Bitcoin Forum

Local => Español (Spanish) => Topic started by: haztecoin on November 04, 2013, 08:02:58 PM



Title: Urgente ataque a inputs.io
Post by: haztecoin on November 04, 2013, 08:02:58 PM
Si teneis algo en inputs.io sacarlo estan saqueando todas las cuentas. Por desgracia a mi me robaron otro ¢ de bitcoin menos mal que no tengo más en esa cuenta pero jode bastante


Title: Re: Urgente ataque a inputs.io
Post by: Anillos2 on November 04, 2013, 08:16:15 PM
Si teneis algo en inputs.io sacarlo estan saqueando todas las cuentas. Por desgracia a mi me robaron otro ¢ de bitcoin menos mal que no tengo más en esa cuenta pero jode bastante
Gracias.

Afortunadamente en mi caso no he usado "cash out" en los grifos que visito.


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 04, 2013, 08:25:42 PM
Me ha llegado una onda por ahí pero no encuentro nada de información. ¿Dónde lo has visto tú?


Title: Re: Urgente ataque a inputs.io
Post by: cyclops on November 04, 2013, 08:28:14 PM
Ufff, lo saqué ayer lo poco que tenía. Lo único que tengo mi cuenta de Coinlenders asociada.


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 04, 2013, 08:36:03 PM
Ajá, ya lo veo: http://www.reddit.com/r/Bitcoin/comments/1pw46j/someone_just_transferred_0095_from_my_inputsio/

A los chicos de JustDice les han tangado nada menos que 42 coins…


Title: Re: Urgente ataque a inputs.io
Post by: cyclops on November 04, 2013, 08:38:12 PM
Ajá, ya lo veo: http://www.reddit.com/r/Bitcoin/comments/1pw46j/someone_just_transferred_0095_from_my_inputsio/

A los chicos de JustDice les han tangado nada menos que 42 coins…

Pero es error de Inputs o que le han crakeado la cuenta a ellos en especial?


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 04, 2013, 08:43:42 PM
Pero es error de Inputs o que le han crakeado la cuenta a ellos en especial?

Parece ser un tema de inputs.io, no de JD. En el hilo de reddit sale más de una persona que dice que les han vaciado la cuenta. JD tenía activado 2FA, GPG y todo, y ni con esas.

Gracias @haztecoin por el aviso!


Title: Re: Urgente ataque a inputs.io
Post by: cyclops on November 04, 2013, 08:50:14 PM
Pero es error de Inputs o que le han crakeado la cuenta a ellos en especial?

Parece ser un tema de inputs.io, no de JD. En el hilo de reddit sale más de una persona que dice que les han vaciado la cuenta. JD tenía activado 2FA, GPG y todo, y ni con esas.

Gracias @haztecoin por el aviso!

Pues yo no toco mis BTC de Coinlenders a ver si me los van a chupar también (Solo se pueden enviar a inputs.io)


Title: Re: Urgente ataque a inputs.io
Post by: principiante on November 04, 2013, 08:54:42 PM
Esta manana vi que no se puede entrar a coinchat. Parece que se cayo ese foro que esta relacionado con imputs.io
Ahora como es que zaquean las cuentas? Tengo entendido que cada usuario tiene su password... O algun administrador de de inputs tiene acceso a los wallets?


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 04, 2013, 08:55:04 PM
Pues yo no toco mis BTC de Coinlenders a ver si me los van a chupar también (Solo se pueden enviar a inputs.io)

Pues te lo voy a poner más mono: ¿tienes idea si coinchat es de TradeFortress? Yo no lo sé a ciencia cierta pero creo que sí… en fin, que coinchat también está roto ;). Y Coinlenders también es de TF…


Title: Re: Urgente ataque a inputs.io
Post by: cyclops on November 04, 2013, 09:04:54 PM
Pues yo no toco mis BTC de Coinlenders a ver si me los van a chupar también (Solo se pueden enviar a inputs.io)

Pues te lo voy a poner más mono: ¿tienes idea si coinchat es de TradeFortress? Yo no lo sé a ciencia cierta pero creo que sí… en fin, que coinchat también está roto ;). Y Coinlenders también es de TF…

Sí Coinchat es de TF... Caguentó


Title: Re: Urgente ataque a inputs.io
Post by: haztecoin on November 04, 2013, 09:09:09 PM
han hackeado inputs.io no importa que tengas una clave de la hostia, si tienen el control pueden sacar todos los bitcoins a mi me sacaron 1 ¢ menos mal que no tenia más, pues esa cuenta la tengo para el Faucet.


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 04, 2013, 09:09:56 PM
Pues yo en tu lugar sacaría la pasta (opinión personal). Entiendo que pasarla a inputs.io será inmediato (off-chain) y luego mandártelo a tu wallet es cuestión de 2 minutos, el riesgo me parece aceptable. Y si al chaval le han tumbao 2 servicios, ejem, el tercero… pinta muy mal.


Title: Re: Urgente ataque a inputs.io
Post by: cyclops on November 04, 2013, 09:11:10 PM
Pues yo en tu lugar sacaría la pasta (opinión personal). Entiendo que pasarla a inputs.io será inmediato (off-chain) y luego mandártelo a tu wallet es cuestión de 2 minutos, el riesgo me parece aceptable. Y si al chaval le han tumbao 2 servicios, ejem, el tercero… pinta muy mal.

El problema es si me lo interceptan por el camino, vamos que todos los ingresos a Inputs se saquen automáticamente...


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 04, 2013, 09:15:18 PM
El problema es si me lo interceptan por el camino, vamos que todos los ingresos a Inputs se saquen automáticamente...

Pues no sé, mándate un par de centimillos primero.


Title: Re: Urgente ataque a inputs.io
Post by: cyclops on November 04, 2013, 09:17:53 PM
El problema es si me lo interceptan por el camino, vamos que todos los ingresos a Inputs se saquen automáticamente...

Pues no sé, mándate un par de centimillos primero.

Eso acabo de hacer, por el momento tras un minuto no llega. 0.01 en el limbo...


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 04, 2013, 09:20:26 PM
Oki, TF dice que sólo ocurre a quien tenga la API key activada. Que se reembolsará a quien haya perdido pasta.

https://bitcointalk.org/index.php?topic=248803.msg3482410#msg3482410


Title: Re: Urgente ataque a inputs.io
Post by: cyclops on November 04, 2013, 09:23:10 PM
Oki, TF dice que sólo ocurre a quien tenga la API key activada. Que se reembolsará a quien haya perdido pasta.

https://bitcointalk.org/index.php?topic=248803.msg3482410#msg3482410


Joder menos mal, si no recuerdo mal al amigo haztecoin le pasó algo parecido con la API de inputs.io hace unos días, que le vació la cuenta de su faucet.

A reclamar mi 0.01 Pues :P


Title: Re: Urgente ataque a inputs.io
Post by: principiante on November 04, 2013, 09:29:54 PM
han hackeado inputs.io no importa que tengas una clave de la hostia, si tienen el control pueden sacar todos los bitcoins a mi me sacaron 1 ¢ menos mal que no tenia más, pues esa cuenta la tengo para el Faucet.

Ok comprendo.
Nunca tuve mucha confianza a esos monederos on-line.
Ahora, para saber, el sistema de blockchain es distinto no? Digo nunca podria pasar esto...
O estoy equivocado?


Title: Re: Urgente ataque a inputs.io
Post by: Danbcf on November 04, 2013, 09:34:31 PM
Pero es error de Inputs o que le han crakeado la cuenta a ellos en especial?

Parece ser un tema de inputs.io, no de JD. En el hilo de reddit sale más de una persona que dice que les han vaciado la cuenta. JD tenía activado 2FA, GPG y todo, y ni con esas.

Gracias @haztecoin por el aviso!

A mi estas noticias me dejan helado, ¿ se podría hackear cualquier exchange tipo Mtgox, bitsptamp, btce.. y sacarte las monedas aunque tenga 2FA?

Si es así vamos a tener que guardarlo todo debajo del colchon!!!  ;D ;D ;D ;D


Title: Re: Urgente ataque a inputs.io
Post by: elbill on November 04, 2013, 09:38:41 PM
42 BTC  han tenido mucha mucha suerte, eso nako lo pierde en un cuarto de segundo, pudo ser un destrozo importante (mas de 71000btc tienen).

Donde este blockchain y su API que se quiten imitaciones :P


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 04, 2013, 09:48:40 PM
Donde este blockchain y su API que se quiten imitaciones :P

Eso eso, tú pon fe ciega en un servicio de terceros, ya verás lo que pasa ::).


Title: Re: Urgente ataque a inputs.io
Post by: haztecoin on November 04, 2013, 09:55:17 PM
Oki, TF dice que sólo ocurre a quien tenga la API key activada. Que se reembolsará a quien haya perdido pasta.

https://bitcointalk.org/index.php?topic=248803.msg3482410#msg3482410


Joder menos mal, si no recuerdo mal al amigo haztecoin le pasó algo parecido con la API de inputs.io hace unos días, que le vació la cuenta de su faucet.

A reclamar mi 0.01 Pues :P
La anterior fue culpa mía. Pues no estaba bien creada la aplicación del Faucet. Pero esta vez que ya habia corregido los problemas de seguridad, me robaron lo mismo.


Title: Re: Urgente ataque a inputs.io
Post by: elbill on November 04, 2013, 10:00:20 PM
Donde este blockchain y su API que se quiten imitaciones :P

Eso eso, tú pon fe ciega en un servicio de terceros, ya verás lo que pasa ::)

Personalmente tengo menos fé del cliente oficial (cualquier cosa instalable puede ser muy vulnerable en mi opinion) que de la wallet blockchain.info.
Backups automáticos, doble cifrado, una API muy robusta, sistema de notificacion de pagos/recibos (fallando últimamente), más cómoda imposible, sin esperar ni 5 ni 3  molestas confirmaciones (a diferenciade otros donde encima te mangan coins, ejem), sin descargar 8GB de bloques, con la posibilidad de anonimizar las bitcoins (mixer) y que incluso te ofrece la posibilidad de ser malo malisimo y crear double spends (https://blockchain.info/create-double-spend).

Es la navaja suiza de bitcoin. Y inputs no llega ni a imitación china visto lo visto.


Title: Re: Urgente ataque a inputs.io
Post by: haztecoin on November 04, 2013, 10:06:24 PM
Yo si inputs.io se hace responsable y corrige los errores seguiré confiando en ellos. Pues no hay ningún sitio 100% seguros y creo que de los problemas se aprende más que de los éxitos.

Ahora si se hacen el avión y pasan de todo dejandolo como esta dudo que siga.

Edito
Si alguien quiere hacerme un donativo, por fabor no lo hagáis a la cuenta de inputs.io


Title: Re: Urgente ataque a inputs.io
Post by: coinpr0n on November 04, 2013, 10:26:55 PM
Espero que recupereis vuestros BTC, seria un lastima. Y los pobres de JD - primero lo de Nakowa (http://www.dailydot.com/news/biggest-bitcoin-win-gambling-history-nakowa/) y ahora esto.  :-\


Title: Re: Urgente ataque a inputs.io
Post by: edumartinez on November 04, 2013, 10:44:07 PM
Quote
Si es así vamos a tener que guardarlo todo debajo del colchon!!!

Ahí es donde yo los tengo.   ;D


Title: Re: Urgente ataque a inputs.io
Post by: LuisCar on November 05, 2013, 07:07:31 AM
A mi estas noticias me dejan helado, ¿ se podría hackear cualquier exchange tipo Mtgox, bitsptamp, btce.. y sacarte las monedas aunque tenga 2FA?

Si es así vamos a tener que guardarlo todo debajo del colchon!!!  ;D ;D ;D ;D

Es evidente que sí y por eso tenemos Bitcoin, para guardarlos bajo nuestro colchón digital (cartera desconectada).

Personalmente tengo menos fé del cliente oficial (cualquier cosa instalable puede ser muy vulnerable en mi opinion) que de la wallet blockchain.info.
Backups automáticos, doble cifrado, una API muy robusta, sistema de notificacion de pagos/recibos (fallando últimamente), más cómoda imposible, sin esperar ni 5 ni 3  molestas confirmaciones (a diferenciade otros donde encima te mangan coins, ejem), sin descargar 8GB de bloques, con la posibilidad de anonimizar las bitcoins (mixer) y que incluso te ofrece la posibilidad de ser malo malisimo y crear double spends (https://blockchain.info/create-double-spend).

Pues hace menos de tres meses que hubo robos en la cuentas de blockchain por mal funcionamiento de los generadores de números aleatorios tanto en Android, como con el javascript de los navegadores.

Blockchain.info security [FUNDS STOLEN] (https://bitcointalk.org/index.php?topic=277595.0)

Así que no des por sentado nada y no tengas mucho dinero en este tipo de cuentas. Lo único que te protege al 99,999 % de un agujero en el software es una cartera desconectada (y sí, es un coñazo reiniciar el pc para firmar una transacción, pero si la cuenta lo merece puedes dedicar una RaspberryPi, por ejemplo, siempre sin conexión y exclusivamente para mantener dicho monedero lo más seguro posible).


Title: Re: Urgente ataque a inputs.io
Post by: elbill on November 05, 2013, 08:06:21 AM

Pues hace menos de tres meses que hubo robos en la cuentas de blockchain por mal funcionamiento de los generadores de números aleatorios tanto en Android, como con el javascript de los navegadores.

Blockchain.info security [FUNDS STOLEN] (https://bitcointalk.org/index.php?topic=277595.0)

Así que no des por sentado nada y no tengas mucho dinero en este tipo de cuentas. Lo único que te protege al 99,999 % de un agujero en el software es una cartera desconectada (y sí, es un coñazo reiniciar el pc para firmar una transacción, pero si la cuenta lo merece puedes dedicar una RaspberryPi, por ejemplo, siempre sin conexión y exclusivamente para mantener dicho monedero lo más seguro posible).


Son errores muy puntuales y aislados, incluso los mas grandes bancos han tenido problemas con su versión Android,  la seguridad de tener el cliente desconectado ó aislado seria total. claro, pero no es funcional, no es practico, puedo no salir nunca a la calle para que un coche nunca me atropelle pero no seria practico. Personalmente desde que lo descubri he utilizado blockchain.info (una contraseña de 52 digitos keepass) con yubikey, y backups diarios. No es totalmente seguro pero es la dosis justa de seguridad y funcionalidad.

Uno de los grandes problemas para extender bitcoin es precisamente ese, la gente busca algo practico, funcional y sencillo.... descargar 8Gb de bloques, esperar 3 confirmaciones, (y si por cualquier motivo se te apaga ó reinicia el PC derepente cuenta con la wallet corrompida). Eso no es sencillo, ni practico y bien merece la pena sacrificar algo de seguridad por funcionalidad.


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 05, 2013, 08:39:41 AM
Son errores muy puntuales y aislados, incluso los mas grandes bancos han tenido problemas con su versión Android,  la seguridad de tener el cliente desconectado ó aislado seria total. claro, pero no es funcional, no es practico

Basta un solo error "puntual y aislado" para que te quedes con saldo cero.

Quiero pensar que realmente tienes por ahí algo offline con ahorros a largo plazo (o incluso online, pero en un electrum en tu ordenador) y sólo mantienes en bc.info la calderilla con la que saldrías a la calle. De otro modo, algún día esto te cogerá con los pantalones bajados y vendrán las lágrimas, si es que en el fondo lo sabía de antemano! Por qué coño no lo hice!! y tal y cual.


Title: Re: Urgente ataque a inputs.io
Post by: Gofio on November 05, 2013, 10:19:02 AM
Y cada vez los ataques serán mayores teniendo en cuenta que el precio del btc sigue al alza, y puedo que siga algún tiempo.

Los exchanger tendrán que gastarse los btc en una mejor seguridad si quieren tener negocio. :-\


Title: Re: Urgente ataque a inputs.io
Post by: elbill on November 05, 2013, 10:27:10 AM
Son errores muy puntuales y aislados, incluso los mas grandes bancos han tenido problemas con su versión Android,  la seguridad de tener el cliente desconectado ó aislado seria total. claro, pero no es funcional, no es practico

Basta un solo error "puntual y aislado" para que te quedes con saldo cero.

Quiero pensar que realmente tienes por ahí algo offline con ahorros a largo plazo (o incluso online, pero en un electrum en tu ordenador) y sólo mantienes en bc.info la calderilla con la que saldrías a la calle. De otro modo, algún día esto te cogerá con los pantalones bajados y vendrán las lágrimas, si es que en el fondo lo sabía de antemano! Por qué coño no lo hice!! y tal y cual.

Pues no, recordar que la parte de wallet de blockchain es totalmente opensource, y para mi es perfecta. Soy informático y conozco perfectamente los riesgos (minimos en mi opinión) si ocurre algo seria por un conjunto de circunstancias y me lo tendré bien merecido.

Imaginemos posibles supuestos:


Les hackean el servidor: Las wallets estan doblemente encriptadas, necesitarían de años para conseguir desencriptarlas, tiempo as que suficiente para importar el backup en un cliente y mover las bitcoins.

Desaparece ó deja de existir : Se importa el backup en un cliente y se mueve las bitcoins.


Una vulnerabilidad en su API:  el atacante necesitaría saber mi GUID y mis dos contraseñas.

¿Si es tan seguro porque no lo utilizan webs como Just-Dice y demás?

Ademas de intereses...el API de blockchain tiene limites de peticiones cada X minutos, serviria para una pequeña web, pero no para sitios con cientos de transacciones.


El único riesgo realista sería que de mala fé almacenaran las contraseñas (algo que su software no hace) y voluntariamente robaran a los usuarios, es poco probable pero podría ocurrir y me lo tendría merecido.


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 05, 2013, 10:48:23 AM
Les hackean el servidor: Las wallets estan doblemente encriptadas, necesitarían de años para conseguir desencriptarlas, tiempo as que suficiente para importar el backup en un cliente y mover las bitcoins.

Les hackean el servidor. La próxima vez que te conectes, el javascript que te descargas cada vez que usas la web estará convenientemente alterado para enviarles tus claves privadas nada más metas tu contraseña. Plof, game over.

Creo que hay un plugin para algún navegador, si lo usas y desactivas las actualizaciones automáticas, entonces me callo. Pero ah! en ese supuesto podría decirse que tienes algo instalado en tu ordenador, lo mismo que electrum por ejemplo :). Y como bien has dicho:

cualquier cosa instalable puede ser muy vulnerable en mi opinion


Title: Re: Urgente ataque a inputs.io
Post by: elbill on November 05, 2013, 10:55:52 AM
Les hackean el servidor: Las wallets estan doblemente encriptadas, necesitarían de años para conseguir desencriptarlas, tiempo as que suficiente para importar el backup en un cliente y mover las bitcoins.

Les hackean el servidor. La próxima vez que te conectes, el javascript que te descargas cada vez que usas la web estará convenientemente alterado para enviarles tus claves privadas nada más metas tu contraseña. Plof, game over.

Creo que hay un plugin para algún navegador, si lo usas y desactivas las actualizaciones automáticas, entonces me callo. Pero ah! en ese supuesto podría decirse que tienes algo instalado en tu ordenador, lo mismo que electrum por ejemplo :). Y como bien has dicho:

cualquier cosa instalable puede ser muy vulnerable en mi opinion

Efectivamente por eso conviene usar una yubikey ó google authentificator :) contando con eso tendrían muy poco margen de tiempo ó les sería imposible en las wallets que lo usen.


Title: Re: Urgente ataque a inputs.io
Post by: haztecoin on November 05, 2013, 11:52:39 AM
Les hackean el servidor: Las wallets estan doblemente encriptadas, necesitarían de años para conseguir desencriptarlas, tiempo as que suficiente para importar el backup en un cliente y mover las bitcoins.

Les hackean el servidor. La próxima vez que te conectes, el javascript que te descargas cada vez que usas la web estará convenientemente alterado para enviarles tus claves privadas nada más metas tu contraseña. Plof, game over.

Creo que hay un plugin para algún navegador, si lo usas y desactivas las actualizaciones automáticas, entonces me callo. Pero ah! en ese supuesto podría decirse que tienes algo instalado en tu ordenador, lo mismo que electrum por ejemplo :). Y como bien has dicho:

cualquier cosa instalable puede ser muy vulnerable en mi opinion

Efectivamente por eso conviene usar una yubikey ó google authentificator :) contando con eso tendrían muy poco margen de tiempo ó les sería imposible en las wallets que lo usen.
Primer principio, considerar el equipo de los usuarios como zona hostil.
Si en el equipo te instalan un plugin modificado te puede pillar todo, no importa que uses, al realizarse el cifrado de manera local las claves están de manera local. Lo mejor es cifrar en el servidor; aun que parezca menos seguro no lo es, pues es más fácil controlar las conexiones que en el cliente.


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 05, 2013, 12:03:04 PM
Primer principio, considerar el equipo de los usuarios como zona hostil.

La zona hostil es internet, y en internet están tanto tu equipo como el del servidor.

Los monederos de papel, off-line, air-gapped y toda esta historia, existen precisamente para salirse de internet. Por eso son más seguros.


Title: Re: Urgente ataque a inputs.io
Post by: haztecoin on November 05, 2013, 12:28:52 PM
Primer principio, considerar el equipo de los usuarios como zona hostil.

La zona hostil es internet, y en internet están tanto tu equipo como el del servidor.

Los monederos de papel, off-line, air-gapped y toda esta historia, existen precisamente para salirse de internet. Por eso son más seguros.
Internet lo forman los equipos y precisamente son los equipos de los usuarios los más inseguros, sobretodo los que tienen Windows.
Pero teniendo en cuenta que necesitas internet si o si para hacer una transacción con bitcoin, es algo de lo que al final vas necesitar, no importa que guardes la clave en un ordenador sin conexión a internet, y que hagas una transacción offline, luego tendrás que conectar un pendiver, que puede estar infectado, y transferir el dinero a una dirección que no sea la tuya


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 05, 2013, 01:11:37 PM
luego tendrás que conectar un pendiver, que puede estar infectado

Entonces, como el pendrive puede estar infectado, da igual, me ahorro todas las molestias! Mantengo la pasta en blockchain.info y ya está!

Además lo del BadBios no está totalmente confirmado.


Title: Re: Urgente ataque a inputs.io
Post by: Anillos2 on November 05, 2013, 01:27:11 PM
Primer principio, considerar el equipo de los usuarios como zona hostil.

La zona hostil es internet, y en internet están tanto tu equipo como el del servidor.

Los monederos de papel, off-line, air-gapped y toda esta historia, existen precisamente para salirse de internet. Por eso son más seguros.
Internet lo forman los equipos y precisamente son los equipos de los usuarios los más inseguros, sobretodo los que tienen Windows.
Pero teniendo en cuenta que necesitas internet si o si para hacer una transacción con bitcoin, es algo de lo que al final vas necesitar, no importa que guardes la clave en un ordenador sin conexión a internet, y que hagas una transacción offline, luego tendrás que conectar un pendiver, que puede estar infectado, y transferir el dinero a una dirección que no sea la tuya
Esto es un poco relativo:

Creo que con una webcam, un ordenador fuera de línea (offline) y algún tipo de miniimpresora B/N se podría conseguir mucho:

Por ejemplo, en el ordenador principal (con Internet) se saca la dirección de BTC donde enviar el dinero, como es un rollo escribirla a mano se puede usar una miniimpresora matricial que nos imprima un QR de esa dirección. Luego con este papel se lleva a un ordenador fuera de línea y se escanea (vale un miniescáner o una cámara web), este ordenador nos muestra en pantalla la dirección que hemos introducido (podemos comprobar que es la misma) y ahí metemos el dinero que queremos gastar. Luego una vez confirmado todo firmamos la transacción, y la imprimimos en un papel con una miniimpresora matricial diferente a la anterior (para evitar que esta pueda "transportar" virus). Finalmente se escanea el QR en el ordenador principal y se emite la transacción a Internet.

El ordenador secundario puede incluso ser un miniordenador sin conexión a la red eléctrica, alimentado por baterías y energía solar, con el miniescáner y la miniimpresora integradas en la carcasa, y con una pequeña pantalla LCD de puntos. Este ordenador además podría imprimirnos las claves privadas en papel, así si se estropea el miniordenador se pueden recuperar y tener el dinero a salvo.

Es posible que por 100€ se pueda implementar este sistema.

Problemas: el ordenador principal podría tener algún virus que nos sustituya las direcciones de BTC mostradas en pantalla. Pero al menos la cantidad de dinero principal (los ahorros) estarían a salvo. Quizás se pueda solucionar esto mediante el uso de comprobaciones alternativas, por ejemplo, llamando por teléfono si el gasto es muy elevado y así poder confirmar la dirección BTC.


Title: Re: Urgente ataque a inputs.io
Post by: elbill on November 05, 2013, 01:30:46 PM
luego tendrás que conectar un pendiver, que puede estar infectado

Entonces, como el pendrive puede estar infectado, da igual, me ahorro todas las molestias! Mantengo la pasta en blockchain.info y ya está!

Además lo del BadBios no está totalmente confirmado.


 ;D ;D
Estamos hablando de proteger una cryptomoneda, pero poniendo en duda los medios -que con criptografia- nos permiten tenerlo seguro en linea y diciendo que el único modo de tenerlo seguro es bajo el colchon. Cuanto menos es Curioso.

Los nuevos que me lean:

¿Siempre es más seguro un cliente sin conexión que en línea? Sí, es mas seguro. Pero ten cuidado con todo aquello que descargas, instalas ó incluso con las web que visitas. Y aun así necesitaras tener de algún modo un backup.

¿Una wallet en linea no es segura? Generalmente no, salvo que sea opensource, tenga doble sistema de cifrado (Una contraseña para acceder otra contraseña para retirar) además de doble autentificación con una tercera parte segura (Google Authentificator, Yubikey), y aún así hacer backups periódicos. Solo entonces se puede considerar como -segura- aunque no al 100% pero casi.  



Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 05, 2013, 01:39:30 PM
¿Una wallet en linea no es segura? Generalmente no, salvo que sea opensource, tenga doble sistema de cifrado (Una contraseña para acceder otra contraseña para retirar) además de doble autentificación con una tercera parte segura (Google Authentificator, Yubikey), y aún así hacer backups periódicos.

Lo que hace a blockchain.info diferente no es esto, sino que el servidor no conoce las claves privadas.


Title: Re: Urgente ataque a inputs.io
Post by: elbill on November 05, 2013, 02:35:13 PM
¿Una wallet en linea no es segura? Generalmente no, salvo que sea opensource, tenga doble sistema de cifrado (Una contraseña para acceder otra contraseña para retirar) además de doble autentificación con una tercera parte segura (Google Authentificator, Yubikey), y aún así hacer backups periódicos.

Lo que hace a blockchain.info diferente no es esto, sino que el servidor no conoce las claves privadas.

No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-. Y sí es eso lo que le hace diferente, que sumado a todo lo demás le hace único (A diferencia por ejemplo de la copia mala del tema inicial que hemos desvirtuado).


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 05, 2013, 02:40:21 PM
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.


Title: Re: Urgente ataque a inputs.io
Post by: elbill on November 05, 2013, 03:01:11 PM
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.

Las claves no se almacenan, se utilizan para desencriptar tu wallet en tu navegador pero no se almacenan. Tu wallet permanece cifrada en sus servidores, no es accesible para ellos, ellos no saben ni siquiera cuanto tienes, solo es accesible para ti.

Mi mujer no es mia como propiedad pero es accesible solo para mi (creo), por tanto es MI mujer  ;). Desconfiar de la criptografia cuando hablamos de una moneda basada en ella es muy contradictorio.


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 05, 2013, 03:17:42 PM
Lo que hace a blockchain.info diferente no es esto, sino que el servidor no conoce las claves privadas.
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador.
Las claves no se almacenan, se utilizan para desencriptar tu wallet en tu navegador pero no se almacenan.

Si sigues el hilo, verás que estamos hablando de las claves privadas de las direcciones bitcoin. Tienen que estar almacenadas.

Corto el rollo ya. Te regalo la última palabra.


Title: Re: Urgente ataque a inputs.io
Post by: elbill on November 05, 2013, 03:35:23 PM
Lo que hace a blockchain.info diferente no es esto, sino que el servidor no conoce las claves privadas.
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador.
Las claves no se almacenan, se utilizan para desencriptar tu wallet en tu navegador pero no se almacenan.

Si sigues el hilo, verás que estamos hablando de las claves privadas de las direcciones bitcoin. Tienen que estar almacenadas.

Corto el rollo ya. Te regalo la última palabra.

Las claves privadas de tu wallet se almacenan encriptadas protegidas por almenos una contraseña. Encriptada = casi inaccesible. Tan inaccesible como tus bitcoins sin tu clave privada.  Creo que estamos de acuerdo en casi todo salvo en lo seguro que es algo que se guarda encriptado.


Title: Re: Urgente ataque a inputs.io
Post by: haztecoin on November 05, 2013, 04:46:29 PM
Creo que el tema esta evolucionando a algo distinto al del origen.
Es curioso pero dentro de 20 mensajes más estaremos hablando de que S.O. es más seguro.

Parece que el problema esta en la api de inputs.io no han accedido a los servidores y las claves siguen siendo validas.

Respecto a si es más o menos seguro tenerlo en internet o en local depende de la gente que lo usa, en mi caso es más seguro en local en otros casos seria más seguro en internet, para la mayoría de la gente que no tiene demasiados conocimientos de internet y con windows, tenerlo en local es que le roben si o si.
Lo bueno de inputs.io es que las transacciones son instantáneas entre los usuarios, además es muy fácil de usar para la gente.


Title: Re: Urgente ataque a inputs.io
Post by: principiante on November 05, 2013, 08:35:43 PM
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.


Hola dserrano5, una pregunta que quedé un poco mareado...
Si yo me abro una cuenta en blockchain desde mi casa y mando bitcoins a esa cuenta. ¿qué es lo que se almacena en el navegador?
Porque yo he probado entrar por otros navegadores desde otras computadoras citas en otros lugares, y accedo a mi cuenta perfectamente, y puedo cobrar, pagar, etc.
Gracias y disculpen el desvio pero no entiendo esto que se acaba de decir.


Title: Re: Urgente ataque a inputs.io
Post by: haztecoin on November 05, 2013, 08:39:50 PM
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.


Hola dserrano5, una pregunta que quedé un poco mareado...
Si yo me abro una cuenta en blockchain desde mi casa y mando bitcoins a esa cuenta. ¿qué es lo que se almacena en el navegador?
Porque yo he probado entrar por otros navegadores desde otras computadoras citas en otros lugares, y accedo a mi cuenta perfectamente, y puedo cobrar, pagar, etc.
Gracias y disculpen el desvio pero no entiendo esto que se acaba de decir.
En el navegador no se almacena nada. Seguramente se refiere a que todos los cálculos se realizan en el navegador, que no es lo mismo.


Title: Re: Urgente ataque a inputs.io
Post by: dserrano5 on November 05, 2013, 08:52:08 PM
En el navegador no se almacena nada. Seguramente se refiere a que todos los cálculos se realizan en el navegador, que no es lo mismo.

Sí, acabo de caer en la cuenta. Estaba pensando en el almacenamiento permanente que tienen los navegatas, pero esto no casa con irse a casa del vecino y usar bc.info desde allí.


Title: Re: Urgente ataque a inputs.io
Post by: principiante on November 05, 2013, 11:48:57 PM
No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-.

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.


Hola dserrano5, una pregunta que quedé un poco mareado...
Si yo me abro una cuenta en blockchain desde mi casa y mando bitcoins a esa cuenta. ¿qué es lo que se almacena en el navegador?
Porque yo he probado entrar por otros navegadores desde otras computadoras citas en otros lugares, y accedo a mi cuenta perfectamente, y puedo cobrar, pagar, etc.
Gracias y disculpen el desvio pero no entiendo esto que se acaba de decir.
En el navegador no se almacena nada. Seguramente se refiere a que todos los cálculos se realizan en el navegador, que no es lo mismo.

En realidad SI guarda algo el navegador... Guarda un "identificador" que es una clave bastante larga. Yo no se mucho de esto, pero creo que puede tener algún dato implícito que es el que traslada el usuario cuando cambia de navegaror.. ¿o estoy delirando mucho?

Edito, perdón para no hacer otro posteo lo pongo aca: siguiendo el hilo del tópico, yo tengo algunos bitcoins en input.io y no pasó nada. Al menos yo entre y funciona todo normalmente.


Title: Re: Urgente ataque a inputs.io
Post by: Argen-Coin on November 06, 2013, 12:37:32 AM
Ah!, me había olvidado de tu cuenta... entra ahora y fíjate.  ;D


PD = Esto es un chiste. Si te falta bitcoins no he sido yo !!  :D


Title: Re: Urgente ataque a inputs.io
Post by: principiante on November 06, 2013, 12:40:30 AM
Ah!, me había olvidado de tu cuenta... entra ahora y fíjate.  ;D


PD = Esto es un chiste. Si te falta bitcoins no he sido yo !!  :D

Ja ja, Argen querido! cómo andas amigo! con vos hice las mejores operaciones en mucho tiempo. Guardo un grato recuerdo de tu persona. Espero que estes de lo mejor.
Te mando un gran abrazo!
David


Title: Re: Urgente ataque a inputs.io
Post by: haztecoin on November 06, 2013, 09:14:28 AM
Edito, perdón para no hacer otro posteo lo pongo aca: siguiendo el hilo del tópico, yo tengo algunos bitcoins en input.io y no pasó nada. Al menos yo entre y funciona todo normalmente.
Solo afecta a los que teníamos activada la API. Si no la tienes activada estas seguro.
Bueno ahora esta la API desactivada por lo tanto si no te robaron ya no lo harán, hasta la próxima claro.


Title: Re: Urgente ataque a inputs.io y situación de COINLENDERS
Post by: wuala on November 06, 2013, 09:25:08 AM
¿que os parece la situación de Inputs.io y sobre todo lo de COINLENDERS?

Os cuento: parece ser que a Tradefortress (el administrador y propietario de ambos sitios)
le estaban diciendo que lo de COINLENDERS BANK podría tener implicaciones negativas en
la USA.

Por eso hace unos días cambiaron algunas cosas, y ahora dicen que se trata solo de una "DEMO"
En el foro, el propio TF, al igual que en la propia página de CL, dice que COINLENDERS es solo
una DEMO de un SCRIPT bancario que tiene en venta por 54 BTC, de forma que todo lo que ocurre
allí no es real.

Yo al principio me asusté porque tengo unos pocos bitcoins en un depósito. Pero varios usuarios
(no TF) me dijeron que todo sigue igual, que se siguen pagando intereses y que lo que han hecho
es un lavado de cara para que no le cierren el sitio.

Mucha gente llevada por el pánico, ha sacado sus fondos de CL y han dejado los "wallet" vacíos.
Yo intenté hacer un pequeño reintegro y han tardado casi 10 días en darmelo...

En fin, que no las tengo todas conmigo...
Y ahora lo del API de Inputs.io... ¿no estaremos poniendo los huevos en una cesta de aficionados?

 ???


Title: Re: Urgente ataque a inputs.io
Post by: principiante on November 06, 2013, 01:49:03 PM
Edito, perdón para no hacer otro posteo lo pongo aca: siguiendo el hilo del tópico, yo tengo algunos bitcoins en input.io y no pasó nada. Al menos yo entre y funciona todo normalmente.
Solo afecta a los que teníamos activada la API. Si no la tienes activada estas seguro.
Bueno ahora esta la API desactivada por lo tanto si no te robaron ya no lo harán, hasta la próxima claro.

Hola Haztecoin, disculpame la "preguntonta" pero ¿qué es la API? y cómo se si mi wallet la tiene activada o no?

Gracias


Title: Re: Urgente ataque a inputs.io
Post by: haztecoin on November 06, 2013, 04:07:10 PM
Edito, perdón para no hacer otro posteo lo pongo aca: siguiendo el hilo del tópico, yo tengo algunos bitcoins en input.io y no pasó nada. Al menos yo entre y funciona todo normalmente.
Solo afecta a los que teníamos activada la API. Si no la tienes activada estas seguro.
Bueno ahora esta la API desactivada por lo tanto si no te robaron ya no lo harán, hasta la próxima claro.

Hola Haztecoin, disculpame la "preguntonta" pero ¿qué es la API? y cómo se si mi wallet la tiene activada o no?

Gracias
Ahora están todas desactivadas.
Si fuiste a "Security" y le distes a generar una "Key API" Activaste el API


Title: Re: Urgente ataque a inputs.io
Post by: coinpr0n on November 07, 2013, 03:43:11 AM
http://www.reddit.com/r/Bitcoin/comments/1q2law/inputsio_hacked_and_shutdown_4100_btc_stolen/

En la página de Inputs.io:

Quote
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Two hacks totalling about 4100 BTC have left Inputs.io unable to pay all user balances. The attacker compromised the hosting account through compromising email accounts (some very old, and without phone numbers attached, so it was easy to reset). The attacker was able to bypass 2FA due to a flaw on the server host side.

Database access was also obtained, however passwords are securely stored and are hashed on the client. Bitcoin backend code were transferred to 10;15Hd@mastersearching.com:mercedes49@69.85.88.31 (most likely another compromised server).

What about my coins there? If you stored more than 1 BTC, send an email to support@inputs.io with a Bitcoin address (preferably, an offline, open source light/SPV wallet like Multibit or Electrum). Use the same email you're using on Inputs. Please don't store Bitcoins on an internet connected device, regardless of it is your own or a service's.

I know this doesn't mean much, but I'm sorry, and saying that I'm very sad that this happened is an understatement.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iQEcBAEBAgAGBQJSeuZ9AAoJEB7FawRj3T8Th5QH/iapt2DUuyy1j7t51y1N1LOk
+Gu5fdIAV8molXnv+InMQvxtfxWfc7zKiROSP6Zv1cXdvMrCyzKP+SnTEFshIa+0
j2FYOgLeMNmsPSw8yeR1O8vJieYlK+7imEZL4nRKA+O+mjqCT1nTCtBUAVcYQ8Uu
O6BoNLkgT8z/1ZTfw+OK4t2kw9KcC317JOv3yVugfA3xCn4HbKPRP2yFIKR49C7L
w7C2h3L1jHqLerQNjbowcyKH83BFJ2IB0cFZFFCLBI+8NQcUIcIFymxrxUV73Rqa
xlMPX2rPFcIj6yz0ABl1t2rwY2DGOvc33MYCzX82CumLx/qAXCd2uF/jG6fzQ5M=
=Ip/9
-----END PGP SIGNATURE-----


Title: Re: Urgente ataque a inputs.io
Post by: elbill on November 07, 2013, 06:26:47 AM
Me reafirmo en todo lo dicho copia mala de una gran servicio convertida en Scam. Visto su otro sitio no me sorprenderia que se haya auto-hackeado, ejem.  ;)


Animo a los afectados.