Это даже не статья — это краткое сообщение.
Начнём с того, что я не верю в майнинг. Я верю в маркетинг. И я верю, что майнеры здорово выручили производителей видеокарт.
А ещё я верю в предприимчивость китайцев, которые создали майнинговые фермы, а теперь продают их мощности. Бесполезные мощности.
И я собираюсь доказать это. Речь не пойдёт об алгоритмах и сложных математических задачах. Сегодня в конце концов выходной! Речь пойдёт о вполне прикладной задаче.
На просторах интернета отыскался дистриб IDA Pro 7.2 без пароля — можно ли его взломать?
Давайте посчитаем.
Итак, известно, что к сожалению Hex-Rays не просто проверяет пароль в инсталляторе, а использует полноценное шифрование. Вот как это можно проверить:
innoextract -i --show-password x64_idapronw_hexx64w_181105_de455c480e11ef1ec91473028f4dd175.exe Inspecting «IDA Pro v7.2 and Hex-Rays Decompiler (x64)» — setup data version 5.5.7 (unicode)
Languages:
— default: English
No GOG.com game ID found!
Password hash: SHA-1 f29f55f07c043ad34b3de150501535f44424edad
Password salt: 50617373776f7264436865636b48617368c41639792846e456 (hex bytes, prepended to password)
Password encoding: UTF-16LE
Done.
Этих данных нам вполне достаточно для создания исходных данных для hashcat и брутфорса пароля. Но стоит ли игра свеч?
Время брутфорса можно рассчитать с помощью этого онлайн-калькулятора. Все указание длительности по времени ниже будут на основе именно этих расчётов.
Известно, что в пароле 12 символов, используются латинские заглавные и строчные буквы и цифры (все помним славный qY2jts9hEJGy). Осталось указать скорость перебора пароля.
Ну сразу отметим, что ни одна видеокарта, даже разогнанная, с их десятками MH/s не подойдёт, потому что искать пароль она будет несколько миллионов лет минимум.
Какой-нибудь ASIC Antiminer S9 с его 13,5 TH/S — уже лучше, но ненамного — около 10 лет, кроме того выложимся в электроэнергии и стоимости самого ASIC.
Можно использовать китайцев — IQ Mining или HashFlare, 10 TH/s обойдутся Вам примерно в $1200 с условием пожизненной эксплуатации, однако времени это не добавит.
Пойдём другим путём: указанная IDA Pro вместе с декомпилятором x64 в настоящий момент стоит $4508. Сколько времени потребуется для заработка такой суммы с использованием майнинга?
Я воспользовался вот этим калькулятором и получил ответ: в случае покупки мощностей IQ Mining при условии стабильного курса (хаха) я заработаю эту сумму примерно через 9 лет.
Итого
- Ребята, не верьте в майнинг.
- Ребята, не верьте в брутфорс.
- Если нужна новая IDA с поддержкой, преферансом и фаворитками — найдите хорошую работу.
- В очередной раз снимаю шляпу перед Hex-Rays. Они рассчитали всё!
Комментарии (39)
Inanity
12.01.2019 19:36+1А каким алгоритмом зашифровано? И каким алгоритмом пароль превращается в ключ? Какова длина ключа?
gjf Автор
12.01.2019 19:40+1vlanko
12.01.2019 21:01А в майнинге SHA-2
gjf Автор
12.01.2019 21:04-1Вы считаете, что это существенным образом на порядки изменит цифры продолжительности времени подбора?
vlanko
12.01.2019 21:07На видеокартах SHA-1 быстрее в 3 раза. Но главное — для него нет массовых асиков, и онлайн-сервисов.
gjf Автор
12.01.2019 21:16-1В три раза в этой задаче — ни о чём.
Моя мысль вот в чём. Исходно, когда только пошёл бум на майнинг, было создано много систем, суть которых: высокопроизводительные вычисления.
Потом выяснилось, что майнингом особо это не окупишь. Системы стали «сдаваться в аренду».
Моя простая прикладная задача показала, что они всё равно бесполезны.
Хотя безусловно возможно, что кто-то и придумает им применение.LSDtrip
12.01.2019 21:51+3Все эти асики могут только одно: считать шары в блокчейне. И ни флопсом больше. То есть по сути без блокчейна это мусор.
korjavin
12.01.2019 20:10+2Кроме «неверьте в майнинг» какие есть ещё тезисы про майнинг?
Каким местом это к вашей статье?
gjf Автор
12.01.2019 20:57Итоги подведём.
1. Оборудование и его эксплуатация для майнинга нерентабельны.
2. Оборудование и его эксплуатация для практических задач расчёта нерентабельны.
Можно мне пояснить, какие ещё тезисы Вам необходимы?korjavin
12.01.2019 21:13И где в заметке тезис номер 1? И как он раскрыт?
gjf Автор
12.01.2019 21:22Я воспользовался вот этим калькулятором и получил ответ: в случае покупки мощностей IQ Mining при условии стабильного курса (хаха) я заработаю эту сумму примерно через 9 лет.
Или Вас устраивает доход $500 в год с начальной инвестицией $1200 без гарантий стабильности?LSDtrip
12.01.2019 21:59+1Это очень даже выгодные условия, только вот этих 1200$ хватит ровно на 1 год, чтобы получить 500 баксов прибыли и оплатить 700 баксов за электроэнергию (если она будет по 5 центов за квт*ч). Так что очевидно, что облачный сервис наберёт этих по 1200 и закроется в скором времени, аргументировав всё убыточностью майнинга.
DaneSoul
12.01.2019 22:54Там несколько хитрей на самом деле — кроме стоимости контракта дополнительно еще есть стоимость обслуживания, которая будет вычитаться из прогнозируемого дохода.
И если сложность добычи будет расти быстрей чем стоимость монет, в какой-то момент стоимость обслуживания превысит стоимость добываемых монет и контракт будет закрыт.LSDtrip
13.01.2019 00:07А какой тогда смысл в облаке? За эти деньги можно с десяток антмайнеров по 14 TH/s взять. Только толку то, при 7 центах за кВт*ч даже при идеальном раскладе уже убыток идёт.
kruslan
12.01.2019 20:42+1Т.е. вы в посте рассказали, что можно сократить несколько миллионов лет до 10, но майнинг = маркетинг?) Ну ок)
gjf Автор
12.01.2019 20:54-1В прикладном понимании для меня что миллион лет, что 9 лет — одно и то же, потому что через 9 лет взломанный пароль и дистрибутив безнадёжно устареют. Таким образом, я просто выкину деньги.
Но безусловно Вы можете пойти и по этому пути и поддержать майнеров и их фермы.
Kroid
12.01.2019 21:27+4Странная какая-то статья. О чем она? Зачем фермами вообще брутфорсить? Зачем вы об этом пишете, если у вас не получилось?
Я сейчас в фотошопе попробовал нарисовать буквы, чтобы получился код hello world, сохранил файл, попробовал запустить его:
python hello_world.jpg
Не получилось. Что же делать тогда? Можно нарисовать дизайн сайта, продать его, на эти деньги нанять фрилансера, который напишет эти три строчки кода за меня, но чё-то долго по времени выйдет. Пора писать статью "не верьте в фотошоп"?EminH
12.01.2019 21:34+1оффтоп: прекрасная идея в духе brainfuck, компилятор понимающий код сохраненный как jpg
gjf Автор
12.01.2019 21:35-1Она о бесполезности.
Примерно как если бы устроить большую пиар-акцию о том, что картинки из фотошопа могут работать как скрипты в питоне. В итоге — поднять до небес стоимость лицензий фотошопа. Сделать формат jpg проприетарным. Брать лицензионные отчисления за каждый файл hello_world.jpg.
А потом внезапно через несколько лет убедиться, что ни фига это не работает. И остаться с большим количеством картинок hello_world.jpg, в которые вложены деньги — и с которыми теперь непонятно, что вообще делать.korjavin
12.01.2019 21:49Видно что вас что то сильно заботит.
Проблема, как вы возможно уже можете заметить, что окружающим не ясно что именно.
Но желаю вам успеха в вашей миссии. Вдруг именно эта заметка и сделала мир существенно лучше.
Kroid
12.01.2019 21:54А никакой пиар-акции не было. Асики сделаны только для майнинга биткоина и аналогичных криптовалют. Можно их ещё и как отопление в квартире использовать, но это уже никто не обещает, что будет лучше обычного обогреватель.
А по поводу "лежат бесполезным грузом", ну так майнинг — рискованная деятельность. Погнались за тысячами процентов в год, как у первых майнеров, да ещё гарантий хотите — так не бывает. С таким же успехом можно акции на бирже купить, а потом или резкое падение, или фирма просто банкротится — и что с этими бесполезными бумажками теперь делать?
VBKesha
12.01.2019 21:53IDA Pro вместе с декомпилятором x64 в настоящий момент стоит $4508
Если нужна новая IDA с поддержкой, преферансом и фаворитками — найдите хорошую работу.
Только вот насколько я знаю просто так её не продадут, а ещё будут долго решать достойны вы этого или нет.
orion76
12.01.2019 22:09Как я понял, автор писал не конкретно что на видеокартах или майнинг-сервисах пожно брутфорсить пароли, а про то что благодаря майнингу самоорганизовались некие вычислительные сети огромной вычислительной мощности, которым, впринципе, если приспичит и пароль подобрать не проблема.
gjf Автор
12.01.2019 22:12Автор показал в своём сообщении, что все эти вычислительные сети огромной мощности при взломе пароля из 12 символов (без спецсимволов) будут пыхтеть годы, за которые пароль сто раз поменяется или утратит актуальность.
Так что все эти сети огромной мощности — как правильно написали выше —это мусор
Demon_i
13.01.2019 01:49Взял я тут кувалду и железнодорожный костыль. Попытался вытесать ими кольцо золотое. Нихрена не получилось. Говно эти ваша кувалда и костыль.
redpax
13.01.2019 06:15HashFlare к чему тут? Во первых это не
китайцы, а эстонцы с русскими в руководстве. Во вторых, у них есть только личный кабинет для майнинга и ничего большие и в третьих у них нет никаких мощностей, а вся их деятельность банальная пирамида была, загнулись они еще в начале прошлого года при обвале курса биткоина и все кто в них вложил потеряли деньги. Зачем вы их вообще тут упоминаете и о чем статья я так и не понял.
Googlist
13.01.2019 06:27Так єто что у автора получается, что если нанять 1000 асиков на неделю то можно иду крякнуть?
awoland
13.01.2019 10:15А автора получается то, чего в реальности не существует — асиками нельзя иду крякнуть. Ими можно считать SHA256 хеши для блокчейна.
Sergey6661313
13.01.2019 11:34Меня больше другое волнует. Можно ли использовать уже просчитанные хеши биткоина в качестве радужных таблиц? Если можно — возможно создатель биткоина с самого начала хотел подобрать какой-то пароль…
DaneSoul
Как вообще на облачном майнинге подбирать пароли в принципе, учитывая что у Вас нет там доступа к ПО, только панель управления с минимумом настроек?
gjf Автор
Зайдите на IQ Mining. Вот прямо сейчас зайдите.
А на счёт подбора в принципе — а зачем мне это делать в принципе, если уже даже по расчётам бессмысленно?
Что-то мне говорит, что Вы вообще не поняли, что я хотел сказать в своём сообщении.
DaneSoul
А какой смысл в расчете того, что не получится никак использовать независимо от результата рассчета?
LSDtrip
Биткойн асики в принципе не могут кранчить пароли. Да и все остальные криптовалютные асики тоже. ASIC на то и ASIC, что решает конкретную задачу. А 10 TH/s сейчас баксов 100-200 на барахолке стоят в виде AntMiner S9 или T9.
Victor_koly
64 раза считать SHA-256. Вы поверите, что кто-то юзает такой алгоритм для хеша паролей, а потом — хранит его в БД в открытом виде?