rubati 24 bitcoin su bitstam. 2FA+password lunga 20 + email di conferma prelievo

[gabridome]

io propendere per l ipotesi che questo non sia mai accaduto o è accaduto diversamente da come descritto, non avrebbe senso, sarebbe il primo caso al mondo.

Non posso proprio biasimarti. Non sai quanto ho pensato di aver fatto io quel prelievo e di essermene scordato. era da giorni che pensavo che ero un cretino a tenere i soldi su bitstamp e avevo intenzione di toglierli. Erano giorni un pò frenetici abbiamo avuto l'evento a Bologna e il giorno dopo sono partito per la montagna.

E' scoppiato il fattaccio di Mt.Gox e mi son detto:"adesso li togli di lì..." ci avevano già pensato (loro) 

Nutro la segreta speranza ancora di aver fatto il prelievo io ma l'indirizzo non mi appartiene e la mail di conferma non c'é...

[Amph]

ma il 2fa di google non ti manda un codice sul telefonino(non smartphone)?

dovrebbe essere impossibile per chiunque entrare, anche avendo un malware nel pc...

[Trigun]

non mi risulta si possa fare un backup del programma senza root....

No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb.

FaSan

mmmhhh Google authenticator che io sappia non ha la possibilità di essere Backuppato nè sincronizzato.

Tutte le volte che ho rotto o perso il telefono ho dovuto ripristinare tutti i codici di Google authenticator.

Attualmente ogni volta che faccio una voce nuova su Google authenticator prendo la secret, la crittografo con GPG e la metto su Evernote.

Ovvio che se nel processo ho una volta lasciato in giro la secret di Bitstamp il gioco é fatto ma ci sto attento ed é una delle ipotesi meno probabili...

Non é una cosa che dico volentieri ma mi sembra corretto farvi sapere tutto il possibile.

questo potrebbe essere l'elemento debole...
ora non ho mai usato evernote... pero' credo sia + facile da accedere... non so neanche come funziona evernote... del tipo viene salvato online? quindi con user e psw che avevi su lastpass?
perchè in quel caso se hanno avuto accesso a lastpass ovviamente possono aver avuto accesso ad evernote e quindi al tuo 2fa... e quindi avere in mano tutte le carte utili per far quello che hanno fatto

[gabridome]

non mi risulta si possa fare un backup del programma senza root....

No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb.

FaSan

mmmhhh Google authenticator che io sappia non ha la possibilità di essere Backuppato nè sincronizzato.

Tutte le volte che ho rotto o perso il telefono ho dovuto ripristinare tutti i codici di Google authenticator.

Attualmente ogni volta che faccio una voce nuova su Google authenticator prendo la secret, la crittografo con GPG e la metto su Evernote.

Ovvio che se nel processo ho una volta lasciato in giro la secret di Bitstamp il gioco é fatto ma ci sto attento ed é una delle ipotesi meno probabili...

Non é una cosa che dico volentieri ma mi sembra corretto farvi sapere tutto il possibile.

questo potrebbe essere l'elemento debole...
ora non ho mai usato evernote... pero' credo sia + facile da accedere... non so neanche come funziona evernote... del tipo viene salvato online? quindi con user e psw che avevi su lastpass?
perchè in quel caso se hanno avuto accesso a lastpass ovviamente possono aver avuto accesso ad evernote e quindi al tuo 2fa... e quindi avere in mano tutte le carte utili per far quello che hanno fatto

certo ma non dimenticarti di gpg. una chiave RSA 2048 non é la più forte ma non é certo alla portata degli hacker (l'nsa in un annetto secondo me la può far fuori ma deve spenderci un bel pò di risorse).
Oggi ho rifatto tutti i codici di Google authenticator ma mi sa che non li metto su evernote...

[Trigun]

ok criptata... ma con che chiave?
1 che stava sempre salvata da qualche parte? magari la stessa di qualcos'altro?

[gabridome]

ok criptata... ma con che chiave?
1 che stava sempre salvata da qualche parte? magari la stessa di qualcos'altro?

Qualcosa mi dice che hai un pò di confusione sulla crittografia a chiave asimmetrica.
Sì la chiave era memorizzata sul mac.
Sì lanchiave crittografava molte altre cose.
É così che gpg normalmente lavora. Certo uno può tenere le chiavi su smartcard o su chiavetta usb ma non conosco nessuno che lo faccia.
La chiave a sua volta é protetta da password (forse é a questa che ti riferivi).
No la password della chiave non é mai stata scritta da nessuna parte.
No la password della chiave non é mai stata utilizzata da nessuna parte.
La chiave password é più lunga di 13 caratteri (alla fine hai fatto incasinare anche me cacchio) .

[Trigun]

criptografia:
modificare una informazione sfruttando una formula matematica e una chiave

per decriptare il messaggio basta avere la chiave e conoscere la formula

la chiave può essere una password come può essere un file (che è semplicemente una password lunga e quindi difficile da memorizzare) ... il risultato non cambia... se si è in possesso della chiave puoi in ogni caso decriptare il contenuto del file...

quindi se avevano accesso al pc allora avevano accesso alla chiave per decriptare il file che quindi gli dava accesso al google auth, che quindi li ha potuti far loggare facilmente
sostanzialmente è come avere il post-it sul monitor con la psw per accedere a qualcosa...
o la cassaforte a casa con la chiave affianco...

[zoe]

Ricapitolando, possono avere avuto accesso al tuo pc > da qui aver preso i dati per loggarsi a bitstamp e evernote ecc. . aver preso la chiave privata gpg  dal pc, accedere a evernote prendere il file auth. e avere a questo punto tutto l'occorrente . Giusto?
Un bel sticazzi ci sta!!!
Non dovrei dirlo, ma le mie protezioni, sono diverse... ma si possono definire similare alle tue.

[gabridome]

criptografia:
modificare una informazione sfruttando una formula matematica e una chiave

per decriptare il messaggio basta avere la chiave e conoscere la formula

la chiave può essere una password come può essere un file (che è semplicemente una password lunga e quindi difficile da memorizzare) ... il risultato non cambia... se si è in possesso della chiave puoi in ogni caso decriptare il contenuto del file...

quindi se avevano accesso al pc allora avevano accesso alla chiave per decriptare il file che quindi gli dava accesso al google auth, che quindi li ha potuti far loggare facilmente
sostanzialmente è come avere il post-it sul monitor con la psw per accedere a qualcosa...
o la cassaforte a casa con la chiave affianco...

E' offtopic ma giusto perché l'argomento mi piace:
esistono due tipi principali di crittografia: a chiave simmetrica e a chiave asimmetrica.

GPG derivato open source di PGP usa l'algoritmo a chiave asimmetrica.
GPG o PGP rimane dalla sua nascita uno dei pochi programmi a cui l'utente può fare riferimento per proteggere i propri dati personali. Usato tra l'altro da Snowden e sembra essere uno dei pochi sistemi non direttamente intaccato dalle mire dell'NSA.
La chiave é normalmente lunga 1024, 2048 o 4096 bits.
La chiave é normalmente crittografata con una password impostata dall'utente in modo che il trafugarla non vuol dire direttamente utilizzarla.
Sono d'accordo con te che se qualcuno aveva accesso al mio mac E avevo un keylogger, qualcuno avrebbe potuto avere accesso ai miei appunti su Evernote SE avesse avuto username e password per accedervi.

In definitiva le informazioni che immagazziniamo sui dispositivi da quando i bitcoin hanno un valore rilevante, hanno acquisito un valore molto diverso da prima.
In passato mi sono interessato di crittografia ma ora l'interesse é diventato un'esigenza e la conoscenza non basta più. Occorre molta attenzione e disciplina (almeno da parte mia).

Penso che un device staccato dalla rete sia l'unico modo per combattere questi nuovi pericoli. Già da tempo i famosi "dispositivi di firma" facevano tutto al loro interno senza esporre mai le chiavi all'esterno. La stessa cosa dovranno fare i dispositivi con cui vorremo nascondere le nostre informazioni.

E' paradossale come non esista niente in proposito. Penso che i Rasberry PI sono siano (il congiuntivo!!!!  ) un bello spunto per futuri sviluppi in tal senso.

[gdassori]

E' paradossale come non esista niente in proposito. Penso che i Rasberry PI sono siano (il congiuntivo!!!!  ) un bello spunto per futuri sviluppi in tal senso.

http://coldpi.com/

http://www.pi-wallet.com/

[Trigun]

beh non serve necessariamente avere 1 dispositivo staccato... ma avere 2 dispositivi separati già rende la cosa impossibile (almeno che non si ha l'accesso su entrambi)

appurato che DEVONO aver avuto accesso al tuo pc per far quello che hanno fatto.. se tu non avessi avuto i dati dell'auth sul pc sarebbe stato impossibile ...
nel momento in cui su un dispositivo hai tutti i dati necessari per accedere... beh a quel punto dividere le cose è abbastanza inutile ^_^ (viene meno l'utilità della separazione)

detto questo esistono componenti hardware per criptare le cose...tipo so che esiste una chiavetta che se si sbaglia il codice come sistema di protezione ha l'autodistruzione hardware della memoria (la brucia), ma son cose che son utilizzate professionalmente... e cmq tutto ha senso solo in determinate situazioni... perchè se cmq blocchi una strada ma ne lasci un'altra aperta allora non cambia molto ^^

(credo che la cosa di cui parlavo è questa, ma non ci metto la mano sul fuoco dato che era un discorso uscito all'uni e ho una piccolissima memoria di questo, sia questa http://store1.imation.com/store/imation/list/categoryID.59867300 ... )

[Trigun]

e cmq non capisco come faccia a funzionare il pi-wallet....
cioè è offline... quindi come fa a scaricare la blockchain e a fare transazioni ?

[pozzut]

è una cosa da matti... Le mie protezioni sono al tuo livello.. devo subito agire per migliorarle ancora! (e io che mi credevo al sicuro..)

[alexrossi]

e cmq non capisco come faccia a funzionare il pi-wallet....
cioè è offline... quindi come fa a scaricare la blockchain e a fare transazioni ?

Firmi la transazione offline e poi fai il broadcast attraverso un pc connesso alla rete

[gabridome]

appurato che DEVONO aver avuto accesso al tuo pc per far quello che hanno fatto.. se tu non avessi avuto i dati dell'auth sul pc sarebbe stato impossibile ...
nel momento in cui su un dispositivo hai tutti i dati necessari per accedere... beh a quel punto dividere le cose è abbastanza inutile ^_^ (viene meno l'utilità della separazione)

Sinceramente davo per appurato l'accesso al mio telefono più che al mac in quanto lì avevo:

• Google authenticator
• Il browser di lastpass (da cui posso essermi collegato con Bitstamp anche a ridosso dell'hacking. mentre dal mac non mi collegavo dalla sera prima)
• Il client gmail sempre collegato con la mia posta
• Evernote (se mai fosse stato necessario)

Anche il mac ha un fracco di informazioni sensibili (stasera tocca a lui la formattazione) ma non il client gmail e non Google authenticator.

Sicuramente avere due dispositivi separati é inutile se uno di questi dispone di tutte le informazioni necessarie. Non so cosa dire in verità... Siamo solo nel campo delle ipotesi.

[gabridome]

e cmq non capisco come faccia a funzionare il pi-wallet....
cioè è offline... quindi come fa a scaricare la blockchain e a fare transazioni ?

Sono d'accordo. La blockchain non é necessaria per electrum offline ma sapevo che Armory ha bisogno di bitcoind....

"We've pre-installed Bitcoin Armory on the Cold Pi along with bitaddress.org's source code. This will allow you to manage your coins, create paper-wallets and more.."

Nessuno ha esperienza in proposito?

[Trigun]

appurato che DEVONO aver avuto accesso al tuo pc per far quello che hanno fatto.. se tu non avessi avuto i dati dell'auth sul pc sarebbe stato impossibile ...
nel momento in cui su un dispositivo hai tutti i dati necessari per accedere... beh a quel punto dividere le cose è abbastanza inutile ^_^ (viene meno l'utilità della separazione)

Sinceramente davo per appurato l'accesso al mio telefono più che al mac in quanto lì avevo:

• Google authenticator
• Il browser di lastpass (da cui posso essermi collegato con Bitstamp anche a ridosso dell'hacking. mentre dal mac non mi collegavo dalla sera prima)
• Il client gmail sempre collegato con la mia posta
• Evernote (se mai fosse stato necessario)

Anche il mac ha un fracco di informazioni sensibili (stasera tocca a lui la formattazione) ma non il client gmail e non Google authenticator.

Sicuramente avere due dispositivi separati é inutile se uno di questi dispone di tutte le informazioni necessarie. Non so cosa dire in verità... Siamo solo nel campo delle ipotesi.

il problema è che i "virus" per il telefono sono tutti inutili...
non possono fare nulla se non toccare foto e cose del genere... ma sicuramente non possono accedere al codice dell'authenticator quindi supporre il telefonino come punto debole la vedo abbastanza remota come possibilità ....
anche con un telefono rootato per accedere alle cartelle del sistema bisogna dargli l'ok a mano e un programma non riuscirebbe in ogni caso ad accedere alla cartella senza prima chiederti il consenso
ad es io ho fatto un programma che salva i messaggi di whatsapp e me li manda via mail... beh per far questo devo usare il BACKUP di whatsapp .. non posso in alcun modo accedere ai dati diretti di whatsapp (e leggere da li...) ma appunto devo aspettare il backup che viene creato in uno spazio accessibile pubblicamente (con un banale permesso di lettura/scrittura su memoria) e agire su quello....
se anche il telefono fosse rootato avrei dovuto dare al telefono il permesso di root e solo allora avrei potuto controllare il database di whatsapp per leggere i messaggi "freschi"..

[gabridome]

Grazie. non sapevo che se il telefono non é rootato non puoi accedere ai dati di nessuna applicazione.

So però da Marco Barulli che é banale invece accedere alla clipboard.

Ad essere sinceri quando faccio login sul telefono con google authenticator ingenuamente copio spesso i codici nella clipboard e li incollo.
Mi viene in mente che sicuramente questo é possibile: se avevo un trojan che monitorava la clipboard in tempo reale i codici li ha rubati.

Rimane la password di bitstamp e di gmail.

[gabridome]

Grazie alla vostra tenacia altre cose mi vengono in mente.
La più importante é che settimane fa sono stato vittima anch'io del famigerato "StealthBit".
Un app "open source" su github che permetteva di testare gli "Stealth Address" (un possibile futuro per la privacy nell'utilizzo dei pagamenti).
Nella realtà accanto ai sorgenti (probabilmente innocui) lo sviluppatore (poi sparito) metteva a disposizione la "la comoda" versione binaria che io ho prontamente installato (proprio su questo mac dal quale vi scrivo).

Come potete leggere in inglese qui sotto l'applicazione fa quello che deve fare ma ha anche una componente che installa estensioni per i browser che trasmettono le vostre credenziali di login ed era stato disegnato (sembra) particolarmente per BTC-E e Mt.Gox (a questo punto direi che probabilmente con Bitstamp non se la cavava maluccio).

La ragione per cui me ne ero quasi scordato é che la notizia era uscita quasi subito come la cura da applicare (http://www.securemac.com/Remove-CoinThief-Trojan-Horse-Instructions.php) ma é evidente che questo é stato l'errore più grosso che ho commesso e la cura é stata insufficiente (o tardiva).

Grazie a Trigun ho ripensato al MAC.

La cosa che rimane inspiegabile é che sono partito da casa alle 14:00 e l'attacco é avvenuto verso le 21:00 (bitstamp é indietro di un'ora rispetto all'Italia) Quindi se anche lo username e la password ce l'avevano da cosa cazzo hanno intercettato il codice di sei cifre???


Riporto sotto l'interssante articolo che avrei dovuto leggere molto meglio.
Tratto da: http://www.securemac.com/CoinThief-BitCoin-Trojan-Horse-MacOSX.php
SecureMac has discovered a new Trojan Horse called OSX/CoinThief.A, which targets Mac OS X and spies on web traffic to steal Bitcoins. This malware has been found in the wild, and there are multiple user reports of stolen Bitcoins. The malware, which comes disguised as an app to send and receive payments on Bitcoin Stealth Addresses, instead covertly monitors all web browsing traffic in order to steal login credentials for Bitcoin wallets.

Initial infection occurs when a user installs and runs an app called "StealthBit," which was recently available for download on GitHub, a website that acts as a repository for open source code. The source code to StealthBit was originally posted on GitHub, along with a precompiled copy of the app for download. The precompiled version of StealthBit did not match a copy generated from the source code, as it contained a malicious payload. Users who downloaded and ran the precompiled version of StealthBit instead ended up with infected systems. A user posting over the weekend on Reddit, the popular discussion site, reported losing 20 Bitcoins (currently worth upwards of $12,000 USD) to the thieves.

Disguised as an app to send and receive payments on Bitcoin Stealth Addresses, OSX/CoinThief.A instead acts as a dropper and installs browser extensions that monitor all web browsing traffic, looking specifically for login credentials for many popular Bitcoin websites, including MtGox and BTC-e, as well as Bitcoin wallet sites like blockchain.info. When login credentials are identified, such as when a user logs in to check their Bitcoin wallet balance, another component of the malware then sends the information back to a remote server run by the malware authors.

Upon running the program for the first time, the malware installs browser extensions for Safari and the Google Chrome web browser, without alerting the user. The web browsers are tricked into thinking that the user intentionally installed the extensions, and give no warning to the user that all of their web browsing traffic is now being monitored by the malicious extensions. Additionally, the malware installs a program that continually runs in the background, looking for Bitcoin wallet login credentials, which are then sent back to a remote server. OSX/CoinThief.A can both send information to as well as receive commands from a remote server, including a functionality to update itself to newer versions from the malware author.

Information sent back to the server isn't limited to Bitcoin login credentials, but also includes the username and UUID (unique identifier) for the infected Mac, as well as the presence of a variety of Bitcoin-related apps on the system.

Some steps were taken by the malware author to disguise the inner workings of OSX/CoinThief.A from casual analysis. The browser extensions were given the generic name of "Pop-Up Blocker" and show a similarly generic description of "Blocks pop-up windows and other annoyances." The malware additionally checks to see if various security programs or code development tools are present on an infected system, which is sometimes done in an attempt to block security researchers from analyzing a piece of malware.

[(A)social]

non mi risulta si possa fare un backup del programma senza root....

No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb.

FaSan

mmmhhh Google authenticator che io sappia non ha la possibilità di essere Backuppato nè sincronizzato.

Tutte le volte che ho rotto o perso il telefono ho dovuto ripristinare tutti i codici di Google authenticator.
...

Quante volte, figliolo?