Due hacker decifrano una password vecchia di 11 anni e recuperano 3 milioni di dollari in bitcoin

Due hacker decifrano una password vecchia di 11 anni e recuperano 3 milioni di dollari in bitcoin

Un utente non ha più potuto accedere al suo wallet di criptovalute per aver perso la password. Due hacker lo hanno aiutato con successo, in una storia che evidenza i rischi della custodia di criptovalute

di pubblicata il , alle 11:31 nel canale Web
Bitcoin
 

Nel mondo delle criptovalute, storie come quella di "Michael" sono un esempio delle particolarità e dei rischi associati alla gestione e alla custodia di valori digitali. La storia si è risolta con un lieto fine, ma

Due anni fa, Michael (il nome è fittizio), un detentore di criptovalute residente in Europa, si è trovato davanti a quello che probabilmente è l'incubo di tutti i possessori di monetine digitali. Nel 2013 Aveva archiviato 43,6 bitcoin in un portafoglio digitale protetto da password, generata utilizzando il popolare gestore di password RoboForm e crittografata con lo strumento TrueCrypt. Purtroppo, il file crittografato si è danneggiato, rendendo inaccessibile la password di 20 caratteri che custodiva le chiavi del suo tesoro digitale. Michael non aveva conservato la password su RoboForm, temendo che qualcuno potesse compromettere il suo sistema e sottrarre la password.

Michael si è così appellato a Joe Grand, un hacker noto per aver aiutato altre persone a recuperare criptovalute non più accessibili. Inizialmente, Grand rifiutò, scettico sulla fattibilità di forzare una password così complessa generata da un gestore di password affidabile. Michael si quindi è rivolto ad altri hacker, ricevendo di fatto la stessa risposta. A giugno dello scorso anno ha provato a ricontattare Grand, che a quel punto ha accettato di fornire il suo aiuto collaborando con un conoscente di nome Bruno, residente in Germania.

Grand e Bruno hanno passato diversi mesi per analizzare il comportamento del programma RoboForm alla ricerca di possibili punti deboli da cui poter partire per provare a recuperare la password. La loro analisi ha rivelato un difetto peculiare nelle versioni di RoboForm fino al 2015: la generazione di numeri pseudo-casuali era in realtà legata alla data e all'ora del computer dell'utente. In altri termini conoscendo l'ora e il giorno in cui la password è stata creata sarebbe stato molto più semplice riuscire a ricostruirla. Se Micheal fosse stato in grado di ricordare almeno una finestra temporale relativamente ristretta di quando ha generato la sua password nel 2013, i due hacker avrebbero potuto risalire ad una rosa di password provvisoria da poter utilizzare per sbloccare il portafoglio digitale.

Purtroppo, Michael non riusciva a ricordare con precisione quando aveva generato la password. L'analisi del registro del suo portafoglio software ha permesso di riscontrare che il primo trasferimento di bitcoin è avvenuto il 14 aprile 2013, ma non era possibile sapere quando la password fosse stata effettivamente creata. Grand e Bruno non hanno avuto alternative che generare milioni di possibili password, a partire dai parametri usati da RoboForm per creare le password (20 caratteri, con lettere maiuscole e minuscole, numeri e otto caratteri speciali) e utilizzando diverse finestre temporali nel periodo dall'1 marzo all'1 giugno 2013.

Dopo vari tentativi senza successo i due hacker hanno effettuato ulteriori analisi sulle password generate da RoboForm, scoprendone alcune prive di caratteri speciali. Sulla base di questa scoperta hanno deciso di modificare il meccanismo di generazione delle password, riuscendo infine a trovare la password corretta, senza caratteri speciali, che fu creata il 15 maggio 2013 alle 16:10:40 GMT. Lo scorso novembre Grand e Bruno hanno detratto una percentuale di bitcoin dal conto di Micheal, consegnando poi la password al legittimo proprietario che ha potuto così rientrare in possesso dei suoi beni digitali. Micheal ne ha venduti una parte e ora detiene 30 BTC, del valore di poco superiore i 2 milioni di dollari.

Il caso di Michael ha rivelato una vulnerabilità allarmante nel gestore di password RoboForm, prodotto da Siber Systems, un'azienda statunitense. RoboForm conta oltre 6 milioni di utenti in tutto il mondo, rendendolo uno dei primi e più diffusi gestori di password sul mercato. Sebbene Siber Systems abbia confermato di aver risolto il problema con la versione 7.9.14 di RoboForm, rilasciata il 10 giugno 2015, l'azienda è rimasta vaga su come sia stato effettivamente corretto il difetto, dichiarando che sono state apportate modifiche per "aumentare la casualità delle password generate". Inoltre pare che allora la società non abbia avvertito i clienti quando ha rilasciato la versione corretta 7.9.14 nel 2015, senza l'invito di generare nuove password per account o dati critici. Non è quindi da escludere che chi abbia utilizzato RoboForm per generare password prima del 2015 possa aver utilizzato password vulnerabili ancor oggi in uso.

35 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Gringo [ITF]30 Maggio 2024, 11:36 #1
.... Nuova Linfa alla Crittomoneta, ci mancava ....
Saturn30 Maggio 2024, 11:39 #2
Originariamente inviato da: Redazione di Hardware Upgrade
Dopo vari tentativi senza successo i due hacker hanno effettuato ulteriori analisi sulle password generate da RoboForm, scoprendone alcune prive di caratteri speciali. Sulla base di questa scoperta hanno deciso di modificare il meccanismo di generazione delle password, riuscendo infine a trovare la password corretta, senza caratteri speciali, che fu creata il 15 maggio 2013 alle 16:10:40 GMT.


Ah ecco, mi pareva !

Vai ad azzeccare o recuperare un password tipo questa...

;S0noV€RamÉnt3Stp1t0che~CISIANoRi|sc11ti,Cr1bbi@_
lumeruz30 Maggio 2024, 12:01 #3
Originariamente inviato da: Saturn
Ah ecco, mi pareva !


Se avessi capito l'articolo, non scriveresti simile sciocchezze.
Il problema non era la presenza o meno di caratteri speciali. Il problema era sapere se o meno c'erano caratteri speciali e sono state generate password con caratteri speciali quando invece non c'erano.
Una password mixalfanumerica di 20 caratteri è abbastanza sicura senza bisogno di caratteri speciali. Anche con se venisse protetto dall'hash md5 avrebbe una discreta sicurezza.
supertigrotto30 Maggio 2024, 12:59 #4
Le cripto sarebbero anche buona cosa se non avessero diversi difetti,uno di questi è la perdita delle password,sia per incuria,sia per morte del proprietario.
I soldi veri in qualche modo si recuperano,se non c'è un erede vanno allo stato (quindi a tutti i cittadini di quello stato) ,con le cripto,se sono persi certi parametri,la moneta digitale o asset viene perso,fra l'altro ricordo che non è possibile stampare altre cripto una volta raggiunto il numero predisposto,quindi se ipoteticamente,il 70% delle cripto perse (numero di fantasia) non verrebbe reimmesso nell' economia reale.
!fazz30 Maggio 2024, 13:06 #5
beh la classica conferma che un sistema non è mai sicuro al 100% ma dipende dalla potenza di calcolo che si può utilizzare per il brute force

visto il valore in gioco non penso che ci siano stati troppi problemi nel provare un attacco bruteforce distribuito su n sistemi diversi per trovare la chiave di cifratura,

chiamare hacker poi chi ha fatto questo non è altro che un mega clickbait

facendo due conti basandomi su trucrack
una 680 effettua 100'000 tentativi in 37 secondi--> ~2700 hash/s
680--> 1535 core @ 1058 MHz
4090--> 16384 core @ 2235Mhz (x10.7 core x 2.11 frequenza
quindi spannometricamente una 4090 riesce a testare ~ 61'000 hash/s
con una sola scheda il tempo medio di crack è volutamente enorme ma utilizzando sistemi distribuiti si potrebbe arrivare in un tempo ragionevole, calcolando che cmq c'è sempre la possibilità di sculata (bruteforce che azzecca la chiave )
WarSide30 Maggio 2024, 13:15 #6
Quando ancora i btc si potevano minare in solitaria, ne avevo minati un paio. Wallet e chain erano salvati su un volume truecrypt salvato su hd esterno.

Quei 2btc valevano forse un paio di dollari al tempo e li avevo minati per curiosità dopo aver letto il whitepaper.

Lascio l'hd inutilizzato per qualche anno, vado a recuperarlo e scopro che il volume cifrato è danneggiato. Ne provai diverse ma, dato l'esiguo valore di quei 2 btc, lasciai perdere il recupero dati.

Quel volume truecrypt si apriva con una password formata da 3 fotografie, altro che 20 caratteri alfanumerici
rel-y7030 Maggio 2024, 13:27 #7
Originariamente inviato da: !fazz
beh la classica conferma che un sistema non è mai sicuro al 100% ma dipende dalla potenza di calcolo che si può utilizzare per il brute force

visto il valore in gioco non penso che ci siano stati troppi problemi nel provare un attacco bruteforce distribuito su n sistemi diversi per trovare la chiave di cifratura,

chiamare hacker poi chi ha fatto questo non è altro che un mega clickbait

non hanno usato un bruteforce, e se kingpin non è un hacker non so chi possa definirsi tale
pengfei30 Maggio 2024, 13:32 #8
Originariamente inviato da: supertigrotto
Le cripto sarebbero anche buona cosa se non avessero diversi difetti,uno di questi è la perdita delle password,sia per incuria,sia per morte del proprietario.
I soldi veri in qualche modo si recuperano,se non c'è un erede vanno allo stato (quindi a tutti i cittadini di quello stato) ,con le cripto,se sono persi certi parametri,la moneta digitale o asset viene perso,fra l'altro ricordo che non è possibile stampare altre cripto una volta raggiunto il numero predisposto,quindi se ipoteticamente,il 70% delle cripto perse (numero di fantasia) non verrebbe reimmesso nell' economia reale.


Però con la riduzione della quantità circolante per il meccanismo di domanda/offerta la moneta tende ad apprezzarsi man mano che quantità sempre crescenti vengono perse, quindi in un certo senso il valore viene redistribuito agli altri detentori
Zappz30 Maggio 2024, 13:41 #9
Originariamente inviato da: WarSide
Quando ancora i btc si potevano minare in solitaria, ne avevo minati un paio. Wallet e chain erano salvati su un volume truecrypt salvato su hd esterno.

Quei 2btc valevano forse un paio di dollari al tempo e li avevo minati per curiosità dopo aver letto il whitepaper.

Lascio l'hd inutilizzato per qualche anno, vado a recuperarlo e scopro che il volume cifrato è danneggiato. Ne provai diverse ma, dato l'esiguo valore di quei 2 btc, lasciai perdere il recupero dati.

Quel volume truecrypt si apriva con una password formata da 3 fotografie, altro che 20 caratteri alfanumerici


Beh oggi iniziano ad avere un valore interessante...
!fazz30 Maggio 2024, 18:05 #10
Originariamente inviato da: rel-y70
non hanno usato un bruteforce, e se kingpin non è un hacker non so chi possa definirsi tale


news migliori rispetto a quella della news? perchè da li non sembra che abbiano rotto truecrypt, se avano una finestra di possibili sali per l'rng sempre di bruteforce si tratta a casa mia

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^