[Sicurezza] Bitcoin su windows più Antivirus

[sheriff7]

Che ne pensate di installare bitcoin-qt in una chiavetta e collegarla solo in caso di trasferimenti ovviamente non prima di aver scollegato dalla rete il pc?

[Sandro kensan]

Che ne pensate di installare bitcoin-qt in una chiavetta e collegarla solo in caso di trasferimenti ovviamente non prima di aver scollegato dalla rete il pc?

Se hai un virus nel pc che ti serve la tua procedura? Il virus manderà la tua private key al cracker appena il pc sarà riconnesso a Internet.

I virus sono inoffensivi solo nei pc permanentemente scollegati dalla grande Rete. Appena un pc infetto viene collegato ad Internet manda la tua private key al cracker.

[Amph]

ma usare antivirus pare brutto?

avira+malwarebytes+hitmanpro, e non mi entra niente, becco ogni cosa

[sheriff7]

Ok...capito. Ho il pc pulito appena scansionato con antimalware antivirus e antitutto...Può quindi aver senso precedere come da me descritto  e tenere la chiavetta con dentro il wallet al sicuro e scollegata?

[sheriff7]

ma usare antivirus pare brutto?

avira+malwarebytes+hitmanpro, e non mi entra niente, becco ogni cosa

Appunto...partiamo dal presupposto che il pc è pulito... se tieni il wallet scollegato e il pc sempre sotto controllo non dovresti aver problemi!

[davwolf]

http://en.m.wikipedia.org/wiki/Pwn2Own
Un Po di sistemi mac sono cmq stati violati nelle edizioni di questa sto contest , quindi lasciate il proprio wallet su osx senza antivirus.....
@

[asderz]

apparte il fatto che per beccare un virus ormai ce ne vuole... se aprite gli allegati in posta oppure installate programmi a random è logico che prima o poi qualcosa entra...
è vero, ci sono gli exploit ma funzionano con file/programmi particolari che cmq dovete eseguire o vedere

nessuno ti entra nel pc magicamente senza che voi facciate nulla

per la protezione io userei un buon antivirus a pagamento (come kaspersky) abbinato a dei programmi sicuri e un truecrypt per criptare un intero disco con l'algoritmo/chiave che volete voi
poi beh ci sono i sistemi più evoluti come le virtual machine ecc ecc
rimane il fatto che il modo più sicuro di tenere i bitcoin è su un pc senza internet

riguardo al sito internet tipo bancaintesa beh è difficile creare un sito del genere per contenere potenziali milioni di €... anche perchè i bonifici e trasferimenti non sono immediati e si può far sempre un rollback se invece si spostano in massa tutti i bitcoin, addio!

[Sandro kensan]

nessuno ti entra nel pc magicamente senza che voi facciate nulla

Questo mi pare un punto trascurato da chi ha partecipato a questo 3ad. Per esempio leggevo oggi che c'è una vulnerabilità di php che permette ai router che espongono una pagina web (quella di configurazione) di essere infettati dal worm dal nome: Linux.Darlloz

http://www.tomshw.it/cont/news/il-worm-per-l-internet-delle-cose-inaspettato-e-pericoloso/51392/1.html

Certamente un router non fa nulla, non apre allegati, non va su siti pericolosi ma magari espone una pagina web su Internet e questo basta a farsi infettare e a propagare l'infezione in tutti i router simili.

Non è certamente una minaccia questo worm ma pensiamo a milioni di persone che hanno il conto corrente non in banca ma nei propri pc, sarebbe facilissimo per questo worm trasformarsi in un rubabitcoin.

In questo caso gli antivirus servono? Forse no perché entrano in azione quando il virus si è propagato abbastanza ed è stato riconosciuto dalle varie symantec. Il dispendio di risorse per fare sempre nuovi virus non riconosciuti dall'antivirus ha senso per un cracker? Forse si perché i soldi da rubare sono tanti anche per un virus che si diffonde poco basta che rubi bitcoin.

Per esempio il worm in questione è stato riconosciuto a fine novembre: quanti router ha infettato prima di essere riconosciuto da symantec ed essere inserito negli antivirus? Per un cracke il gioco vale la candela?

Un tempo i virus non avevano molto da guadagnare nell'infettare un pc (DDoS, potenza di calcolo, botnet) adesso o nell'immediato futuro ogni pc potrebbe rivelarsi una banca da svaligiare.

[asderz]

nessuno ti entra nel pc magicamente senza che voi facciate nulla

Questo mi pare un punto trascurato da chi ha partecipato a questo 3ad. Per esempio leggevo oggi che c'è una vulnerabilità di php che permette ai router che espongono una pagina web (quella di configurazione) di essere infettati dal worm dal nome: Linux.Darlloz

http://www.tomshw.it/cont/news/il-worm-per-l-internet-delle-cose-inaspettato-e-pericoloso/51392/1.html

Certamente un router non fa nulla, non apre allegati, non va su siti pericolosi ma magari espone una pagina web su Internet e questo basta a farsi infettare e a propagare l'infezione in tutti i router simili.

Non è certamente una minaccia questo worm ma pensiamo a milioni di persone che hanno il conto corrente non in banca ma nei propri pc, sarebbe facilissimo per questo worm trasformarsi in un rubabitcoin.

In questo caso gli antivirus servono? Forse no perché entrano in azione quando il virus si è propagato abbastanza ed è stato riconosciuto dalle varie symantec. Il dispendio di risorse per fare sempre nuovi virus non riconosciuti dall'antivirus ha senso per un cracker? Forse si perché i soldi da rubare sono tanti anche per un virus che si diffonde poco basta che rubi bitcoin.

Per esempio il worm in questione è stato riconosciuto a fine novembre: quanti router ha infettato prima di essere riconosciuto da symantec ed essere inserito negli antivirus? Per un cracke il gioco vale la candela?

Un tempo i virus non avevano molto da guadagnare nell'infettare un pc (DDoS, potenza di calcolo, botnet) adesso o nell'immediato futuro ogni pc potrebbe rivelarsi una banca da svaligiare.

beh i virus di un tempo potevano tranquillamente sniffare la CC e farti sparire qualche centinaia di euro senza troppi problemi
se ora una persona custodisce una fortuna di bitcoin nel suo pc ma non si preoccupa di metterlo in sicurezza beh è un casino
è come avere una ferrari e lasciarla aperta sotto casa tutta la notte, non è l'idea della vita!

quel worm sfrutta una vulnerabilità di php già nota da tempo e già fixata, se la gente prende i router della trust datati 2008 e non aggiorna il fw beh... nessuno ci può fare nulla
logico che se niente entra sul tuo pc l'unico attacco disponibile è la rete di casa

[Sandro kensan]

quel worm sfrutta una vulnerabilità di php già nota da tempo e già fixata, se la gente prende i router della trust datati 2008 e non aggiorna il fw beh... nessuno ci può fare nulla
logico che se niente entra sul tuo pc l'unico attacco disponibile è la rete di casa

Si, il problema è complesso. Saprai anche te che windows fixa le vulnerabilità molto raramente e dopo molto tempo. Inoltre i virus hanno una finestra di tempo per agire indisturbati poiché non sono riconosciuti da nessun antivirus.

In questa finestra di tempo gli utenti windows sono totalmente sprotetti e quindi trovo sia da sottolineare questo aspetto nell'ottica di tenere bitcoin in pc windows con antivirus.

[Amph]

sono scoperti solo se si accede alla pagina di configurazione del router giusto? se è cosi, si tratta di nuovo di dover far qualcosa per farlo entrare, siamo sempre li

[Sandro kensan]

sono scoperti solo se si accede alla pagina di configurazione del router giusto? se è cosi, si tratta di nuovo di dover far qualcosa per farlo entrare, siamo sempre li

Questo del worm per i router linux è solo un esempio. La casistica è vastissima e io non la padroneggio.

Per il caso specifico mi pare di essere stato abbastanza chiaro da non lasciare adito a dubbi. Se sei interessato ad approfondire sul link che ho messo c'è un rimando a symantec con spiegazioni più dettagliate e poi ci sono articoli in inglese che dettagliano bene il worm.

La risposta breve alla tua domanda è comunque: no. Per il resto ti invito a informarti.

[Amph]

si ma colpisce cmq router datati, o quelli non aggiornati con i firmware piu recenti, quindi alla fine è si, siamo sempre li è solo colpa dell'utonto medio se il pc si infetta

[Sandro kensan]

si ma colpisce cmq router datati, o quelli non aggiornati con i firmware piu recenti, quindi alla fine è si, siamo sempre li è solo colpa dell'utonto medio se il pc si infetta

Certamente ma trascuri il particolare che tutti i pc o tutti i router sono in quella situazione per una finestra temporale di discreta misura: non esiste l'antivirus immediato che scopre il virus prima che sia creato. Windows poi viene patchato con un ampio ritardo temporale, alcune falle vengono corrette dopo mesi. L'antivirus ha un suo ritardo fisiologico che i produttori di virus possono sfruttare se in ballo non ci sono semplici pc ma banche.

Ripeto tutti i pc sono infettabili perché la patch o l'antivirus arrivano con ritardo:

Questa metodologia ha però una grave pecca: riconosce solo i virus che son già stati catalogati dai vendor degli antivirus e necessita di un continuo aggiornamento da parte vostra o dei vostri utenti.
Inoltre tutte le eventuali mutazioni di un virus primigenio necessitano anch’esse di firme.

Ne risulta che i moderni antivirus hanno un ritardo intrinseco nell’individuare i nuovi virus: questa mancanza, di solito, viene supplita con l’integrazione di altre metodologie quali l’anomaly detection

http://www.disi.unige.it/person/ChiarellaD/Malware1-virus-1pag.pdf

[asderz]

ma qua non c'entra windows o linux, il worm in questo caso infetta il router perchè fa girare una pagina php con delle falle di sicurezza datate 2012 quindi il SO non c'entra nulla.
Win ha più virus perchè fondamentalmente è il sistema più utilizzato dai possessori di pc, ma ora come ora entrare su un pc win senza che l'utente ha installato qualcosa è veramente veramente difficile.

Anche nel caso di quel worm cmq viene infettato il router e quindi ne può prendere il controllo, ok.. ma poi? se si utilizzano connessioni cifrate e nessun dato passa in chiaro ci fai veramente ben poco...
Ora come ora per passare un buon antivirus, un router decente e un utente che installa solo cose sicure e prende le dovute precauzioni è veramente veramente difficile.
Un hacking di medio/basso livello non può fare nulla perchè dovrebbe sfruttare degli exploit day0 e creare un programma custom non rilevato da nessun antivirus (e gli antivirus non rilevano solo i virus già esistenti, da anni utilizzano tecniche per beccare quei codici pericolosi e quei comportamenti tipici dei virus/worm e li bloccano... quindi non basta più recriptare un keylogger per vederlo magicamente funzionare su tutti i pc).
Quindi se una persona riesce a creare un programma del genere, a studiare il comportamento dell'utente e riuscire ad entrare vuol dire che stai conservando veramente tanti bitcoin e anche se giri con linux, mac, chrome, ecc questa persona sarebbe cmq entrata

[Sandro kensan]

Alcuni punti:

* i router sono dei computer con tanto di sistema operativo linux (kernel linux con web server, php ecc)
* le falle di windows sono tante e corrette con mesi di ritardo:

No patch is available for the Windows vulnerability, however, Microsoft has provided a workaround in its security advisory.

http://www.symantec.com/connect/blogs/attack-exploits-windows-zero-day-elevation-privilege-vulnerability

* l'euristica usata dagli antivirus ha tutti i limiti di un programma che tenta di battere l'intelligenza umana e quindi un buon virus è costruito per sfuggire all'euristica. Per battere un buon virus occorre che sia conosciuto e inserito nell'antivirus da essere umani.

* recriptare un keylogger non permette di sfuggire agli antivirus che abbiano la sua firma ma un buon virus sfugge all'euristica.

* gli exploit day zero non servono nel mondo windows, MS patcha con mesi di ritardo, vedi sopra ma vedi anni di vulnerabilità corrette con mesi di ritardo, basta leggere i siti specializzati: è storia.