Bedrijf looft 100.000 dollar uit voor 'kraken' beveiliging

Bij ExtremeTech is te lezen, dat het bedrijf Bodacion Technologies een beloning van niet minder dan 100.000 dollar heeft uitgeloofd, voor degene die haar Hydra internetserver weet te 'kraken'. De encryptie maakt gebruik van zogenaamde 'biomorphic mathematics', een vorm van wiskunde die gebaseerd is op chaostheorie. Via dit principe worden nummers aangemaakt, bodacions genoemd, die volgens het bedrijf volledig willekeurig zijn. Vervolgens worden deze nummers gebruikt voor een aantal cryptografische algoritmes, zoals DES, AES en RC4. Een woordvoerder laat weten dat er nooit twee dezelfde nummers gecreëerd worden, en het systeem op een wijze in elkaar steekt, dat iemand die de wiskundige basis erachter kent nog steeds het volgende nummer in een opeenvolgende rij niet zou kunnen voorspellen.

BodacionOp een conferentie in Washington stelde Bodacion een groep van beveiligingsdeskundigen de mogelijkheid voor om mee te doen aan de wedstrijd. Wie aan de hand van een rij van 999 nummers het duizendste getal weet te berekenen, wint het bedrag van 100.000 dollar. Vanzelfsprekend zal hierbij een berekening gegeven moeten worden, zodat een toevallig goed gegokt getal geen geld op zal leveren. Al met al gaat het bedrijf er vanuit dat het in haar webserver ingebouwde besturingssysteem onaantastbaar is voor hackers, een gedachte die in het verleden bij andere bedrijven vaak achteraf tot teleurstellingen heeft geleid.

Met dank aan Verwijderd voor de tip.

Door Mark Timmer

Feedback • 04-03-2002 17:15 76

04-03-2002 • 17:15

76

Bron: ExtremeTech

Lees meer

Indiërs ontwikkelen algoritme voor priemgetallen
Indiërs ontwikkelen algoritme voor priemgetallen Nieuws van 12 augustus 2002
Nieuwe factoriseringsmethode vormt geen bedreiging
Nieuwe factoriseringsmethode vormt geen bedreiging Nieuws van 15 maart 2002
Bedrijfsnieuws

Reacties (76)

-Moderatie-faq
76
76
61
8
1
0
Wijzig sortering

Sorteer op:

Weergave:
SilentSimon 4 maart 2002 17:19
echt leuk idee zoiets vind ik
en de perfecte oplossing om toch gaten te vinden als die er zouden zijn.
kareltje21 @SilentSimon4 maart 2002 17:36
Dit is helemaal niet zo leuk, ze propageren onkraakbaar te zijn, maar stellen wel erg belangrijke eisen.

Aan de hand van 999 cijfers het 1000 ste voorspellen is heel iets anders dan een penetratie test op je server laten uitvoeren.

Dus schermen met wat wiskunde en daarmee verklaren dat je server veilig is is wel heel kort door de bocht.
eamelink @SilentSimon4 maart 2002 18:31
Nou, ik weet het niet.

Het uitvinden van een bepaalde logica bij een getallenreeks is toch heel wat anders dan een webserver kraken.

Misschien zal hierdoor de beveiliging van een deel wel goed zitten, maar is die beveiliging wel veilig geimplementeerd in de rest van de software? En is de software verder uberhaupt wel veilig?
freaky @eamelink4 maart 2002 21:46
Volgens mij word de meeste zooi nog door stack-overflows en verkeerd geconfigureerde zooi bereikt. Feit dat de encryptie misschien niet te voorspellen is maakt nog niet dat de server niet gekraakt kan worden over een encrypted verbinding. In feite doe je precies hetzelfde als over een "normale" clear-text verbinding maar dan over een encrypted verbinding. Oftewel, dat de encryptie niet te kraken valt maakt nog niet heel de server veilig.
Verwijderd 4 maart 2002 17:21
Doet me denken aan Cerberus, die jongens loofden vorig jaar op de CEBIT ook zo'n bedrag uit voor diegene die root-rechten op hun firewall kon krijgen.

De cerberus-hackme server heeft geloof ik 2 maanden online gestaan, is vaak gekraakt maar niemand kon het tot root schoppen.

Ben benieuwd wat dit brengt...
arjankoole
@Verwijderd4 maart 2002 17:22
is maar een idee: bestond er wel een root gebruiker? ;)
GraveR @arjankoole4 maart 2002 18:11
Wat niemand wist was, dat het account 'guest' de root was :D

(Geintje, trouwens)
tweakerbee @arjankoole4 maart 2002 19:07
Volgens mij bestaat uid 0 altijd ;)
Johannes Verelst 4 maart 2002 17:36
Beetje vaag:
Een woordvoerder laat weten dat er nooit twee dezelfde nummers gecreëerd worden, en het systeem op een wijze in elkaar steekt, dat iemand die de wiskundige basis erachter kent nog steeds het volgende nummer in een opeenvolgende rij niet zou kunnen voorspellen.
Okay, mooi, maar hoe werkt de kraakwedstrijd dan?
Wie aan de hand van een rij van 999 nummers het duizendste getal weet te berekenen, wint het bedrag van 100.000 dollar.
Dat is niet echt een nette competitie: in plaats dat je al deze wiskundigen de mogelijkheid geeft om het algoritme zelf te bekijken, geef je ze gewoon 999 getallen. Dan weet je nog steeds niet of het algoritme dat je gebruikt ook echt goed is. Je test nu of wiskundigen het algoritme kunnen achterhalen, niet of het algoritme ook daadwerkelijk goed is.
yvez @Johannes Verelst5 maart 2002 09:22
Als een zooitje ZEER briljante wiskundigen pakt en zij kunnen niet achter de algoritme komen dan kun je er toch van uitgaan dat het niet te "kraken" is?
Al is het de meest trieste algoritme ter wereld, als de briljantste wiskundigen hem niet doorhebben, dan werkt het, punt.
EfBe 4 maart 2002 18:08
Het is niet de dikte van de VOORDEUR die bepaalt of hackers buiten blijven, maar de grootte van de kier waarop de ACHTERDEUR staat, die bepaalt of hackers buiten blijven.

Mitnick belde altijd naar bedrijven, ontfutselde prompt passwords en andere benodigheden om binnen te komen. Hoe goed die systemen ook waren beveiligd.

Hint: een admin op een server waar dit systeem op draait gaat ook niet het 1000e getal uitrekenen voordat hij kan inloggen.
Aaargh! 4 maart 2002 17:34
Een woordvoerder laat weten dat er nooit twee dezelfde nummers gecreëerd worden
Op een gegeven moment raken dan toch je nummers op ?
Verwijderd @Aaargh!4 maart 2002 18:13
Welnee
Stel, je kunt 1 miljard nummers per seconde verwerken (een nummer per kloktik op een 1Ghz pc, das al erg knap).
Dan kun je dus in 100 jaar maximaal 100*365*24*3600*1.000.000.000 = ongeveer 3 * 10^15 nummers genereren. Als zij met getallen van 19 cijfers werken, dan is de kans dat jij na 100 jaar getallen er in rammen het jusite getal te pakken heb kleiner dan 1 op 1000.

in de pc-wereld staat 100 jaar praktisch gelijk aan eeuwig, dus "nooit" is dan praktisch gezien wel degelijk van toepassing.

Overigens, ook voor Dll's en com+-componenten wordt een GUID (Globally Unique Identifier) gebruikt dat "nooit" hetzelfde kan zijn. Tenminste, als je gebruik maakt van de speciale generator voor die nummers. zoek maar eens in je registry op CLSID. Daar worden gewoon genoeg (hexadecimale) cijfers gebruikt om die uniciteit te garanderen.
Verwijderd @Aaargh!4 maart 2002 18:46
Ik heb net wat nummers op laten sturen. Ze gebruiken 8 'cijfers' met elke 36 mogelijke waarden (cijfer of letter).
Dat betekent dat er totaal 36^8 getallen mogelijk zijn, dat is ongeveer 2*10^12.
als je mijn bovenstaande berekeningen niet op kloktikken maar op server-responstijd baseert (dus eerder in de orde van seconden dan nanoseconden), dan heb je dus een kans in de orde van 1 op 100.000 na 100 jaar proberen. Da's redelijk veilig.
Verwijderd 4 maart 2002 18:09
Misschien een "beetje domme" vraag maar hoe ga je zoiets dan weer decoderen als het coderingsproces gebruik maakt van random nummers?
Verwijderd @Verwijderd4 maart 2002 18:48
het gaat niet om echte random nummers, maar om pseudo-random nummers. Als je het algoritme en het startgetal weet, kun je de zelfde 'random'-serie reproduceren.
DannyXP1600 @Verwijderd4 maart 2002 20:06
nee want het kan nooit voorkomen dat 2x hetzelfde getal gemaakt wordt, dus ze kunnen misschien wel iets coderen maar het decoderen lukt nog niet en daarom vragen ze hackers het 1000ste getal te vinden met berekening zodat zij weten hoe ze het weer moeten gaan decoderen ;)
Verwijderd @Verwijderd4 maart 2002 18:50
ze gebruiken de random numbers als keys voor DES enzo...
Verwijderd @Verwijderd5 maart 2002 09:03
De nummers die gegenereert worden worden vervolgens gebruikt als 'seed' voor andere beveiligingsalgoritmen zoals DES. Omdat normaal gesproken deze 'seeds' pseudorandom zijn, is dit een stuk veiliger. Met een werkelijk chaos-model zouden deze nummers ook werkelijk random zijn. De uitdaging het 1000e getal te vinden uit de eerste 999 is gewoon een test in hoeverre het werkelijk random is.. Met pseudorandom rijen heb je met 999 getallen nog maar een beperkt aantal mogelijkheden voor het 1000e getal, met werkelijk random rijen heb je met 999 getallen net zoveel mogelijkheden voor het 1000e getal als voor het 1e...
arjankoole
4 maart 2002 17:21
*grinnik*

okay, als ze het willen geloven, laat ze hun gang maar gaan :)
Het feit is, een computer (in andere woorden een dom object dat alleen 0 en 1 kent) weet hoe ie het moet uitrekenen, dat kan alleen maar betekenen dat een mens, die 0,1 en 2 (voor misschien) kent er achter zal komen hoe ie met 0 en 1 aan de calculatie zal komen..

ik vind dit nogal naïf, niet te kraken bestaat niet, dat is zo onderhand toch al te vaak bewezen.

edit:

dyslectie foutje
kareltje21 @arjankoole4 maart 2002 18:08
Het is absoluut niet naief wat ze hier doen.

Als je goed leest zie je dat er een panel word geselecteerd, en dat deze dan 999 cijfers krijgen waarbij het 1000ste moet worden geraden.

Dat is heel iets anders dan je server zo veilig te verklaren dat je hem durft bloot te stellen aan een pentratie test.
Pietervs
@kareltje215 maart 2002 12:42
Als je goed leest zie je dat er een panel word geselecteerd, en dat deze dan 999 cijfers krijgen waarbij het 1000ste moet worden geraden.

Dat is heel iets anders dan je server zo veilig te verklaren dat je hem durft bloot te stellen aan een pentratie test.
Nee, maar de grap is, dat ze nu op basis van dat panel beweren dat hun server de veiligste is die er op de markt is!
Pas als ze een penetratie-test zouden doorstaan van (bijvoorbeeld) een maand zouden ze (in mijn ogen) meer recht van spreken hebben...
freaky @arjankoole4 maart 2002 21:48
Err niet te kraken valt ECHT wel te maken. Het is alleen bijna niet te behalen omdat het complete perfectie vereist van zowel je hardware als je software, en ga maar eens een programma van zoveel miljoen regels code schrijven zonder 1 denk/typ foutje. De foute factor is nog steeds menselijk falen.
Wolfensteijn @freaky4 maart 2002 23:51
Plus dat je dan nog een root gebruiker moet hebben die niet zijn wachtwoorden rond laat slingeren.

Als je een wachtwoord hebt kom je overal wel binnen.
cool0 4 maart 2002 17:22
Dan kom je altijd nog bij de volgende vraag de zogenaamde FREAK factor (Mercury Rising) er zijn mensen die het opvolgende getal gewoon zien dus tja beveiliging of niet er is altijd wel weer wat voor te verzinnen.
Verwijderd @cool04 maart 2002 17:42
Vanzelfsprekend zal hierbij een berekening gegeven moeten worden, zodat een toevallig goed gegokt getal geen geld op zal leveren.
Met een FREAK schiet je dus ook niet veel op :)
The-Source @Verwijderd4 maart 2002 19:57
Maar dat zou die persoon gewoon kunnen bewijzen door een nieuwe serie juist te beantwoorden.
(film the cube of zoiets heb je ook zo'n FREAK)
Verwijderd @cool04 maart 2002 21:00
Geloof je daarin :?
yvez @Verwijderd5 maart 2002 09:15
Het is vaak aangetoond dat er mensen zijn, die bepaalde wiskundige dingen, gewoon ZIEN.
Wat de precieze reden is, is niet zo 1 2 3 te achterhalen. Maar ik ben een heilige gelover in de kracht van de menselijke geest.
En of ik geloof of niet, er zijn gewoon inderdaad freaks, die niks snappen niks kunnen, maar wel antwoorden weten te geven op wiskundige vragen waar 100 wiskundige genieen 1 jaar over doen om te berekenen. Het is raar maar waar.

Als ik een kleine uitwijding mag geven, ik geloof dus dat dat 1 van de stappen is in de mens zn geestelijke evolutie, alleen zijn we er nog niet klaar voor. En dat het dan toevallig bij een enkeling wel aanwezig is, is een foutje en vandaar ook dat ze dan voor de rest niks kunnen (autistisch e.d.) Ze kunnen wel die getallen zien (of andere dingen) maar omdat ze (en wij) er nog niet klaar voor zijn, kunnen ze er niet mee omgaan.

Sorry voor de "lange" off-topic. Maar leek me wel even leuk :)

edit:

typo's
Pietervs
@yvez5 maart 2002 12:46
En dat het dan toevallig bij een enkeling wel aanwezig is, is een foutje en vandaar ook dat ze dan voor de rest niks kunnen (autistisch e.d.)
Niet alle autisten zijn "Rainman". Integendeel: onder autisten is het aantal "hoogbegaafden" volgens mij niets groter dan onder de "normale" mensen...

* 786562 Pietervs
Neman 4 maart 2002 17:23
Een woordvoerder laat weten dat er nooit twee dezelfde nummers gecreëerd worden, en het systeem op een wijze in elkaar steekt, dat iemand die de wiskundige basis erachter kent nog steeds het volgende nummer in een opeenvolgende rij zou kunnen voorspellen.
Daar moet vast en zeker nog ergens het woord 'niet' tussen, anders zou het een slechte beveiliging zijn :).
Cherry @Neman4 maart 2002 17:31
Nee, wat er staat is juist, anders kan niemand meer de beveiliging eraf halen. Dat betekend dat de informatie ook voor de mensen waarvoor het bedoeld is onbruikbaar is geworden. Dat is nu net niet de bedoeling. :*)

Binnen enkele weken zullen we het bewijs zien, dat als je de wiskundige basis achter een systeem weet, het systeem ook gekraakt kan worden.

Ook een systeem gebaseerd op chaos theorie is een systeem, welke zich moet houden aan de "regels" van de theorie, anders is het systeem simpelweg niet bruikbaar.
Neman @Cherry4 maart 2002 17:32
Ok, je hebt gelijk. Het was een beetje wazig vond ik :).

edit:
Ow, ik had toch gelijk :D.
Mentalist 4 maart 2002 17:36
Geen slecht bedragje :)

Maar een ietwat goeie programmeur moet toch een programma kunnen schrijven waarin je die bak nummers invoert en die vervolgens gaat zoeken naar een formule die voor de hele reeks getallen klopt. Ok, het zal ff duren, maar zet er genoeg rekenkracht achter en je komt er wel achter :*)

Niet dan?

edit:
En wat was er dan overgewaardeerd aan dit stukje? Ik was nog niet eens gemod.
Verwijderd @Mentalist4 maart 2002 18:16
nee, dat heeft niets meer met programmeur zijn te maken. Een briljant wiskundige maakt misschien een kans.
chaotische systemen terugrekenen is nagenoeg onmogelijk. Als zij een werkelijk chaotisch model hebben dat de getallen genereert, dan kun je net zo goed proberen het weer 100 dagen vooruit exact te voorspellen. Lukt je ook neit.
Kraken van dit soort systemen moet je dan ook op een hele andere manier doen: Verleid de System administrator, ontfutsel hem zijn wachtwoord/inlog key en schakel de encryptie op de server uit.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq