Makers ransomware versterken encryptie

Kaspersky Labs heeft laten weten dat het een 660bits RSA-codering heeft gekraakt. De versleuteling werd gebruikt door het Gpcode.ag-virus, dat sinds begin deze maand op het internet circuleert. Deze malware is in staat om willekeurige bestanden op geïnfecteerde computers te coderen, wat tot voor kort alleen ongedaan kon worden gemaakt door een stukje software van de virusschrijver annex afperser te kopen. Dergelijke 'ransomware' dook vorig jaar voor het eerst op en wordt in hoog tempo geavanceerder, aldus Kaspersky.

Kaspersky Lab logo (zonder dropshadow) Om de sporen van de infectie zo goed mogelijk uit te wissen, wordt Gpcode.ag niet zomaar verspreid: een speciaal voor dit doel ontwikkelde trojan haalt het programma binnen. Hoewel Kaspersky's antivirussoftware zowel de trojan als het codeervirus kan onderscheppen, is de evolutie van dit type malware zorgwekkend: aan het begin van deze maand verschenen binnen vijf dagen drie versies van het betreffende virus, die respectievelijk 260bits, 330bits en 660bits encryptie gebruikten. Met name het snelle kraken van de 660bits versleuteling mag een prestatie heten. Kaspersky heeft naar eigen zeggen echter wat bedrijfsgeheimen achter de hand waardoor de taak wat makkelijker werd, maar tegelijkertijd liet het bedrijf weten dat de snelle progressie die de virusbouwers boeken, weinig goeds belooft.

IT-banen

Reacties (94)

Zeppo 28 juni 2006 11:07

Hmmm,

Ik word toch wel erg nieuwsgierig naar de bedrijfsgeheimen die ze achter de hand hebben...
En dan is Kapersky nog maar een 'gewoon' bedrijf.
Je vraagt je af wat ze dan bij de NSA e.a. op de plank hebben liggen.

PolarBear @Zeppo • 28 juni 2006 11:11

Ze hebben het virus geanalyseerd. Wellicht hebben ze een foutje in de RSA implementatie gevonden die de virusmakers gebruiken?

hardwareaddict @PolarBear • 28 juni 2006 19:40

ja bijvoorbeeld altijd te beginnen met dezelfde randomgetallen is een bekende. Als je de RNG (random number generator) hebt van dat virus dan heb je natuurlijk in no time dat ding gekraakt, uitgaande van knullig ontwerp van die RNG.

Ander voorbeeld is als ze Knuth gevolgd hebben. Die vond het wel genoeg om een bestand te versleutelen met als exponent het getal 3.

OOK NIET ZO'N BEST IDEE.

Verder zijn er nog tientallen pitfalls.

Het puur bruteforce factoriseren van 660 bits is niet zo eenvoudig overigens.

Je kunt er mega veel geld mee verdienen met factoriseren van enorme getalllen. Zie de uitdagingen op de RSA homepage.

aTmosh @hardwareaddict • 28 juni 2006 21:21

Je hebt een private en een public key nodig, de public wordt uit de private gegenereerd, vervolgens encrypt je bestanden met de public key en zijn ze alleen te decrypten met de private key.

De private key zal niet in de virus zitten (is ook niet nodig), anders is het een fluitje van een cent om te reverse engineeren.

Het is ook uiterst onwaarschijnlijk dat de private key on-the-fly wordt gegenereerd en vervolgens gelijk na encryptie gewist, dan kan je de data nauwelijks terughalen, dus kan je net zo goed gelijk random data over het bestand schrijven (puur destructief dus). Of je algoritme voor het genereren moet een manier bevatten om die private key weer te regenereren, maar daarmee zou het per definitie zwak zijn.

Of de gebruikte encryptie zelf kent een zwakte waardoor anti-virus makers de private key helemaal niet nodig hebben om op redelijke termijn de data terug te halen, of de keyspace is klein genoeg om net als bij de RSA RC5 challenges op basis van een bekend stuk het aantal te berekenen mogelijkheden tot redelijke aantallen in te perken.

Ik gok op het eerste, ondanks dat doorsnee bestanden op een desktop PC - executables, Word, PDF documenten etc. (geldt ook voor ASCII tekst (woord/grammatica/letterfrequentie gebaseerde waarschijnlijkheden), zeker als je nog een vroegere versie als backup hebt of woorden/zinnen weet te herinneren die erin voorkwamen.) - allemaal grote lappen makkelijk te voorspellen headers en filler kennen zou het te lang duren om bij gebruik van een goede encryptie/grote keyspace die te kraken.

Zo ja dan zullen de virusmakers op den duur overstappen naar een beter algoritme, zo niet dan naar steeds grotere keyspaces, of zich bijvoorbeeld toeleggen op al gecrypte bestanden die onnoemelijk veel moeilijker zijn (en wellicht meer waardevol, anders zou je ze niet crypten). Of b.v. op private keys van de gebruiker zelf

Als er weinig private keys zijn (b.v. 1 per virus versie) dan kan een successvolle brute force aanval alsnog de hele generatie onschadelijk maken, met ingebouwde downloadmogelijkheden nieuwe keys binnenhalen van een gehackte webserver b.v. zal dat moeilijker maken, maar biedt weer een mogelijke spoor richting de maker.

De enige mogelijkheid om dit te voorkomen is veelvuldige backups, veiligere netwerken en software (mensen leren nooit dus educatie geef ik weinig kans). Of de makers opsporen en flink straffen als voorbeeld, maar dan kunnen ze beter met spammers beginnen, die veroorzaken veel meer overlast.

BTW, 660 bits zegt niks, het gaat om de combinatie van algoritme en keyspace. 660 bits kan ook een simpele zin zijn die je XOR-t met de data, dat is in no time gekraakt.

Edit: na het artikel gelezen te hebben heeft de auteur inderdaad de weg bewandeld van simpel te kraken eigen algoritmes richting RSA dit jaar, eerst met kleine keylengte's (56, 67 bits) en in juni 260, 330 en vervolgens 660 bits. Hoe Kaspersky dat laatste heeft kunnen kraken is het meest interessante. Misschien is RSA toch niet zo veilig als we dachten? Of heeft een TLA al ergens een leuke quantum computer staan? Of ze hebben hem/haar (terug)gepakt?

hardwareaddict @hardwareaddict • 29 juni 2006 16:35

Hallo,

Je kunt bewijzen dat teneinde 2 puur random gekozen priemgetallen p , q die tezamen p.q = n vormen,
met encryptie exponent e, dat teneinde d te vinden, je n dient te factoriseren. RSA is dus 100% safe zolang die orde grootte niet valt te factoriseren.

Overigens is het illegaal om factorisatie software te verspreiden die meer als 512 bits kan factoriseren.

www.wassenaar.org

voor de internationale afspraken wat Buitenlandse Zaken toestaat en niet toestaat.

Encrypten op een manier die niet te kraken valt, valt onder militaire software categorie 5, zoals in de Wassenaar afspraken te lezen valt.

Als je dus iets hebt wat goed werkt, dan komen ze je wel halen.

660 bits is natuurlijk *net haalbaar* om te factoriseren na enorm veel tijd (maanden) met enorme hardware (die dat bedrijf in kwestie 100% zeker natuurlijk van zijn levensdagen niet heeft en alleen Stella zou dat kunnen in Nederland, puur theoretisch gesproken, en ze hebben wel iets beters te doen met Stella) te factoriseren.

Kortom, ze hebben dat virus zelf verspreid.

Ondergetekende had overigens nog nooit van dat virus gehoord. Maar dit bedrijf slaat er direct een slaatje uit.

Daar 660 bits net op de grens ligt en dus niet gevaarlijk is, zal niemand hen lastig vallen, zo vermoed ik.

Kan iemand me overigens dat getal n laten zien van dat virus?

Verwijderd @hardwareaddict • 1 juli 2006 11:42

Overigens is het illegaal om factorisatie software te verspreiden die meer als 512 bits kan factoriseren.

Zelfs met 40-bits encryptie, of ROT13, is ransomware zelf al illegaal, dus dat zal de makers niet echt boeien...

Kortom, ze hebben dat virus zelf verspreid.

Kom op! Kasperski is een gerenommeerd antivirus bedrijf, en zou zichzelf gigantisch in de voet schieten wanneer zou blijken dat ze dit virus zelf de wereld in hadden geholpen.
Hoe ze aan die "bedrijfsgeheimen" zijn gekomen om de boel zo snel te ontcijferen weet ik niet, maar de kans dat het hun eigen bedrijfsgeheimen zijn lijkt me nihil.
Misschien willen ze er niets meer over vrijgeven om geen infiltraties in de virusbouwers community te openbaren, en dus nutteloos te maken?

arjankoole @PolarBear • 29 juni 2006 07:00

Ze hebben het virus geanalyseerd. Wellicht hebben ze een foutje in de RSA implementatie gevonden die de virusmakers gebruiken?

of: ze hebben de decryptie tool van de virusmakers gekocht (de ransom betaald), en die tool geanalyseerd / reverse-engineerd.

dat zou de makkelijkste methode kunnen zijn, omdat je dan in handen hebt om te decrypten. Vervolgens heb je de gekraakte sequence in handen, en verspreid je dat naar je klanten... niet geheel dom bekeken.

Verwijderd @Zeppo • 28 juni 2006 11:23

Wat dacht je van reverse enginering?

Nibble @Verwijderd • 28 juni 2006 11:47

Daar heb je niet echt heel veel aan als het geen reversable algoritme gebruikt. Je zou dan enkel de public key hebben. Nou feest

maar zonder private key schiet je er weinig mee op natuurlijk.

justice strike @Nibble • 28 juni 2006 13:07

andersom... je encodeert het met de public key en je decodeert met de private. De public key mag namelijk voor iedereen wel bekent zijn

Parasietje @Nibble • 28 juni 2006 12:56

De public key is toch genoeg om de bestanden die in gijzeling gehouden worden, te decoderen. Hier is Kaspersky naar op zoek natuurlijk. De private key kan ze geen barst schelen.

hardwareaddict @Nibble • 28 juni 2006 19:44

660 bits public key factoriseer je niet zo eenvoudig.

Er zal wel 1 of andere beginnersfout gemaakt zijn, of ze hebben zelf dat virus eerst verspreid

Verwijderd @Zeppo • 28 juni 2006 12:55

Ze hebben het losgeld betaald en vervolgens het programmatje dat ze daarvoor terug gekregen hebben geanalyseerd

Simpel toch?

...of Kaspersky zit zelf achter dit virus, dat zou nog eens een bedrijfsgeheim zijn

darkfader @Verwijderd • 28 juni 2006 13:22

Mjah. dat moet haast wel. Misschien is de sleutel wel gewoon gebaseerd op het IP of MAC adres ofzo. Antivirusbedrijven krijgen wel steeds meer reverse-engineering-werk maar zulke sleutels kraken beginnen ze niet aan. Het is wachten op de eerste trojan die de encryptiesleutels echt random genereerd, doormaild naar de maker en vervolgens weggooid

BumEyes @darkfader • 28 juni 2006 21:31

Misschien is de bewaarplicht dan tog wel een goed plan?

bpere @Verwijderd • 28 juni 2006 18:12

Kaspersky zal waarschijnlijk betaald hebben voor de decryptiekey. Deze steken zij in hun AV.
Als het virus en geencrypteerde bestanden gedetecteerd word, zal hun aangekochte decryptiekey (in de AV) gebruikt worden om je bestanden terug goed te zetten.
Vervolgens zal de AV het vris proberen te verwijderen.

Ondertussen zullen ze wel bij Kaspersky een oplossing zoeken om dit virus op een andere manier aan te pakken.

Zo is iedereen van het gedacht dat Kaspersky een super bedrijf is met uitstekende software...

OruBLMsFrl @Zeppo • 28 juni 2006 12:03

Ik weet niet wat de NSA heeft liggen, maar ik weet wel dat als die virusschrijvers even OpenSSL linken en 256-bit AES gaan gebruiken, de NSA dat nooit voor particulieren gaat breken, zelfs al zouden ze het kunnen. Als je als NSA jouw kaarten open op tafel legt, ben je meteen al je macht kwijt. Nu weet niemand het, dus vertrouwen criminelen er niet volledig op dat het veilig is voor de NSA (een reden om niet te encrypten, want als ze komen zijn we toch de zak en encrypten is gerechtelijk gezien belastend/strafbaar). Als bekend wordt hoe lang het de NSA kost, dan is dat spelletje bekeken.
De enige oplossing zonder NSA'achtige instantie is om te dokken en uiteraard, om dit soort troep buiten de deur te houden. Straffen voor dit soort chantage zouden naar mijn idee wel flink omhoog mogen, stel je voor dat een CT of MRI scan (of erger, de scan applicatie zelf) door ransomware 'gepakt' wordt (afgescheiden van internet, inderdaad, maar goed, er kan maar eens een memorystick, e-mail of verkeerd routertje opduiken)... patient overleden, momenteel 1 jaar cel?

Edit: en dan nog maar te zwijgen over een zuiver malifide virus, dat zoveel mogelijk encrypt zonder enige optie om te decrypten, of zelfs maar een hint wie de maker is. Daar gaat al je werk, tenzij er nog een offline backup bestaat

RagaBaSH @OruBLMsFrl • 28 juni 2006 14:33

Ik weet niet wat de NSA heeft liggen, maar ik weet wel dat als die virusschrijvers even OpenSSL linken en 256-bit AES gaan gebruiken, de NSA dat nooit voor particulieren gaat breken, zelfs al zouden ze het kunnen. Als je als NSA jouw kaarten open op tafel legt, ben je meteen al je macht kwijt.

In het geval van ransomware is het in te denken dat het in het "best intrest" is van de US om een decode tool te bouwen, of dit nu wel of niet "duidelijk" van de NSA komt.

Nu weet niemand het, dus vertrouwen criminelen er niet volledig op dat het veilig is voor de NSA (een reden om niet te encrypten, want als ze komen zijn we toch de zak en encrypten is gerechtelijk gezien belastend/strafbaar). Als bekend wordt hoe lang het de NSA kost, dan is dat spelletje bekeken.

het encrypten van bestanden is juridische gezien belastend/strafbaar? hoezo? dat slaat werkelijk nergens op. Het kan hooguit iemand verdacht maken als een bepaald deel van zijn bestanden (bijv. financiele administratie) encrypted is, maar daardoor mag je er nog niet vanuit gaan dat er iets malafides aan de gang is...
als jij je autoruiten blindeerd wil dat toch ook niet zeggen dat er de facto verkeerde dingen op de achterbank gebeuren.

De enige oplossing zonder NSA'achtige instantie is om te dokken en uiteraard, om dit soort troep buiten de deur te houden. Straffen voor dit soort chantage zouden naar mijn idee wel flink omhoog mogen, stel je voor dat een CT of MRI scan (of erger, de scan applicatie zelf) door ransomware 'gepakt' wordt (afgescheiden van internet, inderdaad, maar goed, er kan maar eens een memorystick, e-mail of verkeerd routertje opduiken)... patient overleden, momenteel 1 jaar cel?

Dit is net als de meeste dingen te wijten aan de gebruiker. als jij als gebruiker altijd zorgt dat je niet op rare sites komt, geen rare exes uitvoert en geen illegale kopieen van wat dan ook installeerd... nooit ergens last van.
Daarnaast is het draaien en up to date houden van een anti-virus scanner voor veel mensen te veel garantie dat het allemaal wel los loopt. en maar OK/RUN klikken bij een waarschuwing van windows/AV.

Edit: en dan nog maar te zwijgen over een zuiver malifide virus, dat zoveel mogelijk encrypt zonder enige optie om te decrypten, of zelfs maar een hint wie de maker is. Daar gaat al je werk, tenzij er nog een offline backup bestaat

`cat /dev/random > $file` ?
das geen encryptie das massavernietiging

dasiro @OruBLMsFrl • 28 juni 2006 12:12

als er kan worden vastgesteld dat de patient overleed door toedoen van het virus, dan krijg je onvrijwillige doodslag aan je broek gesmeerd en niet enkel een straf voor het virus dat je geschreven hebt, dat noemen ze de gevolgen van je acties moeten dragen

pietje63 @Zeppo • 28 juni 2006 11:14

Dus gewoon niet brute force? Waarschijnlijk een soort van slim gokken (semi brute force).

Ik weet het ook niet precies, maar volgens mij wordt een coderings algoritme heel snel een stuk zwakker op het moment dat je er iets vanaf weet. Weet je bijvoorbeeld dat er sowieso '1337' in de sleutel verwerkt zit dan heb je een mooi begin.

Verder zijn ze waarschijnlijk bewust bepaalde bestanden gaan coderen en decoderen (door die tool aan te schaffen) en op die manier kun je waarschijnlijk ook een hoop extra informatie ontdekken dan via brute force.

@da_pc_lover; met dpc waren we dus waarschijnlijk nog niet zo ver gekomen

nxt @pietje63 • 28 juni 2006 18:56

Ik weet het ook niet precies, maar volgens mij wordt een coderings algoritme heel snel een stuk zwakker op het moment dat je er iets vanaf weet. Weet je bijvoorbeeld dat er sowieso '1337' in de sleutel verwerkt zit dan heb je een mooi begin.

Natuurlijk is het lastiger als er helemaal niets bekend is van een algoritme, maar een encryptie algoritme is pas goed als het niet nodig is om de werking geheim te houden (denk aan algoritmes als RSA en AES)

Verwijderd @Zeppo • 28 juni 2006 18:30

Waarschijnlijk hebben ze het decryptie programmatje van die gast gekocht en gedecompiled.

PeaceNlove 28 juni 2006 11:08

Nieuw project voor DPC: bestanden van anderen decrypten die door dit virus te pakken zijn genomen.

DropjesLover @PeaceNlove • 28 juni 2006 11:24

dan heb je ze over 4 jaar weer terug

maar het idee is wel goed natuurlijk

DarkTemple 28 juni 2006 11:08

Bedoelen ze nu dat ze een 660 bit encryptie kunnen kraken in zo een korte tijd middels een bedrijfsgeheim?
dit baart mij grote zorgen, mocht dit zo zijn, wat heb je dan nog aan encryptie

Mfpower @DarkTemple • 28 juni 2006 11:14

Ik sta er ook van te kijken. Helemaal niets heb je aan encryptie als het zo makkelijk gaat.

Wat ik vermoed is dat ze de key niet hebben gevonden door brute force. Dan blijft er over dat er of een fout/lek zit in het encryptie algoritme of ze hebben de key gevonden middels reverse engineering van de trojan zelf. In dit laatste geval kan het betekenen dat de encryptie sterk is maar dat de trojan op de een of andere manier de informatie bevat om te decrypten (net zoals ze dat ooit gedaan hebben met DeCSS).

In het ergste geval weet het bedrijf (en dan waarschijnlijk NSA ook) iets wat de meesten onder ons niet weten en is de encryptie zoals we die nu kennen gewoon kraakbaar.

Verwijderd @Mfpower • 28 juni 2006 11:19

Twee en twee is vier.

Ik zou gokken dat Kaspersky de beschikking over de Trojan, het programma dat door de trojan wordt opgehaald en ik zou als AV bedrijf ook die software hebben aangekocht waarmee je de encryptie ongedaan kan maken.

Dan heb je de heenweg en de terugweg te pakken. Een combinatie van de programatuur en voorbeeld heen en terugencryptisch, moet het zeer gefundeerd gokken mogelijk maken, dus geen brute-force benadering.

Dat ze toevallig ergens in een achterkamertje nog een cray of twee hebben staan.... leuk meegenomen.

Ik zou ook (al was het alleen maar als afschrikking) reppen over bedrijfsgeheimen. Het klinkt altijd wel leuk toch?

justice strike @Verwijderd • 28 juni 2006 13:14

mwa dat zou stom zijn van de virus schijver om EN de public key EN de private key te gebruiken voor encryptie.

je encrypt namelijk maar met 1 key en neit met allebei... de private key wordt dus waarschijnlijk alleen in de antidote gebruikt en niet in het virus zelf

Parasietje @Verwijderd • 28 juni 2006 12:59

Encryptie werkt niet zo dat, als je A -> encrypted(A) en encrypted(A) -> A kan doen, dat je dan de private sleutel hebt.
Er is gewoon stap voor stap gekeken wat er gebeurt. Slim staaltje reverse engineering. Gewoon het geheugen bekijken die het virus gebruikt, daar moet de private en public key toch ERGENS in staan :-)

miw @Verwijderd • 28 juni 2006 15:11

Er zal dus wel een bepaalde relatie bestaan tussen publieke sleutel en de persoonlijke sleutel. Als je een aantal instanties van dergelijke sleutels hebt, lijkt het redelijk te veronderstellen dat je de zoekruimte voor het probleem behoorlijk kan verkleinen (dus minder werk om persoonlijke sleutel te vinden bij een gegeven publieke sleutel).

Guru Evi @Verwijderd • 28 juni 2006 16:06

Nope, http://en.wikipedia.org/wiki/Rsa#Key_generation

Ergens moet de key (de publieke en de private) dus passeren (bij de encryptie en/of decryptie). Omdat het een stand-alone programma is en deze zowel moet encrypteren als decrypteren heeft die dus alle sleutels nodig die dan plain text ergens in het geheugen gezet worden of uitgelezen worden over een netwerkverbinding. Als je die kan onderscheppen (neemt wel wat werk in, zeker omdat besturingssystemen niet (zouden mogen) toelaten dat je in het geheugengebied van andere programma's leest of schrijft)

j.meijers @DarkTemple • 28 juni 2006 11:21

Als je mensen wilt afpersen zul je de bestanden op hun computer moeten coderen met een publieke sleutel waardoor je alleen met jouw unieke prive sleutel de boel kunt unlocken. Dit soort algoritmen zoals RSA steunen veelal op grote priemgetallen. Echter grote priemgetallen zijn lastig te vinden... Er zijn wel functies die een indicatie geven of de kans dat een bepaald getal een priemgetal is erg groot is, wat veelal genoeg is voor een redelijke RSA encryptie.

Het kan dus zijn dat men hier een fout van de programmeurs in heeft gevonden, het kan ook zijn dat de sleutel makkelijker afgeleid kon worden doordat Kaspersky de software van de afpersers heeft gekocht en die vervolgens geanalyseerd. Wie zal het zeggen.

Hoe dan ook, ik denk niet dat je je voorlopig zorgen hoeft te maken dat RSA in zijn geheel gekraakt wordt, aangezien het wiskundig gezien onmogelijk is om het makkelijk te kraken bij gebruik van zuivere, zeer grote priemgetallen en grote sleutels.

@boiert: allereerst zoals FlipFluitketel al zegt: denk eerst eens na voordat je zoiets zegt. Ten tweede: 1001 is niet groot.

boiert @j.meijers • 28 juni 2006 11:34

groot priemgetal moeilijk te vinden ?
<getal><aantal nullen> +1
11
101
1001
etc.
niet veilig, maar toch wel makkelijk een grote te vinden

FlipFluitketel Frontpage Admin @boiert • 28 juni 2006 11:42

Helaas voor jou dat je met je 1001 voorbeeld ook weer gelijk aangeeft dat het niet klopt.
1001 is namelijk deelbaar door 7 en dus geen priemgetal.

Nog even een aanvulling:
11000000000000000000000000000000000000000000000000000000000001 is een vrij groot getal maar geen priemgetal.
(Het is deelbaar door 3 (als ik het goed heb

))

Eric Oud Ammerveld @boiert • 28 juni 2006 12:22

@ FlipFluitketel:

Googles antwoord:
11 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 001 / 3 = 3.66666667 × 10^60

FlipFluitketel Frontpage Admin @boiert • 28 juni 2006 12:35

Euh.. juist.. Wiskunde is niet mijn sterkste kant dus wat nu de exacte uitkomst is is voor mij nog een raadsel.
Wat ik wel weet is dat als je een getal neemt en de som van alle cijfers van dat getal samen is deelbaar door 3, dan zou het complete getal ook door 3 deelbaar moeten zijn. (voorbeeld: 379845378 is deelbaar door 3 want 3+7+9+enz=54 en dat is makkelijker uit je hoofd uit te rekenen dat dat deelbaar door 3 is).

Verwijderd @boiert • 28 juni 2006 13:29

Wat? Google gebruiken voor rekenen met gehele getallen?!

Niet moeilijk doen, FlipFluitketel heeft gelijk dat zijn rekenvoorbeeld exact uitkomt --- de som van de digits is drie, dus het getal is deelbaar door drie. Het antwoord, zoals google suggereert, is een 3 gevolgd door 59 zessen en dan een 7. [Google zal obviously hetzelfde antwoord geven als je het laatste getal veranderd in een 0.]

Maar hier rust priemgetallen-cryptografie niet op. Het gaat erom dat het bij grote getallen (met bvb 100cijfers) die exact 2 priemdelers hebben (klein voorbeeld: 119=7 x 17) erg moeilijk is om deze priemdelers te vinden. Lees wikipedia etc. Of via MathWorld de RSA-challenges, het zoeken van Mersenne-priemgetallen etc.

Waar ik niet over uit ben --- alle wiskundige bewijzen ten spijt over de moeilijkheid tot oplossen --- is zoals bij alle security issues de menselijke factor:
aangezien we maar een beperkt aantal methoden hebben om priemgetallen te genereren, lijkt het mij vrij doenbaar om met die getallen in de hand het probleem op te lossen: het equivalent van rainbow tables dus.
Door deze beperkte toolkit, is het probleem eenvoudiger in de praktijk dan het in theorie is --- net zoals door mensen gekozen paswoorden eenvoudiger zijn dan de theorie voorschrijft, omdat je nu eenmaal minder niet-alfanumerieke tekens kiest van nature (een goede paswoord-generator omzeilt dit probleem, maar dat is het punt niet --- het punt is de menselijke beperking).

Ik ben niet thuis in moderne getaltheorie, vandaar dat ik me straffeloos aan deze intuitie kan vasthouden; zonder dat ik dit punt moet hard maken. Maar voor zover ik weet, zijn een aantal crypto-schema's de laatste jaren onderuit gehaald door dit soort zwakheden (vorig jaar nog, staat me bij).

Verwijderd @DarkTemple • 28 juni 2006 11:59

Als ze de code van de decodeer tool hebben ontleed is het niet zo moeilijk om de benodigde priemgetallen P en Q daarin op te zoeken. Hebben ze die decoder niet zullen ze deze getallen zelf moeten vinden. Maar ik neem aan dat er tabellen beschikbaar zijn met mogelijke priemgetallen voor een bepaalde publieke sleutel. Zo'n tabel op de data loslaten kan al heel snel goede resultaten opleveren.

DarkTemple @Verwijderd • 28 juni 2006 12:10

overbodig

reddog33hummer @Verwijderd • 28 juni 2006 12:56

Dan zouden ze een table moeten hebben van veschillende terabytes. Alleen voor rsa. Denk eerder dat ze de sleutel gekocht hebben van de afpersers

The - DDD @DarkTemple • 28 juni 2006 13:49

Encryptie keys kraken is een stuk eenvoudiger als je zowel de cleartext als de cyphertext hebt. Daar zullen ze vast wat mee gedaan hebben. Helemaal niet zo erg als je denkt.

frickY @The - DDD • 28 juni 2006 17:04

Dat gaat voor block-ciphers niet echt op.

boe2 28 juni 2006 11:23

Ben ik dan de enige die zich afvraagt waarom de makers van 'ransomware' virussen niet opgepakt worden? De geldstroom moet toch gemakkelijk te volgen zijn, of mis ik iets?

Verwijderd @boe2 • 28 juni 2006 11:36

In landen als Nederland en de VS eventueel wel ja. Maar er zijn genoeg landen waar totaal geen zicht is op geldstromen. Om over diensten als Western Union (die al vaker in het nieuws waren ivm dubieuze transacties voor minder legale doeleinden) nog maar te zwijgen.

EfBe @Verwijderd • 28 juni 2006 13:53

Gezien het vorige week onthulde SWIFT schandaal, denk ik dat 1 telefoontje naar de CIA inderdaad genoeg moet zijn voor het opduikelen van de target.;)

hardwareaddict @EfBe • 28 juni 2006 19:59

In USA gaat niet de CIA hier over maar NSA.

CIA is veel te klein hiervoor

In NL gaat de militaire inlichtingendienst hier over.
Ik gok zo'n man of 2000 dat 't is.

Best wel veel ambtenaren voor zo'n klein land. In de 2e kamer realiseren ze zich dit overigens niet. Ze beklaagden zich niet al te lang geleden nog over de 1000 man bij de AIVD.

Bij elkaar is het edoch toch al snel zo'n 3000 man.

djack @Verwijderd • 28 juni 2006 11:52

Probleem is dat in de meeste westerse landen de geldstromen heel makkelijk te volgen zijn. Maar ik denk dat ik ontwikkelingslanden of in de landen van Ome Bush zijn landen van de tafel van het as van het kwaad het wel wat anders is.
Hoewel hier ook oplossingen voor zullen bestaan.

Probleem is hem meer de verschillende wetgevingen in de verschillende landen langs waar het geld allemaal gaat.
Zwitserland, Belgie .... hebben nog altijd hun bankgeheim informatie krijgen is dan niet zo moeilijk ...

sparidem 28 juni 2006 11:21

Een RSA sleutel van 660 bits is aan de korte kant, over het algemeen wordt een lengte van minimaal 1024 bits aangeraden als je niet wilt dat je sleutel snel gekraakt wordt.

En het vermelden van een sleutellengte zonder daar het algoritme bij te vermelden is totaal onzinnig zoals genoemd bij de Dutch Power Cows: 72 bits sleutel van welk algoritme ? Een 72 bits RSA sleutel is bijzonder snel brute force te kraken. Ik neem dus aan dat het een sleutel is voor een ander algoritme, dus kan het ook niet met de 660 bits sleutel uit het nieuwsbericht vergeleken worden.

Een 128 bits DES sleutel kan grofweg vergeleken worden met een 1024 bits RSA sleutel. Dit komt doordat de achterliggende algoritmes totaal niet met elkaar vergeleken kunnen worden.

hardwareaddict @sparidem • 28 juni 2006 19:53

En hoe wilde jij legaal meer als 40 bits gebruiken in je LEGALE software?

www.wassenaar.org

Stefan_D

28 juni 2006 11:10

660 bits?

2^660 = 4,78 x 10^198 cijfertjes.

Dat kraak je toch niet zomaar?

TrailBlazer @Stefan_D • 28 juni 2006 11:17

het zal wel allemaal 1337133713371337 zijn geweest in binaire vorm

Aaargh! @Stefan_D • 28 juni 2006 13:03

Dat er een 660 bit key wordt gebruikt wil niet zeggen dat de keyspace 2^660 is. Door de manier waarop zo'n algorithme werkt zijn niet alle combinaties van 660 bits mogelijk geldige keys. Deze kan je dus tijdens het zoeken overslaan.

hardwareaddict @Stefan_D • 28 juni 2006 19:46

Laat ik 1 simpele oplossing aandragen.

Stel je genereert eerst zelf dat public key getal, dan is later de oplossing vinden natuurlijk een eitje als je je phi(n) niet hebt weggegooid

De titel moet hier natuurlijk zijn: "ransomware slaat er een slaatje uit".

Forage 28 juni 2006 11:46

Kaspersky heeft naar eigen zeggen echter wat bedrijfsgeheimen achter de hand...

Voor het zelfde hebben ze zelf het virus ontwikkeld en proberen ze te verdienen aan het losgeld en hun antivirussoftware

Verwijderd @Forage • 28 juni 2006 11:56

Je eigen markt opbouwen, geniaal idee eigenlijk!

ATS @Verwijderd • 28 juni 2006 14:15

En het is dus precies wat deze virusbouwer gedaan heeft: een virus bouwen dat je bestanden gijzelt (encrypt), en geld vragen voor de de "vrijlating" (decryption) ervan.

miw @Forage • 28 juni 2006 15:15

Dat soort gedrag komt altijd uit en dat is gelijk het einde van het bedrijf. Het is dus een tamelijk onzinnige suggestie dat een goedlopend en gerenommeerd bedrijf zich met dit soort praktijken zou inlaten.

hardwareaddict @miw • 28 juni 2006 19:51

Geef eens bewijs dat dit een 'gerenommeerd bedrijf is zonder personeel dat er een slaatje uit slaat'.

Pruttelpot 28 juni 2006 11:43

Uit het originele artikel:

The situation was challenging. It took us 10 hours of manpower and some serious computing power to break the 330 bit key used by Gpcode.af. We added decryption routines to our databases and heaved a sigh of relief.

However, our relief was premature – the next day brought Gpcode.ag – with a 660 bit key. Currently, the longest factorized key on the RSA website is 640 bits. Even using a computer with a 2.2 GHz processor it would take 30 years to break such a key. We released detection and decryption routines on the day that Gpcode.ag was detected.

How did we do this? Well, that’s a trade secret. And what does the future hold? That’s not an easy or a pleasant question.

30 jaar op een 2,2 processor voor een 660bits encryptie?? Ik weet niet wat voor tuurkjes die lui allemaal hebben, maareh, we doen er nou al een aantal jaar over met vele duizenden mensen om een 72 bit key te kraken..

Zouden er dan toch fikse zwaktes inzitten, die onder bedrijfsgeheimen vallen?

Olaf van der Spek @Pruttelpot • 28 juni 2006 11:48

maareh, we doen er nou al een aantal jaar over met vele duizenden mensen om een 72 bit key te kraken..

De 660 bits gaan over public key encryption, de 72 bits over secret key encryption. De twee zijn dan ook totaal niet vergelijkbaar.

GiLuX 28 juni 2006 12:12

lijkt mij dat de headline van dit bericht beter kan zijn:
"kasperski kraakt 660 bit rsa encryptie."

dat dit toevallig in malware werd gebruikt lijkt me nogal van ondergeschikt belang.

of... mis ik hier iets?

thegve @GiLuX • 28 juni 2006 12:44

jep, het feit dat ze niet zeggen hoe ze het gedaan hebben.
File_decrypt("c:\ransomfile.doc","jhhuihiuh9y897987hkhkjh") vinden en je hebt 'm ook gekraakt.

frickY @thegve • 28 juni 2006 17:14

Want de virusschijver stuurt natuurlijk gewoon de broncode van de decrypt-applicatie mee

Het reverse engineren van Win32 toepassingen gaat iets anders in zijn werk dan een Flash Decompiler downloaden.

Daimanta 28 juni 2006 11:08

Kaspersky heeft naar eigen zeggen echter wat bedrijfsgeheimen achter de hand waardoor de taak wat makkelijker werd, maar tegelijkertijd liet het bedrijf weten dat de snelle progressie die de virusbouwers boeken, weinig goeds belooft.

Waarom word ik hier zo huiverachtig van?

hardwareaddict @Daimanta • 28 juni 2006 19:41

ach ze hebben gewoon 1 gat gevonden bij het dissassembleren van 't virus en dat wordt gebruikt natuurlijk

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (94)

Sorteer op:

Weergave: