Interesującą informację podała na swoich stronach znana zapewne wszystkim firma Kaspersky. Otóż odkryli oni sposób na odszyfrowanie plików zaszyfrowanych przez szkodnika GPcode.
Wydawało by się, że 1024 klucz RSA to wystarczające zabezpieczenie, ale jak to mawiał TWołoszański – otóż nie. Co się okazało.
Jak stwierdzili – skądinąd słusznie – analitycy, nawet gdyby wielu użytkowników Internetu połączyło swoje komputery w sieć pozwalającą na rozproszone łamanie klucza, potrwało by to jedynie połowę wieczności. Kaspersky zabrał się zatem do rewersowania złapanego szkodnika, w celu odnalezienia w nim luk w implementacji różnych rzeczy (w domyśle odpowiedzialnych za szyfrowanie). Co ciekawsze, na swoim forum ogłosili mobilizację każdego, kto chciałby pomóc. O dziwo, na Kasperskyego poleciały gromy, że taki sposób rozwiązania problemu jest pozbawiony sensu, zbytnio optymistyczny i na pewno nie zadziała. Nawet gdyby nie zadziałał, to inicjatywa jest moim zdaniem ciekawa.
W międzyczasie, w serwisie Securityfocus pojawił się… wywiad z autorem Gpcode. Jak można w nim przeczytać, człowiek podający się za Daniela Robertsona powiedział, że jeżeli firmy antywirusowe złamią klucz, następna wersja będzie miała 4096 bitów, będzie korzystała z zaawansowanych protokołów szyfrowania i do tego będzie się sama rozpowszechniała, a dodatkowo pewnie będzie kopała prądem użytkownika przy próbie dotknięcia klawiatury (to ostatnie to już funkcjonalność mojego autorstwa ;-) ). Pan Autor tutaj trochę przykozaczył, zapewne przekonany, że tym razem już nie popełnił błędów, które umożliwią odszyfrowanie klucza. Zapewnił także, że mimo tego, że nie jest autorem poprzedniej wersji Gpcode, będzie aktywnie rozwijał tą wersję, ponieważ to się opłaca.
Kaspersky jednak mimo wszystko udostępnił oprogramowanie, które pozwala częściowo odzyskać dane. Jak to działa? Przypomnę schemat: użyszkodnik klika linka, uruchamia się Gpcode, pliki są szyfrowane, następnie kasowane. Zamiast bawić się w odszyfrowanie, prościej odzyskać skasowane pliki. Oczywiście ilość tego, co da się odzyskać zależy od wielu czynników, niemniej jednak sposób jest jasny. Niestety, nie zawsze da się wszystko odzyskać.
Drugie, bardziej interesujące podejście pozwala na odszyfrowanie większej części plików (wg informacji na stronach, przeważnie w okolicach 80%) pod warunkiem, że posiada się przynajmniej jakąś ich niezaszyfrowaną część (backup! backup!). Ewentualnie można też odzyskać kilka takich, które zostały skasowane po zaszyfrowaniu i na ich podstawie odszyfrować resztę. Jak to działa, to niestety nie potrafię powiedzieć, musi być to jakaś mroczna część kryptografii, kryptoanalizy czy innej czarnej magii ;-). W każdym razie jest to wykorzystanie błędu w implementacji szkodnika.
Oczywiście nawet sposób nr 2 nie pozwoli na całkowite odzyskanie plików, ale być może odzyska właśnie te, za które nasze pożegnanie z pracą mogłoby przebiegać dość gwałtownie. Dodatkowo, zawsze można przecież zapłacić „dotację”, motywując autorów do dalszego rozwijania swojego softu.
Autorzy zapewne są zadowoleni w najmniejszym stopniu faktem, że raczej zostali pozbawieni w moim odczuciu znacznej części dochodów, więc jeżeli miałbym obstawiać, to następna wersja Gpcode, już za następne dwa lata będzie korzystała z klucza 4096, używała zaawansowanych algorytmów szyfrowania i będzie wolna od błędów w implementacji.
Aha, w roku 2006 za podobną działalność skazano członków gangu na 8 lat. Można o tym poczytać tutaj. Ciekawe jak ma się stosunek ryzyka do przychodów w przypadku Gpcode? ;-)
Czego sobie i Wam życzę ;-)