Na splet pricurljale podrobnosti januarskega vdora v Bitstamp

Napaka na njihovi strani je bila res mogoce malo prevec amaterska, a so odreagirali tako kot je treba. Vsaj niso assholes about it. Vprasajte se kaj bi nardila povprecna banka pri taki zadeve.

Na koncu dneva se imamo vsi nakaj za nauciti. Otroci, hranite gesla na varnem in za dostop do produkcijskih streznikov, ki so mission critical uporabljajte vec razlicnih nacinov avtentikacije. :)

matijadmin je 3. jul 2015 ob 11:31 izjavil:

A imaš kristalno kroglo? Kako pa veš, da so jim 'heknili'? IMO je več možnosti, da je kdo poslal na napačen naslov, malomarno delil z nekom ali izgubil USB ključek.

A ni bil ves point tega poročila da "je treba bit enmal bl pazljiv"?
Kako not paše pošiljanje kritičnega poročila s podatkom da bodo lih zdej dobil ves dnar nazaj (in clo kako) "na napačen naslov", pa amaterizem kot je "izgubljen usb ključek" al pa clo "malomarno delil z nekom"?
Ker, kako si lahko prepričan da ne bodo potem enkrat "malomarno delil z nekom" tvojega dnarja?
Aja, saj res...

PaX_MaN je 3. jul 2015 ob 12:59 izjavil:

matijadmin je 3. jul 2015 ob 11:31 izjavil:

A imaš kristalno kroglo? Kako pa veš, da so jim 'heknili'? IMO je več možnosti, da je kdo poslal na napačen naslov, malomarno delil z nekom ali izgubil USB ključek.

A ni bil ves point tega poročila da "je treba bit enmal bl pazljiv"?
Kako not paše pošiljanje kritičnega poročila s podatkom da bodo lih zdej dobil ves dnar nazaj (in clo kako) "na napačen naslov", pa amaterizem kot je "izgubljen usb ključek" al pa clo "malomarno delil z nekom"?
Ker, kako si lahko prepričan da ne bodo potem enkrat "malomarno delil z nekom" tvojega dnarja?
Aja, saj res...

Ne vidim neposredne povezave med hekanjem in (ne)previdnostjo. Neprevidni pa so že bili.

PaX_MaN je 3. jul 2015 ob 13:11 izjavil:

matijadmin je 3. jul 2015 ob 13:06 izjavil:

Ne vidim neposredne povezave med hekanjem in (ne)previdnostjo. Neprevidni pa so že bili.

Neprevidnost (k gre v bistvu za banko/hranilnico/finančno institucijo) je hujša od heka.

Zapisal si heknili, kaj si imel v mislih, ne vem - nimam krogle.

To je čisto filozofiranje in nabijanje v prazno, ker ne poznamo dovolj okoliščin. Lahko, da poročilo ni več zaupne narave in so ga sami objavili. Ne vemo. Po drugi strani pa je (ne)previdnost tudi precej raznolika in večplastna v življenju. Eden, ki često obtolče svoje vozilo, ne nujno tudi lula po pokrovu od deske.

matijadmin je 3. jul 2015 ob 13:14 izjavil:

Lahko, da poročilo ni več zaupne narave in so ga sami objavili. Ne vemo.

Ja, ker ne piše na čisto vsaki strani:

CONFIDENTIAL
Not to be distributed without express
written permission of Bitstamp Ltd.

Pa težko je pogledati na bitstamp.com če tam ponujajo za javnost.

johnnyyy je 3. jul 2015 ob 08:24 izjavil:

Pa kdo od vas uporablja različne računalnike za različne naloge?

Mi ne. Če pa bi bil milijonar in tvegal izgubo svojih (in tujih) milijonov, pa bi. Oziroma bi vprašal strokovnjaka, kako je bolj prav. Najboljšega strokovnjaka money can buy.

matijadmin je 3. jul 2015 ob 11:31 izjavil:

PaX_MaN je 3. jul 2015 ob 11:15 izjavil:

blackbfm je 2. jul 2015 ob 15:21 izjavil:

kok ste vsi pametni kaj pa kako.. a pomoje nihče tu ne bi znal stvari sanirat tako kot so oni

A tko da so jim heknil še report o heku?

A imaš kristalno kroglo? Kako pa veš, da so jim 'heknili'? IMO je več možnosti, da je kdo poslal na napačen naslov, malomarno delil z nekom ali izgubil USB ključek.

Če po "sanaciji" pošiljajo zaupne stvari na napačne naslove, malomarno ali celo zgubljajo ključke, potem očitno niso "znal stvari sanirat" (kar se varnosti tiče).

Menda že poteka policijska preiskava zaradi odtujitve Bitstampovega zaupnega dokumenta. Menda iščejo tudi tim. razpečevalce teh dokumentov.

A ni dost da spremenis kaksen bit in izracunas hash?

Če bi zadeva bila javna, bi to objavili na uradni strani od Bitstampa.

Glede na ta kako je poudarjeno že v uvodu, kako je pomembno NE izučiti DRUGE zlikovce, kako Bitstamp varije svoje informacije in sredstva, in da zato ne sme noben del tega poročila priti v javnost brez izrecnega dovoljenja (reference so na njihovo ahiitekturo in topologijo, kar bi nedvomno pomagalo drugim potencialnim nepridipravom). Dvomim.

Da je multisig naslov, se vidi že iz samih naslovov, ki se namesto z 1 začnejo s 3. Niti se ne trkajo po prsih, samo povedali so, kako so ukrepali.

Ne. "Nedvomna pomoč" je statistično zanemarljiva. Pač.

erunno je 3. jul 2015 ob 22:38 izjavil:

Če bi zadeva bila javna, bi to objavili na uradni strani od Bitstampa.

Glede na ta kako je poudarjeno že v uvodu, kako je pomembno NE izučiti DRUGE zlikovce, kako Bitstamp varije svoje informacije in sredstva, in da zato ne sme noben del tega poročila priti v javnost brez izrecnega dovoljenja (reference so na njihovo ahiitekturo in topologijo, kar bi nedvomno pomagalo drugim potencialnim nepridipravom). Dvomim.

To je najverjetneje res.

A samo zato, ker se znajde v javnosti dokument z oznako, da je zaupne narave, še ne pomeni, da je tako. Kaj določa njegovo zaupnost, sem že pojasnil (interni akt). Zgolj hipotetično sem to pojasnil, ker je hipotetično tudi to, da jim je bil odtujen, saj tega z gotovostjo ne vemo (čeprav se je en srborit uporabnik oglašal z žaljenjem, pri čemer je to trdil).

noraguta je 4. jul 2015 ob 07:10 izjavil:

matijadmin je 3. jul 2015 ob 10:39 izjavil:

To z eksplicitno prepovedjo nepodpisanih kod ni čisto res, pa tudi, če bi bilo, ni zagotovilo za varnost. Zlikovci prav tako podpisujejo.

Glede AV/filetype filtrov na poštnem strežniku pa je tako ...

Kodo, da je AV ne zazna, se hitro predrugači (obfuskira). Tu je šlo za sofisticiran in ozkociljni napad, kar pomeni, da to sploh ni bilo pod vprašajem. Sploh pa, ta koda, ki 'nekaj' sname s spleta, še ni nujno virus in, če bi jo protivirusniki kar tako blokirali, bi bila štala. Prav tako se težko 'blokira na AV' ranljivost nekega programa. En cilj, sto poti (kod). Pravzaprav je bil še en korak vmes, pobral aje batch, ki je zagnal PowerShell in od tam pobral zlonamerno kodo ... Skratka na vse okoliščine, je zelo, zelo malo verjetno, da bi to kateri koli AV zaznal.

Blokirati RTF, DOC je neživljenjsko. Morda je smiselno za neka kritična okolja in oni bodo o tem morali razmisliti, a v večini organizacij je to prej nesmisel kot pa smisel. Govorim iz izkušenj in potreb organizacij.

Ok nepoznavanje certificiranih in podpisanih zadev je evidentno. Če takile administrirate je uspešnost napada le vprašanje časa.
za office
https://support.microsoft.com/en-us/kb/...

Za poweshell

http://www.hanselman.com/blog/SigningPo...

Če pa vsem zaupamo ja potem pa ni kaj govort.

Celo iz mojega gugalnika lako povem kaj se je zgodilo. Mašina je bila skunfigurirana kot development postaja ne pa kot produkcijska. To pa je problem. Sploh, če nekdo opravlja gotovinsko poslovanje.

To je seveda zelo koristno in drži, da bi ta napad najverjetneje preprečilo. Ljudje od foha si res velikokrat mislijo, da vse znajo in zmorejo, pa so zgolj bose kobile. Toda, to ni dovolj, zelo sofisticirani in predvsem motivirani napadalci se dokopljejo do še veljavnih certifikatov. So pa ti največkrat motivirani, da bi kaj izvedeli in ne odtujili.