|
androz
|
 |
May 12, 2014, 04:43:05 PM |
|
Lo siento por lo que ha sucedido. Recientemente ha habido un aumento de este tipo de fraude. l'autenticacion de doble factor/antivirus por desgracia no es suficiente para dormir tranquilo  |
|
|
|
|
|
|
|
|
"I'm sure that in 20 years there will either be very large transaction volume or no volume." -- Satoshi
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
|
|
edukoBIT (OP)
|
|
May 12, 2014, 06:12:19 PM |
|
Buenas de nuevo compañeros, acabo de llegar de poner la denuncia en la Policia Nacional, ya que en la G.Civil me han dicho que en mi caso era quien se ocuparia de ella, ya que cuentan con una unidad de Delicuencia Economica y Telematica.
Primero de todo gracias por el apoyo pues para mi ha sido un duro golpe despues de perder los fondos en Mtgox en su dia. Ahora haya recibido un golpe mayor, ya que he perdido mas bitcoins que en mtgox. Asi que la verdad es que cuesta mantenerse igual de animado.
He estado mirando lo que comentabas elbill pero no me salen tantas conexiones como a ti o con direcciones largas y que ponga conexion establecida. Tampoco entiendo muy bien sobre este tema aunque lo mirare.
Respecto a lo que comentas Jaime, no he recibido ninguna advertencia de mi correo en este caso uso Gmail acerca de que hayan intentado entrar a mi correo o algo parecido.
Y sobre las recomendaciones que planteas, gracias, voy a intentar aplicarlas todas las que propones para mejorar la seguridad.
PD: Sigo a la espera de una respuesta por parte de Localbitcoins, no se si estaran investigando el caso o que, pero todavia no se han pronunciado al respecto. En cuanto me digan cosas lo hare saber.
Un saludo
|
Siempre desde pequeño he pensado que me haria rico comprando algo, hasta hace poco no sabia que seria esa cosa, ahora lo sé.
|
|
|
dserrano5
Legendary
 Offline
Activity: 1974
Merit: 1029
|
|
May 12, 2014, 07:23:46 PM |
|
veo que el skype, en mi caso el pid 2420 se conecta como con 10 o 12 IPs distintas, eso es grave?
El problema no es que sea grave, el problema es que no lo sabes. Es fundamental conocer nuestro sistema para saber lo que es normal y anormal, y detectar algo raro cuando ocurre. Sí, ya sé que no podemos pedirles eso a nuestros padres/abuelos. 3) Cuando visites sitios relacionados con bitcoin, Javascript desactivado. Crea un usuario en Chrome sólo para eso y configúralo. O mejor aún, desactivar js en todas partes menos donde haga falta. Que es en muchos sitios . 5) […] y a ser posible nunca instales una versión muy reciente (para que de tiempo a que los zero-day salgan a flote).
Los 0day van a aparecer en cualquier versión, no solo en la última. Pero la última corrige todos los errores conocidos. Este me parece un mal consejo. PD: Sigo a la espera de una respuesta por parte de Localbitcoins, no se si estaran investigando el caso o que, pero todavia no se han pronunciado al respecto. En cuanto me digan cosas lo hare saber.
En 24 horas desde tu último mensaje dales cañita, que no se "olviden" ni lo "dejen pasar". |
|
|
|
|
|
roterdam
|
|
May 12, 2014, 07:39:27 PM |
|
tambien me parce muy importante el tema del sistema operativo (aunque en este caso parece que no vienen por ahi los tiros), yo me decantaria por una opcion basada en linux para mi hoy por hoy windows y bitcoin son polos opuestos.
|
|
|
|
|
btc2014
Member
Offline
Activity: 83
Merit: 10
|
|
May 12, 2014, 07:40:06 PM |
|
si usas gmail vete a: cuenta - seguridad- actividad reciente
y ahi te saldra todas las ips que se conectaron a tu correo
|
|
|
|
|
Shawshank
Legendary
Offline
Activity: 1623
Merit: 1608
|
|
May 12, 2014, 10:07:41 PM |
|
Una pregunta algo relacionada.
¿Se podría considerar seguro conectarse a este tipo de sitios o a exchanges desde una tablet android?
Hasta ahora no lo he hecho por miedo y desconocimiento.
Diría que es seguro si cumples dos condiciones a rajatabla. 1) Contraseña segura, suficientemente larga, que no utilices en ninguna otra web. 2) 2FA real. Es decir, NUNCA te conectes a localbitcoins desde el móvil donde tienes Google Authenticator, y que no haya ninguna referencia en ese móvil a localbitcoins o al correo que utilizas en localbitcoins. Si cumples esos dos pasos a rajatabla, y te roban, puedes estar casi seguro que la web ha sido comprometida, aunque tengas todos tus dispositivos llenos de virus. |
|
|
|
|
roterdam
|
|
May 12, 2014, 10:36:59 PM |
|
2) 2FA real. Es decir, NUNCA te conectes a localbitcoins desde el móvil donde tienes Google Authenticator, y que no haya ninguna referencia en ese móvil a localbitcoins o al correo que utilizas en localbitcoins.
Si cumples esos dos pasos a rajatabla, y te roban, puedes estar casi seguro que la web ha sido comprometida, aunque tengas todos tus dispositivos llenos de virus.
podrias explicar esto del mismo dispositivo mas tecnicamente (donde podria estar el fallo de seguridad)?
me resulta interesante
|
|
|
|
|
|
principiante
|
|
May 13, 2014, 12:35:42 AM |
|
Hola elbill, disculpá mi ignorancia: si tenes un minuto y ganas, me explicas un poco que es esa pantalla?
¿el comando netstat te lista todas las conexiones actuales verdad?
esos 2 IPs que se ven, del pid de java abrieron los puertos 13404 y 37653 respectivamente en forma automática? acceden a tu router y los abren? como es eso?
Yo intenté hacer una muestra como la tuya y veo que el skype, en mi caso el pid 2420 se conecta como con 10 o 12 IPs distintas, eso es grave?
Gracias y disculpa si estoy preguntando una estupides.
@principiante Si claro, el netstat te lista las conexiones del equipo, con -ano vemos las conexiones y puertos a la escucha, y el proceso (PID) involucrado. Y luego con tasklist comprobamos a qué proceso pertenece ese PID. En la imagen que puse vemos que el proceso java esta conectado a 2 IPs a los puertos 13404 y 36653 de esas dos ips respectivamente (no mis puertos). Creo que las conexiones de skype que mencionas están dentro de lo normal, seguramente estén conectadas al puerto 443 (HTTPS/SSL), lo raro en mi caso es que se conectan a puertos muy inusuales, sin ninguna aplicación ejecutándose, y que ademas he tenido esos incidentes en los que google te avisa que alguien ha intentado loguearse desde un sitio inusual. Creo que es importante controlar periódicamente estas cosas porque como digo no detecta nada ni el Kaspersky, ni el Nod. Aunque creo que el caso de edukobit por lo que menciona de la doble autentificación puede que sea problema de localbitcoins y no de su PC. Gracias, lo voy a poner en práctica. Otra pregunta, yo en el listado veo mi IP local que es fija, pero también veo siempre el IP 127.0.0.1 que está siempre presente. ¿qué es esa dirección? |
BTC: 38TUX3NuscG2V22F9hqggKyRzJZvAoawjC
|
|
|
|
edukoBIT (OP)
|
|
May 13, 2014, 12:48:45 AM |
|
si usas gmail vete a: cuenta - seguridad- actividad reciente
y ahi te saldra todas las ips que se conectaron a tu correo
He estado mirando, la actividad de mi correo y todas las conexiones, no hay ninguna conexion desde fuera o otro sitio que no sea mi ordenador y desde mi localización. Asi que al menos a mi correo parece ser no se ha tenido acceso. No puedo explicarme entonces como alguien ha desabilitado la doble autentificación, si para poder desactivarla necesitas uno de los codigos que tengo impresos. Alucinante.... Y nada de momento han pasado mas de 24h y seguimos sin noticias de Localbitcoins. |
Siempre desde pequeño he pensado que me haria rico comprando algo, hasta hace poco no sabia que seria esa cosa, ahora lo sé.
|
|
|
|
principiante
|
|
May 13, 2014, 12:52:46 AM |
|
si usas gmail vete a: cuenta - seguridad- actividad reciente
y ahi te saldra todas las ips que se conectaron a tu correo
He estado mirando, la actividad de mi correo y todas las conexiones, no hay ninguna conexion desde fuera o otro sitio que no sea mi ordenador y desde mi localización. Asi que al menos a mi correo parece ser no se ha tenido acceso. No puedo explicarme como alguien ha desabilitado la doble autentificación. Y nada de momento han pasado mas de 24h y seguimos sin noticias de Localbitcoins. La verdad que es muy raro. Yo ayer la deshabilité momentáneamente para cambiar la matriz de números por otra y para ello me pidió justamente el código que seguía (no recuerdo bien si iba por el 21 creo..) Dónde tenías las cordenadas? impresas en un papel o grabadas en el disco? es alguien que tuvo acceso a tu hoja de coordenadas, estoy casi seguro. |
BTC: 38TUX3NuscG2V22F9hqggKyRzJZvAoawjC
|
|
|
|
edukoBIT (OP)
|
|
May 13, 2014, 01:07:04 AM |
|
La verdad que es muy raro. Yo ayer la deshabilité momentáneamente para cambiar la matriz de números por otra y para ello me pidió justamente el código que seguía (no recuerdo bien si iba por el 21 creo..)
Dónde tenías las cordenadas? impresas en un papel o grabadas en el disco? es alguien que tuvo acceso a tu hoja de coordenadas, estoy casi seguro.
Como dije las tengo impresas en un papel. Evidentemente imagino en la base de datos de Localbitcoins deben aparecer vinculadas a mi cuenta, y cuando fue hackeado puede que se robaran. Es lo unico que se me ocurre. No se que pensar ya la verdad. El tema es que no se si habra mas casos o he sido el unico. De momento en el el foro español parece que si y buscando un poco por los ingleses pero no consigo ver nada... |
Siempre desde pequeño he pensado que me haria rico comprando algo, hasta hace poco no sabia que seria esa cosa, ahora lo sé.
|
|
|
Antuam
Legendary
Offline
Activity: 1722
Merit: 1005
|
|
May 13, 2014, 04:42:43 AM |
|
Otra pregunta, yo en el listado veo mi IP local que es fija, pero también veo siempre el IP 127.0.0.1 que está siempre presente. ¿qué es esa dirección?
Hola. Esa IP es turismo PC, es también llamada la de localhost o lookback. Se suele usar para probar si te funcional el TCP/IP. http://es.wikipedia.org/wiki/LocalhostY siento mucho la situación EdukoBIT. Todo lo que ese relacionado con dinero, hace que se tenga que tener mucho cuidado y sobre todo, 1000 OJOS. Y aún así, te la cuelan. Un abrazo. Antuam |
|
|
|
Shawshank
Legendary
Offline
Activity: 1623
Merit: 1608
|
|
May 13, 2014, 05:03:50 AM |
|
Diría que es seguro si cumples dos condiciones a rajatabla.
1) Contraseña segura, suficientemente larga, que no utilices en ninguna otra web.
2) 2FA real. Es decir, NUNCA te conectes a localbitcoins desde el móvil donde tienes Google Authenticator, y que no haya ninguna referencia en ese móvil a localbitcoins o al correo que utilizas en localbitcoins.
Si cumples esos dos pasos a rajatabla, y te roban, puedes estar casi seguro que la web ha sido comprometida, aunque tengas todos tus dispositivos llenos de virus.
podrias explicar esto del mismo dispositivo mas tecnicamente (donde podria estar el fallo de seguridad)?
me resulta interesante
El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA. A su vez, si el hacker te instala un keylogger en ese mismo móvil y tú te conectas a localbitcoins desde ahí, tendrá también acceso a tu contraseña. Con la semilla 2FA y con tu contraseña, ya tiene control absoluto de tu cuenta en localbitcoins. Sin embargo, si en el móvil donde tienes instalado Google Authenticator no hay rastro de localbitcoins ni de la cuenta de correo electrónico que utilizas en localbitcoins, es prácticamente imposible que el atacante haga la asociación, y por tanto tu cuenta estará segura por lo que respecta a tu responsabilidad. Si cumples esos pasos y te han robado, podrías estar prácticamente seguro que localbitcoins habría sido hackeado. Espero haber sido más claro... |
|
|
|
|
jaime
|
|
May 13, 2014, 06:49:11 AM |
|
Como dije las tengo impresas en un papel.
No sé si será el caso, pero si no han entrado en tu mail, hay que descartar otras opciones. Hay malware que intercepta la comunicación con la impresora, que por defecto no va encriptada por lo que para imprimir (o mejor aún, copiar a mano) una tarjeta de claves o una llave privada, debes hacerlo desde un equipo offline 100% seguro y con cable directo a la impresora. Nada de redes. Las claves deben bajar a tu equipo infectado ya encriptadas. De ahí copias en archivo encriptado a un USB que te llevas a tu equipo offline. Ahí lo desencriptas y lo imprimes o copias. Mejor si tu equipo offline es linux. Por desgracia el uso seguro de bitcoins por ahora sigue siendo algo complicado hasta que tengamos dispositivos adhoc fáciles de usar. |
|
|
|
|
jaime
|
|
May 13, 2014, 07:09:04 AM |
|
5) […] y a ser posible nunca instales una versión muy reciente (para que de tiempo a que los zero-day salgan a flote).
Los 0day van a aparecer en cualquier versión, no solo en la última. Pero la última corrige todos los errores conocidos. Este me parece un mal consejo. Tienes razón, mas que por los zero-day, quería referirme al caso del desarrollador que se pasa al lado oscuro o que tiene comprometida su firma y tuviera una vulnerabilidad durmiente a la espera de ser explotada en el futuro. En ese caso es probable que no se detectase desde un primer momento, pero sí mas tarde. Es verdad que las últimas versiones pueden solucionar fallos de seguridad, pero salvo que ese sea el caso, sigo pensando que estar a la última conlleva ciertos riesgos. |
|
|
|
|
jaime
|
|
May 13, 2014, 07:23:55 AM |
|
El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA.
Esto que dices, ¿tienes más datos? Es que me parece muy serio y puede meter mucho miedo si no se aclara. Imagino que si el hacker es capaz de acceder a la semilla, también podrá ver los servicios disponibles. |
|
|
|
Shawshank
Legendary
Offline
Activity: 1623
Merit: 1608
|
|
May 13, 2014, 07:45:13 AM |
|
El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA.
Esto que dices, ¿tienes más datos? Es que me parece muy serio y puede meter mucho miedo si no se aclara. Imagino que si el hacker es capaz de acceder a la semilla, también podrá ver los servicios disponibles. Si utilizas Google Authenticator desde el mismo dispositivo en el que tecleas tu nombre de usuario y contraseña, la seguridad adicional que proporcionaría 2FA es limitada. Conseguirías protegerte de keyloggers, pero no de otros virus más sofisticados. Estos últimos no tendrían problema en conseguir tu usuario, contraseña y la semilla de Google Authenticator, o directamente, el valor numérico de Google Authenticator en ese momento. La buena noticia es que si utilizas un dispositivo para teclear usuario/contraseña y otro dispositivo completamente independiente para Google Authenticator, puedes estar prácticamente seguro de la integridad de tu cuenta, siempre y cuando, el propio sitio web de localbitcoins no haya sido hackeado. |
|
|
|
|
jaime
|
|
May 13, 2014, 07:56:22 AM |
|
El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA.
Esto que dices, ¿tienes más datos? Es que me parece muy serio y puede meter mucho miedo si no se aclara. Imagino que si el hacker es capaz de acceder a la semilla, también podrá ver los servicios disponibles. Si utilizas Google Authenticator desde el mismo dispositivo en el que tecleas tu nombre de usuario y contraseña, la seguridad adicional que proporcionaría 2FA es limitada. Conseguirías protegerte de keyloggers, pero no de otros virus más sofisticados. Estos últimos no tendrían problema en conseguir tu usuario, contraseña y la semilla de Google Authenticator, o directamente, el valor numérico de Google Authenticator en ese momento. La buena noticia es que si utilizas un dispositivo para teclear usuario/contraseña y otro dispositivo completamente independiente para Google Authenticator, puedes estar prácticamente seguro de la integridad de tu cuenta, siempre y cuando, el propio sitio web de localbitcoins no haya sido hackeado. Lo del valor numérico en ese momento es complicado, pero sería posible, sobre todo en un dispositivo rooteado, por lo que tu consejo es bueno. Lo de hacerse con la semilla lo veo casi imposible, pero nunca se sabe. Ya hemos visto cosas tremendas así que no me extrañaría. |
|
|
|
|
jaime
|
|
May 13, 2014, 08:20:05 AM |
|
He estado mirando, la actividad de mi correo y todas las conexiones, no hay ninguna conexion desde fuera o otro sitio que no sea mi ordenador y desde mi localización.
Asi que al menos a mi correo parece ser no se ha tenido acceso. No puedo explicarme entonces como alguien ha desabilitado la doble autentificación, si para poder desactivarla necesitas uno de los codigos que tengo impresos.
Alucinante....
Y nada de momento han pasado mas de 24h y seguimos sin noticias de Localbitcoins.
Pero si a partir de los datos robados de LocalBitcoin un atacante conoce tu direccion de correo, no es necesario que acceda a tu cuenta para poder hacer llegar a Localbitcoin un correo desde tu dirección. El protocolo de correo electrónico no autentica el campo "from" del remitente. Se puede enviar el email desde un servidor cualquiera incluyendo en el "from" tu dirección, y el destinatario no tiene forma de contrastar la autenticidad del remitente. Es igual que con el correo tradicional. Tu pones en el sobre la direccion del remitente y lo echas al buzón, pero dicha dirección no se certifica en ningun momento. Efectivamente puedes enviar, pero no recibir, así que de poco te sirve. Ningún servicio hará ningún cambio crítico en tu cta. sin antes confirmar una clave ENVIADA a tu dirección. No creo que localbitcoins sea una excepción. |
|
|
|
Shawshank
Legendary
Offline
Activity: 1623
Merit: 1608
|
|
May 13, 2014, 08:34:47 AM |
|
El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA.
Esto que dices, ¿tienes más datos? Es que me parece muy serio y puede meter mucho miedo si no se aclara. Imagino que si el hacker es capaz de acceder a la semilla, también podrá ver los servicios disponibles. Si utilizas Google Authenticator desde el mismo dispositivo en el que tecleas tu nombre de usuario y contraseña, la seguridad adicional que proporcionaría 2FA es limitada. Conseguirías protegerte de keyloggers, pero no de otros virus más sofisticados. Estos últimos no tendrían problema en conseguir tu usuario, contraseña y la semilla de Google Authenticator, o directamente, el valor numérico de Google Authenticator en ese momento. La buena noticia es que si utilizas un dispositivo para teclear usuario/contraseña y otro dispositivo completamente independiente para Google Authenticator, puedes estar prácticamente seguro de la integridad de tu cuenta, siempre y cuando, el propio sitio web de localbitcoins no haya sido hackeado. Lo del valor numérico en ese momento es complicado, pero sería posible, sobre todo en un dispositivo rooteado, por lo que tu consejo es bueno. Lo de hacerse con la semilla lo veo casi imposible, pero nunca se sabe. Ya hemos visto cosas tremendas así que no me extrañaría. Hacerse con el valor de la semilla de Google Authenticator no es imposible si tienes el móvil hackeado. Es mucho presuponer que la semilla de Google Authenticator, que es un secreto compartido que hay que extraer en claro para generar la secuencia númerica, no va a estar accesible para un hacker que tenga los privilegios adecuados en tu dispositivo. Iba a decir que sería muy factible que un hacker obtuviera el valor de la semilla si Google Authenticator fuera código abierto, pero acabo de leer que desde la versión 2.21, el código ha dejado de ser abierto y Google ha añadido una serie de workflows adicionales, supongo que con la intención de ofuscar el contenido de la semilla. |
|
|
|
|
