PC Pro - Vse od prihoda programljivih grafičnih procesorjev (GPGPU) poslušamo, da so uporabni za reševanje problemov, za katere so centralni procesorji prepočasni. Že pred tremi leti so se začeli pojavljati superračunalniki, ki izkoriščajo tudi moč grafičnih procesorjev, opazne pohitritve pa z GPGPU dosežemo tudi na namiznih računalnikih. Eno izmed početij, ki jih opazno pospešijo, je razbijanje gesel.

Jon Honeyball s PC Pro je uporabil grafično kartico Radeon 5770 in brezplačni program ighashgpu za razbijanje gesel z grobo silo (brute-force) z GPU-jem in Cain & Abel za uporabo CPU-ja. Ugotovil je, da je prijavno geslo za NTLM, ki sestoji iz šestih znakov (male in velike črke ter številke), moč zlomiti v vsega štirih sekundah na grafičnem procesorju, medtem ko CPU porabi poldrugo uro. Jasno, kompleksnost problema...

Infosec.si - Gorazd Žagar je na svojem blogu Infosec.si tokrat objavil zanimiv prispevek o geslih, ki jih za različne internetne storitve izbiramo uporabniki.

Na spletu najdemo kar nekaj analiz gesel, vendar gre večinoma zgolj za gesla iz angleškega govornega področja. Gorazd Žagar pa je tokrat pripravil analizo gesel slovenskih uporabnikov. Seznam zajema skupno 55.096 gesel, pridobljenih v letih od 2001 do 2006 iz različnih virov.

Najpogostejše slovensko geslo je 123456, precej pa jih vsebuje tudi lastna imena. Vsekakor gre za zanimivo analizo, ki kaže na pogoste napake uporabnikov pri izbiri gesel, zato si jo vsekakor velja ogledati.

Slashdot - Kot poročajo na Slashdotu, je center za kiberkriminal na ameriški carinski upravi kupil 20 PlayStation 3 igralnih konzol, načrtujejo pa še nakup dodatnih 40.

Vendar pa igralnih konzol ne bodo uporabljali za igranje iger, pač pa za razbijanje gesel na zaseženih računalnikih. PS3, ki stane 300 USD, namreč lahko preizkusi 4 milijone gesel na sekundo in je precej bolj učinkovita od namenskih Tableau/Dell strežnikov, ki so tudi dražji.

Za preverjanje gesel z grobo silo je seveda potrebna precej velika računska moč (za 6-mestno geslo je 281474976710656 kombinacij), vendar pa je gesla mogoče razbijati tudi z bolj učinkovitim napadom s slovarjem oz. z nekaj poznavanja načinov kako ljudje izbiramo gesla. Zato vsekakor ni odveč kakšen nasvet glede izbire kvalitetnega gesla.

Seveda pa gesla ne potrebujete, če nimate česa skrivati...

Schneier.com - V nekaterih okoljih se za odklepanje vrat uporabljajo posebne elektronske ključavnice v obliki tipkovnic, kjer se vrata odpirajo s pomočjo vnosa pravilnega - praviloma 4-mestnega - PIN-a.

V primeru 4-mestnega gesla je na numerični tipkovnici 10.000 možnih kombinacij, njihovo preverjanje pa morebitnemu nepridipravu lahko vzame kar nekaj časa. Dokler se ne zgodi obraba tipkovnice...



Na takole obrabljenih tipkovnicah, katerih fotografije so objavljene na

Slo-Tech - Kot na svojem blogu poroča prof. Luke O'Connor so avstralski raziskovalci Cameron McDonald, Philip Hawkes in Josef Pieprzyk odkrili nov, izboljšan napad na algoritem SHA-1.

Napad s katerim je mogoče izračunati kolizijo, zahteva 2⁵² računskih operacij in je 2000-krat izboljšan glede na prej znane napade. Napad z grobo silo bi zahteval 2⁸⁰ računskih operacij, leta 2005 pa so trije kitajski raziskovalci predstavili napad, ki je zahteval le 2⁶⁹ operacij. Omenjeni avstralski raziskovalci pa so nov napad predstavili na neformalnem delu konference Eurocrypt 2009, podrobnosti pa bodo znane v kratkem, ko bo o omenjeni tematiki objavljen članek.

Nov napad večjim organizacijam z bogatejšimi proračuni že potencialno omogoča zlorabe. Po drugi strani pa se v praksi še vedno uporablja celo MD5, za katerega je že dlje časa znano, da ni več zanesljiv.

Wired Blog - Kot poročajo na Wiredu in Coding Horror, je 18-letni napadalec, znan pod vzdevkom GMZ, pred kratkim vdrl v številne račune Twitter, med drugim tudi v račun Baracka Obame in Fox News.

Pri vsem skupaj pa je najbolj zanimiv način, na katerega je napadalec uspel izpeljati vdor.

Napadalec je namreč uporabil napad s slovarjem. Gre za ugibanje gesel s pomočjo slovarja (preverjanje vseh besed v slovarju), kar je bilo mogoče uporabiti zato, ker Twitter ni onemogočal večkratnih poskusov prijave.

Kot so izračunali na Coding Horror, bi preverjanje vseh angleških besed (vsako sekundo eno) trajalo slaba dva dni. Proti takšnim napadom se je seveda mogoče povsem enostavno zavarovati tako, da strežnik za vsakim neuspešnim poskusom prijave počaka dlje časa in šele nato dovoli nov poskus. Kar preseneča je, da očitno pri Twitterju tega ne vedo ali pa so to pravilo preprosto zanemarili.

Smola, še posebej, če uporabljate isto geslo za različne storitve ...

Monitor - Nova različica strojne programske opreme za Sonyjevo prenosno igralno konzolo PlayStation Portable prinaša podporo za priljubljeno tehnologijo spremljanja novic RSS in za Microsoftov zapis glasbe Windows Media Audio (WMA). Storitev RSS je dostopna preko gumba v omrežnem meniju, vendar ne omogoča prebiranja novic iz spletnih virov RSS, pač pa je namenjena izključno spremljanju podcastov. V prihodnje lahko pričakujemo tudi podporo besedilnim virom. Podpora zapisu Windows Media Audio omogoča predvajanje datotek WMA, nekatere oblike zapisa, med njimi WMA9 Professional, WMA9 Lossless in DRM zaščitene datoteke pa žal niso podprte.

ZDNet - Zanimiv članek na ZDNetu. Znano nam je, da so za krekerje težko uganljiva gesla - za nas prav tako težko zapomnljiva :D. V gesla naj bi uporabnik dodajal nesmiselno zaporedje številk, malih ter velikih črk ter ločil, tako da naj bi popolno geslo izgledalo nekako takole: eJ4)b"aSAqg/3ag. No, Microsoftovci sedaj dodelujejo nov princip lažjega pomnenja gesel. Uporabnik na zaslonu vidi, recimo, veliko zastav. Zapomni si zaporedje klikanja, program pa nato vsaki zastavi priredi poljuben znak. Tako je geslo za krekerje dosti težje uganljivo, a hkrati dosti bolje vidno za vse, ki vam radi špegajo za rame. Se bo nova tehnologija prijela?

Daily Radar - Očitno niso vsi tako navdušeni nad novo Sonyevo igralno konzolo PlayStation 2. Ljubitelji Seginega Dreamcasta še vedno prisegajo na svojo priljubljeno konzolo, v svoji podpori pa so včasih lahko kar fanatični. Kaj se zgodi, če eden izmed bolj zagrizenih Segašev dobi v roke PS2, so zabeležili na Daily Radarju. Njegovo početje bi težko označili kot človeško, prizori pa vsekakor niso za tiste s slabim srcem. Ogled zadeve ali kar download 12MB filmčka vam resnično priporočam. Malce smeha nikoli ne škodi .