electronus (OP)
|
|
June 01, 2012, 09:48:57 PM Last edit: August 01, 2013, 09:05:58 AM by [Tycho] |
|
Суть вопроса проста Сегодня увидел мейл о выводе денег с моего MtGox счета При детальном анализе логов выводил адрес 88.83.55.135 по райпу это Telecom3 Sverige AB Sweden В логах биржи: 1. обмен долларов на бтц 2012/06/01 16:59:04 2. вывод биткоинов 2012/06/01 16:59:18 на адрес 1LFREBCMjKZNyEyzCt9FPnh4wwYooGjJZ5
Мысли по поводу. Вопрос безопасности у меня на машине не стоит. Установлена система с лиц. диска, стоит китайская плата, которая при каждом включении откатывает машину в исходное состояние.
Снифф на провайдере? Нереал. Да и наши бы пошли через тор, а нслукап говорит что: Name: 88-83-55-135.customer.t3.se Address: 88.83.55.135 Т.е. это кастомерский адрес (ну не исключен ботнет)...
Я начал думать, а что такого я делал необычного. Ведь раньше вопрос не возникал. И вспомнил: глючил aurumxchange.com (не показывал поле dest acc) и я воспользовался оперой с включенным режимом Opera Turbo для обменки и для вывода с MtGox. Кто не знает - это средство ПРОКСИРОВАНИЯ трафика для ускорения работы. Судя по всему на выходе из этого проксика где-то в швеции мой пасс для MtGox и слямзили.
Таким образом, не используйте Opera Turbo для работы с чувствительной информацией. Жулики на выходе пасут трафик...
|
|
|
|
avral
|
|
June 02, 2012, 04:53:21 AM |
|
|
|
|
|
rPman
Legendary
Offline
Activity: 1120
Merit: 1069
|
|
June 02, 2012, 05:01:45 AM |
|
Мне нравится подход к обеспечению безопасности.... железная плата для отката состояния дисков это круто (хотя почти любая виртуалка + снапшоты бесплатнее)... Для Opera подобный шаг, мягко говоря, не серьезен, хотя кто знает какие шаги они не предприняли для обеспечения безопасности... ведь они действительно https через себя гонят после расшифровки (а уж обычный трафик и подавно). При таком объеме пользователей можно нереальную базу собрать.
|
|
|
|
electronus (OP)
|
|
June 02, 2012, 08:36:04 AM |
|
avralДа, неудачно выбрали время. на день раньше и была бы рыбешка покрупнее но важен сам факт. rPmanОсновная причина не в пользу виртуалки - софт определенный, который детектит запущенность в виртуалке, с последующим отказом работать . побочная причина - сетевой трафик виртуалки проходит через хостовую машину, а я своими ручками расковыривал пару зловредов, которые снифали трафик за сим и выделена отдельная машина для операций У оперы около сотни шлюзов в нет в западной европе. Коррупция может быть на одном из них. Заодно проверим время реакции на клейм со стороны МтГокс
|
|
|
|
AV
|
|
June 02, 2012, 01:59:25 PM |
|
Примечательно, что вор не стал поджидать появления в аккаунте более крупной суммы...
|
|
|
|
electronus (OP)
|
|
June 02, 2012, 06:23:07 PM |
|
Заодно проверим время реакции на клейм со стороны МтГокс
Сутки, по жалобе - тишина...
|
|
|
|
anatolikostis
Legendary
Offline
Activity: 2026
Merit: 1005
|
|
June 05, 2012, 12:00:30 AM |
|
Заодно проверим время реакции на клейм со стороны МтГокс
Сутки, по жалобе - тишина... да ничего и не будет - когда в июне прошлого года сначала в реалтайме слямзили пасс и увели больше десятка монет, потом слямзили базу и выложили в нете обращенные хеши (якобы крепко посоленные), первое время все отрицали...а потом "простили" и "признались", придумали легенду с каким-то лево забытым админским паролем. мне просто показали, куда ушли монеты и уверили, что если к ним вернутся, то заблочат...вернутся ли?
|
|
|
|
andervol
Sr. Member
Offline
Activity: 414
Merit: 250
BFL asiс-лохотрон(личное мнение)
|
|
June 05, 2012, 12:35:59 AM |
|
Чёт не пойму, а как злодеи с прокси https шифрование обошли? Может у мтгокса на странице левый элемент присутствовал?
|
Smile, be happy!
|
|
|
electronus (OP)
|
|
June 05, 2012, 08:21:49 AM |
|
Собственно чуда не и случилось, как и предсказывал anatolikostis Мне предложили вызвать милицию для инспектирования моего компьютера Hello,
We are sorry for your loss. Unfortunately, we can not refund any amount of the stolen funds. While this is extremely disappointing news, it is unavoidable. Issuing a direct refund is not possible as there is no way of proving that your account was in fact compromised, or that it was the Mt.Gox database leak that caused this to happen. As a business if Mt.Gox were to offer you a cash or bitcoin refund in compensation of this extremely unfortunate event, there would be a large increase in the number of hacking attempts to capitalize upon the possibility of financial reward.
As a further remedy, we would like to suggest that you file a police report for the stolen goods. It is preferable for the police to inspect your computer, but not necessary. Once this investigation has occurred and a copy of the police report issued, please send a copy of it along with a notarized copy of your passport or Government issued photo ID to Mt.Gox.
Please let us know how you wish to proceed, and again we apologize for the frustration and inconvenience caused.
Thanks,
MtGox.com Team
andervolЕсли есть свой сертификат, а у Оперы он наверняка есть, то им и подписывают содержимое на пути от "прокси" оперы до самого браузера. На самом "прокси" оперы трафик открыт, а далее, от "прокси" Оперы до сайта - по обычной схеме...
|
|
|
|
andervol
Sr. Member
Offline
Activity: 414
Merit: 250
BFL asiс-лохотрон(личное мнение)
|
|
June 05, 2012, 09:55:20 PM |
|
Не, я конечно не дока, но разве https протокол не идет от отправителя к получателю зашифрованным? И как прокси в этом случае в зашифрованный протокол вклинится? Или турбо, это аналог оперы мини? Тогда понимаю о чем вы говорите. Но в таком случае, если трафик прерывает шифрование на их прокси, браузер должен был отображать что https подписано левым злодейским сертификатом(получается нужно было просто обратить внимание на это?)? Часто пользуюсь оперой мини для финансовых операций, пока без приключений. На фоне этой инфы уже стремно.
|
Smile, be happy!
|
|
|
naima53
|
|
June 06, 2012, 04:50:11 PM |
|
Не, я конечно не дока, но разве https протокол не идет от отправителя к получателю зашифрованным? И как прокси в этом случае в зашифрованный протокол вклинится? Или турбо, это аналог оперы мини? Тогда понимаю о чем вы говорите. Но в таком случае, если трафик прерывает шифрование на их прокси, браузер должен был отображать что https подписано левым злодейским сертификатом(получается нужно было просто обратить внимание на это?)? Часто пользуюсь оперой мини для финансовых операций, пока без приключений. На фоне этой инфы уже стремно.
Та же хрень.. С наладонника на Гокс и (в прошлом уже) Биткоиникой рулю, Опера Мини, ни че не крали, (а оочень хорошо могли обвалить ) Да, спасибо! Пароли сменил, завтра че нить куплю типа микро-нетбука (что посоветуете?)
|
Donate me) 16f6iWHHkVEnDReeBQPT9GwCNwUfPTXrp2
|
|
|
electronus (OP)
|
|
June 06, 2012, 04:56:23 PM |
|
naima53 сходи на 2ip.ru У меня выдает: Ваш IP адрес: 80.239.242.191 Имя вашего компьютера: v11-16.opera-mini.net Операционная система: Microsoft Windows XP Ваш браузер: Opera 11.64 Откуда вы: Poland Ваш провайдер: Режим Turbo-Opera Прокси: Используется Ваш IP адрес за прокси-сервером: ххх.хх.хх.ххх Если у тебя аналогичное, а не украинский адрес - то как говорится, ждите в гости Как попадешь на один из коррумпированых узлов - будет весело
|
|
|
|
naima53
|
|
June 06, 2012, 05:09:58 PM Last edit: June 28, 2013, 02:04:47 PM by naima53 |
|
Блииин, срочно меняю пароли
|
Donate me) 16f6iWHHkVEnDReeBQPT9GwCNwUfPTXrp2
|
|
|
electronus (OP)
|
|
June 06, 2012, 05:44:08 PM |
|
naima53Ну чаще всего Польша, но попадись на мой "счастливый" шлюз и...
|
|
|
|
LZ
Legendary
Offline
Activity: 1722
Merit: 1072
P2P Cryptocurrency
|
|
June 06, 2012, 10:38:24 PM |
|
Пароли сменил, завтра че нить куплю типа микро-нетбука (что посоветуете?) Разве мелкие экраны удобны? Лучше уж тогда Tab/Pad какой-нибудь взять. Если все же ноут, можно поискать рубля за четыре Toshiba AC100, прошить Android 4.0 или Ubuntu. Друг такой ноут как-то брал, очень легкий и тонкий.
|
My OpenPGP fingerprint: 5099EB8C0F2E68C63B4ECBB9A9D0993E04143362
|
|
|
ShadowAlexey
Donator
Legendary
Offline
Activity: 968
Merit: 1002
|
|
June 07, 2012, 02:23:43 PM |
|
Пароли сменил, завтра че нить куплю типа микро-нетбука (что посоветуете?) Разве мелкие экраны удобны? Лучше уж тогда Tab/Pad какой-нибудь взять. Если все же ноут, можно поискать рубля за четыре Toshiba AC100, прошить Android 4.0 или Ubuntu. Друг такой ноут как-то брал, очень легкий и тонкий. Сам юзаю EEE900 с OpenSUSE Raid 1(внутренний ssd и sd) + шифрование разделов. Очень удобно,экрана хватает для клиента и браузера,а больше и не надо
|
|
|
|
Pegasys
Member
Offline
Activity: 83
Merit: 10
|
|
August 04, 2012, 10:20:58 PM |
|
кто нибуть обращался в саппорт оперы с этой проблемой? если да, то какой ответ они прислали? Щас зашёл на 2ип и баг в опере досихпор присутствует! я и сам бы написал, но не силён в иностранных языках
|
|
|
|
AV
|
|
August 22, 2012, 05:56:57 PM |
|
Пиши по русски. Пусть учат.
|
|
|
|
Yurock
|
|
August 27, 2012, 11:54:03 AM |
|
Если есть свой сертификат, а у Оперы он наверняка есть, то им и подписывают содержимое на пути от "прокси" оперы до самого браузера. На самом "прокси" оперы трафик открыт, а далее, от "прокси" Оперы до сайта - по обычной схеме... При работе по HTTPS, клиент посылает прокси-серверу команды на соединение с конечными серверами. После установления TCP-соединения, устанавливается TLS-соединение между клиентом и конечным сервером. Протокол TLS защищает информацию от раскрытия и изменения на всём пути между клиентом и "конечным сервером". При этом прокси-сервер "видит": - адрес клиента,
- адрес сервера,
- "рукопожатие" по TLS,
- зашифрованные данные.
Браузер должен проверять соответствие сертификата сервера URL-у. Например: Адрес: https:// mtgox.com/login Субьект: CN = mtgox.com, OU = Terms of use at www.verisign.com/rpa (c)05, O = K.K. Tibanne, L = Suginami, ST = Tokyo, C = JP Если CN не соответствует домену, то браузер должен уведомить пользователя об опасности. Сертификат сервера должен быть подписан доверенным центром сертификации. Центры сертификации должны проверять владельцев сайтов. Браузер не должен считать "левые" центры сертификации доверенными. Таким образом, прокси-сервер не сможет подсунуть свой сертификат вместо сертификата Mt.Gox. Вся эта схема требует от браузера чёткого выполнения своих функций. Уверен ли ты что твой браузер выполняет их должным образом? Если нет – отправь его в топку. Далее, то, что происходит с информацией после расшифровки на mtgox.com, зависит от оператора биржи и, возможно, некоторых его партнёров, у которых тоже случаются фэйлы. Установлена система с лиц. диска Некоторые системы не внушают доверия, независимо от того, с какого диска они установлены.стоит китайская плата, которая при каждом включении откатывает машину в исходное состояние А заплатки ставишь регулярно?
|
|
|
|
|
|