ATT.ne al mio account ziomik su questo forum!!

[Sampey]

In pratica :

If you want me to recover a hacked/lost account, you need to prove that you own it. Typically, the only acceptable method of proving ownership is by signing a message (including current date and desired new email address) using a Bitcoin address or PGP key associated with the account. A Bitcoin address or PGP key is associated with the account only if the account posted the key/address, sent it in a PM, or if it is still listed in the account's profile.

e' questa la soluzione?
Come si concretizza? Non ci ho capito molto.....

[androz]

Grazie al raro pm di theymos(che terrò per ricordo) ho ripreso possesso del mio account. Che Dio guardi in giù e dia ancora attimi così gioiosi anche ad altri utenti misericordiosi...
Amen

All's Well That Ends Well 

[Sampey]

Ho provato la procedura della firma, e ok, direi che sarebbe il caso di farla tutti.
Però se l'hacker in questione cambia l'indirizzo BTC sul profilo siamo al punto di prima. Secondo voi la board mantiene lo storico degli indirizzi BTC salvati dall'utente?

[ziomik]

In pratica :

If you want me to recover a hacked/lost account, you need to prove that you own it. Typically, the only acceptable method of proving ownership is by signing a message (including current date and desired new email address) using a Bitcoin address or PGP key associated with the account. A Bitcoin address or PGP key is associated with the account only if the account posted the key/address, sent it in a PM, or if it is still listed in the account's profile.

e' questa la soluzione?
Come si concretizza? Non ci ho capito molto.....

Io ho "signato" un mio vecchio indirizzo btc con data,ora,nuova mail. All'interno del sign ho anche inserito un link della cache di google che faceva vedere l'indirizzo che avevo in firma (tolto dal ladruncolo)...

[ziomik]

Dimenticavo: L'amico fritz ladruncolo, tanto per rompere i coglioni, mi ha cancellato tutti i messaggi privati. Ne avrò avuti sui 300-400 e questo mi dispiace un po. Chiedere al termosifone il recupero di un vecchio backup mi sembra di chiedere troppo... lol..

[Sampey]

ziomik vorrei capire meglio la procedura :
Io prendo un indirizzo BTC mio, scrivo un messaggio e lo firmo -> Ho Messaggio + Firma + Indirizzo.

Invio all'admin Questa tripletta e lui verifica che sono congruenti. E fino a qua ok. Ma in quale modo collega questa tripletta al mio account? Al fatto che sull'account c'e lo stesso indirizzo BTC?

[ziomik]

E' si al fatto che c'era quell'indirizzo e tu stai dimostrando d'essere il possessore.
Questo è quello che gli ho mandato io che poi se lo verificherà qui http://brainwallet.org/#verify o dove meglio gli comoda.
Ma come si è visto è meglio non avere questo genere di problemi..

Code:

-----BEGIN BITCOIN SIGNED MESSAGE-----
DATE: 10 aprile 2014
TIME: 09:48 GTM+1
Nick hacked bitcointalk "ziomik"
cache for certificate my address btc in signature: http://webcache.googleusercontent.com/search?q=cache:3pFVlv0CJZ8J:https://bitcointalk.org/index.php%3Ftopic%3D94351.0+&cd=1&hl=it&ct=clnk&gl=uk
NEW EMAIL ADDRESS: ziomikziomik@gmail.com
-----BEGIN SIGNATURE-----
1ZiomikMqEFpg7eSFjdAG7XNtxZrpRRko
HCFb0kbbhK6QnU9u3D3XAOUkHQtqMscBeKlPbUqmrDJTH3AjRWm+trDochV5LyzSlUAgtk4ihNJtYvqcYI2qbjA=
-----END BITCOIN SIGNED MESSAGE-----

[Sampey]

Ok, quindi fondamentalmente bisogna dimostrare che l'indirizzo con cui hai firmato era presente su qualche post creato da te.
Mi pare di aver afferrato il concetto 
buono a sapersi, grazie.

[the_poet]

Ma non sarebbe sufficiente che l'admin mandasse un link con token all'indirizzo email originario associato all'account? In fondo è la procedura standard utilizzata (quasi) ovunque quando si vuole recuperare la password dimenticata (IMO si dovrebbe imporre la stessa cosa anche solo per cambiarla).

Comunque è pazzesco! Se solo vi fosse il 2FA molti di questi problemi non ci sarebbero. Per fortuna che alcuni servizi, tra cui Gmail, lo implementano già (e lo uso molto volentieri).

[ziomik]

L'amministratore da per scontato che il suo forum è a prova di bomba e considera, quindi, che l'email associata ad esso sia compromessa, cosa che non è così nel mio caso, visto che il mio indirizzo è sano come un pesce (lo dimostrano i log). Dove abbia pescato la mia pass questo rimarrà un mistero e, visto che il malfattore osserva sicuramente questo post faccio un annuncio a lui:

SONO DISPOSTO A CORRISPONDERE 0.1 BITCOIN SE MI INFORMA E DIMOSTRA CON FATTI CONCRETI COME SI E' IMPOSSESSATO DELLA MIA PASSWORD. SE SEI INTERESSATO MANDAMI UNA MAIL DAL SOLITO INDIRIZZO CON IL QUALE MI HAI MINACCIATO (questo per evitare fake)

[the_poet]

L'amministratore da per scontato che il suo forum è a prova di bomba e considera, quindi, che l'email associata ad esso sia compromessa, cosa che non è così nel mio caso, visto che il mio indirizzo è sano come un pesce (lo dimostrano i log). Dove abbia pescato la mia pass questo rimarrà un mistero e, visto che il malfattore osserva sicuramente questo post faccio un annuncio a lui:

SONO DISPOSTO A CORRISPONDERE 0.1 BITCOIN SE MI INFORMA E DIMOSTRA CON FATTI CONCRETI COME SI E' IMPOSSESSATO DELLA MIA PASSWORD. SE SEI INTERESSATO MANDAMI UNA MAIL DAL SOLITO INDIRIZZO CON IL QUALE MI HAI MINACCIATO (questo per evitare fake)

Lascia perdere, è tempo perso. Probabilmente non parla nemmeno l'italiano.

La lezione da imparare è che:

- questo forum è un colabrodo
- i nostri dati in questo momento potrebbero essere in chiaro chissà dove
- bisogna cambiare password periodicamente

[cedivad]

Per quanto un colabrodo sia questo forum, sarebbe davvero molto interessante sapere come ha ottenuto le password in chiaro
Posted from Bitcointa.lk - #8MeZaafeMzMka6jc

[Sampey]

Ma non c'era stato un attacco Man in the middle qualche mese fa?

[cedivad]

Si, ma l'unico modo per farsi rubare la password era accedere durante quel breve periodo di tempo. 6 ore?
Posted from Bitcointa.lk - #mrStiLgAaRcv7enK

[the_poet]

Ma non c'era stato un attacco Man in the middle qualche mese fa?

Già. Che è anche il motivo per cui gli avatar sono stati disabilitati.

[cedivad]

Già. Che è anche il motivo per cui gli avatar sono stati disabilitati.

Uhm... No, non c'entra niente. Il MITM è stato dopo l'hacking del forum durante il quale hanno disattivato gli avatar.
Posted from Bitcointa.lk - #qpxXw3XaGHDTbH6Z

[Sampey]

E il bug dell'openssl?

[cedivad]

Quello ce l'aveva solo l'NSA.
Posted from Bitcointa.lk - #nNgd5C2yWY8GIbxE

[FaSan]

Per quanto un colabrodo sia questo forum, sarebbe davvero molto interessante sapere come ha ottenuto le password in chiaro
Posted from Bitcointa.lk - #8MeZaafeMzMka6jc

Il forum è in PHP. Quindi tutte le operazioni di crypting della password vengono effettuate server-side. Questo significa che le strade possibili per leggere la password quando è ancora in chiaro sono solo quattro (avrei detto tre fino a qualche giorno fà) :

- da un keylogger sul tuo pc
- sniffando il traffico (ma devi stare in mezzo)
- sfruttare un bug del software, impossessarsi della sessione utente e cambiare subito la password finchè la sessione è ancora valida.
- leggendo il protocollo ssl con il bug, ma solo se qualcuno fà la login in quel preciso istante

Sulla terza non ci metterei la mano sul fuoco, una volta mi è capitato che un mio Moderator sfruttase una falla del genere per darsi diritti di Admin in un mio vecchio forum SMF (solo x giocare, ma c'è riuscito).

Ipotizzando invece che sia la quarta ipotesi, di circa 300k utenti, l' utente che si è trovato al posto sbagliato al momento sbagliato è stato lo zione. Ma chiaramente poteva accadere a chiunque.

Scartiamo anche i bruteforce sulle pass nel DB rubato. Decryptare un password di soli 8 caratteri ci vogliono anni.





FaSan

[diego1000]

è ovvio che chi gestisce il forum si salva le password in chiaro e altrettanto ovvio che gliele hanno fregate svariate volte