu'elle contient ne pourra effectuer qu'un essai par seconde, en admettant qu'il ait une config identique
=> Non ça ne marche pas vraiment comme ça ^^
Posté le 17/02/2017 10:21:30
ASIC voilà c'est juste le mot là qui me manquait !
Top 100 dernières actualités des fermiers