Pages:
Author

Topic: rubati 24 bitcoin su bitstam. 2FA+password lunga 20 + email di conferma prelievo - page 6. (Read 8772 times)

hero member
Activity: 980
Merit: 1002
ipotesi n°1 :

again. 2fa bruteforce.
una carta di credito rubata, un centinaio di istanze cloud da due soldi con 10 IP cadauna, un buon programmatore AWS e un'oretta o due di pazienza. con un centinaio di tentativi al secondo effettuati dalle 100 istanze (dunque 10\sec per IP), abbiamo circa 600mila tentativi al minuto. Un po' di fortuna (che non guasta mai) e in un'oretta o due violi l'account. stiamo ipotizzando un software non esattamente alla portata di tutti, ma assolutamente realizzabile.
se bitstamp non aveva adottato misure preventive automatizzate per il blocco degli accounts a fronte di eccessivi tentativi (e nessuno qui mi ha ancora confermato che le aveva adottate, confermatemelo e tutto ciò che ho detto è assolutamente infondato) e se gli audit sul blocco erano manuali, non stiamo parlando affatto di fantascienza. non per niente gli home banking ti silurano l'account, dopo il terzo tentativo 2FA fallito, e devi andare in banca a fartelo riattivare.
su come abbiano avuto le altre credenziali non saprei, ci sono 1000 modi diversi. il più probabile è un semplice keylogger sul tuo computer, un'analisi forense smentirà\confermerà questa tesi.

ipotesi n°2 :

non so quanto sia reversabile il 2FA per risalire al codice padre, francamente non so proprio con che algoritmo funzioni.
tuttavia, se esiste una possibilità di reversare il 2FA, avendo per le mani il keylog di un numero sufficiente accessi 2FA e relativo timestamp, avrebbero potuto rigenerare il codice padre. Questa cosa mi fa ancora più paura, fuffa ?
sr. member
Activity: 616
Merit: 250
full member
Activity: 168
Merit: 100
non mi risulta che sia possibile syncare il file dati delle applicazioni... (se non lo hai rootato)
hero member
Activity: 658
Merit: 502
quindi presumi sia un "semplice" malware windows e che sia riuscito a leggere i dati del cellulare?


Di sicuro hanno avuto accesso al file di configurazione del 2FA e quello della casella email configurata nel telefono. Prendendo questi due file e ripristinandoli su un' altro device, hanno avuto un accesso totale all' account.

Che siano passati per windows, o che abbiano trovato tutto online da un backup effettuato (lastpass, google drive, dropbox), o un malware (o una app rubadati autorizzata al filesystem)  rimarrà un mistero.



FaSan
newbie
Activity: 17
Merit: 0
non mi risulta si possa fare un backup del programma senza root....


No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb.




FaSan



quindi presumi sia un "semplice" malware windows e che sia riuscito a leggere i dati del cellulare?
hero member
Activity: 658
Merit: 502
non mi risulta si possa fare un backup del programma senza root....


No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb.




FaSan
newbie
Activity: 17
Merit: 0
ho letto tutto...e onestamente non riesco a trovare una possibile spiegazione,a parte qualche malware sul cellulare,ma il fatto che non sia rootato rende la strada non tanto percorribile IMHO.

Mi verrebbe più da pensare ad un attacco "fisico",qualcuno che abbia preso il tuo cellulare e abbia curiosato qua e là oppure tenderei a dare la colpa a bitstamp stesso.

Di sicuro per prendersi tutte queste seccature il cracker è andato a colpo sicuro,probabilmente per pochi btc non si sarebbe nemmeno mosso,non è roba da 5 minuti.

Ultimo sospettato potrebbe essere lastpass se hai utilizzato il loro servizio di backup in cloud delle tue password...ma anche là rimarrebbe da superare il 2fa.Che sia buggata l'implementazione di bitstamp?
full member
Activity: 168
Merit: 100
non è possibile ...
android ha la gestione dei permessi che parla chiaro... se non si ha un permesso non puoi fare una cosa...
e se il telefono non è rootato non puoi accedere ai file di altre applicazioni... quindi non esistono keylogger e cose del genere...
gli unici keylogger che esistono possono stare in una tastiera (se si scarica la tastiera Y potrebbe avere un keylogger all'interno... dato che usi quella per scrivere :-P)
potrebbe essere un discorso diverso per il browser che magari ha la possibilità di accesso dall'esterno.. ma non credo... cioè andrebbe a violare tutto il sistema per fare una cosa che potrebbe essere inutile...
cmq i "virus" del telefono agiscono solamente sui dati salvati sul telefono... principalmente immagini video ecc e quello che riguarda la rubrica ecc ... anche se per accedere alla rubrica bisogna dargli il permesso (idem per i file) ma son cmq 2 permessi che praticamente hanno quasi tutte le app (e i permessi non penso li legga nessuno)



es banale...
su un programma che ho fatto per android per poter inviare una mail dal programma ho dovuto scrivere una funzione per inviare il file che comprendeva tutto... dall'apertura della sessione con login e dati (hardcoded) fino all'invio.... banalmente si sarebbe potuto fare sfruttando già il client della mail che è installato e configurato sul telefono.... pero' per farlo avrei dovuto passare i dati al programma e questo li avrebbe dovuti gestire... è fattibile, ma è richiesta sempre una parte umana per l'invio (praticamente puoi fargli compilare la mail con tutti i dati ma il tasto invia deve esser premuto a mano)... questo proprio perchè un'applicazione non può comandare o prendere dati ad un'altra applicazione... può solo lanciare e INVIARE dati a quest'ultima (che quindi deve esser predisposta a poter ricevere e gestire i dati)


Si ma come accennavo prima, un bluetooth con accesso ai file può benissimo scaricarsi il file conf della 2FA e ripristinarla sul proprio dispositivo. Così come la synch che fà backup online, se comprensiva dei dati delle app.



FaSan

per quanto possa esser buggato il bluetooth.... non ha modo di scaricare il file ... il file è accessibile solo con permessi di root che sono ottenibili solo tramite root del telefono...
non mi risulta si possa fare un backup del programma senza root.... quindi non vedo come possano aver recuperato il file....
inoltre tutti i dispositivi dopo il 3310 hanno il bluetooth con timer ... e praticamente anche se hai il bluetooth attivo se non flagghi la casella sei invisibile (e se la flagghi sei visibile solo per 120 sec) cioè avresti il dispositivo solo in ascolto... e risponde solo a chi ha già ottenuto una connessione (ovvero conosce il mac del telefono e la password) quindi i vecchi virus non possono + far molto

sarebbe interessante vedere il log di bitstamp anche prima e dopo del fatto
newbie
Activity: 10
Merit: 0
Premetto che non me intendo, ma l'accaduto mi ha subito riportato alla mente questa notizia:

http://gigaom.com/2014/01/21/study-shows-99-of-mobile-malware-in-2013-targeted-android-devices/
hero member
Activity: 658
Merit: 502
non è possibile ...
android ha la gestione dei permessi che parla chiaro... se non si ha un permesso non puoi fare una cosa...
e se il telefono non è rootato non puoi accedere ai file di altre applicazioni... quindi non esistono keylogger e cose del genere...
gli unici keylogger che esistono possono stare in una tastiera (se si scarica la tastiera Y potrebbe avere un keylogger all'interno... dato che usi quella per scrivere :-P)
potrebbe essere un discorso diverso per il browser che magari ha la possibilità di accesso dall'esterno.. ma non credo... cioè andrebbe a violare tutto il sistema per fare una cosa che potrebbe essere inutile...
cmq i "virus" del telefono agiscono solamente sui dati salvati sul telefono... principalmente immagini video ecc e quello che riguarda la rubrica ecc ... anche se per accedere alla rubrica bisogna dargli il permesso (idem per i file) ma son cmq 2 permessi che praticamente hanno quasi tutte le app (e i permessi non penso li legga nessuno)



es banale...
su un programma che ho fatto per android per poter inviare una mail dal programma ho dovuto scrivere una funzione per inviare il file che comprendeva tutto... dall'apertura della sessione con login e dati (hardcoded) fino all'invio.... banalmente si sarebbe potuto fare sfruttando già il client della mail che è installato e configurato sul telefono.... pero' per farlo avrei dovuto passare i dati al programma e questo li avrebbe dovuti gestire... è fattibile, ma è richiesta sempre una parte umana per l'invio (praticamente puoi fargli compilare la mail con tutti i dati ma il tasto invia deve esser premuto a mano)... questo proprio perchè un'applicazione non può comandare o prendere dati ad un'altra applicazione... può solo lanciare e INVIARE dati a quest'ultima (che quindi deve esser predisposta a poter ricevere e gestire i dati)


Si ma come accennavo prima, un bluetooth con accesso ai file può benissimo scaricarsi il file conf della 2FA e ripristinarla sul proprio dispositivo. Così come la synch che fà backup online, se comprensiva dei dati delle app.



FaSan
sr. member
Activity: 616
Merit: 250
non è possibile ...
android ha la gestione dei permessi che parla chiaro... se non si ha un permesso non puoi fare una cosa...
e se il telefono non è rootato non puoi accedere ai file di altre applicazioni... quindi non esistono keylogger e cose del genere...
gli unici keylogger che esistono possono stare in una tastiera (se si scarica la tastiera Y potrebbe avere un keylogger all'interno... dato che usi quella per scrivere :-P)
potrebbe essere un discorso diverso per il browser che magari ha la possibilità di accesso dall'esterno.. ma non credo... cioè andrebbe a violare tutto il sistema per fare una cosa che potrebbe essere inutile...
cmq i "virus" del telefono agiscono solamente sui dati salvati sul telefono... principalmente immagini video ecc e quello che riguarda la rubrica ecc ... anche se per accedere alla rubrica bisogna dargli il permesso (idem per i file) ma son cmq 2 permessi che praticamente hanno quasi tutte le app (e i permessi non penso li legga nessuno)



es banale...
su un programma che ho fatto per android per poter inviare una mail dal programma ho dovuto scrivere una funzione per inviare il file che comprendeva tutto... dall'apertura della sessione con login e dati (hardcoded) fino all'invio.... banalmente si sarebbe potuto fare sfruttando già il client della mail che è installato e configurato sul telefono.... pero' per farlo avrei dovuto passare i dati al programma e questo li avrebbe dovuti gestire... è fattibile, ma è richiesta sempre una parte umana per l'invio (praticamente puoi fargli compilare la mail con tutti i dati ma il tasto invia deve esser premuto a mano)... questo proprio perchè un'applicazione non può comandare o prendere dati ad un'altra applicazione... può solo lanciare e INVIARE dati a quest'ultima (che quindi deve esser predisposta a poter ricevere e gestire i dati)

Quindi in base a queste considerazioni, qual'è la tua ipotesi su quanto accaduto?
hero member
Activity: 515
Merit: 502

Quando leggiamo di un hack normalmente diciamo "un altro che non aveva la 2FA". É stato sconvolgente per me sapere che uno con la 2FA, la password lunga e unica e la conferma via email era stato derubato. Sapere che ero io mi ha proprio sciolto.


Ti assicuro che non sei l'unico rimasto sorpreso! Almeno cerchiamo di imparare qualche lezione.

full member
Activity: 168
Merit: 100
non è possibile ...
android ha la gestione dei permessi che parla chiaro... se non si ha un permesso non puoi fare una cosa...
e se il telefono non è rootato non puoi accedere ai file di altre applicazioni... quindi non esistono keylogger e cose del genere...
gli unici keylogger che esistono possono stare in una tastiera (se si scarica la tastiera Y potrebbe avere un keylogger all'interno... dato che usi quella per scrivere :-P)
potrebbe essere un discorso diverso per il browser che magari ha la possibilità di accesso dall'esterno.. ma non credo... cioè andrebbe a violare tutto il sistema per fare una cosa che potrebbe essere inutile...
cmq i "virus" del telefono agiscono solamente sui dati salvati sul telefono... principalmente immagini video ecc e quello che riguarda la rubrica ecc ... anche se per accedere alla rubrica bisogna dargli il permesso (idem per i file) ma son cmq 2 permessi che praticamente hanno quasi tutte le app (e i permessi non penso li legga nessuno)



es banale...
su un programma che ho fatto per android per poter inviare una mail dal programma ho dovuto scrivere una funzione per inviare il file che comprendeva tutto... dall'apertura della sessione con login e dati (hardcoded) fino all'invio.... banalmente si sarebbe potuto fare sfruttando già il client della mail che è installato e configurato sul telefono.... pero' per farlo avrei dovuto passare i dati al programma e questo li avrebbe dovuti gestire... è fattibile, ma è richiesta sempre una parte umana per l'invio (praticamente puoi fargli compilare la mail con tutti i dati ma il tasto invia deve esser premuto a mano)... questo proprio perchè un'applicazione non può comandare o prendere dati ad un'altra applicazione... può solo lanciare e INVIARE dati a quest'ultima (che quindi deve esser predisposta a poter ricevere e gestire i dati)
sr. member
Activity: 616
Merit: 250
Mi chiedo se esiste un sistema migliore di Android per poter operare, dato che pare sia stato violato con una delle applicazioni del market e non era nemmeno rootato.

Torniamo tutti al vecchio Symbian
full member
Activity: 162
Merit: 100
Grazie ragazzi.
Il vostro interessamento mi fa sentire meno isolato.
C'é una legge non scritta nel mondo Bitcoin che in parte condivido: i bitcoin sono l'unico denaro sotto il tuo esclusivo controllo e se te li rubano la responsabilità é tua.

Ciònonostante é giusto avere amici che, nell'interesse comune cerca in tutti i modi di limitare e perseguire i furti perché la prossima vittima potremmo essere noi.

Vi chiedo perdono se ho risposto solo stasera ma oltre a diversi impegno ho dovuto reinstallare due "vettori": telefono e mac. Mi manca solo il secondo mac poi potrò ripartire.

Spero di avere risposto in modo abbastanza esauriente alle domande ma capisco di non poter essere completamente d'aiuto in quanto ormai il telefono é ripristinato.

Concordo con la necessità di best practices sticky.

Quando leggiamo di un hack normalmente diciamo "un altro che non aveva la 2FA". É stato sconvolgente per me sapere che uno con la 2FA, la password lunga e unica e la conferma via email era stato derubato. Sapere che ero io mi ha proprio sciolto.

Ma quando cazzo arrivano 'sti TREZOR HuhHuh?
full member
Activity: 168
Merit: 100
mah ...
sinceramente son 2 le cose...
o avevano il telefono in mano... o il pc è infetto...
non vedo altri modi per fare un login su un sito....
il problema è che se anche il pc fosse infetto il codice del cell non lo dovrebbero avere in nessun modo dato che il telefono non è rootato... quindi no root -> no accesso a i dati di google auth

quindi secondo me è impossibile....
ovviamente escludo un hack completo a bitstamp perchè in quel caso avrebbero svuotato tutti e non solo te..


PS potevi fare 1 post unico per rispondere a tutti :-P
full member
Activity: 162
Merit: 100

Comunque usava apple, mi son letto tutto il topic inglese e sono piuttosto convinto che il vettore di infezione sia stato il cellulare, ma gabriele dovrebbe confermare di essersi loggato attraverso il telefono sia a bitstamp che a gmail.


Sono anch'io convinto che il responsabile é il telefonino. Era presente su un solo device tutto quello che serviva:

Username e password (forse la sessione di login), google authenticator e gmail che aveva la password memorizzata.

Mi dispiace deludervi ma non ricordo esattamente se mi sono collegato quella sera con Bitstamp. Lo ritengo molto probabile perché ero lontano da casa e quando non ho il mac vado spesso sui siti col telefono...
full member
Activity: 162
Merit: 100
mi spiace molto per la tua perdita, peraltro notevole. Mi chiedo come sia possibile, soprattutto Co  i 2 fattori di autenticazione. Potrebbe significare che non esiste alcun hacker ma il ladro è dentro bitstamp ..... assurdo ma la spiegazione più probabile. Piuttosto che un hackercche ha accesso al stesso tempo a PC e smartphone... se questo fosse vero siamo tutti ad altissimo rischio. Io per fortuna ho i prelievi di btc disattivati. Puoi postare l indirizzo che te li ha Rubati?

É nel post iniziale nella storia.
full member
Activity: 162
Merit: 100
Mi dispiace davvero per la tua perdita.
La rom del telefonino era originale o un mod tipo cyanogen?
Puoi dirci marca e modello del telefono? A volte i costruttori, in buona fede, apportano modifiche a kernel ed applicativi e nel farlo introducono potenziali buchi di sicurezza, avere certe informazioni potrebbe esser utile se non altro a chi ha lo stesso modello

Samsung galaxy SII. Non ho cambiato la rom. Solo roba standard.
sr. member
Activity: 616
Merit: 250
A questo punto non ci si può nemmeno fidare delle applicazioni android sul playstore.
Potremo essere tutti infetti senza saperlo e brutto da dire ma sembra un dato di fatto.
Pages:
Jump to: