rubati 24 bitcoin su bitstam. 2FA+password lunga 20 + email di conferma prelievo

[bitkill]

Appunto per questo secondo me il wallet offline è più sicuro di quello online, in quanto in quello offline, non è secessaria l'email o l'autenticazione a 2 fattori, in quanto nessuno può accedervi se non dal pc stesso in cui è installato il wallet.
E se uno ha un buon antivirus e non si mette ad installare l'ira di dio che circola sul web, sicuramente non correrà pericoli.

Pensare che basti questo a proteggerti è assai pericoloso: stai creando una grossa illusione.

E allora sarebbe un'illusione assai più grossa pensare che esista un vero portafoglio elettronico sicuro al 100% in quanto sono tutti a richio di truffa o hackeraggio.
A questo punto una persona non può mai dormire a cuscino morbido con i propri bitcoin.

[alexrossi]

A questo punto una persona non può mai dormire a cuscino morbido con i propri bitcoin.

Basta metterli su un pc offline

[bitkill]

A questo punto una persona non può mai dormire a cuscino morbido con i propri bitcoin.

Basta metterli su un pc offline

Infatti, quindi la soluzione esiste,che sarebbe la stessa di cui sto parlando nel mio thread di acquisto.

[braytz]

vabbè,se vogliamo fantasticare si può pensare che da un momento all'altro venga trovato il modo di bucare l'algoritmo sha-256.


hai voglia di tenere il wallet off-line, loro si calcolano direttamente la chiave privata e aspirano tutti i bitcoin e conti correnti esistenti nel mondo.

[gabridome]

A mio modesto parere (e ormai sapete quanto poco conta) ci sono alcuni modi di custodire i propri bitcoin relativamente sicuri:

• Paper wallets: sono in un formato obsoleto e quindi paradossalmente a prova di obsolescenza e a prova di cancellazione (smagnetizzazione).
• Brain wallets: resistono a tutti gli attacchi diretti su oggetti fisici ma molto vulnerabili ad attacchi logici e di "brute force" con dizionari
• offline wallets se il computer in questione non si collega mai a reti.
• Hardware wallets assimilabili ad un offline wallet ma su devices disegnati allo scopo e quindi con maggiori sicurezze eun minore perimetro di attacco

Come tutti i metodi relativamente sicuri, questi metodi sono anche relativamente scomodi.
La conoscenza di questi metodi non salva comunque (come narra questo thread) dal pericolo di furto o di perdita. Ognuno ha i suoi pericoli e comunque é molto difficile riuscire a evitare di tenere i bitcoin per periodi di tempo sugli exchanges oppure sui wallet online. I primi sono indispensabili fino a quando non esisterà un'economia Bitcoin. I secondi sono indispensabili a chi viaggia e non é sicuro di avere sempre a disposizione i suoi devices o é preoccupato di perderli o farseli rubare.

E' inevitabile trovare dei compromessi: come il grosso dei nostri soldi li teniamo in banca e il necessario lo teniamo in contanti nel portafoglio, così il grosso dei bitcoin dobbiamo tenerlo su carta o nel cervello e il necessario in un online wallet sempre a disposizione ovunque voi siate.

Esistono ad oggi due interessanti compromessi: l'hardware wallet e mycelium.
l'hardware wallet permette transazioni abbastanza comode pur tenendo la chiave privata su un device dedicato privo di pericolosi contatti con l'esterno.
Mycelium ha aggiunto una funzionalità recentemente che permette di spendere parzialmente una chiave privata che viene scannerizzata ad ogni spesa. In questo modo se vi fregano il cellulare non hanno niente. Due limitazioni:

• qualsiasi transazione implica la rivelazione della chiave pubblica del paperwallet rendendolo così leggermente meno sicuro (soggetto agli attacchi quantistici per esempio).
• dovete avere il paperwallet con voi per cui é come girare con una grossa banconota.

In informatica di sicurezza si parla sempre in termini relativi ma se dovessi fare una classifica di sicurezza a prescindere dalla comodità:

• Wallet con chiave condivisa tramite Shamir Shared Secret o indirizzi multisignature (generati coi dadi)
• Paperwallet BIP38 (generati coi dadi)
• Paper wallet (generati coi dadi)
• Hardware wallet
• Brain wallet
• Wallet su PC (ovviamente crittografati molto bene)
• Wallet online
• Exchanges

[alexrossi]

Mycelium ha aggiunto una funzionalità recentemente che permette di spendere parzialmente una chiave privata che viene scannerizzata ad ogni spesa. In questo modo se vi fregano il cellulare non hanno niente. Due limitazioni

Se il cellulare ha malware che sniffa tutti i qr scannerizzati è altamente insicuro utilizzare questo mezzo, imho

[Trigun]

i virus per il telefono non sono come per il pc...
per fare una cosa del genere servirebbe che il programma che legge i qr sia un malware che legge li manda dove li deve mandare e a qualcun'altro
altrimenti non credo sia possibile...

[Amph]

Appunto per questo secondo me il wallet offline è più sicuro di quello online, in quanto in quello offline, non è secessaria l'email o l'autenticazione a 2 fattori, in quanto nessuno può accedervi se non dal pc stesso in cui è installato il wallet.
E se uno ha un buon antivirus e non si mette ad installare l'ira di dio che circola sul web, sicuramente non correrà pericoli.

Pensare che basti questo a proteggerti è assai pericoloso: stai creando una grossa illusione.

E allora sarebbe un'illusione assai più grossa pensare che esista un vero portafoglio elettronico sicuro al 100% in quanto sono tutti a richio di truffa o hackeraggio.
A questo punto una persona non può mai dormire a cuscino morbido con i propri bitcoin.

basta mettersi il wallet in una chiavetta(o 2-3 chiavette per sicurezza) , staccando prima la linea

nessun hacker potrai mai rubarti niente in questo modo, è il metodo più sicuro è sbrigativo

il paper wallet a me non piace, e per chi pensa che le chiavette non funzionino più dopo 2-3 anni, gli voglio dire che ne prenderò una ogni anno oltre a dirgli che è una cazzata, visto che ho 2 hdd esterni che son quei perfettamente funzionanti anche dopo 6 anni...

[zauker]

mi sono letto tutto il thread, e pure quello inglese, ma non sono ancora riuscito a capire il flusso: è acclarato il fatto che il pc di gabridome fosse infetto. Epperò come ha fatto l'hacker ad autenticarsi su Bitstamp tramite il 2FA, il cui servizio viene erogato dal telefono?

[gabridome]

mi sono letto tutto il thread, e pure quello inglese, ma non sono ancora riuscito a capire il flusso: è acclarato il fatto che il pc di gabridome fosse infetto. Epperò come ha fatto l'hacker ad autenticarsi su Bitstamp tramite il 2FA, il cui servizio viene erogato dal telefono?

Bravo. Anche intercettando un login sarebbe necessario rifare lo stesso login (sempre che te lo permettano) nel giro di un minuto. L'accesso incriminato lo hanno fatto a più di sei ore da quando avevo usato il mac. E nella storia di bitstamp non ci sono altri accessi in quella data.
É vero però che le sessioni di bitstamp si possono tenere su un bel pò: non so quanto e a quali condizioni ma mi é capitato di avere bitstamp aperto tutto il giorno e che non mi chiedesse la password.

[bitkill]

mi sono letto tutto il thread, e pure quello inglese, ma non sono ancora riuscito a capire il flusso: è acclarato il fatto che il pc di gabridome fosse infetto. Epperò come ha fatto l'hacker ad autenticarsi su Bitstamp tramite il 2FA, il cui servizio viene erogato dal telefono?

Bravo. Anche intercettando un login sarebbe necessario rifare lo stesso login (sempre che te lo permettano) nel giro di un minuto. L'accesso incriminato lo hanno fatto a più di sei ore da quando avevo usato il mac. E nella storia di bitstamp non ci sono altri accessi in quella data.
É vero però che le sessioni di bitstamp si possono tenere su un bel pò: non so quanto e a quali condizioni ma mi é capitato di avere bitstamp aperto tutto il giorno e che non mi chiedesse la password.

Mi pare impossibile una cosa del genere, a questo punto mi viene da pensare che siano stati gli amministratori stessi di bitstamp e organizzare la frode.
E' assurdo ma è l'unico modo mi pare, visto che le misure di sicezza adottate dall'utente erano molte.

[jankko60]

A mio modesto parere (e ormai sapete quanto poco conta) ci sono alcuni modi di custodire i propri bitcoin relativamente sicuri:

Il problema secondo me, non e' tanto custodire i BTC in modo sicuro, ma il fatto che prima o poi si debba interagire con la rete se li vogliamo usare/convertire ecc.ecc.

Questo e' a mio modesto giudizio, l'anello veramente debole della catena

E sono convinto che la' fuori, i malandrini hanno oramai fiutato la vittima e si stiano organizzando :

I piu' capaci magari pilotati da organizzazioni di malaffare, tenteranno colpi relativamente difficili ma grossi, ma il grave è che sicuramente scriveranno codice specializzato orientato al furto di btc da computer o palmari : pochi soldi singolarmente , ma relativamente sicuri e spalmati su tante persone

Comunque gabridome , + lo leggo e + il tuo caso e' parecchio sospetto :
o qualcuno ti ha preso di mira appositamente e sei stata la cavia di un'esperimento ben congegnato, oppure hanno collimato troppe cose che non avrebbero dovuto , il che non mi convince 

Lavori o frequenti o parli con persone capaci in termini informatici, ma che ritieni al di sopra di ogni sospetto ?  

J

[Tommy76]

Ciao gabridome,
ho letto adesso il tuo post iniziale.
Prima di tutto, mi spiace molto per quanto accaduto! Grazie per aver condiviso questa tua "triste" esperienza, servirà sicuramente a molti, in modo che non capiti più in futuro.

Passo velocemente all'analisi dell'attacco.
Premessa n.1: Per mancanza mia di tempo, non ho letto tutto il thread. Spero di non aver saltato tue ulteriori importanti informazioni sull'accaduto.
Premessa n.2: Non ho mai usato Bitstamp.

CASO #1: Attacco interno da parte di Bitstamp.
Percentuale di successo 5% (massimo).
In effetti, questa ipotesi non si può mai escludere, ne ho viste tante di situazioni del genere.
Gli ho dato una piccola percentuale per ricordarsi che tutto può sempre accadere, ma sinceramente non credo sia questo il tuo caso.

CASO #2: Attacco sullo smartphone.
Percentuale di successo 1% (e sono stato generoso).
Si, in teoria ed in pratica è possibile fare un attacco via smartphone, ma le variabili in gioco sono molte, troppe !!!
Non sto a "perdere" tempo nella spiegazione, anche qui non credo sia il tuo caso.

CASO #3: Attacco sulla macchina.
Percentuale di successo 94%.
Tenendo sempre a mente la premessa n.1 e n.2 (vedi sopra), dal log che hai pubblicato nel primo post, mi sa tanto che avevi un virus all'interno della macchina.
Dal tipo di attacco, il virus è riuscito a prelevare dal tuo computer i dati di sessione di Bitstamp.
Le domande che ti devi fare sono principalmente due:
1) Cosa hai installato sulla macchina prima di subire l'attacco ?
2) Quando ti connettevi a Bitstamp cliccavi sul pulsante "Esci" (oppure "Logout", "Chiudi", ecc...) ?
Ti è stata presa la sessione attiva che avevi sulla macchina, è stata usata quella per accedere la prima volta su Bitstamp e poi hanno cambiato la password in modo da avere libero accesso.
Vorrei farti notare che non mi interessa se hai una password di 1.245 caratteri con simboli speciali e 45 controlli 2FA....    una volta che ti sei autenticato a sistema e ti attivo la sessione, sei dentro... punto e basta.

Questo tipo di attacco è interessante per due fattori:
1) Chi attacca la macchina della "vittima" deve controllare che l'utente rimanga attivo in sessione. L'attacco quindi non può essere portato dopo alcuni giorni, ma deve essere effettuato nel giro di alcune ore. Non so quanto sia persistente la sessione di Bitstamp.
2) Bitstamp NON controlla in sessione l'IP dell'utente! Si vede che alcuni utenti che hanno l'IP che cambia nel corso di sessione si sono lamentati e Bitstamp si è quindi adeguato.

Spero di esser stato di qualche aiuto,
saluti,
Tommaso

[jankko60]

2) Quando ti connettevi a Bitstamp cliccavi sul pulsante "Esci" (oppure "Logout", "Chiudi", ecc...) ?
Ti è stata presa la sessione attiva che avevi sulla macchina, è stata usata quella per accedere la prima volta su Bitstamp e poi hanno cambiato la password in modo da avere libero accesso.

Io non sono + aggiornato da tempo sull'argomento sicurezza, ma quindi secondo te sono successe 2 cose :

- Gabridome ha chiuso il browser ed e' quindi uscito senza terminare la sessione che e' rimasta aperta

- La sessione e' rimasta su per 6 ore e l'hacker ha utilizzato il furto della sessione attiva per rientrare

Ma perche' il .log riporta che si e' loggato ?

* 2014-02-22 19:56:08   109.163.234.9   Logged in using two-factor authentication

In teoria non si e' mai disconnesso

Certo che anche Bitstamp, con tutti i problemi che ci sono , non e' che permettere sessioni cosi' lunghe
sia una manna per la sicurezza

Eurograbber pur con i dovuti distinguo , risale a + di un anno fa , qualcosa sul modus operandi avrebbe dovuto insegnare

Comunque sul PC incriminato, il trojan ci dovrebbe pur essere, o l'hanno programmato per potersi autoeliminare o addirittura l'hanno eliminato da remoto x coprire le tracce ?

Sarebbe interessante cercarlo prima di formattare tutto

J

[Tommy76]

Ma perche' il .log riporta che si e' loggato ?

* 2014-02-22 19:56:08   109.163.234.9   Logged in using two-factor authentication

In teoria non si e' mai disconnesso

Ciao,
in teoria hai ragione, in pratica quella scritta significa tutto e niente.
Detta in breve: quando io passo i giusti header al browser e ci allego la sessione che non è scaduta, il sistema scrive sul db quello che vuole, ma io intanto sono dentro al sistema.
Quella scritta sopra riportata sembra il "classico" log di una tabella del DB adibita proprio alla registrazione dei passaggi che vengono fatti, ma non è un controllo vero e proprio.
saluti,
Tom

[jankko60]

Ciao,
in teoria hai ragione, in pratica quella scritta significa tutto e niente.
Detta in breve: quando io passo i giusti header al browser e ci allego la sessione che non è scaduta, il sistema scrive sul db quello che vuole, ma io intanto sono dentro al sistema.
Quella scritta sopra riportata sembra il "classico" log di una tabella del DB adibita proprio alla registrazione dei passaggi che vengono fatti, ma non è un controllo vero e proprio.
saluti,
Tom

Sono ormai un antidiluviano .........  

Grazie

J

[Horifatto]

Correggetemi se sbaglio..

Con qualche accorgimento gli exchanger possono essere RELATIVAMENTE sicuri, tipo:

1) Non tenere grosse somme di denaro online
2) Crearsi un account gmail, che collegheremo poi al conto dell'exchanger, a cui si accederà SOLO da pc "sicuri" o di familiari ecc  con la doppia autenticazione via sms ad UN VECCHIO CELL DIVERSO DA QUELLO A CUI COLLEGHEREMO GOOGLE AUT X ENTRARE NELL' EXCHANGER.
3) Pass exchanger TOSTA
4) Impostare google authenticator collegato al nostro cell di uso quotidiano
5) Non collegare i cellulari ai pc che usiamo normalmente per smanettare su internet
6) Cambiare la pass 1 o 2 volte al mese
7) Impostare un limite al prelievo giornaliero come su TRT e controllare le transazioni quotidianamente.

In questo modo:
1) se ci bucano il pc e scoprono in qualche modo la pass c'è sempre google auth
2) è improbabile che ci bucano i cellulari visto che non sono riconducibili al pc e nemmeno alla mail dell'account exchanger
3) se per caso bucano cell e pc o in altro modo riescono ad avere pass e codice padre di google aut e riescono ad entrare possono prelevare solo quanto stabilito nel punto 7 e con il controllo giornaliero possiamo chiedere di bloccare tutto perdendo così solo una parte dei nostri btc.

[Gabi]

Suggerirei http://www.bitcointrezor.com/ per il futuro

[bitkill]

Suggerirei http://www.bitcointrezor.com/ per il futuro

PRE-ORDERS closed 

[gabridome]

Suggerirei http://www.bitcointrezor.com/ per il futuro

Lo aspetto da sei mesi (o otto ho perso il conto) e comunque da un exchanger si passa e lì non serve a una cippa.