Topic: Hackerare wallet BTC (Read 2896 times)

Teoricamente hai ragione, praticamente è più complicato. Questo perchè a seconda di come compili il sorgente, così come se usi un compressore di eseguibili, se fai lo strip o meno, se sposti una virgola direttamente nel codice, il risultato lato hex sarà diverso.

E quindi più probabile rilevare un codice aggiunto dopo piuttosto che un codice inserito direttamente nel sorgente, anche se segnalato.



FaSan

Io ci rinuncio, pensala pure come vuoi

in caso di modifiche verrà visto maligno l'intero programma, non cambia quindi nulla

quindi nel caso di un wallet farlocco, verra visto maligno l'intero wallet, se quella modifica è gia stata fatta da qualcun'altro e quindi segnalata

Tre pagine !? 

C'è qualcosa che vi sfugge. Gli antivirus anche in euristica NON troveranno mai una modifica effettuata ai sorgenti. Questo perchè i virus si "agganciano" ad un eseguibile già compilato, di norma o all' inizio o alla fine del codice, per mantenerne l' eseguibilità.

Quando l' antivirus fà un check sulla pattern dei virus, non decompila l' eseguibile ma cerca la corrispondenza sul compilato.

Ecco perchè una modifica ai sorgenti non potrà essere rilevata, ma viene considerata come una parte del programma stesso (che sia malevola o meno).




FaSan

no tu non mi stai seguendo, è questo il punto, pompobit invece ha capito "se è stato già classificato da qualcuno come maligno, allora sì, se ne accorgerà"

tu non puoi sapere se la tua modifica/virus/chiamala come ti pare, non sia già stata fatta da qualcun altro e quindi segnalata come maligna

non hai nessun modo per saperlo, anche perché gli sviluppatori di antivirus tengono il loro database all'oscuro degli sviluppatori di virus e vorrei ben vedere

magari tra gli stessi sviluppatori di antivirus c'è chi sviluppa apposta queste modifiche maligne/nuovi virus per tenere sempre aggiornato il database degli anti-virus

il punto è che tu avrai al massimo una certa probabilità di successo, che possiamo dire del 50%, come gli antivurs non sono sicuri al 100% non lo sono neanche i virus

spero ti sia chiaro ora


si questo è chiaro, il mio discorso si riferiva solo a programmi open source

Prova a spiegarglielo tu, io è tutto il thread che ci provo...

se è stato già classificato da qualcuno come maligno, allora sì, se ne accorgerà.
Ma per essere catalogato come maligno con la modifica di cui parliamo, ci sono solo 2 opzioni:
- se il codice è open source, qualcuno si è letto il codice e ha trovato l'inghippo
- qualcuno ha rilevato l'inghippo sulle sue spalle e lo comunica in giro

Nessun antivirus cerca le differenze con il codice originale, anche perchè nessuno può dire quale fosse il codice originale, salvo tener traccia di tutto il codice di tutti i programmi, che è impensabile e infattibile visto che non tutti sono open source.

per quello tipo di malignità ho il mio mini wallet con 0.01-0.1

voglio vedere che fai contro una cosa del genere, non c'è virus che tenga


beh ma se quel wallet è stato già catalogato come maligno, non vedo perché non dovrebbe accorgersene

il punto è che non si può sapere se questo tipo di modifiche(i virus sono anche modifiche) sono state già fatte o meno, quindi c'è sempre la possibilità che il virus/modifica venga rilevato, come c'è la possibilità che passi inosservato

e di questo che parlavo nei miei posti, ma a quanto pare non mi avete capito...

non c'è antivirus al mondo che possa accorgersi di un wallet che spedisce i coin ad un indirizzo diverso da quello che vuole l'utente.

Qui l'unica sicurezza è scaricare il wallet dai repository ufficiali o di fidarsi dello sviluppatore dell'altcoin di turno, l'antivirus non ti da nessun aiuto.

Se poi stiamo parlando di codice che cerca di rubare file in giro o peggio ancora di interferire con altri processi, allora il discorso cambia

E chi ha mai detto il contrario, stavo solo dicendo che ci sono molte tecniche per nascondere un virus, poi mi sembra ovvio che se io modifico i sorgenti e li ricompilo non ho creato un virus ma un programma (furbo) che se abbastanza virale verrà inserito nei db degli AV.

...l'eterna caccia tra il gatto ed il topo!

Ripeto che qui non stiamo parlando di virus che infettano un programma... stiamo parlando di modificare il codice sorgente e distribuire una versione modificata del wallet con un comportamento malevolo all'insaputa dell'utente. Non è qualcosa che un antivirus possa impedire in alcun modo, se l'utente ci casca e scarica un wallet taroccato.

Allo stesso modo in cui nessun programma può impedire a qualcuno di dare le sue credenziali a un sito di phishing, se l'utente cade nella trappola e crede che il sito sia legittimo.

Datevi una letta qui (in inglese)...LINK

..gli antivirus non mi danno poi tutta questa fiducia!

Al momento gli utilizzatori di Bitcoin sono praticamente tutti esperti di informatica o almeno utenti evoluti, abbastanza da sapere che non è il caso di scaricare software da siti non ufficiali, soprattutto se poi quel software deve maneggiare qualcosa di valore; nessuno che sappia cosa sta facendo si sognerebbe mai di scaricare un wallet da un sito a casaccio, né ci sarebbe motivo di farlo, visto che i siti ufficiali sono ben connessi e i software pesano pochi MB. Molti addirittura compilano il codice in proprio, pratica peraltro comunissima sui sistemi Linux.

Se e quando i Bitcoin diventeranno di uso comune, assisteremo a un proliferare di wallet di dubbia origine e di sedicenti "mirror" dei wallet più noti, e temo seriamente che parecchia gente ci cascherà, come succede coi siti di phishing che prima o poi qualche idiota che gli fornisce le proprie credenziali o la carta di credito lo trovano sempre

Se fosse così semplice, sicuramente qualcuno ci avrebbe pensato prima, e si sarebbe parlato molto sulla rete di wallet fasulli.
Fin ora io non ho mai sentito di nulla del genere, quindi credo che non sia una cosa fattibile.

i virus di questo tipo sono per forza di cose simili, seguono uno stesso pattern, verranno riconosciuti grazie all'euristica nel 50% dei casi almeno

continuo a pensare che non sia cosi semplice come dici tu

Motivo per cui per pc dedicati a contenere dati particolarmente sensibili è sempre meglio usare partizioni criptate. Inclusa partizione di swap.

Si e no.

Facendo una scansione sul mio disco ho trovato wallet di un anno fà ancora disponibili nei settori.

E per esempio io i wallet li crypto se ho delle coin sopra, altrimenti li lascio lì senza crearmi il problema. Magari è un errore, ma chissà quanti fanno la stessa cosa. Senza contare che bisogna vedere quanti generano continuamente nuovi address invece di utilizzare i precedenti. Sicuramente il Default lo ritrovi.


FaSan

Vedo che continui a non capire.

Se io scrivo un virus che entra sul tuo computer, cerca un wallet Bitcoin, lo apre (ammesso che non sia cifrato) e mi spedisce le chiavi che ci trova dentro (come in effetti ce ne sono parecchi in giro), appena questo viene scoperto e inserito nelle firme virali l'antivirus può imparare a riconoscerlo come virus e bloccarlo.

Ma se io poi ne scrivo un altro simile, non sarà lo stesso programma e non avrà la stessa firma, quindi l'antivirus non riconoscerà un bel niente.

Se poi invece vado proprio a modificare il codice di un wallet per fargli fare qualcosa di inappropriato, tipo spedirmi le tue chiavi private, quel codice finirà in mezzo a tutto il resto del codice del wallet, e esaminano il file binario che risulta dopo averlo compilato questo risulterà sì modificato rispetto all'originale, ma a meno di non controllarne il checksum (cosa che deve fare l'utente, non l'antivirus che non ha idea da dove quel programma venga e perché debba avere un certo checksum piuttosto che un altro) non ci sarà modo di capire se sta facendo qualcosa che non vuoi o se invece sta lavorando esattamente come l'utente si aspetta.


Il che è un po' come dire che l'unico modo per non avere una hash collision con gli indirizzi Bitcoin è creare un indirizzo che non sia simile a qualcuno già in uso. Ma, ops, non c'è nessun problema a farlo, considerando che ce n'è un numero spropositato. Esattamente come i programmi che possono essere scritti.


No, non è affatto simile. Un virus è del codice estraneo che viene riconosciuto come tale. Qui stiamo parlando di modificare il programma originale. Non è una modifica "scorretta" o "sbagliata", potrebbe benissimo avercela inserita lo sviluppatore. Oppure io, che ho preso i sorgenti (liberamente disponibili), li ho modificati e ho ricompilato il programma. Questo succede ogni volta che aggiorni un software o ne installi una nuova versione. L'antivirus non ha alcun modo di sapere se il programma è stato modificato in un modo che a te non sta bene.

A livello puramente teorico potrebbe anche essere possibile, ammesso che quei settori non siano già stati sovrascritti da qualcos'altro (cosa tutt'altro che improbabile).
La maggior parte degli utenti però abilita la criptazione subito dopo aver installato il wallet, e da quel momento in poi tutti i nuovi indirizzi creati vengono memorizzati solo nel wallet criptato. Inoltre, nel caso tu abbia copiato il wallet che stai usando da un backup (già criptato) preso da un wallet precedente, sul disco del tuo computer non ci sarà proprio nessun wallet in chiaro.

Insomma, il tuo approccio potrebbe teoricamente funzionare solo su un sistema dove la cifratura del wallet è stata attivata al massimo da qualche giorno e prima è stato utilizzato un wallet in chiaro. Non sarà improbabile come una hash collision, ma direi che non è nemmeno molto più probabile

credi che qualcun'altro non l'abbia gia fatto? e che non sia gia tra il database degli antivirus e quindi riconosciuto come maligno?

l'unico modo che hai di bypassare un anti-virus è creare un virus che non è simile a nessuno di quelli nel database

ripeto non è cosi facile come la fai tu

senza contare che il tuo pezzetto di codice non può svolazzare cosi "se fa x manda la chiave privata a me", deve essere collegato al resto in un modo in cui vengono collegati anche altri virus

voglio dire la programmazione dietro ai virus è simile