virus attachen tijdens torrent seed - Privacy en beveiliging

zondag 14 september 2008 17:58

Acties:

Verwijderd

Topicstarter

Ik had zojuist een bestand naar een torrent site geupload met daarin o.a. een niet gezipte exe file. Vervolgens ging 1 van de downloaders klagen dat hij een virus warning kreeg. Eerst ging ik uit van een false alarm, maar bij inspectie van de md5 sums bleek de file.exe die hij had gedownload een andere md5 te hebben dan de file.exe die ik heb geseed. Even later heeft hij nog een keer exact dezelfde file.exe van de torrent gedownload, en toen kwamen de md5 sums wel overeen, en kreeg hij geen warning meer.

Is het, technisch gezien, mogelijk dat 1 van de andere leechers tijdens het seed/leech process een virus aan de executable heeft geplakt en hem toen verder heeft geseed? Ik ben er altijd vanuit gegaan dat torrent wel voldoende checksums heeft ingebouwd om dat te voorkomen, maar als deze persoon de waarheid spreekt, en zelf geen virussen op zijn computer heeft, dan lijkt het bestand toch gemanipuleerd te zijn ergens tussen mij en hem. Als dit waar is verklaart dat de vele verhitte discussies over enkele andere, soortgelijke torrents, tussen de users waarbij sommige users zeker zeggen te weten dat de torrent geen virussen bevat, en andere users zijn zeker van wel.

[ Voor 13% gewijzigd door Verwijderd op 14-09-2008 18:14 ]

zondag 14 september 2008 18:07

Acties:

allure

Titaan fase 2/3

Volgens mij hoort dit topic hier niet thuis?

zondag 14 september 2008 18:11

Acties:

Tomino

allure schreef op zondag 14 september 2008 @ 18:07:
Volgens mij hoort dit topic hier niet thuis?

Torrents zijn niet per definitie illegaal?

zondag 14 september 2008 18:18

Acties:

allure

Titaan fase 2/3

Nee weet ik, maar doelde meer op het onderwerp?
Zou het niet beter in \Softe goederen\Beveiliging en virussen\ passen?

[ Voor 43% gewijzigd door allure op 14-09-2008 18:20 ]

zondag 14 september 2008 18:21

Acties:

leuk_he

1. Controleer de kabel!

Wellicht hoort dit in CSA ipv networken. gebruik Afbeeldingslocatie: http://tweakimg.net/g/forum/templates/tweakers/images/icons/icon_hand.gif

daarvoor als je dat vind.

Nee, torrent heeft meachnismen om corrupte tranmissie te voorkomen. Het bestand kan beschadig zijn door een virus van hem tijdens het schrijven van de exe het virus heeft toegevoegd.

De meeste clients testen na datatransmissie alle hashes nogmaals.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

zondag 14 september 2008 18:21

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Als je iets te melden hebt, gebruik dan een TopicReport aub

Move NT > BV

Tijd voor een nieuwe sig..

zondag 14 september 2008 18:28

Acties:

Verwijderd

Topicstarter

leuk_he schreef op zondag 14 september 2008 @ 18:21:
Nee, torrent heeft meachnismen om corrupte tranmissie te voorkomen. Het bestand kan beschadig zijn door een virus van hem tijdens het schrijven van de exe het virus heeft toegevoegd. De meeste clients testen na datatransmissie alle hashes nogmaals.

yay een ontopic reply. Zijn deze hashes praktisch onkraakbaar zoals bijv. md5? Als het slechts een checksum is, kan ik me voorstellen dat het nog wel mogelijk is om er nog wat data aan te hangen zodat de checksum van de gemanipuleerde data toch weer overeen komt.

zondag 14 september 2008 18:30

Acties:

blaataaps

Verwijderd schreef op zondag 14 september 2008 @ 18:28:
[...]

yay een ontopic reply. Zijn deze hashes praktisch onkraakbaar zoals bijv. md5? Als het slechts een checksum is, kan ik me voorstellen dat het nog wel mogelijk is om er nog wat data aan te hangen zodat de checksum van de gemanipuleerde data toch weer overeen komt.

Waarom geef je md5 als voorbeeld van een "onkraakbare" hash, en waarom doe je alsof een hash iets anders is dan een checksum?

zondag 14 september 2008 18:43

Acties:

Verwijderd

Topicstarter

MD5 heeft meer met encryptie van doen en wordt vaak gebruikt in beveligings toepassingen, waar een checksum gebruikt wordt om data integriteit te verifieren waar men verwacht dat er geen kwaadwillenden achter zitten. Maar in princiepe zijn ze inderdaad hetzelfde.

Maar uit dit artikel valt inderdaad op te maken dat ook md5 geen waterdichte methode meer is om integriteit van je bestand te controleren. Rest de vraag welke verificatie methode torrents bevatten, en of het dus plausibel is dat ze alsnog gemanipuleerd worden.

zondag 14 september 2008 18:48

Acties:

Fish

How much is the fish

hash, checksum .. whats in a name. ze doen hetzelfde niet ?

Iperf

zondag 14 september 2008 18:56

Acties:

CodeCaster

Can I get uhm...

Een torrent wordt om de zoveel kb gechecksumd met SHA1¹, (en de totale torrent ook, dus er is helemaal geen sprake van MD5 binnen torrents imho

), een algoritme met nóg minder collisions dan MD5² . Op die manier is het moeilijk om ervoor te zorgen dat je een .exe-bestand kunt infecteren en seeden, aangezien een bestand al snel over meerdere blocks verdeeld zal worden (de standaard blockgrootte bij populaire torrentprogramma's is 512 kb als ik me niet vergis).

Als de geïnfecteerde .exe vervolgens slechts gedeeltelijk gedownload wordt, en enkele andere blocks van schone bronnen, zal het uiteindelijk in elkaar gezette bestand niets doen.

Ik vermoed dus dat je beter moeite kan steken in het controleren op virussen op de pc van de persoon die deze onzin claimt dan het proberen te achterhalen hoe uniek MD5 danwel SHA1 is.

^{1: Wiki}
^{2: zwan.org}

[ Voor 26% gewijzigd door CodeCaster op 14-09-2008 19:02 ]

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

zondag 14 september 2008 19:01

Acties:

Verwijderd

Topicstarter

CodeCaster schreef op zondag 14 september 2008 @ 18:56:
Ik vermoed dus dat je beter moeite kan steken in het controleren op virussen op de pc van de persoon die deze onzin claimt dan het proberen te achterhalen hoe uniek MD5 danwel SHA1 is.

Ja dat was ook mijn eerste reactie, maar deze persoon is echt niet dom, en bovendien zijn er dus meerdere users van die torrent die hetzelfde virus reporten. In zijn log files staat bovendien bij de eerste download een peer die continu hash checks failde, en daadoor op den duur door de client automatisch gebanned werd.

zondag 14 september 2008 19:25

Acties:

blaataaps

Verwijderd schreef op zondag 14 september 2008 @ 18:43:
MD5 heeft meer met encryptie van doen en wordt vaak gebruikt in beveligings toepassingen, waar een checksum gebruikt wordt om data integriteit te verifieren waar men verwacht dat er geen kwaadwillenden achter zitten. Maar in princiepe zijn ze inderdaad hetzelfde.

MD5 heeft weinig tot niks met encryptie van doen, dat is ook gewoon een checksum/hash, en zoals je zelf al aangeeft niet meer de allerbeste keuze

Maar uit dit artikel valt inderdaad op te maken dat ook md5 geen waterdichte methode meer is om integriteit van je bestand te controleren. Rest de vraag welke verificatie methode torrents bevatten, en of het dus plausibel is dat ze alsnog gemanipuleerd worden.

zondag 14 september 2008 20:54

Acties:

leuk_he

1. Controleer de kabel!

blaataaps schreef op zondag 14 september 2008 @ 19:25:
[...]

MD5 heeft weinig tot niks met encryptie van doen, dat is ook gewoon een checksum/hash, en zoals je zelf al aangeeft niet meer de allerbeste keuze
[...]
[...]

Dat artikel slaat op een situatie waar je zelf het bron document kunt kiezen. Dat is aanzienlijk simpeler dan bestaadn document te veranderen.

In eMule (die gebruikt een variant van MD4) hebben we waarschijnlijk zulke collisions in het wild gezien.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.