Advarer mot bruktsalg av hackerutstyr

[Gjest Marius B. Jørgenrud]

Advarer mot bruktsalg av hackerutstyr

[NFNGOW6W]

Det er ikke bare kripos her til lands som benytter seg av Cellebrite spesifikt. Både politiet og andre myndigheter her til lands som driver med sikring og analyse av elektroniske spor vil finnes på kundelistene.

[slemskurk]

Han skal ha påvist at bruktutstyret inneholdt en rekke data, blant annet informasjon fra håndsett som tidligere er blitt gransket med enhetene, når de ble undersøkt, hva slags data som ble hentet ut, inkludert også telefonenes unike IMEI-koder.

'Utstyr fra 6000 dollar (og oppover)'.

 

Hallo, overpriset skrot. Det der kan du gjøre med en hvilken som helst datamaskin bl.a. ved å kjøpe prosseseringstid på GPU-farmer, alt fra en til åtte grafikk-kort som knekker krypteringen like godt som dette mølet.

[0laf]

Det der kan du gjøre med en hvilken som helst datamaskin bl.a. ved å kjøpe prosseseringstid på GPU-farmer, alt fra en til åtte grafikk-kort som knekker krypteringen like godt som dette mølet.

 

 

Problemet er at de fleste telefoner og nettbrett har passordbeskyttelse hvor det kun er et begrenset antall forsøk, ofte med en viss tid mellom hvert forsøk, før enheten stenges ned, slik at brute-force ikke virker.

 

Cellebrite benytter spesielle teknikker for å omgå dette, ved at enheten plugges inn i Cellebrite, som så kjører noe software som på et eller annet vis slår ut brute-force beskyttelse for å kunne kjøre mange passordforsøk uten å bli utestengt.

 

Dersom du skulle benyttet GPU'er eller en serverfarm, til å knekke en slik kode, så måtte du enten hatt en hash å sammenligne med, som du ikke har, eller mulighet til å teste hver kode på enheten for å se om den virker.

Å sitte å manuelt taste inn noen milliarder koder er neppe særlig aktuelt, og du ville normalt blitt utestengt etter kun noen få forsøk, det er der Cellebrite kommer inn.

 

Cellebrite funker dog ikke på alt, men på telefoner med PIN-koder som er fire siffer, er det trivielt å knekke kodene, når man først har kommet rundt begrensning i antall forsøk.

 

Fra 0 til 9 med fire tegn, er kun 10^4, som i desimal betyr at det maks vil ta 10 000 forsøk å knekke slik en kode.

Med 1000 forsøk i sekundet tar det 10 sekunder å teste alle kombinasjoner.

 

Har man derimot satt et passord på telefonen som er lengre, med hele alfabetet, vil det ta Cellebrite tusenvis av år å knekke koden.

Som et eksempel har alfabetet (uten æ-ø-å) 26 tegn, pluss tallene, så er det 36 tegn å velge fra.

Et passord på 10 tegn er 36^10, som i desimal er 3 656 158 400 000 000 forsøk for å knekke en slik kode, og selv med 1000 forsøk i sekundet, vil det maksimalt ta 11500 år å knekke.

[Ingeniør]

'Utstyr fra 6000 dollar (og oppover)'.

 

Hallo, overpriset skrot. Det der kan du gjøre med en hvilken som helst datamaskin bl.a. ved å kjøpe prosseseringstid på GPU-farmer, alt fra en til åtte grafikk-kort som knekker krypteringen like godt som dette mølet.

 

Funker vel det også, om du ikke har behov for å få resultatet I går.

[slemskurk]

Problemet er at de fleste telefoner og nettbrett har passordbeskyttelse hvor det kun er et begrenset antall forsøk, ofte med en viss tid mellom hvert forsøk, før enheten stenges ned, slik at brute-force ikke virker.

Ja, og de er ikke FIPS-3 sertifiserte så derfor kan man fjerne chipen og daske den inn i hjalla overprisa utstyr som dette.

Det kunne man også gjort med et hvilket som helst brødbord, i teorien, det er bare det at disse 'produsentene' har haia til seg forretningshemmeligheter som de 'i teorien' IKKE skulle hatt tilgang til... og jeg mistenker at grunnen til at de ikke vil at andre enn den opprinnelige kunden skal kunne kjøpe utstyret, er at de er redde for reverse engineering av NØYAKTIG hva det er de holder på med.

 

Noen mobiltelefoner er sikrere enn andre, da. Det er bare å lete, så finner man.

Endret 28. februar 2019 av slemskurk