Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Dateien entschlüsseln: Petya…

Unrealistisch

  1. Thema

Neues Thema Ansicht wechseln


  1. Unrealistisch

    Autor: Wallbreaker 11.04.16 - 17:58

    Die Berichte hinsichtlich dieser Trojaner werden von Mal zu Mal lächerlicher. Und dazu noch derart unrealistisch, dass jedes Mal immer irgendein Hansel auftaucht, der etwas auf wundersame Weise entschlüsseln kann. Hier überhaupt noch von Verschlüsselung zu sprechen entbert jeder Grundlage. Dazu kommt noch diese hier beschriebene Methode um einen Schlüssel abzuleiten. Bei allem Verständnis aber ohne essentielles Wissen des Urhebers, wäre so ein Weg vollkommener Nonsens. Ich glaube nicht daran das die Urgeber stetig derart dämlich sind. Zumal es fix und fertige Krypto-Libraries gibt inkl. freier Programme, mit denen man in Sachen Verschlüsselung schon keinen Mist mehr bauen kann. Sprich die essentiellen Teile sind vorgegeben, ohne das hier eine 0815 Eigenbau-Lösung gebraucht wird. Selbst ein stupides Script welches direkt Betriebssystem APIs anspricht, könnte eine sichere Verschlüsselung ermöglichen. Also warum passiert das immer wieder? Auf mich wirkt das sehr konstruiert, als wäre das unmittelbar beabsichtigt.



    2 mal bearbeitet, zuletzt am 11.04.16 18:00 durch Wallbreaker.

  2. Re: Unrealistisch

    Autor: SoniX 11.04.16 - 19:39

    Sehe ich auch so.

    Mit n paar Werten einer verschlüsselten Datei den key rückrechnen sollte nicht möglich sein.

  3. Re: Unrealistisch

    Autor: Gelegenheitssurfer 11.04.16 - 20:01

    Einer der werte ist das codierte Passwort zum entschlüsseln, aber nein, damit lässt sich nichts berechnen. Keine Ahnung was für Werte ausgelesen werden, aber es ist erstmal unrealistisch.
    Wer keine Ahnung hat und so...

  4. Unrealistisch: Nicht unbedingt

    Autor: jkow 11.04.16 - 20:06

    Die Verschlüsselung ist das Eine, das Andere ist der Key-Austausch. Jeder befallene Rechner hat einen eindeutigen Key und das (offizielle) Entschlüsselungstool muss den irgendwie bekommen. Da wäre natürlich die einfachste Lösung, wenn dieser Key in irgend einer Form auf der Platte versteckt wird.

    Vielleicht hat leostone sich die Bootloader verschiedener befallener Systeme angeschaut und hat gesehen dass dort bestimmte Bytesequenzen ohne Bezug zur Funktionalität unterschiedlich sind. Da kann man schon drauf kommen, dass da vielleicht der rechnerspezifische Schlüssel steckt. Der liegt dort vielleicht nicht im "Klartext", aber mit genug befallenen Systemen konnte leostone u.U. ein Schema entdecken.

    Vielleicht folgenden die Schlüssel bzw. die Schlüssel-Codes einer bestimmten Reihe, so dass man mit der Kenntnis von einem oder mehreren Schlüsseln weitere Schlüssel extrapolieren kann. Und vielleicht dauert das auch ein paar Minuten, um zu einem Schlüssel-Code per Brute-Force den entsprechenden Schlüssel zu finden.

    Finde ich echt nicht abwegig.

  5. Re: Unrealistisch: Nicht unbedingt

    Autor: Xiut 11.04.16 - 21:48

    Das ist alles andere als unrealistisch. Wer weiß, wie diese Trojaner grundlegend funktionieren, weiß auch, dass der Punkt der Schlüsselgenerierung der Punkt ist, wo die meisten Trojaner einfach (vor allem am Anfang, vor der großen Welle) Anfängerfehler gemacht haben oder sich einfach nicht so viel Mühe geben wollten.
    So wurden nicht selten auch Zufallsgeneratoren bloß mit der Uhrzeit geseedet, was das finden des Schlüsselst deutlich erleichtert :D

    Zudem gab es auch einige dieser Trojaner, die auf eine Art "Honeypot" beruhten. Da hat jemand einen leicht knackbaren Trojaner per Github der Öffentlichkeit zur Verfügung gestellt. Entsprechend einfach konnte er da Tools zum entschlüsseln anbieten, weil das erstellen der Schlüssel nicht von den Verbreitern dieser Trojaner abgeändert wurde.

    Zumal man auch Petya mit gängigen Reverse Engineering Methoden und Tools untersuchen kann. Und wie es aussieht, ist das hier besonders erfolgreich, weil sich das Meiste lokal auf dem Rechner abspielt.

  6. Re: Unrealistisch

    Autor: Wallbreaker 11.04.16 - 22:42

    Gelegenheitssurfer schrieb:
    --------------------------------------------------------------------------------
    > Einer der werte ist das codierte Passwort zum entschlüsseln, aber nein,
    > damit lässt sich nichts berechnen. Keine Ahnung was für Werte ausgelesen
    > werden, aber es ist erstmal unrealistisch.
    > Wer keine Ahnung hat und so...

    Weil moderne Verfahren auf diesem Wege nicht angreifbar sind. Selbst wenn dieselben Inhalte vielfach verschlüsselt werden, ist das Chiffrat immer ein Anderes. Aus dem Chiffrat lässt sich daher nicht mal eben etwas gewinnen, was dann kurzerhand kombiniert wird und dann den Schlüssel ergibt.

  7. Re: Unrealistisch: Nicht unbedingt

    Autor: Wallbreaker 11.04.16 - 22:42

    jkow schrieb:
    --------------------------------------------------------------------------------
    > Da wäre natürlich die einfachste Lösung, wenn dieser Key in irgend einer Form auf der Platte versteckt wird.

    Finde eher das wäre die fahrlässigste Form. Würde ich so etwas designen, dann würde bereits bei der Schlüsselgenerierung ein eindeutiger Code mit dem Schlüssel verknüpft werden. Dieser Code könnte aus mehreren Gegebenheiten erechnet werden die unabänderlich einmalig sind. Dann wird diese Kombination unmittelbar nach Hause geschickt und der Schlüssel ist weg wenn die Verschlüsselung beendet wurde.

    > Vielleicht hat leostone sich die Bootloader verschiedener befallener
    > Systeme angeschaut und hat gesehen dass dort bestimmte Bytesequenzen ohne
    > Bezug zur Funktionalität unterschiedlich sind. Da kann man schon drauf
    > kommen, dass da vielleicht der rechnerspezifische Schlüssel steckt. Der
    > liegt dort vielleicht nicht im "Klartext", aber mit genug befallenen
    > Systemen konnte leostone u.U. ein Schema entdecken.
    >
    > Vielleicht folgenden die Schlüssel bzw. die Schlüssel-Codes einer
    > bestimmten Reihe, so dass man mit der Kenntnis von einem oder mehreren
    > Schlüsseln weitere Schlüssel extrapolieren kann. Und vielleicht dauert das
    > auch ein paar Minuten, um zu einem Schlüssel-Code per Brute-Force den
    > entsprechenden Schlüssel zu finden.
    >
    > Finde ich echt nicht abwegig.

    Vielleicht ist dem aber ganz anders. Bringt nichts Theorien zu spinnen. Möglicherweise wird es noch aufgeklärt werden.

  8. Re: Unrealistisch: Nicht unbedingt

    Autor: Itchy 11.04.16 - 22:52

    Die wichtigste Funktion der Trojaner ist es, Geld für die Entschlüsselung einzutreiben. Dazu ist es egal, ob man die Daten mittels Serpent und super entropischen Schlüssel, oder per DES mit 7 ASCII-Zeichen Key verschlüsselt. Hauptsache, die Daten sind erstmal weg und man findet genügend Leute, die für die Entschlüsselung bezahlen. Bis dann ein Tool der Allgemeinheit zum Entschlüsseln bereitsteht, hat man schon gut Geld verdient und schon eine neue Trojaner-Version geschrieben, die auf einem anderen Cipher beruht und den Schlüssel irgendwie anders ablegt.

  9. Re: Unrealistisch: Nicht unbedingt

    Autor: Eheran 11.04.16 - 23:50

    Die Sache ist die: Du machst sowas nicht. Weil du was drauf hast und auch "richtig" Geld verdienen kannst. So geht es den Urhebern evtl. nicht :)

  10. Re: Unrealistisch

    Autor: tomate.salat.inc 12.04.16 - 08:50

    Kanns mir schon vorstellen. Wenn bekannt ist, was an den besagten Stellen zu stehen hat, dann wäre ein BruteForce angriff möglich. Wurde hier noch zusätzlich reverse engineering betrieben, dann können dabei wichtige informationen gefunden worden sein, die bei der Entschlüsselung helfen können.

  11. Re: Unrealistisch

    Autor: RicoBrassers 12.04.16 - 09:02

    https://github.com/leo-stone/hack-petya

    Readme lesen, fertig. ;)

  12. Re: Unrealistisch

    Autor: ip_toux 12.04.16 - 09:12

    Hier von einem Trojaner zu sprechen ist ebenfalls unrealistisch. Trojaner sollen Systeme von innen öffnen und nicht verschlüsseln.

    Ich würde das ganze eher in Kategorie Maleware Rücken.

  13. Re: Unrealistisch

    Autor: M. 12.04.16 - 09:28

    > Weil moderne Verfahren auf diesem Wege nicht angreifbar sind.
    Da hast du voellig Recht, gehst aber zu Unrecht davon aus, dass auch moderne Verfahren eingesetzt wurden. Das war einfach mal wieder ein typischer 'ich baue mir meine eigene voll sichere Crypto'-Fail, wie man leicht sieht, wenn man sich den Github-Code mal anschaut. Man haette ja zur Verschluesselung AES und zur Schluesselableitung PBKDF2 oder bcrypt nehmen koennen. Aber das waere wohl zu einfach gewesen, stattdessen hat sich der Autor von Petya was mit einer abgewandelten (und damit geschwaechten) Salsa-Variante und XOR selbst gebaut ... zum Glueck fuer die Opfer!

    Und damit ist Petya in guter Gesellschaft mit CSS, GSM, Magenta und 99.99% der selbstgebastelten Chiffren in der Crypto-Hoelle ;)

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.



    1 mal bearbeitet, zuletzt am 12.04.16 09:28 durch M..

  14. Re: Unrealistisch

    Autor: thecrew 12.04.16 - 12:16

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Die Berichte hinsichtlich dieser Trojaner werden von Mal zu Mal
    > lächerlicher. Und dazu noch derart unrealistisch, dass jedes Mal immer
    > irgendein Hansel auftaucht, der etwas auf wundersame Weise entschlüsseln
    > kann. Hier überhaupt noch von Verschlüsselung zu sprechen entbert jeder
    > Grundlage. Dazu kommt noch diese hier beschriebene Methode um einen
    > Schlüssel abzuleiten. Bei allem Verständnis aber ohne essentielles Wissen
    > des Urhebers, wäre so ein Weg vollkommener Nonsens. Ich glaube nicht daran
    > das die Urgeber stetig derart dämlich sind. Zumal es fix und fertige
    > Krypto-Libraries gibt inkl. freier Programme, mit denen man in Sachen
    > Verschlüsselung schon keinen Mist mehr bauen kann. Sprich die essentiellen
    > Teile sind vorgegeben, ohne das hier eine 0815 Eigenbau-Lösung gebraucht
    > wird. Selbst ein stupides Script welches direkt Betriebssystem APIs
    > anspricht, könnte eine sichere Verschlüsselung ermöglichen. Also warum
    > passiert das immer wieder? Auf mich wirkt das sehr konstruiert, als wäre
    > das unmittelbar beabsichtigt.

    Man nennt sowas auch einfach nur Backdoor! Und Backdoors gibt es mehr wie Sand am mehr. Die "Verschlüsslung" an sich ist schon "sicher". Nur wer die Backdoor kennt kann diese ja halt umgehen. Meistes werden gerade solche Dinger eingebaut damit man sich selbst retten kann, falls das Ding mal unabsichtlich los geht. Zudem wird derjenige der die Infos gepostet hat auch etwas mehr wissen.

  15. Re: Unrealistisch

    Autor: theonlyone 12.04.16 - 14:53

    ip_toux schrieb:
    --------------------------------------------------------------------------------
    > Hier von einem Trojaner zu sprechen ist ebenfalls unrealistisch. Trojaner
    > sollen Systeme von innen öffnen und nicht verschlüsseln.
    >
    > Ich würde das ganze eher in Kategorie Maleware Rücken.

    Trojaner bedeutet erstmal nur das man eine Datei hat die vorgibt etwas zu sein und der Nutzer sie deshalb reinlässt und aktiviert.

    Das der Trojaner dann veruscht die Tür aufzumachen ist nicht zwingend notwendig, macht aber Sinn, damit man mehr Freiheiten hat und mehr nachladen kann, das man sonst nicht eingeschleußt bekommt.

    Bedeutet, ein Trojaner muss nichts nachladen, tut es meist aber doch.

  16. Re: Unrealistisch

    Autor: EvilSheep 12.04.16 - 22:36

    Meist kommt der eigentliche Trojaner per mail und lädt etwas nach, nämlich den eigentlichen Code der die PLatte verschlüsselt.

    Die standard crypto librarys könnten durchaus Nachteile bieten.
    größer, leichter zu entdecken, schwieriger abzuwandeln um virenscanner auszutricksen, langsamer ...

    und wie schon gesagt wurde, es ist völlig egal ob die verschlüsselung unknackbar ist. Hauptsache es dauert lange genug bis eine Möglichkeit gefunden wird und /oder diese ist kompliziert genug wie aktuell noch

  17. Re: Unrealistisch

    Autor: Xiut 12.04.16 - 22:45

    Wo wurde denn bis jetzt wenigstens einmal die Verschlüsselung an sich geknackt?
    Bisher war es doch immer nur möglich die Dateien wieder zu entschlüsseln, weil ein Weg gefunden wurde, an die Schlüssel zu kommen, mit denen die Dateien verschlüsselt wurden.

    Es ist doch immer so, dass entweder...
    ... die Schlüssel von den Servern der Trojaner-Entwickler erlangt wurden (vom FBI oder so)
    ... der Trojaner-Entwickler die Daten wegen eines schlechten Gewissens selbst wieder freigegeben hat

    Oder was meistens der Fall ist: Die "zufällige" Generierung der Schlüssel, mit denen die Daten verschlüsselt wurden, waren so schlecht bzw. "unzufällig", dass man diese Schlüssel selbst "nachgenerieren" kann, auf dieselbe Weise, wie es der Trojaner getan hat, wofür es dann entsprechende Tools angeboten werden.

  18. Re: Unrealistisch

    Autor: paranoidandroid 28.05.16 - 20:41

    Graham Cluley darüber informiert, dass die Forscher ein Werkzeug entwickelt, das entschlüsseln kann Dateien infiziert mit Petya ([www.grahamcluley.com]) ! Er empfiehlt auch diese Anweisungen ( [openmessenger.de] ).



    1 mal bearbeitet, zuletzt am 28.05.16 20:42 durch paranoidandroid.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ITC ENGINEERING GMBH & CO. KG, Stuttgart
  2. operational services GmbH & Co. KG, verschiedene Standorte
  3. inovex GmbH, verschiedene Standorte
  4. TenneT TSO GmbH, Bayreuth

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,99€
  2. 4,99€
  3. (-78%) 12,99€
  4. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    Vernetztes Fahren: Wer hat uns verraten? Autodaten
    Vernetztes Fahren
    Wer hat uns verraten? Autodaten

    An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zu Speicherung und Zugriff auf die Daten sind jedoch noch nebulös. Und könnten den Fahrzeughaltern große Probleme bereiten.
    Eine Analyse von Friedhelm Greis

    1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
    2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
    3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

    Elektromobilität: Wohin mit den vielen Akkus?
    Elektromobilität
    Wohin mit den vielen Akkus?

    Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
    Ein Bericht von Dirk Kunde

    1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
    2. Batterieherstellung Kampf um die Zelle
    3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

    1. Mobilfunkinfrastrukturgesellschaft (MIG): Bundeseigene Mastengesellschaft aufgestellt
      Mobilfunkinfrastrukturgesellschaft (MIG)
      Bundeseigene Mastengesellschaft aufgestellt

      Eine Mobilfunkinfrastrukturgesellschaft soll schnell Masten errichten, um Funklöcher zu schließen. Das haben die Fraktionsvorstände von SPD und CDU/CSU beschlossen. Der marktwirtschaftlich getriebene Ausbau habe einen Mobilfunk-Flickenteppich geschaffen.

    2. AVG: Antivirus-Software beschädigt Passwortspeicher im Firefox
      AVG
      Antivirus-Software beschädigt Passwortspeicher im Firefox

      Ein spezieller Passwortschutz der Antiviren-Software AVG hat den Passwortspeicher des Firefox-Browser beschädigt. Nutzer hatten deshalb zwischenzeitlich ihre Zugangsdaten verloren. Diese können aber wiederhergestellt werden.

    3. Gamestop: Nerd-Versandhandel Thinkgeek hört auf
      Gamestop
      Nerd-Versandhandel Thinkgeek hört auf

      Der vor allem für seine teils obskuren Produkte bekannte Online-Versandhandel Thinkgeek stellt seinen Betrieb ein. Eine kleine Auswahl der Produkte soll weiter bei der Muttergesellschaft Gamestop erhältlich sein.


    1. 14:32

    2. 12:00

    3. 11:30

    4. 11:00

    5. 10:20

    6. 18:21

    7. 16:20

    8. 15:50