О теоретическом использовании майнинга для брутфорса паролей -9




Это даже не статья — это краткое сообщение.

Начнём с того, что я не верю в майнинг. Я верю в маркетинг. И я верю, что майнеры здорово выручили производителей видеокарт.

А ещё я верю в предприимчивость китайцев, которые создали майнинговые фермы, а теперь продают их мощности. Бесполезные мощности.

И я собираюсь доказать это. Речь не пойдёт об алгоритмах и сложных математических задачах. Сегодня в конце концов выходной! Речь пойдёт о вполне прикладной задаче.

На просторах интернета отыскался дистриб IDA Pro 7.2 без пароля — можно ли его взломать?

Давайте посчитаем.

Итак, известно, что к сожалению Hex-Rays не просто проверяет пароль в инсталляторе, а использует полноценное шифрование. Вот как это можно проверить:

innoextract -i --show-password x64_idapronw_hexx64w_181105_de455c480e11ef1ec91473028f4dd175.exe 
Inspecting «IDA Pro v7.2 and Hex-Rays Decompiler (x64)» — setup data version 5.5.7 (unicode)

Languages:
— default: English

No GOG.com game ID found!

Password hash: SHA-1 f29f55f07c043ad34b3de150501535f44424edad
Password salt: 50617373776f7264436865636b48617368c41639792846e456 (hex bytes, prepended to password)
Password encoding: UTF-16LE

Done.

Этих данных нам вполне достаточно для создания исходных данных для hashcat и брутфорса пароля. Но стоит ли игра свеч?

Время брутфорса можно рассчитать с помощью этого онлайн-калькулятора. Все указание длительности по времени ниже будут на основе именно этих расчётов.

Известно, что в пароле 12 символов, используются латинские заглавные и строчные буквы и цифры (все помним славный qY2jts9hEJGy). Осталось указать скорость перебора пароля.

Ну сразу отметим, что ни одна видеокарта, даже разогнанная, с их десятками MH/s не подойдёт, потому что искать пароль она будет несколько миллионов лет минимум.

Какой-нибудь ASIC Antiminer S9 с его 13,5 TH/S — уже лучше, но ненамного — около 10 лет, кроме того выложимся в электроэнергии и стоимости самого ASIC.

Можно использовать китайцев — IQ Mining или HashFlare, 10 TH/s обойдутся Вам примерно в $1200 с условием пожизненной эксплуатации, однако времени это не добавит.

Пойдём другим путём: указанная IDA Pro вместе с декомпилятором x64 в настоящий момент стоит $4508. Сколько времени потребуется для заработка такой суммы с использованием майнинга?

Я воспользовался вот этим калькулятором и получил ответ: в случае покупки мощностей IQ Mining при условии стабильного курса (хаха) я заработаю эту сумму примерно через 9 лет.

Итого


  1. Ребята, не верьте в майнинг.
  2. Ребята, не верьте в брутфорс.
  3. Если нужна новая IDA с поддержкой, преферансом и фаворитками — найдите хорошую работу.
  4. В очередной раз снимаю шляпу перед Hex-Rays. Они рассчитали всё!

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (39):

  1. DaneSoul
    /#19606534 / +1

    Можно использовать китайцев — IQ Mining или HashFlare, 10 TH/s обойдутся Вам примерно в $1200 с условием пожизненной эксплуатации, однако времени это не добавит.
    На HashFlare бессрочные контракты отменили еще 1,5 года назад.
    Как вообще на облачном майнинге подбирать пароли в принципе, учитывая что у Вас нет там доступа к ПО, только панель управления с минимумом настроек?

    • gjf
      /#19606546 / -3

      Зайдите на IQ Mining. Вот прямо сейчас зайдите.
      А на счёт подбора в принципе — а зачем мне это делать в принципе, если уже даже по расчётам бессмысленно?
      Что-то мне говорит, что Вы вообще не поняли, что я хотел сказать в своём сообщении.

      • DaneSoul
        /#19606556 / +2

        Зайдите на IQ Mining. Вот прямо сейчас зайдите.
        Заходил, по нему ваша информация подтверждается, но зачем было указывать HashFlare, у которого совсем другие условия?
        если уже даже по расчётам бессмысленно?
        А какой смысл в расчете того, что не получится никак использовать независимо от результата рассчета?

    • LSDtrip
      /#19606818 / +3

      Биткойн асики в принципе не могут кранчить пароли. Да и все остальные криптовалютные асики тоже. ASIC на то и ASIC, что решает конкретную задачу. А 10 TH/s сейчас баксов 100-200 на барахолке стоят в виде AntMiner S9 или T9.

      • Victor_koly
        /#19606948

        64 раза считать SHA-256. Вы поверите, что кто-то юзает такой алгоритм для хеша паролей, а потом — хранит его в БД в открытом виде?

  2. Inanity
    /#19606580 / +1

    А каким алгоритмом зашифровано? И каким алгоритмом пароль превращается в ключ? Какова длина ключа?

  3. korjavin
    /#19606676 / +2

    Кроме «неверьте в майнинг» какие есть ещё тезисы про майнинг?
    Каким местом это к вашей статье?

    • gjf
      /#19606778

      Итоги подведём.
      1. Оборудование и его эксплуатация для майнинга нерентабельны.
      2. Оборудование и его эксплуатация для практических задач расчёта нерентабельны.

      Можно мне пояснить, какие ещё тезисы Вам необходимы?

      • korjavin
        /#19606830

        И где в заметке тезис номер 1? И как он раскрыт?

        • gjf
          /#19606852

          Я воспользовался вот этим калькулятором и получил ответ: в случае покупки мощностей IQ Mining при условии стабильного курса (хаха) я заработаю эту сумму примерно через 9 лет.

          Или Вас устраивает доход $500 в год с начальной инвестицией $1200 без гарантий стабильности?

          • korjavin
            /#19606888

            А, дак вы на курсах гадаете?

            • gjf
              /#19606894

              Вы хотите поговорить и об этом? )

          • LSDtrip
            /#19606922 / +1

            Это очень даже выгодные условия, только вот этих 1200$ хватит ровно на 1 год, чтобы получить 500 баксов прибыли и оплатить 700 баксов за электроэнергию (если она будет по 5 центов за квт*ч). Так что очевидно, что облачный сервис наберёт этих по 1200 и закроется в скором времени, аргументировав всё убыточностью майнинга.

            • gjf
              /#19606928 / -2

              Вот именно.
              Вы окончательно хороните радужные надежны уважаемого korjavin

            • DaneSoul
              /#19607032

              Там несколько хитрей на самом деле — кроме стоимости контракта дополнительно еще есть стоимость обслуживания, которая будет вычитаться из прогнозируемого дохода.
              И если сложность добычи будет расти быстрей чем стоимость монет, в какой-то момент стоимость обслуживания превысит стоимость добываемых монет и контракт будет закрыт.

              • LSDtrip
                /#19607196

                А какой тогда смысл в облаке? За эти деньги можно с десяток антмайнеров по 14 TH/s взять. Только толку то, при 7 центах за кВт*ч даже при идеальном раскладе уже убыток идёт.

  4. kruslan
    /#19606742 / +1

    Т.е. вы в посте рассказали, что можно сократить несколько миллионов лет до 10, но майнинг = маркетинг?) Ну ок)

    • gjf
      /#19606766 / -1

      В прикладном понимании для меня что миллион лет, что 9 лет — одно и то же, потому что через 9 лет взломанный пароль и дистрибутив безнадёжно устареют. Таким образом, я просто выкину деньги.

      Но безусловно Вы можете пойти и по этому пути и поддержать майнеров и их фермы.

  5. Kroid
    /#19606858 / +4

    Странная какая-то статья. О чем она? Зачем фермами вообще брутфорсить? Зачем вы об этом пишете, если у вас не получилось?


    Я сейчас в фотошопе попробовал нарисовать буквы, чтобы получился код hello world, сохранил файл, попробовал запустить его:
    python hello_world.jpg
    Не получилось. Что же делать тогда? Можно нарисовать дизайн сайта, продать его, на эти деньги нанять фрилансера, который напишет эти три строчки кода за меня, но чё-то долго по времени выйдет. Пора писать статью "не верьте в фотошоп"?

    • EminH
      /#19606870 / +1

      оффтоп: прекрасная идея в духе brainfuck, компилятор понимающий код сохраненный как jpg

    • gjf
      /#19606876 / -1

      Она о бесполезности.
      Примерно как если бы устроить большую пиар-акцию о том, что картинки из фотошопа могут работать как скрипты в питоне. В итоге — поднять до небес стоимость лицензий фотошопа. Сделать формат jpg проприетарным. Брать лицензионные отчисления за каждый файл hello_world.jpg.
      А потом внезапно через несколько лет убедиться, что ни фига это не работает. И остаться с большим количеством картинок hello_world.jpg, в которые вложены деньги — и с которыми теперь непонятно, что вообще делать.

      • korjavin
        /#19606896

        Видно что вас что то сильно заботит.
        Проблема, как вы возможно уже можете заметить, что окружающим не ясно что именно.
        Но желаю вам успеха в вашей миссии. Вдруг именно эта заметка и сделала мир существенно лучше.

      • Kroid
        /#19606914

        А никакой пиар-акции не было. Асики сделаны только для майнинга биткоина и аналогичных криптовалют. Можно их ещё и как отопление в квартире использовать, но это уже никто не обещает, что будет лучше обычного обогреватель.


        А по поводу "лежат бесполезным грузом", ну так майнинг — рискованная деятельность. Погнались за тысячами процентов в год, как у первых майнеров, да ещё гарантий хотите — так не бывает. С таким же успехом можно акции на бирже купить, а потом или резкое падение, или фирма просто банкротится — и что с этими бесполезными бумажками теперь делать?

  6. VBKesha
    /#19606910

    IDA Pro вместе с декомпилятором x64 в настоящий момент стоит $4508
    Если нужна новая IDA с поддержкой, преферансом и фаворитками — найдите хорошую работу.

    Только вот насколько я знаю просто так её не продадут, а ещё будут долго решать достойны вы этого или нет.

    • 9660
      /#19607358

      Только вот насколько я знаю просто так её не продадут, а ещё будут долго решать достойны вы этого или нет.

      А для чего такой странный подход к бизнесу?

      • gjf
        /#19607376

        Не допустить пиратских утечек.

  7. orion76
    /#19606938

    Как я понял, автор писал не конкретно что на видеокартах или майнинг-сервисах пожно брутфорсить пароли, а про то что благодаря майнингу самоорганизовались некие вычислительные сети огромной вычислительной мощности, которым, впринципе, если приспичит и пароль подобрать не проблема.

    • gjf
      /#19606944

      Автор показал в своём сообщении, что все эти вычислительные сети огромной мощности при взломе пароля из 12 символов (без спецсимволов) будут пыхтеть годы, за которые пароль сто раз поменяется или утратит актуальность.

      Так что все эти сети огромной мощности — как правильно написали выше —

      это мусор

      • Demon_i
        /#19607340

        Взял я тут кувалду и железнодорожный костыль. Попытался вытесать ими кольцо золотое. Нихрена не получилось. Говно эти ваша кувалда и костыль.

  8. redpax
    /#19607454

    HashFlare к чему тут? Во первых это не
    китайцы, а эстонцы с русскими в руководстве. Во вторых, у них есть только личный кабинет для майнинга и ничего большие и в третьих у них нет никаких мощностей, а вся их деятельность банальная пирамида была, загнулись они еще в начале прошлого года при обвале курса биткоина и все кто в них вложил потеряли деньги. Зачем вы их вообще тут упоминаете и о чем статья я так и не понял.

  9. Googlist
    /#19607458

    Так єто что у автора получается, что если нанять 1000 асиков на неделю то можно иду крякнуть?

  10. awoland
    /#19607628

    А автора получается то, чего в реальности не существует — асиками нельзя иду крякнуть. Ими можно считать SHA256 хеши для блокчейна.

  11. Sergey6661313
    /#19607810

    Меня больше другое волнует. Можно ли использовать уже просчитанные хеши биткоина в качестве радужных таблиц? Если можно — возможно создатель биткоина с самого начала хотел подобрать какой-то пароль…