Yeni sızan hesaplar !

10 gün kadar önce internette yayınlanan yeni çalıntı username, mail, hesap bilgileri haveIbeenpwned.com üzerinde güncellenmiş görünüyor. Domain registered ise eklenen hesaplar için bilgi ilk registrationda kullandığınız hesaplarınız var ise buna gönderilmektedir.

Yoksa https://haveibeenpwned.com/ adresinde bu sorguları ayrıca yapabilirsiniz.   Register olarak düzenli rapor alma yoluna gidebilirsiniz. 

Dubsmash (162 million details) MyFitnessPal (151 million details) MyHeritage (92 million details) ShareThis (41 million details) HauteLook (28 million details) Animoto (25 million details) EyeEm (22 million details) 8fit (20 million details) Whitepages (18 million details) Fotolog (16 million details) 500px (15 million details) Armor Games (11 million details) BookMate (8 million details) CoffeeMeetsBagel (6 million details) Artsy (1 million details) DataCamp (700,000 details) Kaynak : https://gadgets.ndtv.com/internet/news/617-million-accounts-from-dubsmash-myfitnesspal-500px-sharethis-leaked-online-report-1992888 https://haveibeenpwned.com

8 karakter şifrelere elveda deme zamanı

Yeni bir benchmark çalışmasında 8 adet 2080 TI (1200$/adet) grafik kartının kullanılması durumunda (Tabii henüz hackerların elinde quantum bilgisayar olmadığını ve ele geçirmediklerini varsayıyoruz :) )

Büyük karakter, küçük karakter, sayı, sembollerden oluşan bir 8 karakterli şifrenin NTLM hashine yapılacak offline bir saldırı ile kırılması ortalama 1 saat 15 dk, en fazla 2 saat 30 dk sürmektedir.

Bu kartlardan saldırganın elinde sadece bir adet olsa idi, ortalama 9 saat, en fazla 18 saatte kırılabiliyor olacak idi.

Çalınma tahminleri için yazılan bazı yazılar:

They stole Ntds.dit file.

They stole a NetNTLMv2 hash with a rogue device.

They set up an external malicious SMB share and sent a remote file grab and caught a hash that way.

They stole an unencrypted laptop and popped the local SAM.

Tamin edilmesi kolay şifrelerin isim veya kelime, ilk harfi büyük, sonrasında rakam gibi kullanımı durumunda da anında kırılacağı da ayrıca belirtilmiş.

100 GH/s yani saniyede 100 milyar tahmin anlamına geliyor. Bu tahmin sayısını tek kart sağlıyor. Makaledeki testte biraz daha üzerinde bir değer verilmiş.

Formül :

95^8 / 800 milyar tahmin sayısı/sn

95^9 / 800 milyar tahmin sayısı/sn

95^10 / 800 milyar tahmin sayısı/sn

Çıkan değer saniyedir, bunu saate çevirirsek ve 8 karta bölersek 2.3 saat gibi bir değer çıkıyor olduğunu görebiliriz.

9 ve 10 karakterler için yaptığım hesaplamalarda ise aşağıdaki gibi bir durum ortaya çıkıyor.

9 karakter 8 kart ile 1750 saat yani 73~gün, tek kart ile 218 saat yani 9~gün

10 karakter 8 kart ile 20.789 saat yani 866~gün, tek kart ile 166315 saat yani 6929~gün

Diğer şifreleme algoritmalarında daha yavaş sonuç alınabileceği ancak 8 karakter için bunu gene de çok kısa bir zaman diliminde yapabileceği belirtilmiş.

Ek olarak Amazon’un P3 servisinde Tesla v100 GPU’nun 2080 ile aynı seviyede olduğu, bu maliyetlerin cloud üzerinden hizmet ile çok daha aşağıya çekilebileceği yönünde twitler de mevcut.

İlgili makale ve ücretler de bunu doğrular nitelikte.

https://lambdalabs.com/blog/best-gpu-tensorflow-2080-ti-vs-v100-vs-titan-v-vs-1080-ti-benchmark/

8 karakter şifre uygulaması kullanan tüm ilgili uygulamaların standartlarının düzenlenmesinin uygun olacak gibi görünüyor.

Kaynaklar :

https://twitter.com/TinkerSec/status/1096046635593928704

https://twitter.com/hashcat/status/1095807014079512579

https://twitter.com/nullenc0de/status/1097517538261549058

https://lambdalabs.com/blog/best-gpu-tensorflow-2080-ti-vs-v100-vs-titan-v-vs-1080-ti-benchmark/