Erriko dot IT

Per soltanto $17 (€11,63),  un nuovo servizio basato sul cloud computing (cioè il calcolo suddiviso su più macchine) rende possibile il crack di una password WPA (Wi-Fi Protected Access) in soli 20 minuti.

Il sito del servizio, WPA Cracker, si presenta come un utile strumento per chi desidera effettuare test di sicurezza, rendendo possibile capire se è possibile o meno penetrare determinati sistemi.

L’uso di questo servizio è semplice, il tester deve caricare un piccolo file di “handshake” che contiene lo scambio di dati iniziale tra router e pc (handshake = stretta di mano). Basandosi su queste informazioni, WPA Cracker stabilisce se una rete è vulnerabile o no ad attacchi esterni atti a rivelare la password di rete.

Questo servizio è stato lanciato da un noto ricercatore, Moxie Marlinspike.
Durante un’intervista  Moxie Marlinspike ha dichiarato di aver maturato l’idea di WPA Cracker dopo aver discusso con un altro esperto di sicurezza sulla possiiblità di velocizzare le operazioni di auditing.

Gli hackers (ma anche i lettori di erriko.it più attenti) sanno che le reti basate sul WPA-PSK sono vulnerabili ad attacchi detti “dictionary attack”, dove l’attaccante tenta di bucare una rete provando diverse migliaia di password diverse contro il file di handshake fino a trovare quella corretta. Questa soluzione, così semplice quanto difficile da attuare, trova il proprio limite nella quantità di tempo necessaria a provare il numero di password necessario a scovare la password di rete, che in determinate condizioni richiede una quantità di tempo spropositata (anche di migliaia di anni).

WPA Cracker però può contare su 400 macchien connesse tra loro che utilizzano un particolare dizionario creato appositamente per le password WPA.

L’attacco ovviamente avrà successo soltanto se la password è contenuta nel dizionario utilizzato sa WPA Cracker (135 milioni di password). Se invece si tratta di una password generata casualmente e ritenuta “forte” (cioè se questa ha una discreta lunghezza ed è composta da lettere, numeri e caratteri speciali), probabilmente l’attacco non avrà buon fine.

Che WPA Cracker riesca a crackare tutte le password o no, di sicuro si tratta di un passo avanti per chi si interessa di sicurezza delle reti wireless e dovrebbe far capire a diversi amministratori di rete che è il momento di andare avanti e migliorare la propria sicurezza…