Topic: Large Bitcoin Collider (Collision Finder Pool) - Deutscher Thread - page 7. (Read 51045 times)

Unter UEFI auf meinem Notebook war das Update kein Problem. Ist nur umständlich: Nach dem Start innerhalb von 5 sec. Escape drücken, dann F9 und im Auswahlmenue, Ubuntu wählen, Grub meldet sich und nochmal Enter...puhh jetzt ein Bier!
Mein PC läuft im Legacy Modus und hier habe ich EasyBCD installiert, um zwischen den Systemen auszuwählen. Nach dem Update bekam ich Windows und EasyBCD zwar wieder zum laufen, aber Grub war weg 

Ja, Win10 übertüncht manchmal gerne den MBR bzw. ändert Boot-Reihenfolge etc.

Ich verwende den rEFInd Boot Manager und muss sagen, den lässt es ziemlich in Ruhe.
Das Ding zu konfigurieren war ein Graus, aber seitdem es läuft ist es herrlich. Alles wie auf einem Silbertablett.

Um dieses "war ein Graus" näher zu spezifizieren:

Ich habe wohl 2 Tage damit verbracht, die meiste Zeit fluchend "verdammte Sch*, ich will doch nur dieses verf* OS booten!"
Dann lernt man erst, was in einem (EFI kompatiblen) Computer abgeht, bevor ein OS überhaupt erst geladen wird.

Gut zu wissen! Nur kann ich zur Zeit mein Win10 nicht updaten, da hinterher das geliebte und für GPU benötigte Ubuntu nicht mehr läuft 

 

 

Coinpiet hat das mal ausprobiert und mich mit Screenshots versorgt.

CPU Generator tut unter Win10. Geschwindigkeit ist annehmbar.

GPU Generator haben wir noch nicht hinbekommen, aber sieht so aus, als wäre die VMware Appliance mit dem Creators Dingenskirchen nicht mehr notwendig.

Ich glaube, ich habe gefunden was das soll...

http://cryptograffiti.info/

Was es nicht alles gibt...

Rico

Mir würden schon ein paar Szenarien einfallen. Ein Szenario wäre so etwas wie die bekannte Puzzle-Transaktion (nur auf anderer Ebene) - wo jemand beobachtet, ob die Beträge bewegt werden.
Ein Anderes Szenario wäre eine Art Informationsaustausch oder eine öffentliche Bestätigung, bei dem die genutzte hash160-Adresse Teil der Information ist.
Auch denkbar: Handlungen  von DAUs bei der Einrichtung irgendwelcher Wallets, beim Erzeugen von paper-Wallets (12345 als Key eingegeben oder so) oder bei Überweisungen an falsche Adressen.

In allen Fällen halte ich es für unwahrscheinlich, dass die privat-Keys bekannt sind.

Das mit dem BTC Betrag habe ich mir natürlich auch schon überlegt, aber das ist ja nur eine Dimension des Ganzen.
Die Anzahl dieser seltsamen hash160 Adressen ist die andere - und das sind schon eine Menge.

Ich kann mir darauf keinen Reim machen - werfen da hunderttausende von Leuten BTC Kleinbeträge weg?


Rico

Naja, der, der die BTC da drauf gelegt hat muss ja nicht zwangsläufig nen Priv-Key dazu haben. Sind ja nur kleine Beträge (wie du schreibst). Nen Priv-Key müsste man eher erst bei grösseren Beträgen annehmen.
Dann ist noch die Frage wann die BTC da drauf gewandert sind um zu sagen das ist ein "kleiner" oder "grosser" Betrag (guck ich jetzt nicht erst).
Ausserdem kann man ja auch schön BTC für immer versenken wenn man sich BTC-Adressen ausdenkt. Und wenn man sich schon welche ausdenkt, warum dann nicht solche. Nur so gedanken...

Edit:
Interessant ist das schon.. Was bezwecken solche Transaktionen....?  diese z.B.:
https://blockchain.info/address/111Gk2Yg6B7xbZ1UALbqJwEvBdTMwBjR

Da sind mehrere solche "komische" Adressen drin (ich hab zwei gesehen). Eine ist die "00000100000078000000015061696e742e4e4554"
Warum so viele kleine Transaktionen und dann nicht alle auf solche markanten Adressen, sondern nur ein par...?


Könnte es sein das da jemand einfach kleine BTC-Beträge für immer versenken wollte (warum auch immer), und hat zur Generierung der Adressen nen "schlechten Zufallsgenerator" benutzt? Hier wäre das ja plausibel, wenn man eben nicht die Keys sondern die Adressen zufällig generiert.

Ich habe mir mal eine sortierte Liste aller hash160 ausgeben lassen, die wir in unserem Bloom-Filter haben. Dabei ist mir eine ganze Reihe von ziemlich seltsamen hash160s aufgefallen. Beispiele:


Ich wüsste nur zu gerne was es damit auf sich hat. Selbst ein "schlechter Zufallsgenerator" hat auf das Aussehen von hash160 erst einmal keinen Einfluss. Wie man oben sehen kann gibt es einige die nicht nur eine "niedrige Entropie" haben, sondern auch regelrechte Geschwister sind. Alle haben (kleine) BTC Beträge drauf.

Was im Hinblick auf eine Kollision schon eine hochinteressante Beobachtung ist - wie ich finde.

Außer man hat explizit Adressen wie 1BitcoinEaterxxxx o.ä. wüsste ich nicht wie man hash160 "designen" könnte und trotzdem noch einen Privatschlüssel hätte. Oder ist mir hier etwas entgangen?


Rico

GPU geht zur Zeit nur unter richtigem Linux. Wenn Du das möchtest, kommst Du um ein Windows / Linux Dualbootsystem  nicht herum!
So schwer ist das aber nicht einzurichten. Mußt mal bei Youtube schauen, dort gibt es Video Anleitungen für UEFI oder normale BIOS installationen

So hallo mal wieder

Ich habe gesehen das #52 gefunden wurde.

Wie kann man sehen wie lange es ca. dauert bis man #53 findet ?

Und hättet ihr einen Vorschlag wie ich dann wenn ich unter den top 30 bin GPU zuschalten kann ich habe ja leider nur VmWare ??

Piet

Glückwunsch! Dann will ich mal die trophies und die stats page (#53) updaten.

Bin schon wieder ein wenig zappelig geworden, wir hatten ja "nur" noch ca. 230 billionen Schlüssel zum Suchen. Das ist ja fast nix. 

Rico

So, ich habe dann #52 gefunden.
 

Details im engl. Teil.

Gruß Carsten.

Nach den Kommentaren im Thread ist das Ganze aber noch nicht wirklich ausgereift und langsam, wüsste nicht ob man den LBC darunter mit GPU Support zum Laufen bekommt.
Ich selbst habe beim Updateversuch mein Win10/Ubuntu Dualboot zerschossen  Konnte anschließend zwar prima Windows booten, aber Grub war weg...
Acronis True Image sei Dank, konnte ich aber alles wiederherstellen und belasse es erstmal dabei. 

Ich würde das mit dem Linux Subsystem unter WIndows gerne selbst probieren, muss mich aber hierfür als totaler Windows-DAU outen.

Was ich weiß/glaube zu wissen:

Für Windows 10 gibt es aktuell ein sog. "Creators Update" und das beinhaltet wohl auch die Möglichkeit ein "Linux Subsystem" zu installieren.
Das ist wohl auf Basis von Ubuntu(?) und wird auch nicht automatisch installiert, sondern man muss irgendwo klickibunti und dann erst...?

=> Bitte um Kurzanweisung, wie ich also unter meinem Windows 10 zu einer bash komme, von da aus sehe ich schon mal weiter


Was ich nicht weiß:

Wie die Linux-Integration unter Windows realisiert ist - VM, Paravirtualisierung, API Emulation, ... ?
Das will ich nach o.g. Anleitung und Experiment herausfinden.

Ob eine GPU unter dieser Linux Umgebung unter Windows funktioniert weiß ich nicht, wage es aber erst einmal zu bezweifeln, bzw. würde die Hoffnungen erstmal nicht zu hoch ansetzen. Im "schlimmsten Fall", könnte man sich die LBC Appliance und den Download von VMplayer und 1.6GB Arch Geknödel für den CPU client sparen - das wäre immerhin etwas.


Rico

Wie kann ich dann mit GPU arbeiten wenn es mit VMware net geht ?

Ist dafür net das Windows Update gut mit dem Subsystem oder funzt das auch noch net so ganz ?

Egal! um Himmels Willen nicht sorry sein. Das war gut und richtig so. Und ehrlich gesagt - heute sieht der Tag auch anders aus als gestern - auch der Shitstorm ist gut so. Wird man wenigstens sensibilisiert, dass die ganze Geschichte nicht mehr ein "halabala machen wir mal Software" ist.

Ok - so lapidar habe ich das bislang eh nicht gesehen, aber an einige Sachen habe ich weniger Gedanken "verschwendet". Security ist mir zwar wichtig - aber bislang war halt Speed wichtiger. Ok, sehe ich mir momentan wieder mehr Security an.

Habe heute als Erste Maßnahme eine dicke fette Warnung auf die Download-Seite gepappt, bin mal gespannt ob nun der Formulierungs-Krieg beginnt   ... naja.


Danke, weiß ich wenigstens, dass ich nicht unter Halluzinationen leide bzw. mir die Sache aus den Fingern sauge.


Unknownhostname - ich kenne den Kerl nicht, er kennt mich nicht - hat mir den SSH key für seine Server geschickt (inkl. Rootzugang) mit den Worten "mach mal" (installieren, testen). Bis ich abgewunken habe und meinte er soll das selbst machen ich habe besseres zu tun.  

__KULME__ - ich kenne den kerl nicht, er kennt mich nicht, Schickt mir mal eben 30 privkeys für die Bounties (>300$) weil "er die nächsten Tage zu tun hat und ich soll das beaufsichtigen".

Leute sind der irrigen Auffassung, ihre ach-so-wertvollen Clients wären für mich von Interesse. Es ist genau andersherum: Für mich ist von Interesse, dass die Clients problemlos funktionieren und keinen Mist auf dem Server veranstalten.




Rico

 

 

 

hmm, welcher passt da am besten

sorry dass ich da so was ausgelöst habe habe, kann bestätigen dass ich da rico mal gefordert habe weil ich auch sehen wollte wie das alles funktioniert.. wie ja wohl auch andere

So. Rootkit Shitstorm Kurzfassung: fronti ist schuld. Ende der Kurzfassung.

 

War nur Spaß - wenn es irgendwo Verantwortung gibt, dann trage ich die natürlich, aber so als Hintergrundinfo nur hier, weil ich mich jetzt lange genug in englischen Mails gebadet habe:

Irgendwann um den 19/20. Oktober 2016 herum hat fronti ein paar Penetrationstests mit dem LBC durchgeführt. Das auch vorher angekündigt, sogar nach einem development Server gefragt um den Produktivserver nicht zu zerschiessen, aber mutig wie ich bin, habe ich ihn auf dem Produktionsserver machen lassen und die Sache beobachtet.

Die PMs aus der Zeit habe ich noch, Fronti vielleicht auch.

Er ging von dem was ich auf dem Server sehen konnte recht strukturiert vor, hat den perl code analysiert, die quine entdeckt (eine Art checksum der Quelltextes) und hat eben versucht dem Server ungültige Blöcke als gültige unterzuschieben. So in etwa.

Gut, die clients von ihm sind damals in der Blacklist (IPs, Ids) gelandet, aber das konnte man ja mit Tor umgehen etc. etc.

Jedenfalls konnte LBC damals die Angriffe abwehren, aber es war klar, dass es eigentlich nur eine Frage des Aufwands (und somit der Zeit) war, bis jemand - egal welche Barrieren ihm der Client in den Weg stellte - diese prinzipiell umgehen konnte.

Es ist ähnlich wie mit dem Kopierschutz: Jede standalone Software kann prinzipiell geknackt werden. Also habe ich noch eine 3. Verteidigungslinie eingebaut: quine-check vom Server durchgeführt. Das macht man in Perl mit einem eval und das ist prinzipiell eine remote-code-execution. Da gibt es auch nichts was man auf dem client hacken könnte, denn der Code ist ja nicht da. Da flippen nun einige (muss man auch nüchtern sehen, dass es da nur einige Alarmisten gibt) aus.

Der Client kann sich vollständig selbst auto-updaten (= den kompletten Code auswechseln mit meinetwegen 100 "evals")

=> stört keinen 

Hat mich gestört, also habe ich ohne Diskussion, ohne Druck ein "no_update" für die Paranoiden eingebaut.

Suma sumarum:

Ganz klar, wer Bedenken hat, soll die Software nicht einsetzen. Ansonsten Container, VM (siehe hier: https://lbc.cryptoguru.org/man/admin#security) oder dedizierte Hardware. Wer trotzdem Bedenken hat: siehe vor-vorherigen Satz.
Gerade LBC benötigt eben zu seiner Funktion keine Wallet oder Blockchain oder sonstige BTC (oder jedwede andere Coin) Infrastruktur auf der Maschine...

---

Im Laufe der Diskussion sind dankenswerter Weise auch einige m.E. valide Punkte aufgetaucht (update sollte via HTTPS statt FTP erfolgen, HTTPS host name Verifikation sollte an sein, Shell execution mit Parametern sollte geschützt sein). Ja, das baue ich natürlich ein, bzw. ändere das.


Gestern habe ich noch geschaut, wie News über den LBC auf Vietnamesischen und chinesischen Seiten aufgetaucht sind, klar dass sich damit 100x mehr Leute beschäftigt haben als bisher. Ich bin durchaus für konstruktive Kritik was die Sicherheit des LBC anbelangt - mit irgendwas um die 200 clients wird das ja auch zu einer waschechten Verantwortung, aber heute ist mir der Begriff "skandalisierende Aufmerksamkeitshure" mehr als einmal in den Sinn gekommen.

Also so in etwa. Ich spiele momentan mail Ping-Pong mit ca. 100 Leuten, darunter auch einige Autoren, die neulich erst Artikel über den LBC geschrieben haben und jetzt wissen wollen was Sache ist. Wenn Fragen sind, antworte ich gerne, wenn's länger dauert: nicht weil ich mich drücke, sondern weil ich nur eine Tastatur habe.


Rico