19/04/12 16:49
Kijken jullie wel uit allemaal? Als je TrueCrypt container niet eens meer veilig is. Wat zijn de alternatieven?
http://www.security.nl/artikel/41183..._back-ups.html
http://www.golubev.com/igprs/
Eens kijken hoe het is gesteld met de wifi beveiliging van de buurt (samen met mijn Alfa AWUS036H).
EDIT: btw. Bovenstaande is gratis. Wil je er voor betalen (uitgebreider) dan kun je kiezen voor http://www.secpoint.com/portable-penetrator.html
Laatst gewijzigd door Domenico; 19/04/12 om 16:51.
19/04/12 17:01
Dat het te kraken is, is op zich geen nieuws. De vraag is meer hoe lang je erover doet en dat is niet helemaal duidelijk op de site. Zou wel interessant zijn om te weten hoe lang het gemiddeld duurt (exact is nooit aan te geven natuurlijk, want dat verschilt per wachtwoord) om een TrueCrypt volume met een wachtwoord van bijv. 10 tekens te kraken.
Bij de main features staat:
"Several types of attacks supported — brute-force and dictionary based ones"
Dat is niet heel boeiend natuurlijk, want brute-force attacks kunnen bijna overal wel op.
19/04/12 17:18
Ja, ik wil een alternatief waar ik gewoon qwerty123 als password kan gebruiken en dat toch veilig is ....Oorspronkelijk geplaatst door Domenico
Zo te zien gewoon een geoptimaliseerde password zoeker, dus niks speciaal onveilig aan je Truecrypt containers zolang je password goed genoeg is.
Laatst gewijzigd door visser; 19/04/12 om 17:33.
19/04/12 17:24
Zo te zien is dit inderdaad niet echt wat bijzonders, en niet iets wat je als "het kraken van TrueCrypt" zou kunnen bestempelen.
19/04/12 17:35
Veel hangt af van de rainbow tables die je in je bezit hebt om iets te kraken, soms kan het binnen de 10 seconden en soms een maand. Maar wat betreft de WPA2, wie houdt zich daar nog mee bezig aangezien WPS al enige tijd zo lek is al wat. En dat bijna op iedere modem/router van dezelfde fabrikant dezelfde pin combinatie gebruikt, zo hoef je ook maar 1 keer de WPS te hacken van bvb linksys en werkt die op elk ander model. Om je een idee te geven zijn er in de UK van een provider (zal hier even de naam niet noemen) 2 miljoen modems in omloop die gebruikt maken van dezelfde WPS pincode (als beheerder).
Om het even kort uit te leggen, WPS kent waarschijnlijk iedereen door het handige knopje op een modem en router die je laptop/device automatisch instelt met de WEP/WPA/WPA2. Maar wat weinigen weten is dat hier een een WPS admin pincode voor bestaat, eens je deze bemachtigd hebt kan je gewoon de volledige (afhankelijk van modem/router) of plain text en encrypted key mee opvragen. Dus waarom nog de moeite doen om een moeilijk paswoord te kraken als een WPS admin key maar een 10 delige numerieke code is en op iedere modem/router reeks hetzelfde is.
Wat betreft truecrypt bestaat er ook 2 factor authentificatie, maar het probleem is dat als je bvb je usb key (ubikey) verliest waarmee je 2 factor authentificatie doet ook niet meer aan je gegevens kunt.
Dennis de Houx - All In One ~ Official ISPsystem partner
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
19/04/12 17:39
Even de benchmark gestart:
Als je gebruik maakt van de beschikbare GPU's gaat het wel verdomd rap hoor. WPA2 heb ik hier over het algemeen allemaal binnen één dag.IGPRS Version 1.11 build 2292 x64
Benchmark started: donderdag 19 april 2012 17:33
CPU [ Intel(R) Core(TM) i7-2600K CPU @ 3.40GHz] [GenuineIntel 6/42/7] MMX SSE2 AVX AES-NI
CPU/GPU strategy: [Default]
GPU [GeForce GTX 590] 512 SP/ALU @ 1215 Mhz
GPU [GeForce GTX 590] 512 SP/ALU @ 1215 Mhz
Type: Blackberry 5.x backup
Protection: BlackBerry 5.x backup, PBKDF2/AES
Password recovery rate: 26.439.921 (26.756.290)
Type: Blackberry 6.x backup
Protection: BlackBerry 6.x backup, PBKDF2/AES
Password recovery rate: 8.434 (8.940)
Type: WPA Handshake
Protection: WPA-PSK, PBKDF2/SHA1 HMAC/SHA1
Password recovery rate: 39.965 (43.652)
Type: Apple® iOS 4.x/5.x backup
Protection: Apple iOS 4.x/5.x backup, PBKDF2/AES
Password recovery rate: 16.361 (17.526)
Type: TrueCrypt volume
Protection: TrueCrypt volume header, PBKDF2/SHA-512/AES
Password recovery rate: 27.985 (30.046)
CPU frequency measured: 3392 Mhz
Benchmark finished: donderdag 19 april 2012 17:36
Wil je het echt veilig hebben zou ik gaan voor lange passphrases en zeker meer dan 10 karakters.
19/04/12 17:48
Als je gebruikt maakt van GPU's kan het inderdaad zeer vlug gaan en al zeker als je een GPU cluster opstelling gebruikt, hieronder even een cartoon die veel duidelijk maakt:
Wat betreft wifi kan je het ook veiliger maken door bvb gebruik te maken van radius etc, maar dat is voor de consument niet echt weg gelegd.
Dennis de Houx - All In One ~ Official ISPsystem partner
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
19/04/12 19:17
Brute Force is niet kraken, maar simpelweg raden
Als je er vanuit gaat dat computers steeds sneller worden, dan is een beveiliging op basis van een enkele factor nooit echt veilig. Stel er wordt de komende jaren een supercomputer gemaakt met gigantische snelheden zodat het raden van wachtwoorden geen honderden jaren meer duurt, maar een paar seconden. Je kunt er niet vanuit gaan dat computers "langzaam" blijven. Een echte beveiliging bestaat uit twee factoren. Something you know, something you have or something you are. Een 100% veilige oplossing kan nooit.
http://en.wikipedia.org/wiki/Two-factor_authentication
23/04/12 12:44
Buiten dat, zou het ook niet heel moeilijk moeten zijn om beveiliging in te bouwen die brute-force aanvallen tegenwerkt. Brute-force aanvallen zijn natuurlijk vrij makkelijk te detecteren.Brute Force is niet kraken, maar simpelweg raden
Als je er vanuit gaat dat computers steeds sneller worden, dan is een beveiliging op basis van een enkele factor nooit echt veilig. Stel er wordt de komende jaren een supercomputer gemaakt met gigantische snelheden zodat het raden van wachtwoorden geen honderden jaren meer duurt, maar een paar seconden. Je kunt er niet vanuit gaan dat computers "langzaam" blijven. Een echte beveiliging bestaat uit twee factoren. Something you know, something you have or something you are. Een 100% veilige oplossing kan nooit.
http://en.wikipedia.org/wiki/Two-factor_authentication
23/04/12 13:02
Dat hangt er vanaf, als je rechtstreekse toegang hebt of de ge-encrypte schuif/volume kan dupliceren dan helpt een anti brute force er niet tegen aangezien je kan herbeginnen waar je gestopt was. En tegen wpa2/wep/... etc helpt het al helemaal niet aangezien je de tools loslaat op een packet capture die je gemaakt hebt (met een sniffer in monitoring mode), dus de target device weet al helemaal niet dat er een bruteforce of hacking attempt aan de gang is.
Dennis de Houx - All In One ~ Official ISPsystem partner
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
23/04/12 13:08
Ander concept. Als je praat over een tool die met GPUs werkt, is het altijd een off-line aanval.
Dwz, je hebt beschikking over het truecrypt volume of de password hashes en kunt dus onbeperkt en zo snel als je kunt (vandaar de GPUs) passworden hashen en kijken of het resultaat klopt.
Daar zit geen OS of device tussen die deze brute force kan herkennen.
23/04/12 15:19
Hmm ja, daar had ik even geen rekening mee gehoudenAutomatisme van het vak he.. ik ga er bij probleemstellingen automatisch vanuit dat het om aanvallen op afstand gaat, maar dat is in deze situatie natuurlijk niet zo.
Likes: 
Quote