Περίληψη άρθρου:

Οι ερευνητές χρησιμοποίησαν ένα ελάττωμα στο πρόγραμμα διαχείρισης κωδικών πρόσβασης Roboform για να βοηθήσουν έναν ιδιοκτήτη κρυπτονομισμάτων να ανακτήσει την πρόσβαση σε 2 εκατομμύρια δολάρια σε bitcoin αποθηκευμένα σε ένα κρυπτογραφημένο πορτοφόλι. Ο Grand, ένας χάκερ υλικού, συνεργάστηκε με τον Bruno για να αντιληφθεί τη διαδικασία παραγωγής κωδικού πρόσβασης του προγράμματος. Με την αντιστροφή του λογισμικού και τη χρήση συγκεκριμένων παραμέτρων, ανέκτησαν με επιτυχία τον κωδικό πρόσβασης, επισημαίνοντας τους πιθανούς κινδύνους ασφαλείας σε παλαιότερες εκδόσεις προγραμμάτων διαχείρισης κωδικών πρόσβασης όπως το roboform. Το περιστατικό υπογραμμίζει τη σημασία της τακτικής ενημέρωσης των κωδικών πρόσβασης ενάντια σε πιθανές ευπάθειες.

 

 

Κύρια σημεία του άρθρου:

• Οι ερευνητές εκμεταλλεύτηκαν ένα ελάττωμα στο Roboform για να ανακτήσουν την πρόσβαση σε ένα ηλεκτρονικό πορτοφόλι που εμπεριείχε 2 εκατομμύρια δολάρια σε bitcoin.
• Ο χάκερ υλικού Grand και ο Bruno συνεργάστηκαν για να κατανοήσουν τη διαδικασία παραγωγής κωδικού πρόσβασης του προγράμματος.
• Με την αντιστροφή του λογισμικού και τη χρήση συγκεκριμένων παραμέτρων, ανέκτησαν με επιτυχία τον κωδικό πρόσβασης.
• O Grant επισημαίνει τους κινδύνους ασφαλείας σε προηγούμενες εκδόσεις προγραμμάτων διαχείρισης κωδικών πρόσβασης όπως το Roboform.
• Υπογραμμίζει την ανάγκη για τακτική ενημέρωση των κωδικών πρόσβασης για την άμβλυνση των τρωτών σημείων.
• Ο Grant είχε βοηθήσει στο παρελθόν και άλλους ιδιοκτήτες ηλεκτρονικών πορτοφολίων που είχαν χάσει τους κωδικούς προσβασής τους για αυτό και ο Michael ήρθε σε επαφή μαζί του.

 

Αναλυτικά το άρθρο:

Χάρη σε ένα ελάττωμα σε μια δεκαετή έκδοση του προγράμματος διαχείρισης κωδικών πρόσβασης RoboForm και λίγη τύχη, οι ερευνητές κατάφεραν να ανακαλύψουν τον κωδικό πρόσβασης σε ένα κρυπτογραφημένο πορτοφόλι που περιείχε μια περιουσία.

ΔΥΟ ΧΡΟΝΙΑ ΠΡΙΝ, όταν ο «Michael», ένας ιδιοκτήτης κρυπτονομισμάτων, επικοινώνησε με τον Joe Grand για να τον βοηθήσει να ανακτήσει πρόσβαση σε bitcoin αξίας περίπου 2 εκατομμυρίων δολαρίων που είχε αποθηκεύσει σε κρυπτογραφημένη μορφή στον υπολογιστή του, ο Grand τον απέρριψε.

Ο Michael, ο οποίος εδρεύει στην Ευρώπη και ζήτησε να διατηρήσει την ανωνυμία του, αποθήκευσε το κρυπτονόμισμα σε ψηφιακό πορτοφόλι που προστατεύεται με κωδικό πρόσβασης. Δημιούργησε έναν κωδικό πρόσβασης χρησιμοποιώντας τον διαχειριστή κωδικών πρόσβασης RoboForm και αποθήκευσε αυτόν τον κωδικό πρόσβασης σε ένα αρχείο κρυπτογραφημένο με ένα εργαλείο που ονομάζεται TrueCrypt. Κάποια στιγμή, το αρχείο αυτό καταστράφηκε και ο Michael έχασε την πρόσβαση στον κωδικό πρόσβασης 20 χαρακτήρων που είχε δημιουργήσει για να εξασφαλίσει τα 43,6 BTC του (συνολικής αξίας περίπου 4.000 ευρώ ή 5.300 δολαρίων το 2013). Ο Michael χρησιμοποίησε τον διαχειριστή κωδικών πρόσβασης RoboForm για να δημιουργήσει τον κωδικό πρόσβασης, αλλά δεν τον αποθήκευσε στον διαχειριστή του. Ανησυχούσε ότι κάποιος θα μπορούσε να παραβιάσει τον υπολογιστή του και να αποκτήσει τον κωδικό πρόσβασης.

«Εκείνη την εποχή, ήμουν πραγματικά παρανοϊκός με την ασφάλειά μου», γελάει.

Ο Grand είναι ένας διάσημος hardware hacker, ο οποίος το 2022 βοήθησε έναν άλλο ιδιοκτήτη πορτοφολιού κρυπτογράφησης να ανακτήσει την πρόσβαση σε κρυπτονόμισμα ύψους 2 εκατομμυρίων δολαρίων που νόμιζε ότι είχε χάσει για πάντα, αφού ξέχασε το PIN του πορτοφολιού του Trezor. Έκτοτε, δεκάδες άνθρωποι έχουν επικοινωνήσει με τον Grand για να τους βοηθήσει να ανακτήσουν τον θησαυρό τους. Αλλά ο Grand, γνωστός με το ψευδώνυμο χάκερ «Kingpin», απορρίπτει τους περισσότερους από αυτούς, για διάφορους λόγους.

Ο Grand είναι ηλεκτρολόγος μηχανικός που άρχισε να χακάρει υπολογιστικό υλικό σε ηλικία 10 ετών και το 2008 ήταν συμπαρουσιαστής της εκπομπής Prototype This του Discovery Channel. Τώρα συμβουλεύει εταιρείες που κατασκευάζουν πολύπλοκα ψηφιακά συστήματα για να τις βοηθήσει να κατανοήσουν πώς χάκερς υλικού όπως αυτός μπορούν να υπονομεύσουν τα συστήματά τους. Το 2022 έσπασε το πορτοφόλι Trezor χρησιμοποιώντας πολύπλοκες τεχνικές υλικού που ανάγκασαν το πορτοφόλι τύπου USB να αποκαλύψει τον κωδικό πρόσβασής του.

Αλλά ο Michael αποθήκευε το κρυπτονόμισμα του σε ένα πορτοφόλι βασισμένο σε λογισμικό, πράγμα που σήμαινε ότι καμία από τις δεξιότητες υλικού του Grand δεν ήταν σχετική αυτή τη φορά. Σκέφτηκε να παραβιάσει τον κωδικό πρόσβασης του Μάικλ -γράφοντας ένα σενάριο για να μαντέψει αυτόματα εκατομμύρια πιθανούς κωδικούς πρόσβασης για να βρει τον σωστό- αλλά αποφάσισε ότι αυτό δεν ήταν εφικτό. Σκέφτηκε για λίγο ότι ο διαχειριστής κωδικών πρόσβασης RoboForm που χρησιμοποιούσε ο Μάικλ για τη δημιουργία του κωδικού πρόσβασης μπορεί να είχε κάποιο ελάττωμα στον τρόπο με τον οποίο δημιουργούσε τους κωδικούς πρόσβασης, το οποίο θα του επέτρεπε να μαντέψει τον κωδικό πρόσβασης πιο εύκολα. Ο Grand, ωστόσο, αμφιβάλλει για την ύπαρξη ενός τέτοιου ελαττώματος.

Ο Michael επικοινώνησε με πολλούς ανθρώπους που ειδικεύονται στην αποκρυπτογράφηση- όλοι του είπαν ότι «δεν υπάρχει καμία πιθανότητα» να ανακτήσει τα χρήματά του. Αλλά τον περασμένο Ιούνιο πλησίασε ξανά τον Grand, ελπίζοντας να τον πείσει να βοηθήσει, και αυτή τη φορά ο Grand συμφώνησε να κάνει μια προσπάθεια, συνεργαζόμενος με έναν φίλο του ονόματι Bruno στη Γερμανία, ο οποίος επίσης παραβιάζει ψηφιακά πορτοφόλια.

Ο Grand και ο Bruno πέρασαν μήνες αντιστρέφοντας την έκδοση του προγράμματος RoboForm που πίστευαν ότι είχε χρησιμοποιήσει ο Michael το 2013 και διαπίστωσαν ότι η γεννήτρια ψευδο-τυχαίων αριθμών που χρησιμοποιούνταν για τη δημιουργία κωδικών πρόσβασης σε εκείνη την έκδοση -και στις επόμενες εκδόσεις μέχρι το 2015- είχε πράγματι ένα σημαντικό ελάττωμα που έκανε τη γεννήτρια τυχαίων αριθμών να μην είναι τόσο τυχαία. Το πρόγραμμα RoboForm συνέδεε απερίσκεπτα τους τυχαίους κωδικούς πρόσβασης που παρήγαγε με την ημερομηνία και την ώρα στον υπολογιστή του χρήστη - προσδιόριζε την ημερομηνία και την ώρα του υπολογιστή και στη συνέχεια παρήγαγε κωδικούς πρόσβασης που ήταν προβλέψιμοι. Αν γνωρίζατε την ημερομηνία και την ώρα και άλλες παραμέτρους, μπορούσατε να υπολογίσετε οποιονδήποτε κωδικό πρόσβασης που θα είχε δημιουργηθεί σε μια συγκεκριμένη ημερομηνία και ώρα στο παρελθόν.

Αν ο Michael γνώριζε την ημέρα ή το γενικό χρονικό πλαίσιο του 2013 κατά το οποίο παρήγαγε τον κωδικό πρόσβασης, καθώς και τις παραμέτρους που χρησιμοποίησε για τη δημιουργία του κωδικού πρόσβασης (για παράδειγμα, τον αριθμό των χαρακτήρων στον κωδικό πρόσβασης, συμπεριλαμβανομένων των πεζών και κεφαλαίων γραμμάτων, των αριθμών και των ειδικών χαρακτήρων), αυτό θα περιόριζε τις πιθανές εικασίες για τον κωδικό πρόσβασης σε έναν διαχειρίσιμο αριθμό. Στη συνέχεια, θα μπορούσαν να υποκλέψουν τη λειτουργία RoboForm που είναι υπεύθυνη για τον έλεγχο της ημερομηνίας και της ώρας σε έναν υπολογιστή και να την κάνουν να ταξιδέψει πίσω στο χρόνο, πιστεύοντας ότι η τρέχουσα ημερομηνία ήταν μια ημέρα στο χρονικό πλαίσιο του 2013, όταν ο Michael δημιούργησε τον κωδικό πρόσβασής του. Το RoboForm θα έβγαζε στη συνέχεια τους ίδιους κωδικούς πρόσβασης που παρήγαγε τις ημέρες του 2013.

Υπήρχε ένα πρόβλημα: ο Michael δεν μπορούσε να θυμηθεί πότε δημιούργησε τον κωδικό πρόσβασης.

Σύμφωνα με το αρχείο καταγραφής στο πορτοφόλι του λογισμικού του, ο Michael μετέφερε bitcoin στο πορτοφόλι του για πρώτη φορά στις 14 Απριλίου 2013. Αλλά δεν μπορούσε να θυμηθεί αν δημιούργησε τον κωδικό πρόσβασης την ίδια ημέρα ή κάποια στιγμή πριν ή μετά από αυτό. Έτσι, εξετάζοντας τις παραμέτρους άλλων κωδικών πρόσβασης που δημιούργησε χρησιμοποιώντας το RoboForm, ο Grand και ο Bruno διαμόρφωσαν το RoboForm ώστε να δημιουργεί κωδικούς πρόσβασης 20 χαρακτήρων με κεφαλαία και πεζά γράμματα, αριθμούς και οκτώ ειδικούς χαρακτήρες από την 1η Μαρτίου έως τις 20 Απριλίου 2013.

Απέτυχε να δημιουργήσει τον σωστό κωδικό πρόσβασης. Έτσι, οι Grand και Bruno επιμήκυναν το χρονικό πλαίσιο από τις 20 Απριλίου έως την 1η Ιουνίου 2013, χρησιμοποιώντας τις ίδιες παραμέτρους. Ακόμα δεν είχαν τύχη.

Ο Michael λέει ότι τον ρωτούσαν συνεχώς αν ήταν σίγουρος για τις παραμέτρους που είχε χρησιμοποιήσει. Αυτός επέμεινε στην πρώτη του απάντηση.

«Πραγματικά με ενόχλησαν, γιατί ποιος ξέρει τι έκανα πριν από 10 χρόνια», θυμάται. Βρήκε άλλους κωδικούς πρόσβασης που δημιούργησε με το RoboForm το 2013 και δύο από αυτούς δεν χρησιμοποιούσαν ειδικούς χαρακτήρες, οπότε ο Grand και ο Bruno τους προσάρμοσαν. Τον περασμένο Νοέμβριο, επικοινώνησαν με τον Michael για να κανονίσουν μια συνάντηση από κοντά. «Σκέφτηκα: “Θεέ μου, θα μου ζητήσουν ξανά τις ρυθμίσεις”.

Αντ' αυτού, αποκάλυψαν ότι είχαν επιτέλους βρει τον σωστό κωδικό πρόσβασης -χωρίς ειδικούς χαρακτήρες. Δημιουργήθηκε στις 15 Μαΐου 2013, στις 4:10:40 μ.μ. ώρα Ελλάδας.«Τελικά σταθήκαμε τυχεροί που οι παράμετροι και το χρονικό εύρος μας ήταν σωστά. Αν κάποιο από αυτά ήταν λάθος, θα είχαμε ... συνεχίσει να κάνουμε εικασίες στο κενό", αναφέρει ο Grand σε ένα email στο WIRED. «Θα χρειαζόμασταν σημαντικά περισσότερο χρόνο για να υπολογίσουμε εκ των προτέρων όλους τους πιθανούς κωδικούς πρόσβασης».

Οι Grand και Bruno δημιούργησαν ένα βίντεο για να εξηγήσουν τις τεχνικές λεπτομέρειες πιο διεξοδικά.

Το RoboForm, που κατασκευάστηκε από την αμερικανική Siber Systems, ήταν ένας από τους πρώτους διαχειριστές κωδικών πρόσβασης στην αγορά και σήμερα έχει περισσότερους από 6 εκατομμύρια χρήστες παγκοσμίως, σύμφωνα με έκθεση της εταιρείας. Το 2015, η Siber φάνηκε να διορθώνει τον διαχειριστή κωδικών πρόσβασης RoboForm. Με μια πρόχειρη ματιά, ο Grand και ο Bruno δεν μπόρεσαν να βρουν κανένα σημάδι ότι η γεννήτρια ψευδοτυχαίων αριθμών στην έκδοση του 2015 χρησιμοποιούσε τον χρόνο του υπολογιστή, γεγονός που τους κάνει να πιστεύουν ότι την αφαίρεσαν για να διορθώσουν το ελάττωμα, αν και ο Grand λέει ότι θα πρέπει να την εξετάσουν διεξοδικότερα για να είναι σίγουροι.

Η Siber Systems επιβεβαίωσε στο WIRED ότι διόρθωσε το πρόβλημα με την έκδοση 7.9.14 του RoboForm, που κυκλοφόρησε στις 10 Ιουνίου 2015, αλλά ένας εκπρόσωπος δεν απάντησε σε ερωτήσεις σχετικά με το πώς το έκανε. Σε ένα changelog στον ιστότοπο της εταιρείας, αναφέρεται μόνο ότι οι προγραμματιστές της Siber έκαναν αλλαγές για να «αυξήσουν την τυχαιότητα των παραγόμενων κωδικών πρόσβασης», αλλά δεν λέει πώς το έκαναν αυτό. Ο εκπρόσωπος της Siber, Simon Davis, αναφέρει ότι «το RoboForm 7 διακόπηκε το 2017».

Ο Grand λέει ότι, χωρίς να γνωρίζει πώς η Siber διόρθωσε το πρόβλημα, οι επιτιθέμενοι μπορεί να εξακολουθούν να είναι σε θέση να αναγεννήσουν κωδικούς πρόσβασης που δημιουργήθηκαν από εκδόσεις του RoboForm που κυκλοφόρησαν πριν από τη διόρθωση το 2015. Δεν είναι επίσης σίγουρος αν οι τρέχουσες εκδόσεις περιέχουν το πρόβλημα.

«Εξακολουθώ να μην είμαι σίγουρος ότι θα το εμπιστευόμουν χωρίς να γνωρίζω πώς πραγματικά βελτίωσαν τη δημιουργία κωδικών πρόσβασης στις πιο πρόσφατες εκδόσεις», λέει. «Δεν είμαι σίγουρος αν η RoboForm γνώριζε πόσο κακή ήταν αυτή η συγκεκριμένη αδυναμία».

Οι πελάτες ενδέχεται επίσης να εξακολουθούν να χρησιμοποιούν κωδικούς πρόσβασης που δημιουργήθηκαν με τις πρώτες εκδόσεις του προγράμματος πριν από τη διόρθωση. Δεν φαίνεται ότι η Siber ενημέρωσε ποτέ τους πελάτες όταν κυκλοφόρησε τη διορθωμένη έκδοση 7.9.14 το 2015 ότι θα πρέπει να δημιουργήσουν νέους κωδικούς πρόσβασης για κρίσιμους λογαριασμούς ή δεδομένα. Η εταιρεία δεν απάντησε σε σχετική ερώτηση.

Εάν η Siber δεν ενημέρωσε τους πελάτες, αυτό θα σήμαινε ότι όσοι, όπως ο Michael, χρησιμοποίησαν το RoboForm για τη δημιουργία κωδικών πρόσβασης πριν από το 2015 -και εξακολουθούν να χρησιμοποιούν αυτούς τους κωδικούς πρόσβασης- μπορεί να έχουν ευάλωτους κωδικούς πρόσβασης που οι χάκερ μπορούν να αναδημιουργήσουν.

«Γνωρίζουμε ότι οι περισσότεροι άνθρωποι δεν αλλάζουν τους κωδικούς πρόσβασης, εκτός αν τους ζητηθεί να το κάνουν», λέει ο Grand. «Από τους 935 κωδικούς πρόσβασης στον διαχειριστή κωδικών μου (όχι στο RoboForm), οι 220 από αυτούς είναι από το 2015 και νωρίτερα, και οι περισσότεροι από αυτούς είναι [για] ιστότοπους που εξακολουθώ να χρησιμοποιώ».

Ανάλογα με το τι έκανε η εταιρεία για να διορθώσει το πρόβλημα το 2015, οι νεότεροι κωδικοί πρόσβασης μπορεί επίσης να είναι ευάλωτοι.

Τον περασμένο Νοέμβριο, ο Grand και ο Bruno αφαίρεσαν ένα ποσοστό bitcoins από τον λογαριασμό του Michael για τη δουλειά που έκαναν, και στη συνέχεια του έδωσαν τον κωδικό πρόσβασης για να έχει πρόσβαση στα υπόλοιπα. Τα bitcoin άξιζαν 38.000 δολάρια ανά νόμισμα εκείνη τη στιγμή. Ο Μάικλ περίμενε μέχρι να ανέβει στα 62.000 δολάρια ανά νόμισμα και πούλησε μερικά από αυτά. Τώρα έχει 30 BTC, αξίας πλέον 3 εκατομμυρίων δολαρίων, και περιμένει να ανέβει η αξία στα 100.000 δολάρια ανά νόμισμα. 

Ο Μάικλ λέει ότι ήταν τυχερός που έχασε τον κωδικό πρόσβασης πριν από χρόνια, διότι, διαφορετικά, θα είχε πουλήσει το bitcoin όταν η αξία του ήταν 40.000 δολάρια το νόμισμα και θα έχανε μια μεγαλύτερη περιουσία.

«Το γεγονός ότι έχασα τον κωδικό πρόσβασης ήταν οικονομικά ένα καλό πράγμα».

Πηγή:How Researchers Cracked an 11-Year-Old Password to a $3 Million Crypto Wallet