Hackerare wallet BTC

[Massimo80]

una cosa volevo chiedere, un malware può rubarti le chiavi all'interno di un wallet anche se non faccio partire il client?

No se il file wallet.dat (o equivalente) è crittografato, come praticamente tutti i wallet permettono di fare.
Sì, se il file è in chiaro. Basta copiarlo per avere le chiavi private di tutti gli indirizzi di quel wallet.

[Massimo80]

perché non fa parte del codice originale, è una cosa aggiunta, adesso non so su quale base funzionano i rilevamenti....

Scusa eh, ma un antivirus CHE NE SA del concetto "non fa parte del codice originale, è una cosa aggiunta"?!?

Mi sa che non hai ben chiaro come funzionano gli antivirus, o i software in generale...

[Amph]

perché non fa parte del codice originale, è una cosa aggiunta, adesso non so su quale base funzionano i rilevamenti....

Scusa eh, ma un antivirus CHE NE SA del concetto "non fa parte del codice originale, è una cosa aggiunta"?!?

Mi sa che non hai ben chiaro come funzionano gli antivirus, o i software in generale...

beh è comunque una modifica che non ha niente a che vedere con il funzionamento del programma

non credo che basti inserire un pezzetto di codice cosi ed evadere la "sorveglianza", altrimenti l'avrebbero già fatto ti pare?

[Massimo80]

beh è comunque una modifica che non ha niente a che vedere con il funzionamento del programma

Questo lo sai tu che sei utente del programma e ti aspetti dal programma un determinato funzionamento. Ma qualcosa di automatico come un antivirus deve lavorare su dati precisi, non sulle aspettative dell'utente. Ci sono migliaia di ragioni perfettamente legittime per le quali un software potrebbe aprire una connessione con un server remoto e inviargli una stringa di testo. Che ne sa l'antivirus che quella è una chiave privata? E se anche lo sapesse, che ne sa che il programma non stia facendo un backup delle chiavi private tramite salvataggio remoto, una funzione che potrebbe benissimo avere? Che ne sa che questo comportamento non sia esattamente quello che vuoi tu?

Antivirus con intelligenza artificiale temo non ne abbiano ancora inventati...

non credo che basti inserire un pezzetto di codice cosi ed evadere la "sorveglianza", altrimenti l'avrebbero già fatto ti pare?

Inserirlo nel repository ufficiale sarebbe probabilmente difficile, a meno che non lo facciano di proposito gli sviluppatori. Inserirlo in un binario compilato e distribuito da qualche "mirror" invece è semplicissimo, poi basta convincere gli utenti a scaricarlo da lì con una scusa qualsiasi. Qualcuno che ci casca lo trovi. E ne troverai sempre di più se i Bitcoin diventeranno veramente di uso comune uscendo dalla cerchia di persone che più o meno con un computer sanno cosa stanno facendo.

[Amph]

beh è comunque una modifica che non ha niente a che vedere con il funzionamento del programma

Questo lo sai tu che sei utente del programma e ti aspetti dal programma un determinato funzionamento. Ma qualcosa di automatico come un antivirus deve lavorare su dati precisi, non sulle aspettative dell'utente. Ci sono migliaia di ragioni perfettamente legittime per le quali un software potrebbe aprire una connessione con un server remoto e inviargli una stringa di testo. Che ne sa l'antivirus che quella è una chiave privata? E se anche lo sapesse, che ne sa che il programma non stia facendo un backup delle chiavi private tramite salvataggio remoto, una funzione che potrebbe benissimo avere? Che ne sa che questo comportamento non sia esattamente quello che vuoi tu?

Antivirus con intelligenza artificiale temo non ne abbiano ancora inventati...

non credo che basti inserire un pezzetto di codice cosi ed evadere la "sorveglianza", altrimenti l'avrebbero già fatto ti pare?

Inserirlo nel repository ufficiale sarebbe probabilmente difficile, a meno che non lo facciano di proposito gli sviluppatori. Inserirlo in un binario compilato e distribuito da qualche "mirror" invece è semplicissimo, poi basta convincere gli utenti a scaricarlo da lì con una scusa qualsiasi. Qualcuno che ci casca lo trovi. E ne troverai sempre di più se i Bitcoin diventeranno veramente di uso comune uscendo dalla cerchia di persone che più o meno con un computer sanno cosa stanno facendo.

si mentre sto anche spendendo btc contemporaneamente lol? devi per forza aggiungere del codice a quello già esistente, che se fa le stesse funzioni ordinarie verrà per tanto di cose visto come maligno perché è una copia...

il codice originale è già salvato come non maligno nel database dei vari anti-virus, qualsiasi modifica verrà vista come maligna è semplice o almeno dovrebbe essere così...

non è che adesso arriva il primo stronzo crea una stringa in c++ e gg bypass tutti gli antivirus, non funziona così

[Massimo80]

il codice originale è già salvato come non maligno nel database dei vari anti-virus, qualsiasi modifica verrà vista come maligna è semplice o almeno dovrebbe essere così...

No, gli antivirus non funzionano così, fanno esattamente il contrario: controllano tutti i file sul tuo computer e verificano che non ci sia del codice virale CONOSCIUTO. Al massimo possono tentare di individuare codice maligno SIMILE a quello conosciuto; questo è noto come "euristica", e per ovvie ragioni non è affidabile al 100%, ma almeno ci prova.

Gli antivirus non controllano che tu stia eseguendo un programma che conoscono come valido; non potrebbero mai conoscere tutti i programmi "validi" esistenti. Controllano invece che tu non stia eseguendo un programma che conoscono come virus. Per fare questo usano le firme, che servono appunto a fargli sapere quali sono i virus conosciuti e che devono essere aggiornate continuamente man mano che vengono identificati nuovi virus.

Un antivirus non ha idea di come funzionino i programmi che usi e di cosa debbano fare; l'unica cosa che fa è verificare che quando esegui un programma, dentro il codice di quel programma non ci sia qualcosa che a lui sembra un virus.

[FaSan]

una cosa volevo chiedere, un malware può rubarti le chiavi all'interno di un wallet anche se non faccio partire il client?

No se il file wallet.dat (o equivalente) è crittografato, come praticamente tutti i wallet permettono di fare.
Sì, se il file è in chiaro. Basta copiarlo per avere le chiavi private di tutti gli indirizzi di quel wallet.

Su questo ho i miei dubbi... Ho giusto giusto trovato un programmino che.... 

[Amph]

il codice originale è già salvato come non maligno nel database dei vari anti-virus, qualsiasi modifica verrà vista come maligna è semplice o almeno dovrebbe essere così...

No, gli antivirus non funzionano così, fanno esattamente il contrario: controllano tutti i file sul tuo computer e verificano che non ci sia del codice virale CONOSCIUTO. Al massimo possono tentare di individuare codice maligno SIMILE a quello conosciuto; questo è noto come "euristica", e per ovvie ragioni non è affidabile al 100%, ma almeno ci prova.

Gli antivirus non controllano che tu stia eseguendo un programma che conoscono come valido; non potrebbero mai conoscere tutti i programmi "validi" esistenti. Controllano invece che tu non stia eseguendo un programma che conoscono come virus. Per fare questo usano le firme, che servono appunto a fargli sapere quali sono i virus conosciuti e che devono essere aggiornate continuamente man mano che vengono identificati nuovi virus.

Un antivirus non ha idea di come funzionino i programmi che usi e di cosa debbano fare; l'unica cosa che fa è verificare che quando esegui un programma, dentro il codice di quel programma non ci sia qualcosa che a lui sembra un virus.

eh appunto come fai a dire che a lui non sembra un virus?

c'è sempre la possibilità che lo rilevi

[Massimo80]

eh appunto come fai a dire che a lui non sembra un virus?

Perché un virus non viene riconosciuto usando "ragionamenti" del tipo "se manda una chiave privata a qualcuno allora è un virus". Questo implicherebbe sapere cosa sia una chiave privata, sapere da dove proviene, sapere che il proprietario non vuole che venga divulgata... queste non sono cose di competenza di un antivirus. Un antivirus cerca solo sequenze di byte corrispondenti alle "firme", ossia a pezzi di virus già conosciuti, e reagisce a quelli quando li individua. Non si mette a fare ipotesi su cosa un programma possa fare e se questo sia o meno gradito all'utente.

[Massimo80]

Su questo ho i miei dubbi... Ho giusto giusto trovato un programmino che.... 

Su questo, se permetti, ho io qualche dubbio

Auguri a decrittare questa roba senza la passphrase: https://en.bitcoin.it/wiki/Wallet_encryption.

[FaSan]

Su questo ho i miei dubbi... Ho giusto giusto trovato un programmino che....  

Su questo, se permetti, ho io qualche dubbio

Auguri a decrittare questa roba senza la passphrase: https://en.bitcoin.it/wiki/Wallet_encryption.

Chi ha detto che le devi per forza decriptare per trovarle ? In primo step il wallet è scritto sul disco in chiaro, poi decidi di criptarlo, e viene riscritto. Tu sei proprio sicuro che verrà riscritto negli stessi settori del disco ?

Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.


Oddio, siamo sulla teoria eh, non l' ho ancora mai provato in questo senso


FaSan

[Amph]

eh appunto come fai a dire che a lui non sembra un virus?

Perché un virus non viene riconosciuto usando "ragionamenti" del tipo "se manda una chiave privata a qualcuno allora è un virus". Questo implicherebbe sapere cosa sia una chiave privata, sapere da dove proviene, sapere che il proprietario non vuole che venga divulgata... queste non sono cose di competenza di un antivirus. Un antivirus cerca solo sequenze di byte corrispondenti alle "firme", ossia a pezzi di virus già conosciuti, e reagisce a quelli quando li individua. Non si mette a fare ipotesi su cosa un programma possa fare e se questo sia o meno gradito all'utente.

credi che qualcun'altro non l'abbia gia fatto? e che non sia gia tra il database degli antivirus e quindi riconosciuto come maligno?

l'unico modo che hai di bypassare un anti-virus è creare un virus che non è simile a nessuno di quelli nel database

ripeto non è cosi facile come la fai tu

senza contare che il tuo pezzetto di codice non può svolazzare cosi "se fa x manda la chiave privata a me", deve essere collegato al resto in un modo in cui vengono collegati anche altri virus

voglio dire la programmazione dietro ai virus è simile

[Massimo80]

Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.

A livello puramente teorico potrebbe anche essere possibile, ammesso che quei settori non siano già stati sovrascritti da qualcos'altro (cosa tutt'altro che improbabile).
La maggior parte degli utenti però abilita la criptazione subito dopo aver installato il wallet, e da quel momento in poi tutti i nuovi indirizzi creati vengono memorizzati solo nel wallet criptato. Inoltre, nel caso tu abbia copiato il wallet che stai usando da un backup (già criptato) preso da un wallet precedente, sul disco del tuo computer non ci sarà proprio nessun wallet in chiaro.

Insomma, il tuo approccio potrebbe teoricamente funzionare solo su un sistema dove la cifratura del wallet è stata attivata al massimo da qualche giorno e prima è stato utilizzato un wallet in chiaro. Non sarà improbabile come una hash collision, ma direi che non è nemmeno molto più probabile

[Massimo80]

credi che qualcun'altro non l'abbia gia fatto? e che non sia gia tra il database degli antivirus e quindi riconosciuto come maligno?

Vedo che continui a non capire.

Se io scrivo un virus che entra sul tuo computer, cerca un wallet Bitcoin, lo apre (ammesso che non sia cifrato) e mi spedisce le chiavi che ci trova dentro (come in effetti ce ne sono parecchi in giro), appena questo viene scoperto e inserito nelle firme virali l'antivirus può imparare a riconoscerlo come virus e bloccarlo.

Ma se io poi ne scrivo un altro simile, non sarà lo stesso programma e non avrà la stessa firma, quindi l'antivirus non riconoscerà un bel niente.

Se poi invece vado proprio a modificare il codice di un wallet per fargli fare qualcosa di inappropriato, tipo spedirmi le tue chiavi private, quel codice finirà in mezzo a tutto il resto del codice del wallet, e esaminano il file binario che risulta dopo averlo compilato questo risulterà sì modificato rispetto all'originale, ma a meno di non controllarne il checksum (cosa che deve fare l'utente, non l'antivirus che non ha idea da dove quel programma venga e perché debba avere un certo checksum piuttosto che un altro) non ci sarà modo di capire se sta facendo qualcosa che non vuoi o se invece sta lavorando esattamente come l'utente si aspetta.

l'unico modo che hai di bypassare un anti-virus è creare un virus che non è simile a nessuno di quelli nel database

Il che è un po' come dire che l'unico modo per non avere una hash collision con gli indirizzi Bitcoin è creare un indirizzo che non sia simile a qualcuno già in uso. Ma, ops, non c'è nessun problema a farlo, considerando che ce n'è un numero spropositato. Esattamente come i programmi che possono essere scritti.

senza contare che il tuo pezzetto di codice non può svolazzare cosi "se fa x manda la chiave privata a me", deve essere collegato al resto in un modo in cui vengono collegati anche altri virus

voglio dire la programmazione dietro ai virus è simile

No, non è affatto simile. Un virus è del codice estraneo che viene riconosciuto come tale. Qui stiamo parlando di modificare il programma originale. Non è una modifica "scorretta" o "sbagliata", potrebbe benissimo avercela inserita lo sviluppatore. Oppure io, che ho preso i sorgenti (liberamente disponibili), li ho modificati e ho ricompilato il programma. Questo succede ogni volta che aggiorni un software o ne installi una nuova versione. L'antivirus non ha alcun modo di sapere se il programma è stato modificato in un modo che a te non sta bene.

[FaSan]

Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.

A livello puramente teorico potrebbe anche essere possibile, ammesso che quei settori non siano già stati sovrascritti da qualcos'altro (cosa tutt'altro che improbabile).
La maggior parte degli utenti però abilita la criptazione subito dopo aver installato il wallet, e da quel momento in poi tutti i nuovi indirizzi creati vengono memorizzati solo nel wallet criptato. Inoltre, nel caso tu abbia copiato il wallet che stai usando da un backup (già criptato) preso da un wallet precedente, sul disco del tuo computer non ci sarà proprio nessun wallet in chiaro.

Insomma, il tuo approccio potrebbe teoricamente funzionare solo su un sistema dove la cifratura del wallet è stata attivata al massimo da qualche giorno e prima è stato utilizzato un wallet in chiaro. Non sarà improbabile come una hash collision, ma direi che non è nemmeno molto più probabile

Si e no.

Facendo una scansione sul mio disco ho trovato wallet di un anno fà ancora disponibili nei settori.

E per esempio io i wallet li crypto se ho delle coin sopra, altrimenti li lascio lì senza crearmi il problema. Magari è un errore, ma chissà quanti fanno la stessa cosa. Senza contare che bisogna vedere quanti generano continuamente nuovi address invece di utilizzare i precedenti. Sicuramente il Default lo ritrovi.


FaSan

[jack0m]

Facendo una scansione settore x settore per una certa pattern a livello teorico potresti trovare sia il wallet criptato che quello in chiaro.

A livello puramente teorico potrebbe anche essere possibile, ammesso che quei settori non siano già stati sovrascritti da qualcos'altro (cosa tutt'altro che improbabile).
La maggior parte degli utenti però abilita la criptazione subito dopo aver installato il wallet, e da quel momento in poi tutti i nuovi indirizzi creati vengono memorizzati solo nel wallet criptato. Inoltre, nel caso tu abbia copiato il wallet che stai usando da un backup (già criptato) preso da un wallet precedente, sul disco del tuo computer non ci sarà proprio nessun wallet in chiaro.

Insomma, il tuo approccio potrebbe teoricamente funzionare solo su un sistema dove la cifratura del wallet è stata attivata al massimo da qualche giorno e prima è stato utilizzato un wallet in chiaro. Non sarà improbabile come una hash collision, ma direi che non è nemmeno molto più probabile

Si e no.

Facendo una scansione sul mio disco ho trovato wallet di un anno fà ancora disponibili nei settori.

E per esempio io i wallet li crypto se ho delle coin sopra, altrimenti li lascio lì senza crearmi il problema. Magari è un errore, ma chissà quanti fanno la stessa cosa. Senza contare che bisogna vedere quanti generano continuamente nuovi address invece di utilizzare i precedenti. Sicuramente il Default lo ritrovi.


FaSan

Motivo per cui per pc dedicati a contenere dati particolarmente sensibili è sempre meglio usare partizioni criptate. Inclusa partizione di swap.

[Amph]

credi che qualcun'altro non l'abbia gia fatto? e che non sia gia tra il database degli antivirus e quindi riconosciuto come maligno?

Vedo che continui a non capire.

Se io scrivo un virus che entra sul tuo computer, cerca un wallet Bitcoin, lo apre (ammesso che non sia cifrato) e mi spedisce le chiavi che ci trova dentro (come in effetti ce ne sono parecchi in giro), appena questo viene scoperto e inserito nelle firme virali l'antivirus può imparare a riconoscerlo come virus e bloccarlo.

Ma se io poi ne scrivo un altro simile, non sarà lo stesso programma e non avrà la stessa firma, quindi l'antivirus non riconoscerà un bel niente.

Se poi invece vado proprio a modificare il codice di un wallet per fargli fare qualcosa di inappropriato, tipo spedirmi le tue chiavi private, quel codice finirà in mezzo a tutto il resto del codice del wallet, e esaminano il file binario che risulta dopo averlo compilato questo risulterà sì modificato rispetto all'originale, ma a meno di non controllarne il checksum (cosa che deve fare l'utente, non l'antivirus che non ha idea da dove quel programma venga e perché debba avere un certo checksum piuttosto che un altro) non ci sarà modo di capire se sta facendo qualcosa che non vuoi o se invece sta lavorando esattamente come l'utente si aspetta.

l'unico modo che hai di bypassare un anti-virus è creare un virus che non è simile a nessuno di quelli nel database

Il che è un po' come dire che l'unico modo per non avere una hash collision con gli indirizzi Bitcoin è creare un indirizzo che non sia simile a qualcuno già in uso. Ma, ops, non c'è nessun problema a farlo, considerando che ce n'è un numero spropositato. Esattamente come i programmi che possono essere scritti.

senza contare che il tuo pezzetto di codice non può svolazzare cosi "se fa x manda la chiave privata a me", deve essere collegato al resto in un modo in cui vengono collegati anche altri virus

voglio dire la programmazione dietro ai virus è simile

No, non è affatto simile. Un virus è del codice estraneo che viene riconosciuto come tale. Qui stiamo parlando di modificare il programma originale. Non è una modifica "scorretta" o "sbagliata", potrebbe benissimo avercela inserita lo sviluppatore. Oppure io, che ho preso i sorgenti (liberamente disponibili), li ho modificati e ho ricompilato il programma. Questo succede ogni volta che aggiorni un software o ne installi una nuova versione. L'antivirus non ha alcun modo di sapere se il programma è stato modificato in un modo che a te non sta bene.

i virus di questo tipo sono per forza di cose simili, seguono uno stesso pattern, verranno riconosciuti grazie all'euristica nel 50% dei casi almeno

continuo a pensare che non sia cosi semplice come dici tu

[theend1991]

Se fosse così semplice, sicuramente qualcuno ci avrebbe pensato prima, e si sarebbe parlato molto sulla rete di wallet fasulli.
Fin ora io non ho mai sentito di nulla del genere, quindi credo che non sia una cosa fattibile.

[Massimo80]

Se fosse così semplice, sicuramente qualcuno ci avrebbe pensato prima, e si sarebbe parlato molto sulla rete di wallet fasulli.
Fin ora io non ho mai sentito di nulla del genere, quindi credo che non sia una cosa fattibile.

Al momento gli utilizzatori di Bitcoin sono praticamente tutti esperti di informatica o almeno utenti evoluti, abbastanza da sapere che non è il caso di scaricare software da siti non ufficiali, soprattutto se poi quel software deve maneggiare qualcosa di valore; nessuno che sappia cosa sta facendo si sognerebbe mai di scaricare un wallet da un sito a casaccio, né ci sarebbe motivo di farlo, visto che i siti ufficiali sono ben connessi e i software pesano pochi MB. Molti addirittura compilano il codice in proprio, pratica peraltro comunissima sui sistemi Linux.

Se e quando i Bitcoin diventeranno di uso comune, assisteremo a un proliferare di wallet di dubbia origine e di sedicenti "mirror" dei wallet più noti, e temo seriamente che parecchia gente ci cascherà, come succede coi siti di phishing che prima o poi qualche idiota che gli fornisce le proprie credenziali o la carta di credito lo trovano sempre

[neoxxx]

Datevi una letta qui (in inglese)...LINK

..gli antivirus non mi danno poi tutta questa fiducia!