Topic: Urgente ataque a inputs.io - page 2. (Read 2689 times)

Esto es un poco relativo:

Creo que con una webcam, un ordenador fuera de línea (offline) y algún tipo de miniimpresora B/N se podría conseguir mucho:

Por ejemplo, en el ordenador principal (con Internet) se saca la dirección de BTC donde enviar el dinero, como es un rollo escribirla a mano se puede usar una miniimpresora matricial que nos imprima un QR de esa dirección. Luego con este papel se lleva a un ordenador fuera de línea y se escanea (vale un miniescáner o una cámara web), este ordenador nos muestra en pantalla la dirección que hemos introducido (podemos comprobar que es la misma) y ahí metemos el dinero que queremos gastar. Luego una vez confirmado todo firmamos la transacción, y la imprimimos en un papel con una miniimpresora matricial diferente a la anterior (para evitar que esta pueda "transportar" virus). Finalmente se escanea el QR en el ordenador principal y se emite la transacción a Internet.

El ordenador secundario puede incluso ser un miniordenador sin conexión a la red eléctrica, alimentado por baterías y energía solar, con el miniescáner y la miniimpresora integradas en la carcasa, y con una pequeña pantalla LCD de puntos. Este ordenador además podría imprimirnos las claves privadas en papel, así si se estropea el miniordenador se pueden recuperar y tener el dinero a salvo.

Es posible que por 100€ se pueda implementar este sistema.

Problemas: el ordenador principal podría tener algún virus que nos sustituya las direcciones de BTC mostradas en pantalla. Pero al menos la cantidad de dinero principal (los ahorros) estarían a salvo. Quizás se pueda solucionar esto mediante el uso de comprobaciones alternativas, por ejemplo, llamando por teléfono si el gasto es muy elevado y así poder confirmar la dirección BTC.

Entonces, como el pendrive puede estar infectado, da igual, me ahorro todas las molestias! Mantengo la pasta en blockchain.info y ya está!

Además lo del BadBios no está totalmente confirmado.

Internet lo forman los equipos y precisamente son los equipos de los usuarios los más inseguros, sobretodo los que tienen Windows.
Pero teniendo en cuenta que necesitas internet si o si para hacer una transacción con bitcoin, es algo de lo que al final vas necesitar, no importa que guardes la clave en un ordenador sin conexión a internet, y que hagas una transacción offline, luego tendrás que conectar un pendiver, que puede estar infectado, y transferir el dinero a una dirección que no sea la tuya

La zona hostil es internet, y en internet están tanto tu equipo como el del servidor.

Los monederos de papel, off-line, air-gapped y toda esta historia, existen precisamente para salirse de internet. Por eso son más seguros.

Primer principio, considerar el equipo de los usuarios como zona hostil.
Si en el equipo te instalan un plugin modificado te puede pillar todo, no importa que uses, al realizarse el cifrado de manera local las claves están de manera local. Lo mejor es cifrar en el servidor; aun que parezca menos seguro no lo es, pues es más fácil controlar las conexiones que en el cliente.

Efectivamente por eso conviene usar una yubikey ó google authentificator contando con eso tendrían muy poco margen de tiempo ó les sería imposible en las wallets que lo usen.

Les hackean el servidor. La próxima vez que te conectes, el javascript que te descargas cada vez que usas la web estará convenientemente alterado para enviarles tus claves privadas nada más metas tu contraseña. Plof, game over.

Creo que hay un plugin para algún navegador, si lo usas y desactivas las actualizaciones automáticas, entonces me callo. Pero ah! en ese supuesto podría decirse que tienes algo instalado en tu ordenador, lo mismo que electrum por ejemplo . Y como bien has dicho:

Pues no, recordar que la parte de wallet de blockchain es totalmente opensource, y para mi es perfecta. Soy informático y conozco perfectamente los riesgos (minimos en mi opinión) si ocurre algo seria por un conjunto de circunstancias y me lo tendré bien merecido.

Imaginemos posibles supuestos:

Les hackean el servidor: Las wallets estan doblemente encriptadas, necesitarían de años para conseguir desencriptarlas, tiempo as que suficiente para importar el backup en un cliente y mover las bitcoins.

Desaparece ó deja de existir : Se importa el backup en un cliente y se mueve las bitcoins.


Una vulnerabilidad en su API:  el atacante necesitaría saber mi GUID y mis dos contraseñas.

¿Si es tan seguro porque no lo utilizan webs como Just-Dice y demás?

Ademas de intereses...el API de blockchain tiene limites de peticiones cada X minutos, serviria para una pequeña web, pero no para sitios con cientos de transacciones.


El único riesgo realista sería que de mala fé almacenaran las contraseñas (algo que su software no hace) y voluntariamente robaran a los usuarios, es poco probable pero podría ocurrir y me lo tendría merecido.

Y cada vez los ataques serán mayores teniendo en cuenta que el precio del btc sigue al alza, y puedo que siga algún tiempo.

Los exchanger tendrán que gastarse los btc en una mejor seguridad si quieren tener negocio.

Basta un solo error "puntual y aislado" para que te quedes con saldo cero.

Quiero pensar que realmente tienes por ahí algo offline con ahorros a largo plazo (o incluso online, pero en un electrum en tu ordenador) y sólo mantienes en bc.info la calderilla con la que saldrías a la calle. De otro modo, algún día esto te cogerá con los pantalones bajados y vendrán las lágrimas, si es que en el fondo lo sabía de antemano! Por qué coño no lo hice!! y tal y cual.

Son errores muy puntuales y aislados, incluso los mas grandes bancos han tenido problemas con su versión Android,  la seguridad de tener el cliente desconectado ó aislado seria total. claro, pero no es funcional, no es practico, puedo no salir nunca a la calle para que un coche nunca me atropelle pero no seria practico. Personalmente desde que lo descubri he utilizado blockchain.info (una contraseña de 52 digitos keepass) con yubikey, y backups diarios. No es totalmente seguro pero es la dosis justa de seguridad y funcionalidad.

Uno de los grandes problemas para extender bitcoin es precisamente ese, la gente busca algo practico, funcional y sencillo.... descargar 8Gb de bloques, esperar 3 confirmaciones, (y si por cualquier motivo se te apaga ó reinicia el PC derepente cuenta con la wallet corrompida). Eso no es sencillo, ni practico y bien merece la pena sacrificar algo de seguridad por funcionalidad.

Es evidente que sí y por eso tenemos Bitcoin, para guardarlos bajo nuestro colchón digital (cartera desconectada).


Pues hace menos de tres meses que hubo robos en la cuentas de blockchain por mal funcionamiento de los generadores de números aleatorios tanto en Android, como con el javascript de los navegadores.

Blockchain.info security [FUNDS STOLEN]

Así que no des por sentado nada y no tengas mucho dinero en este tipo de cuentas. Lo único que te protege al 99,999 % de un agujero en el software es una cartera desconectada (y sí, es un coñazo reiniciar el pc para firmar una transacción, pero si la cuenta lo merece puedes dedicar una RaspberryPi, por ejemplo, siempre sin conexión y exclusivamente para mantener dicho monedero lo más seguro posible).

Ahí es donde yo los tengo.   

Espero que recupereis vuestros BTC, seria un lastima. Y los pobres de JD - primero lo de Nakowa y ahora esto. 

Yo si inputs.io se hace responsable y corrige los errores seguiré confiando en ellos. Pues no hay ningún sitio 100% seguros y creo que de los problemas se aprende más que de los éxitos.

Ahora si se hacen el avión y pasan de todo dejandolo como esta dudo que siga.

Edito
Si alguien quiere hacerme un donativo, por fabor no lo hagáis a la cuenta de inputs.io

Personalmente tengo menos fé del cliente oficial (cualquier cosa instalable puede ser muy vulnerable en mi opinion) que de la wallet blockchain.info.
Backups automáticos, doble cifrado, una API muy robusta, sistema de notificacion de pagos/recibos (fallando últimamente), más cómoda imposible, sin esperar ni 5 ni 3  molestas confirmaciones (a diferenciade otros donde encima te mangan coins, ejem), sin descargar 8GB de bloques, con la posibilidad de anonimizar las bitcoins (mixer) y que incluso te ofrece la posibilidad de ser malo malisimo y crear double spends (https://blockchain.info/create-double-spend).

Es la navaja suiza de bitcoin. Y inputs no llega ni a imitación china visto lo visto.

La anterior fue culpa mía. Pues no estaba bien creada la aplicación del Faucet. Pero esta vez que ya habia corregido los problemas de seguridad, me robaron lo mismo.

Eso eso, tú pon fe ciega en un servicio de terceros, ya verás lo que pasa .

42 BTC  han tenido mucha mucha suerte, eso nako lo pierde en un cuarto de segundo, pudo ser un destrozo importante (mas de 71000btc tienen).

Donde este blockchain y su API que se quiten imitaciones

A mi estas noticias me dejan helado, ¿ se podría hackear cualquier exchange tipo Mtgox, bitsptamp, btce.. y sacarte las monedas aunque tenga 2FA?

Si es así vamos a tener que guardarlo todo debajo del colchon!!!