Topic: SOBRE SEGURIDAD Y ASUNTOS AFINES - page 2. (Read 20169 times)

xcbtrader, diría que no es posible que un hacker te haya robado si realmente has generado la clave privada con el código de bitaddress.org, generando entropía con el ratón, y además has seguido estos pasos:

1) Sistema operativo limpio, sin virus. Una forma de garantizarlo, con un LiveCD de Ubuntu o con Tails, por ejemplo.
2) No conectado a internet.
3) Copiar la clave privada con bolígrafo sin utilizar impresora y verificada después caracter a caracter.

¿Lo hiciste así?

No creo que te hayan vaciado un wallet generado aleatoriamente así por las buenas; de ser así, estarían vaciándolos todos y bitcoin valdría cero. Tiene que haber algo más. Un paper wallet es una de las formas más seguras de guardar el dinero, siempre que la clave privada se haya generado offline y con números realmente aleatorios.

Espero que no!!!
Todo esto da mala imagen a bitcoin, y hace que los novatos se lo piensen 2 veces antes de entrar en este mundo.

Yo antes aconsejaba a mis contactos las Paper Wallets. Ahora, ni loco 

pues vaya desastre no? como se esten limpiando los paperwallets de la peña que se supone que era la forma mas segura de guardarlos ,,,,,

me pregunto si podrian hacer esto mismo con los btc guardados en wallets en usb ?

Aleatoriamente. Las que generaba al mover el ratón por la pantalla al azar.

Una pregunta: La dirección bitcoin de la que te han robado 0.1 BTC la creaste con una versión antigua de bitaddress, pero ¿era una de tipo "brainwallet" hecha en la sección correspondiente que ofrecía bitaddress o era una dirección de las que generaba aleatoriamente el código de la página?

Jajajaja...

Ya pasé lo de esa paper wallet a una de electrum, por si acaso!!!

"Eso", lo qué? ¿Que todavía tengas saldo en la otra?

Pues si... Vaya patio!!!

A raíz de este suceso, se me ocurrió comprobar dos Paper Wallets que tenía antiguas, creadas con bitaddress.org, y cual es mi sorpresa, cunado vi que en una de ellas, también había desaparecido el saldo, y en este caso eran 0.1 btc 

¿Eso ya no es tan normal, no?

Un saludo

No, no crackean nada.

La clave privada del brainwallet "kkkkkkk" es el SHA256 de "kkkkkkk", o sea 5de475c54f292d357b4665c4a06673354d0af583abec2ac51b752fdf06fcdbbd (5JXdwKiEYd1dkueZi4XNkR6Qse3b3QSpfNVNXP7GNdtJ3XM7FoS). La dirección (usando clave pública descomprimida) es 1EMy66UZ2TbhYggbSKWJjtVPiPy1CEm35A. Cuando alguien ve esa dirección en la red (o sea, cuando tú haces una transacción y la publicas), usa la clave privada que ya conoce (no hay nada que crackear) para crear un nuevo gasto a una dirección suya.

Hay gente con millones de claves privadas escaneando millones de direcciones en tiempo real.

Lo último publicado sobre esto:

https://bitcointalksearch.org/topic/m.15161806

mira el programita de github (este es público, imagina lo que hay desarrollado por gente a nivel particular - LA OTRA MINERIA).

https://github.com/ryancdotorg/brainflayer


Es todo un negocio de pesca de bitcoin de incautos. Robot 24/7 y la gente no escarmienta.


Saludos.

Claro, tú mismo lo has dicho. Hay programas que escanean continuamente las transacciones entrantes en busca de brainwallets débiles. Es un "negocio" que puede ser rentable. Si la cantidad robada es interesante (no como en tu caso que eran simplemente  0.00001 btc), no te extrañe si te encuentras con distintos crackers que compiten entre sí lanzando comisiones cada vez mayores muy rápidamente para que el minero confirme su transacción en vez de la de los otros atacantes.

Me ha parecido gracioso que el destino sea una dirección 1FUCK... Al menos hay que reconocer que el tío tiene sentido del humor.  

Bueno.
Os voy a explicar una PROBLEMA de seguridad curioso que me acaba de pasar hoy.
Haciendo pruebas con la instrucción sweep de electrum, para barrer los bitcoins de una dirección mediante su clave privada, a mi billetera, me he encontrado con el desagradable suceso de que me han birlado mis satoshis!!!

Estaba haciendo un programa en Python, para probar la función sweep de electrum, y he creado una clave privada/publica, tipo brainWallet, simplemente para provar. Si lo reconozco, el texto para crear la brainwallet ha sido muy sencillo, kkkkkkk, o algo así.

Una vez creada, a la dirección bitcoin que me daba, he enviado 0.00001 btc, y cual ha sido mi sorpresa, cuando incluso antes de confirmarse ya había otra operación contraria de una cuenta 1FUCK.....  que me ha robado mis bitcoins.

Mi pregunta es. ¿Cómo puede ser?

Simplemente se me ocurre que hay programas que se dedican a explorar la blockchain, buscar todas las direcciones que intervienen en un bloque, y mirar si pertenecen a alguna brainwallet. En caso afirmativo crackearlas, y después vaciarlas.

¿Alguien lo puede explicar?

Un saludo

VOLVEMOS CON EL PROBLEMA DE LOS PROTOCOLOS SS7 DE TELEFONIA.

  "Secuestrar cuentas de WhatsApp y Telegram con la vulnerabilidad SS7"

" ............. a veces no es la aplicación la que lleva a las vulnerabilidades de seguridad, sino algo completamente distinto. En este caso, ese "algo más" es el Sistema de Señalización por canal común n.º 7 (SS7), un conjunto de protocolos de señalización telefónica empleado en la mayor parte de redes telefónicas mundiales. ........"

http://blog.segu-info.com.ar/2016/06/secuestrar-cuentas-de-whatsapp-y.html


Saludos.

Después de leer este artículo me pregunto ¿Que NO se puede averiguar con la minería de datos?. Y mi respuesta es que con suficiente potencia y una base de datos amplia se puede averiguar cualquier cosa. El Gran Hermano es un hecho que está entre nosotros.

    " Buscadores de internet para detectar si tienes cáncer "


"  ............Viendo que meses antes estaban realizando búsquedas relacionadas con posibles síntomas del cáncer de páncreas, cómo picor, piel amarillenta, dolor abdominal y relacionando su historia de búsqueda con otros factores de riesgo cómo obesidad o alcoholismo el equipo de Microsoft podía identificar personas que padecían cáncer de páncreas unos 5 meses antes de que fueran diagnosticados........"


http://www.gurusblog.com/archives/buscadores-internet-para-predecir-si-tienes-cancer/09/06/2016/


Saludos.

  " Recopilación de todos los ransomware y su decryptor "


" ..........
En Google Drive tenemos disponible un completo listado con la recopilación de los principales ransomwares que existen en la actualidad. En ese documento se puede ver el nombre del ransomware, la extensión que utiliza cuando cifra los archivos del usuario, el patrón de la extensión que genera en los archivos, el tipo de algoritmo de cifrado, y algunos comentarios sobre el ransomware................"

http://blog.segu-info.com.ar/2016/06/recopilacion-de-todos-los-ransomware-y.html

Saludos.

   " Nueva versión indescifrable de CryptXXX "

" La nueva versión del ransomware CryptXXX, es el resultado del trabajo de los delincuentes luego de discontinuar TeslaCrypt y hacer pública su master-key de descifrado CryptXXX ahora utiliza un nuevo algoritmo de cifrado que hace imposible su descifrado (hasta ahora).........."

http://blog.segu-info.com.ar/2016/05/nueva-version-indescifrable-de-cryptxxx.html


Saludos.

  " Detectando antenas de celulares espías "

 " Torres celulares falsas, que pueden transportarse en maletas y hasta en un bolso, pueden usarse para engañar su celular y descubrir su identidad, registrar e interceptar mensajes de texto y llamadas de voz, y, en algunos casos, incluso para inyectar malware. Tales dispositivos ya fueron utilizados por fuerzas policiales en todo el mundo y también pueden ser usados por delincuentes para cometer fraudes, robos de identidad, espionaje y envío de SPAM. En este artículo veremos cómo funciona esa tecnología, algunos métodos para detectar interferencias en la red y medidas de protección contra algunos (no todos) ataques que las redes falsas pueden realizar........."

https://antivigilancia.org/es/2016/03/detectando-antenas-de-celulares-espias/



  " ¿Cuáles son las prácticas de vigilancia en las protestas sociales? " (17/06/2015)


" ......... Como ha sido reconocido recientemente por diversos organismos internacionales de protección de derechos humanos, las nuevas tecnologías de las comunicaciones y los teléfonos móviles es de suma importancia para el ejercicio del derecho a la protesta en tanto “permite a los organizadores movilizar a grandes grupos de personas en forma rápida y eficaz, y con muy bajo costo”. Lo anterior ha implicado, a su vez, una oportunidad para que autoridades obtengan información sobre la identidad de los manifestantes y utilicen dicha información para desincentivar el ejercicio del derecho a la protesta........."

https://antivigilancia.org/es/2015/06/la-vigilancia-y-la-protesta-social/


Saludos.

  " InterPlanetary File System (IPFS), el protocolo distribuido que podría transformar Internet "


"........

Todas estas limitaciones, podrían desaparecer con IPFS, que pretende convertir la web en algo más abierto, más rápido y más seguro, creando una red totalmente distribuida, en la que no se necesiten centros de datos funcionando constantemente. El protocolo IPFS ha nacido de la combinación de varias tecnologías, entre las que se encuentran BitTorrent y Bitcoin............."


https://www.oroyfinanzas.com/2016/05/interplanetary-file-system-ipfs-protocolo-distribuido-podria-transformar-internet/


Saludos.

Han publicado en ForoBits:

"Al que le guste mantener su privacidad" -yo añadiria: y su seguridad

" Al que le guste mantener su privacidad:

UnaPhone Zenith - Secure and Private Smartphone

https://www.indiegogo.com/projects/unaphone-zenith-secure-and-private-smartphone#/10

No es barato pero se sale de lo normal en cuanto a desarrollo y objetivos (Seguridad y Privacidad). "

https://forobits.com/t/que-moviles-teneis-actualmente-pensais-en-cambiar/1598/46

La opción más barata del crowdfunding es:

$439 USD + Shipping
UnaPhone Zenith - Hot Offer!
UnaPhone Zenith Smartphone - EARLY. Special price for early orders. Shipping Sept 2016. Retail price $539.
21 out of 100 claimed
Estimated delivery: September 2016
Ships Worldwide

Mas información:

"UnaPhone Zenith, seguridad máxima a cambio de no poder instalar aplicaciones de terceros"

http://andro4all.com/2016/05/unaphone-zenith-smartphone-seguro-no-instalar-aplicaciones

 "UnaPhone Zenith, otro proyecto para crear el móvil Android más seguro del mundo"

" .......Todo esta seguridad y privacidad viene proporcionada por UnaOS, un fork de Android que pone la seguridad por delante de todo. El sistema operativo de Google ha sido modificado para eliminar las partes de código que podían conducir al filtrado de datos y se han parcheado todas las vulnerabilidades conocidas. Cuenta con un cifrado completo por defecto e incluso permanece anónimo al operador que nos da la red......."

http://www.adslzone.net/2016/05/02/unaphone-zenith-proyecto-crear-movil-android-mas-seguro-del-mundo/

Tutanota esta detrás de este desarrollo además de otros

https://tutanota.com/blog/posts/una-phone-zenith-crowdfunding

  "UnaPhone Zenith, el anti-Google Phone"

"....... Tutanota explica que UnaPhone Zenith es el primer teléfono inteligente bajo sistema Android verdaderamente seguro, privado y sin compromisos, totalmente independiente de Google, de aplicaciones en segundo plano o de permisos extraños....."

http://wwwhatsnew.com/2016/04/29/unaphone-zenith-el-anti-google-phone/


Saludos.