Bitcoin Forum
May 28, 2024, 01:10:16 AM *
News: Latest Bitcoin Core release: 27.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 2 3 [4]  All
  Print  
Author Topic: Hackers extorsionando Webs que aceptan Bitcoins  (Read 5178 times)
Anillos2
Legendary
*
Offline Offline

Activity: 1260
Merit: 1003


View Profile
September 18, 2013, 02:44:34 PM
 #61

Cuidado con todo esto.

1.-Por mucho que podamos conocer a krako, podría ocurrir que estuviese obrando de mala fe o simulando que le han robado y sería imposible demostrar lo contrario.

2.-Un comprador insatisfecho puede lograr el bloqueo de los bitcoins que acaba de enviar a un vendedor exactamente de la misma forma en que krako está denunciando estos hechos. Incluso podría tratarse de un extorsionador tratando de sacar provecho de una transacción efectuada por terceros.

3.- Existe un elevado riesgo de que bloquees los bitcoins de un inocente que no se hubiese apercibido de que esos bitcoins estaban marcados. Te recuerdo que no puedes rechazar los bitcoins que te llegan en una transacción ni saber cuál es su historial hasta que ya se encuentran en tu billetera y es demasiado tarde.

Acabar con la fungibilidad de Bitcoin es matarlo directamente. ¿Quién decidiría sobre qué bitcoins son buenos y cuáles robados? ¿Quién se atrevería a enviar sus bitcoins a un exchanger o comercio sin estar completamente seguro de que no aparecen en las múltiples listas de bitcoins perseguibles que pudiesen surgir.

No digo que krako mienta. Sólo digo que no pueden existir bitcoins de primera y bitcoins de segunda. O, para que se me entienda mejor, no pueden existir diferenciaciones entre bitcoins buenos y malos.
Yo lo que digo es que de la misma forma que no compraría un coche robado, tampoco aceptaría bitcoins robados como pago.

¿Y si te obligase en el futuro la policía a devolverlos?

Es mi punto de vista, porque podría acabar pringado o algo, a mi al menos me preocupa.

dserrano5
Legendary
*
Offline Offline

Activity: 1974
Merit: 1029



View Profile
September 18, 2013, 03:25:35 PM
 #62

¿Y si te obligase en el futuro la policía a devolverlos?

Le deseo buena suerte a la poli a la hora de demostrar que tal y cual coins, después de mezcladas, proceden de un crimen.
Polvos
Hero Member
*****
Offline Offline

Activity: 597
Merit: 500



View Profile
September 18, 2013, 03:45:45 PM
 #63

Yo lo que digo es que de la misma forma que no compraría un coche robado, tampoco aceptaría bitcoins robados como pago.

¿Y si te obligase en el futuro la policía a devolverlos?

Es mi punto de vista, porque podría acabar pringado o algo, a mi al menos me preocupa.

Entonces haces mal en aceptar el protocolo bitcoin porque:

- Te sería imposible impedir que alguien te realice un pago con bitcoins "marcados", puesto que las transacciones de bitcoins son irreversibles e imbloqueables.

- La existencia de múltiples listas de bitcoins buenos y malos induciría al miedo a la hora de gastar, ya que nadie estaría completamente seguro de cumplir con todas ellas (o incluso con aquellas que no se hubieran hecho públicas) y una única lista gestionada por algún organismo con un cierto poder conllevaría la pérdida de la descentralización. Aquel que decidiese qué bitcoins son buenos o malos tendría todo el poder.

- Es imposible distinguir un robo de bitcoins o un intento de fraude (denuncia de falso robo por parte del propietario) de una transacción válida. La única prueba fehaciente sería la palabra de una de las partes.

- Aceptar un sistema de marcado de bitcoins abriría la puerta a la posibilidad de extorsionar a cualquiera bajo la amenaza de denunciar una determinada transacción como ilegal.

- El marcado de bitcoins escapa a la aceptación consensuada y estricta del protocolo bitcoin que todos los usuarios hacemos al leer e instalar el código fuente. Todo lo externo a éste código sería por definición externo a Bitcoin, ajeno y únicamente válido entre las partes que así lo acuerden en un intercambio, nunca impuesto a la mayoría.

- A partir de que los bitcoins marcados como robados se moviesen a una segunda dirección, existiría la posibilidad de bloquear los bitcoins de un usuario inocente. Cuantas más direcciones han visitado esos bitcoins, más plausible es la posibilidad de perjudicar a un inocente con la incautación o bloqueo. Recordad que no todo el mundo es capaz de darse cuenta de que le han robado en ese mismo instante. La mayoría de las veces los bitcoins ya se han movido por muchas direcciones distintas en el momento en el que el perjudicado da la alarma.

- No existe ningún acuerdo ni consenso sobre cuál es el porcentaje de bitcoins marcados que debe tener una dirección como para considerarla sospechosa. ¿A partir del 50% del 5% del 10%? Si la comunidad bitcoin decide que se bloquearán aquellas transacciones cuyos imputs constituyan un porcentaje muy alto (pongamos del 90%) de bitcoins marcados, sería bastante sencillo para el ladrón el diluir lo suficiente sus bitcoins marcados como para saltarse esa barrera. Si, por el contrario, la comunidad decidiese ser más estricta y no permitir aquellas transacciones con bitcoins marcados en porcentaje pequeño (un 5%) por ejemplo, los ladrones podrían extorsionar con "contaminar" direcciones de empresas, de particulares, y de donaciones de ONGs conocidas y públicas enviando unas pocas bitcoins robadas ya que supondrían superar ese límite tan estricto del 5%.


Y muchos más argumentos que se me van ocurriendo conforme escribo. Perder la fungibilidad de Bitcoin es perderlo todo.

Shawshank
Legendary
*
Offline Offline

Activity: 1623
Merit: 1608



View Profile
September 18, 2013, 10:03:03 PM
 #64

Yo lo que digo es que de la misma forma que no compraría un coche robado, tampoco aceptaría bitcoins robados como pago.

¿Y si te obligase en el futuro la policía a devolverlos?

Es mi punto de vista, porque podría acabar pringado o algo, a mi al menos me preocupa.

A poco que el ladrón sea un poco listo, los bitcoins robados no se gastan directamente. Antes se pasarían por un proceso de "mezclado", de forma que la relación con las direcciones originales del robo quedaría muy difuminadas.

A mí lo que más me preocupa es la facilidad con la que circulan billetes de euro con restos de cocaína. ¿Es que el gobierno se va a quedar de brazos cruzados?  Smiley
http://www.elmundo.es/elmundo/2006/12/24/espana/1166928254.html

Lightning Address: shawshank@getalby.com
dserrano5
Legendary
*
Offline Offline

Activity: 1974
Merit: 1029



View Profile
September 19, 2013, 08:31:33 AM
 #65

A mí lo que más me preocupa es la facilidad con la que circulan billetes de euro con restos de cocaína.

Aahhh, ahora me explico por qué me siento tan bien cuando tengo las manos llenas de billetes!! Cheesy
ioxoi
Hero Member
*****
Offline Offline

Activity: 608
Merit: 500



View Profile
September 19, 2013, 05:01:00 PM
 #66

Krako, siento mucho esta Pu* pero por el volumen y criticidad de los fallos, era cuestión de tiempo, podría ser para extorsionar como así a sido, para incluir un exploit y usar tu web para infectar equipos de tus clientes con troyanos, o para extorsionarlos conociendo sus datos personales y contraseñas, o simplemente como plataforma intermedia para otros ataques, veo que los estas tomado desde el punto de vista positivo y esa es la postura,  aprovecha para montar una tienda aún mejor, más segura y adecuada a los nuevos tiempos.

Ahora estarás planteando cambiar de plataforma, desarrolladores, etc etc, te paso unas pistas interesantes para saber que hacer y a quien no contratar :

1: Rechaza el software a medida, a día de hoy con proyectos libres como Prestashop (existe módulo BTC de bitapay), magento (existe módulo BTC de bitapay), wordpress, drupal o jomla es inventar la rueda y ser menos competitivo no aprovechando miles de horas de desarrollo y depuración de grandes aplicaciones. no digo que no adecues o uses módulos para adaptarlo a tus necesidades pero todos desarrollo a medida es un riesgo.

2: Si montas una tienda física buscas a un experto o te informas en seguridad para montar cámaras, proceso de retirada de efectivo, verjas, pilares anti alunizaje, etc. con la seguridad informática haz lo mismo, asesórate o aprende a usar contraseñas robustas, a no usar aplicaciones de procedencia dudosa, a desisitilar todo lo innecesario, a usar sistemas de autenticación fuerte, actualizar tus servidores y equipos, a diferenciar entre equipos de trabajo y personales, etc.

3: si contratas a un desarrollador, pregúntale por el proyecto OWASP (https://www.owasp.org), y los 10 fallos de seguridad más comunes y como protegerlos (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project), es fácil, pero hay que estudiar un poco, si no te responde de manera rápida y adecuada, cambia de desarrollador sin dudarlo.

4: asume siempre que van a entrar y intentar aplicar tanto técnicas de visibilidad como de doble protección (defensa en profundidad se llama exactamente): integridad de archivos, detectores de intrusiones de HOST, activar las auditorías de los servidores, analizadores de logs , haseado de contraseñas, uso de usuarios no priviligiados, y déjate algún caramelo para saber que tienes un turista, por ejemplo un wallet.dat con la auditoría del sistema activada, si entra alguien va a acceder al archivo y tu sabrás que haya alguien más (vamos como dejar un biellete de 20€ en el cajón de la cocina para la chica de la limpieza)

5:Asume que alguien va a meter la pata y gástate unos cuartos en una auditoría de seguridad, no hace falta que contrates aun hacking ético de decenas de miles de Euros, basta con que un profesional le dedique entre una tarde y 2 días para cerrar las puertas más comunes, pero sobre todo que NO TENGA NADA QUE VER CON EL INSTALADOR/DESARROLLADOR. Los fallos de tu web se detectan en pocos minutos por alguien con experiencia y un entorno de trabajo adecuado y esto no debería costarte más de 2 BTC para una revisión rápida.

Finalmente ánimo y bienvenido al mundo de la paranoia de la seguridad informática.
luicon
Sr. Member
****
Offline Offline

Activity: 262
Merit: 250



View Profile
September 21, 2013, 02:07:59 PM
 #67

eso de que las contraseñas no estuviesen hasheadas me ha dejado de piedra, 6000€ por un proyecto donde no se han preocupado siquiera de algo tan básico es casi imperdonable,

siento lo que te ha pasado, normalmente en estos casos se resetean todos los passwords y se les envia un mail a los clientes para que pongan uno nuevo, y se les explica el problema para que tomen medidas en caso de usar el mismo password en otros sitios.

les pasó a los de bitcoin24 y tomaron las medidas correctas

seguramente el tipo no hacia mas que buscar vulnerabilidades conocidas de forma masiva a ver si lograba alguna web que almacenara las claves privadas de bitcoin en el servidor y asi mover los fondos, pero en vista de la falta de éxito, ha optado por la extorsión y de manera bastante codiciosa... si llega a pedir 2 btc ya puede darse con un canto en los dientes
Anillos2
Legendary
*
Offline Offline

Activity: 1260
Merit: 1003


View Profile
September 21, 2013, 05:07:16 PM
 #68

Aquí tenéis otro ejemplo, uno que robó mi anterior usuario ahora está intentando estafar a la gente:
https://bitcointalk.org/index.php?topic=292123.0

Es posible que haya pillado la contraseña de algún sitio donde no estuviera cifrada. También es torpeza mía de repetir la contraseña y nombre de usuario.

Yo espero que los administradores cierren esa cuenta o bien me la devuelvan, porque podría estafar a la gente, de hecho ya lo está intentando.

Krako (OP)
Sr. Member
****
Offline Offline

Activity: 407
Merit: 250



View Profile
September 22, 2013, 07:07:28 AM
 #69

Hola a todos.

Poco a poco vamos recuperando la normalidad. Os vuelvo a dar las gracias una vez más por el apoyo y las palabras de ánimo recibidas.

No puedo estar de acuerdo en que las tiendas y plataformas enlatadas como prestashop, magento, joomla etc etc sean más seguras que los desarrollos personalizados. Solo tenéis que pasaros por freelancers.com.es y comprobar cuantos proyectos hay abiertos para solucionar vulnerabilidades, virus, troyanos, Spam etc etc en estas plataformas... Nosotros mismos jamás habíamos tenido ningún problema conocido hasta ahora y llevamos online desde el año 1999..

Ya aprovecho para precisamente aconsejaros freelancers.com.es para solucionar cualquier problema que podáis tener con vuestra web así como para incluso realizar proyectos completos.

Un saludo
ioxoi
Hero Member
*****
Offline Offline

Activity: 608
Merit: 500



View Profile
September 22, 2013, 08:47:14 AM
 #70

Krako, revisa tu razonamiento, fíjate que estas diciendo que es mas fiable ( menos fallos funcionales y de seguridad) en un prototipo a medida que en un producto con miles o millones de instalaciones, evolucion en decenas de versiones  y revisiones entre pares (fíjate que todos son software libre) aplica esto a otros sectores (un coche por ejemplo )y veras que carece de fundamento.
El único pero es que al tener mayor numero de usuarios/instalaciones la presión por los "malos" es mayor y deberás mantener una política de actualizaciones, con software a medida los fallos de seguridad/funcionalidad están esperando a quien se tropiece con ellos o sepa explotarlos.
El resultado es que el software de gran distribución tiene muchos menos fallos pero el impacto de un fallo no corregido es mayor, aunque un buen bastionado lo minimizaría

Si este razonamiento proviene de un desarrollador, se precavido, ya que cuando menos es bastante discutible.
Krako (OP)
Sr. Member
****
Offline Offline

Activity: 407
Merit: 250



View Profile
September 22, 2013, 09:45:20 AM
 #71

Todo depende de como se hagan las cosas. De sí se hacen bien o se hace una chapuza.
 No digo que sea mejor ni peor. Digo que hay muchísimas vulnerabilidades también con las plataformas enlatadas. Y que no son la panacea.
Tampoco hablo por boca de ningún desarrollador. A mis 45 años tengo un criterio una opinión propias Smiley
Pero te agradezco tu aportacion

Un saludo
Pages: « 1 2 3 [4]  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!