Gå til innhold

Knekke en algoritme

v3g4rd

Anbefalte innlegg

v3g4rd

v3g4rd

Skrevet
Skrevet

Hei!

Jeg har irritert meg lenge over at nettbanken min ikke tar i bruk kodebrikker, men i stedet sender ut kodeskjemaer hvor hvert skjema inneholder 100 koder som igjen har 4 siffer. For moro skyld, har jeg tatt vare på de siste 5 skjemaene i den hensikt at jeg kanskje en dag skulle prøve å knekke algoritmen som genererer kodene, og lage en selv.

Jeg lurte derfor på om noen av dere kanskje visste noe om hvordan dette gjøres? Personlig har jeg ikke peiling på hvordan algoritmen er bygget opp, og om kontrollsiffer/kontrollord blir tatt i bruk for å generere kodene. Jeg går ut i fra at det er samme algoritme som blir brukt på de forskjellige kodeskjemaene, hvor kun kontrollsifferet blir variert. Men igjen, dette er som sagt ren spekulasjon.

Vet forresten noen om det eventuellt finnes et program som benytter brute-force som kan hjelpe meg med å regne ut en algoritme?

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Emancipate

Emancipate

Skrevet
Skrevet

Sannsynligvis er ikke tallene "tilfeldige" (alt har en årsak, ikke sant?), men hvis de som har laget skjemaet er like dumme som meg så lager de ikke alle dine nummer i rekkefølge.

Kanskje lager de først ditt tall, så tall til tusen andre kunder, eller kanskje alle med din fødselsdato, eller alle med din musikksmak (som er kunder da), eller whatever. Først etter det lager de ditt tall nummer 2 på lista.

Da er du dømt til å mislykkes med å finne systemet.

 

Men kanskje er det en enkel mersenne twister. Og da burde sikkerhetsansvarlig i banken gått i skammekroken.

Lenke til kommentar
v3g4rd

v3g4rd

Skrevet
  • Forfatter
Skrevet
Kanskje lager de først ditt tall, så tall til tusen andre kunder, eller kanskje alle med din fødselsdato, eller alle med din musikksmak (som er kunder da), eller whatever. Først etter det lager de ditt tall nummer 2 på lista.

8401430[/snapback]

 

Tanken har streifet meg, men i og med at jeg på hvilket som helst tidspunkt kan ringe banken og be dem sende meg et nytt kodeskjema (som havner i postkassen min dagen etterpå), så duger vel ikke denne teorien?

 

Uansett må jo tallene ha et eller annet system, og nå som jeg har 500 forskjellige siffre å gå ut i fra, er jeg nok litt nærmere å finne en algoritme for kodegenereringen.

 

Når en prøver å knekke koden til trådløse nettverk som er kryptert med WEP, er det jo bare snakk om å samle inn nok pakker før en kan bruke riktig programvare til å generere riktig nøkkel, og det var i grunnen det samme prinsippet jeg tenkte kunne fungere for å generere fram nettbankkoder :thumbup:

Lenke til kommentar
j000rn

j000rn

Skrevet
Skrevet

WEP hadde en svakhet som gjorde at det gikk ann å hacke den. For å hacke WEP må man ha ca. 40.000 pakker for å ha 50% sjanse til å gjette key'en. Jeg regner med at pakkene må være i rekkefølge og uten hull.

 

Dine 5 kort med store hull (mange som har bestillt kort imellom hver gang du har fått et kort) vil ikke kunne brukes for å hacke nettbanken din.

 

Jeg tror også nettbanken har en mye bedre algoritme enn WEP, rett og slett fordi algoritmen kun skal lage et tilfeldig nummer. WEP algoritmen brukes jo for å kryptere data.

 

En annen ting er at nummerene sikkert blir lagret i banken (ikke regnet ut når du trykker dem inn på siden). Derfor trenger den ikke bruke samme algoritme for hvert kort...

Lenke til kommentar
v3g4rd

v3g4rd

Skrevet
  • Forfatter
Skrevet
En annen ting er at nummerene sikkert blir lagret i banken (ikke regnet ut når du trykker dem inn på siden). Derfor trenger den ikke bruke samme algoritme for hvert kort...

8407403[/snapback]

Den der tenkte jeg ikke på.. Da er det kanskje ikke mulig allikevel..

Lenke til kommentar
___

___

Skrevet
Skrevet
Hei!

Jeg har irritert meg lenge over at nettbanken min ikke tar i bruk kodebrikker, men i stedet sender ut kodeskjemaer hvor hvert skjema inneholder 100 koder som igjen har 4 siffer. For moro skyld, har jeg tatt vare på de siste 5 skjemaene i den hensikt at jeg kanskje en dag skulle prøve å knekke algoritmen som genererer kodene, og lage en selv.

Jeg lurte derfor på om noen av dere kanskje visste noe om hvordan dette gjøres? Personlig har jeg ikke peiling på hvordan algoritmen er bygget opp, og om kontrollsiffer/kontrollord blir tatt i bruk for å generere kodene. Jeg går ut i fra at det er samme algoritme som blir brukt på de forskjellige kodeskjemaene, hvor kun kontrollsifferet blir variert. Men igjen, dette er som sagt ren spekulasjon.

Vet forresten noen om det eventuellt finnes et program som benytter brute-force som kan hjelpe meg med å regne ut en algoritme?

8398308[/snapback]

 

Jeg tror ikke systemet er mer avansert enn at et program genererer disse tallene ved hjelp av en eller annen random-funksjon. Det enkleste er ofte det beste.

 

Werner

Lenke til kommentar
  • 2 uker senere...
grimjoey

grimjoey

Skrevet
Skrevet
Sannsynligvis er ikke tallene "tilfeldige" (alt har en årsak, ikke sant?)

8401430[/snapback]

 

Det er vel et definisjonsspørsmål. ordet "tilfeldig" finnes og har en mening. den forrige setningen er ikke sann dersom "alt har en årsak". det er subjektivt i hvilken grad noe kan være tilfeldig og hva som eventuelt er det. i dataverdenen og matematikk er en tilfeldig tallrekke definert som en tallrekke som ikke kan beskrives med noe som er kortere en seg selv. det finnes software(algoritmer) som skaper til en vis grad slike tallrekker og hardware som gjør det bedre.

 

på en annen side kan banken for eksempel logge klokkeslett hver gang noen klikker på en tast i en minibank, går gjennom en automatisk dør i en av filialene og mye annet. klokker man dette ned på millisekundet og bruker denne informasjonen som tilfeldig har en eventuell "cracker" store problemer med å gjenskape kilden.

Lenke til kommentar
grimjoey

grimjoey

Skrevet
Skrevet
Få kopiert koden fra mikrokontrolleren, og crack det :p

8404642[/snapback]

 

Er det snakk om en slik passordkalkulator noen banker benytter så er det sannsynligvis ubrukelig å reverse engineere.

 

jeg har ikke brukt en slik selv men jeg regner med at det er en otp (one time passkey) generator. du skriver inn din faste kode og et tall gitt av nettbanken eller telefonsvareren. ut i fra koden og tallet blir det generert en ny unik kode som brukes i bekreftelsen. tallet gitt av nettbanken er aldri det samme så koden er aldri den samme. dette hindrer at brukbare koder fanges opp av avlytting/sniffing. det er også effektivt mot brute force angrep siden brukeren blir ikke hindret dersom nøkkelen forandres.

 

det kan selvfølgelig være feil i systemet slik at en og annen gang dukker det opp to like koder eller andre svakheter. men de har nok gått grundig til verks når de har utviklet dette og en tilfeldig dobbeltkode i ny og ne er det sannsynligvis ingen som får benyttet seg av.

Lenke til kommentar
v3g4rd

v3g4rd

Skrevet
  • Forfatter
Skrevet
du skriver inn din faste kode og et tall gitt av nettbanken eller telefonsvareren. ut i fra koden og tallet blir det generert en ny unik kode som brukes i bekreftelsen. tallet gitt av nettbanken er aldri det samme så koden er aldri den samme.

8509778[/snapback]

Da må jo nødvendigvis algoritmen allerede eksistere inni passordkalkulatoren, siden du får et kontrollsiffer av nettbanken som du bruker til å generere denne nye koden?

 

Når du da har fanget opp nok "unike koder" samt kontrollsifre, er det bare å finne rett programvare for å se sammenhengen mellom de to forskjellige kodene.

 

Det blir vel kanskje egentlig lettere å få has på den algoritmen der, enn ved bruk av kodearkene jeg har fått tildelt av nettbanken min?

Lenke til kommentar
Kahuna

Kahuna

Skrevet
Skrevet

Nå kjenner jeg ikke 'fasit' i saken men jeg har en viss kjennskap til kryptografi* og det er ikke noe i veien for at papirarkene er genuine random engangsnøkler. Selv med en million kunder vil lagringsbehovet for engangsnøkler til hele hurven neppe overstige en GB i året.

 

Kodekalkulatoren kan forsåvidt også inneholde engangskoder. Med mitt eget beskjedne bruk vil en brikke på 10KB holde i 80 år(!)

 

 

 

En algoritme er jo forsåvidt plassbesbarende men hadde jeg designet noe sånt hadde jeg antagelig gjort det enkelt og satset på engangskoder over hele fjøla. De er teoretisk og praktisk umulige å knekke og man kan istedet konsentrere seg om den vanskelige jobben, beskytte serverne. :)

 

 

*leste 'the code book' av Simon Singh og forsto mesteparten ;)

Lenke til kommentar
  • 5 uker senere...
krigun

krigun

Skrevet
Skrevet (endret)

Jeg har også DNBNOR, og de sender meg slike kodekort av papir med 100 eller noe koder på. Hver gang man skal bekrefte en transaksjon, eller logger inn, så må man taste inn en kode. Jeg vet ikke hvordan de elektroniske kodegeneratorene fungerer, men saken med de papirkortene tror jeg er veeldig enkel:

 

1: Banken genererer 100 koder, og nummererer disse fra 1-100 ( /dev/random + luftfuktighetsmåler og whatnot står nok sentralt i denne prosessen.)

2: Da lagrer de kodene i basen med en unik id, og printer kort (kortet merkes med samme id).

3: Når du ønsker et nytt kort, så registrerer bare banken at bruker med ID XXX har fått kodekort YYY.

 

Men hvordan de elektroniske kodegeneratorene fungerer er jeg mer usikker på. Altså, hvis du kan trykke på "generer" knappen 10000 ganger og likevel ha en gyldig kode, så er det jo en algoritme som regner det ut.

 

Så jeg ville ikke ha for høye forhåpninger med å knekke de papirkodene ved hjelp av brute force..

 

Og hvis de elektroniske dingsene inneholder 80KB med pregenererte koder, hva er da sansynligheten for å taste inn feil kode ;) ?

Endret av krigun
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...