Russisch gijzelvirus niet te kraken wel op te lossen
De kans dat een leger van beveiligingsexperts een nieuwe variant van het Gpcode gijzelvirus weet te kraken is zeer onwaarschijnlijk, iets dat ook virusbestrijder Kaspersky Lab erkent. Gisteren kwam de beveiliger met een oproep aan de security gemeenschap om mee te helpen met het kraken van de 1024-bit RSA-encryptie die de malware gebruikt. En daar doen zich een aantal problemen voor, want het is goed mogelijk dat de virusschrijver de sleutel wijzigt nog voordat de "crypto challenge" voorbij is. Het kost slechts een paar minuten om de sleutel in nieuwe varianten van de malware te vervangen. "Dit is een race die we niet gaan winnen," zegt ISC handler Swa Frantzen.
De "wedstrijd" kan zelfs een heel vervelende uitkomst hebben, want het is maar de vraag of de virusschrijver ook de private key heeft. Het is goed mogelijk dat de gebruikte publieke sleutels een kopie van iemand anders z'n sleutels zijn, bijvoorbeeld van een ' root signing key', 'certificate authority' of bank. "Een goed bedoelde poging om deze sleutels te kraken en de slachtoffers van het virus te helpen kan voor een enorme schade zorgen," gaat Eran Tromer in deze analyse verder.
Volg het geld
Voorlopig lijkt de enige oplossing dan ook het volgen van de geldstroom. "Als je je data door Gpcode bent kwijtgeraakt en je wil snel via een egold account betalen, kun je nog steeds degene stoppen die hier achter zit. Stuur niet alleen de PINcode naar de afpersers, stuur een kopie naar de support service van de betalingsdienst die je gebruikt. Dit helpt onderzoekers bij het opsporen van de criminelen, die dan mogelijk op heterdaad te betrappen zijn," aldus anti-virus expert Alisa Shevchenko. Ze merkt op dat er van een grootschalige uitbraak geen sprake is en het om een beperkt aantal gevallen gaat. "Naast de technische dreiging blijft het bewustzijn van de gebruiker het grootste probleem. Wees geen slachtoffer, maak back-ups."
Frantzen ziet ruimte voor het oude vertrouwde politiewerk. "Volg het geld, neem de private key in beslag als ze die hebben en zet de criminelen voor een lange tijd achter de tralies."
eigen controverses waardoor het aan blijft komen op
traditioneel degelijk werk in de ruimste zin des woords.
Het is goed mogelijk dat de gebruikte publieke sleutels een
kopie van iemand anders z'n sleutels zijn, bijvoorbeeld van
een ' root signing key', 'certificate authority' of bank.
"Een goed bedoelde poging om deze sleutels te kraken en de
slachtoffers van het virus te helpen kan voor een enorme
schade zorgen," gaat Eran Tromer in deze analyse verder.
Aan de andere kant; nu kan je ook met distributed computing
een netwerkje opzetten om bijvoorbeeld de VeriSign root
sleutels te achterhalen. Daar hoef niet perse je data voor
gegijzeld te zijn.
Zijn er eigenlijk van dergelijk initiatieven? De bekendste
die ik ken zijn de RC4 en Seti@home achtige zaken
alchemie. Daar zit de oplossing dus niet in. Maar wellicht
is de implementatie van RSA niet foutloos en/of blijven de
originele bestanden 'zichtbaar'.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
