חוקר אבטחה התבקש לפרוץ לקובץ זיפ ישן, שבתוכו ביטקוין בשווי 300 אלף דולר

הודעה מסתורית בלינקדאין, 100 אלף דולר שעמדו לרשות המהנדס, וטעות אחת קריטית הם רק חלק מהסיפור המשונה הזה

עיבוד תמונה: גיקטיים

אחת לכמה זמן אנחנו נתקלים בסיפורים על אנשים מוכשרים במיוחד שמצליחים לאבד הון קטן במטבעות קריפטוגרפיים. בין אם זה כתב של ה-BBC שאיבד 25 אלף פאונד בגלל טעות קלאסית, יוטיובר שעשה גם הוא טעות של מתחילים ואיבד מטבעות בשווי של כשני מיליון דולר, או בורסות קריפטו שנפרצות ומאבדות כ-540 מיליון דולר ברגע. הסיפורים הללו לרוב נגמרים ברגע שהם מתחילים עם סוף עצוב וידוע מראש, אבל הסיפור של חוקר האבטחה הזה הוא קצת שונה.

כש-300 אלף דולר קבורים מתחת לסיסמה שאתם לא זוכרים

לפני 19 שנים פרסם מייקל סטיי מאמר בנוגע לטכניקת פריצה לקובצי זיפ מוצפנים. אתם זוכרים אותם – אלו קובצי הארכיון, שכוללים בתוכם מספר קבצים ותיקיות, וגורמים לכם להפעיל את WinRar ולדלג באלגנטיות על בקשת התשלום שלה.

בכל מקרה, מאז המאמר הספיק סטיי לעבוד מספר שנים כחוקר אבטחה בגוגל, וגם להפוך ל-CTO בסטארטאפ שהקים, אבל שום דבר לא הכין אותו להודעה שקיבל בלינקדאין לפני 6 חודשים מ”בחור רוסי” לדבריו.

אותו “בחור” (כך מכנה אותו סטיי לאורך כל המאמר) רכש בינואר 2016 ביטקוין בשווי של יותר מעשרת אלפים דולר, כאשר את מפתח ה-Seed שיעניק לו את הגישה לארנק המכיל את המטבעות, הוא הצפין בקובץ Zip פשוט עם סיסמה. ואת ההמשך אתם יכולים לנחש בעצמכם: הוא שכח את הסיסמה. היום, אותם ביטקוינים כבר שווים מעל ל-300 אלף דולר, ולפחות לפי הקצב של הימים האחרונים, ערכם רק עולה.

הלקוח המסקרן שאל את סטיי האם הוא מסוגל לפרוץ את קובץ הזיפ, וסטיי השיב כי הוא סבור שהתהליך ייארך כשנה, ויהיה כרוך ברכישת ציוד בעלות של 100 אלף דולר. הבחור הסכים, אחרי הכל, גם 200 אלף דולר ביד עדיפים מ-300 אלף דולר בקובץ, וסטיי יצא לדרך.

למזלם של השניים, הבחור הצפין את הקובץ באמצעות מנגנון הצפנה בן כמה עשורים בשם Zip 2.0, ועדיין החזיק במחשב המקורי בו ביצע את ההצפנה. שתי העובדות הללו איפשרו לסטיי למצוא את חותמת הזמן ולצמצם עבורו את מרחב התמרון ל-10 קווינטיליון אפשרויות שונות “בלבד” לפיצוח הסיסמה. כדי שיהיה לכם קל להתמודד עם המספר הזה, שווה לזכור שאחרי ה-1 באים 18 אפסים. לכו תשתו כוס מים ונמשיך.

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

במשך 4 חודשים סטיי פיתח ביחד עם שותפו לסטארטאפ מתקפת פיצוח של הסיסמה, ולאחר הפיתוח הריץ אותה על גבי חוות שרתים עם מעבדים גרפיים של Nvidia. המתקפה רצה במשך 10 ימים שלמים, וכשלה. “הייתי שבור לב”, מתאר סטיי, שהחל לחפש היכן טעה. גם הלקוח של סטיי ניסה להריץ את התוכנה, והבחין שהמעבד הגרפי לא ידע לזהות שהוא פיצח כל סיסמה, ברגע שהיא לא הייתה הראשונה ברשימת הסיסמאות שנוצרו במאגר המידע. לאחר חיטוט בקוד, סטיי גילה כי הוא החליף כמה ערכים שגרמו לטעות. השניים תיקנו את הבעיה, הריצו מחדש את הקוד שבנו, ובתוך יום, הקובץ פוצח.

לדברי סטיי, עלות החומרה שסייעה בתהליך הפיצוח עמדה בסופו של דבר על כמה אלפי דולרים בודדים – מרחק גדול מהצעת המחיר הראשונית של סטיי שעמדה על 100 אלף דולר. “הלקוח היה שמח, ונתן לנו בונוס גדול בגלל שהצלחנו למצוא את המפתח כל כך מהר ושחסכנו לו הרבה כסף בהשוואה להצעת המחיר הראשונית שלנו”.

 

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

17 תגובות על "חוקר אבטחה התבקש לפרוץ לקובץ זיפ ישן, שבתוכו ביטקוין בשווי 300 אלף דולר"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
צחי
Guest

מרשים ורב תושיה.

זיו
Guest

יש לי אייפון 6s שננעל, אני לא זוכר את הסיסמה. בתוכו ארנק דיגיטלי עם איתריום בשווי 20,000 דולר. סלרברייט ניסו חצי שנה לפרוץ את האייפון ולא הצליחו, זה סיסמה אלפא נומרית ולא קוד של5 ספרות.
מישהו יש לו כיוון איך לפרוץ את האייפון?

ארכיט
Guest

כן . אם אתה המצאת את הסיסמה, תעשה חצי שעה ותכתוב על פתק את כל הססמאות שעולות לך בראש

עם הארץ
Guest
האמת שבאייפון זה פתיר די בקלות אבל פחות נחמד ממה שהיינו רוצים. למטה חברת אפל יש גישה מלאה לכל מידע בכל מכשיר שהיא משווקת. גם מידע שמור, מידע שנשלח בלי שהישמר ומידע שמתקבל ולא נשמר. זה כולל הודעות טקסט, הודעות מייל, תמלול שיחה, נתוני מיקום וכו. גם אם המידע מוצפן, כל עוד המידע נשמר על המכשיר או בשירות של אפל המידע בכדרך כלל חשוף ונגיש לאפל כאילו לא היה מוצפן. תוכנות צד שלישי מסוימות לא מאפשרות נגישות מלאה אבל גם בהן המידע הלא מוצפן חשוף באופן דומה כולל ססמאות שהוקלדו במכשיר. מבחינת אבטחת מידע זו נבזות שגובלת בהונאת המשתמשים. מבחינת… Read more »
משתמש אובונטו
Guest

הוא מפסיד 5 דקות מהחיים בכתיבת מייל שבמקרה הטוב יזכה למענה אוטומטי.

אלי
Guest

אם אתה בעל הפלא שזה אומר שאתה קניית אותו מהחברה אתה יכול להתקשר לאפל זה יעלה לך איזה 2000 דולר תנסה את מזלך

עודד המקודד
Guest

מזכיר את הפרק בסיליקון וואלי בחיפוש אחרי הכונן עם הקירפטו בפארק הזבל.
התוכנית הזאת ענקית חבל שהיא הסתיימה

ארכיט
Guest

נשמע כמו סיפורי סבתא. קובץ זיפ אפשר פשוט להריץ bruteforse בקלות, אלא אם כן הוא שם סיסמה באורך קילומטר

יוסי
Guest

טוב אח. תלמד לכתוב ברוטפורס קודם

רוכבת דו גלגלי
Guest
רוכבת דו גלגלי

נשמע מומצא. הייתה לי פעם בערך בשנת 1999 תוכנה שידעה לפרוץ קובצי זיפ היא פשוט ידעה איך לעקוף את הסיסמה ולגשת לחומר. אני זוכרת שהרצנו אותה עם הרבה סיסמאות ונדהמנו באיזה קלות היא עוקפת את הסיסמאות ששמענו. וזו הייתה תוכנה בתשלום שמצאנו באיזה אתר הורדות

משתמש אובונטו
Guest

פשששש… איך לא חשבו על זה? וואלה, מומחה אבטחה עולמי בכיר בגוגל פספס את העבודה שאפשר “לעקוף” את הסיסמה ולגשת לחומר?
ברצינות: ב99 היו כמה תוכנות זבל וכנראה הזיפ שניסיתם לפרוץ נבנה בצורה עקומה. בהצפנה סטנדרטית זה לא היה אפשרי.

לידור
Guest

לא הכי מבין בהצפנה אבל אני בטוח שקובץ זיפ זה לא הצפנה צבאית האקר טוב כנראה יכול לפרוץ את הקובץ ולא להריץ אין סוף סיסמאות

משתמש אובונטו
Guest

זה לא משנה אם זה צבאי או לא. יש כמות של X אפשרויות למפתח וצריך להריץ עד שמוצאים. גם המומחים אי שם בסוכנויות הביון מריצים קומבינציות. פשוט זה הרבה יותר מהיר כשיש לך מחשב על במיליוני דולרים שמריץ מליארדי פעולות בשניה מאשר בלפטופ המצ’וקמק שקנית לפני 3 שנים.

מורל
Guest

היי לפני שבועיים גנבו לי איפון איקס חדש ואני לא זוכר את הסיסמא איך לאתר את הטלפון אני חיל משרת בתוך סוריה אשמח לעזרה מכם כי אין לי הרבה כסף וזה ההשקעה הגדולה שעשיתי שקניתי טלפון טוב תודה לעונים

שימי
Guest

קודם כל אין לנו כוחות צבאיים בסוריה
דבר שני לקנות אייפון זאת לא השקעה אלא הוצאה
דבר שלישי תלחץ על שכחתי את הסיסמא שלי ותמלא את ההוראות

רק הוא
Guest

ו…?

פבלו
Guest

חחחחח – קורע – מסתבר שצריך לשלם מאות אלפי דולרים כדי לפרוץ ארנק קובץ זיף כיום כאשר גם ככה ניתן לעשות זאת לבד בלי ידע בכלל – וגם אז מלא רמאים – אני למשל הצעתי לפני כמה שנים למישהי שאמרה בתקשורת שאיבדה את מפתח ההצפנה של הארנק (הseed word) ולכן אינה יכולה לפתוח אותו – בכל אופן הצעתי לעשות לה בחינם ולא הסכימה – ככה שברור לי שיש לא מעט אנשים שגם ממציאים שטויות (אחרת למה שלא תסכים שאני אפתח לה את הארנק, ועוד בחינם ? כי כנראה שווה יותר לעשות על כך ספין תקשורתי מאשר לאתר את המטבעות…)

wpDiscuz

תגיות לכתבה: