Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 76 reacties
Bron: ExtremeTech

Bij ExtremeTech is te lezen, dat het bedrijf Bodacion Technologies een beloning van niet minder dan 100.000 dollar heeft uitgeloofd, voor degene die haar Hydra internetserver weet te 'kraken'. De encryptie maakt gebruik van zogenaamde 'biomorphic mathematics', een vorm van wiskunde die gebaseerd is op chaostheorie. Via dit principe worden nummers aangemaakt, bodacions genoemd, die volgens het bedrijf volledig willekeurig zijn. Vervolgens worden deze nummers gebruikt voor een aantal cryptografische algoritmes, zoals DES, AES en RC4. Een woordvoerder laat weten dat er nooit twee dezelfde nummers gecreŽerd worden, en het systeem op een wijze in elkaar steekt, dat iemand die de wiskundige basis erachter kent nog steeds het volgende nummer in een opeenvolgende rij niet zou kunnen voorspellen.

BodacionOp een conferentie in Washington stelde Bodacion een groep van beveiligingsdeskundigen de mogelijkheid voor om mee te doen aan de wedstrijd. Wie aan de hand van een rij van 999 nummers het duizendste getal weet te berekenen, wint het bedrag van 100.000 dollar. Vanzelfsprekend zal hierbij een berekening gegeven moeten worden, zodat een toevallig goed gegokt getal geen geld op zal leveren. Al met al gaat het bedrijf er vanuit dat het in haar webserver ingebouwde besturingssysteem onaantastbaar is voor hackers, een gedachte die in het verleden bij andere bedrijven vaak achteraf tot teleurstellingen heeft geleid.

Met dank aan Goodiem4n voor de tip.

Moderatie-faq Wijzig weergave

Reacties (76)

echt leuk idee zoiets vind ik
en de perfecte oplossing om toch gaten te vinden als die er zouden zijn.
Dit is helemaal niet zo leuk, ze propageren onkraakbaar te zijn, maar stellen wel erg belangrijke eisen.

Aan de hand van 999 cijfers het 1000 ste voorspellen is heel iets anders dan een penetratie test op je server laten uitvoeren.

Dus schermen met wat wiskunde en daarmee verklaren dat je server veilig is is wel heel kort door de bocht.
Nou, ik weet het niet.

Het uitvinden van een bepaalde logica bij een getallenreeks is toch heel wat anders dan een webserver kraken.

Misschien zal hierdoor de beveiliging van een deel wel goed zitten, maar is die beveiliging wel veilig geimplementeerd in de rest van de software? En is de software verder uberhaupt wel veilig?
Volgens mij word de meeste zooi nog door stack-overflows en verkeerd geconfigureerde zooi bereikt. Feit dat de encryptie misschien niet te voorspellen is maakt nog niet dat de server niet gekraakt kan worden over een encrypted verbinding. In feite doe je precies hetzelfde als over een "normale" clear-text verbinding maar dan over een encrypted verbinding. Oftewel, dat de encryptie niet te kraken valt maakt nog niet heel de server veilig.
Doet me denken aan Cerberus, die jongens loofden vorig jaar op de CEBIT ook zo'n bedrag uit voor diegene die root-rechten op hun firewall kon krijgen.

De cerberus-hackme server heeft geloof ik 2 maanden online gestaan, is vaak gekraakt maar niemand kon het tot root schoppen.

Ben benieuwd wat dit brengt...
is maar een idee: bestond er wel een root gebruiker? ;)
Wat niemand wist was, dat het account 'guest' de root was :D

(Geintje, trouwens)
Volgens mij bestaat uid 0 altijd ;)
Beetje vaag:
Een woordvoerder laat weten dat er nooit twee dezelfde nummers gecreŽerd worden, en het systeem op een wijze in elkaar steekt, dat iemand die de wiskundige basis erachter kent nog steeds het volgende nummer in een opeenvolgende rij niet zou kunnen voorspellen.
Okay, mooi, maar hoe werkt de kraakwedstrijd dan?
Wie aan de hand van een rij van 999 nummers het duizendste getal weet te berekenen, wint het bedrag van 100.000 dollar.
Dat is niet echt een nette competitie: in plaats dat je al deze wiskundigen de mogelijkheid geeft om het algoritme zelf te bekijken, geef je ze gewoon 999 getallen. Dan weet je nog steeds niet of het algoritme dat je gebruikt ook echt goed is. Je test nu of wiskundigen het algoritme kunnen achterhalen, niet of het algoritme ook daadwerkelijk goed is.
Als een zooitje ZEER briljante wiskundigen pakt en zij kunnen niet achter de algoritme komen dan kun je er toch van uitgaan dat het niet te "kraken" is?
Al is het de meest trieste algoritme ter wereld, als de briljantste wiskundigen hem niet doorhebben, dan werkt het, punt.
Het is niet de dikte van de VOORDEUR die bepaalt of hackers buiten blijven, maar de grootte van de kier waarop de ACHTERDEUR staat, die bepaalt of hackers buiten blijven.

Mitnick belde altijd naar bedrijven, ontfutselde prompt passwords en andere benodigheden om binnen te komen. Hoe goed die systemen ook waren beveiligd.

Hint: een admin op een server waar dit systeem op draait gaat ook niet het 1000e getal uitrekenen voordat hij kan inloggen.
Een woordvoerder laat weten dat er nooit twee dezelfde nummers gecreŽerd worden
Op een gegeven moment raken dan toch je nummers op ?
Welnee
Stel, je kunt 1 miljard nummers per seconde verwerken (een nummer per kloktik op een 1Ghz pc, das al erg knap).
Dan kun je dus in 100 jaar maximaal 100*365*24*3600*1.000.000.000 = ongeveer 3 * 10^15 nummers genereren. Als zij met getallen van 19 cijfers werken, dan is de kans dat jij na 100 jaar getallen er in rammen het jusite getal te pakken heb kleiner dan 1 op 1000.

in de pc-wereld staat 100 jaar praktisch gelijk aan eeuwig, dus "nooit" is dan praktisch gezien wel degelijk van toepassing.

Overigens, ook voor Dll's en com+-componenten wordt een GUID (Globally Unique Identifier) gebruikt dat "nooit" hetzelfde kan zijn. Tenminste, als je gebruik maakt van de speciale generator voor die nummers. zoek maar eens in je registry op CLSID. Daar worden gewoon genoeg (hexadecimale) cijfers gebruikt om die uniciteit te garanderen.
Ik heb net wat nummers op laten sturen. Ze gebruiken 8 'cijfers' met elke 36 mogelijke waarden (cijfer of letter).
Dat betekent dat er totaal 36^8 getallen mogelijk zijn, dat is ongeveer 2*10^12.
als je mijn bovenstaande berekeningen niet op kloktikken maar op server-responstijd baseert (dus eerder in de orde van seconden dan nanoseconden), dan heb je dus een kans in de orde van 1 op 100.000 na 100 jaar proberen. Da's redelijk veilig.
Misschien een "beetje domme" vraag maar hoe ga je zoiets dan weer decoderen als het coderingsproces gebruik maakt van random nummers?
het gaat niet om echte random nummers, maar om pseudo-random nummers. Als je het algoritme en het startgetal weet, kun je de zelfde 'random'-serie reproduceren.
nee want het kan nooit voorkomen dat 2x hetzelfde getal gemaakt wordt, dus ze kunnen misschien wel iets coderen maar het decoderen lukt nog niet en daarom vragen ze hackers het 1000ste getal te vinden met berekening zodat zij weten hoe ze het weer moeten gaan decoderen ;)
ze gebruiken de random numbers als keys voor DES enzo...
De nummers die gegenereert worden worden vervolgens gebruikt als 'seed' voor andere beveiligingsalgoritmen zoals DES. Omdat normaal gesproken deze 'seeds' pseudorandom zijn, is dit een stuk veiliger. Met een werkelijk chaos-model zouden deze nummers ook werkelijk random zijn. De uitdaging het 1000e getal te vinden uit de eerste 999 is gewoon een test in hoeverre het werkelijk random is.. Met pseudorandom rijen heb je met 999 getallen nog maar een beperkt aantal mogelijkheden voor het 1000e getal, met werkelijk random rijen heb je met 999 getallen net zoveel mogelijkheden voor het 1000e getal als voor het 1e...
*grinnik*

okay, als ze het willen geloven, laat ze hun gang maar gaan :)
Het feit is, een computer (in andere woorden een dom object dat alleen 0 en 1 kent) weet hoe ie het moet uitrekenen, dat kan alleen maar betekenen dat een mens, die 0,1 en 2 (voor misschien) kent er achter zal komen hoe ie met 0 en 1 aan de calculatie zal komen..

ik vind dit nogal naÔf, niet te kraken bestaat niet, dat is zo onderhand toch al te vaak bewezen.

edit:

dyslectie foutje
Het is absoluut niet naief wat ze hier doen.

Als je goed leest zie je dat er een panel word geselecteerd, en dat deze dan 999 cijfers krijgen waarbij het 1000ste moet worden geraden.

Dat is heel iets anders dan je server zo veilig te verklaren dat je hem durft bloot te stellen aan een pentratie test.
Als je goed leest zie je dat er een panel word geselecteerd, en dat deze dan 999 cijfers krijgen waarbij het 1000ste moet worden geraden.

Dat is heel iets anders dan je server zo veilig te verklaren dat je hem durft bloot te stellen aan een pentratie test.

Nee, maar de grap is, dat ze nu op basis van dat panel beweren dat hun server de veiligste is die er op de markt is!
Pas als ze een penetratie-test zouden doorstaan van (bijvoorbeeld) een maand zouden ze (in mijn ogen) meer recht van spreken hebben...
Err niet te kraken valt ECHT wel te maken. Het is alleen bijna niet te behalen omdat het complete perfectie vereist van zowel je hardware als je software, en ga maar eens een programma van zoveel miljoen regels code schrijven zonder 1 denk/typ foutje. De foute factor is nog steeds menselijk falen.
Plus dat je dan nog een root gebruiker moet hebben die niet zijn wachtwoorden rond laat slingeren.

Als je een wachtwoord hebt kom je overal wel binnen.
Dan kom je altijd nog bij de volgende vraag de zogenaamde FREAK factor (Mercury Rising) er zijn mensen die het opvolgende getal gewoon zien dus tja beveiliging of niet er is altijd wel weer wat voor te verzinnen.
Vanzelfsprekend zal hierbij een berekening gegeven moeten worden, zodat een toevallig goed gegokt getal geen geld op zal leveren.
Met een FREAK schiet je dus ook niet veel op :)
Maar dat zou die persoon gewoon kunnen bewijzen door een nieuwe serie juist te beantwoorden.
(film the cube of zoiets heb je ook zo'n FREAK)
Geloof je daarin :?
Het is vaak aangetoond dat er mensen zijn, die bepaalde wiskundige dingen, gewoon ZIEN.
Wat de precieze reden is, is niet zo 1 2 3 te achterhalen. Maar ik ben een heilige gelover in de kracht van de menselijke geest.
En of ik geloof of niet, er zijn gewoon inderdaad freaks, die niks snappen niks kunnen, maar wel antwoorden weten te geven op wiskundige vragen waar 100 wiskundige genieen 1 jaar over doen om te berekenen. Het is raar maar waar.

Als ik een kleine uitwijding mag geven, ik geloof dus dat dat 1 van de stappen is in de mens zn geestelijke evolutie, alleen zijn we er nog niet klaar voor. En dat het dan toevallig bij een enkeling wel aanwezig is, is een foutje en vandaar ook dat ze dan voor de rest niks kunnen (autistisch e.d.) Ze kunnen wel die getallen zien (of andere dingen) maar omdat ze (en wij) er nog niet klaar voor zijn, kunnen ze er niet mee omgaan.

Sorry voor de "lange" off-topic. Maar leek me wel even leuk :)

edit:

typo's
En dat het dan toevallig bij een enkeling wel aanwezig is, is een foutje en vandaar ook dat ze dan voor de rest niks kunnen (autistisch e.d.)
Niet alle autisten zijn "Rainman". Integendeel: onder autisten is het aantal "hoogbegaafden" volgens mij niets groter dan onder de "normale" mensen...

* 786562 Pietervs
Een woordvoerder laat weten dat er nooit twee dezelfde nummers gecreŽerd worden, en het systeem op een wijze in elkaar steekt, dat iemand die de wiskundige basis erachter kent nog steeds het volgende nummer in een opeenvolgende rij zou kunnen voorspellen.
Daar moet vast en zeker nog ergens het woord 'niet' tussen, anders zou het een slechte beveiliging zijn :).
Nee, wat er staat is juist, anders kan niemand meer de beveiliging eraf halen. Dat betekend dat de informatie ook voor de mensen waarvoor het bedoeld is onbruikbaar is geworden. Dat is nu net niet de bedoeling. :*)

Binnen enkele weken zullen we het bewijs zien, dat als je de wiskundige basis achter een systeem weet, het systeem ook gekraakt kan worden.

Ook een systeem gebaseerd op chaos theorie is een systeem, welke zich moet houden aan de "regels" van de theorie, anders is het systeem simpelweg niet bruikbaar.
Ok, je hebt gelijk. Het was een beetje wazig vond ik :).

edit:
Ow, ik had toch gelijk :D.
Geen slecht bedragje :)

Maar een ietwat goeie programmeur moet toch een programma kunnen schrijven waarin je die bak nummers invoert en die vervolgens gaat zoeken naar een formule die voor de hele reeks getallen klopt. Ok, het zal ff duren, maar zet er genoeg rekenkracht achter en je komt er wel achter :*)

Niet dan?

edit:
En wat was er dan overgewaardeerd aan dit stukje? Ik was nog niet eens gemod.
nee, dat heeft niets meer met programmeur zijn te maken. Een briljant wiskundige maakt misschien een kans.
chaotische systemen terugrekenen is nagenoeg onmogelijk. Als zij een werkelijk chaotisch model hebben dat de getallen genereert, dan kun je net zo goed proberen het weer 100 dagen vooruit exact te voorspellen. Lukt je ook neit.
Kraken van dit soort systemen moet je dan ook op een hele andere manier doen: Verleid de System administrator, ontfutsel hem zijn wachtwoord/inlog key en schakel de encryptie op de server uit.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True