Nautes Test Lab

ntlab.egloos.com

포토로그



EWSA (Elcomsoft Wireless Security Auditor) v1.0 Released.



어제 (2009.01.15) 일자로 패스워드 복구 소프트웨어의 선두자격인 엘콤소프트에서 새로운 툴이 등장 하였다.

이름하여 EWSA (Elcomsoft Wireless Security Auditor).


EWSA (Elcomsoft Wireless Security Auditor) ScreenShot.

엘콤소프트는 지난해 (2008.10.12) 기능이 개선된 EDPR (Elcomsoft Distributed Password Recovery) 의 새 버전에서 부터 WPA/WPA2 Cracking 및 GPU 를 이용한 가속화 기능을 공식 지원하기 시작하여 무선 네트워크 암호화 크래킹 부분에 까지 그 영역을 확대하고 있는데 이번 EWSA 의 출시를 통해 기존 EDPR 의 범용적인 패스워드 크래킹 도구 개념을 세분화하여 무선 네트워크 암호화 크래킹에 특화된 전용 도구를 시장에 등장시킨 것이다.

한가지 재미있는 것은 EDPR 에 비슷한 기능이 있으면서도 EWSA 를 출시했다는 것인데, 이는 역시 현재 무선 네트워크를 통한 보안 이슈와 앞으로의 시장 성장 규모가 무시할 수 없는 수준이 되었기 때문이며, 이러한 변화는 기존 패스워드 크래킹과는 구분된 새로운 시장 영역의 등장으로까지 이어져 기업들은 시장을 선점하기 위해 보다 특화되고 전문화된 도구들을 앞다투어 개발하기에 이른것이 아닌가 생각된다.

서론이 길었는데 우선 성능부터 살펴보도록 하자.


오...!!!
기존의 EDPR 과 비슷한 수치이긴 하지만 전용 도구이기 때문인지 약간의 성능 향상이 있는듯 하다.

그리고 한가지 주목해야할 사항은 기존의 EDPR 이 NVIDIA 계열 중에서도 일부 제품만을 지원한데 반해 이번 EWSA 에서는 지원 카드의 종류도 다양해지고 ATI 계열 제품도 동시에 지원한다는 것인데 이 얼마나 바람직한 모습이지 않은가...!!!

더욱이 NVIDIA 계열을 사용할 때보다 ATI 계열을 사용할때 성능이 더 좋다는 것은 개인적으로 상당히 박수를 쳐주고 싶은 부분인데, 현재 국내 실 거래 가격으로 GTX 280 제품이 80~90 만원대를 유지하는 상황에서 상대적으로 저렴한 HD4870 혹은 HD4870x2 를 사용했을 때의 성능 향상 (1.5 ~ 3 배) 은 엄청난 가격대 성능비가 아닌가 생각된다.

기존 EDPR 에서도 CPU Power Based 성능에 비해 GTX 280 을 사용할 경우 10 배 이상의 성능을 내는 것을 확인했지만 상대적으로 저렴한 ATI 계열 카드를 사용해서 그 이상의 성능을 얻어낼 수 있다는 사실은 놀랍기도 하고 상당히 흥미로운 부분이다.
(GTX 2XX 시리즈가 기존의 NVIDIA GPU 들과는 다른 상당히 혁신적인 설계 구조를 가지고 타사의 기존 GPU 들보다 0.5 세대 혹은 1세대 정도 앞서 있다고 말한 것으로 알고 있는데 EWSA 에서는 드라이버 안정화 때문인지 구조적인 문제인지는 모르겠으나 ATI 계열 카드들보다 성능이 저조하게 나와 다소 의외였다 - 그래픽카드의 원래 용도가 패스워드 크래킹이 아니기 때문에 응용 분야에서의 성능 지수가 절대적일 수는 없겠지만 GPU 자체 연산 능력만을 평가하기 위한 지표로서 바라본다면 의구심이 들지 않을 수 없는 부분이다)

엘콤소프트 홈페이지를 통해 EWSA 의 DataSheet 나 보다 자세한 설명 글을 확인 할 수가 없어 뭐라 말하긴 어렵지만 온라인 도움말을 참고해본 결과 EWSA 에서는 EDPR 에서처럼 SLI 등을 이용한 병렬 연결이나 다중 분산 연산 등은 지원하지 않는 것으로 보인다.
분산 연산은 아니더라도 SLI 나 CrossFire 등은 당연히 지원해야 된다고 생각되는데 이 부분이 지원되지 않는 것은 이해하기 힘들었다.
"If you have multiple cards, you need to disable SLI(either in driver or by physically disconnecting the cards)."
온라인 도움말에는 위와 같은 문구가 적혀 있었는데 카드가 여러개 있으면 아예 하나를 빼라니...-.-;
SLI 가 지원되는 카드가 있어도 병렬처리를 사용할 수 없다니... SLI 도 안되는데다가 성능까지 못 미친다면... 점점 더 ATI 쪽에 무게를 실어줄 수밖에 없을 것 같다.
(EDPR 에서는 되는데 EWSA 에서는 안된다는건 기술적인 문제 보다는 무언가 기능 제한이 아닐까 생각된다)

살짝 기대해 본다면 차기 EDPR 에서 ATI 를 지원하게 되거나 EWSA 에서 SLI 혹은 CrossFire 를 지원해 줬으면 한다.
(개인적으로는 EDPR 이 EWSA 의 기능을 흡수해서 완벽한 Enterprise 제품이 나와 줬으면 하는 바람이 있다)

덧글

  • 구루부 2010/02/06 01:10 # 삭제 답글

    안녕하세요 구글링하다가 이 블로그 알게 되어 왔습니다.

    다름아니라 어떤분이 ewsa 버전1.0을 올려주셧는데

    도대체 어떻게 사용하는건지 컴맹인 저로서는 알길이 없습니다.

    제가 이 프로그램이 꼭 필요한데, 알려주시면 정말 정말 감사하겠습니다.
  • 인형조종자 2010/02/06 16:50 #

    EWSA 의 사용법은 무척 간단합니다.
    WPA HandShake 패킷 파일을 불러온 뒤 "Start Attack" 버튼만 눌러주시면 WPA 패스워드 크래킹이 실행됩니다.
    그리고 EWSA 가 실행되는 PC 에 NVIDIA의 CUDA 나 ATI 의 Stream Technology 가 적용되는 카드들이 장착되어 있다면 EWSA 에서 (지원가능한 GPU 일 경우) 자동으로 인식하여 GPU를 이용한 가속 기능도 사용하실 수 있습니다.

    다만, 문제는 앞서 언급했던 WPA HandShake 패킷을 어떻게 수집하는가가 문제가 되는데 이 부분은 별도의 무선랜 스니핑 프로그램을 이용하여 패킷을 수집하셔야 합니다. (대표적으로 Aircrack-ng 같은 프로그램이 있습니다)

    참고로 WPA HandShake 패킷이란 WPA로 암호화 설정이 적용된 네트워크에서 클라이언트(노트북, 스마트폰등 무선랜카드가 장착된 기기)에서 AP 로 접속을 시도할때 정상적인 사용자인가를 확인하기 위해 WPA 4-Way HandShake 과정을 거치게 되는데, 이처럼 새롭게 접속을 시도할때 주고받는 패킷이 WPA HandShake 패킷이라고 이해하시면 됩니다.
    즉, 사용자가 AP 에 접속을 시도할 때 주고 받는 패킷이라고 보시면 되며, 이 패킷을 캡쳐해서 파일로 가지고 있다는 것을 전제로 EWSA 를 실행하실 수 있습니다.

    EWSA 가 너무나 간단한 인터페이스를 가지고 있어서 특별히 설정하거나 주의해야할 부분은 없지만 위에 말씀드린 WPA HandShake 패킷만 제대로 수집되었다면 큰 어려움 없이 사용이 가능하시라 생각 됩니다.
  • 페리카나 2011/10/17 10:57 # 삭제 답글

    airodump-ng 를 이용해서 cap 파일을 만들었습니다. handshake도 꽤 여러번 했는데요. EWSA로 읽으면 no나 no vaild 라고 나오네요... 제가 덤프를 잘못한건가요?
  • 인형조종자 2011/10/22 11:57 #

    회사 업무 때문에 좀 정신없이 지내다 보니 이제야 문의글을 보았네요...(^-^)
    정상적으로 HandShake 를 수집하셨다면 airodump-ng 실행 화면 우측 상단에 HandShake 캡쳐가 정상적으로 이루어졌다는 메시지가 표시됩니다.
    버전에 따라 메시지가 약간씩 차이가 있지만 정상적으로 HandShake 트래픽이 감지되면 airodump-ng 화면에서 나타나게 됩니다.
    EWSA 에서 HandShake 내용이 보이지 않으신다고 말씀하신 것으로 보아 앞에 설명한, 스니핑하실때 airodump-ng 에서의 HandShake 수집 결과를 확인해 보시는게 좋을 것 같습니다.
    또 HandShake 수집방법에 대한 언급이 없으셔서 단정지을 순 없지만, 참고로 말씀드리면 공격 대상의 HandShake 를 수집하기 위한 가장 손쉬운 방법은 airodump-ng(스니핑) 구동 상태에서 aireplay-ng 로 공격대상을 향해 Deauth 패킷을 날려보는 겁니다.
    즉 공격대상의 접속상태를 강제로 끊고 재접속을 유도하는 것인데 이 "재접속" 과정에서 WPA 4-Way HandShake 가 일어납니다.
    이렇게 재접속(WPA 4-Way HandShake)가 이루어지면 airodump-ng 에 HandShake 가 수집됐다는 내용이 표시되는 것이지요.
    이상에 말씀드린 부분을 확인해 보시고 다시한번 시도해 보시면 어떨까 싶네요.
    (아! 혹시나 해서 말씀드리지만 공격대상이 정해져있다면 Channel 과 AP BSSID 를 필터링하여 불필요한 부분을 걸러내고 스니핑/Deauth 를 진행하시는게 테스트 성공률을 높이는 방법이니 참고 부탁드립니다...^^)
댓글 입력 영역