Bitcoin.org sufre un hackeo con el fin de timar (clásico x2)

[DdmrDdmr]

La web Bitcoin.org ha sido hackeada en las últimas horas, a fin de colgar una pantalla modal que rezaba lo siguiente (traducido):

¡La Bitcoin Foundation está devolviendo a la comunidad!
Queremos dar soporte a nuestros usuario, quienes nos han ayudado a lo largo de los años.
¡Envíe Bitcoin a esta dirección, y le retornaremos el doble de la cantidad!
¡Limitado a los primeros 10000 usuarios!
Use este QR o la dirección que figura abajo

¡CUALQUIER CANTIDAD ENVIADA A ESTA DIRECCIÓN SERÁ DOBLADA Y RETORNADA A QUIEN ENVIE!

Luego hay unos botones para elegir la cantidad a enviar (10$, 100$, 1000$, 10000$ en BTC ,o un valor personalizado), y muestran la dirección a la cual efectuar el envío. Al ser la pantalla modal, no había manera de salir de la misma (luego no podrías acceder al contenido de la web en sí).

Si alguien quiere ver, con cuidado, cómo era el montaje de los timadores, hay una versión archivada:
https[colon]//web[dot]archive[dot]org/web/20210923025255/https[colon]//bitcoin[dot]org/

La web está ahora inactiva, y podría estarlo durante varios días:
https://twitter.com/CobraBitcoin/status/1440905892543832064?s=20

Los hackers han logrado más de 17K$ en BTC, aunque de pocos "contribuyentes" (8 TXs de entrada).

Ver más en: https://cointelegraph.com/news/bitcoin-org-goes-offline-after-suffering-scam-attack

[1715486449]

1715486449

[1715486449]

1715486449

[1715486449]

1715486449

[d5000]

Con estas páginas que parecen "oficiales" hay que tener mucho cuidado. Quizá hubiera sido aún más peligroso el hack si se hubiera hecho de un forma más sutil, como con un malware "roba carteras" o enlaces manipulados a páginas falsas que simulan ser de carteras como Bitcoin Core o Electrum ...

Está bueno recordar en esta ocasión que aunque un sitio parezca "oficial" o "reconocido", no hay que confiar en sus contenidos. Sobre todo, siempre cuando se baja un cliente de Bitcoin, hay que verificar las firmas digitales del archivo bajado (archivos .asc).

Además, bitcoin.org hoy en día (desde 2013) ya no es "el sitio de Bitcoin", simplemente es un sitio de información, mantenido por un proyecto comunitario (en Github). Desconozco el presupuesto que tendrán disponible para mantener el sitio seguro, aunque pobres no serán.

Ahora parece que bitcoin.org está en línea nuevamente, pero yo sugeriría seguir teniendo cuidado.

[seoincorporation]

Con estas páginas que parecen "oficiales" hay que tener mucho cuidado...

Creo que hay que tener cuidado de cualquier pagina ya sea oficial o no. El echo de que las paginas puedan ser hackeadas hacen vulnerable a cualquiera. Así que hay que ser un poco escéptico y si vemos que alguien está ofreciendo algo 'Gratis' entonces tiene truco.

Lástima por los que perdieron su dinero con esto, pero es una lección mas para todos.

[MA40]

...siempre cuando se baja un cliente de Bitcoin, hay que verificar las firmas digitales del archivo bajado (archivos .asc)...

Hola.

Para los que no sabemos, ¿alguien puede explicar cómo se hace eso?

Por ejemplo, la página https://bitcoincore.org/en/download/ tiene las firmas digitales, ¿cómo hay que proceder para hacer una instalación correcta y segura?

Una duda que me entra: si un cracker (que no hacker) modificara esa página y pusiera a disposición de los usuarios su malware, ¿no podría modificar también las firmas digitales para que validaran su malware y engañarnos así también?

Un saludo.

EDITO: Algo encontré aquí: https://tecnotec.es/como-verificar-la-autenticidad-del-software-de-windows-con-firmas-digitales/

[DdmrDdmr]

He visto a lo largo del día de hoy, en varias ocasiones, que el dominio vuelve a estar activo, aparentemente de manera correcta, sin la pantalla modal que se insertó para timar a los ingenuos que picasen. No obstante, no he visto nada en el dominio respecto de los acontecimientos, y la hora de este post, aún no hay nada oficial en la página de Twitter de Cøbra al respecto (lo último sigue diciendo que lo está investigando y que puede tardar varios días).

Creo que habría que gestionar mejor lo que se comunica al respecto, dado que uno realmente, ahora mismo, uno no sabe si el dominio está en manos de los hackers, o si está plenamente recuperado y exento de riesgos (apuesto por lo primero, pero habría que evidenciarlo, sobretodo para el que llega sin ver nada de lo sucedido).

En lo relativo a las descargas, y para el caso de bitcoin core, aquí se describe cómo verificar estar ante una versión válida: Verifying Bitcoin Core.

Es este caso, la gente que lo descarga y la usa suele ser eminentemente técnica, y es fácil que alguien de la voz de alerta si algo no les cuadra con las firmas. En otros entornos, donde la gente es menos técnica, es más sencillo dar gato por liebre, dado que la gente tenderá a comprobar poco, si es que tiene algo con lo cual contrastar (en el caso de bitcoin core, está la firma digital del instalador, la clave pública GPG, etc.).

[d5000]

Por ejemplo, la página https://bitcoincore.org/en/download/ tiene las firmas digitales, ¿cómo hay que proceder para hacer una instalación correcta y segura?

Una duda que me entra: si un cracker (que no hacker) modificara esa página y pusiera a disposición de los usuarios su malware, ¿no podría modificar también las firmas digitales para que validaran su malware y engañarnos así también?

Hay un poco de contexto en https://electrum.org/#download que también usa el sistema de la firma digital.

Aparentemente si solo fueran hashes del tipo .md5, en este caso no hubiera protección efectiva, porque simplemente los crackers reemplazarían a los archivos con los instaladores/código fuente y a los hashes a la vez.

Con las firmas digitales según electrum.org esto no sería posible tan facilmente. Lo que hace Electrum es que almacena la clave pública del desarrollador, alternativamente, en otro sitio web, en Github (controlado por Microsoft). El cracker entonces debería comprometer electrum.org y la cuenta de uno de los administradores de la cuenta en Github a la vez. No es completamente imposible pero sí bastante más difícil.

Lo que sí, si no entiendo mal: si uno ciegamente baja la clave pública del sitio del software (no de la fuente alternativa) sin verificar que se corresponde a la almacenada en Github, nuevamente uno se expone al problema de que la firma podría ser reemplazada. Por lo cual dice en electrum.org:

When you import a key, you should check its fingerprint using independent sources, such as here, or use the Web of Trust.

... es decir, al final siempre hay que chequear distintas fuentes. Pero solo hay que hacerlo una vez, porque cuando la firma correcta ya está importada en tu ordenador, siempre podrás bajar nuevas versiones y podrás verificarlas correctamente.

Obviamente hay todavía algo que podría pasar: que un cracker adquiera la clave privada de un desarrollador, que este use para firmar los instaladores. Pero nuevamente, esto ya supone dos hacks distintos y lo hace mucho más improbable al ataque. Y en el caso de que alguien lo llegara a lograr, probablemente en otras fuentes (Twitter, Github, Bitcointalk etc.) pronto se difundiría la noticia - sin embargo, algo de daño quizá se puede hacer.

[Hispo]

Me parece bastante curioso como en este caso, los ciber delincuentes utilizaron exactamente el mismo procedimiento que se ha usado en el pasado e incluso en el perfectamente documentado haqueo masivo de Twitter del año pasado. Me cuesta creer que ya la mayoría de los miembros de la comunidad criptográfica no sepan de este modus operandi, en especial si retienen una cantidad importante de bitcoin.

https://www.xataka.com/seguridad/bill-gates-elon-musk-coinbase-binance-otras-cuentas-twitter-han-sido-hackeadas-para-promocionar-estafa-bitcoin


Personalmente esto me demuestra que, el hecho de que una persona posea una cantidad significante de una moneda criptográfica tan establecida como Bitcoin, no lo convierte en un inversionista con sentido común.

Hasta hace poco, pensaba que esta clase de engaños eran propios de holders de shitcoins lo cuales caían más fácilmente.
Ahora comprendo que, más importante que tener varios bitcoins es tener sentido común. Sin este último, no importa el tamaño de tu wallet.

Y vuelvo a repetirlo: Los scams se vuelven para vez más simples o las personas se vuelven más ingenuas.

[famososMuertos]

No recuerdo quien fue pero si estoy seguro que se publico en el foro solo que no tuve LUCKY con las búsqueda para comprobarlo pero me fui a la fuente original.

En su momento Cøbra en su cuenta de Twitter publicaba esto:
Perfil:@CobraBitcoin /3:30 PM · Jul 17, 2021·Twitter Web App

They haven't stopped with the DDoS.

Seems like a choice between stay down forever, migrate to Cloudflare, or just pay the 0.5 BTC they're demanding.

RT

http://Bitcoin.org getting hit with an absolutely massive DDoS attack and a ransom demand to send Bitcoin or they'll continue.

I don't think I've been this offended in a while. Ungrateful scum.

^{Fuente: https://twitter.com/CobraBitcoin/status/1416480443613032448}

Que no es lo mismo pero como dicen "los tiros van por ahí" en la ocurrencia.

En definitiva no se llega a estar en un proyecto de esta magnitud en cualquiera de sus vertientes relacionadas sin tener oposición ya sea por la razòn que le acompañe.

[DdmrDdmr]

<…>

Puede que tenga relación con los ataques DDoS de Julio (también puede que no). Por especular en estos momentos, a falta de algún update que clarifique la naturaleza del evento, podrían ser hackers vengativos que, al no ver su deseo de recibir el rescate en su momento, optasen por dar por saco a la web y su credibilidad. El ataque de ahora es muy simplón en ejecución (más allá de cómo lograron colarlo), y va orientado a obtener BTCs rápidos por métodos clásicos.

Por cierto, que la URL con la dirección de depósito para doblar se expresó en formato URI, para acelerar la cosa con las wallets compatibles:

Code:

bitcoin:1NgoFwgsfZ19RrCUhTmmuLpmdek45nRd5N?amount=0.0022883

[Artemis3]

Con las firmas digitales según electrum.org esto no sería posible tan facilmente. Lo que hace Electrum es que almacena la clave pública del desarrollador, alternativamente, en otro sitio web, en Github (controlado por Microsoft). El cracker entonces debería comprometer electrum.org y la cuenta de uno de los administradores de la cuenta en Github a la vez. No es completamente imposible pero sí bastante más difícil.

Lo que sí, si no entiendo mal: si uno ciegamente baja la clave pública del sitio del software (no de la fuente alternativa) sin verificar que se corresponde a la almacenada en Github, nuevamente uno se expone al problema de que la firma podría ser reemplazada. Por lo cual dice en electrum.org:

When you import a key, you should check its fingerprint using independent sources, such as here, or use the Web of Trust.

... es decir, al final siempre hay que chequear distintas fuentes. Pero solo hay que hacerlo una vez, porque cuando la firma correcta ya está importada en tu ordenador, siempre podrás bajar nuevas versiones y podrás verificarlas correctamente.

En las distribuciones de Linux es común que esto lo hagan los empaquetadores, y al instalar paquetes de los repositorios oficiales, se tiene también una verificación automática de integridad. De manera que este trabajo lo hace la distribución por ti a todos sus paquetes oficiales.

Supongo que Apple y Microsoft hacen lo mismo en sus "tiendas", pero esa mala costumbre de instalar cosas de páginas web realmente no es tan común en Linux. Y bueno quien lo hace es porque realmente sabe lo que está haciendo.

Una persona "común de los mortales" que mantenga una distribución Linux por ejemplo Ubuntu e instale todo por la aplicación que trae para ello, tiene poco de que preocuparse de estos ataques. Puede que no tenga la última versión, pero es una versión verificada.

Usar Linux no resuelve mágicamente todos los problemas de seguridad, muchos por malos hábitos, pero es un gran paso adelante. ¿Y quienes son los tontos que ven a un extraño en la calle proponerles: "Si me das tu dinero, mañana te regreso el doble"? Es obvio que saldrá corriendo.

El sentido común no parece tan común a veces...

[womanderful]

esa mala costumbre de instalar cosas de páginas web realmente no es tan común en Linux. Y bueno quien lo hace es porque realmente sabe lo que está haciendo.

Una persona "común de los mortales" que mantenga una distribución Linux por ejemplo Ubuntu e instale todo por la aplicación que trae para ello, tiene poco de que preocuparse de estos ataques.

No estoy de acuerdo en absoluto. Esa mala costumbre de hacer curl | bash, que se ha puesto tanto de moda últimamente, precisamente se puso de moda porque la gente lo hace. Cuando lo que quieren instalar no viene con ubuntu, entonces la gente se va a la web y copia/pega lo primero que se encuentra, echan el programa a andar y siguen con sus vidas.

Usar Linux no resuelve mágicamente todos los problemas de seguridad, muchos por malos hábitos, pero es un gran paso adelante.

Cuando solamente una persona tiene el ordenador y usa linux, apenas hay algún aporte en seguridad. Todos tus datos están en /home/usuario y cuando instalas un programa usando curl | bash, el troyano que acabas de instalar tiene acceso a todos tus datos, y puede cifrarlos y pedirte dinero a cambio. Vida extra si el ordenador en cuestión no es el personal sino el del (tele)trabajo. El troyano no compromete el sistema entero pero, ¿para qué quiere eso cuando todos los datos jugosos están en el directorio personal del usuario?

[d5000]

En las distribuciones de Linux es común que esto lo hagan los empaquetadores, y al instalar paquetes de los repositorios oficiales, se tiene también una verificación automática de integridad. De manera que este trabajo lo hace la distribución por ti a todos sus paquetes oficiales.

En general de acuerdo. Pero es bueno saber como hacer la verificación manual, porque muchas distribuciones (como Debian) congelan las versiones de los software y puede ser que tengas uno desactualizado durante mucho tiempo. Si bien se suelen aplicar los updates en el caso de actualizaciones de seguridad importantes, mucha gente prefiere la versión más nueva.

Y algunos de los clientes/carteras direcamente no están disponibles (en la versión de Debian que uso yo, por ejemplo, no está Bitcoin Core; sí está Electrum pero con una versión ya algo desactualizada y eso a pesar de que se trata de la versión 11 - Bullseye - que solo tiene un mes de antigüedad).

De altcoins mejor ni hablamos, aunque a litecoin-qt la encontré en los repositorios oficiales.

[Silberman]

Usar Linux no resuelve mágicamente todos los problemas de seguridad, muchos por malos hábitos, pero es un gran paso adelante.

Cuando solamente una persona tiene el ordenador y usa linux, apenas hay algún aporte en seguridad. Todos tus datos están en /home/usuario y cuando instalas un programa usando curl | bash, el troyano que acabas de instalar tiene acceso a todos tus datos, y puede cifrarlos y pedirte dinero a cambio. Vida extra si el ordenador en cuestión no es el personal sino el del (tele)trabajo. El troyano no compromete el sistema entero pero, ¿para qué quiere eso cuando todos los datos jugosos están en el directorio personal del usuario?

Pues como siempre al final depende del uso que la persona le da a su SO, Linux es tan solo una herramienta, habrá quienes pueden usar Windows de manera segura mientras que habrá aquellos que sean hackeados al usar una distribución de Linux.

Sin embargo, me parece que conseguir una seguridad adecuada con una distribución de Linux es más fácil que hacer lo mismo en Windows, y dado que el nivel de conocimiento debe ser ligeramente más alto en promedio en aquellos que usan Linux debido a que aún hay muchas cosas que se tienen que hacer a través de la terminal entonces no es demasiado difícil para el usuario promedio de Linux conseguir esta seguridad.

[DdmrDdmr]

Pues al final no hubo una comunicación clara que indicase que la situación se había normalizado. De hecho, si miramos en la lista de Tweets del admin del foro, el último al respecto sigue indicando que el dominio había sido comprometido, y que podría no estar activo durante varios días. Más adelante, en Respuestas, ese mismo día, si que indicó que parecía ser una explotación de un fallo del DNS, pero sin dar más detalles. De hecho, la web tampoco tiene comunicado al respecto, por lo que la gente ha asumido por omisión que, a estas alturas, no hay nada más. No obstante, hay temas de comunicación que deben tratarse con excelencia, y este debería haber sido uno de ellos.

[d5000]

Estoy totalmente de acuerdo, Cøbra debería haber aclarado el asunto en Twitter. Si bien hay un tweet nuevo del 30 de septiembre, no tiene nada que ver con el hack. En el hilo del 23 de septiembre hubo un usuario de Twitter que preguntó si el asunto había sido resuelto, pero no hubo respuesta. También en el hilo de Twitter que linkeó DdmrDdmr, hay un usuario (Andrew Chow, conocido desarrollador de Bitcoin) que expresa dudas sobre un ataque DNS pero no recibe respuesta.

Es posible entonces que el administrador no entendió aún como se realizó el ataque. Esto significa (aunque sea improbable) que en teoría sigue siendo posible que la información en bitcoin.org pueda comprometerse de nuevo.

Asi que yo personalmente recomendaría tener cuidado usando bitcoin.org y sobre todo revisar bien los enlaces ...

[paxmao]

Con estas páginas que parecen "oficiales" hay que tener mucho cuidado...

Creo que hay que tener cuidado de cualquier pagina ya sea oficial o no. El echo de que las paginas puedan ser hackeadas hacen vulnerable a cualquiera. Así que hay que ser un poco escéptico y si vemos que alguien está ofreciendo algo 'Gratis' entonces tiene truco.

Lástima por los que perdieron su dinero con esto, pero es una lección mas para todos.

Un "giveaway" de manual... vamos que tendria curiosidad por saber cuanto ha sido mandado a esa direccion, pero que lo que es por originalidad... cero. Si el hacker es un poco avispado podria hacer que efectivamente con cantidades pequenias se duplicara para q luego el usuario mandara cantidades grandes pensando en timar al systema.