Bitcoin Forum
March 19, 2024, 04:10:45 AM *
News: Latest Bitcoin Core release: 26.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1] 2 »  All
  Print  
Author Topic: Opera+MtGox=fail  (Read 7619 times)
electronus (OP)
Full Member
***
Offline Offline

Activity: 231
Merit: 100


View Profile
June 01, 2012, 09:48:57 PM
Last edit: August 01, 2013, 09:05:58 AM by [Tycho]
 #1

Суть вопроса проста
Сегодня увидел мейл о выводе денег с моего MtGox счета
При детальном анализе логов выводил адрес 88.83.55.135 по райпу это Telecom3 Sverige AB Sweden
В логах биржи:
1. обмен долларов на бтц 2012/06/01 16:59:04
2. вывод биткоинов 2012/06/01 16:59:18 на адрес 1LFREBCMjKZNyEyzCt9FPnh4wwYooGjJZ5

Мысли по поводу. Вопрос безопасности у меня на машине не стоит. Установлена система с лиц. диска, стоит китайская плата, которая при каждом включении откатывает машину в исходное состояние.

Снифф на провайдере? Нереал. Да и наши бы пошли через тор, а нслукап говорит что:
Name:    88-83-55-135.customer.t3.se
Address:  88.83.55.135
Т.е. это кастомерский адрес (ну не исключен ботнет)...

Я начал думать, а что такого я делал необычного. Ведь раньше вопрос не возникал.
И вспомнил: глючил aurumxchange.com (не показывал поле dest acc) и я воспользовался оперой с включенным режимом Opera Turbo для обменки и для вывода с MtGox. Кто не знает - это средство ПРОКСИРОВАНИЯ трафика для ускорения работы. Судя по всему на выходе из этого проксика где-то в швеции мой пасс для MtGox и слямзили.

Таким образом, не используйте Opera Turbo для работы с чувствительной информацией. Жулики на выходе пасут трафик...
"I'm sure that in 20 years there will either be very large transaction volume or no volume." -- Satoshi
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
1710821445
Hero Member
*
Offline Offline

Posts: 1710821445

View Profile Personal Message (Offline)

Ignore
1710821445
Reply with quote  #2

1710821445
Report to moderator
avral
Sr. Member
****
Offline Offline

Activity: 421
Merit: 250


View Profile
June 02, 2012, 04:53:21 AM
 #2

Три битка сперли?
http://blockexplorer.com/address/1LFREBCMjKZNyEyzCt9FPnh4wwYooGjJZ5
rPman
Legendary
*
Offline Offline

Activity: 1120
Merit: 1069


View Profile WWW
June 02, 2012, 05:01:45 AM
 #3

Мне нравится подход к обеспечению безопасности.... железная плата для отката состояния дисков это круто (хотя почти любая виртуалка + снапшоты бесплатнее)...
Для Opera подобный шаг, мягко говоря, не серьезен, хотя кто знает какие шаги они не предприняли для обеспечения безопасности... ведь они действительно https через себя гонят после расшифровки (а уж обычный трафик и подавно). При таком объеме пользователей можно нереальную базу собрать.

Здесь не может находиться ваша реклама Smiley
Protect a future of bitcoin, use p2pool
Donation in BTC: 19fv5yYtfWZ9jQNjx2ncmu1TTrvg5CczZe
electronus (OP)
Full Member
***
Offline Offline

Activity: 231
Merit: 100


View Profile
June 02, 2012, 08:36:04 AM
 #4

avralДа, неудачно выбрали время. на день раньше и была бы рыбешка покрупнее Shocked но важен сам факт.
rPmanОсновная причина не в пользу виртуалки - софт определенный, который детектит запущенность в виртуалке, с последующим отказом работать Grin. побочная причина - сетевой трафик виртуалки проходит через хостовую машину, а я своими ручками расковыривал пару зловредов, которые снифали трафик  Wink за сим и выделена отдельная машина для операций  Grin
У оперы около сотни шлюзов в нет в западной европе. Коррупция может быть на одном из них.
Заодно проверим время реакции на клейм со стороны МтГокс
AV
Hero Member
*****
Offline Offline

Activity: 910
Merit: 1000



View Profile
June 02, 2012, 01:59:25 PM
 #5

Примечательно, что вор не стал поджидать появления в аккаунте более крупной суммы...
electronus (OP)
Full Member
***
Offline Offline

Activity: 231
Merit: 100


View Profile
June 02, 2012, 06:23:07 PM
 #6

Заодно проверим время реакции на клейм со стороны МтГокс
Сутки, по жалобе - тишина...  Huh
anatolikostis
Legendary
*
Offline Offline

Activity: 2026
Merit: 1005



View Profile
June 05, 2012, 12:00:30 AM
 #7

Заодно проверим время реакции на клейм со стороны МтГокс
Сутки, по жалобе - тишина...  Huh
да ничего и не будет - когда в июне прошлого года сначала в реалтайме слямзили пасс и увели больше десятка монет, потом слямзили базу и выложили в нете обращенные хеши (якобы крепко посоленные), первое время все отрицали...а потом "простили" и "признались", придумали легенду с каким-то лево забытым админским паролем. мне просто показали, куда ушли монеты и уверили, что если к ним вернутся, то заблочат...вернутся ли?
andervol
Sr. Member
****
Offline Offline

Activity: 414
Merit: 250


BFL asiс-лохотрон(личное мнение)


View Profile
June 05, 2012, 12:35:59 AM
 #8

Чёт не пойму, а как злодеи с прокси https шифрование обошли? Может у мтгокса на странице левый элемент присутствовал?

Smile, be happy!
electronus (OP)
Full Member
***
Offline Offline

Activity: 231
Merit: 100


View Profile
June 05, 2012, 08:21:49 AM
 #9

Собственно чуда не и случилось, как и предсказывал anatolikostis    Roll Eyes
Мне предложили вызвать милицию для инспектирования моего компьютера  Grin

Quote
Hello,

We are sorry for your loss. Unfortunately, we can not refund any amount of the stolen funds. While this is extremely disappointing news, it is unavoidable. Issuing a direct refund is not possible as there is no way of proving that your account was in fact compromised, or that it was the Mt.Gox database leak that caused this to happen. As a business if Mt.Gox were to offer you a cash or bitcoin refund in compensation of this extremely unfortunate event, there would be a large increase in the number of hacking attempts to capitalize upon the possibility of financial reward.

As a further remedy, we would like to suggest that you file a police report for the stolen goods. It is preferable for the police to inspect your computer, but not necessary. Once this investigation has occurred and a copy of the police report issued, please send a copy of it along with a notarized copy of your passport or Government issued photo ID to Mt.Gox.

Please let us know how you wish to proceed, and again we apologize for the frustration and inconvenience caused.

Thanks,

MtGox.com Team

andervol
Если есть свой сертификат, а у Оперы он наверняка есть, то им и подписывают содержимое на пути от "прокси" оперы до самого браузера. На самом "прокси" оперы трафик открыт, а далее, от "прокси" Оперы до сайта - по обычной схеме...
andervol
Sr. Member
****
Offline Offline

Activity: 414
Merit: 250


BFL asiс-лохотрон(личное мнение)


View Profile
June 05, 2012, 09:55:20 PM
 #10

Не, я конечно не дока, но разве https протокол не идет от отправителя к получателю зашифрованным? И как прокси в этом случае  в зашифрованный протокол вклинится? Или турбо, это аналог оперы мини? Тогда понимаю о чем вы говорите. Но в таком случае, если трафик прерывает шифрование на их прокси, браузер должен был отображать что https подписано левым злодейским сертификатом(получается нужно было просто обратить внимание на это?)? Часто пользуюсь оперой мини для финансовых операций, пока без приключений. На фоне этой инфы уже стремно.

Smile, be happy!
naima53
Hero Member
*****
Offline Offline

Activity: 616
Merit: 502



View Profile
June 06, 2012, 04:50:11 PM
 #11

Не, я конечно не дока, но разве https протокол не идет от отправителя к получателю зашифрованным? И как прокси в этом случае  в зашифрованный протокол вклинится? Или турбо, это аналог оперы мини? Тогда понимаю о чем вы говорите. Но в таком случае, если трафик прерывает шифрование на их прокси, браузер должен был отображать что https подписано левым злодейским сертификатом(получается нужно было просто обратить внимание на это?)? Часто пользуюсь оперой мини для финансовых операций, пока без приключений. На фоне этой инфы уже стремно.
Та же хрень.. С наладонника на Гокс и (в прошлом уже) Биткоиникой рулю, Опера Мини, ни че не крали, (а оочень хорошо могли обвалить  Wink)

 Да, спасибо! Пароли сменил, завтра че нить куплю типа микро-нетбука (что посоветуете?)

Donate me) 16f6iWHHkVEnDReeBQPT9GwCNwUfPTXrp2
electronus (OP)
Full Member
***
Offline Offline

Activity: 231
Merit: 100


View Profile
June 06, 2012, 04:56:23 PM
 #12

naima53 сходи на 2ip.ru
У меня выдает:
Quote
Ваш IP адрес: 80.239.242.191
Имя вашего компьютера:    v11-16.opera-mini.net
Операционная система:    Microsoft Windows XP
Ваш браузер:    Opera 11.64
Откуда вы:    Poland
Ваш провайдер:     Режим Turbo-Opera      
Прокси:    Используется
Ваш IP адрес за прокси-сервером: ххх.хх.хх.ххх
Если у тебя аналогичное, а не украинский адрес - то как говорится, ждите в гости  Grin
Как попадешь на один из коррумпированых узлов - будет весело  Huh
naima53
Hero Member
*****
Offline Offline

Activity: 616
Merit: 502



View Profile
June 06, 2012, 05:09:58 PM
Last edit: June 28, 2013, 02:04:47 PM by naima53
 #13

Блииин, срочно меняю пароли

Donate me) 16f6iWHHkVEnDReeBQPT9GwCNwUfPTXrp2
electronus (OP)
Full Member
***
Offline Offline

Activity: 231
Merit: 100


View Profile
June 06, 2012, 05:44:08 PM
 #14

naima53
Ну чаще всего Польша, но попадись на мой "счастливый" шлюз и...  Shocked
LZ
Legendary
*
Offline Offline

Activity: 1722
Merit: 1072


P2P Cryptocurrency


View Profile
June 06, 2012, 10:38:24 PM
 #15

Пароли сменил, завтра че нить куплю типа микро-нетбука (что посоветуете?)
Разве мелкие экраны удобны? Лучше уж тогда Tab/Pad какой-нибудь взять.
Если все же ноут, можно поискать рубля за четыре Toshiba AC100, прошить
Android 4.0 или Ubuntu. Друг такой ноут как-то брал, очень легкий и тонкий.

My OpenPGP fingerprint: 5099EB8C0F2E68C63B4ECBB9A9D0993E04143362
ShadowAlexey
Donator
Legendary
*
Offline Offline

Activity: 968
Merit: 1002



View Profile
June 07, 2012, 02:23:43 PM
 #16

Пароли сменил, завтра че нить куплю типа микро-нетбука (что посоветуете?)
Разве мелкие экраны удобны? Лучше уж тогда Tab/Pad какой-нибудь взять.
Если все же ноут, можно поискать рубля за четыре Toshiba AC100, прошить
Android 4.0 или Ubuntu. Друг такой ноут как-то брал, очень легкий и тонкий.
Сам юзаю EEE900 с OpenSUSE Raid 1(внутренний ssd и sd) + шифрование разделов. Очень удобно,экрана хватает для клиента и браузера,а больше и не надо
Pegasys
Member
**
Offline Offline

Activity: 83
Merit: 10



View Profile
August 04, 2012, 10:20:58 PM
 #17

кто нибуть обращался в саппорт оперы с этой проблемой? если да, то какой ответ они прислали? Щас зашёл на 2ип и баг в опере досихпор присутствует! я и сам бы написал, но не силён в иностранных языках Sad
AV
Hero Member
*****
Offline Offline

Activity: 910
Merit: 1000



View Profile
August 22, 2012, 05:56:57 PM
 #18

Пиши по русски. Пусть учат.
Yurock
Sr. Member
****
Offline Offline

Activity: 462
Merit: 250


View Profile
August 27, 2012, 11:54:03 AM
 #19

Если есть свой сертификат, а у Оперы он наверняка есть, то им и подписывают содержимое на пути от "прокси" оперы до самого браузера. На самом "прокси" оперы трафик открыт, а далее, от "прокси" Оперы до сайта - по обычной схеме...

При работе по HTTPS, клиент посылает прокси-серверу команды на соединение с конечными серверами. После установления TCP-соединения, устанавливается TLS-соединение между клиентом и конечным сервером. Протокол TLS защищает информацию от раскрытия и изменения на всём пути между клиентом и "конечным сервером". При этом прокси-сервер "видит":
  • адрес клиента,
  • адрес сервера,
  • "рукопожатие" по TLS,
  • зашифрованные данные.

Браузер должен проверять соответствие сертификата сервера URL-у. Например:
Адрес: https://mtgox.com/login
Субьект: CN = mtgox.com, OU = Terms of use at www.verisign.com/rpa (c)05, O = K.K. Tibanne, L = Suginami, ST = Tokyo, C = JP
Если CN не соответствует домену, то браузер должен уведомить пользователя об опасности.

Сертификат сервера должен быть подписан доверенным центром сертификации. Центры сертификации должны проверять владельцев сайтов. Браузер не должен считать "левые" центры сертификации доверенными.

Таким образом, прокси-сервер не сможет подсунуть свой сертификат вместо сертификата Mt.Gox.

Вся эта схема требует от браузера чёткого выполнения своих функций. Уверен ли ты что твой браузер выполняет их должным образом? Если нет – отправь его в топку.

Далее, то, что происходит с информацией после расшифровки на mtgox.com, зависит от оператора биржи и, возможно, некоторых его партнёров, у которых тоже случаются фэйлы.

Установлена система с лиц. диска
Некоторые системы не внушают доверия, независимо от того, с какого диска они установлены.

стоит китайская плата, которая при каждом включении откатывает машину в исходное состояние
А заплатки ставишь регулярно?
electronus (OP)
Full Member
***
Offline Offline

Activity: 231
Merit: 100


View Profile
August 27, 2012, 12:51:33 PM
 #20

Yurock
http://www.xakep.ru/magazine/xa/125/026/1.asp  Grin
заплаты да, ставлю, mbsa для этого юзаю, но... машина за NAT-ом и в отдельном vlan-е, так что трафф от других домашних машин к ней не доходит  Grin SYN извне невозможен  Grin так что заплаты можно было бы и не ставить...
Кстати, перестал юзать Оперу, сменил пароль на гоксе, всё остальное окружение осталось таким-же, и уже никто ничего не тырит  Grin Grin Grin Grin
Pages: [1] 2 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!