Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kaspersky vraagt hulp voor decrypten Gauss-payload

Kaspersky, dat onlangs het Gauss-virus ontdekte, heeft de hulp van derden ingeroepen om de encryptie van de Gauss-payload te kraken. Het is het bedrijf tot nu toe niet gelukt om de versleuteling van de Flame-variant te doorbreken.

Het Gauss-virus richt zich op het Midden-Oosten en zou bedoeld zijn om gegevens buit te maken van bankrekeninghouders. Ook is er ondersteuning voor het inbreken in PayPal en Citibank aan boord. De code van de malware zou een afgeleide zijn van het geraffineerde Flame-virus. Ondanks een uitvoerige analyse van Gauss door Kaspersky, is het nog niet gelukt om de versleutelde payload van de malware te kraken. De malware zou deze lading pas activeren nadat de payload is ontsleuteld met behulp van enkele specifieke strings afkomstig van een besmet systeem.

De payload is verstopt in twee containers, een 32bit- en een 64bit-bestand genaamd system32.dat en system32.bin. Daarbinnen bevinden zich drie modules die door de malware op een besmette machine ontsleuteld worden. Daarbij zou een voor malwarebegrippen zeer complexe routine worden gebruikt. Buitgemaakte gegevens worden weggeschreven in het bestand .thumbs.db.

Kaspersky denkt dat de payload van de 'overheidstrojan' bedoeld is voor een zeer specifiek en belangrijk doelwit, aangezien de malwaremakers veel voorzorgsmaatregelen hebben getroffen om de payload onleesbaar te maken. Om de versleuteling te doorbreken, waarbij een brute-forceaanval als ondoenlijk wordt gezien, heeft Kaspersky een oproep gedaan aan wiskundigen en cryptoanalisten. Daarbij zijn enkele samples vrijgegeven van de malware, bestaande uit strings met een lengte van 32 bytes.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Dimitri Reijerman

Redacteur

Feedback • 14-08-2012 19:57
56 • submitter: flux_w42

14-08-2012 • 19:57

56 Linkedin Google+

Submitter: flux_w42

Lees meer

'Flame-virus trof ook Nederlandse computers' Nieuws van 17 september 2012
'Hackaanval trof 30.000 systemen oliegigant' Nieuws van 24 augustus 2012
'Sabotagevirus' treft energiebedrijf Nieuws van 17 augustus 2012
Overheid: virusuitbraak onder controle Nieuws van 10 augustus 2012
Kaspersky: 'overheidstrojan' richt zich op financiële transacties Nieuws van 9 augustus 2012
Nieuwe spionagetool besmet systemen Midden-Oosten Nieuws van 18 juli 2012
Kaspersky treft eerste malware in App Store aan Nieuws van 6 juli 2012
'Ook Flame-trojan richtte zich op Irans nucleaire programma' Nieuws van 20 juni 2012
Kaspersky ontdekt verband tussen Stuxnet en Flame Nieuws van 11 juni 2012
'Flame-trojan wist sporen van zichzelf uit na commando' Nieuws van 11 juni 2012
Flame-trojan misbruikte Microsoft-certificaten Nieuws van 4 juni 2012
Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten Nieuws van 29 mei 2012
Kaspersky werkt samen met Apple om beveiliging op te schroeven - update Nieuws van 14 mei 2012
Kaspersky: Apple ligt tien jaar achter op Microsoft met beveiliging Nieuws van 26 april 2012
Apple ontwikkelt verwijdertool voor Flashback-malware Nieuws van 11 april 2012
Mysterieuze programmeertaal Duqu blijkt 'C-dialect' Nieuws van 19 maart 2012
'Duqu-trojan deels geschreven in onbekende programmeertaal' Nieuws van 8 maart 2012
Kelihos-spambotnet blijft down ondanks nieuwe malware Nieuws van 4 februari 2012
'Ontwikkelaars Duqu en Stuxnet maakten nog drie virussen' Nieuws van 29 december 2011
'Duqu-variant bespioneerde wellicht Iraans kernprogramma' Nieuws van 7 november 2011
Kaspersky ontdekt 64bit-versie Bundestrojaner-spyware Nieuws van 19 oktober 2011
'Oud-medewerker Kaspersky verantwoordelijk voor lekken broncode' Nieuws van 30 januari 2011
Meer producten en artikelen
Privacy Antivirus Beveiliging Malware

Reacties (56)

-Moderatie-faq
-156054+138+210+31Ongemodereerd6
Wijzig sortering
+2Alex3
14 augustus 2012 23:00
Het lijkt me het handigst als Kaspersky een programma maakt dat iedereen op zijn computer kan uitvoeren en daarmee controleren of die computer de voor het virus benodigde configuratie bevat. Als zo'n computer gevonden wordt kun je het virus decoderen.
Voor de gebruikers van Kaspersky kan dat programma misschien aan de eerstvolgende virusdefinities worden toegevoegd. Anderen zouden het los kunnen downloaden.

[Reactie gewijzigd door Alex3 op 14 augustus 2012 23:01]

+1mae-t.net

@Alex315 augustus 2012 02:53
Uitstekend plan. Ik denk dat het uitermate haalbaar zou moeten zijn: Kaspersky zou dat gewoon met zijn virusdefinities mee kunnen uitrollen want ik dacht dat ze al een soort van 'anoniem gebruiks- of computergegevens verzenden om het programma te verbeteren' hadden.

Wel een kleine mits: Ze kunnen natuurlijk niet zoveel van het virus meesturen dat het per ongeluk geactiveerd zou worden. Ueberhaupt zal er gekeken moeten worden of deze methode mogelijk is met de informatie die ze nu hebben.
+2ll roel j
14 augustus 2012 23:12
Wel frappant, misschien grappig dat de makers alle modules de naam hebben gegeven van een wiskundige. Gauss, Gödel, Taylor en Lagrange.

Ik zou bijna denken dat al hun theorieën zijn gebruikt om alles te encrypten. Als dat het geval is, dan duurt het denk ik nog wel even voordat alles ontcijferd is. Je moet dan weten welk deel bij wie hoort.

Mooie uitdaging.
0Arcticwolfx
@ll roel j15 augustus 2012 03:44
Vraag me af of dit meer een grap is dan een kwaadwillend goedje.


"You did it! Prepare for level 2.."
0kwibus
@Arcticwolfx15 augustus 2012 14:35
Het is altijd een grap, totdat het geld (of erger) begint te kosten. Elke tegenactie is voor de makers een leerproces en de volgende generatie virussen wordt alweer moeilijker tegen te houden.

Over 20 jaar zijn we wellicht blij als we te maken krijgen met een besmetting van een 'simpel' virus als Stuxnet, het had erger gekund...
0flux_w42
@ll roel j15 augustus 2012 13:16
Het encryptie algoritme is 100% gekend. Dat zit bij het virus. De key is een combinatie van mappen in je "Program Files", dat is ook af te leiden uit de code van het virus. Nu zijn ze enkel nog op zoek naar de exacte "Program Files" combinatie ... de key dus. Heeft niets te maken met Gauss, Gödel, Tayler en Lagrange (lijkt zo goed op Lasagne, toch? :P). Zou wel intrigerend geweest zijn mocht het daar wel iets mee te maken gehad hebben :)
0Kridri
@flux_w4224 augustus 2012 16:12
Misschien we een verre link tussen de namen van wiskundigen en de programma volgorde. Vb. software om de stellingen van de wiskundige te bereken?
0Mavamaarten
14 augustus 2012 20:01
Interessant. Dit maakt wel duidelijk dat er zeker een overheid organisatie met veel geld achter deze malware zit. Zo'n ingewikkeld en "onkraakbaar" algoritme maak je niet zomaar.

[Reactie gewijzigd door Mavamaarten op 14 augustus 2012 20:53]

+2DFyNt2U
@Mavamaarten14 augustus 2012 20:54
De reden waarom het zo moeilijk te kraken is is dat de encryptie sleutel niet bij het virus zit, maar komt van het besmette systeem. De 'echte' payload is dus pas activeerbaar als het virus het daadwerkelijke doel bereikt heeft.

Stel bv dat ik de payload encrypt met de productkey van jou windows installatie.
Een productkey is lang genoeg om icm AES256 voor een moeilijk kraakbare encryptie te zorgen.
Pas op jouw systeem zal de payload gedecrypt kunnen worden en dan pas kan het duidelijk worden waarvoor het bedoeld is.
(Let op, dit was een verduidelijk-voorbeeldje, 't is niet wat Gauss doet.)

Overigens is 'enkele samples' onaardig, Kaspersky had het hele zaakje moeten publiceren.

Lijkt me trouwens een dual-delivery virus, eentje die 'markers' plaatst op het doelsysteem, en een tweede, Gauss, met de payload zelf. Digitale versie van een binary-component chemische reactie. Als dat zo is dan petje af, want dat zou gewoon briljant zijn.

Het alternatief is een tie zoekt naar een specifiek (mogelijk arabisch) programma dat geïnstalleerd is. Als het een custom-programma is dan wens ik Kaspersky veel succes. Want die naam raad je natuurlijk nooit.

Ik vraag me wel af of het niet mogelijk is een collision attack te doen op de eerste md5 hash. Ik weet de criteria voor zulke collisions niet uit m'n hoofd, maar waarschijnlijk kan het niet tenzij de bron-string toevallig even lang is als een geheel aantal md5-blokken.
+2Belboer
@DFyNt2U14 augustus 2012 21:48
Ik vraag me wel af of het niet mogelijk is een collision attack te doen op de eerste md5 hash
Ze doen 1000 ronden MD5. Dat is nogal naar om een collision attack op te willen doen. Verder heb je er niets aan mocht je een collision vinden. Immers dan heb je de bestandsnamen nog steeds niet, alleen een string die de zelfde MD5 oplevert. En voor het ontsleutelen gebruiken ze weer 1000 ronden MD5 op de bestandsnamen maar met een andere salt. Door die andere salt zal je gevonden collision string niet de sleutel geven. Ofwel je kent de bestandsnamen niet en hebt de inhoud van de modules niet. Je bent met het berekenen van een collision helaas helemaal niets opgeschoten.
+1DFyNt2U
@Belboer14 augustus 2012 23:37
Je hebt gelijk, want het zou geen chosen-prefix attack zijn maar preimage-attack, waar nog geen praktische methode voor gevonden is.
Overigens is die salt1 vs salt2 niet zo'n probleem zolang de string ervoor maar dezelfde md5 oplevert.
't blijft een 2^128 complexiteit, dus verder kom je er toch niet mee.
+2MneoreJ
@DFyNt2U14 augustus 2012 21:10
Lijkt me trouwens een dual-delivery virus, eentje die 'markers' plaatst op het doelsysteem, en een tweede, Gauss, met de payload zelf. Digitale versie van een binary-component chemische reactie. Als dat zo is dan petje af, want dat zou gewoon briljant zijn.
Waarom? Je moet dan de bliksem twee keer in laten slaan. Waarom niet gewoon de payload in het eerste virus stoppen? Als je erin slaagt op het systeem te komen, kassa. Gelijk toeslaan. Of een verbinding openen naar een remote server voor verdere instructies, als de situatie te ingewikkeld is om het virus automatisch te werk te laten gaan.

Ja, je kunt erop rekenen dat het eerste virus door de mazen glipt omdat het wegens zijn grote onschuldigheid waarschijnlijk geen slapende honden wakker maakt, maar is er dan een reden voor om aan te nemen dat het tweede virus eerder ontdekt wordt? Of, als je toch al de mogelijkheid hebt specifieke systemen te infecteren met een marker, een reden voor om niet gelijk de goede payload te deponeren?

Als ik heel hard nadenk kan ik wel een specifieke set omstandigheden bedenken waarin dit misschien zinvol is, maar ik denk dat ik het dan nog veel onschuldiger zou kunnen maken dan specifieke bestanden in %PROGRAMFILES% achter te moeten laten.
+1Dreamvoid

@DFyNt2U14 augustus 2012 21:07
Overigens is 'enkele samples' onaardig, Kaspersky had het hele zaakje moeten publiceren.
Nee dat is lekker, dan heeft degene die het kraakt een geweldig virus te pakken, kan hij het vervolgens lekker bekijken en weer met zijn eigen versleuteling encrypten en weer verder sturen. Kapersky heeft alleen de sleutel nodig.

[Reactie gewijzigd door Dreamvoid op 14 augustus 2012 21:08]

+1Keypunchie

@Mavamaarten14 augustus 2012 20:04
Zeer moeilijk te kraken encryptie is helemaal niet iets dat voorbehouden is aan overheden. Sterker nog, je gebruikt hetzelf praktisch iedere dag, wanneer je een https-verbinding opzet.

Je hoeft als internetboef echt niet je eigen algorithme te ontwikkelen. Het implementeren van bijvoorbeeld AES of RSA kan via een library of een beetje gekwalificeerde programmeur kan het zelf schrijven.

Bijvoorbeeld.
http://www.homeport.org/~adam/crypto/

[Reactie gewijzigd door Keypunchie op 14 augustus 2012 20:09]

+2MneoreJ
@Keypunchie14 augustus 2012 20:47
Inderdaad, maar ik raad iedereen aan het bronartikel te lezen, want dat geeft aan waarom de gebruikte encryptie interessant is. Het gaat hem er nu net om dat hij triggert op een zeer specifieke key die samengesteld wordt uit bits op de geïnfecteerde machine.
We have tried millions of combinations of known names in %PROGRAMFILES% and Path, without success. The check for the first character of the folder in %PROGRAMFILES% indicates that the attackers are looking for a very specific program with the name written in an extended character set, such as Arabic or Hebrew, or one that starts with a special symbol such as “~”.
Dat roept automatisch de vraag op hoe de malware-auteurs de specifieke configuratie wisten om dit op te laten triggeren -- dat is toch vrij lastig als je niet al toegang hebt gehad tot de machine, en als je die had, waar is deze malware dan verder voor bedoeld?
+3robvanwijk

@MneoreJ15 augustus 2012 01:16
Dat roept automatisch de vraag op hoe de malware-auteurs de specifieke configuratie wisten om dit op te laten triggeren -- dat is toch vrij lastig als je niet al toegang hebt gehad tot de machine, en als je die had, waar is deze malware dan verder voor bedoeld?
Heb je Stuxnet een beetje gevolgd? Ik vermoed dat je je ongeveer het volgende voor moet stellen:

Een (tot op heden niet ontdekt?) virus besmet systeem na systeem. Bij elke volgende besmetting wordt een log-bestand met (versleutelde) informatie over alle tot dan toe besmette systemen meegenomen. Op deze manier kun je van de eerste geïnfecteerde machine steeds overspringen naar andere machines totdat je een "interessante" gevonden hebt. Daarna moet je nog wel wachten totdat de infectie zich verder verspreid tot een machine die weer aan het Internet hangt, zodat je je log naar je command and control server kunt sturen.

Na inspectie van die log schrijf je een tweede virus. Hierbij maak je gebruik van specifieke details (verzamelt door het eerste virus) om te bepalen op welke machine je actief moet worden (en op welke machines je alleen maar speurt naar manieren om nog meer machines te besmetten).

Dat is in elk geval (in grote lijnen) wat Stuxnet indertijd deed; die was (voor zover ik begrepen heb, maar het is nogal een complex stukje code!) zo geschreven dat die in principe "veilig" elke computer waar dan ook op de wereld had mogen besmetten, zonder kwaad te doen (behalve dan bij het beoogde doelwit natuurlijk).

Maar inderdaad, zo'n "twee-fasen aanval" lijkt gericht te zijn op een machine die niet via het Internet te benaderen is... dus waarom dan die PayPal / banking trojan payload; daar heb je op een offline machine niet heel erg veel aan...??
0sumac
@robvanwijk15 augustus 2012 09:41
Waarom een banking trojan... OK - pure speculatie: je besmet computers en je richt je op een doel, bepaalde computers bv in kerncentrales in Iran. Ben je daar - als virus - in de buurt, dan doe je dat via computers van mensen die daar werken of daar belangen hebben. Die mensen zijn interessant, hun bankgegevens zijn interessant.
0Rob Coops

@robvanwijk15 augustus 2012 10:06
De paypal en andere bank hacks kunnen simpel weg zijn toegevoegd op basis van een target of opportunity verhaal. Als ik als overheid inderdaad in een ander land lekker kan rond neuzen op hun systemen en kan zien welke sites ze bezoeken (niet moeilijk) dan kan ik dus ook op het moment dat ik redelijk wat paypal verkeer zie op bepaalde interessante systemen besluiten daar ook eens een kijkje te nemen.

In een interview in 2009 (zo rond de kerst) was er een Amerikaanse generaal die vertelde over een nieuwe manier van de vijand aanvallen een manier die in zijn woorden de zelfde impact zou hebben als de atoom bom op Hiroshima, meer kon hij er nog niet over zeggen.

Ik heb zo'n vermoeden dat dit niets anders is dan het geen deze generaal bedoelde. En als dat het geval is denk ik dat een overheid al snel als ze een mogelijkheid hebben bijvoorbeeld mee te kijken naar de geldstromen van een hoog geplaatst persoon ze dat zeker niet zullen na laten.
+2Belboer
@MneoreJ14 augustus 2012 21:37
Waarschijnlijk bevatten de versleutelde modules een aanval op specifieke software. Net zoals stuxnet dat voor scada software van een specifieke leverancier had. De aanvallers hadden deze payload natuurlijk gewoon onversleuteld kunnen versturen en kijken of de bestanden van het doelwit programma geinstalleerd zijn voor ze het opstarten.
Echter dan is bij ontdekking zoals nu meteen duidelijk welke programmatuur het doelwit is door te kijken op welke bestanden er gecontrolleerd wordt en zijn alle gebruikers van die software ook meteen alert.

Als de doel software erg specifiek is dan is de organisatie die doelwit is ook beter te achterhalen. Ook wordt direct duidelijk waar de kwetsbaarheid van die programmatuur zit door de werking van de modules uit te pluizen en ook zal uit de werking van die modules hoogst waarschijnlijk nogmaals duidelijk worden op welke software die zich richt.

Door de hash van de naam van het programma met een salt als controle te gebruiken is het niet duidelijk welke programmatuur het doelwit is. En door de zelfde hash met een andere salt als sleutel voor de vercijferde modules te gebruiken kan je de werking van de modules alleen bekijken als je al weet welke software het doelwit is. En uit het artikel blijkt dat de aanvallers daar erg goed in geslaagd zijn. De aanvaller hoeft dus niet de specfieke confguratie van een machine te kennen. Hij weet alleen donders goed dat hij softwarepakket X aan wil vallen zonder de wereld te laten weten dat hij zich op X richt.

-edit- Ik heb een nulletje over het hoofd gezien, ze doen 10.000 ronden MD5

[Reactie gewijzigd door Belboer op 15 augustus 2012 01:00]

+1notsonewbie
@MneoreJ14 augustus 2012 22:41
" Dat roept automatisch de vraag op hoe de malware-auteurs de specifieke configuratie wisten om dit op te laten triggeren -- dat is toch vrij lastig als je niet al toegang hebt gehad tot de machine, en als je die had, waar is deze malware dan verder voor bedoeld? "

Het doet mij denken aan een scheerapparaat reclame.
Het eerste mesje tilt de haar op, de 2e snijd hem af.(of zoiets)

Kennelijk is het doel tweeledig beter dan met 1 code te doen, of is het minder detecteerbaar bijv. op deze 1-2 tje methode.

Ook kan de eerste een 'stempel zetten' en de 2e weet dan dat die pc de moeite waard is en doet fase 2.
+1Timmynator0
@Mavamaarten14 augustus 2012 20:04
niet perse een overheid, maar toch zeker een organisatie met veel resources lijk me.
0notsonewbie
@Timmynator014 augustus 2012 22:35
Een lekkere juicy alu hoedje conspiracy is nooit weg, echter er zijn bij tijd en wijle ook bijv. kinderen van 12 die met wat nieuws komen.
Voor hetzelfde geld is het een (variant op-) vergeten heel simpel algoritme-encryptie van 800 jaar oud...
+2ILUsion
@notsonewbie15 augustus 2012 00:00
De kans dat het een algoritme van 800 jaar oud is, is eigenlijk nul.

Enerzijds moet je al uitgaan van Kerckhoffs principe: security by obscurity werkt niet. Als er data in dat virus zit, moet dat ook ooit gedecrypteerd worden. Daarvoor heb je het algoritme nodig en de sleutel. Het algoritme moet ergens in die worm zitten, dus eigenlijk is dat gekend. Het enige waaraan je dus veiligheid kan ontlenen is de key (en de sterkte van het algoritme laat je toe om enkel daarop te vertrouwen).

De algoritmes van 800 jaar geleden zijn gewoon veel simpeler en op veiligheidsgebied zwaar inferieur aan de huidige mogelijkheden. Enkel met een onbruikbaar lange sleutel (lees: one time pad), kan je daar iets veiligs mee maken. De kans dat je door zelfs een algoritme te rollen (wat dus het geval was 800 jaar geleden) iets maakt dat de huidige cryptografen niet kunnen breken is zo klein dat ik niet verwacht dat zo'n professioneel geschreven worm dat zou gebruiken. Door de vooruitgang in technologie, kan je veel makkelijker statistische aanvallen lanceren op zo'n code. En die oude codes zijn daar echt niet tegen opgewassen. Als je bedenkt dat recentere technieken als DES al niet veilig meer zijn, dan weet je ook wel dat die veel oudere technieken amper kans op slagen hebben.
+1sumac
@ILUsion15 augustus 2012 09:35
De kans dat het een algoritme van 800 jaar oud is, is eigenlijk nul.
Die kans zal nul naderen. Maar denk aan het Voynich Manuscript. Waarom zou er niet nog zoiets bestaan?
+1tonkie67
@Timmynator014 augustus 2012 20:26
komt nog bij dat "overheid" een zeer breed begrip is. Zelfs in een "nette" Westerse democratie (wat zoveel netter/beter/superieur zou zijn tov 'schurkenstaten') heb je clubjes die aan niemand verantwoording afleggen maar wel enorme resources hebben Als je ziet wat diverse Amerikaanse "overheids-instanties" in het verleden hebben uitgevreten zonder dat enig gekozen toezichthouder (congres, senaat en soms zelfs de president) er ook maar enige invloed op hadden.
En ook op dit schimmige vlak heb je "public private" constructies waar overheden en private instellingen heel knus tegen elkaar aanschurken, oa om bepaalde activiteiten goed verborgen te houden. En fijne samenwerkingen tussen diverse overheden kunnen ook toegang hebben tot enorme resources waar zgn "nette westerse democratieen" nauw samenwerken met landen die het helemaal niet zo nauw nemen met regeltjes en rechten....
+1mad_max234
@tonkie6714 augustus 2012 23:32
Maar ook Nederland, Frankrijk, etc. Of bijna elk andere land heeft zo "clubje". Noemen ze inlichtingendienst, geheimendienst, etc. Zolang ze maar niet tegen je keren zoals in Frankrijk of Rusland, etc. Dan neemt zo clubje het land over en zetten ze de president helemaal aan de kant. :D

Maar wat heb je dan liever, wat inlichtingendienst die zich misdragen van de VS tegenover al het goed wat ze brengen. Of zouden we beter af zijn met een van de andere supermachten die met de scepter zal zwaaien? Er is in beste huizen nog wel eens wat aan de hand, zou pas raar zijn als er geen enkele rotte appel in de VS zou zijn, ook daar is niet alles perfect. Maar bij gebrek aan beter ben ik heel blij dat ik in tijd leef dat VS toch wel de wereldvrede probeert te bewaren. ;)

Word beetje moe van dat fitten op de VS omdat ze bepaalde ideeen hebben die die 100% op de van de gemiddelde tweaker aansluit, score er schijnbaar punten mee, maar kom dan eens met oplossing, wie moet dan het voortouw nemen? Europa? Rusland, of china?
+1Sacron
14 augustus 2012 20:15
Is het niet beter de gehele code vrij te geven? Een "onschadelijke" versie van het virus? Hoe weten de mensen van Kaspersky dat die enkele strings volle strings zijn en niet deel uitmaken van een groter stuk versleutelde code? Ontcijferen werkt toch niet als je een incompleet stuk code hebt? Immers wordt de berekening voor de ontsleuteling op de gehele code toegepast en heb je dus de rest van de code nodig om een goed resultaat te krijgen - zoals hashwaarden als MD5 ook afhankelijk zijn van het gehele bestand. Of heb ik dit mis? Moet ik anders denken?
+2arjankoole

@Sacron14 augustus 2012 20:30
Is het niet beter de gehele code vrij te geven? Een "onschadelijke" versie van het virus?
Ze kunnen het virus niet onschadelijk maken en tegelijk de crypto intact laten. dat zal het probleem wel zijn. En het gehele ding, met payload intact en alles (die volledig encrypted is) ... dat wil je niet.
+1FreshMaker
14 augustus 2012 20:08
Is daar zoiets als de dutch powercows distributed software niet voor inzetbaar ?
renderfarms die helpen om de malware te decrypten ?

Of mis ik een stuk informatie hierin
+1Timmynator0
@FreshMaker14 augustus 2012 20:14
tenzij ik me vergis ( wat best een mogelijkheid is), kost het nog steeds ongelofelijk veel tijd om dat te doen, als je gemiddelde supercomputer het niet kan, denk ik zo dat ook het hele DPC- ding niet heel gek veel verschil zal maken. De huidige technologieën zijn gewoonweg niet snel genoeg voor ZO veel combinaties.

[Reactie gewijzigd door Timmynator0 op 14 augustus 2012 20:15]

+1stverschoof
@Timmynator014 augustus 2012 20:24
Als dat zo is dan is dat wel balen maar niks aan te doen. Maar anderzijds, als het niet zo zou zijn, zou zo'n encryptie ook niet heel veel waard zijn misschien :)
0Red_inc
@Timmynator014 augustus 2012 20:42
Valt best wel mee tegenwoordig met een paar zware videokaarten en CUDA is het niet zo heel moeilijk meer te brute forcen van een code, omdat voor dit soort doeleinden velen malen sneller zijn . videokaarten rekenen nu eenmaal veel beter dan CPU's
0Damic
@Red_inc14 augustus 2012 20:59
Dat hangt er vanaf voor wat soms is Stream sneller soms is Cuda sneller.
+1stverschoof
@FreshMaker14 augustus 2012 20:13
Dat lijkt me nou wel een goed initiatief als zoiets opgezet kan worden. Renderfarms om encrypties te kraken vóór een goed doel, misschien nog wel in ruil voor korting / bij een bepaalde hoeveelheid tijd gratis licentie?
+1Oeroeg
14 augustus 2012 21:26
Grappig, Gauss was een wiskundig genie.
+1Madame Jeanette
@Oeroeg14 augustus 2012 22:04
Vanwege de payload module die als filenaam godel heeft misschien?
+1Oeroeg
@Madame Jeanette14 augustus 2012 22:08
En daar zit dan weer een ö in, wat weer verwijst naar het "speciale" karakter (<0x007A) in de program files folder.
+1Madame Jeanette
@Oeroeg14 augustus 2012 22:19
Even verder zoeken en dan blijkt dat er ook een module gauss in zit en nog een paar andere modules vernoemt naar wiskundigen:

http://www.securelist.com...ance_meets_banking_Trojan
+1!nFerNo
14 augustus 2012 20:48
Waarom koopt zo'n bedrijf geen rekenkracht van Amazon's clouddienst of dergelijk? Communitywerk zal wel goedkoper zijn zeker ;)
+1Squ1zZy
@!nFerNo14 augustus 2012 20:53
Clouddienst van Amazon of Rackspace is een mooie dienst om iets aan te bieden aan groot publiek, maar niet om rekenkracht te gebruiken van dit formaat. Kan je beter machines gebruiken die IBM heeft staan zoals hierboven vermeld.
+1jmxd
14 augustus 2012 20:52
De mensen die dit hebben ontwikkeld zullen nu toch wel met een grote smile achterover in hun bureaustoel zitten. Je gebruikt je talent dan misschien wel verkeerd maar toch mag je best trots zijn als je iets als dit kan creëren.
+1MneoreJ
@jmxd14 augustus 2012 20:56
Degene die dit gemaakt heeft is mogelijk niet eens van mening dat zijn talent verkeerd gebruikt wordt. Voor hetzelfde geld is deze malware gemotiveerd door patriottische gevoelens.

Als ik malware zou schrijven die de Grote Firewall van China een hak zet, ben ik dan een vileine saboteur of een nobele strijder voor de mensenrechten? Ongetwijfeld beide wel.
0FreshMaker
@MneoreJ15 augustus 2012 10:19
Dat ligt aan de persoon zelf.

Voor China ben je in een klap staatsvijand nr1, dus terrorist.

het perspectief is altijd een heel dunne scheidslijn, de geschiedenisboekjes bepalen of je een held of verrader bent uiteindelijk !
+1j0shua79
14 augustus 2012 20:38
Even IBM bellen voor wat rekenpower is geen optie?
0(id)init
@j0shua7914 augustus 2012 21:11
Een Radeon HD 6990 heeft 3072 Stream processors en kan daarmee 10 miljoen MD5 berekeningen per sec doen. Ik denk niet IBM dat sneller kan.
0j0shua79
@(id)init14 augustus 2012 21:14
Ik bedoelde deze....

nieuws: Sequoia-supercomputer pakt koppositie met 16 petaflops
0(id)init
@j0shua7914 augustus 2012 21:40
Nice, maar een berekening op een servetje geeft

1 radeon HD 6990 doet zo'n 5000 giga flops
Voor 16 petaflop heb je 3200 radeons nodig terwijl de sequoia daar bijna 100.000 nodes voor nodig heeft.

Een cluster van 10.000 radeons verslaat denk ik de Sequoia.


http://www.gpureview.com/Radeon-HD-6990-card-646.html
+1chaoscontrol
@(id)init15 augustus 2012 01:34
Appels en peren vergelijking weer hoor. Zie het zo. Een cpu in die supercomputer is een tank. Die gfx card een koets. Ze rijden beide 190km/u. Dat is leuk! Met die tank kan je nog van alles, beetje schieten, beetje sturen. Bij die koets mag je blij zijn dat je rechtdoor blijft rijden.
+1mae-t.net

@(id)init15 augustus 2012 02:48
En hoe noemen we een cluster van 10.000 radeons? Juist, een supercomputer. En wie bel je daarvoor? Bijvoorbeeld IBM of een kleinere specialist zoals Clustervision.

Overigens heb je wel een punt dat je het beter kan koeioneren, want dat scheelt flink in je eigen (stroom)rekening. Externalisation of costs zeg maar.

[Reactie gewijzigd door mae-t.net op 15 augustus 2012 02:55]

+1Baltarzar
14 augustus 2012 22:00
zal dan wel een steunt zijn als je de encryptie met een van zijn formules kan berekken
1 2

Op dit item kan niet meer gereageerd worden.

Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True