184582Αναλυτές στην εταιρία Positive Technologies, καταφέρανε να αποκρυπτογραφήσουν δεδομένα που προσβλήθηκαν απο το ransomware Petya, ελπίζουν τώρα πως θα μπορέσουν να απλοποιήσουν την διαδικασία ώστε να την δώσουνε μετά στην κοινότητα ώστε να δημιουργηθούν εργαλεία για την αποκρυπτογράφηση.

Σε μια δημοσίευση η εταιρία αναφέρει :

“It turned out that the creators of NotPetya made an error in their implementation of the Salsa20 algorithm. Due to this error, half of the encryption key bytes were not used in any way. This reduction in key length from 256 to 128 bits, unfortunately, still does not leave any hope of decrypting data in a reasonable time. However, certain peculiarities of how the Salsa20 algorithm was applied allow recovering data, no key necessary.”

Οι δημιουργοί του NotPetya κάνανε ενα λάθος και αντί να κάνουν πλήρη χρήση της κρυπτογράφησης στα 256bit αυτή έγινε μόνο με 128Bit, μαζί με αυτό όμως υπάρχουν και κάποιες άλλες ιδιαιτερότητες του τρόπου με τον οποίο εφαρμόστηκε ο αλγόριθμος Salsa20 που επιτρέπουν την ανάκτηση δεδομένων, χωρίς να είναι απαραίτητο το κλειδί.


Με αυτό το proof of concept οτι μπορούν να ανακτηθούν τα δεδομένα η κοινότητα μπορεί να αναπτύξει εργαλεία που θα βοηθήσουνε στην αυτόματη αποκρυπτογράφηση.
Οσοι λοιπόν κρατήσανε τους δίσκους τους στην άκρη με την ελπίδα οτι θα βρεθεί κάποια λύση για τα δεδομένα τους μπορούν τώρα να έχουν βάσιμες ελπίδες.

Πηγή : Neowin (https://www.neowin.net/news/security-firm-manages-to-recover-encrypted-affected-by-latest-petya-attack)

Ασχετοι ηταν? αυτα παθαινεις οταν φτιαχνεις τον τροχο.

Είναι γεγονός πως η κρυπτογραφία είναι από τα πιο δύσκολα πράγματα να γράψεις σωστά καθώς το παραμικρό λάθος μπορεί να κάνει την υλοποίησή σου αδύναμη.

Δεν ξέρω πάντως αν η είδηση είναι καλή επειδή κάποιοι θα ανακτήσουν τα αρχεία τους ή κακή επειδή ακόμη και κακοί προγραμματιστές μπορούν να προκαλέσουν τόσο μεγάλη ζημιά στα windows...

Γι'αυτό υπάρχουν έτοιμες βιβλιοθήκες για να μην το φτιάξεις μόνος σου, γιατί αν το φτιάξεις μόνος σου 99.99% θα κάνεις λάθος.

Είναι γεγονός πως η κρυπτογραφία είναι από τα πιο δύσκολα πράγματα να γράψεις σωστά καθώς το παραμικρό λάθος μπορεί να κάνει την υλοποίησή σου αδύναμη.

Δεν ξέρω πάντως αν η είδηση είναι καλή επειδή κάποιοι θα ανακτήσουν τα αρχεία τους ή κακή επειδή ακόμη και κακοί προγραμματιστές μπορούν να προκαλέσουν τόσο μεγάλη ζημιά στα windows...
Το αν ήταν "κακοί" φάνηκε από τον χρόνο που πήρε όλους τους "καλούς" να βρουν την λύση.
Προφανώς και δεν πρόκειται για ασχετοσύνη αφού τίποτε δεν είναι τέλειο.


Γι'αυτό υπάρχουν έτοιμες βιβλιοθήκες για να μην το φτιάξεις μόνος σου, γιατί αν το φτιάξεις μόνος σου 99.99% θα κάνεις λάθος.

Γιατί οι έτοιμες βιβλιοθήκες δεν έχουν bugs;

Το αν ήταν "κακοί" φάνηκε από τον χρόνο που πήρε όλους τους "καλούς" να βρουν την λύση.
Προφανώς και δεν πρόκειται για ασχετοσύνη αφού τίποτε δεν είναι τέλειο.



Γιατί οι έτοιμες βιβλιοθήκες δεν έχουν bugs;

Οχι βεβαια, ειναι χιλιοτεσταρισμενες. Και αν εχουν ειναι εξαιρετικα δυσκολο να βρεθουν.
Ειδικα αυτες των Windows.

μπορεί να γράφτηκε "στο χέρι" για να μην έχει εξαρτήσεις από άλλες βιβλιοθήκες (μικρότερο binary, μεγαλύτερο OS compatibility, να μην απαιτείται επιπλέον κατέβασμα τυχόν runtime στον client κοκ.).

Αποκλείεται να μην υπήρξε λόγος για κάτι τέτοιο ή οι συγκεκριμένοι να μη γνώριζαν.

Γιατί οι έτοιμες βιβλιοθήκες δεν έχουν bugs;

Σίγουρα όχι παιδικά bugs που να αφήνουν ίχνη του κλειδιού ή να εφαρμόζουν λάθος την κρυπτογράφηση. Αλλά αυτό δεν έγινε επειδή τις φτιάξανε θεοί. Δαπανήθηκαν και συνεχίζουν να δαπανούνται άπειρες ώρες πάνω σ' αυτές.


Αποκλείεται να μην υπήρξε λόγος για κάτι τέτοιο ή οι συγκεκριμένοι να μη γνώριζαν.

Πάντως το συγκεκριμένο έμπαζε από παντού. Απ' ότι φάνηκε ούτε σωστά κλειδιά δημιουργούσε προκειμένουν να μπορεί να γίνει αποκρυπτογράφιση με πληρωμή λύτρων, και πολλοί δεν το κατέτασαν καν στα ransomware. Δεν αποκλείεται να πρόκειται όντως για άσχετους που νόμιζαν ότι ήταν σχετικοί.

μπορεί να γράφτηκε "στο χέρι" για να μην έχει εξαρτήσεις από άλλες βιβλιοθήκες (μικρότερο binary, μεγαλύτερο OS compatibility, να μην απαιτείται επιπλέον κατέβασμα τυχόν runtime στον client κοκ.).

Αποκλείεται να μην υπήρξε λόγος για κάτι τέτοιο ή οι συγκεκριμένοι να μη γνώριζαν.

Οποιος γραφει στο χερι τετοιο κωδικα ειναι αρχαριος, ολοι οι επιστημονες κρυπτογραφοι το λενε. Και επιπλεον δεν απαιτειται κανενα κατεβασμα, τα Windows τα εχουν ολα ενσωματωμενα.

- - - Updated - - -


Σίγουρα όχι παιδικά bugs που να αφήνουν ίχνη του κλειδιού ή να εφαρμόζουν λάθος την κρυπτογράφηση. Αλλά αυτό δεν έγινε επειδή τις φτιάξανε θεοί. Δαπανήθηκαν και συνεχίζουν να δαπανούνται άπειρες ώρες πάνω σ' αυτές.

Ναι ασφαλως, οποτε τα τυχον προβληματα τους θα βρεθουν πολυ δυσκολα. Αυτες οι βιβλιοθηκες ειναι 15+ χρονων.

Είναι γεγονός πως η κρυπτογραφία είναι από τα πιο δύσκολα πράγματα να γράψεις σωστά καθώς το παραμικρό λάθος μπορεί να κάνει την υλοποίησή σου αδύναμη.

Δεν ξέρω πάντως αν η είδηση είναι καλή επειδή κάποιοι θα ανακτήσουν τα αρχεία τους ή κακή επειδή ακόμη και κακοί προγραμματιστές μπορούν να προκαλέσουν τόσο μεγάλη ζημιά στα windows...

Εγώ δεν ξέρω τι θα λένε αυτοί που την πατήσανε με το Linux (https://www.adslgr.com/forum/threads/998462-%CE%9A%CE%BF%CF%81%CE%B5%CE%B1%CF%84%CE%B9%CE%BA%CE%AE-%CE%B5%CF%84%CE%B1%CE%B9%CF%81%CE%AF%CE%B1-hosting-%CF%80%CE%BB%CE%B7%CF%81%CF%8E%CE%BD%CE%B5%CE%B9-1-%CE%B5%CE%BA%CE%B1%CF%84%CE%BF%CE%BC%CE%BC%CF%8D%CF%81%CE%B9%CE%BF-%CE%B4%CE%BF%CE%BB%CE%AC%CF%81%CE%B9%CE%B1-%CF%83%CE%B5-Bitcoin-%CE%B3%CE%B9%CE%B1-%CE%B1%CF%81%CF%87%CE%B5%CE%AF%CE%B1-%CE%BA%CE%BB%CE%B5%CE%B9%CE%B4%CF%89%CE%BC%CE%AD%CE%BD%CE%B1-%CE%B1%CF%80%CF%8C-ransomware), ποιον προγραμματιστή θα προτιμούσανε;

Λογικό είναι αυτός που θα γράψει κάτι να το γράψει εκεί που θα έχει το καλύτερο κέρδος, δεν κοιτάει καν το αν είναι πιο εύκολο ή όχι

Μη βιάζεστε. Καθίστε να δούμε το εργαλείο και αν τελικά βγει.. Προσωπικά είμαι δύσπιστος να κρυπταναλύσαν 128bit effective key (έστω και με λάθη) αλγόριθμο και με τι προϋποθέσεις υπολογιστικής ισχύος και χρόνου. Πρέπει να έχουν γίνει τραγικά λάθη για να είναι "απλή η δουλειά" που δεν νομίζω κρίνοντας από την πολυπλοκότητα γενικά της επίθεσης χωρίς να λέω ότι αποκλείεται.

Γι'αυτό υπάρχουν έτοιμες βιβλιοθήκες για να μην το φτιάξεις μόνος σου, γιατί αν το φτιάξεις μόνος σου 99.99% θα κάνεις λάθος.

Μα κι εκεί είναι η δυσκολία. Οι βιβλιοθήκες είναι building blocks και χρειάζεται να τις συνδυάσεις σωστά και να τις αρχικοποιήσεις σωστά. Αν δεν γνωρίζεις την θεωρία πίσω από το συγκεκριμένο σενάριο κρυπτογραφίας που θα χρησιμοποιήσεις, είναι πολύ εύκολο να κάνεις λάθος και να κάνεις πιο αδύναμη την ασφάλειά σου.

Προφανώς να γράψεις αλγόριθμο κρυπτογραφίας κλπ από το μηδέν δεν το συζητάμε.


Εγώ δεν ξέρω τι θα λένε αυτοί που την πατήσανε με το Linux (https://www.adslgr.com/forum/threads/998462-%CE%9A%CE%BF%CF%81%CE%B5%CE%B1%CF%84%CE%B9%CE%BA%CE%AE-%CE%B5%CF%84%CE%B1%CE%B9%CF%81%CE%AF%CE%B1-hosting-%CF%80%CE%BB%CE%B7%CF%81%CF%8E%CE%BD%CE%B5%CE%B9-1-%CE%B5%CE%BA%CE%B1%CF%84%CE%BF%CE%BC%CE%BC%CF%8D%CF%81%CE%B9%CE%BF-%CE%B4%CE%BF%CE%BB%CE%AC%CF%81%CE%B9%CE%B1-%CF%83%CE%B5-Bitcoin-%CE%B3%CE%B9%CE%B1-%CE%B1%CF%81%CF%87%CE%B5%CE%AF%CE%B1-%CE%BA%CE%BB%CE%B5%CE%B9%CE%B4%CF%89%CE%BC%CE%AD%CE%BD%CE%B1-%CE%B1%CF%80%CF%8C-ransomware), ποιον προγραμματιστή θα προτιμούσανε;

Λογικό είναι αυτός που θα γράψει κάτι να το γράψει εκεί που θα έχει το καλύτερο κέρδος, δεν κοιτάει καν το αν είναι πιο εύκολο ή όχι

Εδώ έχουμε ομάδα hackers που έβαλε στο στόχαστρο μια εταιρεία. Σε μια τόσο προσωποποιημένη επίθεση, είναι δύσκολο να γλυτώσεις. Βέβαια το γεγονός πως η συγκεκριμένη εταιρεία είχε τόσο κακή υλοποίηση, βοήθησε πάρα πολύ. Για αυτό δεν είδες άλλες εταιρείες να την πατάνε.

Με το notpetya, σε περίπτωση που δεν το έχεις καταλάβει, έχουν χτυπηθεί πολλές και μεγάλες εταιρείες. Η μεγαλύτερη εταιρεία μεταφορών container με πλοία στον κόσμο (Maersk), δεν έχει επανέλθει ακόμη. Τα μεγαλύτερα λιμάνια της που ήταν πλήρως αυτοματοποιήμενα, ακόμη δεν λειτουργούν. Εργοστάσια και επιχειρήσεις έχουν ήδη ελλείψεις εξαιτίας αυτού. Τα dettol και τα durex (ω, ναι) αρχίζουν και εξαφανίζονται από τα ράφια, η εταιρεία που τα παράγει μετρά ζημιές με 8 μηδενικά. Η Fedex αναγκάστηκε να σταματήσει τις αγοραπωλησίες των μετοχών της...

Μα κι εκεί είναι η δυσκολία. Οι βιβλιοθήκες είναι building blocks και χρειάζεται να τις συνδυάσεις σωστά και να τις αρχικοποιήσεις σωστά. Αν δεν γνωρίζεις την θεωρία πίσω από το συγκεκριμένο σενάριο κρυπτογραφίας που θα χρησιμοποιήσεις, είναι πολύ εύκολο να κάνεις λάθος και να κάνεις πιο αδύναμη την ασφάλειά σου.

Προφανώς να γράψεις αλγόριθμο κρυπτογραφίας κλπ από το μηδέν δεν το συζητάμε.



Εδώ έχουμε ομάδα hackers που έβαλε στο στόχαστρο μια εταιρεία. Σε μια τόσο προσωποποιημένη επίθεση, είναι δύσκολο να γλυτώσεις. Βέβαια το γεγονός πως η συγκεκριμένη εταιρεία είχε τόσο κακή υλοποίηση, βοήθησε πάρα πολύ. Για αυτό δεν είδες άλλες εταιρείες να την πατάνε.

Με το notpetya, σε περίπτωση που δεν το έχεις καταλάβει, έχουν χτυπηθεί πολλές και μεγάλες εταιρείες. Η μεγαλύτερη εταιρεία μεταφορών container με πλοία στον κόσμο (Maersk), δεν έχει επανέλθει ακόμη. Τα μεγαλύτερα λιμάνια της που ήταν πλήρως αυτοματοποιήμενα, ακόμη δεν λειτουργούν. Εργοστάσια και επιχειρήσεις έχουν ήδη ελλείψεις εξαιτίας αυτού. Τα dettol και τα durex (ω, ναι) αρχίζουν και εξαφανίζονται από τα ράφια, η εταιρεία που τα παράγει μετρά ζημιές με 8 μηδενικά. Η Fedex αναγκάστηκε να σταματήσει τις αγοραπωλησίες των μετοχών της...


το γράφω και πιο πάνω

Λογικό είναι αυτός που θα γράψει κάτι να το γράψει εκεί που θα έχει το καλύτερο κέρδος, δεν κοιτάει καν το αν είναι πιο εύκολο ή όχι

Εγώ διάβασα πριν 2-3 μέρες ότι ο δημιουργός του Petya αποφάσισε να αποκαλύψει τον εαυτό του και δημοσίευσε και το master key που αποκρυπτογραφεί δεδομένα από όλες τις παραλλαγές του ιού. Με εξαίρεση το NotPetya γιατί πράγματι(λέει ο δημιουργός) δεν είναι δικός του ούτε στηρίζεται στον Petya.

Ειναι λιγο παραπλανητικος ο τιτλος γιατι αναφερει τον petya στον τιτλο , ενω μεσα στο σωμα του αρθρου μιλαει για τον nonpetya.

Παντως για οποιον καταλαβαινει αυτα τα πραγματα η διαφορα στην κρυπτογραφηση φαινεται σε αυτο το αρθρο :
https://blog.fortinet.com/2017/07/08/key-differences-between-petya-and-notpetya

στην αρχη εκει που λεει για το XOR

ξεχαστηκε στην μεταφραση ενα "still does not leave any hope of decrypting data in a reasonable time"

ξεχαστηκε στην μεταφραση ενα "still does not leave any hope of decrypting data in a reasonable time"

λεπτομέρεια :whistle::lol: :rofl: (καλά είπα εγώ σιγά μην έσπασαν έστω και κακό/ελατωματικό 128bit encryption)

Ειναι λιγο παραπλανητικος ο τιτλος γιατι αναφερει τον petya στον τιτλο , ενω μεσα στο σωμα του αρθρου μιλαει για τον nonpetya.

Παντως για οποιον καταλαβαινει αυτα τα πραγματα η διαφορα στην κρυπτογραφηση φαινεται σε αυτο το αρθρο :
https://blog.fortinet.com/2017/07/08/key-differences-between-petya-and-notpetya

στην αρχη εκει που λεει για το XOR

Δε λέει απολύτως τίποτα ουσιαστικό. Δεν είναι κάποιο ασφαλές encryption το XORing. Γίνεται με ένα μάλλον hardcoded key, που στη μία είναι το 0x07 και στην άλλη το 0x37.

Τουλάχιστον ας καθόταν να το κάνουν reverse, να βρουν γιατί κάνει XORing στο MBR και σε τι οφελεί.

Εγώ διάβασα πριν 2-3 μέρες ότι ο δημιουργός του Petya αποφάσισε να αποκαλύψει τον εαυτό του και δημοσίευσε και το master key που αποκρυπτογραφεί δεδομένα από όλες τις παραλλαγές του ιού. Με εξαίρεση το NotPetya γιατί πράγματι(λέει ο δημιουργός) δεν είναι δικός του ούτε στηρίζεται στον Petya.

Οντως
https://hothardware.com/news/petya-ransomware-author-janus-cybercrime-solutions-releases-master-decryption-key
και https://blog.malwarebytes.com/cybercrime/2017/07/the-key-to-the-old-petya-has-been-published-by-the-malware-author/

Για παλιότερες εκδόσεις ωστόσο.