ब्लॉक तकनीक

20 घंटे, 18 डॉलर और 11 मिलियन क्रिप्टोक्यूरेंसी दरार


सरल क्रिप्टोक्यूरेंसी दरार

वर्षों से, मुझे क्रिप्टोकरेंसी द्वारा प्रदान की गई सुरक्षा और क्रिप्टोक्यूरेंसी द्वारा संरक्षित खातों पर हमला करने के तरीकों को विकसित करने में रुचि है। इसलिए मुझे लगता है कि मैं देखूंगा कि रोज़मर्रा के डेवलपर, बिना विशेषज्ञता के कितने सफल हो सकते हैं, लाखों क्रिप्टोकरेंसी को क्रैक कर सकते हैं।

** एथिकल हैकिंग: इस प्रयोग में उपयोग की जाने वाली वास्तविक क्रिप्टोकरेंसी पर गैर-व्यक्तिगत ऑनलाइन हैकर्स द्वारा हमला किया गया और हैक किया गया। ये क्रिप्टोकरेंसी अब मुफ्त में ऑनलाइन उपलब्ध हैं। इस तरह की समझौता किए गए क्रिप्टोकरेंसी पर एक आभासी हमला हमें क्रिप्टोकरेंसी द्वारा प्रदान की गई सुरक्षा के बारे में व्यक्तियों को शिक्षित करने की अनुमति देता है, जिससे उन्हें वास्तविक हमलों से बचाने में मदद मिलती है। इससे पहले कि मैंने काम करना शुरू किया, मैंने लीक दस्तावेजों से सभी व्यक्तिगत रूप से पहचान योग्य जानकारी को हटा दिया। **

लोग ईमेल से बैंक खातों से लेकर क्रिप्टोक्यूरेंसी एक्सचेंज खातों तक लगभग हर चीज़ की ऑनलाइन सुरक्षा के लिए क्रिप्टोकरेंसी का इस्तेमाल करते हैं। हालांकि कई वेबसाइट अब दो-कारक प्रमाणीकरण ['2FA'] की पेशकश करती हैं, यह आमतौर पर सार्वजनिक रूप से उपलब्ध या लागू नहीं होता है, और बड़ी संख्या में वेबसाइटें अभी भी 2FA की पेशकश नहीं करती हैं। इसलिए, जनसंख्या की पहचान और धन की सुरक्षा के लिए सुरक्षित क्रिप्टोकरेंसी का प्रावधान महत्वपूर्ण है।

बेशक, क्रिप्टोक्यूरेंसी के पीछे संग्रहीत मूल्य उनके खिलाफ कई हमलों को उकसाता है। आप जटिल क्रिप्टोक्यूरेंसी क्रैकिंग एल्गोरिदम पर बहुत सारे शोध पत्र पढ़ सकते हैं जो जटिल संभावनाओं और मशीन सीखने की तकनीकों का उपयोग करते हैं और क्रिप्टोक्यूरेंसी के 90% से अधिक दरार कर सकते हैं।

हालांकि ये एल्गोरिदम भयानक हैं, वे सामान्य आबादी के लिए बहुत वास्तविक खतरा नहीं हैं – कितने लोग वास्तव में जानते हैं कि इन हमलों को कैसे करना है? वे मुझ पर क्यों निशाना साध रहे हैं? इसलिए मैंने एक और अधिक यथार्थवादी हमले की जांच करने का फैसला किया: एक हमलावर जो जानता है कि एडब्ल्यूएस उदाहरण [या अन्य क्लाउड उदाहरण] कैसे बनाया जाए और उस पर कुछ ओपन सोर्स सॉफ़्टवेयर चला सकते हैं।

यदि आप पहले से ही क्रिप्टोक्यूरेंसी हैश को जानते हैं, तो "संक्षिप्त पृष्ठभूमि: स्टोर क्रिप्टोक्यूरेंसी" को छोड़ दें। यदि आप हैश के खिलाफ ऑफ़लाइन हमलों के बारे में जानते हैं, तो "संक्षिप्त पृष्ठभूमि II: हमला हैश" छोड़ें।

संक्षिप्त पृष्ठभूमि: भंडारण क्रिप्टोकरेंसी

क्रिप्टोक्यूरेंसी द्वारा संरक्षित एप्लिकेशन में लॉग इन करते समय, होने वाली घटनाओं का क्रम निम्नानुसार है:

उपयोगकर्ता क्रिप्टोक्यूरेंसी में प्रवेश करता है [अनुमोदन के लिए स्थानांतरण] रिकॉर्ड की क्रिप्टोक्यूरेंसी के साथ तुलना करने के लिए क्रिप्टोक्यूरेंसी दर्ज करें। यदि यह मेल खाता है, तो एक्सेस प्रदान करें।

हालांकि, इस तरह की क्रिप्टोकरेंसी को ट्रांसफर और स्टोर करना बहुत असुरक्षित है। सुरक्षा में सुधार करने के लिए, कई सिस्टम [हालांकि शायद सभी नहीं] वास्तव में उपयोगकर्ता के क्रिप्टोक्यूरेंसी के "हैश" को अपने डेटाबेस में संग्रहीत करते हैं, स्वयं क्रिप्टोक्यूरेंसी नहीं। आप हैश को क्रिप्टोकरेंसी की एक अपरिवर्तनीय गड़बड़ी के रूप में सोच सकते हैं, यदि कोई हमलावर क्रिप्टोक्यूरेंसी का हैश पाता है, तो वे क्रिप्टोक्यूरेंसी की खोज करने की प्रक्रिया को पूर्ववत नहीं कर सकते हैं।

जब कोई उपयोगकर्ता इस तरह की प्रणाली में क्रिप्टोक्यूरेंसी में प्रवेश करता है, तो घटनाओं का वास्तविक अनुक्रम निम्नानुसार है:

उपयोगकर्ता क्रिप्टोक्यूरेंसी में प्रवेश करता है स्थानीय रूप से हैश [क्रिप्टोक्यूरेंसी] की गणना करता है और रिकॉर्ड में हैश के साथ हैश की तुलना हैश करता है।

पृष्ठभूमि कला II: मजबूर हैश

हैशिंग का उपयोग करने वाली प्रणालियों में, यदि कोई हमलावर क्रिप्टोक्यूरेंसी डेटाबेस प्राप्त करने की कोशिश करता है, तो वे उपयोगकर्ता की क्रिप्टोक्यूरेंसी को अभी भी नहीं देख सकते हैं। इस तरह के सिस्टम के खिलाफ हमला, इसी क्रिप्टोक्यूरेंसी को खोजने के लिए हैश को उल्टा नहीं कर सकता है, इसलिए निम्न कार्य करें:

क्रिप्टोक्यूरेंसी को लगता है कि इस अनुमान के हैश मान की गणना वास्तविक हैश से तुलना करें 1-3 कदम एक मैच मिलने तक दोहराएं

यह बहुत समय लगता है, लेकिन अगर मशीन समानांतर में हजारों क्रिप्टोकरेंसी का अनुमान लगा सकती है, तो आप चीजों को तेज होने की कल्पना कर सकते हैं।

आक्रमण

सॉफ्टवेयर

मेरे द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर को Hashcat कहा जाता है, एक उन्नत क्रिप्टोक्यूरेंसी रिकवरी टूल जिसे "दुनिया का सबसे तेज़ क्रिप्टोक्यूरेंसी क्रैकर" कहा जाता है। Hashcat खुला स्रोत है, अपनी वेबसाइट से स्रोत कोड और बायनेरिज़ डाउनलोड कर सकते हैं, और एक व्यापक उपकरण विकी गाइड है। सुनिश्चित करने के लिए, आपको इसका उपयोग करने के लिए एक विशेषज्ञ होने की आवश्यकता नहीं है।

हार्डवेयर

मैंने Nvidia Tesla K80 पर Hashcat चलाया – 4992 कोर के साथ एक GPU जो आप $ 0.90 प्रति घंटे [P2.xlarge] के लिए AWS पर किराए पर ले सकते हैं। मुझे पहली बार K80 के हैशिंग फ़ीचर पर नज़र डालते हैं और देखते हैं कि यह मानक निर्मित लैपटॉप GPU की तुलना कैसे करता है।

K80 जहाज नियमित इंटेल ग्राफिक्स कार्ड की तुलना में 16 गुना तेज है। K80 लगभग 800 मिलियन SHA-256 हैश प्रति सेकंड की गणना कर सकता है … प्रति घंटे लगभग 3 ट्रिलियन बार।

क्रिप्टोग्राफिक मुद्रा

जैसा कि ऊपर उल्लेख किया गया है, मैंने जिस क्रिप्टोक्यूरेंसी पर हमला किया था वह हमलावर द्वारा ऑनलाइन लीक किया गया था। हमले में 14 मिलियन से अधिक क्रिप्टोकरेंसी सामने आई थीं, और सभी क्रिप्टोकरेंसी वास्तविक उपयोगकर्ताओं द्वारा बनाई गई थीं। मैं क्रिप्टोकरेंसी के लिंक प्रदान नहीं करता – मुझे उन्हें अनावश्यक रूप से साझा करने की आवश्यकता नहीं है – लेकिन मैं उन्हें एक त्वरित Google खोज के माध्यम से आसानी से पा सकता हूं।

मेरे हमले का तर्क

हालांकि हैशकट आपको सरल ब्रूट बल हमलों को करने की अनुमति देता है [आप एक निर्दिष्ट लंबाई के हर संभव क्रिप्टोक्यूरेंसी की कोशिश करते हैं], उनके पास थोड़ी अधिक जटिल हमलों के लिए कमांड भी हैं। जैसा कि हम सभी जानते हैं, अधिकांश लोग विभिन्न तरीकों से क्रिप्टोक्यूरेंसी का एक रूप में उपयोग करते हैं:

बस एक शब्द [अलग-अलग पूंजीकरण हो सकता है] – cryptocurrency कुछ संख्याओं / प्रतीकों द्वारा पीछा किया जाने वाला एक शब्द – बंदर या कॉफी 12 शब्द 'लेट स्पीक' लागू करें – p4ssw0rd या f4c3b00k एकाधिक शब्द एक साथ चिपक जाते हैं – isissecure

यह एक संयोग है … यदि आप किसी फ़ाइल में शब्दों की सूची प्रदान कर सकते हैं, तो हैशटैक में अलग-अलग मोड्स बनाए गए हैं, आप यह देख सकते हैं:

प्रत्येक शब्द को प्रत्येक संभव संख्या / प्रतीक के प्रत्येक शब्द से जोड़ा जाता है। निर्दिष्ट नियम के प्रत्येक शब्द को लागू किया जाता है [यानी 'प्रत्येक ओ को 0 से बदलें]।

इसलिए मैंने एक शब्दकोश फ़ाइल डाउनलोड की जिसमें मेरे हमले के लिए लाखों अंग्रेजी शब्द थे।

वहां से आप कुछ और सामान्य जानकारी प्राप्त कर सकते हैं, 'मास्क' को निर्दिष्ट करते हुए कि हैसकैट को प्रयास करना चाहिए। इसका मतलब यह नहीं है कि हस्कात को 'लंबाई 8 के सभी क्रिप्टोकरंसीज़' को आज़माने के लिए कहा जाए – यह 7 टेराफ्लॉप्स का एक अलग संयोजन है – आप कोशिश कर सकते हैं कि प्रत्येक क्रिप्टो करेंसी '6 लोअरकेस अक्षर 2 नंबर के बाद' हो।

कितना अच्छा है कि हमला?

सच कहूँ तो … यह जितना मैंने सोचा था उससे कहीं अधिक सफल है। वास्तव में बहुत सफल …

2 घंटे: क्रिप्टोक्यूरेंसी का 48% 8 घंटे फटा था: लगभग 70% 20 घंटे फटा था: 80% से अधिक फटा था

कार्रवाई के लिए कॉल करें

मुझे संक्षेप में बताएं।

20 प्रति घंटे, $ 0.90। वह सिर्फ $ 18 है। 14 मिलियन क्रिप्टोकरेंसी का 80% फटा।

उसे डूबने दो।

यह भयानक है। वास्तव में डरावना। लोगों को अपनी क्रिप्टोकरेंसी को सुरक्षित बनाने की आवश्यकता है। 'ओ' को '0' और 'ई' को '3' के साथ बदलने से आपकी क्रिप्टोकरेंसी सुरक्षित नहीं होगी। एक शब्द के अंत में संख्याओं और प्रतीकों को जोड़ना नहीं होगा। यह बहुत अधिक अनुमानित है।

मैं सुरक्षा विशेषज्ञ नहीं हूं – मैं आपको ऐसे नियम नहीं दे सकता, जिनका पालन करके आप क्रिप्टो करेंसी को अप्राप्य बना सकते हैं। यह ऐसे लोग हैं जो अनुमान लगाने योग्य नियमों का पालन करते हैं जो इन क्रिप्टोकरेंसी को क्रैक करना इतना आसान बनाते हैं। अप्रत्याशित। या इससे भी बेहतर, LastPass या 1Password जैसे क्रिप्टोक्यूरेंसी प्रबंधक का उपयोग करना अप्रत्याशित है।

स्रोत: 0x जानकारी द्वारा HACKERNOON से संकलित। कॉपीराइट लेखक का है, मूल लिंक: https://hackernoon.com/20-hours-18-and-11-million-passwords-cracked-c4513f61fdb1?source=collection_category/4-0——- । बिना अनुमति के पुनर्मुद्रण