Author

Topic: Hackerare wallet BTC (Read 2896 times)

hero member
Activity: 658
Merit: 502
April 19, 2014, 06:29:44 AM
#51
in caso di modifiche verrà visto maligno l'intero programma, non cambia quindi nulla

quindi nel caso di un wallet farlocco, verra visto maligno l'intero wallet, se quella modifica è gia stata fatta da qualcun'altro e quindi segnalata


Teoricamente hai ragione, praticamente è più complicato. Questo perchè a seconda di come compili il sorgente, così come se usi un compressore di eseguibili, se fai lo strip o meno, se sposti una virgola direttamente nel codice, il risultato lato hex sarà diverso.

E quindi più probabile rilevare un codice aggiunto dopo piuttosto che un codice inserito direttamente nel sorgente, anche se segnalato.



FaSan

full member
Activity: 168
Merit: 100
April 19, 2014, 06:23:21 AM
#50
in caso di modifiche verrà visto maligno l'intero programma, non cambia quindi nulla

Io ci rinuncio, pensala pure come vuoi Roll Eyes
legendary
Activity: 3248
Merit: 1070
April 19, 2014, 06:20:53 AM
#49
Tre pagine !?  Cheesy Cheesy Cheesy

C'è qualcosa che vi sfugge. Gli antivirus anche in euristica NON troveranno mai una modifica effettuata ai sorgenti. Questo perchè i virus si "agganciano" ad un eseguibile già compilato, di norma o all' inizio o alla fine del codice, per mantenerne l' eseguibilità.

Quando l' antivirus fà un check sulla pattern dei virus, non decompila l' eseguibile ma cerca la corrispondenza sul compilato.

Ecco perchè una modifica ai sorgenti non potrà essere rilevata, ma viene considerata come una parte del programma stesso (che sia malevola o meno).




FaSan

in caso di modifiche verrà visto maligno l'intero programma, non cambia quindi nulla

quindi nel caso di un wallet farlocco, verra visto maligno l'intero wallet, se quella modifica è gia stata fatta da qualcun'altro e quindi segnalata
hero member
Activity: 658
Merit: 502
April 19, 2014, 06:16:41 AM
#48
Tre pagine !?  Cheesy Cheesy Cheesy

C'è qualcosa che vi sfugge. Gli antivirus anche in euristica NON troveranno mai una modifica effettuata ai sorgenti. Questo perchè i virus si "agganciano" ad un eseguibile già compilato, di norma o all' inizio o alla fine del codice, per mantenerne l' eseguibilità.

Quando l' antivirus fà un check sulla pattern dei virus, non decompila l' eseguibile ma cerca la corrispondenza sul compilato.

Ecco perchè una modifica ai sorgenti non potrà essere rilevata, ma viene considerata come una parte del programma stesso (che sia malevola o meno).




FaSan
legendary
Activity: 3248
Merit: 1070
April 19, 2014, 06:08:56 AM
#47
Nessun antivirus cerca le differenze con il codice originale, anche perchè nessuno può dire quale fosse il codice originale, salvo tener traccia di tutto il codice di tutti i programmi, che è impensabile e infattibile visto che non tutti sono open source.

Prova a spiegarglielo tu, io è tutto il thread che ci provo... Roll Eyes

no tu non mi stai seguendo, è questo il punto, pompobit invece ha capito "se è stato già classificato da qualcuno come maligno, allora sì, se ne accorgerà"

tu non puoi sapere se la tua modifica/virus/chiamala come ti pare, non sia già stata fatta da qualcun altro e quindi segnalata come maligna

non hai nessun modo per saperlo, anche perché gli sviluppatori di antivirus tengono il loro database all'oscuro degli sviluppatori di virus e vorrei ben vedere

magari tra gli stessi sviluppatori di antivirus c'è chi sviluppa apposta queste modifiche maligne/nuovi virus per tenere sempre aggiornato il database degli anti-virus

il punto è che tu avrai al massimo una certa probabilità di successo, che possiamo dire del 50%, come gli antivurs non sono sicuri al 100% non lo sono neanche i virus

spero ti sia chiaro ora

per quello tipo di malignità ho il mio mini wallet con 0.01-0.1

voglio vedere che fai contro una cosa del genere, non c'è virus che tenga

non c'è antivirus al mondo che possa accorgersi di un wallet che spedisce i coin ad un indirizzo diverso da quello che vuole l'utente.

Qui l'unica sicurezza è scaricare il wallet dai repository ufficiali o di fidarsi dello sviluppatore dell'altcoin di turno, l'antivirus non ti da nessun aiuto.

Se poi stiamo parlando di codice che cerca di rubare file in giro o peggio ancora di interferire con altri processi, allora il discorso cambia

beh ma se quel wallet è stato già catalogato come maligno, non vedo perché non dovrebbe accorgersene

il punto è che non si può sapere se questo tipo di modifiche(i virus sono anche modifiche) sono state già fatte o meno, quindi c'è sempre la possibilità che il virus/modifica venga rilevato, come c'è la possibilità che passi inosservato

e di questo che parlavo nei miei posti, ma a quanto pare non mi avete capito...

se è stato già classificato da qualcuno come maligno, allora sì, se ne accorgerà.
Ma per essere catalogato come maligno con la modifica di cui parliamo, ci sono solo 2 opzioni:
- se il codice è open source, qualcuno si è letto il codice e ha trovato l'inghippo
- qualcuno ha rilevato l'inghippo sulle sue spalle e lo comunica in giro

Nessun antivirus cerca le differenze con il codice originale, anche perchè nessuno può dire quale fosse il codice originale, salvo tener traccia di tutto il codice di tutti i programmi, che è impensabile e infattibile visto che non tutti sono open source.


si questo è chiaro, il mio discorso si riferiva solo a programmi open source
full member
Activity: 168
Merit: 100
April 19, 2014, 05:21:07 AM
#46
Nessun antivirus cerca le differenze con il codice originale, anche perchè nessuno può dire quale fosse il codice originale, salvo tener traccia di tutto il codice di tutti i programmi, che è impensabile e infattibile visto che non tutti sono open source.

Prova a spiegarglielo tu, io è tutto il thread che ci provo... Roll Eyes
hero member
Activity: 736
Merit: 508
April 19, 2014, 05:10:20 AM
#45
per quello tipo di malignità ho il mio mini wallet con 0.01-0.1

voglio vedere che fai contro una cosa del genere, non c'è virus che tenga

non c'è antivirus al mondo che possa accorgersi di un wallet che spedisce i coin ad un indirizzo diverso da quello che vuole l'utente.

Qui l'unica sicurezza è scaricare il wallet dai repository ufficiali o di fidarsi dello sviluppatore dell'altcoin di turno, l'antivirus non ti da nessun aiuto.

Se poi stiamo parlando di codice che cerca di rubare file in giro o peggio ancora di interferire con altri processi, allora il discorso cambia

beh ma se quel wallet è stato già catalogato come maligno, non vedo perché non dovrebbe accorgersene

il punto è che non si può sapere se questo tipo di modifiche(i virus sono anche modifiche) sono state già fatte o meno, quindi c'è sempre la possibilità che il virus/modifica venga rilevato, come c'è la possibilità che passi inosservato

e di questo che parlavo nei miei posti, ma a quanto pare non mi avete capito...

se è stato già classificato da qualcuno come maligno, allora sì, se ne accorgerà.
Ma per essere catalogato come maligno con la modifica di cui parliamo, ci sono solo 2 opzioni:
- se il codice è open source, qualcuno si è letto il codice e ha trovato l'inghippo
- qualcuno ha rilevato l'inghippo sulle sue spalle e lo comunica in giro

Nessun antivirus cerca le differenze con il codice originale, anche perchè nessuno può dire quale fosse il codice originale, salvo tener traccia di tutto il codice di tutti i programmi, che è impensabile e infattibile visto che non tutti sono open source.
legendary
Activity: 3248
Merit: 1070
April 19, 2014, 02:24:56 AM
#44
per quello tipo di malignità ho il mio mini wallet con 0.01-0.1

voglio vedere che fai contro una cosa del genere, non c'è virus che tenga

non c'è antivirus al mondo che possa accorgersi di un wallet che spedisce i coin ad un indirizzo diverso da quello che vuole l'utente.

Qui l'unica sicurezza è scaricare il wallet dai repository ufficiali o di fidarsi dello sviluppatore dell'altcoin di turno, l'antivirus non ti da nessun aiuto.

Se poi stiamo parlando di codice che cerca di rubare file in giro o peggio ancora di interferire con altri processi, allora il discorso cambia

beh ma se quel wallet è stato già catalogato come maligno, non vedo perché non dovrebbe accorgersene

il punto è che non si può sapere se questo tipo di modifiche(i virus sono anche modifiche) sono state già fatte o meno, quindi c'è sempre la possibilità che il virus/modifica venga rilevato, come c'è la possibilità che passi inosservato

e di questo che parlavo nei miei posti, ma a quanto pare non mi avete capito...
hero member
Activity: 736
Merit: 508
April 18, 2014, 08:07:23 PM
#43
non c'è antivirus al mondo che possa accorgersi di un wallet che spedisce i coin ad un indirizzo diverso da quello che vuole l'utente.

Qui l'unica sicurezza è scaricare il wallet dai repository ufficiali o di fidarsi dello sviluppatore dell'altcoin di turno, l'antivirus non ti da nessun aiuto.

Se poi stiamo parlando di codice che cerca di rubare file in giro o peggio ancora di interferire con altri processi, allora il discorso cambia
sr. member
Activity: 351
Merit: 250
Source of knowledge is experience. A.E.
April 18, 2014, 06:44:53 PM
#42
E chi ha mai detto il contrario, stavo solo dicendo che ci sono molte tecniche per nascondere un virus, poi mi sembra ovvio che se io modifico i sorgenti e li ricompilo non ho creato un virus ma un programma (furbo) che se abbastanza virale verrà inserito nei db degli AV.

...l'eterna caccia tra il gatto ed il topo!
full member
Activity: 168
Merit: 100
April 18, 2014, 06:36:45 PM
#41
Datevi una letta qui (in inglese)...LINK Wink

..gli antivirus non mi danno poi tutta questa fiducia!

Ripeto che qui non stiamo parlando di virus che infettano un programma... stiamo parlando di modificare il codice sorgente e distribuire una versione modificata del wallet con un comportamento malevolo all'insaputa dell'utente. Non è qualcosa che un antivirus possa impedire in alcun modo, se l'utente ci casca e scarica un wallet taroccato.

Allo stesso modo in cui nessun programma può impedire a qualcuno di dare le sue credenziali a un sito di phishing, se l'utente cade nella trappola e crede che il sito sia legittimo.
sr. member
Activity: 351
Merit: 250
Source of knowledge is experience. A.E.
April 18, 2014, 06:21:47 PM
#40
Datevi una letta qui (in inglese)...LINK Wink

..gli antivirus non mi danno poi tutta questa fiducia!
full member
Activity: 168
Merit: 100
April 17, 2014, 02:07:48 PM
#39
Se fosse così semplice, sicuramente qualcuno ci avrebbe pensato prima, e si sarebbe parlato molto sulla rete di wallet fasulli.
Fin ora io non ho mai sentito di nulla del genere, quindi credo che non sia una cosa fattibile.

Al momento gli utilizzatori di Bitcoin sono praticamente tutti esperti di informatica o almeno utenti evoluti, abbastanza da sapere che non è il caso di scaricare software da siti non ufficiali, soprattutto se poi quel software deve maneggiare qualcosa di valore; nessuno che sappia cosa sta facendo si sognerebbe mai di scaricare un wallet da un sito a casaccio, né ci sarebbe motivo di farlo, visto che i siti ufficiali sono ben connessi e i software pesano pochi MB. Molti addirittura compilano il codice in proprio, pratica peraltro comunissima sui sistemi Linux.

Se e quando i Bitcoin diventeranno di uso comune, assisteremo a un proliferare di wallet di dubbia origine e di sedicenti "mirror" dei wallet più noti, e temo seriamente che parecchia gente ci cascherà, come succede coi siti di phishing che prima o poi qualche idiota che gli fornisce le proprie credenziali o la carta di credito lo trovano sempre Undecided
member
Activity: 84
Merit: 10
Comprate i vostri BTC, aiuto anche per i Newbie :)
April 17, 2014, 11:52:41 AM
#38
Se fosse così semplice, sicuramente qualcuno ci avrebbe pensato prima, e si sarebbe parlato molto sulla rete di wallet fasulli.
Fin ora io non ho mai sentito di nulla del genere, quindi credo che non sia una cosa fattibile.
legendary
Activity: 3248
Merit: 1070
April 17, 2014, 11:06:48 AM
#37
credi che qualcun'altro non l'abbia gia fatto? e che non sia gia tra il database degli antivirus e quindi riconosciuto come maligno?

Vedo che continui a non capire.

Se io scrivo un virus che entra sul tuo computer, cerca un wallet Bitcoin, lo apre (ammesso che non sia cifrato) e mi spedisce le chiavi che ci trova dentro (come in effetti ce ne sono parecchi in giro), appena questo viene scoperto e inserito nelle firme virali l'antivirus può imparare a riconoscerlo come virus e bloccarlo.

Ma se io poi ne scrivo un altro simile, non sarà lo stesso programma e non avrà la stessa firma, quindi l'antivirus non riconoscerà un bel niente.

Se poi invece vado proprio a modificare il codice di un wallet per fargli fare qualcosa di inappropriato, tipo spedirmi le tue chiavi private, quel codice finirà in mezzo a tutto il resto del codice del wallet, e esaminano il file binario che risulta dopo averlo compilato questo risulterà sì modificato rispetto all'originale, ma a meno di non controllarne il checksum (cosa che deve fare l'utente, non l'antivirus che non ha idea da dove quel programma venga e perché debba avere un certo checksum piuttosto che un altro) non ci sarà modo di capire se sta facendo qualcosa che non vuoi o se invece sta lavorando esattamente come l'utente si aspetta.

Quote
l'unico modo che hai di bypassare un anti-virus è creare un virus che non è simile a nessuno di quelli nel database

Il che è un po' come dire che l'unico modo per non avere una hash collision con gli indirizzi Bitcoin è creare un indirizzo che non sia simile a qualcuno già in uso. Ma, ops, non c'è nessun problema a farlo, considerando che ce n'è un numero spropositato. Esattamente come i programmi che possono essere scritti.

Quote
senza contare che il tuo pezzetto di codice non può svolazzare cosi "se fa x manda la chiave privata a me", deve essere collegato al resto in un modo in cui vengono collegati anche altri virus

voglio dire la programmazione dietro ai virus è simile

No, non è affatto simile. Un virus è del codice estraneo che viene riconosciuto come tale. Qui stiamo parlando di modificare il programma originale. Non è una modifica "scorretta" o "sbagliata", potrebbe benissimo avercela inserita lo sviluppatore. Oppure io, che ho preso i sorgenti (liberamente disponibili), li ho modificati e ho ricompilato il programma. Questo succede ogni volta che aggiorni un software o ne installi una nuova versione. L'antivirus non ha alcun modo di sapere se il programma è stato modificato in un modo che a te non sta bene.


i virus di questo tipo sono per forza di cose simili, seguono uno stesso pattern, verranno riconosciuti grazie all'euristica nel 50% dei casi almeno

continuo a pensare che non sia cosi semplice come dici tu
legendary
Activity: 3808
Merit: 2044
April 17, 2014, 08:46:56 AM
#36
Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.

A livello puramente teorico potrebbe anche essere possibile, ammesso che quei settori non siano già stati sovrascritti da qualcos'altro (cosa tutt'altro che improbabile).
La maggior parte degli utenti però abilita la criptazione subito dopo aver installato il wallet, e da quel momento in poi tutti i nuovi indirizzi creati vengono memorizzati solo nel wallet criptato. Inoltre, nel caso tu abbia copiato il wallet che stai usando da un backup (già criptato) preso da un wallet precedente, sul disco del tuo computer non ci sarà proprio nessun wallet in chiaro.

Insomma, il tuo approccio potrebbe teoricamente funzionare solo su un sistema dove la cifratura del wallet è stata attivata al massimo da qualche giorno e prima è stato utilizzato un wallet in chiaro. Non sarà improbabile come una hash collision, ma direi che non è nemmeno molto più probabile Roll Eyes


Si e no.

Facendo una scansione sul mio disco ho trovato wallet di un anno fà ancora disponibili nei settori.

E per esempio io i wallet li crypto se ho delle coin sopra, altrimenti li lascio lì senza crearmi il problema. Magari è un errore, ma chissà quanti fanno la stessa cosa. Senza contare che bisogna vedere quanti generano continuamente nuovi address invece di utilizzare i precedenti. Sicuramente il Default lo ritrovi.


FaSan


Motivo per cui per pc dedicati a contenere dati particolarmente sensibili è sempre meglio usare partizioni criptate. Inclusa partizione di swap.
hero member
Activity: 658
Merit: 502
April 17, 2014, 08:36:02 AM
#35
Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.

A livello puramente teorico potrebbe anche essere possibile, ammesso che quei settori non siano già stati sovrascritti da qualcos'altro (cosa tutt'altro che improbabile).
La maggior parte degli utenti però abilita la criptazione subito dopo aver installato il wallet, e da quel momento in poi tutti i nuovi indirizzi creati vengono memorizzati solo nel wallet criptato. Inoltre, nel caso tu abbia copiato il wallet che stai usando da un backup (già criptato) preso da un wallet precedente, sul disco del tuo computer non ci sarà proprio nessun wallet in chiaro.

Insomma, il tuo approccio potrebbe teoricamente funzionare solo su un sistema dove la cifratura del wallet è stata attivata al massimo da qualche giorno e prima è stato utilizzato un wallet in chiaro. Non sarà improbabile come una hash collision, ma direi che non è nemmeno molto più probabile Roll Eyes


Si e no.

Facendo una scansione sul mio disco ho trovato wallet di un anno fà ancora disponibili nei settori.

E per esempio io i wallet li crypto se ho delle coin sopra, altrimenti li lascio lì senza crearmi il problema. Magari è un errore, ma chissà quanti fanno la stessa cosa. Senza contare che bisogna vedere quanti generano continuamente nuovi address invece di utilizzare i precedenti. Sicuramente il Default lo ritrovi.


FaSan
full member
Activity: 168
Merit: 100
April 17, 2014, 08:33:27 AM
#34
credi che qualcun'altro non l'abbia gia fatto? e che non sia gia tra il database degli antivirus e quindi riconosciuto come maligno?

Vedo che continui a non capire.

Se io scrivo un virus che entra sul tuo computer, cerca un wallet Bitcoin, lo apre (ammesso che non sia cifrato) e mi spedisce le chiavi che ci trova dentro (come in effetti ce ne sono parecchi in giro), appena questo viene scoperto e inserito nelle firme virali l'antivirus può imparare a riconoscerlo come virus e bloccarlo.

Ma se io poi ne scrivo un altro simile, non sarà lo stesso programma e non avrà la stessa firma, quindi l'antivirus non riconoscerà un bel niente.

Se poi invece vado proprio a modificare il codice di un wallet per fargli fare qualcosa di inappropriato, tipo spedirmi le tue chiavi private, quel codice finirà in mezzo a tutto il resto del codice del wallet, e esaminano il file binario che risulta dopo averlo compilato questo risulterà sì modificato rispetto all'originale, ma a meno di non controllarne il checksum (cosa che deve fare l'utente, non l'antivirus che non ha idea da dove quel programma venga e perché debba avere un certo checksum piuttosto che un altro) non ci sarà modo di capire se sta facendo qualcosa che non vuoi o se invece sta lavorando esattamente come l'utente si aspetta.

Quote
l'unico modo che hai di bypassare un anti-virus è creare un virus che non è simile a nessuno di quelli nel database

Il che è un po' come dire che l'unico modo per non avere una hash collision con gli indirizzi Bitcoin è creare un indirizzo che non sia simile a qualcuno già in uso. Ma, ops, non c'è nessun problema a farlo, considerando che ce n'è un numero spropositato. Esattamente come i programmi che possono essere scritti.

Quote
senza contare che il tuo pezzetto di codice non può svolazzare cosi "se fa x manda la chiave privata a me", deve essere collegato al resto in un modo in cui vengono collegati anche altri virus

voglio dire la programmazione dietro ai virus è simile

No, non è affatto simile. Un virus è del codice estraneo che viene riconosciuto come tale. Qui stiamo parlando di modificare il programma originale. Non è una modifica "scorretta" o "sbagliata", potrebbe benissimo avercela inserita lo sviluppatore. Oppure io, che ho preso i sorgenti (liberamente disponibili), li ho modificati e ho ricompilato il programma. Questo succede ogni volta che aggiorni un software o ne installi una nuova versione. L'antivirus non ha alcun modo di sapere se il programma è stato modificato in un modo che a te non sta bene.
full member
Activity: 168
Merit: 100
April 17, 2014, 08:23:56 AM
#33
Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.

A livello puramente teorico potrebbe anche essere possibile, ammesso che quei settori non siano già stati sovrascritti da qualcos'altro (cosa tutt'altro che improbabile).
La maggior parte degli utenti però abilita la criptazione subito dopo aver installato il wallet, e da quel momento in poi tutti i nuovi indirizzi creati vengono memorizzati solo nel wallet criptato. Inoltre, nel caso tu abbia copiato il wallet che stai usando da un backup (già criptato) preso da un wallet precedente, sul disco del tuo computer non ci sarà proprio nessun wallet in chiaro.

Insomma, il tuo approccio potrebbe teoricamente funzionare solo su un sistema dove la cifratura del wallet è stata attivata al massimo da qualche giorno e prima è stato utilizzato un wallet in chiaro. Non sarà improbabile come una hash collision, ma direi che non è nemmeno molto più probabile Roll Eyes
legendary
Activity: 3248
Merit: 1070
April 17, 2014, 01:10:51 AM
#32
eh appunto come fai a dire che a lui non sembra un virus?

Perché un virus non viene riconosciuto usando "ragionamenti" del tipo "se manda una chiave privata a qualcuno allora è un virus". Questo implicherebbe sapere cosa sia una chiave privata, sapere da dove proviene, sapere che il proprietario non vuole che venga divulgata... queste non sono cose di competenza di un antivirus. Un antivirus cerca solo sequenze di byte corrispondenti alle "firme", ossia a pezzi di virus già conosciuti, e reagisce a quelli quando li individua. Non si mette a fare ipotesi su cosa un programma possa fare e se questo sia o meno gradito all'utente.


credi che qualcun'altro non l'abbia gia fatto? e che non sia gia tra il database degli antivirus e quindi riconosciuto come maligno?

l'unico modo che hai di bypassare un anti-virus è creare un virus che non è simile a nessuno di quelli nel database

ripeto non è cosi facile come la fai tu

senza contare che il tuo pezzetto di codice non può svolazzare cosi "se fa x manda la chiave privata a me", deve essere collegato al resto in un modo in cui vengono collegati anche altri virus

voglio dire la programmazione dietro ai virus è simile
hero member
Activity: 658
Merit: 502
April 16, 2014, 07:29:06 PM
#31
Su questo ho i miei dubbi... Ho giusto giusto trovato un programmino che....  Cool Cool Cool Cool

Su questo, se permetti, ho io qualche dubbio Roll Eyes

Auguri a decrittare questa roba senza la passphrase: https://en.bitcoin.it/wiki/Wallet_encryption.



Chi ha detto che le devi per forza decriptare per trovarle ? In primo step il wallet è scritto sul disco in chiaro, poi decidi di criptarlo, e viene riscritto. Tu sei proprio sicuro che verrà riscritto negli stessi settori del disco ?

Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.


Oddio, siamo sulla teoria eh, non l' ho ancora mai provato in questo senso


FaSan
full member
Activity: 168
Merit: 100
April 16, 2014, 07:12:01 PM
#30
Su questo ho i miei dubbi... Ho giusto giusto trovato un programmino che....  Cool Cool Cool Cool

Su questo, se permetti, ho io qualche dubbio Roll Eyes

Auguri a decrittare questa roba senza la passphrase: https://en.bitcoin.it/wiki/Wallet_encryption.
full member
Activity: 168
Merit: 100
April 16, 2014, 07:10:20 PM
#29
eh appunto come fai a dire che a lui non sembra un virus?

Perché un virus non viene riconosciuto usando "ragionamenti" del tipo "se manda una chiave privata a qualcuno allora è un virus". Questo implicherebbe sapere cosa sia una chiave privata, sapere da dove proviene, sapere che il proprietario non vuole che venga divulgata... queste non sono cose di competenza di un antivirus. Un antivirus cerca solo sequenze di byte corrispondenti alle "firme", ossia a pezzi di virus già conosciuti, e reagisce a quelli quando li individua. Non si mette a fare ipotesi su cosa un programma possa fare e se questo sia o meno gradito all'utente.
legendary
Activity: 3248
Merit: 1070
April 16, 2014, 04:16:55 PM
#28
il codice originale è già salvato come non maligno nel database dei vari anti-virus, qualsiasi modifica verrà vista come maligna è semplice o almeno dovrebbe essere così...

No, gli antivirus non funzionano così, fanno esattamente il contrario: controllano tutti i file sul tuo computer e verificano che non ci sia del codice virale CONOSCIUTO. Al massimo possono tentare di individuare codice maligno SIMILE a quello conosciuto; questo è noto come "euristica", e per ovvie ragioni non è affidabile al 100%, ma almeno ci prova.

Gli antivirus non controllano che tu stia eseguendo un programma che conoscono come valido; non potrebbero mai conoscere tutti i programmi "validi" esistenti. Controllano invece che tu non stia eseguendo un programma che conoscono come virus. Per fare questo usano le firme, che servono appunto a fargli sapere quali sono i virus conosciuti e che devono essere aggiornate continuamente man mano che vengono identificati nuovi virus.

Un antivirus non ha idea di come funzionino i programmi che usi e di cosa debbano fare; l'unica cosa che fa è verificare che quando esegui un programma, dentro il codice di quel programma non ci sia qualcosa che a lui sembra un virus.

eh appunto come fai a dire che a lui non sembra un virus?

c'è sempre la possibilità che lo rilevi
hero member
Activity: 658
Merit: 502
April 16, 2014, 03:50:11 PM
#27
una cosa volevo chiedere, un malware può rubarti le chiavi all'interno di un wallet anche se non faccio partire il client?

No se il file wallet.dat (o equivalente) è crittografato, come praticamente tutti i wallet permettono di fare.
Sì, se il file è in chiaro. Basta copiarlo per avere le chiavi private di tutti gli indirizzi di quel wallet.


Su questo ho i miei dubbi... Ho giusto giusto trovato un programmino che....  Cool Cool Cool Cool
full member
Activity: 168
Merit: 100
April 16, 2014, 03:32:59 PM
#26
il codice originale è già salvato come non maligno nel database dei vari anti-virus, qualsiasi modifica verrà vista come maligna è semplice o almeno dovrebbe essere così...

No, gli antivirus non funzionano così, fanno esattamente il contrario: controllano tutti i file sul tuo computer e verificano che non ci sia del codice virale CONOSCIUTO. Al massimo possono tentare di individuare codice maligno SIMILE a quello conosciuto; questo è noto come "euristica", e per ovvie ragioni non è affidabile al 100%, ma almeno ci prova.

Gli antivirus non controllano che tu stia eseguendo un programma che conoscono come valido; non potrebbero mai conoscere tutti i programmi "validi" esistenti. Controllano invece che tu non stia eseguendo un programma che conoscono come virus. Per fare questo usano le firme, che servono appunto a fargli sapere quali sono i virus conosciuti e che devono essere aggiornate continuamente man mano che vengono identificati nuovi virus.

Un antivirus non ha idea di come funzionino i programmi che usi e di cosa debbano fare; l'unica cosa che fa è verificare che quando esegui un programma, dentro il codice di quel programma non ci sia qualcosa che a lui sembra un virus.
legendary
Activity: 3248
Merit: 1070
April 16, 2014, 02:28:28 PM
#25
beh è comunque una modifica che non ha niente a che vedere con il funzionamento del programma

Questo lo sai tu che sei utente del programma e ti aspetti dal programma un determinato funzionamento. Ma qualcosa di automatico come un antivirus deve lavorare su dati precisi, non sulle aspettative dell'utente. Ci sono migliaia di ragioni perfettamente legittime per le quali un software potrebbe aprire una connessione con un server remoto e inviargli una stringa di testo. Che ne sa l'antivirus che quella è una chiave privata? E se anche lo sapesse, che ne sa che il programma non stia facendo un backup delle chiavi private tramite salvataggio remoto, una funzione che potrebbe benissimo avere? Che ne sa che questo comportamento non sia esattamente quello che vuoi tu?

Antivirus con intelligenza artificiale temo non ne abbiano ancora inventati... Roll Eyes

Quote
non credo che basti inserire un pezzetto di codice cosi ed evadere la "sorveglianza", altrimenti l'avrebbero già fatto ti pare?

Inserirlo nel repository ufficiale sarebbe probabilmente difficile, a meno che non lo facciano di proposito gli sviluppatori. Inserirlo in un binario compilato e distribuito da qualche "mirror" invece è semplicissimo, poi basta convincere gli utenti a scaricarlo da lì con una scusa qualsiasi. Qualcuno che ci casca lo trovi. E ne troverai sempre di più se i Bitcoin diventeranno veramente di uso comune uscendo dalla cerchia di persone che più o meno con un computer sanno cosa stanno facendo.

si mentre sto anche spendendo btc contemporaneamente lol? devi per forza aggiungere del codice a quello già esistente, che se fa le stesse funzioni ordinarie verrà per tanto di cose visto come maligno perché è una copia...

il codice originale è già salvato come non maligno nel database dei vari anti-virus, qualsiasi modifica verrà vista come maligna è semplice o almeno dovrebbe essere così...

non è che adesso arriva il primo stronzo crea una stringa in c++ e gg bypass tutti gli antivirus, non funziona così
full member
Activity: 168
Merit: 100
April 16, 2014, 02:22:43 PM
#24
beh è comunque una modifica che non ha niente a che vedere con il funzionamento del programma

Questo lo sai tu che sei utente del programma e ti aspetti dal programma un determinato funzionamento. Ma qualcosa di automatico come un antivirus deve lavorare su dati precisi, non sulle aspettative dell'utente. Ci sono migliaia di ragioni perfettamente legittime per le quali un software potrebbe aprire una connessione con un server remoto e inviargli una stringa di testo. Che ne sa l'antivirus che quella è una chiave privata? E se anche lo sapesse, che ne sa che il programma non stia facendo un backup delle chiavi private tramite salvataggio remoto, una funzione che potrebbe benissimo avere? Che ne sa che questo comportamento non sia esattamente quello che vuoi tu?

Antivirus con intelligenza artificiale temo non ne abbiano ancora inventati... Roll Eyes

Quote
non credo che basti inserire un pezzetto di codice cosi ed evadere la "sorveglianza", altrimenti l'avrebbero già fatto ti pare?

Inserirlo nel repository ufficiale sarebbe probabilmente difficile, a meno che non lo facciano di proposito gli sviluppatori. Inserirlo in un binario compilato e distribuito da qualche "mirror" invece è semplicissimo, poi basta convincere gli utenti a scaricarlo da lì con una scusa qualsiasi. Qualcuno che ci casca lo trovi. E ne troverai sempre di più se i Bitcoin diventeranno veramente di uso comune uscendo dalla cerchia di persone che più o meno con un computer sanno cosa stanno facendo.
legendary
Activity: 3248
Merit: 1070
April 16, 2014, 02:11:03 PM
#23
perché non fa parte del codice originale, è una cosa aggiunta, adesso non so su quale base funzionano i rilevamenti....

Scusa eh, ma un antivirus CHE NE SA del concetto "non fa parte del codice originale, è una cosa aggiunta"?!? Shocked

Mi sa che non hai ben chiaro come funzionano gli antivirus, o i software in generale...


beh è comunque una modifica che non ha niente a che vedere con il funzionamento del programma

non credo che basti inserire un pezzetto di codice cosi ed evadere la "sorveglianza", altrimenti l'avrebbero già fatto ti pare?
full member
Activity: 168
Merit: 100
April 16, 2014, 02:06:42 PM
#22
perché non fa parte del codice originale, è una cosa aggiunta, adesso non so su quale base funzionano i rilevamenti....

Scusa eh, ma un antivirus CHE NE SA del concetto "non fa parte del codice originale, è una cosa aggiunta"?!? Shocked

Mi sa che non hai ben chiaro come funzionano gli antivirus, o i software in generale...
full member
Activity: 168
Merit: 100
April 16, 2014, 02:05:27 PM
#21
una cosa volevo chiedere, un malware può rubarti le chiavi all'interno di un wallet anche se non faccio partire il client?

No se il file wallet.dat (o equivalente) è crittografato, come praticamente tutti i wallet permettono di fare.
Sì, se il file è in chiaro. Basta copiarlo per avere le chiavi private di tutti gli indirizzi di quel wallet.
legendary
Activity: 3248
Merit: 1070
April 16, 2014, 02:04:41 PM
#20
per fare una cosa del genere ci deve essere sempre un frammento di codice, che è catalogato come maligno, senza contare l'euristica...


Assolutamente no. Dove stà scritto che leggere una chiave privata e inviarla all' esterno è catalogato come codice maligno ? "Potrebbe", ma difatto non è.



FaSan

perché non fa parte del codice originale, è una cosa aggiunta, adesso non so su quale base funzionano i rilevamenti....

full member
Activity: 168
Merit: 100
April 16, 2014, 02:04:23 PM
#19
per fare una cosa del genere ci deve essere sempre un frammento di codice, che è catalogato come maligno, senza contare l'euristica...


Assolutamente no. Dove stà scritto che leggere una chiave privata e inviarla all' esterno è catalogato come codice maligno ? "Potrebbe", ma difatto non è.

Infatti. Ci sono infinite cose che un software può fare e sarebbero perfettamente legittime se tu gli avessi detto di farlo, ma non lo sono se invece le fa a tua insaputa. Se qualcuno riuscisse a trovare un modo di verificare che un programma faccia effettivamente quello che vuole l'utente (e non quello che magari gli dice di fare per sbaglio), sarebbe una svolta epocale Grin
hero member
Activity: 658
Merit: 502
April 16, 2014, 01:43:39 PM
#18
per fare una cosa del genere ci deve essere sempre un frammento di codice, che è catalogato come maligno, senza contare l'euristica...


Assolutamente no. Dove stà scritto che leggere una chiave privata e inviarla all' esterno è catalogato come codice maligno ? "Potrebbe", ma difatto non è.



FaSan
legendary
Activity: 3248
Merit: 1070
April 16, 2014, 01:21:53 PM
#17
a dir la verità mi è già entrato un virus, era sul wallet maxcoin, io stupido preso dalla fretta ho scaricato uno di quei wallet che postano gli utenti random, non il dev

dopo che l'ho scaricato avevo gia notato qualcosa di strano , poi continuava ad apparire il cmd di windows lol, ovviamente ho staccato la rete e pulito, però mi sono cagato sotto perché avevo ancora i miei btc sul computer, strano che non me li abbia rubati....

una cosa volevo chiedere, un malware può rubarti le chiavi all'interno di un wallet anche se non faccio partire il client?
legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
April 16, 2014, 01:14:51 PM
#16
ho anche messo un wallet con 0.01 btc che mi serve per sapere se sono veramente infetto, se non mi rubano quelli sono al sicuro lol

You made my day  Grin Grin
legendary
Activity: 3248
Merit: 1070
April 16, 2014, 01:10:47 PM
#15
un antivirus no?

Se il tuo wallet (ad esempio) ha una funzione nascosta che invia la tua chiave privata a qualcun altro ogni volta che generi un indirizzo, non si tratta di un virus, è semplicemente qualcosa che il software fa senza che tu lo sappia. Che ne dovrebbe sapere un antivirus, del fatto che tu utente sei contrario a un simile comportamento?


per fare una cosa del genere ci deve essere sempre un frammento di codice, che è catalogato come maligno, senza contare l'euristica...

E poi, se proprio vogliamo metterla sulla paranoia, che ne sapete che il browser che state usando in questo momento non invii ogni password che digitate a qualcuno? Roll Eyes


la stai facendo troppo semplice

questa è virus fobia

te ne accorgi se il sistema è infetto, non è cosi facile infettare un sistema ben coperto a meno di non scaricare robaccia dalla rete, come avevo già detto sei tu che li fai entrare i virus(o quello che volete) non entrano da soli...

senza contare che la digitazione sul mio pc è criptata da un software + antivirus + se mi accorgo di qualsiasi piccolo movimento sospetto che non riesco a rimuovere procedo in 2 secondi con secure erase e addio qualsiasi virus/malware/trojan/salcazzo

ho anche messo un wallet con 0.01 btc che mi serve per sapere se sono veramente infetto, se non mi rubano quelli sono al sicuro lol

legendary
Activity: 3808
Merit: 2044
April 16, 2014, 11:46:14 AM
#14


Dici che un semplice antivirus e/o antimalware bloccherebbe intrusioni di quel tipo? (mi riferisco a client open source e taroccati ad hoc)

imaho non servirebbe

un antivirus/malware flagga un binario come malware se è addestrato a riconoscerlo come tale, avendone qualche signature inclusa nel proprio db. Cosa tra l'altro resa sempre più difficile dall'esistenza di varianti, famiglie, malware polimorfico, ecc.
Comunque finchè qualcuno non si accorge che quella certa build di un client include un comportamento malevolo (come altri hanno descritto sopra), l'antivirus non può certo sognarselo da solo
full member
Activity: 168
Merit: 100
April 16, 2014, 11:44:12 AM
#13
E poi, se proprio vogliamo metterla sulla paranoia, che ne sapete che il browser che state usando in questo momento non invii ogni password che digitate a qualcuno? Roll Eyes

hero member
Activity: 728
Merit: 500
Crypto-ideologist
April 16, 2014, 11:37:23 AM
#12


Dici che un semplice antivirus e/o antimalware bloccherebbe intrusioni di quel tipo? (mi riferisco a client open source e taroccati ad hoc)

imaho non servirebbe
hero member
Activity: 770
Merit: 500
April 16, 2014, 11:28:25 AM
#11
Tra l'altro c'è anche il precedente di StealthBit, che aveva accanto ai sorgenti puliti un comodo binario preconfezionato con accluso malware.
Se devi aspettarti che persino gli sviluppatori cerchino di inc*larti, c'è poco da fare: ben pochi hanno la capacità e la voglia di passarsi al microscopio tonnellate di codice sorgente per tutto ciò che installano

un antivirus no?

Dici che un semplice antivirus e/o antimalware bloccherebbe intrusioni di quel tipo? (mi riferisco a client open source e taroccati ad hoc)
full member
Activity: 168
Merit: 100
April 16, 2014, 11:16:08 AM
#10
un antivirus no?

Se il tuo wallet (ad esempio) ha una funzione nascosta che invia la tua chiave privata a qualcun altro ogni volta che generi un indirizzo, non si tratta di un virus, è semplicemente qualcosa che il software fa senza che tu lo sappia. Che ne dovrebbe sapere un antivirus, del fatto che tu utente sei contrario a un simile comportamento?
legendary
Activity: 3248
Merit: 1070
April 16, 2014, 10:46:57 AM
#9
Tra l'altro c'è anche il precedente di StealthBit, che aveva accanto ai sorgenti puliti un comodo binario preconfezionato con accluso malware.
Se devi aspettarti che persino gli sviluppatori cerchino di inc*larti, c'è poco da fare: ben pochi hanno la capacità e la voglia di passarsi al microscopio tonnellate di codice sorgente per tutto ciò che installano

un antivirus no?
full member
Activity: 168
Merit: 100
April 16, 2014, 10:03:32 AM
#8
Se devi aspettarti che persino gli sviluppatori cerchino di inc*larti, c'è poco da fare: ben pochi hanno la capacità e la voglia di passarsi al microscopio tonnellate di codice sorgente per tutto ciò che installano

Senza contare poi i bug, vedi il recente disastro di OpenSSL.

Avere il sorgente a disposizione è un'ottima cosa, ma è un concetto ben diverso da "usate questa roba con fiducia ché tanto l'avrà sicuramente esaminata qualcun altro"...
legendary
Activity: 3808
Merit: 2044
April 16, 2014, 09:55:59 AM
#7
Tra l'altro c'è anche il precedente di StealthBit, che aveva accanto ai sorgenti puliti un comodo binario preconfezionato con accluso malware.
Se devi aspettarti che persino gli sviluppatori cerchino di inc*larti, c'è poco da fare: ben pochi hanno la capacità e la voglia di passarsi al microscopio tonnellate di codice sorgente per tutto ciò che installano
full member
Activity: 168
Merit: 100
April 16, 2014, 08:14:22 AM
#6
Secondo voi è possibile uno scenario simile?

Per quanto ne sappiamo, potrebbe benissimo essere così già con il client ufficiale, o con qualsiasi altro wallet di uso comune: chi ti assicura che non contengano una backdoor?

L'unico modo di essere sicuri al 100% sarebbe scaricare i sorgenti e compilarli in proprio; e anche in quel caso, occorrerebbe prima studiarli e capirli, cosa tutt'altro che semplice anche per un programmatore esperto, figuriamoci per un semplice utente.

Altrimenti, occorre accettare il rischio (presente in QUALSIASI software, open source compreso a meno di non esaminare il sorgente personalmente) di fare affidamento su un programma che potrebbe benissimo fare quello che vuole senza che l'utente ne sappia nulla.
legendary
Activity: 3248
Merit: 1070
April 16, 2014, 08:08:49 AM
#5
potrei sgamarti facilmente spedendo 20k satoshi per vedere se sono infetto

lascio da parte un wallet apposta per questo  Grin
hero member
Activity: 658
Merit: 502
April 16, 2014, 12:41:51 AM
#4
Se parliamo di BTC è improbabile, visto che difficilmente vai a scarica il wallet da indirizzi non ufficiali.




non si potrebbe con un phishing ben fatto?

oppure se riuscisse a piazzarlo su indirizzi ufficiali, magari per un breve lasso di tempo e a più riprese?
non credo che tutti facciano un check della signature quando scaricano dall'ufficiale




Teoricamente si può fare tutto. Praticamente non è così facile bucare un server se chi lo gestisce sà cosa stà facendo. Il phishing invece, visto che è destinato ad un' utenza tecnicamente meno preparata è più facile. Diciamo che con' opportuno attacco ai DNS potresti farcela.

E' anche vero che dovresti farlo a cavallo di una versione, altrimenti la maggior parte dei download sarebbero di wallet nuovi e vuoti.

hero member
Activity: 728
Merit: 500
Crypto-ideologist
April 15, 2014, 09:23:53 PM
#3
Se parliamo di BTC è improbabile, visto che difficilmente vai a scarica il wallet da indirizzi non ufficiali.




non si potrebbe con un phishing ben fatto?

oppure se riuscisse a piazzarlo su indirizzi ufficiali, magari per un breve lasso di tempo e a più riprese?
non credo che tutti facciano un check della signature quando scaricano dall'ufficiale

hero member
Activity: 658
Merit: 502
April 15, 2014, 03:43:36 PM
#2
Se parliamo di BTC è improbabile, visto che difficilmente vai a scaricare il wallet da indirizzi non ufficiali.

Se parliamo di Alt-Coin si può anche essere, ma sarebbe una nuova coin che non vale il costo della corrente spesa per compilare il wallet stesso.




FaSan
hero member
Activity: 770
Merit: 500
April 15, 2014, 03:37:27 PM
#1
Sono un hacker coi controc....
Pendo il sorgente di un client qualsiasi (tanto sono tutti opensource) lo tarocco e lo riuppo in rete in modo che quando un pirlotto qualsiasi quando manda una cifra qualsiasi in btc ad un indirizzo qualsiasi in realtà li manda ad un altro indirizzo ovviamente in mio possesso.
La morale della favola è tutti i wallet in circolazione sono del tutto inaffidabili e non sicuri.
Ovviamente non è una mia considerazione.

Secondo voi è possibile uno scenario simile?
Jump to: