Als ich die Ursprungsmitteilung am Freitag auf gulli.com gelesen habe, konnte ich es kaum glauben, was dort beschrieben wurde…
"Es ist eine ganz schlichte Brute-Force-Attacke, dumm wie Schotter, die
einfach nur Schlüssel ausprobiert", so der Kommentar zur nun bekannt
gewordenen Methode, Vista per simplem Brute Force zu knacken. Bei
Keznews gibt es die slmgr.zip, die 20.000 Keys pro Stunde
durchprobieren kann. Die Folge: Vista-Keys können bereits zur
Aktivierung verwendet worden sein, obwohl das zugehörige Betriebssystem
noch im Laden steht."
Schaut man sich so einen Windows (Vista) Key einmal näher an, so wird man feststellen, dass dieser aus 5 Gruppen, bestehend aus alphanumerischen Stellen, gebildet wird. Anhand eines stark vereinfachten Rechenexempels wird bereits deutlich, dass lediglich der theoretische Denkansatz einen möglichen Angriff auf den Windows Vista Key zulässt.
Das Alphabet besteht aus 26 Buchstaben, bei den numerischen Stellen kommen 10 weitere hinzu, was 36 Möglichkeiten pro Stelle macht. Das ergibt maximal 2536 = 2,1175823681357508476708062516991e+50 Kombinationsmöglichkeiten. Das ist eine 51 Stellen lange Zahl. Bei 20000 errechneten Keys pro Stunde wäre ein Zeitaufwand von mehreren Jahren / Jahrzehnten anzusetzen, bis der erste gültige Key gefunden wird. Und selbst dann hieße das nur, dass dieser "nur" von der Validierungsroutine von Windows angenommen wird, aber noch längst nicht in der bei Microsoft gespeicherten Whitelist der gültigen Keys auftaucht (was IMHO bei der Durchsicht des Codes gar nicht bei einem WGA-Validierungsserver von Microsoft überprüft worden wäre).
Umso weniger verwundert es mich, dass heute die Meldung durch die Medien geistert, dass alles "nur ein Scherz" eines gelangweilten VBS-Hackers gewesen sein soll, um zu demonstrieren, dass viele News Seiten die im Internet gefundenen Meldungen nur unzureichend nachrecherchieren, bevor sie veröffentlich werden.
Ein schneller Testlauf in einer virtuellen Testmaschine von ~5 Stunden Länge hat, wie es zu erwarten gewesen ist, übrigens auch keinen "gültigen" Windows Key zu Tage gebracht. Andere User in diversen Foren, die angaben, innerhalb weniger Stunden zum Erfolg gekommen zu sein, sind also entweder Lügner, haben den Hack nicht verstanden oder wollten einfach noch ein bisschen mehr Benzin ins Feuer der verzweifelten Script-Kiddies gießen.
Alles in allem aber ein äußerst amüsanter Medien-Hoax, den der als "Computer User" im keznews.com Forum bekannte "Hacker" da abgeliefert hat, immerhin schaffte er es auf die Titelseite des "The Inquirer" und diverse populäre IT-News Seiten.
fdsaaaaaaafdassssaaaaaaaa
fdsaaaaaaaaaaaaaaaaaaaa
fdsaaaaaaaaaa