ibinsad
|
|
March 06, 2014, 11:09:20 PM |
|
non è possibile ... android ha la gestione dei permessi che parla chiaro... se non si ha un permesso non puoi fare una cosa... e se il telefono non è rootato non puoi accedere ai file di altre applicazioni... quindi non esistono keylogger e cose del genere... gli unici keylogger che esistono possono stare in una tastiera (se si scarica la tastiera Y potrebbe avere un keylogger all'interno... dato che usi quella per scrivere :-P) potrebbe essere un discorso diverso per il browser che magari ha la possibilità di accesso dall'esterno.. ma non credo... cioè andrebbe a violare tutto il sistema per fare una cosa che potrebbe essere inutile... cmq i "virus" del telefono agiscono solamente sui dati salvati sul telefono... principalmente immagini video ecc e quello che riguarda la rubrica ecc ... anche se per accedere alla rubrica bisogna dargli il permesso (idem per i file) ma son cmq 2 permessi che praticamente hanno quasi tutte le app (e i permessi non penso li legga nessuno)
es banale... su un programma che ho fatto per android per poter inviare una mail dal programma ho dovuto scrivere una funzione per inviare il file che comprendeva tutto... dall'apertura della sessione con login e dati (hardcoded) fino all'invio.... banalmente si sarebbe potuto fare sfruttando già il client della mail che è installato e configurato sul telefono.... pero' per farlo avrei dovuto passare i dati al programma e questo li avrebbe dovuti gestire... è fattibile, ma è richiesta sempre una parte umana per l'invio (praticamente puoi fargli compilare la mail con tutti i dati ma il tasto invia deve esser premuto a mano)... questo proprio perchè un'applicazione non può comandare o prendere dati ad un'altra applicazione... può solo lanciare e INVIARE dati a quest'ultima (che quindi deve esser predisposta a poter ricevere e gestire i dati)
Quindi in base a queste considerazioni, qual'è la tua ipotesi su quanto accaduto?
|
|
|
|
FaSan
|
|
March 06, 2014, 11:28:04 PM |
|
non è possibile ... android ha la gestione dei permessi che parla chiaro... se non si ha un permesso non puoi fare una cosa... e se il telefono non è rootato non puoi accedere ai file di altre applicazioni... quindi non esistono keylogger e cose del genere... gli unici keylogger che esistono possono stare in una tastiera (se si scarica la tastiera Y potrebbe avere un keylogger all'interno... dato che usi quella per scrivere :-P) potrebbe essere un discorso diverso per il browser che magari ha la possibilità di accesso dall'esterno.. ma non credo... cioè andrebbe a violare tutto il sistema per fare una cosa che potrebbe essere inutile... cmq i "virus" del telefono agiscono solamente sui dati salvati sul telefono... principalmente immagini video ecc e quello che riguarda la rubrica ecc ... anche se per accedere alla rubrica bisogna dargli il permesso (idem per i file) ma son cmq 2 permessi che praticamente hanno quasi tutte le app (e i permessi non penso li legga nessuno)
es banale... su un programma che ho fatto per android per poter inviare una mail dal programma ho dovuto scrivere una funzione per inviare il file che comprendeva tutto... dall'apertura della sessione con login e dati (hardcoded) fino all'invio.... banalmente si sarebbe potuto fare sfruttando già il client della mail che è installato e configurato sul telefono.... pero' per farlo avrei dovuto passare i dati al programma e questo li avrebbe dovuti gestire... è fattibile, ma è richiesta sempre una parte umana per l'invio (praticamente puoi fargli compilare la mail con tutti i dati ma il tasto invia deve esser premuto a mano)... questo proprio perchè un'applicazione non può comandare o prendere dati ad un'altra applicazione... può solo lanciare e INVIARE dati a quest'ultima (che quindi deve esser predisposta a poter ricevere e gestire i dati)
Si ma come accennavo prima, un bluetooth con accesso ai file può benissimo scaricarsi il file conf della 2FA e ripristinarla sul proprio dispositivo. Così come la synch che fà backup online, se comprensiva dei dati delle app. FaSan
|
|
|
|
rikyxxx
Newbie
Offline
Activity: 10
Merit: 0
|
|
March 07, 2014, 12:06:35 AM |
|
|
|
|
|
Trigun
|
|
March 07, 2014, 05:30:14 AM |
|
non è possibile ... android ha la gestione dei permessi che parla chiaro... se non si ha un permesso non puoi fare una cosa... e se il telefono non è rootato non puoi accedere ai file di altre applicazioni... quindi non esistono keylogger e cose del genere... gli unici keylogger che esistono possono stare in una tastiera (se si scarica la tastiera Y potrebbe avere un keylogger all'interno... dato che usi quella per scrivere :-P) potrebbe essere un discorso diverso per il browser che magari ha la possibilità di accesso dall'esterno.. ma non credo... cioè andrebbe a violare tutto il sistema per fare una cosa che potrebbe essere inutile... cmq i "virus" del telefono agiscono solamente sui dati salvati sul telefono... principalmente immagini video ecc e quello che riguarda la rubrica ecc ... anche se per accedere alla rubrica bisogna dargli il permesso (idem per i file) ma son cmq 2 permessi che praticamente hanno quasi tutte le app (e i permessi non penso li legga nessuno)
es banale... su un programma che ho fatto per android per poter inviare una mail dal programma ho dovuto scrivere una funzione per inviare il file che comprendeva tutto... dall'apertura della sessione con login e dati (hardcoded) fino all'invio.... banalmente si sarebbe potuto fare sfruttando già il client della mail che è installato e configurato sul telefono.... pero' per farlo avrei dovuto passare i dati al programma e questo li avrebbe dovuti gestire... è fattibile, ma è richiesta sempre una parte umana per l'invio (praticamente puoi fargli compilare la mail con tutti i dati ma il tasto invia deve esser premuto a mano)... questo proprio perchè un'applicazione non può comandare o prendere dati ad un'altra applicazione... può solo lanciare e INVIARE dati a quest'ultima (che quindi deve esser predisposta a poter ricevere e gestire i dati)
Si ma come accennavo prima, un bluetooth con accesso ai file può benissimo scaricarsi il file conf della 2FA e ripristinarla sul proprio dispositivo. Così come la synch che fà backup online, se comprensiva dei dati delle app. FaSan per quanto possa esser buggato il bluetooth.... non ha modo di scaricare il file ... il file è accessibile solo con permessi di root che sono ottenibili solo tramite root del telefono... non mi risulta si possa fare un backup del programma senza root.... quindi non vedo come possano aver recuperato il file.... inoltre tutti i dispositivi dopo il 3310 hanno il bluetooth con timer ... e praticamente anche se hai il bluetooth attivo se non flagghi la casella sei invisibile (e se la flagghi sei visibile solo per 120 sec) cioè avresti il dispositivo solo in ascolto... e risponde solo a chi ha già ottenuto una connessione (ovvero conosce il mac del telefono e la password) quindi i vecchi virus non possono + far molto sarebbe interessante vedere il log di bitstamp anche prima e dopo del fatto
|
Donate me :-) BTC: 1NAZYVrf4tUagVxQhBkBkpntkZPgLuB5vJ
|
|
|
IdiDiMarzo1
Newbie
Offline
Activity: 17
Merit: 0
|
|
March 07, 2014, 09:54:29 AM |
|
ho letto tutto...e onestamente non riesco a trovare una possibile spiegazione,a parte qualche malware sul cellulare,ma il fatto che non sia rootato rende la strada non tanto percorribile IMHO.
Mi verrebbe più da pensare ad un attacco "fisico",qualcuno che abbia preso il tuo cellulare e abbia curiosato qua e là oppure tenderei a dare la colpa a bitstamp stesso.
Di sicuro per prendersi tutte queste seccature il cracker è andato a colpo sicuro,probabilmente per pochi btc non si sarebbe nemmeno mosso,non è roba da 5 minuti.
Ultimo sospettato potrebbe essere lastpass se hai utilizzato il loro servizio di backup in cloud delle tue password...ma anche là rimarrebbe da superare il 2fa.Che sia buggata l'implementazione di bitstamp?
|
|
|
|
FaSan
|
|
March 07, 2014, 10:10:53 AM |
|
non mi risulta si possa fare un backup del programma senza root....
No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb. FaSan
|
|
|
|
IdiDiMarzo1
Newbie
Offline
Activity: 17
Merit: 0
|
|
March 07, 2014, 10:30:46 AM |
|
non mi risulta si possa fare un backup del programma senza root....
No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb. FaSan quindi presumi sia un "semplice" malware windows e che sia riuscito a leggere i dati del cellulare?
|
|
|
|
FaSan
|
|
March 07, 2014, 10:39:31 AM |
|
quindi presumi sia un "semplice" malware windows e che sia riuscito a leggere i dati del cellulare?
Di sicuro hanno avuto accesso al file di configurazione del 2FA e quello della casella email configurata nel telefono. Prendendo questi due file e ripristinandoli su un' altro device, hanno avuto un accesso totale all' account. Che siano passati per windows, o che abbiano trovato tutto online da un backup effettuato (lastpass, google drive, dropbox), o un malware (o una app rubadati autorizzata al filesystem) rimarrà un mistero. FaSan
|
|
|
|
Trigun
|
|
March 07, 2014, 12:22:26 PM |
|
non mi risulta che sia possibile syncare il file dati delle applicazioni... (se non lo hai rootato)
|
Donate me :-) BTC: 1NAZYVrf4tUagVxQhBkBkpntkZPgLuB5vJ
|
|
|
ibinsad
|
|
March 07, 2014, 01:20:04 PM |
|
il mistero si infittisce
|
|
|
|
gdassori
|
|
March 07, 2014, 01:40:21 PM |
|
ipotesi n°1 :
again. 2fa bruteforce. una carta di credito rubata, un centinaio di istanze cloud da due soldi con 10 IP cadauna, un buon programmatore AWS e un'oretta o due di pazienza. con un centinaio di tentativi al secondo effettuati dalle 100 istanze (dunque 10\sec per IP), abbiamo circa 600mila tentativi al minuto. Un po' di fortuna (che non guasta mai) e in un'oretta o due violi l'account. stiamo ipotizzando un software non esattamente alla portata di tutti, ma assolutamente realizzabile. se bitstamp non aveva adottato misure preventive automatizzate per il blocco degli accounts a fronte di eccessivi tentativi (e nessuno qui mi ha ancora confermato che le aveva adottate, confermatemelo e tutto ciò che ho detto è assolutamente infondato) e se gli audit sul blocco erano manuali, non stiamo parlando affatto di fantascienza. non per niente gli home banking ti silurano l'account, dopo il terzo tentativo 2FA fallito, e devi andare in banca a fartelo riattivare. su come abbiano avuto le altre credenziali non saprei, ci sono 1000 modi diversi. il più probabile è un semplice keylogger sul tuo computer, un'analisi forense smentirà\confermerà questa tesi.
ipotesi n°2 :
non so quanto sia reversabile il 2FA per risalire al codice padre, francamente non so proprio con che algoritmo funzioni. tuttavia, se esiste una possibilità di reversare il 2FA, avendo per le mani il keylog di un numero sufficiente accessi 2FA e relativo timestamp, avrebbero potuto rigenerare il codice padre. Questa cosa mi fa ancora più paura, fuffa ?
|
|
|
|
angrynerd88
Sr. Member
Offline
Activity: 910
Merit: 253
Hodlers Network
|
|
March 07, 2014, 01:45:31 PM |
|
io propendere per l ipotesi che questo non sia mai accaduto o è accaduto diversamente da come descritto, non avrebbe senso, sarebbe il primo caso al mondo.
|
|
|
|
FaSan
|
|
March 07, 2014, 01:54:34 PM |
|
ipotesi n°1 :
again. 2fa bruteforce. una carta di credito rubata, un centinaio di istanze cloud da due soldi con 10 IP cadauna, un buon programmatore AWS e un'oretta o due di pazienza. con un centinaio di tentativi al secondo effettuati dalle 100 istanze (dunque 10\sec per IP), abbiamo circa 600mila tentativi al minuto. Un po' di fortuna (che non guasta mai) e in un'oretta o due violi l'account. stiamo ipotizzando un software non esattamente alla portata di tutti, ma assolutamente realizzabile. se bitstamp non aveva adottato misure preventive automatizzate per il blocco degli accounts a fronte di eccessivi tentativi (e nessuno qui mi ha ancora confermato che le aveva adottate, confermatemelo e tutto ciò che ho detto è assolutamente infondato) e se gli audit sul blocco erano manuali, non stiamo parlando affatto di fantascienza. non per niente gli home banking ti silurano l'account, dopo il terzo tentativo 2FA fallito, e devi andare in banca a fartelo riattivare. su come abbiano avuto le altre credenziali non saprei, ci sono 1000 modi diversi. il più probabile è un semplice keylogger sul tuo computer, un'analisi forense smentirà\confermerà questa tesi.
ipotesi n°2 :
non so quanto sia reversabile il 2FA per risalire al codice padre, francamente non so proprio con che algoritmo funzioni. tuttavia, se esiste una possibilità di reversare il 2FA, avendo per le mani il keylog di un numero sufficiente accessi 2FA e relativo timestamp, avrebbero potuto rigenerare il codice padre. Questa cosa mi fa ancora più paura, fuffa ?
600mila tentativi al minuto e Bitstamp non si è accorto di niente ? mi sembra improbabile... senza contare che i tentativi sarebbero loggati e non ci sono nei log mostrati. Inoltre se fosse così avremmo centinaia di utenti potenzialmente hackerati, invece al momento si ha notizia di uno solo. Io propengo per la soluzione più semplice, ovvero avere avuto accesso al file .dat del 2FA dell' utente. FaSan
|
|
|
|
Trigun
|
|
March 07, 2014, 01:59:02 PM |
|
inoltre stiamo parlando dell'auth di google.... penso che sia previsto già un sistema anti bruteforce... con tutta la sicurezza che si sforzano di mettere... una banalità del genere sarebbe il massimo
secondo me o aveva il codice padre per l'auth .... oppure aveva una sessione aperta...
il file di cui parla fasan io sono abbastanza convinto che non sia ottenibile senza root...
|
Donate me :-) BTC: 1NAZYVrf4tUagVxQhBkBkpntkZPgLuB5vJ
|
|
|
ibinsad
|
|
March 07, 2014, 02:24:59 PM |
|
inoltre stiamo parlando dell'auth di google.... penso che sia previsto già un sistema anti bruteforce... con tutta la sicurezza che si sforzano di mettere... una banalità del genere sarebbe il massimo
secondo me o aveva il codice padre per l'auth .... oppure aveva una sessione aperta...
il file di cui parla fasan io sono abbastanza convinto che non sia ottenibile senza root...
Forse è stata sfruttata la sessione aperta ? Vedi http://www.tomshw.it/cont/news/google-rivede-l-autenticazione-in-due-step-era-vulnerabile/43450/1.html
|
|
|
|
bittaitaliana
Legendary
Offline
Activity: 1526
Merit: 1000
|
|
March 07, 2014, 02:25:20 PM |
|
Scusate se, da perfetto noob, non riesco a esprimermi in termini tecnici. Io direi che questo è stato un tentativo "mirato" cioè ci sono migliaia di hacker e cagate varie, ma non è che tutti conoscono i bitcoin, bitstamp, ecc. E' capitato anche a me che hanno bucato il pc e hanno provato ad accedere al mio paypal o moneybookers, ma non certo ad altre cose che avevo salvate sul pc, perchè magari chi lo ha bucato non sapeva nemmeno cosa fossero. Il tizio che ha rubato è andato a colpo sicuro, conosceva i bitcoin, bitstamp ecc, per questo penso sia stato o uno che gabridome conosce qualcuno che ha preso dati di utenti bitstamp.
Cmq, mi dispiace davvero moltissimo per Gabri, perchè mi è sempre sembrato uno che crede veramente nei bitcoin, non solo come investimento
|
| .Ambit. | | | ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ █████ ██ ████████████ | | ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ █████ ██ ██ ████████████ | | | | | | | │ | | │ |
|
|
|
gdassori
|
|
March 07, 2014, 02:48:23 PM |
|
Io propengo per la soluzione più semplice, ovvero avere avuto accesso al file .dat del 2FA dell' utente.
sulll'imbrobabile sono d'accordo, che non vuol dire impossibile. la penserei come te se non fosse che gabridome assicura che il suo tel non era stato rootato. un attacco mirato al .dat del 2FA a questo punto può essere stato effettuato: a) da un cracker estremamente fortunato, che si è trovato nel posto giusto al momento giusto (improbabile anche questo, forse più del 2FA bruteforce) b) da una persona a lui vicina (possibilissimo) tutto questo ammesso e non concesso che semplicemente gabridome avesse salvato il codice padre del 2FA da qualche parte, e non se lo ricorda.
|
|
|
|
gabridome (OP)
|
|
March 07, 2014, 03:18:52 PM |
|
non mi risulta si possa fare un backup del programma senza root....
No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb. FaSan mmmhhh Google authenticator che io sappia non ha la possibilità di essere Backuppato nè sincronizzato. Tutte le volte che ho rotto o perso il telefono ho dovuto ripristinare tutti i codici di Google authenticator. Attualmente ogni volta che faccio una voce nuova su Google authenticator prendo la secret, la crittografo con GPG e la metto su Evernote. Ovvio che se nel processo ho una volta lasciato in giro la secret di Bitstamp il gioco é fatto ma ci sto attento ed é una delle ipotesi meno probabili... Non é una cosa che dico volentieri ma mi sembra corretto farvi sapere tutto il possibile.
|
|
|
|
gabridome (OP)
|
|
March 07, 2014, 03:21:25 PM |
|
Io propengo per la soluzione più semplice, ovvero avere avuto accesso al file .dat del 2FA dell' utente.
sulll'imbrobabile sono d'accordo, che non vuol dire impossibile. la penserei come te se non fosse che gabridome assicura che il suo tel non era stato rootato. un attacco mirato al .dat del 2FA a questo punto può essere stato effettuato: a) da un cracker estremamente fortunato, che si è trovato nel posto giusto al momento giusto (improbabile anche questo, forse più del 2FA bruteforce) b) da una persona a lui vicina (possibilissimo) tutto questo ammesso e non concesso che semplicemente gabridome avesse salvato il codice padre del 2FA da qualche parte, e non se lo ricorda. Il mio telefono era con me e io ero in montagna con mia moglie. Data l'eventualità che abbiano potuto accedere a dei codici di Google authenticator mi sembra opportuno che li rifaccia tutti.
|
|
|
|
gabridome (OP)
|
|
March 07, 2014, 03:27:16 PM |
|
non mi risulta si possa fare un backup del programma senza root....
No no. Non devi fare un backup del programma, ma solo del file dati. Viene backup-appato anche con la semplice synch, ed è raggiungibile browsando il cell con il cavo usb. FaSan Quello che hanno sempre detto a tutti é che se non hai il telefono con accesso di root i dati relativi alle applicazioni te li scordi altrimetni potresti fare il backup di google authenticator che non penso sia possibile in un telefono non rootato.
|
|
|
|
|