Hive Systems’in yeni araştırması, güçlü grafik kartlarının yalnızca oyun ve makine öğrenimi için değil, aynı zamanda şifre kırma için de kullanılabileceğini buldu.
Nvidia’nın GeForce RTX 4090 gibi en yeni nesil grafik kartları inanılmaz oyun performansı sunuyor. Ancak güçlü bilgi işlem yetenekleri eğlenceden daha fazlası için kullanılabilir. Siber güvenlik şirketi Hive Systems tarafından yakın zamanda yapılan bir çalışmanın gösterdiği gibi , bu tür video kartları, karma kullanarak şifreleri oldukça hızlı bir şekilde kırabiliyor.
Tom’s Hardware‘in açıkladığı gibi , şifreleri tahmin etmek için yapay zeka kullanmaktan farklı olarak karma, bir şifreyi benzersiz bir karakter kombinasyonuna (karma) dönüştürmeyi içerir. Sunucular şifreleri bu şifrelenmiş biçimde saklar. Saldırganlar hash veritabanına erişim sağlasalar bile gerçek şifreleri bulamayacaklardır.
Bilgisayar korsanları bunları kırmak için farklı şifreler dener, bunlardan karmalar üretir ve bunları veritabanından çalınan karmalarla karşılaştırır. Karma değerleri eşleştiğinde şifre bulunur. Bu yönteme Brute Force saldırısı (kaba kuvvet saldırısı) adı verilmektedir. Bu seçim normal bir bilgisayarda yapılabilse de RTX 4090 veya Nvidia A100 sunucu GPU’ları gibi güçlü grafik kartlarının kullanılması bu süreci önemli ölçüde hızlandırıyor.
Parola kırma bağlamında çeşitli GPU’ların performansını değerlendirmek için Hive Systems, popüler Hashcat yazılımını kullandı. Eski MD5 karma algoritmasını temel alan önceki Hive Systems testlerinin aksine, bu sefer daha modern ve sağlam Bcrypt algoritması da test edildi. Testte, küçük ve büyük harfler, rakamlar ve özel karakterler içeren 8 karakter uzunluğunda karmaşık şifreler kullanıldı.
GeForce RTX 4090’ın MD5 karmalarını kırarken bunu 59 dakikada yaptığı ortaya çıktı. Sekiz adet A100 ekran kartı bu süreyi 20 dakikaya indirdi. Varsayımsal olarak, on binlerce A100’e erişimi olan ChatGPT gibi bir sistem, yalnızca birkaç saniye içinde tam bir arama yapma gücüne sahip olacaktır.
Ancak modern Bcrypt algoritması hackleme işini çok daha zorlaştırdı. RTX 4090 için süre 99 yıla çıktı! Sekiz A100 bile 17 yıla ihtiyaç duydu. Uygulamada, yalnızca yüzbinlerce GPU üzerindeki büyük paralelleştirme, birkaç ay gibi kabul edilebilir bir kırma süresi sağlayabilir.
Ancak paniğe kapılmaya gerek yok. Öncelikle saldırganların hash veritabanına erişmesi gerekiyor ve bu da yalnızca ciddi kişisel veri sızıntısı durumunda mümkün oluyor. İkinci olarak, güvenlik sistemleri uygun şekilde yapılandırılmışsa, kullanıcının çok faktörlü kimlik doğrulamasını atlamak da gerekli olduğundan, şifreyi tek başına hacklemek yararlı olmayacaktır. Ancak Hive Systems çalışması, GPU’ların parola kırma bağlamında artan yeteneklerini de ortaya koyuyor.