Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Zamazany QR code w programie telewizyjnym – odkodowali go i uzyskali dostęp do portfela Bitcoin

28 października 2017, 22:50 | Aktualności | komentarzy 6

Pouczająca historia żmudnego dekodowania kodu QR zamazanego w programie telewizyjnym.

TL;DR: 1) nie zamazuj, tylko zaczerniaj poufne informacje. 2) jeśli zamazujesz informacje na filmie, sprawdź czy pewne klatki nie powodują 'wycieku’ niektórych zamazanych treści (inaczej – zamazuj, a raczej – zaczerniaj –  z dużym marginesem). 3) jeśli zamazana informacja ma znaną strukturę – będzie łatwiej ją odmazać.

Początkowo nagrodę – czyli $1000 miała otrzymać pierwsza osoba, która uzyska dostęp do portfela Bitcoin – a dokładniej klucza prywatnego (podany był pełen QR code – i sprawa była względnie prosta – sprowadzała się w zasadzie do odczytania danych z QR code). Być może była tutaj ukryta wartość edukacyjna (dajesz dostęp do swojego klucza prywatnego – nie masz Bitcoinów).

W każdym razie zgodnie z francuskim prawem, QR kod z kluczem prywatnym został zamazany. No więc klops (okolice 17:41):

QR kod

Na początku poszło prosto – niewielka (~1/3) część kodu pojawiła się w pewnym momencie na filmie. Ostatnią literę z klucza prywatnego też można było łatwo odczytać:

V

Pierwszy wiersz QR kodu – też całkiem czytelny:

QR – wiersz

Niektóre fragmenty samego klucza prywatnego udało się odzyskać względnie standardowymi technikami – czy widzicie tutaj „yU” ?

yU

Kilka takich elementów i dalej pozostała żmudna praca z dopasowywaniem z jednej strony części QR kodu do znanej części klucza prywatnego – ze strony drugiej. W akcję włączone zostały również algorytmy korekcji błędów w QR kodach i finalnie trochę technik bruteforce:

QR kod – bit po bicie…

…finalny klucz prywatny zdekodowany ze 100% skutecznością: KyUzsRudpNkLKeV2815KV9EzRf7EG1kPivwnQhZrvZEwhKrbF7CV dający dostęp do $1000.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. jhvaghuv

    >W każdym razie zgodnie z francuskim prawem, QR kod z kluczem prywatnym
    został zamazany.

    ???

    Odpowiedz
    • !!!

      Odpowiedz
      • jhvaghuv

        Ale co to za prawo?

        Chyba chyba chodzi o hazard.

        Odpowiedz
      • Jednym słowem

        Czy to oznacza, że francuskie prawo jest takie dziurawe? Nikt wcześniej nie próbował tego odkodowywać? Nikt wcześniej nie wiedział, że pixeloza też jest do pokonania? Ciekawe jak teraz dowód pokazany na niebezpieczniku zniknie z mojego i cudzych zapisanych stron oraz wielogigabajtowych cache’ów. Tam da się odczytać nawet PESEL. Tu można łamać podobnie, bo QR code ma tylko białe i czarne elementy i nie trzeba szukać czcionek.

        Odpowiedz
  2. W tym konkretnym przypadku najlepiej byłoby nie pokazywać nic, albo – jeśli koniecznie musiało być nastrojowe tło – pokazać zupełnie inny, najlepiej wygenerowany specjalnie na tę okazję QR code. Zaczernienie części mogłoby być niewystarczające (korekcja błędów w QR code, były nawet QR code z obrazkiem w środku korzystające z tej właściwości) i nadal pozostaje ryzyko pojawienia się niezabezpieczonych klatek…

    Odpowiedz
  3. Janusz

    Bez sensu, nie dziala

    Odpowiedz

Odpowiedz