RoboForm şifre yöneticisinin on yıllık bir versiyonundaki bir kusur ve biraz da şans sayesinde araştırmacılar, Fortune içeren bir kripto cüzdanının şifresini ortaya çıkarmayı başardılar.
İki yıl önce Cryptocurrency'in sahibi "Michael", bilgisayarında şifrelenmiş biçimde sakladığı yaklaşık 2 milyon dolar değerindeki Bitcoin'e erişimin kurtarılmasına yardımcı olmak için Joe Grand ile temasa geçtiğinde Grand onu geri çevirdi.
Avrupa'da yaşayan ve isminin gizli tutulması istenen Michael, kripto para birimini şifre korumalı bir dijital cüzdanda sakladı. RoboForm şifre yöneticisini kullanarak bir şifre oluşturdu ve bu şifreyi TrueCrypt adlı bir araçla şifrelenmiş bir dosyada sakladı. Bir noktada bu dosya bozuldu ve Michael, 43,6 BTC'sini (2013'te toplam değeri yaklaşık 4.000 € veya 5.300 $ değerinde) güvence altına almak için oluşturduğu 20 karakterlik şifreye erişimini kaybetti. Michael, şifreyi oluşturmak için RoboForm şifre yöneticisini kullandı ancak bunu yöneticisinde saklamadı. Birisinin bilgisayarını hackleyip şifreyi ele geçireceğinden endişeleniyordu.
"O zamanlar güvenliğim konusunda gerçekten paranoyaktım" diye gülüyor.
Grand, 2022'de başka bir kripto cüzdan sahibinin, Trezor cüzdanının PIN'ini unuttuktan sonra sonsuza kadar kaybettiğini düşündüğü 2 milyon dolarlık kripto para birimine erişimi geri kazanmasına yardımcı olan ünlü bir donanım korsanıdır. O zamandan beri düzinelerce kişi hazinelerini geri almalarına yardımcı olmak için Grand ile temasa geçti. Ancak hacker takma adı "Kingpin" olarak bilinen Grand, çeşitli nedenlerle çoğunu geri çeviriyor.
Grand, 10 yaşında bilgisayar donanımlarını hacklemeye başlayan ve 2008'de Discovery Channel'ın Prototip Bu şovuna ev sahipliği yapan bir elektrik mühendisidir. Artık kendisi gibi donanım korsanlarının sistemlerini nasıl alt üst edebileceğini anlamalarına yardımcı olmak için karmaşık dijital sistemler oluşturan şirketlere danışmanlık yapıyor. 2022 yılında Trezor cüzdanını, USB tarzı cüzdanı şifresini açığa çıkarmaya zorlayan karmaşık donanım tekniklerini kullanarak kırdı.
Ancak Michael, kripto para birimini yazılım tabanlı bir cüzdanda sakladı, bu da Grand'ın donanım becerilerinin hiçbirinin bu kez konuyla alakalı olmadığı anlamına geliyordu. Doğru şifreyi bulmak için milyonlarca olası şifreyi otomatik olarak tahmin edecek bir komut dosyası yazarak Michael'ın şifresini kaba kuvvetle kullanmayı düşündü ancak bunun mümkün olmadığına karar verdi. Kısaca Michael'ın şifresini oluşturmak için kullandığı RoboForm şifre yöneticisinin şifre oluşturma biçiminde bir kusur olabileceğini ve bunun da şifreyi daha kolay tahmin etmesine olanak tanıyacağını düşündü. Ancak Grand böyle bir kusurun varlığından şüpheliydi.
Michael, kriptografiyi kırma konusunda uzmanlaşmış birçok kişiyle temasa geçti; hepsi ona parasını geri alma şansının olmadığını söyledi. Ancak geçen Haziran ayında, onu yardım etmeye ikna etmeyi umarak Grand'a tekrar yaklaştı ve bu kez Grand, Almanya'da dijital cüzdanları hackleyen Bruno adında bir arkadaşıyla çalışarak bunu denemeyi kabul etti.
Grand ve Bruno, Michael'ın 2013'te kullandığını düşündükleri RoboForm programının versiyonunda tersine mühendislik yapmak için aylar harcadılar ve bu versiyonda (ve 2015'e kadar olan sonraki versiyonlarda) şifre oluşturmak için kullanılan sözde rastgele sayı üretecinin gerçekten de önemli bir kusura sahip olduğunu buldular. bu da rastgele sayı üretecinin o kadar da rastgele olmamasını sağladı. RoboForm programı, ürettiği rastgele şifreleri akıllıca olmayan bir şekilde kullanıcının bilgisayarındaki tarih ve saate bağladı; bilgisayarın tarih ve saatini belirledi ve ardından tahmin edilebilir şifreler üretti. Tarih, saat ve diğer parametreleri biliyorsanız, geçmişte belirli bir tarih ve saatte oluşturulmuş olan herhangi bir şifreyi hesaplayabilirsiniz.
Michael, şifreyi oluşturduğu 2013 yılındaki günü veya genel zaman dilimini ve ayrıca şifreyi oluşturmak için kullandığı parametreleri (örneğin, küçük ve büyük harfler, rakamlar dahil olmak üzere şifredeki karakter sayısı, ve özel karakterler), bu, olası şifre tahminlerini yönetilebilir bir sayıya kadar daraltacaktır. Daha sonra, bir bilgisayardaki tarih ve saati kontrol etmekten sorumlu RoboForm işlevini ele geçirip, zamanda geriye gitmesini sağlayabilirler; mevcut tarihin, Michael'ın şifresini oluşturduğu 2013 zaman dilimindeki bir gün olduğuna inanırlar. RoboForm daha sonra 2013'teki günlerde oluşturduğu şifrelerin aynısını dağıtacaktı.
Bir sorun vardı: Michael şifreyi ne zaman oluşturduğunu hatırlamıyordu.
Yazılım cüzdanındaki günlüğe göre Michael, Bitcoin'i ilk kez 14 Nisan 2013'te cüzdanına taşıdı. Ancak şifreyi aynı gün mü, bundan önce mi yoksa sonra mı oluşturduğunu hatırlamıyordu. Grand ve Bruno, RoboForm kullanarak oluşturduğu diğer şifrelerin parametrelerine bakarak RoboForm'u 1 Mart'tan 20 Nisan 2013'e kadar büyük ve küçük harfler, rakamlar ve sekiz özel karakterden oluşan 20 karakterlik şifreler oluşturacak şekilde yapılandırdı.
Doğru şifreyi oluşturamadı. Böylece Grand ve Bruno aynı parametreleri kullanarak zaman dilimini 20 Nisan'dan 1 Haziran 2013'e kadar uzattılar. Hala şans yok.
Michael, kendisine sürekli gelip kullandığı parametrelerden emin olup olmadığını sorduklarını söylüyor. İlk cevabına sadık kaldı.
"Beni gerçekten sinirlendirdiler çünkü 10 yıl önce ne yaptığımı kim bilebilir" diye anımsıyor. 2013'te RoboForm ile oluşturduğu diğer şifreleri buldu ve bunlardan ikisinde özel karakterler yoktu, bu yüzden Grand ve Bruno gerekli ayarlamaları yaptı. Geçen Kasım ayında, şahsen bir toplantı ayarlamak için Michael'a ulaştılar. “'Aman Tanrım, ayarları benden tekrar isteyecekler' diye düşündüm.”
Bunun yerine, sonunda doğru şifreyi bulduklarını açıkladılar; özel karakterler yoktu. 15 Mayıs 2013 16:10:40 GMT'de oluşturuldu.
"Sonunda parametrelerimizin ve zaman aralığımızın doğru olduğu konusunda şanslıydık. Grand, WIRED'e gönderdiği bir e-postada şöyle diyor: Eğer bunlardan herhangi biri hatalı olsaydı, karanlıkta tahminlerde bulunmaya/çekim yapmaya devam ederdik. "Tüm olası şifreleri önceden hesaplamak çok daha uzun sürerdi."
Grand ve Bruno, teknik detayları daha detaylı anlatmak için bir video hazırladılar.
ABD merkezli Siber Systems tarafından üretilen RoboForm, piyasadaki ilk şifre yöneticilerinden biriydi ve bir şirket raporuna göre şu anda dünya çapında 6 milyondan fazla kullanıcıya sahip. 2015 yılında Siber, RoboForm şifre yöneticisini düzeltmiş gibi görünüyordu. Grand ve Bruno üstünkörü bir bakışta, 2015 versiyonundaki sahte rastgele sayı üretecinin bilgisayarın zamanını kullandığına dair herhangi bir işaret bulamadılar; bu da onlara kusuru düzeltmek için onu kaldırdıklarını düşündürdü, ancak Grand incelemeleri gerektiğini söylüyor emin olmak daha ayrıntılıdır.
Siber Systems, WIRED'e sorunu 10 Haziran 2015'te yayınlanan RoboForm'un 7.9.14 sürümüyle çözdüğünü doğruladı, ancak bir sözcü bunu nasıl yaptığına ilişkin soruları yanıtlamadı. Şirketin web sitesindeki değişiklik günlüğünde yalnızca Siber programcılarının "oluşturulan şifrelerin rastgeleliğini artırmak için" değişiklikler yaptıklarından bahsediliyor ancak bunu nasıl yaptıkları yazmıyor. Siber sözcüsü Simon Davis, "RoboForm 7'nin 2017 yılında durdurulduğunu" söylüyor.
Grand, Siber'in sorunu nasıl çözdüğünü bilmeden saldırganların RoboForm'un 2015'teki düzeltmeden önce yayımlanan sürümleri tarafından oluşturulan şifreleri hâlâ yeniden oluşturabileceğini söylüyor. Ayrıca mevcut sürümlerin sorunu içerip içermediğinden de emin değil.
"Daha yeni sürümlerde şifre oluşturmayı gerçekte nasıl geliştirdiklerini bilmeden ona güvenebileceğimden hâlâ emin değilim" diyor. "RoboForm'un bu zayıflığın ne kadar kötü olduğunu bildiğinden emin değilim."
Müşteriler ayrıca düzeltmeden önce programın önceki sürümleriyle oluşturulan parolaları hâlâ kullanıyor olabilir. Siber'in, 2015 yılında sabit 7.9.14 sürümünü yayınladığında müşterilere, kritik hesaplar veya veriler için yeni şifreler oluşturmaları gerektiğini bildirdiği görülmemektedir. Şirket bu konuyla ilgili hiçbir soruya yanıt vermedi.
Siber müşterileri bilgilendirmediyse bu, Michael gibi 2015'ten önce şifre oluşturmak için RoboForm'u kullanan ve hala bu şifreleri kullanan herhangi birinin, bilgisayar korsanlarının yeniden oluşturabileceği güvenlik açığı bulunan şifrelere sahip olabileceği anlamına gelir.
Grand, "Çoğu kişinin, istenmedikçe şifrelerini değiştirmediğini biliyoruz" diyor. "Şifre yöneticimdeki (RoboForm değil) 935 şifreden 220'si 2015 ve öncesine ait ve çoğu hâlâ kullandığım siteler için."
Şirketin 2015 yılında sorunu çözmek için ne yaptığına bağlı olarak yeni şifreler de saldırıya açık olabilir.
Geçen Kasım ayında Grand ve Bruno, yaptıkları iş karşılığında Michael'ın hesabından bitcoinlerin bir kısmını kestiler ve geri kalanına erişmesi için ona şifreyi verdiler. O zamanlar bitcoin, madeni para başına 38.000 dolardı. Michael, para başına 62.000 dolara yükselene kadar bekledi ve bir kısmını sattı. Şu anda 3 milyon dolar değerinde 30 BTC'si var ve değerin token başına 100.000 dolara çıkmasını bekliyor.
Michael, şifreyi yıllar önce kaybettiği için şanslı olduğunu çünkü aksi takdirde Bitcoin'i 40.000 dolar değerindeyken satıp daha büyük bir serveti kaçıracağını söylüyor.
"Şifreyi kaybetmem mali açıdan iyi bir şeydi."
