![[eMule-Web]](images/satellite/header/logo.jpg){kind=logo}
|
Hash- Werte der Files "fälschbar" Ich habe mal eine Frage an all die Programmierer hier im Forum. Besteht eine Möglichkeit in eMule- Netzen die Hash- Werte zu fälschen, so dass man sozusagen "Fakes" erzeugen kann? Also Dateien mit verschiedenem Inhalt, aber gleichem Hash- Wert? Ich kenne mich zwar mit Technik aus, aber leider fehlt mir für solche Überlegungen leider der software-technische Background. Eine finnische Firma namens Viralg soll beispielsweise versucht haben, Hash- Werte zu fälschen um die Filesharing- Netzwerke zu korrumpieren. Inzwischen verkaufen die ihr Patent bei Ebay. Link: ***** Kann sich jemand vorstellen ob das möglich ist, auch im Bezug auf den eMule- Client? Wenn ja, wie???? Wäre sehr dankbar für Hilfe :) |
Es gab vor einiger Zeit, ca 2004 rum :mrgreen:, mal eine Newsmeldung auf heise.de das man das MD5 Hash Verfahren, welches eMule soweit ich weiß benutzt, aushebeln könnte. Das ist richtig. Wenn das ganze stimmt, was das Unternehmen da redet, wäre die logisch notwendige Reaktion der Entwickler das Hashverfahren um ein weiteres zu ergänzen (MD5+SHA1 usw.), oder es gänzlich Auszutauschen, was Emule aber die Abwärtskompatibilität zu den Links nehmen würde. Das wäre sehr schlecht für die gängigen Esel Seiten und Piraten Boards :mrgreen: heise.de/security/news/meldung/50148 Zitat:
Wen ein ed2k Link einen solchen AICH Hash enthält ist der File sicherer :mrgreen: |
benutzt emule nicht md4? ich denke auch, dass das nicht so einfach möglich ist, da - wenn ich richtig informiert bin - der hash ja vom client selbst berechnet wird, wenn man eine datei ins netz stellt. wenn man also eine "gefakte" datei ins netz stellen will, dann müsste man schon mal irgendwie den client davon "überzeugen" eine datei mit dem selben hash einer anderen datei zu erzeugen. wenn man (ohne emule- client und filesharin usw.) eine kollision (also eine datei mit anderem inhalt, aber selben hash) erzeugen will, dann muss man eine gewisse anzahl von versuchen starten, damit das klappt, wobei ich leider nicht weiß, ob das im zusammenhang mit dem inhalt der dateien steht. ich weiß also nicht, ob man 2 völlig verschiedene dateien mit den selben hashes erzeugen kann oder ob die dateien sich wenigstens ähneln müssen. die frage ist dann ja, wie man es beim einstellen einer datei mit einem client schaffen will so viele versuche zu überbrücken, dass man schließlich einen doppelten hash hat. muss man dann die datei x-mal ins netz stellen, damit der client dann den selben hash berechnet?? oder schreibt man einen mod für den client? insofern sehe ich das wie du, dass das eher nicht möglich ist, da ja die chunks ebenfalls noch mal einzeln gehashed werden und die chance für eine kollision stark sinkt. |
habe mir mal das patent dieser finnischen firma angeschaut und so wie es aussieht, haben die die hash- werte gar nicht gefaked. dieses patent bezieht sich soweit nur auf kazaa und nutzt eine schwachstelle im hash- verfahren aus. bei kazaa werden wohl nur die ersten 300kB der datei gehashed. die nutzen das so aus, dass der rest der datei (jenseits der 300kB) einfach verändert wird, sodass man eine datei mit bad content aber einem selben hash bekommt und die user so auch den bad content herunterladen. sowas kann bei emule ja gar nicht funktionieren, da die gesamte datei gehashed wird. |
Und das ist auch gut so....aber ich glaube das irgendjemand doch Fakes reinstellt....weiss aber auch nicht wie... :think |
naja fake- files können ja ganz einfach hineingestellt werden, in dem man einfach den dateinamen ändert. nur dieses verfahren hat sich für firmen wie viralg oder overpeer als unwirksam erwiesen, da sich die emule- kommunity gegen solche fakes rüsten kann. wenn ein solches fake erkannt wird, stempelt man es einfach als fake ab und so lädt es keiner mehr runter. firmen wie overpeer oder viralg haben versucht den hash zu fälschen, sodass die filesharing nutzer korrupte dateiinhalte über diese gefakten hashes herunterladen. interessant ist, ist das einige firmen bzw. es einige patente gibt, die behaupten, dass genau dieses verfahren funktionieren soll. (siehe us- patent nr.: 20030095660, 20050108248, 20050267945) ich würde dieses fragwürdige thema gerne in meine diplomarbeit einbauen, aber scheinbar geht das wirklich nicht bzw. es wird nicht angewandt. |
...es gibt auch genügend file-fakes in ed2k-netz... ...mach dir doch selbst einmal den spass und schalte den ip-filter ab, wenn du eine grosses, sehr gefragtes archiv lädst... ...spätestens beim entpack-versuch sollte dieser kläglich an defekten parts scheitern, was mit eingeschaltetem ip-filter (grösstenteils) nicht der fall ist... ;) Sorrow :) |
@ Sorrow Hmm...ich bin mir ziemlich sicher, so einfach ist das nicht, weil eMule defekte Teile erkennt und repariert. In der Regel treten eher Fehler bei den entsprechenden Pack/Entpack-Programmen auf, die nach Empfang verwendet werden. Januar |
Zitat:
Mit freundlichen Grüßen aalerich |
grundsätzlich ist es schon möglich mit einem client den datei hash zu fälschen, wenn er entsprechend modifiziert ist. sobald er aber das netzwerkbetritt fliegt der schwindel auf. soll heißen, dass seine versendeten blocks als fehlerhaft erkannt werden und die corruption blackbox ihn nach einer bestimmten anzahl von fehlern rauskickt. früher gab es das problem mit den 0-filled part sender, welche im grunde genommen das getan haben. der o.g. corruption blackbox code filtert diese ebenso raus, wie die, die so tun als hätten sie datei A und datei B senden. wie hier aber schon festgestellt wurde ist es wenig effektiv fakes unter falschem namen hochzustellen. somit konzentrieren sich die angriffe gegen das netzwerk eher auf die infrastruktur, also KAD und Server. effektive Angriffe gegen KAD sind aber bisher nicht gelungen, bei den Servern zwar schon, jedoch kommen die ebenso wieder, wie es warez files tun. die gute alte sand-ins-getriebe-taktik... |
Zitat:
Zitat:
Zitat:
wenn ich die dokus von emule richtig verstanden habe, dann werden beschädigte dateien mit dem AICH repariert bzw. aussortiert. richtig? das AICH geht dann (zumindest laut wiki und emule-project.net) davon aus, dass bei 10 anderen quellen, von denen 92% von diesen quellen den werten ensprechen müssen (ob mit wert hier hash oder dateiinhalt gemeint sein soll, kann ich aus der doku leider nicht rauslesen). |
Zitat:
|
Zitat:
verstehe. würde im endeffekt aber auch nichts bringen, weil es 1. keinen sinn macht und 2. vom AICH automatisch erkannt bzw. beseitigt wird. richtig? |
szenario wie folgt: firma stellt datei B online und der modifizierte client von ihnen schickt immer HASH h raus, der im ed2k der datei A zugeordnet ist. die firma hat bewusst den modifizierten klienten so gefüttert, dass er für die datei B den hash A vorgibt, damit nun die leute A von der firma wollen, die firma sie aber mit nutzlosen daten der datei B füttern kann. wie ich aber auch schon sagte verhindert AICH und die corruption blackbox so eine manipulation. hat ein client den passenden AICH hash zu einer datei, so ist er also gefeit. nun besteht noch die möglichkeit, dass der client die suche genutzt hat und sich den AICH hash von anderen clients zusenden lässt. hier und bei übergabe von ed2k links durch die firma lässt sich der AICH hash manipulieren. das ist wiederum sehr aufwändig. genau genommen wäre es so aber sogar möglich dem client vorzugaukeln, dass richtige quellen ihm korrumpierte daten senden. wie aber gesagt, das ist mit viel aufwand verbunden. wie genau die nachfrage und das setzen des AICH hashs abläuft weiß ich jetzt nicht aus dem kopf, aber mir ist so, als hätte mal jemand vorgeschlagen den code besser abzusichern. vielleicht möchtest du diese stelle als ausgangspunkt für weitere recherche nutzen. |
...nungut, zu meiner verteidigung muss ich gestehen, dass die von mir geschilderte situation schon etwas länger her ist... ...quasi aus der zeit, als der ip-filter in sachen emule noch eher unbenutzt war... ...welches hashverfahren seinerzeit zum tragen kam, weiss ich nicht... ...nur machte ich eben dazumal mehrfach solche erfahrungen, welche mich darauf schliessen liessen... :whistle ...und seit ich nen filter nutze, hats mich auch nurnoch minimal tangiert... ...ich werde mich aber diesbezüglich nocheinmal dezent über die jetzigen techniken belesen... ...man lernt ja bekanntlich nicht aus... ;) Sorrow :) |
joa ^^ ich werde da mal weiterrecherchieren vielen dank an alle für die infos insbesondere für stulle für die detailreiche erklärung. gruß bennel :-) :beer: |
*lach* ich habe gepostet und habe keinen neuen feind... die welt geht vor die hunde, bald mag mich noch jeder *rolf* |
ich kenne die üblichen forumsgesetze ^^ aber warum solls auch nicht mal anders laufen?:bday habe noch mal eine frage an die schlauen leute hier im forum. stulle hat eine so genannte "correction blackbox" erwähnt. what the hell is that? |
OffTopic Zitat:
Pan Tau |
muss ja so sein. ich bin ja so lieb, kann ja garnicht meine schuld sein ;) |
Also mit AICH und correction blackbox kenne ich mich gar nicht aus, aber gerade diese Woche habe ich mir ein File gesaugt mit dem nichts anfangen konnte, genau ist das so abgelaufen: Mit dem Muli bin ich nur im Kad-Netzwerk unterwegs, über die Suchfunktion habe ich ein File gesucht, dem Namen nach gefunden und anschliessend den DL gestartet. Nachdem der DL einige Quellen gefunden hatte schaute ich im Transferfenster unter "Zeige Dateidetails.../Name" die Ergebnisse an und stellte fest das es über 20 verschiedene Dateinamen und mindestens 5 verschiedene Dateitypen gab (.avi, .asf, .rar, .mpg, etc). An und für sich ist es nicht verwunderlich das ein und dasselbe File unter verschiedenen Dateinamen im Netz vorhanden ist, aber auch gleichzeitig unter mehr als 5 verschiedenen Dateitypen??? OK bis hierhin war für mich jedenfals noch alles beim alten, oder besser gesagt so wie man es kennt. Verwundert war ich allerdings als dieses File mind. 5 mal schneller fertig war wie sonst üblich: das zumindest ich nicht so wie es eigentlich immer läuft! Naja fast logischerweise konnte ich das File nicht öffnen, habe es mit 4 verschiedenen Dateiendungen probiert, hat nicht gefunzt, dann halt eben gelöscht. Wie Stulle beschrieben hat ist man mit dem passenden AICH Hash gefeit, aber wenn man den AICH hash von einem anderen Client bekommt, beispielsweise über die Suchfunktion wie ich es gemacht habe, so kann dieser AICH hash gefälscht sein. Was ich da gesaugt hatte würde mich eigentlich auch interessieren, leider fehlt mir das Fachwissen um das herauszufinden. Oberdummbaz: nachdem ich das File gelöscht habe ist mir eingefallen das ich es als Fake hätte melden sollen:oops:. Wie auch immer, ich bin überzeugt das mit dem Wegfallen der Server und dem Aufkommen von Kad es massenweise mehr gefälschte File und AICH hash Werte geben wird, wir werden ja sehen was diesbezüglich läuft. |
Der Hash war nicht gefälscht; Du hast die zum Hash passende Datei bekommen. Auch der Hash zu dieser Datei ist nicht gefälscht und der Download wird extrem schnell gehen: ed2k://|file|OldF%20tanzt%20nackt%20auf%20dem%20Tisch.avi |46499040|E3AEE0324E38670E79B0161FD1D8FF16|/ Das ist eine Textdatei aus lauter Nullen. 44 mb groß, ge-RARt allerdings nur 170 kb. Und der Hash paßt, nur der Name ... Mit freundlichen Grüßen aalerich |
OldF, wie aalerich es schon beschrieb, du bist einem fake aufgesessen. ich sprach von einem anderen fall. mir ging es darum, dass jemand einen falschen hash für datei B schickt um seine korrupten daten aus datei A zu senden. wie ich weiterhin sagte, würde das nicht klappen, da der schwindel auffallen würde. sollte es trotzdem einer versuchen wirst du es im log und verbose log sehen, da einige nachrichten darauf hinweisen, dass (A)ICH und die corruptionblackbox am werk waren. der besondere fall in dem man selbst einen falschen AICH hash gesendet bekommt ist äußerst unwahrscheinlich. sollte er doch eintreten würdest du oben beschriebenes verhalten trotzdem haben, da dann die richtigen klienten dir richtige daten schenken, aber dem programm falsch erscheinen. denk dran, der dateiname ist völlig unzureichend zur datei identifizierung. jeder kann ihn beliebig verändern und aus "emule.rar" ganz einfach "kinder.*****.avi" machen. entscheidend ist, was es wirklich für eine datei ist. das ist im datei header festgelegt und nicht im dateinamen. den eigentlichen inhalt kann man also genau genommen nur einem hash zu ordnen oder wie es in der praxis ist, ein hash wird einem dateiinhalt zugewiesen. willst du also auf nummer sicher gehen, dann nutze AICH ed2k links. |
Im übrigen müßte man, um einen Mulihash zu fälschen, gleich zwei Hashverfahren austricksen: MD4 für den (alten) Hash und SHA-! für AICH. Unmöglich. Mit freundlichen Grüßen aalerich |
naja, den fall den ich beschrieb ging davon aus, dass der gefälschte SHA-! Hash gefälscht wird, jedoch wird das so gemacht, dass er trotzdem zu dem MD4-Hash passt, sonst würde der schwindel ja auffliegen und alle daten die man erhielte wären korrupt. das ist sicherlich sehr schwierig und (wie ich ja auch shcon sagte) mit einer menge rechenaufwand verbunden, aber ich denke nicht, dass es unmöglich ist. unmöglich stimmt wohl nur dann, wenn man den aufwand nur bis X treiben möchte und alles danach unmöglich ist. ;) |
Danke für die Infos, habe mich gleich daran gemacht das File erneut zu laden, Verbose Log dabei eingeschaltet um zu sehen was dabei rauskommt: dumm nur das der Extreme nach 5 Min. abgestürzt ist (zum ersten mal, mit 3 Dump File). Denke auch das dies nichts mit korumpierten HASH Werte zu tun hat, da ich über zuwenig Fachwissen darüber verfüge Poste ich ausnahmsweise mal den Link ed2k://|file|Chill%20Cafe%20Del%20Mar%20Cafe%20Ibiza%20Be st%20Of%20Baleatic%20Ambient%20&%20Chill%20Out%20M usic'%20Narayana%20Mp3Out%20-%20Groove%20Jazzy%20Lounge%20Et%20Deep%20House%20U pdated-Fixed%2001-2007(1).rar|501228063|054180F85556FF2E3421C2FBF434 5139|/ was meint ihr zu diesem File, ist es ein klasischer Fake oder wurde am AICH rumgebastelt?? |
wenn eine datei im namen schon etwa 600 verschiedene allgemeine suchbegriffe hat, dann brauch ich nicht lang raten :-/ |
Dann wäre ja im Gegenzug eine jegliche Rechtsverfolgung wegen eines Angeblichen Downloadangebotes vollkommen haltlos. :naughty Jede Art einer sogenannten Abmahnung wäre dazu dann auch Rechtsunwirksam. Oder sehe ich das jetzt total falsch? Gruß Pistenbully |
und wenn es so wäre, wäre es egal. das ist eine ganz andere strategie die solche firmen verfolgen. die versuchen nicht den nutzer abzuschrecken, abzuzocken und zu bestrafen, viel mehr versuchen sie die community, das netzwerk zu zerstören. du kannst versuchen die zahnräder rauszuboxen (abmahnungen) und du kannst versuchen die zahnräder zu verklemmen (oben besprochene taktiken) um eine maschine zum stillstand zu bringen. |
Zitat:
Die Behauptung, Du hättest 13 000 gestohlene mp3s angeboten, ist Unfug. Bietest Du eine Datei an, die Industrie lädt von Dir mindestens einen Block (180 kb) herunter, dieser Block paßt in die Datei und die Datei stellt sich, nachdem die Industrie den Download abgeschlossen hat, als gestohlen heraus, dann bist Du nachweislich ein Verbrecher. Mit freundlichen Grüßen aalerich |
halte ich gegen. man ist vor dem gesetz ein krimineller, aber ein verbrecher sieht für mich anders aus als max mustermann (15), der 3 mp3s geladen hat, wenn du verstehst was ich meine... |
Zitat:
Wäre das möglich? Ein anderer Mod gibt ja beständig allen Dateien die Bewertung 'GUT'; würde das Sinn machen: wäre die Verunsicherung groß? Bestimmt anfangs, aber mit der Zeit ist man es gewohnt und das Bewertungssystem würde keinen Sinn mehr machen... |
Es gibt schon gute Methoden solche Fake-Ratings auszuhebeln... ein Weg (den ich in meinem Mod gehe) ist nicht den Durchschnitt aller Ratings zu berechnen sondern den Median... das funktioniert soweit auch gut, "Ausreisser" werden eliminiert aber das Gelbe vom Ei ist es natürlich auch nicht... Ein toller Ansatz ist hier zu finden: Credence: Thwarting P2P Pollution Der Nachteil dabei ist dass man schon einige Files haben und bewerten sollte (schlecht für n00bs) und natürlich der Overhead... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:10 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.