Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zamazany QR code w programie telewizyjnym – odkodowali go i uzyskali dostęp do portfela Bitcoin
Pouczająca historia żmudnego dekodowania kodu QR zamazanego w programie telewizyjnym.
TL;DR: 1) nie zamazuj, tylko zaczerniaj poufne informacje. 2) jeśli zamazujesz informacje na filmie, sprawdź czy pewne klatki nie powodują 'wycieku’ niektórych zamazanych treści (inaczej – zamazuj, a raczej – zaczerniaj – z dużym marginesem). 3) jeśli zamazana informacja ma znaną strukturę – będzie łatwiej ją odmazać.
Początkowo nagrodę – czyli $1000 miała otrzymać pierwsza osoba, która uzyska dostęp do portfela Bitcoin – a dokładniej klucza prywatnego (podany był pełen QR code – i sprawa była względnie prosta – sprowadzała się w zasadzie do odczytania danych z QR code). Być może była tutaj ukryta wartość edukacyjna (dajesz dostęp do swojego klucza prywatnego – nie masz Bitcoinów).
W każdym razie zgodnie z francuskim prawem, QR kod z kluczem prywatnym został zamazany. No więc klops (okolice 17:41):
Na początku poszło prosto – niewielka (~1/3) część kodu pojawiła się w pewnym momencie na filmie. Ostatnią literę z klucza prywatnego też można było łatwo odczytać:
Pierwszy wiersz QR kodu – też całkiem czytelny:
Niektóre fragmenty samego klucza prywatnego udało się odzyskać względnie standardowymi technikami – czy widzicie tutaj „yU” ?
Kilka takich elementów i dalej pozostała żmudna praca z dopasowywaniem z jednej strony części QR kodu do znanej części klucza prywatnego – ze strony drugiej. W akcję włączone zostały również algorytmy korekcji błędów w QR kodach i finalnie trochę technik bruteforce:
…finalny klucz prywatny zdekodowany ze 100% skutecznością: KyUzsRudpNkLKeV2815KV9EzRf7EG1kPivwnQhZrvZEwhKrbF7CV dający dostęp do $1000.
–ms
>W każdym razie zgodnie z francuskim prawem, QR kod z kluczem prywatnym
został zamazany.
???
!!!
Ale co to za prawo?
Chyba chyba chodzi o hazard.
Czy to oznacza, że francuskie prawo jest takie dziurawe? Nikt wcześniej nie próbował tego odkodowywać? Nikt wcześniej nie wiedział, że pixeloza też jest do pokonania? Ciekawe jak teraz dowód pokazany na niebezpieczniku zniknie z mojego i cudzych zapisanych stron oraz wielogigabajtowych cache’ów. Tam da się odczytać nawet PESEL. Tu można łamać podobnie, bo QR code ma tylko białe i czarne elementy i nie trzeba szukać czcionek.
W tym konkretnym przypadku najlepiej byłoby nie pokazywać nic, albo – jeśli koniecznie musiało być nastrojowe tło – pokazać zupełnie inny, najlepiej wygenerowany specjalnie na tę okazję QR code. Zaczernienie części mogłoby być niewystarczające (korekcja błędów w QR code, były nawet QR code z obrazkiem w środku korzystające z tej właściwości) i nadal pozostaje ryzyko pojawienia się niezabezpieczonych klatek…
Bez sensu, nie dziala