Due hacker decifrano una password vecchia di 11 anni e recuperano 3 milioni di dollari in bitcoin

Ottimo, piacere, Sandro .




Anche secondo me i calcoli veri potranno indicare decimi o centesimi di secondo, che vuol dire che un grosso gruppo di mining che è di proprietà di una unica persona può usare le sue macchine per scovare in poco tempo la tua password e rubare più soldi di quelli che può fare minando bitcoin nello stesso intervallo di tempo. Questo se i due brute force fossero intercambiabili.


Sei fortunato che le macchine per il mining fanno solo quello e sono macchine molto rigide ma appena appena si usassero macchine più flessibili saresti spacciato: buona notte!

ottimo, mi fa piacere di essere letto da persone interessate, sono pochi quelli che capiscono un po' di matematica elementare.



ottimo ma non fare come ho fato io ovvero premere lettere a caso sulla tastiera perché non è un metodo casuale e le lettere premute non hanno tutte la stessa probabilità di essere premute. Il metodo giusto è il dado magari nuovo e non truccato.

Molto rassicurante !

Grazie mille, spero di rileggere presto tuoi interventi sull'argomento !

Notte anche a te !





Non mancherò di ricordarmi questi accorgimenti. Certo mi stai preparando per tentare di resistere ad attacchi dall'intera rete mondiale informatica, speriamo di farcela, ma nel caso come si diceva, la vedo dura !

A ritrovarci o arrivederci. Spero sempre di non avere commesso gravi errori di calcolo combinatorio e spero sempre di trovare qualcuno che mi faccia le pulci.

Notte.

Allora stamattina ammetto di aver postato di fretta e superficialmente, non argomentando correttamente. Chiedo venia. Vediamo di rimediare visto che comunque era un articolo decisamente interessante anche se l'ho letto in forma leggermente più chiara in altre testate informatiche (senza nulla togliere ad hwupgrade)...fermo restando che avresti potuto rispondere in maniera meno "sgarbata". Ma sorvoliamo, del resto dando un'occhiata agli altri tuoi messaggi non è che anche con i tuoi altri interlocutori ti dimostri "un gentiluomo d'altri tempi", un piccolo Lord ! Pazienza, ad ognuno il suo stile !



Qui in tutta questa storia per come la vedo io il problema di fondo erano le vulnerabilità del "noto servizio" utilizzato per generare la password, penso che concordiamo entrambi, si ? Il file Truecrypt (software oggi sostituito da Veracrypt) dove lui aveva salvato la suddetta, si è corrotto, quindi fermo restando che non sapremo mai con che tipo di password l'avesse protetto, difficilmente, ragionamento confermato anche dal noto hacker, sarebbe stato facilmente craccabile anche fosse rimasto integro (per assurdo). Alla fine grazie alle suddette e già citate vulnerabilità è stato in grado di risalire alla password del Wallet.

Ma tutte queste "sciocchezze" non mi pare di averle partorite, visto che anche altri hanno dato diverse interpretazioni a questa notizia, poi ovvio ce n'è solo una di interpretazione corretta, sono d'accordo. Ma di fatto non hanno bucato ne il wallet ne il file truecrypt. Avrebbero potuto farlo ? Forse, lascio ad altri la risposta, sicuramente in entrambi i casi sarebbe molto più semplice riuscire nell'impresa con una "password balorda" piuttosto che con qualcosa di robusto. Stesso ragionamento, ed ecco il nostro "misunderstanding" di stamane, chiamiamolo così, anche sulla mia valutazione dei potenziali rischi di sicurezza in procedure come quelle utilizzate per il recupero. Tutto questo VULNERABILITA' DEI SERVIZI permettendo. Ben inteso !

Ed ogni modo non posso fare a meno di pensare che con i dovuti accorgimenti questa benedetta password se la sarebbe potuta generare anche da solo "in casa", certo è altrettanto vero che con la sfiga del file corrotto che ha avuto, in questo modo sarebbe rimasto con una mano davanti e una di dietro.



Ti potrei rispondere che "ad abbastanza sicura" molti preferiscono "ancora più sicura" come definizione...ma anche qui è molto "relativa" tutta la faccenda "sicurezza", dipende sempre chi ti prende di mira e con quali strumenti, fossero solo le password il problema della sicurezza di una qualsivoglia struttura informatica saremmo a cavallo...!

p.s. spero che l'analisi sia sufficientemente corretta questa volta, diversamente correggimi ma possibilmente in maniera garbata ! Grazie !

Perdonate la mia ignoranza, ma tutte le password sono generate in base all’orario e alla data o mi sbaglio?

beh dai almeno non ho usato il "salare l'hash" come ho sentito parecchie volte poi con il costo della corrente un pochino mi farebbe comodo.
riguardo alle rainbow dubito che vengano usato truecrypt è simmetrico
comunquue il mio ragionamento che era "solo" un bruteforce, senza togliere nulla al lavoro svolto era solo per il sensazionalismo della notizia sembrava che avessero rotto truecrypt ovvero aes e in quel caso c'era da preoccuparsi giusto un pochino di più


poi il fatto che i numeri numeri dell'rng non siano veramente casuali è insito dentro a loro non per niente per sistemi mooolto più seri si usano altri sistemi enormemente più scomodi ma nettamente più sicuri del tipo autenticatori a cifrario di vernam creati digitalizzando il rumore di fondo dello spazio profondo ma quelli speriamo che non vengano mai utilizzati



beh a volte anche nell'informatica si va di sana e semplice ignoranza e muscoli alla mr olympia
i miei esempi preferiti sono
des cracker
Link ad immagine (click per visualizzarla)
bomba polacca
Link ad immagine (click per visualizzarla)

Post interessante, grazie.
Però mi sfugge qualcosa.
Non entro nel merito dei calcoli in quanto non ho le competenze necessarie, solo non mi è chiaro se le ipotesi che hai formulato tengono conto che le parole possono ripetersi. P.es. (per comodità tralasciando la sostituzione di catatteri) "PortonePortonePortonePortonePortone" rientra nei calcoli come "OggiHoApertoIlPortone"?

Ottima osservazione. Il mio è un puro calcolo combinatorio e quindi ho calcolato le combinazioni di 8 parole date da un dizionario di 1000 vocaboli. Però una intelligenza artificiale potrebbe creare un insieme di 8 parole con un senso e tale insieme è estremamente più piccolo di 1000^8, riducendo di molto l'impegno del brute force per scovare la pwd.

Inoltre si potrebbe usufruire del web per catalogare l'insieme di 8 parole che stanno tra un punto e un punto (.!?) nei siti web che riportano un testo di senso compiuto. Per esempio i siti dei giornali o quelli di racconti o quelli che riportano libri, novelle, blog di racconto personali, diari, wikipedia, forum, ecc. se cataloghiamo tutto questo materiale testuale che ha senso per un umano possiamo poi filtrarlo per trovare tutti i pensieri di 8 parole scritte da un essere umano e che è un pensiero compiuto.

Con questo data base di combinazioni di 8 parole, sicuramente cracchiamo all'istante la password di Saturn senza trucchi. Con i trucchi è solo leggermente più lento.

A dire la verità mi pare di avere letto qualche cosa su un attacco data base invece di un attacco dizionario e comunque ci avevo già pensato, solo che l'argomento cracking non viene mai trattato nei forum e quindi ero assorto con tutta la teoria del calcolo combinatorio. Tra l'altro Saturn aveva posto l'accento nella sostituzione delle lettere con i simbolo e quindi mi ero concentrato su quello.

Saturn ha applicato tutti i trucchi umani che rendono strano un pensiero completo e questo è l'antitesi della sicurezza di una password. Tra questi c'è quello di scrivere un pensiero, di sostituire gli o con @, di fare errori (pochi), di mettere un simbolo all'inizio e alla fine. Tutto questo è prevedibile perché siamo umani e la macchina ci mette qualche istante per azzerare quella che noi pensiamo sia una furbata.

Ieri sera ho scritto un po' di semplici formule per convertire una serie di lanci (21) di un dado da 6 facce in una password veramente casuale dove i computer sbattono la faccia perché non ci sono trucchi e non ci sono scorciatoie. Questo è il foglio elettronico:

https://www.kensan.it/articoli/Pass...re_password.ods

secondo me è molto interessante e facile da usare.

Sempre relativo alla prima password proposta.

Ma riguardo la seconda invece ? Te la riposto:

0aZ_#f!(fYBs2$سلامNnè1~d°0تهرانd问候语tÉ░2c

...mi pare di aver corretto quasi tutte le potenziali "vulnerabilità" che giustamente mi avevi fatto osservare riguardo la prima, che ripeto, avevo tirato la così per divertimento.

Qui abbiamo, numeri, caratteri speciali, maiuscole, minoscole, alfabeto arabo, alfabeto cinese, nessuna parola di senso compiuto e direi un discreto numero di caratteri che la compongono.

Ad ogni modo mi pare di capire che eventuali attacchi, sia che vengano portati alla mia prima password che alla seconda, sono effettivamente fattibili, almeno ad oggi, solo con mostruose potenze di calcolo.

Confermi ?

E ovviamente nel frattempo un qualsivoglia sistema di sicurezza informatico messo sotto attacco, come penso tutti conveniamo, non rimarrebbe certo passivamente li ad accettare il suo destino (es. brute force attack)...

quindi, sempre ovviamente ringraziandoti per la pazienza, di fatto, correggimi se sbaglio, salvo non essere presi di mira e soprattutto da qualcuno che disponga di potenze di calcolo veramente assurde e salvo non avere nessun tipo di contromisura come già specificato prima, parliamo di quali RISCHI REALI a livello di sicurezza ?

Esempio pratico, se ti dovessi girare un file container cryptato, con una password simile a quest'ultima che ti ho proposto, magari anche un po' più complicata e aggiornata con i tuoi ultimi consigli, per non rendere il lavoro "troppo facile", saresti in grado, anche ipotizzando che avessi accesso a risorse hardware non disponibili, a scoprirne il contenuto e quindi di fatto a arrivare a scoprire la suddetta password da me impostata ?

Attendo con estremo interesse e curiosità.