passwort, cracking

Wie baue ich eine Cracking-Maschine?

Wie baue ich eine Cracking-Maschine?
Wie sicher sind die Passwörter von Mitarbeitern und Service-Accounts, die im eigenen Unternehmen eingesetzt werden? Um das herauszufinden, schlüpft man am Besten in die Rolle des Hackers und bedient sich seiner Werkzeuge: Einer Cracking-Maschine zum Knacken von Passwörtern.
Unter dem Motto «praktische Erfahrungen sammeln» erhielt einer unserer Lernenden die Projektaufgabe, selber eine Cracking-Maschine zu bauen. Seine Erfahrungen, Tipps und Tricks gibt er in diesem Blog weiter.

In diesem Blogbeitrag beschreibe ich, wie man selber eine Cracking-Maschine zusammenbaut und auf was man bei der Auswahl der Hardware, dem Zusammenbau und der Softwareinstallation achten sollte.

Anforderungen an die Cracking-Maschine

Für die Cracking-Maschine hatte ich mehrere Herausforderungen zu bewältigen. Die Maschine wird zum Knacken von Passwörtern benützt. Aufgrund unserer internen Sicherheitsvorschriften müssen nach jedem Passwort-Crack alle Daten vernichtet werden  . Dies geschieht durch die Herausnahme und Zerstörung der Speicherkarte, auf der sich die Passwörter befinden. Da auf derselben Karte auch das Betriebssystem installiert ist, muss dies vor jedem Versuch neu aufgesetzt werden.

Die Cracking-Maschine sollte sich einfach warten lassen und ein ansprechendes Design vorweisen.
Für die Cracking-Maschine stand mir ein Budget von CHF 5‘000 zur Verfügung.

Recherche

Direkt im Anschluss an das Projektmeeting, in dem auch Anforderungen und Budget besprochen wurden, informierte ich mich über das Thema Cracking-Maschine. Die Recherche für die Hardware stellte sich schwieriger aus, als diejenige für einen normalen PC. Dies, weil für eine Cracking-Maschine bestimmten Komponenten mehr Leistung im Vergleich zu einem normalen Desktop PC erbringen müssen.

Schnell stellte ich fest, dass bei der Art Passwort-Cracking, die verwendet werden soll, die meiste Leistung von den Grafikkarten bezogen wird. Darum suchte ich zuerst nach einer passenden Grafikkarte. Ich recherchierte, dass derzeit die Grafikkarte Geforce GTX 2080ti von Nvidia die Leistungsstärkste auf dem Markt ist. Sie hat einen stolzen Stückpreis von CHF 1‘300. Wie erwähnt, wird bei der von mir gewählten Variante des Passwort-Cracking die meiste Leistung von den Grafikkarten benötigt, darum haben wir gleich zwei Stück beschafft.

Nachdem die Grafikkarte definiert war, musste ich ein passendes Gehäuse finden. Die erste und wichtigste Frage war, ob ein Server- oder ein Tower-Gehäuse zum Einsatz kommen sollte. Preislich war klar, ein Tower kostet nur zirka einen Zehntel eines Servergehäuses. Wir entschieden uns für den Tower. Die Herausforderung war, einen zu finden, der Platz für unsere zwei Grafikkarten bietet.  Ich fand mit dem Thermaltake View 71 TG ein passendes Gehäuse, das mit CHF 185 auch kostengünstig war.  Man kann beide Gehäuseseiten aufschwingen und gelangt so einfach und komfortabel in das Innere des Computers. Was ich aber als Nachteil vermerken möchte ist, dass das Gehäuse einsehbar ist. Dies machte die Verkabelung um einiges anspruchsvoller, da man quasi Ordnung halten muss, um es ansprechend aussehen zu lassen.

Passend zu unseren zwei Grafikkarten brauchte ich nun noch ein Motherboard, auch hier war die Auswahl beschränkt. Meine Wahl fiel auf das MSI MEG Z390 Godlike, das genug PCI-Slots hat und auch optisch ansprechend ist.
Beim Prozessor entschied ich mich für den Intel Core i9-9900KF. Ich hatte zuerst einen preiswerteren Prozessor ausgesucht, doch dieser kam aufgrund der sehr langen Lieferfristen nicht in Frage. Anschliessend bestellte ich noch die restlichen Komponenten.

Computer zusammenbauen

Nachdem die Komponenten bestellt und geliefert wurden, konnte ich zusammen mit meinem Mitlernenden den Zusammenbau beginnen. Doch schon kurz nach Beginn trat das erste Problem auf: Das Netzteil war mit einem EU-Stecker ausgerüstet, welcher nicht in die Schweizer Netzsteckdosen passt. Die Suche nach einem Adapter in Aarau war damals ziemlich schwierig, da wegen Covid-19 alle Computer und Elektrogeschäfte geschlossen waren.

Als wir einen Adapter besorgt hatten, konnten wir endlich mit dem Zusammenbau weiterfahren.
Dieser verlief zunächst ohne weitere Probleme, bis wir den PC zum ersten Mal ans Stromnetz anschlossen. Wir konnten auf das BIOS zugreifen, doch als wir das Betriebssystem Ubuntu installieren wollten, crashte die Maschine immer wieder.

Wir stellten fest, dass das Motherboard über ein Overclocking-Rad verfügt. Dieses bemerkten wir erst dann, da es von der Grafikkarte verdeckt war. Das Overclocking-Rad war verstellt und so taktete der Prozessor auf einer viel zu hohen Frequenz, die nicht unterstützt wurde. Wir kalibrierten das Rad neu und konnten daraufhin problemlos Ubuntu installieren.
Als alles funktionierte, folgte die Verkabelung, die dank des grossen Gehäuses einfach zu erledigen war.

Software installieren

Nachdem wir erfolgreich den Computer zusammengebaut und verkabelt hatten, konnten wir mit der Softwareinstallation beginnen. Sobald wir Ubuntu installiert hatten, begannen wir damit, Treiber für die Hardware zu installieren. Dies ging länger als gedacht, da viele Treiber Ubuntu nicht unterstützen. Somit mussten die Treiber zusammengesucht werden. Als Alternative könnte auch ein anderes Betriebssystem gewählt werden um diesen Schwierigkeiten aus dem Weg zu gehen.

Fazit

  • Man sollte genügend Zeit für die Auswahl der Hardware einplanen. Insgesamt ist für die Auswahl, den Zusammenbau und die Installation mit einem Aufwand von ein bis zwei Arbeitstagen zu rechnen.
  • Die wichtigste Hardware-Komponente beim Passwort-Cracking ist die Grafikkarte, von dieser wird am meisten Leistung gefordert. Man sollte eine möglichste schnelle und mit viel Speicherplatz bestückte Karte aussuchen und ihr Befehlssatz muss zur Cracking-Software passen.
  • Wie bei jedem PC-Setup, sollte man mit Herausforderungen rechnen. Oft gibt es unvorhergesehene Ereignisse, die man zeitlich einrechnen sollte.
  • Eine Cracking-Maschine ist teuer. Um gute Ergebnisse erzielen zu können, muss man tief in die Tasche greifen. Billigere Varianten sind zwar möglich, aber bei der Geschwindigkeit stark eingeschränkt.

Es liegt nun an Ihnen, geschätzter Leser, sich zu entscheiden, ob Sie eine Cracking-Maschine selber zusammenstellen oder auf den Service der terreActive zurückgreifen wollen.

 

Sicher ist nur, dass sich ein gründlicher Check der Passwörter aller Mitarbeiter lohnt. Machen Sie es Angreifern aus dem Internet nicht leicht, an Ihre schützenswerten Daten zu gelangen.

 

Die nächsten Schritte

Wenn Sie Ihre Sicherheit genauer analysieren möchten, erfahren Sie mehr über die Möglichkeiten dazu auf unserer Audit-Page.

Möchten Sie mehr über den Passwort-Cracking-Service wissen, nehmen Sie einfach mit uns Kontakt auf.