GLI SCERIFFI BITCOIN

[gdassori]

Penso che se lo scammer diventa vittima la cosa importa poco o niente a nessuno. Ognuno di noi spera in cuor suo che si secchino i testicoli a tutti i disonesti è un istinto atavico. Qualcuno potrebbe anche sostenere che "se lo merita". Io credo semplicemente che se hai rubato dei soldi, questi non sono "moralmente" tuoi ed è giusto che tornino al proprietario.

Ovvio che non buco nessun computer io, ma se mai nascerà un progetto del genere, non lo nego, sono pienamente favorevole ad operazioni di piallaggio informatico nei confronti dei truffatori.

Allora chiarisci...

Tu parli di non bucare computers... e io quindi do per inteso che tu voglia raccogliere informazioni per proseguire giuridicamente con una denuncia. Dunque ti cito la prassi giudiziaria e i punti fallaci del tuo ragionamento.

Poi parli di bucare computers, una cosa che "tu non farai mai", perché è illegale.

Puoi far capire dove vuoi andare a parare? Ha senso questo thread o stiamo solo qui a perdere tempo?

[FaSan]

Ma perchè bucare il pc ?

Trova la privkey e hai risolto 

[CobaltPH]

Con l'ip è relativamente possibile fare qualcosa, dipendentemente dal sistema ovviamente.
Suite come metasploit offrono un ampia varietà di tecniche di ingresso e non serve poi molta pratica per imparare a usarlo.

Mancano due considerazioni.
1) L'ip molto raramente è statico. Anche se adesso in Italia qualche servizio lo offre, la maggior parte cambiano a ogni connessione.
Le forze dell'ordine tramite ingiunzione del giudice ottengono i tabulati di assegnazione e possono risalire all'utente che ha utilizzato uno specifico ip in una specifica finestra temporale.
Tuttavia un utente privato non avrebbe certezza che, dato un ip, questo corrisponda necessariamente al truffatore. Senza complicarci la vita con tor e cose varie, potresti infastidire una docile madre di famiglia

Penso che se lo scammer diventa vittima la cosa importa poco o niente a nessuno.

2) Importa allo scammer
che ti denuncia, tu vai a processo, ti sporchi la fedina e lui ottiene un risarcimento.

La cosa migliore da fare è raccogliere più dati possibili e fare segnalazioni alla polizia postale.
Quando si accumulano un "tot" di denunce, partono d'ufficio.

1) L'ip dinamico non rimane comunque assegnato al router per tutto il tempo che sta connesso (magari 24/7) ?  Comunque sia mi rendo conto che questa attività rischia troppo facilmente di degenerare nell'illecito e non è gestibile da privati.

2) Mi sembra giusto, è quello che farò d'ora in avanti quando ne avrò l'occasione.

[angrynerd88]

basta trovare nome cognome ed indirizzo a quel punto lo inoltri ad un rassicurante energumeno con accento albanese di 195 cm per 110 chili che va a fargli una visitina. Gli dici che il 15% di quello che recupera è suo. Di quel che succede te ne lavi le mani, tu non hai detto niente.

[Atlatico]

1) L'ip dinamico non rimane comunque assegnato al router per tutto il tempo che sta connesso (magari 24/7) ?

Nope. L'ip dinamico viene "ciclato" in specifiche finestre temporali.
In soldoni: provider come alice o tiscali ti assegnano un nuovo ip ogni tot ore. Alice mi sembra fosse ogni 8 ore.
Ovviamente senza che il router venga riavviato.
Poi può capitare che per mesi tu abbia sempre il solito ip, cosa rara ma può succedere.
Dipende da quanti utenti ci sono nella tua subnet, da come assegnano gli ip ecc.
In generale, non v'è certezza

Discorso diverso è fastweb e tutta la storia della subnet ma non addentriamoci.

2) Mi sembra giusto, è quello che farò d'ora in avanti quando ne avrò l'occasione.

Fai bene. L'errore delle vittime spesso è la pigrizia nel denunciare.
Per ogni vittima che non ha denunciato, il truffatore ha potuto fare una truffa in più.

[Trigun]

anche ammesso che ha fatto decine di furti... ha preso 1000€? 5000€? 10000€?

un professionista che ti riesce a bucare il pc vittima con solo l'ip vuole sicuramente + di 10000€ ^_^

già per il semplice motivo che sta facendo qualcosa di illegale....
un hacker serio può bucare un sistema per divertimento, per mettersi alla prova, o per commissione... quelli che lo fanno per commissione in generale si fanno pagare tanto....

inoltre l'ip è inutile ....
se si ha una connessione diversa da fw basta riavviare il router per forzare il cambio ip... o basta anche scrivere un comando da dos per cambiare ip...

gli unici che ci fanno qualcosa è la polizia....
che è l'unica che può risalire alla persona fisica che ha fatto la cosa...
sempre ammesso che sia una persona e non abbia ad es usato il wifi di qualcuno o 1 internet cafe et simili

[CobaltPH]

Allora chiarisci...

Tu parli di non bucare computers... e io quindi do per inteso che tu voglia raccogliere informazioni per proseguire giuridicamente con una denuncia. Dunque ti cito la prassi giudiziaria e i punti fallaci del tuo ragionamento.

Poi parli di bucare computers, una cosa che "tu non farai mai", perché è illegale.

Puoi far capire dove vuoi andare a parare? Ha senso questo thread o stiamo solo qui a perdere tempo?

Ho voluto farmi un'idea in merito alla possibilità di istituire un gruppo di vigilantes che, su commissione, compie attacchi informatici agli scammer e restituisce gran parte dei soldi rubati alle vittime.

Dalle vostre risposte e dagli sviluppi della discussione mi sono reso conto che:

- Tali azioni di contrattacco informatico rischiano troppo facilmente di degenerare in illeciti. La violazione della libertà personale (inteso anche come domicilio o oggetto personale) è permessa solamente nei casi e nei modi previsti dalla legge. La legge non conferisce ai privati il diritto di bucarsi i computer a vicenda.

- Conseguentemente il massimo che può fare un privato è raccogliere quante più informazioni possibile e avvisare le autorità competenti (polizia postale) e possibilmente gli utenti del forum utilizzando la sezione apposita.

- L'esercizio della giustizia DIY è un comportamento troppo discutibile e che potenzialmente comporta danni maggiori dei benefici: si pensi lasciare in mano ad un gruppo di individui la facoltà di bucare computer a loro discrezione o sulla base di segnalazioni di utenti online la cui identità risulta non sempre individuabile... mi ricorda tanto le squadracce del fascismo o, se avete visto l'Anime Death Note, il protagonista Kira che uccide i delinquenti a sua discrezione e poi si fa prendere la mano.


Chi volesse svolgere questo tipo di attività dovrebbe pertanto e inevitabilmente infrangere le leggi vigenti oppure farsi delegare questo compito dallo stato agendo in nome e per conto suo, entrando a far parte delle forze dell'ordine.

Ricapitolando l'attività di "farsi giustizia" può al massimo consistere nella raccolta di informazioni. E a questo punto mi chiedo se è già possibile sfruttare al massimo questa strada.

Pensavo ad un database distribuito delle identità e ho trovato questo proprio sul forum, si chiama identifi , qualcuno di voi ne avrà già sentito parlare: https://bitcointalk.org/index.php?topic=329537.0

Appena ho un po' di tempo approfondisco.

[angrynerd88]

che fosse illegale penso che era ovvio dal principio....

[CobaltPH]

anche ammesso che ha fatto decine di furti... ha preso 1000€? 5000€? 10000€?

un professionista che ti riesce a bucare il pc vittima con solo l'ip vuole sicuramente + di 10000€ ^_^

già per il semplice motivo che sta facendo qualcosa di illegale....
un hacker serio può bucare un sistema per divertimento, per mettersi alla prova, o per commissione... quelli che lo fanno per commissione in generale si fanno pagare tanto....

inoltre l'ip è inutile ....
se si ha una connessione diversa da fw basta riavviare il router per forzare il cambio ip... o basta anche scrivere un comando da dos per cambiare ip...

gli unici che ci fanno qualcosa è la polizia....
che è l'unica che può risalire alla persona fisica che ha fatto la cosa...
sempre ammesso che sia una persona e non abbia ad es usato il wifi di qualcuno o 1 internet cafe et simili

Capisco che far perdere le proprie tracce è semplicissimo per il ladro e altrettanto difficile è per chi investiga ricostruire le sue tracce...

Gli unici casi nei quali vedo possibile fare operazioni del genere è in presenza di grandi interessi e grandi capitali.

Però scusami è teoricamente possibile che un gruppo di individui riesca a risalire alle informazioni personali di un utente magari rubando queste informazioni proprio dall'ISP?
Disponendo di una potenza praticamente illimitata (e di menti adeguate) è possibile fare qualsiasi cosa nel mondo dell'informatica giusto?

[CobaltPH]

che fosse illegale penso che era ovvio dal principio....

Qual'è il massimo che posso fare come privato per contrastare ladri e truffatori?
Inevitabilmente per capire fin dove si può arrivare bisogna tenere conto di quando questo comportamento sconfina nell'illegalità.

Fare ronda è legale.
Frascare di botte il ladro dopo aver fatto ronda è illegale.

[CobaltPH]

Ma perchè bucare il pc ?

Trova la privkey e hai risolto  

https://en.bitcoin.it/wiki/Private_key

Nearly every 256-bit number is a valid private key. Specifically, any 256-bit number between 0x1 and 0xFFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFE BAAE DCE6 AF48 A03B BFD2 5E8C D036 4141 is a valid private key.

Quindi le probabilità di beccarlo sono 2^256 o mi sbaglio? A livello di probabilità mi sembra molto più facile riuscire a bucare un pc usando metasploit ma rischio OT

[diego1000]

Largo a proposte e commenti.

torna a giocare con le barbie.

[davvo]

Ho voluto farmi un'idea in merito alla possibilità di istituire un gruppo di vigilantes che, su commissione, compie attacchi informatici agli scammer e restituisce gran parte dei soldi rubati alle vittime.
Dalle vostre risposte e dagli sviluppi della discussione mi sono reso conto che:
- Tali azioni di contrattacco informatico rischiano troppo facilmente di degenerare in illeciti.

Non è che rischi.. compiere attacchi informatici è illegale, punto.

Se tu buchi un pc, sfrutti un bug appunto, e quindi sei nell'illegale, perchè è violazione di proprietà non tua.

Non è che se io lascio aperto la porta di casa e sai che ti ho rubato 1000 euro tu provi a scassinarmi la porta per vedere se ho sul comodino i 1000 euro poi, una volta che li trovi, mi denunci.
O denunci a priori, poi altri faranno indagini, o qualsiasi cosa che tu faccia contro la mia persona\proprietà è illegale.

E anche dire "io incarico uno, poi fa tutto lui" non è che te ne lavi le mani.
Se incarichi uno di fare un lavoro illegale e lui lo fa, tu sei complice.

Detto questo, se per te è stato cosi facile bucare il tuo pc... sinceramente hai un pc che fa ridere o hai fatto qualcosa che nella realtà non è applicabile, vedi bucare un pc via lan e non via internet (dove vuoi applicare tu la cosa).
Basta aver un router configurato bene e al pc non ci arrivi neppure più dall'ip pubblico, perchè sta su ip privato non accessibile, altro che bucare il pc.

[angrynerd88]

che fosse illegale penso che era ovvio dal principio....

Qual'è il massimo che posso fare come privato per contrastare ladri e truffatori?
Inevitabilmente per capire fin dove si può arrivare bisogna tenere conto di quando questo comportamento sconfina nell'illegalità.

Fare ronda è legale.
Frascare di botte il ladro dopo aver fatto ronda è illegale.

puoi soltanto affidarti ad investigatori privati e poi riportare le informazioni alla ppolizia. Se vuoi poter fare di più devi diventare procuratore della Repubblica ed allora potrai dirigere delle indagini per conto tuo. Esistono percorsi di studio piuttosto lunghi e concorsi pubblici decisamente selettivi. Auguri.

[CobaltPH]

Largo a proposte e commenti.

torna a giocare con le barbie.

Impara a fare commenti costruttivi invece che sfruttare la piccolezza degli altri per fare lo sbruffone.

Il tuo commento non aiuta per niente, sai?

[diego1000]

Il tuo commento non aiuta per niente, sai?

ti sbagli, se tu giochi con le barbie nn hai il tempo di aprire post con idee dementi.

[CobaltPH]

Il tuo commento non aiuta per niente, sai?

ti sbagli, se tu giochi con le barbie nn hai il tempo di aprire post con idee dementi.

leggendo i tuoi post vedo che insulti un po' tutti sul forum, capisco quindi che non è una questione personale, al massimo sarai tu che sei particolarmente incazzato per qualcosa nella tua vita.

Comunque dai il senso dell'umorismo ce l'hai se mi chiedi scusa possiamo anche diventare amici.

[Trigun]

Però scusami è teoricamente possibile che un gruppo di individui riesca a risalire alle informazioni personali di un utente magari rubando queste informazioni proprio dall'ISP?
Disponendo di una potenza praticamente illimitata (e di menti adeguate) è possibile fare qualsiasi cosa nel mondo dell'informatica giusto?

quindi stai dicendo :
fanculo all'utente.. è troppo complicato.... meglio bucare la sede centrale che è sicuramente + facile....


è + o - il ragionamento che fanno tutti... è per questo che cercano di bucare i pc della nasa ecc.. perchè sono + facili ^^


almeno che non lavori per l'ISP e non tratti quei dati... è impossibile arrivarci...

e anche se lavori per l'ISP ... stai rubando informazioni alla tua società... il che significa licenziamento + denuncia


................

sulla 2° frase... direi di no....
quando fanno gli hacktest su sistemi particolari ci son fior e fior di hacker esperti che tentano di bucare il sistema... e in genere non ci riescono....
considerando che chi buca quella cosa viene ricompensato da 1 premio che in genere è molto ricco ( es questo http://news.sky.com/story/1152343/microsoft-pays-first-100k-hacking-bounty ) puoi ben immaginare la difficoltà della cosa...

[CobaltPH]

Però scusami è teoricamente possibile che un gruppo di individui riesca a risalire alle informazioni personali di un utente magari rubando queste informazioni proprio dall'ISP?
Disponendo di una potenza praticamente illimitata (e di menti adeguate) è possibile fare qualsiasi cosa nel mondo dell'informatica giusto?

quindi stai dicendo :
fanculo all'utente.. è troppo complicato.... meglio bucare la sede centrale che è sicuramente + facile....


è + o - il ragionamento che fanno tutti... è per questo che cercano di bucare i pc della nasa ecc.. perchè sono + facili ^^


almeno che non lavori per l'ISP e non tratti quei dati... è impossibile arrivarci...

e anche se lavori per l'ISP ... stai rubando informazioni alla tua società... il che significa licenziamento + denuncia


................

sulla 2° frase... direi di no....
quando fanno gli hacktest su sistemi particolari ci son fior e fior di hacker esperti che tentano di bucare il sistema... e in genere non ci riescono....
considerando che chi buca quella cosa viene ricompensato da 1 premio che in genere è molto ricco ( es questo http://news.sky.com/story/1152343/microsoft-pays-first-100k-hacking-bounty ) puoi ben immaginare la difficoltà della cosa...

Ho avuto le risposte che cercavo. Per me il caso "Sceriffi Bitcoin" è chiuso.

Mi pare molto più dispendioso e nella pratica inefficace (oltre che, se non lo avessimo detto, poco legally compliant) rispetto a prevenzione + informazione + raccolta dei dati.

Ho trovato nella sezione "Crittografia e decentralizzazione" questo thread che parla del database distribuito " Identifi ", penso che il progetto sia molto interessante nonostante sia ancora in fase embrionale e ci siano alcuni aspetti che mi convincono poco. Penso che potrebbe essere un ottimo passo avanti semplificando il processo di raccolta, inserimento e gestione dei dati relativi alla trust, oltre al fatto che in assenza di tale sistema le informazioni restano sparse in giro per la rete e rimane tutta una questione di due diligence.

[FaSan]

Ma perchè bucare il pc ?

Trova la privkey e hai risolto  

https://en.bitcoin.it/wiki/Private_key

Nearly every 256-bit number is a valid private key. Specifically, any 256-bit number between 0x1 and 0xFFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFE BAAE DCE6 AF48 A03B BFD2 5E8C D036 4141 is a valid private key.

Quindi le probabilità di beccarlo sono 2^256 o mi sbaglio? A livello di probabilità mi sembra molto più facile riuscire a bucare un pc usando metasploit ma rischio OT

10 anni fà forse. Oggi come oggi mi sà che fai prima a fare un brute sulla key. I PC (medioman apparte) non si bucano più così facilmente.


FaSan