Saugumo tyrėjai nulaužė slaptažodį, kad atgautų daugiau nei 3 mln. JAV dolerių vertės bitkoinų, kurie 11 metų buvo įstrigę kriptovaliutų piniginėje.
Kaip viskas vyko?
Elektros inžinierius Joe Grandas, pasivadinęs „Kingpin“, buvo pasamdytas įsilaužti į užšifruotą failą, kuriame buvo 43,6 BTC, laikytų nuo 2013 m. Kriptovaliuta buvo apsaugota slaptažodžiu, sukurtu atsitiktinių slaptažodžių generatoriumi „Roboform“, tačiau slaptažodis jau seniai buvo prarastas.
Slaptažodį sudarė 20 didžiųjų ir mažųjų raidžių, taip pat skaičių serija, kuri buvo sukurta taip, kad ją būtų kuo sunkiau nulaužti.
„Sugeneravau slaptažodį, jį nukopijavau, įrašiau į piniginės slaptažodį, taip pat į tekstinį failą, kurį paskui užšifravau“, – sakė piniginės savininkas, nusprendęs likti anonimu, J. Grando paskelbtame vaizdo įraše.
Slaptažodis buvo prarastas po to, kai užšifruota jo kompiuterio dalis, kurioje jis buvo saugomas, sugedo. Tuo metu bitkoinai buvo verti poros tūkstančių eurų, kuriuos piniginės savininkas apibūdino kaip „skausmingus, bet gerus“.
Tačiau per ateinantį dešimtmetį prarastas bitkoinas virto turtu, nes bitkoino kaina išaugo daugiau nei 20 000 proc. ir privertė jo savininką kreiptis į poną Grandą.
Iš pradžių atsisakęs šio darbo, galiausiai ponas Grandas sutiko pabandyti susigrąžinti lėšas, nes sugalvojo naują metodą, kaip įsilaužti į pradinį slaptažodžių generatorių.
Slaptažodžių generatoriaus kodui išardyti J. Grandas naudojo JAV Nacionalinės saugumo agentūros (NSA) sukurtą atvirkštinės inžinerijos įrankį.
„Tobulame pasaulyje, kai generuodami slaptažodį slaptažodžių generatoriumi tikitės kiekvieną kartą gauti unikalų, atsitiktinį rezultatą, kurio niekas kitas neturi. Tačiau šioje „RoboForm“ versijoje taip nebuvo“, – sakė J. Grandas.
„Nors atrodo, kad „RoboForm“ slaptažodžiai generuojami atsitiktine tvarka, taip nėra. Naudojant senesnes šios programinės įrangos versijas, jei galime kontroliuoti laiką, galime kontroliuoti ir slaptažodį.“
Jis išsiaiškino, kad jei pavyktų apgauti sistemą, kad būtent 2013 m. buvo sugeneruotas slaptažodis, ji atkurtų tą patį slaptažodį.
Turėdamas tik apytikrį supratimą, kada slaptažodis buvo sukurtas, J. Grandas kartu su kolega Bruno sugeneravo milijonus galimų slaptažodžių, kad galiausiai jį nulaužtų.
Nuo to laiko „RoboForm“ slaptažodžių generatorius atnaujino savo platformą, kad pagerintų savo įrankio atsitiktinumą, o tai reiškia, kad laike pagrįstas įsilaužimo metodas nebeveikia su slaptažodžiais, sukurtais po 2015 m.
P. Grandas tikisi, kad dabar pavyks padėti didesniam skaičiui žmonių, užblokuotų nuo savo kriptovaliutų piniginių, nors sakė, kad gali prireikti naujų metodų.