beh non serve necessariamente avere 1 dispositivo staccato... ma avere 2 dispositivi separati già rende la cosa impossibile (almeno che non si ha l'accesso su entrambi)
appurato che DEVONO aver avuto accesso al tuo pc per far quello che hanno fatto.. se tu non avessi avuto i dati dell'auth sul pc sarebbe stato impossibile ...
nel momento in cui su un dispositivo hai tutti i dati necessari per accedere... beh a quel punto dividere le cose è abbastanza inutile ^_^ (viene meno l'utilità della separazione)
detto questo esistono componenti hardware per criptare le cose...tipo so che esiste una chiavetta che se si sbaglia il codice come sistema di protezione ha l'autodistruzione hardware della memoria (la brucia), ma son cose che son utilizzate professionalmente... e cmq tutto ha senso solo in determinate situazioni... perchè se cmq blocchi una strada ma ne lasci un'altra aperta allora non cambia molto ^^
(credo che la cosa di cui parlavo è questa, ma non ci metto la mano sul fuoco dato che era un discorso uscito all'uni e ho una piccolissima memoria di questo, sia questa http://store1.imation.com/store/imation/list/categoryID.59867300 ... )
Topic: rubati 24 bitcoin su bitstam. 2FA+password lunga 20 + email di conferma prelievo - page 5. (Read 8768 times)
March 08, 2014, 07:00:30 AM
March 08, 2014, 06:44:44 AM
E' paradossale come non esista niente in proposito. Penso che i Rasberry PI
) un bello spunto per futuri sviluppi in tal senso.http://coldpi.com/
http://www.pi-wallet.com/
March 08, 2014, 06:31:47 AM
criptografia:
modificare una informazione sfruttando una formula matematica e una chiave
per decriptare il messaggio basta avere la chiave e conoscere la formula
la chiave può essere una password come può essere un file (che è semplicemente una password lunga e quindi difficile da memorizzare) ... il risultato non cambia... se si è in possesso della chiave puoi in ogni caso decriptare il contenuto del file...
quindi se avevano accesso al pc allora avevano accesso alla chiave per decriptare il file che quindi gli dava accesso al google auth, che quindi li ha potuti far loggare facilmente
sostanzialmente è come avere il post-it sul monitor con la psw per accedere a qualcosa...
o la cassaforte a casa con la chiave affianco...
modificare una informazione sfruttando una formula matematica e una chiave
per decriptare il messaggio basta avere la chiave e conoscere la formula
la chiave può essere una password come può essere un file (che è semplicemente una password lunga e quindi difficile da memorizzare) ... il risultato non cambia... se si è in possesso della chiave puoi in ogni caso decriptare il contenuto del file...
quindi se avevano accesso al pc allora avevano accesso alla chiave per decriptare il file che quindi gli dava accesso al google auth, che quindi li ha potuti far loggare facilmente
sostanzialmente è come avere il post-it sul monitor con la psw per accedere a qualcosa...
o la cassaforte a casa con la chiave affianco...
E' offtopic ma giusto perché l'argomento mi piace:
esistono due tipi principali di crittografia: a chiave simmetrica e a chiave asimmetrica.
GPG derivato open source di PGP usa l'algoritmo a chiave asimmetrica.
GPG o PGP rimane dalla sua nascita uno dei pochi programmi a cui l'utente può fare riferimento per proteggere i propri dati personali. Usato tra l'altro da Snowden e sembra essere uno dei pochi sistemi non direttamente intaccato dalle mire dell'NSA.
La chiave é normalmente lunga 1024, 2048 o 4096 bits.
La chiave é normalmente crittografata con una password impostata dall'utente in modo che il trafugarla non vuol dire direttamente utilizzarla.
Sono d'accordo con te che se qualcuno aveva accesso al mio mac E avevo un keylogger, qualcuno avrebbe potuto avere accesso ai miei appunti su Evernote SE avesse avuto username e password per accedervi.
In definitiva le informazioni che immagazziniamo sui dispositivi da quando i bitcoin hanno un valore rilevante, hanno acquisito un valore molto diverso da prima.
In passato mi sono interessato di crittografia ma ora l'interesse é diventato un'esigenza e la conoscenza non basta più. Occorre molta attenzione e disciplina (almeno da parte mia).
Penso che un device staccato dalla rete sia l'unico modo per combattere questi nuovi pericoli. Già da tempo i famosi "dispositivi di firma" facevano tutto al loro interno senza esporre mai le chiavi all'esterno. La stessa cosa dovranno fare i dispositivi con cui vorremo nascondere le nostre informazioni.
E' paradossale come non esista niente in proposito. Penso che i Rasberry PI
) un bello spunto per futuri sviluppi in tal senso. 
March 08, 2014, 04:54:01 AM
Ricapitolando, possono avere avuto accesso al tuo pc > da qui aver preso i dati per loggarsi a bitstamp e evernote ecc. . aver preso la chiave privata gpg dal pc, accedere a evernote prendere il file auth. e avere a questo punto tutto l'occorrente . Giusto?
Un bel sticazzi ci sta!!!
Non dovrei dirlo, ma le mie protezioni, sono diverse... ma si possono definire similare alle tue.
Un bel sticazzi ci sta!!!
Non dovrei dirlo, ma le mie protezioni, sono diverse... ma si possono definire similare alle tue.
March 08, 2014, 03:33:27 AM
criptografia:
modificare una informazione sfruttando una formula matematica e una chiave
per decriptare il messaggio basta avere la chiave e conoscere la formula
la chiave può essere una password come può essere un file (che è semplicemente una password lunga e quindi difficile da memorizzare) ... il risultato non cambia... se si è in possesso della chiave puoi in ogni caso decriptare il contenuto del file...
quindi se avevano accesso al pc allora avevano accesso alla chiave per decriptare il file che quindi gli dava accesso al google auth, che quindi li ha potuti far loggare facilmente
sostanzialmente è come avere il post-it sul monitor con la psw per accedere a qualcosa...
o la cassaforte a casa con la chiave affianco...
modificare una informazione sfruttando una formula matematica e una chiave
per decriptare il messaggio basta avere la chiave e conoscere la formula
la chiave può essere una password come può essere un file (che è semplicemente una password lunga e quindi difficile da memorizzare) ... il risultato non cambia... se si è in possesso della chiave puoi in ogni caso decriptare il contenuto del file...
quindi se avevano accesso al pc allora avevano accesso alla chiave per decriptare il file che quindi gli dava accesso al google auth, che quindi li ha potuti far loggare facilmente
sostanzialmente è come avere il post-it sul monitor con la psw per accedere a qualcosa...
o la cassaforte a casa con la chiave affianco...
March 08, 2014, 03:15:54 AM
ok criptata... ma con che chiave?
1 che stava sempre salvata da qualche parte? magari la stessa di qualcos'altro?
Qualcosa mi dice che hai un pò di confusione sulla crittografia a chiave asimmetrica.1 che stava sempre salvata da qualche parte? magari la stessa di qualcos'altro?
Sì la chiave era memorizzata sul mac.
Sì lanchiave crittografava molte altre cose.
É così che gpg normalmente lavora. Certo uno può tenere le chiavi su smartcard o su chiavetta usb ma non conosco nessuno che lo faccia.
La chiave a sua volta é protetta da password (forse é a questa che ti riferivi).
No la password della chiave non é mai stata scritta da nessuna parte.
No la password della chiave non é mai stata utilizzata da nessuna parte.
La
. March 07, 2014, 02:58:13 PM
ok criptata... ma con che chiave?
1 che stava sempre salvata da qualche parte? magari la stessa di qualcos'altro?
1 che stava sempre salvata da qualche parte? magari la stessa di qualcos'altro?
March 07, 2014, 01:02:38 PM
non mi risulta si possa fare un backup del programma senza root....
No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb.
FaSan
mmmhhh Google authenticator che io sappia non ha la possibilità di essere Backuppato nè sincronizzato.
Tutte le volte che ho rotto o perso il telefono ho dovuto ripristinare tutti i codici di Google authenticator.
Attualmente ogni volta che faccio una voce nuova su Google authenticator prendo la secret, la crittografo con GPG e la metto su Evernote.
Ovvio che se nel processo ho una volta lasciato in giro la secret di Bitstamp il gioco é fatto ma ci sto attento ed é una delle ipotesi meno probabili...
Non é una cosa che dico volentieri ma mi sembra corretto farvi sapere tutto il possibile.
questo potrebbe essere l'elemento debole...
ora non ho mai usato evernote... pero' credo sia + facile da accedere... non so neanche come funziona evernote... del tipo viene salvato online? quindi con user e psw che avevi su lastpass?
perchè in quel caso se hanno avuto accesso a lastpass ovviamente possono aver avuto accesso ad evernote e quindi al tuo 2fa... e quindi avere in mano tutte le carte utili per far quello che hanno fatto
certo ma non dimenticarti di gpg. una chiave RSA 2048 non é la più forte ma non é certo alla portata degli hacker (l'nsa in un annetto secondo me la può far fuori ma deve spenderci un bel pò di risorse).
Oggi ho rifatto tutti i codici di Google authenticator ma mi sa che non li metto su evernote...
March 07, 2014, 11:47:22 AM
non mi risulta si possa fare un backup del programma senza root....
No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb.
FaSan
mmmhhh Google authenticator che io sappia non ha la possibilità di essere Backuppato nè sincronizzato.
Tutte le volte che ho rotto o perso il telefono ho dovuto ripristinare tutti i codici di Google authenticator.
Attualmente ogni volta che faccio una voce nuova su Google authenticator prendo la secret, la crittografo con GPG e la metto su Evernote.
Ovvio che se nel processo ho una volta lasciato in giro la secret di Bitstamp il gioco é fatto ma ci sto attento ed é una delle ipotesi meno probabili...
Non é una cosa che dico volentieri ma mi sembra corretto farvi sapere tutto il possibile.
questo potrebbe essere l'elemento debole...
ora non ho mai usato evernote... pero' credo sia + facile da accedere... non so neanche come funziona evernote... del tipo viene salvato online? quindi con user e psw che avevi su lastpass?
perchè in quel caso se hanno avuto accesso a lastpass ovviamente possono aver avuto accesso ad evernote e quindi al tuo 2fa... e quindi avere in mano tutte le carte utili per far quello che hanno fatto
March 07, 2014, 10:49:21 AM
ma il 2fa di google non ti manda un codice sul telefonino(non smartphone)?
dovrebbe essere impossibile per chiunque entrare, anche avendo un malware nel pc...
dovrebbe essere impossibile per chiunque entrare, anche avendo un malware nel pc...
March 07, 2014, 10:32:41 AM
io propendere per l ipotesi che questo non sia mai accaduto o è accaduto diversamente da come descritto, non avrebbe senso, sarebbe il primo caso al mondo.
Non posso proprio biasimarti. Non sai quanto ho pensato di aver fatto io quel prelievo e di essermene scordato. era da giorni che pensavo che ero un cretino a tenere i soldi su bitstamp e avevo intenzione di toglierli. Erano giorni un pò frenetici abbiamo avuto l'evento a Bologna e il giorno dopo sono partito per la montagna.
E' scoppiato il fattaccio di Mt.Gox e mi son detto:"adesso li togli di lì..." ci avevano già pensato (loro)
Nutro la segreta speranza ancora di aver fatto il prelievo io ma l'indirizzo non mi appartiene e la mail di conferma non c'é...
March 07, 2014, 10:27:16 AM
non mi risulta si possa fare un backup del programma senza root....
No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb.
FaSan
Quello che hanno sempre detto a tutti é che se non hai il telefono con accesso di root i dati relativi alle applicazioni te li scordi altrimetni potresti fare il backup di google authenticator che non penso sia possibile in un telefono non rootato.
March 07, 2014, 10:21:25 AM
Io propengo per la soluzione più semplice, ovvero avere avuto accesso al file .dat del 2FA dell' utente.
sulll'imbrobabile sono d'accordo, che non vuol dire impossibile.
la penserei come te se non fosse che gabridome assicura che il suo tel non era stato rootato. un attacco mirato al .dat del 2FA a questo punto può essere stato effettuato:
a) da un cracker estremamente fortunato, che si è trovato nel posto giusto al momento giusto (improbabile anche questo, forse più del 2FA bruteforce)
b) da una persona a lui vicina (possibilissimo)
tutto questo ammesso e non concesso che semplicemente gabridome avesse salvato il codice padre del 2FA da qualche parte, e non se lo ricorda.
Il mio telefono era con me e io ero in montagna con mia moglie.
Data l'eventualità che abbiano potuto accedere a dei codici di Google authenticator mi sembra opportuno che li rifaccia tutti.
March 07, 2014, 10:18:52 AM
non mi risulta si possa fare un backup del programma senza root....
No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb.
FaSan
mmmhhh Google authenticator che io sappia non ha la possibilità di essere Backuppato nè sincronizzato.
Tutte le volte che ho rotto o perso il telefono ho dovuto ripristinare tutti i codici di Google authenticator.
Attualmente ogni volta che faccio una voce nuova su Google authenticator prendo la secret, la crittografo con GPG e la metto su Evernote.
Ovvio che se nel processo ho una volta lasciato in giro la secret di Bitstamp il gioco é fatto ma ci sto attento ed é una delle ipotesi meno probabili...
Non é una cosa che dico volentieri ma mi sembra corretto farvi sapere tutto il possibile.
March 07, 2014, 09:48:23 AM
Io propengo per la soluzione più semplice, ovvero avere avuto accesso al file .dat del 2FA dell' utente.
sulll'imbrobabile sono d'accordo, che non vuol dire impossibile.
la penserei come te se non fosse che gabridome assicura che il suo tel non era stato rootato. un attacco mirato al .dat del 2FA a questo punto può essere stato effettuato:
a) da un cracker estremamente fortunato, che si è trovato nel posto giusto al momento giusto (improbabile anche questo, forse più del 2FA bruteforce)
b) da una persona a lui vicina (possibilissimo)
tutto questo ammesso e non concesso che semplicemente gabridome avesse salvato il codice padre del 2FA da qualche parte, e non se lo ricorda.
March 07, 2014, 09:25:20 AM
Scusate se, da perfetto noob, non riesco a esprimermi in termini tecnici.
Io direi che questo è stato un tentativo "mirato" cioè ci sono migliaia di hacker e cagate varie, ma non è che tutti conoscono i bitcoin, bitstamp, ecc.
E' capitato anche a me che hanno bucato il pc e hanno provato ad accedere al mio paypal o moneybookers, ma non certo ad altre cose che avevo salvate sul pc, perchè magari chi lo ha bucato non sapeva nemmeno cosa fossero.
Il tizio che ha rubato è andato a colpo sicuro, conosceva i bitcoin, bitstamp ecc, per questo penso sia stato o uno che gabridome conosce qualcuno che ha preso dati di utenti bitstamp.
Cmq, mi dispiace davvero moltissimo per Gabri, perchè mi è sempre sembrato uno che crede veramente nei bitcoin, non solo come investimento
Io direi che questo è stato un tentativo "mirato" cioè ci sono migliaia di hacker e cagate varie, ma non è che tutti conoscono i bitcoin, bitstamp, ecc.
E' capitato anche a me che hanno bucato il pc e hanno provato ad accedere al mio paypal o moneybookers, ma non certo ad altre cose che avevo salvate sul pc, perchè magari chi lo ha bucato non sapeva nemmeno cosa fossero.
Il tizio che ha rubato è andato a colpo sicuro, conosceva i bitcoin, bitstamp ecc, per questo penso sia stato o uno che gabridome conosce qualcuno che ha preso dati di utenti bitstamp.
Cmq, mi dispiace davvero moltissimo per Gabri, perchè mi è sempre sembrato uno che crede veramente nei bitcoin, non solo come investimento
March 07, 2014, 09:24:59 AM
inoltre stiamo parlando dell'auth di google.... penso che sia previsto già un sistema anti bruteforce... con tutta la sicurezza che si sforzano di mettere... una banalità del genere sarebbe il massimo
secondo me o aveva il codice padre per l'auth .... oppure aveva una sessione aperta...
il file di cui parla fasan io sono abbastanza convinto che non sia ottenibile senza root...
secondo me o aveva il codice padre per l'auth .... oppure aveva una sessione aperta...
il file di cui parla fasan io sono abbastanza convinto che non sia ottenibile senza root...
Forse è stata sfruttata la sessione aperta ?
Vedi http://www.tomshw.it/cont/news/google-rivede-l-autenticazione-in-due-step-era-vulnerabile/43450/1.html
March 07, 2014, 08:59:02 AM
inoltre stiamo parlando dell'auth di google.... penso che sia previsto già un sistema anti bruteforce... con tutta la sicurezza che si sforzano di mettere... una banalità del genere sarebbe il massimo
secondo me o aveva il codice padre per l'auth .... oppure aveva una sessione aperta...
il file di cui parla fasan io sono abbastanza convinto che non sia ottenibile senza root...
secondo me o aveva il codice padre per l'auth .... oppure aveva una sessione aperta...
il file di cui parla fasan io sono abbastanza convinto che non sia ottenibile senza root...
March 07, 2014, 08:54:34 AM
ipotesi n°1 :
again. 2fa bruteforce.
una carta di credito rubata, un centinaio di istanze cloud da due soldi con 10 IP cadauna, un buon programmatore AWS e un'oretta o due di pazienza. con un centinaio di tentativi al secondo effettuati dalle 100 istanze (dunque 10\sec per IP), abbiamo circa 600mila tentativi al minuto. Un po' di fortuna (che non guasta mai) e in un'oretta o due violi l'account. stiamo ipotizzando un software non esattamente alla portata di tutti, ma assolutamente realizzabile.
se bitstamp non aveva adottato misure preventive automatizzate per il blocco degli accounts a fronte di eccessivi tentativi (e nessuno qui mi ha ancora confermato che le aveva adottate, confermatemelo e tutto ciò che ho detto è assolutamente infondato) e se gli audit sul blocco erano manuali, non stiamo parlando affatto di fantascienza. non per niente gli home banking ti silurano l'account, dopo il terzo tentativo 2FA fallito, e devi andare in banca a fartelo riattivare.
su come abbiano avuto le altre credenziali non saprei, ci sono 1000 modi diversi. il più probabile è un semplice keylogger sul tuo computer, un'analisi forense smentirà\confermerà questa tesi.
ipotesi n°2 :
non so quanto sia reversabile il 2FA per risalire al codice padre, francamente non so proprio con che algoritmo funzioni.
tuttavia, se esiste una possibilità di reversare il 2FA, avendo per le mani il keylog di un numero sufficiente accessi 2FA e relativo timestamp, avrebbero potuto rigenerare il codice padre. Questa cosa mi fa ancora più paura, fuffa ?
again. 2fa bruteforce.
una carta di credito rubata, un centinaio di istanze cloud da due soldi con 10 IP cadauna, un buon programmatore AWS e un'oretta o due di pazienza. con un centinaio di tentativi al secondo effettuati dalle 100 istanze (dunque 10\sec per IP), abbiamo circa 600mila tentativi al minuto. Un po' di fortuna (che non guasta mai) e in un'oretta o due violi l'account. stiamo ipotizzando un software non esattamente alla portata di tutti, ma assolutamente realizzabile.
se bitstamp non aveva adottato misure preventive automatizzate per il blocco degli accounts a fronte di eccessivi tentativi (e nessuno qui mi ha ancora confermato che le aveva adottate, confermatemelo e tutto ciò che ho detto è assolutamente infondato) e se gli audit sul blocco erano manuali, non stiamo parlando affatto di fantascienza. non per niente gli home banking ti silurano l'account, dopo il terzo tentativo 2FA fallito, e devi andare in banca a fartelo riattivare.
su come abbiano avuto le altre credenziali non saprei, ci sono 1000 modi diversi. il più probabile è un semplice keylogger sul tuo computer, un'analisi forense smentirà\confermerà questa tesi.
ipotesi n°2 :
non so quanto sia reversabile il 2FA per risalire al codice padre, francamente non so proprio con che algoritmo funzioni.
tuttavia, se esiste una possibilità di reversare il 2FA, avendo per le mani il keylog di un numero sufficiente accessi 2FA e relativo timestamp, avrebbero potuto rigenerare il codice padre. Questa cosa mi fa ancora più paura, fuffa ?
600mila tentativi al minuto e Bitstamp non si è accorto di niente ? mi sembra improbabile... senza contare che i tentativi sarebbero loggati e non ci sono nei log mostrati. Inoltre se fosse così avremmo centinaia di utenti potenzialmente hackerati, invece al momento si ha notizia di uno solo.
Io propengo per la soluzione più semplice, ovvero avere avuto accesso al file .dat del 2FA dell' utente.
FaSan
March 07, 2014, 08:45:31 AM
io propendere per l ipotesi che questo non sia mai accaduto o è accaduto diversamente da come descritto, non avrebbe senso, sarebbe il primo caso al mondo.
Jump to: