Hackerare wallet BTC

[sheriff7]

Sono un hacker coi controc....
Pendo il sorgente di un client qualsiasi (tanto sono tutti opensource) lo tarocco e lo riuppo in rete in modo che quando un pirlotto qualsiasi quando manda una cifra qualsiasi in btc ad un indirizzo qualsiasi in realtà li manda ad un altro indirizzo ovviamente in mio possesso.
La morale della favola è tutti i wallet in circolazione sono del tutto inaffidabili e non sicuri.
Ovviamente non è una mia considerazione.

Secondo voi è possibile uno scenario simile?

[1715225290]

1715225290

[FaSan]

Se parliamo di BTC è improbabile, visto che difficilmente vai a scaricare il wallet da indirizzi non ufficiali.

Se parliamo di Alt-Coin si può anche essere, ma sarebbe una nuova coin che non vale il costo della corrente spesa per compilare il wallet stesso.




FaSan

[androz]

Se parliamo di BTC è improbabile, visto che difficilmente vai a scarica il wallet da indirizzi non ufficiali.

non si potrebbe con un phishing ben fatto?

oppure se riuscisse a piazzarlo su indirizzi ufficiali, magari per un breve lasso di tempo e a più riprese?
non credo che tutti facciano un check della signature quando scaricano dall'ufficiale

[FaSan]

Se parliamo di BTC è improbabile, visto che difficilmente vai a scarica il wallet da indirizzi non ufficiali.

non si potrebbe con un phishing ben fatto?

oppure se riuscisse a piazzarlo su indirizzi ufficiali, magari per un breve lasso di tempo e a più riprese?
non credo che tutti facciano un check della signature quando scaricano dall'ufficiale

Teoricamente si può fare tutto. Praticamente non è così facile bucare un server se chi lo gestisce sà cosa stà facendo. Il phishing invece, visto che è destinato ad un' utenza tecnicamente meno preparata è più facile. Diciamo che con' opportuno attacco ai DNS potresti farcela.

E' anche vero che dovresti farlo a cavallo di una versione, altrimenti la maggior parte dei download sarebbero di wallet nuovi e vuoti.

[Amph]

potrei sgamarti facilmente spedendo 20k satoshi per vedere se sono infetto

lascio da parte un wallet apposta per questo 

[Massimo80]

Secondo voi è possibile uno scenario simile?

Per quanto ne sappiamo, potrebbe benissimo essere così già con il client ufficiale, o con qualsiasi altro wallet di uso comune: chi ti assicura che non contengano una backdoor?

L'unico modo di essere sicuri al 100% sarebbe scaricare i sorgenti e compilarli in proprio; e anche in quel caso, occorrerebbe prima studiarli e capirli, cosa tutt'altro che semplice anche per un programmatore esperto, figuriamoci per un semplice utente.

Altrimenti, occorre accettare il rischio (presente in QUALSIASI software, open source compreso a meno di non esaminare il sorgente personalmente) di fare affidamento su un programma che potrebbe benissimo fare quello che vuole senza che l'utente ne sappia nulla.

[jack0m]

Tra l'altro c'è anche il precedente di StealthBit, che aveva accanto ai sorgenti puliti un comodo binario preconfezionato con accluso malware.
Se devi aspettarti che persino gli sviluppatori cerchino di inc*larti, c'è poco da fare: ben pochi hanno la capacità e la voglia di passarsi al microscopio tonnellate di codice sorgente per tutto ciò che installano

[Massimo80]

Se devi aspettarti che persino gli sviluppatori cerchino di inc*larti, c'è poco da fare: ben pochi hanno la capacità e la voglia di passarsi al microscopio tonnellate di codice sorgente per tutto ciò che installano

Senza contare poi i bug, vedi il recente disastro di OpenSSL.

Avere il sorgente a disposizione è un'ottima cosa, ma è un concetto ben diverso da "usate questa roba con fiducia ché tanto l'avrà sicuramente esaminata qualcun altro"...

[Amph]

Tra l'altro c'è anche il precedente di StealthBit, che aveva accanto ai sorgenti puliti un comodo binario preconfezionato con accluso malware.
Se devi aspettarti che persino gli sviluppatori cerchino di inc*larti, c'è poco da fare: ben pochi hanno la capacità e la voglia di passarsi al microscopio tonnellate di codice sorgente per tutto ciò che installano

un antivirus no?

[Massimo80]

un antivirus no?

Se il tuo wallet (ad esempio) ha una funzione nascosta che invia la tua chiave privata a qualcun altro ogni volta che generi un indirizzo, non si tratta di un virus, è semplicemente qualcosa che il software fa senza che tu lo sappia. Che ne dovrebbe sapere un antivirus, del fatto che tu utente sei contrario a un simile comportamento?

[sheriff7]

Tra l'altro c'è anche il precedente di StealthBit, che aveva accanto ai sorgenti puliti un comodo binario preconfezionato con accluso malware.
Se devi aspettarti che persino gli sviluppatori cerchino di inc*larti, c'è poco da fare: ben pochi hanno la capacità e la voglia di passarsi al microscopio tonnellate di codice sorgente per tutto ciò che installano

un antivirus no?

Dici che un semplice antivirus e/o antimalware bloccherebbe intrusioni di quel tipo? (mi riferisco a client open source e taroccati ad hoc)

[androz]

Dici che un semplice antivirus e/o antimalware bloccherebbe intrusioni di quel tipo? (mi riferisco a client open source e taroccati ad hoc)

imaho non servirebbe

[Massimo80]

E poi, se proprio vogliamo metterla sulla paranoia, che ne sapete che il browser che state usando in questo momento non invii ogni password che digitate a qualcuno?

[jack0m]

Dici che un semplice antivirus e/o antimalware bloccherebbe intrusioni di quel tipo? (mi riferisco a client open source e taroccati ad hoc)

imaho non servirebbe

un antivirus/malware flagga un binario come malware se è addestrato a riconoscerlo come tale, avendone qualche signature inclusa nel proprio db. Cosa tra l'altro resa sempre più difficile dall'esistenza di varianti, famiglie, malware polimorfico, ecc.
Comunque finchè qualcuno non si accorge che quella certa build di un client include un comportamento malevolo (come altri hanno descritto sopra), l'antivirus non può certo sognarselo da solo

[Amph]

un antivirus no?

Se il tuo wallet (ad esempio) ha una funzione nascosta che invia la tua chiave privata a qualcun altro ogni volta che generi un indirizzo, non si tratta di un virus, è semplicemente qualcosa che il software fa senza che tu lo sappia. Che ne dovrebbe sapere un antivirus, del fatto che tu utente sei contrario a un simile comportamento?

per fare una cosa del genere ci deve essere sempre un frammento di codice, che è catalogato come maligno, senza contare l'euristica...

E poi, se proprio vogliamo metterla sulla paranoia, che ne sapete che il browser che state usando in questo momento non invii ogni password che digitate a qualcuno?

la stai facendo troppo semplice

questa è virus fobia

te ne accorgi se il sistema è infetto, non è cosi facile infettare un sistema ben coperto a meno di non scaricare robaccia dalla rete, come avevo già detto sei tu che li fai entrare i virus(o quello che volete) non entrano da soli...

senza contare che la digitazione sul mio pc è criptata da un software + antivirus + se mi accorgo di qualsiasi piccolo movimento sospetto che non riesco a rimuovere procedo in 2 secondi con secure erase e addio qualsiasi virus/malware/trojan/salcazzo

ho anche messo un wallet con 0.01 btc che mi serve per sapere se sono veramente infetto, se non mi rubano quelli sono al sicuro lol

[alexrossi]

ho anche messo un wallet con 0.01 btc che mi serve per sapere se sono veramente infetto, se non mi rubano quelli sono al sicuro lol

You made my day 

[Amph]

a dir la verità mi è già entrato un virus, era sul wallet maxcoin, io stupido preso dalla fretta ho scaricato uno di quei wallet che postano gli utenti random, non il dev

dopo che l'ho scaricato avevo gia notato qualcosa di strano , poi continuava ad apparire il cmd di windows lol, ovviamente ho staccato la rete e pulito, però mi sono cagato sotto perché avevo ancora i miei btc sul computer, strano che non me li abbia rubati....

una cosa volevo chiedere, un malware può rubarti le chiavi all'interno di un wallet anche se non faccio partire il client?

[FaSan]

per fare una cosa del genere ci deve essere sempre un frammento di codice, che è catalogato come maligno, senza contare l'euristica...

Assolutamente no. Dove stà scritto che leggere una chiave privata e inviarla all' esterno è catalogato come codice maligno ? "Potrebbe", ma difatto non è.



FaSan

[Massimo80]

per fare una cosa del genere ci deve essere sempre un frammento di codice, che è catalogato come maligno, senza contare l'euristica...

Assolutamente no. Dove stà scritto che leggere una chiave privata e inviarla all' esterno è catalogato come codice maligno ? "Potrebbe", ma difatto non è.

Infatti. Ci sono infinite cose che un software può fare e sarebbero perfettamente legittime se tu gli avessi detto di farlo, ma non lo sono se invece le fa a tua insaputa. Se qualcuno riuscisse a trovare un modo di verificare che un programma faccia effettivamente quello che vuole l'utente (e non quello che magari gli dice di fare per sbaglio), sarebbe una svolta epocale

[Amph]

per fare una cosa del genere ci deve essere sempre un frammento di codice, che è catalogato come maligno, senza contare l'euristica...

Assolutamente no. Dove stà scritto che leggere una chiave privata e inviarla all' esterno è catalogato come codice maligno ? "Potrebbe", ma difatto non è.



FaSan

perché non fa parte del codice originale, è una cosa aggiunta, adesso non so su quale base funzionano i rilevamenti....

[Massimo80]

una cosa volevo chiedere, un malware può rubarti le chiavi all'interno di un wallet anche se non faccio partire il client?

No se il file wallet.dat (o equivalente) è crittografato, come praticamente tutti i wallet permettono di fare.
Sì, se il file è in chiaro. Basta copiarlo per avere le chiavi private di tutti gli indirizzi di quel wallet.

[Massimo80]

perché non fa parte del codice originale, è una cosa aggiunta, adesso non so su quale base funzionano i rilevamenti....

Scusa eh, ma un antivirus CHE NE SA del concetto "non fa parte del codice originale, è una cosa aggiunta"?!?

Mi sa che non hai ben chiaro come funzionano gli antivirus, o i software in generale...

[Amph]

perché non fa parte del codice originale, è una cosa aggiunta, adesso non so su quale base funzionano i rilevamenti....

Scusa eh, ma un antivirus CHE NE SA del concetto "non fa parte del codice originale, è una cosa aggiunta"?!?

Mi sa che non hai ben chiaro come funzionano gli antivirus, o i software in generale...

beh è comunque una modifica che non ha niente a che vedere con il funzionamento del programma

non credo che basti inserire un pezzetto di codice cosi ed evadere la "sorveglianza", altrimenti l'avrebbero già fatto ti pare?

[Massimo80]

beh è comunque una modifica che non ha niente a che vedere con il funzionamento del programma

Questo lo sai tu che sei utente del programma e ti aspetti dal programma un determinato funzionamento. Ma qualcosa di automatico come un antivirus deve lavorare su dati precisi, non sulle aspettative dell'utente. Ci sono migliaia di ragioni perfettamente legittime per le quali un software potrebbe aprire una connessione con un server remoto e inviargli una stringa di testo. Che ne sa l'antivirus che quella è una chiave privata? E se anche lo sapesse, che ne sa che il programma non stia facendo un backup delle chiavi private tramite salvataggio remoto, una funzione che potrebbe benissimo avere? Che ne sa che questo comportamento non sia esattamente quello che vuoi tu?

Antivirus con intelligenza artificiale temo non ne abbiano ancora inventati...

non credo che basti inserire un pezzetto di codice cosi ed evadere la "sorveglianza", altrimenti l'avrebbero già fatto ti pare?

Inserirlo nel repository ufficiale sarebbe probabilmente difficile, a meno che non lo facciano di proposito gli sviluppatori. Inserirlo in un binario compilato e distribuito da qualche "mirror" invece è semplicissimo, poi basta convincere gli utenti a scaricarlo da lì con una scusa qualsiasi. Qualcuno che ci casca lo trovi. E ne troverai sempre di più se i Bitcoin diventeranno veramente di uso comune uscendo dalla cerchia di persone che più o meno con un computer sanno cosa stanno facendo.

[Amph]

beh è comunque una modifica che non ha niente a che vedere con il funzionamento del programma

Questo lo sai tu che sei utente del programma e ti aspetti dal programma un determinato funzionamento. Ma qualcosa di automatico come un antivirus deve lavorare su dati precisi, non sulle aspettative dell'utente. Ci sono migliaia di ragioni perfettamente legittime per le quali un software potrebbe aprire una connessione con un server remoto e inviargli una stringa di testo. Che ne sa l'antivirus che quella è una chiave privata? E se anche lo sapesse, che ne sa che il programma non stia facendo un backup delle chiavi private tramite salvataggio remoto, una funzione che potrebbe benissimo avere? Che ne sa che questo comportamento non sia esattamente quello che vuoi tu?

Antivirus con intelligenza artificiale temo non ne abbiano ancora inventati...

non credo che basti inserire un pezzetto di codice cosi ed evadere la "sorveglianza", altrimenti l'avrebbero già fatto ti pare?

Inserirlo nel repository ufficiale sarebbe probabilmente difficile, a meno che non lo facciano di proposito gli sviluppatori. Inserirlo in un binario compilato e distribuito da qualche "mirror" invece è semplicissimo, poi basta convincere gli utenti a scaricarlo da lì con una scusa qualsiasi. Qualcuno che ci casca lo trovi. E ne troverai sempre di più se i Bitcoin diventeranno veramente di uso comune uscendo dalla cerchia di persone che più o meno con un computer sanno cosa stanno facendo.

si mentre sto anche spendendo btc contemporaneamente lol? devi per forza aggiungere del codice a quello già esistente, che se fa le stesse funzioni ordinarie verrà per tanto di cose visto come maligno perché è una copia...

il codice originale è già salvato come non maligno nel database dei vari anti-virus, qualsiasi modifica verrà vista come maligna è semplice o almeno dovrebbe essere così...

non è che adesso arriva il primo stronzo crea una stringa in c++ e gg bypass tutti gli antivirus, non funziona così

[Massimo80]

il codice originale è già salvato come non maligno nel database dei vari anti-virus, qualsiasi modifica verrà vista come maligna è semplice o almeno dovrebbe essere così...

No, gli antivirus non funzionano così, fanno esattamente il contrario: controllano tutti i file sul tuo computer e verificano che non ci sia del codice virale CONOSCIUTO. Al massimo possono tentare di individuare codice maligno SIMILE a quello conosciuto; questo è noto come "euristica", e per ovvie ragioni non è affidabile al 100%, ma almeno ci prova.

Gli antivirus non controllano che tu stia eseguendo un programma che conoscono come valido; non potrebbero mai conoscere tutti i programmi "validi" esistenti. Controllano invece che tu non stia eseguendo un programma che conoscono come virus. Per fare questo usano le firme, che servono appunto a fargli sapere quali sono i virus conosciuti e che devono essere aggiornate continuamente man mano che vengono identificati nuovi virus.

Un antivirus non ha idea di come funzionino i programmi che usi e di cosa debbano fare; l'unica cosa che fa è verificare che quando esegui un programma, dentro il codice di quel programma non ci sia qualcosa che a lui sembra un virus.

[FaSan]

una cosa volevo chiedere, un malware può rubarti le chiavi all'interno di un wallet anche se non faccio partire il client?

No se il file wallet.dat (o equivalente) è crittografato, come praticamente tutti i wallet permettono di fare.
Sì, se il file è in chiaro. Basta copiarlo per avere le chiavi private di tutti gli indirizzi di quel wallet.

Su questo ho i miei dubbi... Ho giusto giusto trovato un programmino che.... 

[Amph]

il codice originale è già salvato come non maligno nel database dei vari anti-virus, qualsiasi modifica verrà vista come maligna è semplice o almeno dovrebbe essere così...

No, gli antivirus non funzionano così, fanno esattamente il contrario: controllano tutti i file sul tuo computer e verificano che non ci sia del codice virale CONOSCIUTO. Al massimo possono tentare di individuare codice maligno SIMILE a quello conosciuto; questo è noto come "euristica", e per ovvie ragioni non è affidabile al 100%, ma almeno ci prova.

Gli antivirus non controllano che tu stia eseguendo un programma che conoscono come valido; non potrebbero mai conoscere tutti i programmi "validi" esistenti. Controllano invece che tu non stia eseguendo un programma che conoscono come virus. Per fare questo usano le firme, che servono appunto a fargli sapere quali sono i virus conosciuti e che devono essere aggiornate continuamente man mano che vengono identificati nuovi virus.

Un antivirus non ha idea di come funzionino i programmi che usi e di cosa debbano fare; l'unica cosa che fa è verificare che quando esegui un programma, dentro il codice di quel programma non ci sia qualcosa che a lui sembra un virus.

eh appunto come fai a dire che a lui non sembra un virus?

c'è sempre la possibilità che lo rilevi

[Massimo80]

eh appunto come fai a dire che a lui non sembra un virus?

Perché un virus non viene riconosciuto usando "ragionamenti" del tipo "se manda una chiave privata a qualcuno allora è un virus". Questo implicherebbe sapere cosa sia una chiave privata, sapere da dove proviene, sapere che il proprietario non vuole che venga divulgata... queste non sono cose di competenza di un antivirus. Un antivirus cerca solo sequenze di byte corrispondenti alle "firme", ossia a pezzi di virus già conosciuti, e reagisce a quelli quando li individua. Non si mette a fare ipotesi su cosa un programma possa fare e se questo sia o meno gradito all'utente.

[Massimo80]

Su questo ho i miei dubbi... Ho giusto giusto trovato un programmino che.... 

Su questo, se permetti, ho io qualche dubbio

Auguri a decrittare questa roba senza la passphrase: https://en.bitcoin.it/wiki/Wallet_encryption.

[FaSan]

Su questo ho i miei dubbi... Ho giusto giusto trovato un programmino che....  

Su questo, se permetti, ho io qualche dubbio

Auguri a decrittare questa roba senza la passphrase: https://en.bitcoin.it/wiki/Wallet_encryption.

Chi ha detto che le devi per forza decriptare per trovarle ? In primo step il wallet è scritto sul disco in chiaro, poi decidi di criptarlo, e viene riscritto. Tu sei proprio sicuro che verrà riscritto negli stessi settori del disco ?

Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.


Oddio, siamo sulla teoria eh, non l' ho ancora mai provato in questo senso


FaSan

[Amph]

eh appunto come fai a dire che a lui non sembra un virus?

Perché un virus non viene riconosciuto usando "ragionamenti" del tipo "se manda una chiave privata a qualcuno allora è un virus". Questo implicherebbe sapere cosa sia una chiave privata, sapere da dove proviene, sapere che il proprietario non vuole che venga divulgata... queste non sono cose di competenza di un antivirus. Un antivirus cerca solo sequenze di byte corrispondenti alle "firme", ossia a pezzi di virus già conosciuti, e reagisce a quelli quando li individua. Non si mette a fare ipotesi su cosa un programma possa fare e se questo sia o meno gradito all'utente.

credi che qualcun'altro non l'abbia gia fatto? e che non sia gia tra il database degli antivirus e quindi riconosciuto come maligno?

l'unico modo che hai di bypassare un anti-virus è creare un virus che non è simile a nessuno di quelli nel database

ripeto non è cosi facile come la fai tu

senza contare che il tuo pezzetto di codice non può svolazzare cosi "se fa x manda la chiave privata a me", deve essere collegato al resto in un modo in cui vengono collegati anche altri virus

voglio dire la programmazione dietro ai virus è simile

[Massimo80]

Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.

A livello puramente teorico potrebbe anche essere possibile, ammesso che quei settori non siano già stati sovrascritti da qualcos'altro (cosa tutt'altro che improbabile).
La maggior parte degli utenti però abilita la criptazione subito dopo aver installato il wallet, e da quel momento in poi tutti i nuovi indirizzi creati vengono memorizzati solo nel wallet criptato. Inoltre, nel caso tu abbia copiato il wallet che stai usando da un backup (già criptato) preso da un wallet precedente, sul disco del tuo computer non ci sarà proprio nessun wallet in chiaro.

Insomma, il tuo approccio potrebbe teoricamente funzionare solo su un sistema dove la cifratura del wallet è stata attivata al massimo da qualche giorno e prima è stato utilizzato un wallet in chiaro. Non sarà improbabile come una hash collision, ma direi che non è nemmeno molto più probabile

[Massimo80]

credi che qualcun'altro non l'abbia gia fatto? e che non sia gia tra il database degli antivirus e quindi riconosciuto come maligno?

Vedo che continui a non capire.

Se io scrivo un virus che entra sul tuo computer, cerca un wallet Bitcoin, lo apre (ammesso che non sia cifrato) e mi spedisce le chiavi che ci trova dentro (come in effetti ce ne sono parecchi in giro), appena questo viene scoperto e inserito nelle firme virali l'antivirus può imparare a riconoscerlo come virus e bloccarlo.

Ma se io poi ne scrivo un altro simile, non sarà lo stesso programma e non avrà la stessa firma, quindi l'antivirus non riconoscerà un bel niente.

Se poi invece vado proprio a modificare il codice di un wallet per fargli fare qualcosa di inappropriato, tipo spedirmi le tue chiavi private, quel codice finirà in mezzo a tutto il resto del codice del wallet, e esaminano il file binario che risulta dopo averlo compilato questo risulterà sì modificato rispetto all'originale, ma a meno di non controllarne il checksum (cosa che deve fare l'utente, non l'antivirus che non ha idea da dove quel programma venga e perché debba avere un certo checksum piuttosto che un altro) non ci sarà modo di capire se sta facendo qualcosa che non vuoi o se invece sta lavorando esattamente come l'utente si aspetta.

l'unico modo che hai di bypassare un anti-virus è creare un virus che non è simile a nessuno di quelli nel database

Il che è un po' come dire che l'unico modo per non avere una hash collision con gli indirizzi Bitcoin è creare un indirizzo che non sia simile a qualcuno già in uso. Ma, ops, non c'è nessun problema a farlo, considerando che ce n'è un numero spropositato. Esattamente come i programmi che possono essere scritti.

senza contare che il tuo pezzetto di codice non può svolazzare cosi "se fa x manda la chiave privata a me", deve essere collegato al resto in un modo in cui vengono collegati anche altri virus

voglio dire la programmazione dietro ai virus è simile

No, non è affatto simile. Un virus è del codice estraneo che viene riconosciuto come tale. Qui stiamo parlando di modificare il programma originale. Non è una modifica "scorretta" o "sbagliata", potrebbe benissimo avercela inserita lo sviluppatore. Oppure io, che ho preso i sorgenti (liberamente disponibili), li ho modificati e ho ricompilato il programma. Questo succede ogni volta che aggiorni un software o ne installi una nuova versione. L'antivirus non ha alcun modo di sapere se il programma è stato modificato in un modo che a te non sta bene.

[FaSan]

Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.

A livello puramente teorico potrebbe anche essere possibile, ammesso che quei settori non siano già stati sovrascritti da qualcos'altro (cosa tutt'altro che improbabile).
La maggior parte degli utenti però abilita la criptazione subito dopo aver installato il wallet, e da quel momento in poi tutti i nuovi indirizzi creati vengono memorizzati solo nel wallet criptato. Inoltre, nel caso tu abbia copiato il wallet che stai usando da un backup (già criptato) preso da un wallet precedente, sul disco del tuo computer non ci sarà proprio nessun wallet in chiaro.

Insomma, il tuo approccio potrebbe teoricamente funzionare solo su un sistema dove la cifratura del wallet è stata attivata al massimo da qualche giorno e prima è stato utilizzato un wallet in chiaro. Non sarà improbabile come una hash collision, ma direi che non è nemmeno molto più probabile

Si e no.

Facendo una scansione sul mio disco ho trovato wallet di un anno fà ancora disponibili nei settori.

E per esempio io i wallet li crypto se ho delle coin sopra, altrimenti li lascio lì senza crearmi il problema. Magari è un errore, ma chissà quanti fanno la stessa cosa. Senza contare che bisogna vedere quanti generano continuamente nuovi address invece di utilizzare i precedenti. Sicuramente il Default lo ritrovi.


FaSan

[jack0m]

Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.

A livello puramente teorico potrebbe anche essere possibile, ammesso che quei settori non siano già stati sovrascritti da qualcos'altro (cosa tutt'altro che improbabile).
La maggior parte degli utenti però abilita la criptazione subito dopo aver installato il wallet, e da quel momento in poi tutti i nuovi indirizzi creati vengono memorizzati solo nel wallet criptato. Inoltre, nel caso tu abbia copiato il wallet che stai usando da un backup (già criptato) preso da un wallet precedente, sul disco del tuo computer non ci sarà proprio nessun wallet in chiaro.

Insomma, il tuo approccio potrebbe teoricamente funzionare solo su un sistema dove la cifratura del wallet è stata attivata al massimo da qualche giorno e prima è stato utilizzato un wallet in chiaro. Non sarà improbabile come una hash collision, ma direi che non è nemmeno molto più probabile

Si e no.

Facendo una scansione sul mio disco ho trovato wallet di un anno fà ancora disponibili nei settori.

E per esempio io i wallet li crypto se ho delle coin sopra, altrimenti li lascio lì senza crearmi il problema. Magari è un errore, ma chissà quanti fanno la stessa cosa. Senza contare che bisogna vedere quanti generano continuamente nuovi address invece di utilizzare i precedenti. Sicuramente il Default lo ritrovi.


FaSan

Motivo per cui per pc dedicati a contenere dati particolarmente sensibili è sempre meglio usare partizioni criptate. Inclusa partizione di swap.

[Amph]

credi che qualcun'altro non l'abbia gia fatto? e che non sia gia tra il database degli antivirus e quindi riconosciuto come maligno?

Vedo che continui a non capire.

Se io scrivo un virus che entra sul tuo computer, cerca un wallet Bitcoin, lo apre (ammesso che non sia cifrato) e mi spedisce le chiavi che ci trova dentro (come in effetti ce ne sono parecchi in giro), appena questo viene scoperto e inserito nelle firme virali l'antivirus può imparare a riconoscerlo come virus e bloccarlo.

Ma se io poi ne scrivo un altro simile, non sarà lo stesso programma e non avrà la stessa firma, quindi l'antivirus non riconoscerà un bel niente.

Se poi invece vado proprio a modificare il codice di un wallet per fargli fare qualcosa di inappropriato, tipo spedirmi le tue chiavi private, quel codice finirà in mezzo a tutto il resto del codice del wallet, e esaminano il file binario che risulta dopo averlo compilato questo risulterà sì modificato rispetto all'originale, ma a meno di non controllarne il checksum (cosa che deve fare l'utente, non l'antivirus che non ha idea da dove quel programma venga e perché debba avere un certo checksum piuttosto che un altro) non ci sarà modo di capire se sta facendo qualcosa che non vuoi o se invece sta lavorando esattamente come l'utente si aspetta.

l'unico modo che hai di bypassare un anti-virus è creare un virus che non è simile a nessuno di quelli nel database

Il che è un po' come dire che l'unico modo per non avere una hash collision con gli indirizzi Bitcoin è creare un indirizzo che non sia simile a qualcuno già in uso. Ma, ops, non c'è nessun problema a farlo, considerando che ce n'è un numero spropositato. Esattamente come i programmi che possono essere scritti.

senza contare che il tuo pezzetto di codice non può svolazzare cosi "se fa x manda la chiave privata a me", deve essere collegato al resto in un modo in cui vengono collegati anche altri virus

voglio dire la programmazione dietro ai virus è simile

No, non è affatto simile. Un virus è del codice estraneo che viene riconosciuto come tale. Qui stiamo parlando di modificare il programma originale. Non è una modifica "scorretta" o "sbagliata", potrebbe benissimo avercela inserita lo sviluppatore. Oppure io, che ho preso i sorgenti (liberamente disponibili), li ho modificati e ho ricompilato il programma. Questo succede ogni volta che aggiorni un software o ne installi una nuova versione. L'antivirus non ha alcun modo di sapere se il programma è stato modificato in un modo che a te non sta bene.

i virus di questo tipo sono per forza di cose simili, seguono uno stesso pattern, verranno riconosciuti grazie all'euristica nel 50% dei casi almeno

continuo a pensare che non sia cosi semplice come dici tu

[theend1991]

Se fosse così semplice, sicuramente qualcuno ci avrebbe pensato prima, e si sarebbe parlato molto sulla rete di wallet fasulli.
Fin ora io non ho mai sentito di nulla del genere, quindi credo che non sia una cosa fattibile.

[Massimo80]

Se fosse così semplice, sicuramente qualcuno ci avrebbe pensato prima, e si sarebbe parlato molto sulla rete di wallet fasulli.
Fin ora io non ho mai sentito di nulla del genere, quindi credo che non sia una cosa fattibile.

Al momento gli utilizzatori di Bitcoin sono praticamente tutti esperti di informatica o almeno utenti evoluti, abbastanza da sapere che non è il caso di scaricare software da siti non ufficiali, soprattutto se poi quel software deve maneggiare qualcosa di valore; nessuno che sappia cosa sta facendo si sognerebbe mai di scaricare un wallet da un sito a casaccio, né ci sarebbe motivo di farlo, visto che i siti ufficiali sono ben connessi e i software pesano pochi MB. Molti addirittura compilano il codice in proprio, pratica peraltro comunissima sui sistemi Linux.

Se e quando i Bitcoin diventeranno di uso comune, assisteremo a un proliferare di wallet di dubbia origine e di sedicenti "mirror" dei wallet più noti, e temo seriamente che parecchia gente ci cascherà, come succede coi siti di phishing che prima o poi qualche idiota che gli fornisce le proprie credenziali o la carta di credito lo trovano sempre

[neoxxx]

Datevi una letta qui (in inglese)...LINK

..gli antivirus non mi danno poi tutta questa fiducia!

[Massimo80]

Datevi una letta qui (in inglese)...LINK

..gli antivirus non mi danno poi tutta questa fiducia!

Ripeto che qui non stiamo parlando di virus che infettano un programma... stiamo parlando di modificare il codice sorgente e distribuire una versione modificata del wallet con un comportamento malevolo all'insaputa dell'utente. Non è qualcosa che un antivirus possa impedire in alcun modo, se l'utente ci casca e scarica un wallet taroccato.

Allo stesso modo in cui nessun programma può impedire a qualcuno di dare le sue credenziali a un sito di phishing, se l'utente cade nella trappola e crede che il sito sia legittimo.

[neoxxx]

E chi ha mai detto il contrario, stavo solo dicendo che ci sono molte tecniche per nascondere un virus, poi mi sembra ovvio che se io modifico i sorgenti e li ricompilo non ho creato un virus ma un programma (furbo) che se abbastanza virale verrà inserito nei db degli AV.

...l'eterna caccia tra il gatto ed il topo!

[Pompobit]

non c'è antivirus al mondo che possa accorgersi di un wallet che spedisce i coin ad un indirizzo diverso da quello che vuole l'utente.

Qui l'unica sicurezza è scaricare il wallet dai repository ufficiali o di fidarsi dello sviluppatore dell'altcoin di turno, l'antivirus non ti da nessun aiuto.

Se poi stiamo parlando di codice che cerca di rubare file in giro o peggio ancora di interferire con altri processi, allora il discorso cambia

[Amph]

per quello tipo di malignità ho il mio mini wallet con 0.01-0.1

voglio vedere che fai contro una cosa del genere, non c'è virus che tenga

non c'è antivirus al mondo che possa accorgersi di un wallet che spedisce i coin ad un indirizzo diverso da quello che vuole l'utente.

Qui l'unica sicurezza è scaricare il wallet dai repository ufficiali o di fidarsi dello sviluppatore dell'altcoin di turno, l'antivirus non ti da nessun aiuto.

Se poi stiamo parlando di codice che cerca di rubare file in giro o peggio ancora di interferire con altri processi, allora il discorso cambia

beh ma se quel wallet è stato già catalogato come maligno, non vedo perché non dovrebbe accorgersene

il punto è che non si può sapere se questo tipo di modifiche(i virus sono anche modifiche) sono state già fatte o meno, quindi c'è sempre la possibilità che il virus/modifica venga rilevato, come c'è la possibilità che passi inosservato

e di questo che parlavo nei miei posti, ma a quanto pare non mi avete capito...

[Pompobit]

per quello tipo di malignità ho il mio mini wallet con 0.01-0.1

voglio vedere che fai contro una cosa del genere, non c'è virus che tenga

non c'è antivirus al mondo che possa accorgersi di un wallet che spedisce i coin ad un indirizzo diverso da quello che vuole l'utente.

Qui l'unica sicurezza è scaricare il wallet dai repository ufficiali o di fidarsi dello sviluppatore dell'altcoin di turno, l'antivirus non ti da nessun aiuto.

Se poi stiamo parlando di codice che cerca di rubare file in giro o peggio ancora di interferire con altri processi, allora il discorso cambia

beh ma se quel wallet è stato già catalogato come maligno, non vedo perché non dovrebbe accorgersene

il punto è che non si può sapere se questo tipo di modifiche(i virus sono anche modifiche) sono state già fatte o meno, quindi c'è sempre la possibilità che il virus/modifica venga rilevato, come c'è la possibilità che passi inosservato

e di questo che parlavo nei miei posti, ma a quanto pare non mi avete capito...

se è stato già classificato da qualcuno come maligno, allora sì, se ne accorgerà.
Ma per essere catalogato come maligno con la modifica di cui parliamo, ci sono solo 2 opzioni:
- se il codice è open source, qualcuno si è letto il codice e ha trovato l'inghippo
- qualcuno ha rilevato l'inghippo sulle sue spalle e lo comunica in giro

Nessun antivirus cerca le differenze con il codice originale, anche perchè nessuno può dire quale fosse il codice originale, salvo tener traccia di tutto il codice di tutti i programmi, che è impensabile e infattibile visto che non tutti sono open source.

[Massimo80]

Nessun antivirus cerca le differenze con il codice originale, anche perchè nessuno può dire quale fosse il codice originale, salvo tener traccia di tutto il codice di tutti i programmi, che è impensabile e infattibile visto che non tutti sono open source.

Prova a spiegarglielo tu, io è tutto il thread che ci provo...

[Amph]

Nessun antivirus cerca le differenze con il codice originale, anche perchè nessuno può dire quale fosse il codice originale, salvo tener traccia di tutto il codice di tutti i programmi, che è impensabile e infattibile visto che non tutti sono open source.

Prova a spiegarglielo tu, io è tutto il thread che ci provo...

no tu non mi stai seguendo, è questo il punto, pompobit invece ha capito "se è stato già classificato da qualcuno come maligno, allora sì, se ne accorgerà"

tu non puoi sapere se la tua modifica/virus/chiamala come ti pare, non sia già stata fatta da qualcun altro e quindi segnalata come maligna

non hai nessun modo per saperlo, anche perché gli sviluppatori di antivirus tengono il loro database all'oscuro degli sviluppatori di virus e vorrei ben vedere

magari tra gli stessi sviluppatori di antivirus c'è chi sviluppa apposta queste modifiche maligne/nuovi virus per tenere sempre aggiornato il database degli anti-virus

il punto è che tu avrai al massimo una certa probabilità di successo, che possiamo dire del 50%, come gli antivurs non sono sicuri al 100% non lo sono neanche i virus

spero ti sia chiaro ora

per quello tipo di malignità ho il mio mini wallet con 0.01-0.1

voglio vedere che fai contro una cosa del genere, non c'è virus che tenga

non c'è antivirus al mondo che possa accorgersi di un wallet che spedisce i coin ad un indirizzo diverso da quello che vuole l'utente.

Qui l'unica sicurezza è scaricare il wallet dai repository ufficiali o di fidarsi dello sviluppatore dell'altcoin di turno, l'antivirus non ti da nessun aiuto.

Se poi stiamo parlando di codice che cerca di rubare file in giro o peggio ancora di interferire con altri processi, allora il discorso cambia

beh ma se quel wallet è stato già catalogato come maligno, non vedo perché non dovrebbe accorgersene

il punto è che non si può sapere se questo tipo di modifiche(i virus sono anche modifiche) sono state già fatte o meno, quindi c'è sempre la possibilità che il virus/modifica venga rilevato, come c'è la possibilità che passi inosservato

e di questo che parlavo nei miei posti, ma a quanto pare non mi avete capito...

se è stato già classificato da qualcuno come maligno, allora sì, se ne accorgerà.
Ma per essere catalogato come maligno con la modifica di cui parliamo, ci sono solo 2 opzioni:
- se il codice è open source, qualcuno si è letto il codice e ha trovato l'inghippo
- qualcuno ha rilevato l'inghippo sulle sue spalle e lo comunica in giro

Nessun antivirus cerca le differenze con il codice originale, anche perchè nessuno può dire quale fosse il codice originale, salvo tener traccia di tutto il codice di tutti i programmi, che è impensabile e infattibile visto che non tutti sono open source.

si questo è chiaro, il mio discorso si riferiva solo a programmi open source

[FaSan]

Tre pagine !? 

C'è qualcosa che vi sfugge. Gli antivirus anche in euristica NON troveranno mai una modifica effettuata ai sorgenti. Questo perchè i virus si "agganciano" ad un eseguibile già compilato, di norma o all' inizio o alla fine del codice, per mantenerne l' eseguibilità.

Quando l' antivirus fà un check sulla pattern dei virus, non decompila l' eseguibile ma cerca la corrispondenza sul compilato.

Ecco perchè una modifica ai sorgenti non potrà essere rilevata, ma viene considerata come una parte del programma stesso (che sia malevola o meno).




FaSan

[Amph]

Tre pagine !? 

C'è qualcosa che vi sfugge. Gli antivirus anche in euristica NON troveranno mai una modifica effettuata ai sorgenti. Questo perchè i virus si "agganciano" ad un eseguibile già compilato, di norma o all' inizio o alla fine del codice, per mantenerne l' eseguibilità.

Quando l' antivirus fà un check sulla pattern dei virus, non decompila l' eseguibile ma cerca la corrispondenza sul compilato.

Ecco perchè una modifica ai sorgenti non potrà essere rilevata, ma viene considerata come una parte del programma stesso (che sia malevola o meno).




FaSan

in caso di modifiche verrà visto maligno l'intero programma, non cambia quindi nulla

quindi nel caso di un wallet farlocco, verra visto maligno l'intero wallet, se quella modifica è gia stata fatta da qualcun'altro e quindi segnalata

[Massimo80]

in caso di modifiche verrà visto maligno l'intero programma, non cambia quindi nulla

Io ci rinuncio, pensala pure come vuoi

[FaSan]

in caso di modifiche verrà visto maligno l'intero programma, non cambia quindi nulla

quindi nel caso di un wallet farlocco, verra visto maligno l'intero wallet, se quella modifica è gia stata fatta da qualcun'altro e quindi segnalata

Teoricamente hai ragione, praticamente è più complicato. Questo perchè a seconda di come compili il sorgente, così come se usi un compressore di eseguibili, se fai lo strip o meno, se sposti una virgola direttamente nel codice, il risultato lato hex sarà diverso.

E quindi più probabile rilevare un codice aggiunto dopo piuttosto che un codice inserito direttamente nel sorgente, anche se segnalato.



FaSan