Güvenlik araştırmacıları, 11 yıldır bir kripto cüzdanında sıkışıp kalmış olan 3 milyon dolardan fazla değere sahip Bitcoin'i kurtarmak için bir şifre kırdı.
"Kingpin" takma adını kullanan elektrik mühendisi Joe Grand, 2013'ten beri orada tutulan 43,6 BTC'yi içeren şifreli bir dosyaya girmesi için işe alındı. Kripto para, Roboform adlı rastgele bir şifre üreticisinin oluşturduğu şifreyle korunuyordu ancak şifre uzun zamandır kayıptı.
Şifre, kırılması mümkün mertebe zor olacak şekilde tasarlanmış 20 büyük ve küçük harfin yanı sıra rakamların bulunduğu bir diziydi.
Cüzdanın anonim kalmayı tercih eden sahibi, Grand'in yayımladığı videoda "Şifreyi oluşturdum, kopyaladım, cüzdanın parolasına koydum ve daha sonra şifrelediğim bir metin dosyasına koydum" dedi.
Parola, bilgisayarının şifrelenmiş bölümünün bozulmasının ardından kayboldu. O sırada Bitcoin birkaç bin dolar değerindeydi ve cüzdan sahibi bu durumu "acı verici ama sorun değil" diye tanımladı.
Ancak sonraki 10 yılda fiyatının yüzde 20 binden fazla artmasıyla kayıp Bitcoin servete dönüştü ve sahibinin Grand'e ulaşmasına yol açtı.
Başlangıçta işi geri çeviren Grand, ilk şifre oluşturucuyu kırmak için yeni bir yöntem bulduktan sonra sonunda parayı kurtarmayı denemeyi kabul etti.
Grand, parola oluşturucunun kodunu parçalara ayırmak için ABD Ulusal Güvenlik Ajansı'nın (NSA) geliştirdiği bir tersine mühendislik aracı kullandı.
Elektrik mühendisi şöyle konuştu:
Aslında bir parola oluşturucuyla bir parola oluşturduğunuzda, her seferinde başka hiç kimsenin sahip olmadığı benzersiz, rastgele bir çıktı elde etmeyi beklersiniz. [Ancak] RoboForm'un bu versiyonunda durum böyle değildi. RoboForm'un şifreleri rastgele üretilmiş gibi görünse de öyle değil. Bu yazılımın eski sürümlerinde zamanı kontrol edebiliyorsak, şifreyi de kontrol edebiliriz.
Grand, sistemi 2013'te şifrenin üretildiği anda olduklarına dair kandırabilirse, sistemin aynı şifreyi yeniden oluşturacağını fark etti.
Şifrenin ne zaman oluşturulduğuna dair sadece kabaca bir fikre sahip olan Grand, meslektaşı Bruno'yla çalışarak milyonlarca potansiyel şifre üretti ve sonunda şifreyi kırdı.
RoboForm parola üreticisi o zamandan beri aracının rastgeleliğini iyileştirmek için platformunu güncelledi, yani zamana dayalı hackleme yaklaşımı artık 2015'ten sonra oluşturulan parolalarda çalışmıyor.
Grand artık kripto cüzdanlarından mahrum kalan daha fazla kişiye yardım etmeyi umuyor ancak yeni yaklaşımlara ihtiyaç duyulabileceğini söyledi:
Eğer bu proje zamanı hacklemeyi gerektiriyorsa, bundan sonra hangi boyutu hacklememiz gerekecek?
The Independent yorum için RoboForm'a ulaştı ancak henüz yanıt alamadı.
Independent Türkçe
