12.01.2019 16:03
gjf 39 5700 Источник

Это даже не статья — это краткое сообщение.

Начнём с того, что я не верю в майнинг. Я верю в маркетинг. И я верю, что майнеры здорово выручили производителей видеокарт.

А ещё я верю в предприимчивость китайцев, которые создали майнинговые фермы, а теперь продают их мощности. Бесполезные мощности.

И я собираюсь доказать это. Речь не пойдёт об алгоритмах и сложных математических задачах. Сегодня в конце концов выходной! Речь пойдёт о вполне прикладной задаче.

На просторах интернета отыскался дистриб IDA Pro 7.2 без пароля — можно ли его взломать?

Давайте посчитаем.

Итак, известно, что к сожалению Hex-Rays не просто проверяет пароль в инсталляторе, а использует полноценное шифрование. Вот как это можно проверить:

innoextract -i --show-password x64_idapronw_hexx64w_181105_de455c480e11ef1ec91473028f4dd175.exe
Inspecting «IDA Pro v7.2 and Hex-Rays Decompiler (x64)» — setup data version 5.5.7 (unicode)

Languages:
— default: English

No GOG.com game ID found!

Password hash: SHA-1 f29f55f07c043ad34b3de150501535f44424edad
Password salt: 50617373776f7264436865636b48617368c41639792846e456 (hex bytes, prepended to password)
Password encoding: UTF-16LE

Done.

Этих данных нам вполне достаточно для создания исходных данных для hashcat и брутфорса пароля. Но стоит ли игра свеч?

Время брутфорса можно рассчитать с помощью этого онлайн-калькулятора. Все указание длительности по времени ниже будут на основе именно этих расчётов.

Известно, что в пароле 12 символов, используются латинские заглавные и строчные буквы и цифры (все помним славный qY2jts9hEJGy). Осталось указать скорость перебора пароля.

Ну сразу отметим, что ни одна видеокарта, даже разогнанная, с их десятками MH/s не подойдёт, потому что искать пароль она будет несколько миллионов лет минимум.

Какой-нибудь ASIC Antiminer S9 с его 13,5 TH/S — уже лучше, но ненамного — около 10 лет, кроме того выложимся в электроэнергии и стоимости самого ASIC.

Можно использовать китайцев — IQ Mining или HashFlare, 10 TH/s обойдутся Вам примерно в $1200 с условием пожизненной эксплуатации, однако времени это не добавит.

Пойдём другим путём: указанная IDA Pro вместе с декомпилятором x64 в настоящий момент стоит $4508. Сколько времени потребуется для заработка такой суммы с использованием майнинга?

Я воспользовался вот этим калькулятором и получил ответ: в случае покупки мощностей IQ Mining при условии стабильного курса (хаха) я заработаю эту сумму примерно через 9 лет.

Итого


  1. Ребята, не верьте в майнинг.
  2. Ребята, не верьте в брутфорс.
  3. Если нужна новая IDA с поддержкой, преферансом и фаворитками — найдите хорошую работу.
  4. В очередной раз снимаю шляпу перед Hex-Rays. Они рассчитали всё!

Комментарии (39)


  1. DaneSoul
    12.01.2019 19:12
    #19606534
    +1

    Можно использовать китайцев — IQ Mining или HashFlare, 10 TH/s обойдутся Вам примерно в $1200 с условием пожизненной эксплуатации, однако времени это не добавит.
    На HashFlare бессрочные контракты отменили еще 1,5 года назад.
    Как вообще на облачном майнинге подбирать пароли в принципе, учитывая что у Вас нет там доступа к ПО, только панель управления с минимумом настроек?


    1. gjf Автор
      12.01.2019 19:15
      #19606546
      -3

      Зайдите на IQ Mining. Вот прямо сейчас зайдите.
      А на счёт подбора в принципе — а зачем мне это делать в принципе, если уже даже по расчётам бессмысленно?
      Что-то мне говорит, что Вы вообще не поняли, что я хотел сказать в своём сообщении.


      1. DaneSoul
        12.01.2019 19:22
        #19606556
        +2

        Зайдите на IQ Mining. Вот прямо сейчас зайдите.
        Заходил, по нему ваша информация подтверждается, но зачем было указывать HashFlare, у которого совсем другие условия?
        если уже даже по расчётам бессмысленно?
        А какой смысл в расчете того, что не получится никак использовать независимо от результата рассчета?


    1. LSDtrip
      12.01.2019 21:09
      #19606818
      +3

      Биткойн асики в принципе не могут кранчить пароли. Да и все остальные криптовалютные асики тоже. ASIC на то и ASIC, что решает конкретную задачу. А 10 TH/s сейчас баксов 100-200 на барахолке стоят в виде AntMiner S9 или T9.


      1. Victor_koly
        12.01.2019 22:13
        #19606948

        64 раза считать SHA-256. Вы поверите, что кто-то юзает такой алгоритм для хеша паролей, а потом — хранит его в БД в открытом виде?


  1. Inanity
    12.01.2019 19:36
    #19606580
    +1

    А каким алгоритмом зашифровано? И каким алгоритмом пароль превращается в ключ? Какова длина ключа?


    1. gjf Автор
      12.01.2019 19:40
      #19606590
      +1

      If set to yes, files that are compiled into the installation (via [Files] section entries) will be encrypted using ARCFOUR encryption, with a 160-bit key derived from the value of the Password [Setup] section directive.

      The key used for encryption is a 160-bit SHA-1 hash of 64-bit random salt plus the value of Password.


      1. vlanko
        12.01.2019 21:01
        #19606788

        А в майнинге SHA-2


        1. gjf Автор
          12.01.2019 21:04
          #19606804
          -1

          Вы считаете, что это существенным образом на порядки изменит цифры продолжительности времени подбора?


          1. vlanko
            12.01.2019 21:07
            #19606812

            На видеокартах SHA-1 быстрее в 3 раза. Но главное — для него нет массовых асиков, и онлайн-сервисов.


            1. gjf Автор
              12.01.2019 21:16
              #19606840
              -1

              В три раза в этой задаче — ни о чём.
              Моя мысль вот в чём. Исходно, когда только пошёл бум на майнинг, было создано много систем, суть которых: высокопроизводительные вычисления.
              Потом выяснилось, что майнингом особо это не окупишь. Системы стали «сдаваться в аренду».
              Моя простая прикладная задача показала, что они всё равно бесполезны.

              Хотя безусловно возможно, что кто-то и придумает им применение.


              1. LSDtrip
                12.01.2019 21:51
                #19606898
                +3

                Все эти асики могут только одно: считать шары в блокчейне. И ни флопсом больше. То есть по сути без блокчейна это мусор.


  1. korjavin
    12.01.2019 20:10
    #19606676
    +2

    Кроме «неверьте в майнинг» какие есть ещё тезисы про майнинг?
    Каким местом это к вашей статье?


    1. gjf Автор
      12.01.2019 20:57
      #19606778

      Итоги подведём.
      1. Оборудование и его эксплуатация для майнинга нерентабельны.
      2. Оборудование и его эксплуатация для практических задач расчёта нерентабельны.

      Можно мне пояснить, какие ещё тезисы Вам необходимы?


      1. korjavin
        12.01.2019 21:13
        #19606830

        И где в заметке тезис номер 1? И как он раскрыт?


        1. gjf Автор
          12.01.2019 21:22
          #19606852

          Я воспользовался вот этим калькулятором и получил ответ: в случае покупки мощностей IQ Mining при условии стабильного курса (хаха) я заработаю эту сумму примерно через 9 лет.

          Или Вас устраивает доход $500 в год с начальной инвестицией $1200 без гарантий стабильности?


          1. korjavin
            12.01.2019 21:44
            #19606888

            А, дак вы на курсах гадаете?


            1. gjf Автор
              12.01.2019 21:48
              #19606894

              Вы хотите поговорить и об этом? )


          1. LSDtrip
            12.01.2019 21:59
            #19606922
            +1

            Это очень даже выгодные условия, только вот этих 1200$ хватит ровно на 1 год, чтобы получить 500 баксов прибыли и оплатить 700 баксов за электроэнергию (если она будет по 5 центов за квт*ч). Так что очевидно, что облачный сервис наберёт этих по 1200 и закроется в скором времени, аргументировав всё убыточностью майнинга.


            1. gjf Автор
              12.01.2019 22:01
              #19606928
              -2

              Вот именно.
              Вы окончательно хороните радужные надежны уважаемого korjavin


            1. DaneSoul
              12.01.2019 22:54
              #19607032

              Там несколько хитрей на самом деле — кроме стоимости контракта дополнительно еще есть стоимость обслуживания, которая будет вычитаться из прогнозируемого дохода.
              И если сложность добычи будет расти быстрей чем стоимость монет, в какой-то момент стоимость обслуживания превысит стоимость добываемых монет и контракт будет закрыт.


              1. LSDtrip
                13.01.2019 00:07
                #19607196

                А какой тогда смысл в облаке? За эти деньги можно с десяток антмайнеров по 14 TH/s взять. Только толку то, при 7 центах за кВт*ч даже при идеальном раскладе уже убыток идёт.


  1. kruslan
    12.01.2019 20:42
    #19606742
    +1

    Т.е. вы в посте рассказали, что можно сократить несколько миллионов лет до 10, но майнинг = маркетинг?) Ну ок)


    1. gjf Автор
      12.01.2019 20:54
      #19606766
      -1

      В прикладном понимании для меня что миллион лет, что 9 лет — одно и то же, потому что через 9 лет взломанный пароль и дистрибутив безнадёжно устареют. Таким образом, я просто выкину деньги.

      Но безусловно Вы можете пойти и по этому пути и поддержать майнеров и их фермы.


  1. Kroid
    12.01.2019 21:27
    #19606858
    +4

    Странная какая-то статья. О чем она? Зачем фермами вообще брутфорсить? Зачем вы об этом пишете, если у вас не получилось?


    Я сейчас в фотошопе попробовал нарисовать буквы, чтобы получился код hello world, сохранил файл, попробовал запустить его:
    python hello_world.jpg
    Не получилось. Что же делать тогда? Можно нарисовать дизайн сайта, продать его, на эти деньги нанять фрилансера, который напишет эти три строчки кода за меня, но чё-то долго по времени выйдет. Пора писать статью "не верьте в фотошоп"?


    1. EminH
      12.01.2019 21:34
      #19606870
      +1

      оффтоп: прекрасная идея в духе brainfuck, компилятор понимающий код сохраненный как jpg


    1. gjf Автор
      12.01.2019 21:35
      #19606876
      -1

      Она о бесполезности.
      Примерно как если бы устроить большую пиар-акцию о том, что картинки из фотошопа могут работать как скрипты в питоне. В итоге — поднять до небес стоимость лицензий фотошопа. Сделать формат jpg проприетарным. Брать лицензионные отчисления за каждый файл hello_world.jpg.
      А потом внезапно через несколько лет убедиться, что ни фига это не работает. И остаться с большим количеством картинок hello_world.jpg, в которые вложены деньги — и с которыми теперь непонятно, что вообще делать.


      1. korjavin
        12.01.2019 21:49
        #19606896

        Видно что вас что то сильно заботит.
        Проблема, как вы возможно уже можете заметить, что окружающим не ясно что именно.
        Но желаю вам успеха в вашей миссии. Вдруг именно эта заметка и сделала мир существенно лучше.


      1. Kroid
        12.01.2019 21:54
        #19606914

        А никакой пиар-акции не было. Асики сделаны только для майнинга биткоина и аналогичных криптовалют. Можно их ещё и как отопление в квартире использовать, но это уже никто не обещает, что будет лучше обычного обогреватель.


        А по поводу "лежат бесполезным грузом", ну так майнинг — рискованная деятельность. Погнались за тысячами процентов в год, как у первых майнеров, да ещё гарантий хотите — так не бывает. С таким же успехом можно акции на бирже купить, а потом или резкое падение, или фирма просто банкротится — и что с этими бесполезными бумажками теперь делать?


  1. VBKesha
    12.01.2019 21:53
    #19606910

    IDA Pro вместе с декомпилятором x64 в настоящий момент стоит $4508
    Если нужна новая IDA с поддержкой, преферансом и фаворитками — найдите хорошую работу.

    Только вот насколько я знаю просто так её не продадут, а ещё будут долго решать достойны вы этого или нет.


    1. 9660
      13.01.2019 02:10
      #19607358

      Только вот насколько я знаю просто так её не продадут, а ещё будут долго решать достойны вы этого или нет.

      А для чего такой странный подход к бизнесу?


      1. gjf Автор
        13.01.2019 02:26
        #19607376

        Не допустить пиратских утечек.


  1. orion76
    12.01.2019 22:09
    #19606938

    Как я понял, автор писал не конкретно что на видеокартах или майнинг-сервисах пожно брутфорсить пароли, а про то что благодаря майнингу самоорганизовались некие вычислительные сети огромной вычислительной мощности, которым, впринципе, если приспичит и пароль подобрать не проблема.


    1. gjf Автор
      12.01.2019 22:12
      #19606944

      Автор показал в своём сообщении, что все эти вычислительные сети огромной мощности при взломе пароля из 12 символов (без спецсимволов) будут пыхтеть годы, за которые пароль сто раз поменяется или утратит актуальность.

      Так что все эти сети огромной мощности — как правильно написали выше —

      это мусор


      1. Demon_i
        13.01.2019 01:49
        #19607340

        Взял я тут кувалду и железнодорожный костыль. Попытался вытесать ими кольцо золотое. Нихрена не получилось. Говно эти ваша кувалда и костыль.


  1. redpax
    13.01.2019 06:15
    #19607454

    HashFlare к чему тут? Во первых это не
    китайцы, а эстонцы с русскими в руководстве. Во вторых, у них есть только личный кабинет для майнинга и ничего большие и в третьих у них нет никаких мощностей, а вся их деятельность банальная пирамида была, загнулись они еще в начале прошлого года при обвале курса биткоина и все кто в них вложил потеряли деньги. Зачем вы их вообще тут упоминаете и о чем статья я так и не понял.


  1. Googlist
    13.01.2019 06:27
    #19607458

    Так єто что у автора получается, что если нанять 1000 асиков на неделю то можно иду крякнуть?


  1. awoland
    13.01.2019 10:15
    #19607628

    А автора получается то, чего в реальности не существует — асиками нельзя иду крякнуть. Ими можно считать SHA256 хеши для блокчейна.


  1. Sergey6661313
    13.01.2019 11:34
    #19607810

    Меня больше другое волнует. Можно ли использовать уже просчитанные хеши биткоина в качестве радужных таблиц? Если можно — возможно создатель биткоина с самого начала хотел подобрать какой-то пароль…