На конференции Defcon был представлен (https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-cha.../) способ существенного ускорения взлома хэшей MS-CHAPv2, получивших распространение при аутентификации клиента в PPTP VPN. Представленный метод позволяет одновременно подбирать сразу несколько ключей, что сводит трудоёмкость взлома MS-CHAPv2 (PPTP + MS-CHAPv2 + MPPE) к взлому хэшей DES и позволяет на специально оптимизированном оборудовании подобрать параметры аутентификации не более чем за сутки.В настоящее время в сети уже запущен платный сервис, который обязуется подобрать пароль для по перехваченной сниффером начальной последовательности MS-CHAPv2 в течение суток. Для взлома используется 4U-сервер от Pico Computing, укомплектованный 8 картами по 6 чипов Virtex-6 на каждой (всего 48 чипов), в каждом чипе
реализовано по 40 fully-pipelined ядер DES, работающих на 450 MHz (максимальное время подбора 2^56/(450*40*48*10^6*3600) = 23.17 часа)URL: https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-cha.../
Новость: http://www.opennet.me/opennews/art.shtml?num=34456
Блин, придется пока закрыть :(
Придется совсем закрыть. Или получить интрудеров/халявщиков выстроившихся в очередь. Ну то-есть кто-нить накорябает GPU-крякер массово параллельный и через пару месяцев это будет любой пупкин на коленке крякать за два дня.
Первые две буквы в названии протокола как бы намекают, что надёжность его весьма сомнительна. ;)
MS-законодатель стандартов для не исправляемых уязвимостей
>MS-законодатель стандартов для не исправляемых уязвимостейПротокол PPTP разработан Cisco, помимо PAP,CHAP,MSCHAP,MSCHAPv2 поддерживается EAP-TLS.
MSCHAPv2 впервые был представлен в Windows95, на тот момент криптостойкость была достаточной.
> Протокол PPTP разработан Cisco, помимо PAP,CHAP,MSCHAP,MSCHAPv2 поддерживается EAP-TLS.Дешевые отмазки.
> MSCHAPv2 впервые был представлен в Windows95, на тот момент криптостойкость была достаточной.
Беспардонная ложь: те кто в здравом уме - сразу берут такой запас по длине ключа что даже квантовые компьютеры не взломают. Потому что тупо не хватит энергии во всей вселенной.
>> Протокол PPTP разработан Cisco, помимо PAP,CHAP,MSCHAP,MSCHAPv2 поддерживается EAP-TLS.
> Дешевые отмазки.Факты. Только факты. И ничего кроме фактов.
>> MSCHAPv2 впервые был представлен в Windows95, на тот момент криптостойкость была достаточной.
> Беспардонная ложь: те кто в здравом уме - сразу берут такой запас
> по длине ключа что даже квантовые компьютеры не взломают. Потому что
> тупо не хватит энергии во всей вселенной.Ты просто не в курсе, вся энергия вселенной находится в 25Вт паяльнике за $5, гарантированный результат за время менее одной минуты, длина ключа и алгоритм не имеет значения. Инфа 100%.
Что не мешает его применять чуть менее чем всем российским провайдерам.
> Что не мешает его применять чуть менее чем всем российским провайдерам.это потому, что он по умолчанию в винде, а не потому, что это что-то хорошее.
>Что не мешает его применять чуть менее чем всем российским провайдерам.и израильским :-(
> Что не мешает его применять чуть менее чем всем российским провайдерам.Теперь халявщиков станет больше :).
продержался долгонько
Кроме chap есть и md5
Называть PPTP VPN'ом это все мягко говоря перебор.
Ну почему же? К примеру VPN-ы в MPLS вообще не шифруются. От этого виртуальная частная сеть не перестаёт быть таковой. )))
Ну это если в "частная" не вкладывать те проблемы, которые решает ipsec. Прото VPN он очень разный, а стоит его где-то применить, так сразу многие думают, что это безопасно).
> Ну это если в "частная" не вкладывать те проблемы, которые решает ipsec.И какие же проблемы решает ipsec, которые не решают другие VPN?
google://"ipsec vs pptp"
>google://"ipsec vs pptp"Там нет ничего однозначно отвечающего на поставленный вопрос.
>>google://"ipsec vs pptp"
> Там нет ничего однозначно отвечающего на поставленный вопрос.остынь.
>остынь.Трупом стану, обязательно последую твоему совету.
> Называть PPTP VPN'ом это все мягко говоря перебор.PPTP это VPN, инфа 100%.
Для "аналитиков" - напомним что DES был вообщем-то стандартом в США.
И если MS удалось разработать протокол который при полном переборе не хуже чем DES - то это очень не плохой вариант.
напомнить до какого года был стандартом?
напомнить в каком году был разработан MS CHAP v2 ?
как бы уже больше 20 лет назад.
> Для "аналитиков" - напомним что DES был вообщем-то стандартом в США.При том все криптоаналитики уже на момент его приема дружно орали что ключ в 56 битов - фуфло. Ну а очухались когда всякие студенты стали чуть ли не на коленке его массово крякать. Ибо 56 битов можно и просто перебрать.
>> Для "аналитиков" - напомним что DES был вообщем-то стандартом в США.
> При том все криптоаналитики уже на момент его приема дружно орали что
> ключ в 56 битов - фуфло. Ну а очухались когда всякие
> студенты стали чуть ли не на коленке его массово крякать. Ибо
> 56 битов можно и просто перебрать.анонимы такие анонимы... напомнить что там 2 ключевых элемента? и блок подстановок - он ровно так же является элементом ключа..
>>> Для "аналитиков" - напомним что DES был вообщем-то стандартом в США.
>> При том все криптоаналитики уже на момент его приема дружно орали что
>> ключ в 56 битов - фуфло. Ну а очухались когда всякие
>> студенты стали чуть ли не на коленке его массово крякать. Ибо
>> 56 битов можно и просто перебрать.
> анонимы такие анонимы... напомнить что там 2 ключевых элемента? и блок подстановок
> - он ровно так же является элементом ключа..Это Вы с ГОСТом перепутали, в DES блоки подстановок (S-блоки) фиксированные.
нефига не фиксированные. иначе бы в стандарте не описывалось как их надо выбирать. И не приводились примеры 2 слабых и 4 полуслабых вариантов.c таким же успехом можно сказать что в ГОСТ 28147 они тоже фиксированные - ведь в Р-34.11 есть пример s-box для тестовых заданий.
> нефига не фиксированные. иначе бы в стандарте не описывалось как их надо
> выбирать. И не приводились примеры 2 слабых и 4 полуслабых вариантов.S-блоки в DES фиксированные, зайди хотя бы в вики, они там выложены, более чем полностью.
DES разрабатывался не только и не столько для компьютеров (начало 70-x), сколько для электромеханических устройств.> c таким же успехом можно сказать что в ГОСТ 28147 они тоже
> фиксированные - ведь в Р-34.11 есть пример s-box для тестовых заданий.Нельзя. Потому как удачные комбинации S-блоков в ГОСТе являются коммерческой тайной.
> S-блоки в DES фиксированные, зайди хотя бы в вики, они там выложены, более чем полностью.
> DES разрабатывался не только и не столько для компьютеров (начало 70-x), сколько для
> электромеханических устройств.зато в 90е была стопка публикаций как эти s-box создавать. Тогда же указывались примеры слабых s-box.
> Нельзя. Потому как удачные комбинации S-блоков в ГОСТе являются коммерческой тайной.
коммерческой? плиз открой страницу 8 в ГОСТ 28147 и прочитай кто должен поставлять блоки замен.
А потом будешь говорить о коммерческой тайне. Тот же ЛанКрипто - отнюдь не свой блок замен используют.
> напомнить что там 2 ключевых элемента? и блок подстановок - он ровно так же является элементом ключа..DES реализовывался в аппаратном исполнении, а у железяки так просто ключ не сменишь
Адрес сервера в бан, да и всякие recent никто не отменял. Хрен он подберет при паре попыток за минуту.
ПС: формулу расшифруйте кто. Там заложена 1 попытка в секунду чтоль?
Какой "адрес сервера в бан"? Подбор идет по один раз перехваченому сниффу.
А потом одна попытка и всё...
> Адрес сервера в бан, да и всякие recent никто не отменял.Озвучьте пожалуйста название компании где такие крутые криптоаналитики работают? Ну чтоб не вляпаться ненароком.
Имхо, новость - не повод для паники.
Про дырявость и кривость MS-CHAP известно давно. И прежде чем за сутки подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что куда более нетривиальная задача.
В общем, использующие VPN c аутентификацией через MS-Chap могут спать (относительно) спокойно, а в перспективе можно задуматься, скажем, про l2tp+IPSec.
> В общем, использующие VPN c аутентификацией через MS-Chap могут спать (относительно) спокойно, а в перспективе можно задуматься, скажем, про l2tp+IPSec.openvpn/mpd могут работать с сертификатами.
> openvpn/mpd могут работать с сертификатами.За openvpn ничего не скажу, а mpd с каких пор научился аутентификации по сертификатам? Нет там такого...
http://mpd.sourceforge.net/doc5/mpd29.html#29
Mpd currently supports authentication against (tried in this order) extauth, radius, PAM, systems password database (master.passwd), OPIE and internal mpd.secret file.
С сертификатами, применительно к vpn построенном на mpd, насколько я знаю, работает софт, ответственный за IPSec - racoon/ipsectools. И даже при таком раскладе парольную аутентификацию никто не отменяет, сертификат используется только для поднятия шифрованного туннеля IPSec.
Ну либо самодельный скрипт сочинить, который будет как-то требовать и проверять клиентские сертификаты, но это совсем другая история, подобных примеров я лично не встречал...
>> openvpn/mpd могут работать с сертификатами.
> За openvpn ничего не скажу, а mpd с каких пор научился аутентификации
> по сертификатам? Нет там такого...В radius EAP-TLS, гражданин Etaoin.
>>> openvpn/mpd могут работать с сертификатами.
>> За openvpn ничего не скажу, а mpd с каких пор научился аутентификации
>> по сертификатам? Нет там такого...
> В radius EAP-TLS, гражданин Etaoin.Надо же. Надо будет поэкспериментировать в этом направлении, для общего развития.
Спасибо, не знал.
> подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что
> куда более нетривиальная задача.Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект) или вообще ничего не заметит (если настроил) да переконектится.
>> подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что
>> куда более нетривиальная задача.
> Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект)
> или вообще ничего не заметит (если настроил) да переконектится.А теперь более подробно.
Сначала нужно определить, откуда и как юзер входит в сеть.
Потом получить доступ к месту, откуда юзера можно "сшибить с линии".
Потом посадить туда человека, способного не только "сшибить", но еще и перехватить нужную информацию (либо договориться с кем-то из имеющих туда доступ и обладающих нужной квалификацией)
В общем, дорогой Аноним, компьютерному гению Васе из параллельного класса это не по зубам по причинам, не имеющим к IT-сфере никакого отношения, а специалист обойдется недешево, и никто не станет связываться с этим ради доступа к черной бухгалтерии какого-нибудь "ООО Рога и копыта" - проще подойти с паяльником к бухгалтеру, а более серьёзные организации имеют и более серьёзную защиту, нежели поднятый на коленке pptp.
Повторюсь - проблема есть, и должна подвигать к уходу на более безопасные коммуникации, но появилась проблема не сегодня и нет повода экстренно заниматься эпиляцией седалищной части.
> Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект)
> или вообще ничего не заметит (если настроил) да переконектится.Вариант: Домашнее подключение к провайдеру:
Разрезать витую пару, обжать оба конца, воткнуть их в хаб, дополнительно туда же патч-корд, на ноутбуке запустить wireshark собрать дамп. После через переходник восстановить соединение.
Отправить дамп в контору и заплатить 200$.
Через сутки получить пароль. Ну или ломать самому несколько месяцев.Потом его нужно как-нибудь использовать, но вот не задача 100% провайдеров использующих pptp используют привязку к mac.
Можете подменить его, но работа 2-ух устройств с одним mac-ом в сети это не работа.
В результате затратно, эффективность в районе нуля, есть шанс спалиться и пойти по 138, 138.1, 167 УК РФ.
Вопрос: зачем?