» »

Na splet pricurljale podrobnosti januarskega vdora v Bitstamp

1
2
»

BigWhale ::

Napaka na njihovi strani je bila res mogoce malo prevec amaterska, a so odreagirali tako kot je treba. Vsaj niso assholes about it. Vprasajte se kaj bi nardila povprecna banka pri taki zadeve.

Na koncu dneva se imamo vsi nakaj za nauciti. Otroci, hranite gesla na varnem in za dostop do produkcijskih streznikov, ki so mission critical uporabljajte vec razlicnih nacinov avtentikacije. :)

matijadmin ::

BigWhale je izjavil:

Napaka na njihovi strani je bila res mogoce malo prevec amaterska, a so odreagirali tako kot je treba. Vsaj niso assholes about it. Vprasajte se kaj bi nardila povprecna banka pri taki zadeve.

Na koncu dneva se imamo vsi nakaj za nauciti. Otroci, hranite gesla na varnem in za dostop do produkcijskih streznikov, ki so mission critical uporabljajte vec razlicnih nacinov avtentikacije. :)


Povprečna banka (NLB) se je v Republiki Sloveniji (pomota, Banani) pustila tožiti. In potegnila ta kratko.

Velik plus je, da so samoiniciativno povrnili nastalo škodo uporabnikom trgovalnih računov, jasno - obveščali o pripetljaju in sanaciji ter se zadeve lotili tako temeljito (na kar kaže to poročilo).
Vrnite nam techno!

PaX_MaN ::

matijadmin je izjavil:

A imaš kristalno kroglo? Kako pa veš, da so jim 'heknili'? IMO je več možnosti, da je kdo poslal na napačen naslov, malomarno delil z nekom ali izgubil USB ključek.

A ni bil ves point tega poročila da "je treba bit enmal bl pazljiv"?
Kako not paše pošiljanje kritičnega poročila s podatkom da bodo lih zdej dobil ves dnar nazaj (in clo kako) "na napačen naslov", pa amaterizem kot je "izgubljen usb ključek" al pa clo "malomarno delil z nekom"?
Ker, kako si lahko prepričan da ne bodo potem enkrat "malomarno delil z nekom" tvojega dnarja?
Aja, saj res...

Bellzmet ::

Se pravi so preko Skype fasali okužen dokument. Bi Gmail tak dokument prepoznal kot virus?

matijadmin ::

PaX_MaN je izjavil:

matijadmin je izjavil:

A imaš kristalno kroglo? Kako pa veš, da so jim 'heknili'? IMO je več možnosti, da je kdo poslal na napačen naslov, malomarno delil z nekom ali izgubil USB ključek.

A ni bil ves point tega poročila da "je treba bit enmal bl pazljiv"?
Kako not paše pošiljanje kritičnega poročila s podatkom da bodo lih zdej dobil ves dnar nazaj (in clo kako) "na napačen naslov", pa amaterizem kot je "izgubljen usb ključek" al pa clo "malomarno delil z nekom"?
Ker, kako si lahko prepričan da ne bodo potem enkrat "malomarno delil z nekom" tvojega dnarja?
Aja, saj res...


Ne vidim neposredne povezave med hekanjem in (ne)previdnostjo. Neprevidni pa so že bili.
Vrnite nam techno!

PaX_MaN ::

matijadmin je izjavil:

Ne vidim neposredne povezave med hekanjem in (ne)previdnostjo. Neprevidni pa so že bili.

Neprevidnost (k gre v bistvu za banko/hranilnico/finančno institucijo) je hujša od heka.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

matijadmin ::

PaX_MaN je izjavil:

matijadmin je izjavil:

Ne vidim neposredne povezave med hekanjem in (ne)previdnostjo. Neprevidni pa so že bili.

Neprevidnost (k gre v bistvu za banko/hranilnico/finančno institucijo) je hujša od heka.


Zapisal si heknili, kaj si imel v mislih, ne vem - nimam krogle.

To je čisto filozofiranje in nabijanje v prazno, ker ne poznamo dovolj okoliščin. Lahko, da poročilo ni več zaupne narave in so ga sami objavili. Ne vemo. Po drugi strani pa je (ne)previdnost tudi precej raznolika in večplastna v življenju. Eden, ki često obtolče svoje vozilo, ne nujno tudi lula po pokrovu od deske.
Vrnite nam techno!

konspirator ::

MrStein ::

matijadmin je izjavil:


Lahko, da poročilo ni več zaupne narave in so ga sami objavili. Ne vemo.

Ja, ker ne piše na čisto vsaki strani:

CONFIDENTIAL
Not to be distributed without express
written permission of Bitstamp Ltd.

Pa težko je pogledati na bitstamp.com če tam ponujajo za javnost.

johnnyyy je izjavil:

Pa kdo od vas uporablja različne računalnike za različne naloge?

Mi ne. Če pa bi bil milijonar in tvegal izgubo svojih (in tujih) milijonov, pa bi. Oziroma bi vprašal strokovnjaka, kako je bolj prav. Najboljšega strokovnjaka money can buy.

matijadmin je izjavil:

PaX_MaN je izjavil:

blackbfm je izjavil:

kok ste vsi pametni kaj pa kako.. a pomoje nihče tu ne bi znal stvari sanirat tako kot so oni

A tko da so jim heknil še report o heku?


A imaš kristalno kroglo? Kako pa veš, da so jim 'heknili'? IMO je več možnosti, da je kdo poslal na napačen naslov, malomarno delil z nekom ali izgubil USB ključek.

Če po "sanaciji" pošiljajo zaupne stvari na napačne naslove, malomarno ali celo zgubljajo ključke, potem očitno niso "znal stvari sanirat" (kar se varnosti tiče).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

matijadmin ::

Kaj piše v poročilu, je vseeno. Običajno se to v podjetjh določa z internimi akti. Če so tajnost odpravili, oz . to ni več poslovna skrivnost, je na o lahko tudi pač različica, kjer ostala oznaka. Sej ne pravim, da je tako. Bi pa bilo to možno.

Ta uporabnim, ki spama in blati je najverjetneje kakobrekla, ljubosumni trgovalec sumljivega slovesa.
Vrnite nam techno!

Matthai ::

Menda že poteka policijska preiskava zaradi odtujitve Bitstampovega zaupnega dokumenta. Menda iščejo tudi tim. razpečevalce teh dokumentov.
All those moments will be lost in time, like tears in rain...
Time to die.

pegasus ::

A imajo unique watermarke na pdfjih? ;)

antonija ::

A ni dost da spremenis kaksen bit in izracunas hash?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Matthai ::

V takih primerih poiščeš tistega, ki je zadevo objavil na spletu.

Ali o njej prvi poročal po forumih.
All those moments will be lost in time, like tears in rain...
Time to die.

erunno ::

Če bi zadeva bila javna, bi to objavili na uradni strani od Bitstampa.

Glede na ta kako je poudarjeno že v uvodu, kako je pomembno NE izučiti DRUGE zlikovce, kako Bitstamp varije svoje informacije in sredstva, in da zato ne sme noben del tega poročila priti v javnost brez izrecnega dovoljenja (reference so na njihovo ahiitekturo in topologijo, kar bi nedvomno pomagalo drugim potencialnim nepridipravom). Dvomim.

PaX_MaN ::

erunno je izjavil:

Glede na ta kako je poudarjeno že v uvodu, kako je pomembno NE izučiti DRUGE zlikovce, kako Bitstamp varije svoje informacije in sredstva, in da zato ne sme noben del tega poročila priti v javnost brez izrecnega dovoljenja (reference so na njihovo ahiitekturo in topologijo, kar bi nedvomno pomagalo drugim potencialnim nepridipravom). Dvomim.

To je prvič en tak security through obscurity (da so implementiral multisig se pa ponosno trkajo po prsih, čeprav so dal s tem tut kriminalcem vedet kakšen problem majo zdej za shekat), drugič pa da po štirih mesecih odkar majo ta poročil še niso javno objavili niti osnovnih podatkov kje/kaj so zajebal ne vzbuja kaj preveč zaupanja.

hamez66 ::

Da je multisig naslov, se vidi že iz samih naslovov, ki se namesto z 1 začnejo s 3. Niti se ne trkajo po prsih, samo povedali so, kako so ukrepali.

PaX_MaN ::

Pač, razkrito je javnosti, "kar [...] nedvomno pomaga[..] drugim potencialnim nepridipravom".

hamez66 ::

Ne. "Nedvomna pomoč" je statistično zanemarljiva. Pač.

noraguta ::

matijadmin je izjavil:

To z eksplicitno prepovedjo nepodpisanih kod ni čisto res, pa tudi, če bi bilo, ni zagotovilo za varnost. Zlikovci prav tako podpisujejo.

Glede AV/filetype filtrov na poštnem strežniku pa je tako ...

Kodo, da je AV ne zazna, se hitro predrugači (obfuskira). Tu je šlo za sofisticiran in ozkociljni napad, kar pomeni, da to sploh ni bilo pod vprašajem. Sploh pa, ta koda, ki 'nekaj' sname s spleta, še ni nujno virus in, če bi jo protivirusniki kar tako blokirali, bi bila štala. Prav tako se težko 'blokira na AV' ranljivost nekega programa. En cilj, sto poti (kod). Pravzaprav je bil še en korak vmes, pobral aje batch, ki je zagnal PowerShell in od tam pobral zlonamerno kodo ... Skratka na vse okoliščine, je zelo, zelo malo verjetno, da bi to kateri koli AV zaznal.

Blokirati RTF, DOC je neživljenjsko. Morda je smiselno za neka kritična okolja in oni bodo o tem morali razmisliti, a v večini organizacij je to prej nesmisel kot pa smisel. Govorim iz izkušenj in potreb organizacij.

Ok nepoznavanje certificiranih in podpisanih zadev je evidentno. Če takile administrirate je uspešnost napada le vprašanje časa.
za office
https://support.microsoft.com/en-us/kb/...

Za poweshell

http://www.hanselman.com/blog/SigningPo...

Če pa vsem zaupamo ja potem pa ni kaj govort.

Celo iz mojega gugalnika lako povem kaj se je zgodilo. Mašina je bila skunfigurirana kot development postaja ne pa kot produkcijska. To pa je problem. Sploh, če nekdo opravlja gotovinsko poslovanje.
Pust' ot pobyedy k pobyedye vyedyot!

matijadmin ::

erunno je izjavil:

Če bi zadeva bila javna, bi to objavili na uradni strani od Bitstampa.

Glede na ta kako je poudarjeno že v uvodu, kako je pomembno NE izučiti DRUGE zlikovce, kako Bitstamp varije svoje informacije in sredstva, in da zato ne sme noben del tega poročila priti v javnost brez izrecnega dovoljenja (reference so na njihovo ahiitekturo in topologijo, kar bi nedvomno pomagalo drugim potencialnim nepridipravom). Dvomim.


To je najverjetneje res.

A samo zato, ker se znajde v javnosti dokument z oznako, da je zaupne narave, še ne pomeni, da je tako. Kaj določa njegovo zaupnost, sem že pojasnil (interni akt). Zgolj hipotetično sem to pojasnil, ker je hipotetično tudi to, da jim je bil odtujen, saj tega z gotovostjo ne vemo (čeprav se je en srborit uporabnik oglašal z žaljenjem, pri čemer je to trdil).
Vrnite nam techno!

matijadmin ::

PaX_MaN je izjavil:

erunno je izjavil:

Glede na ta kako je poudarjeno že v uvodu, kako je pomembno NE izučiti DRUGE zlikovce, kako Bitstamp varije svoje informacije in sredstva, in da zato ne sme noben del tega poročila priti v javnost brez izrecnega dovoljenja (reference so na njihovo ahiitekturo in topologijo, kar bi nedvomno pomagalo drugim potencialnim nepridipravom). Dvomim.

To je prvič en tak security through obscurity (da so implementiral multisig se pa ponosno trkajo po prsih, čeprav so dal s tem tut kriminalcem vedet kakšen problem majo zdej za shekat), drugič pa da po štirih mesecih odkar majo ta poročil še niso javno objavili niti osnovnih podatkov kje/kaj so zajebal ne vzbuja kaj preveč zaupanja.


Niso vsi argumenti na njihovi strani, sta pa vsaj dva: to je, da so samoiniciativno pokrili izgubo zaradi kraje (NLB je recimo ni, čeprav je bil nekoliko drugačen primer) in so zadeve vsaj raziskali (ne glede na krivdo in potrebo javnosti po firbčenju, interno dobro vedo, kaj je šlo narobe in, kdo je bil najšibkejši člen). Zlasti prvo dejstvo je močan argument, zakaj zaupati. So pa tudi signali v tem poročilu, ki so njim v škodo (si jih že sam navedel).
Vrnite nam techno!

matijadmin ::

noraguta je izjavil:

matijadmin je izjavil:

To z eksplicitno prepovedjo nepodpisanih kod ni čisto res, pa tudi, če bi bilo, ni zagotovilo za varnost. Zlikovci prav tako podpisujejo.

Glede AV/filetype filtrov na poštnem strežniku pa je tako ...

Kodo, da je AV ne zazna, se hitro predrugači (obfuskira). Tu je šlo za sofisticiran in ozkociljni napad, kar pomeni, da to sploh ni bilo pod vprašajem. Sploh pa, ta koda, ki 'nekaj' sname s spleta, še ni nujno virus in, če bi jo protivirusniki kar tako blokirali, bi bila štala. Prav tako se težko 'blokira na AV' ranljivost nekega programa. En cilj, sto poti (kod). Pravzaprav je bil še en korak vmes, pobral aje batch, ki je zagnal PowerShell in od tam pobral zlonamerno kodo ... Skratka na vse okoliščine, je zelo, zelo malo verjetno, da bi to kateri koli AV zaznal.

Blokirati RTF, DOC je neživljenjsko. Morda je smiselno za neka kritična okolja in oni bodo o tem morali razmisliti, a v večini organizacij je to prej nesmisel kot pa smisel. Govorim iz izkušenj in potreb organizacij.

Ok nepoznavanje certificiranih in podpisanih zadev je evidentno. Če takile administrirate je uspešnost napada le vprašanje časa.
za office
https://support.microsoft.com/en-us/kb/...

Za poweshell

http://www.hanselman.com/blog/SigningPo...

Če pa vsem zaupamo ja potem pa ni kaj govort.

Celo iz mojega gugalnika lako povem kaj se je zgodilo. Mašina je bila skunfigurirana kot development postaja ne pa kot produkcijska. To pa je problem. Sploh, če nekdo opravlja gotovinsko poslovanje.


To je seveda zelo koristno in drži, da bi ta napad najverjetneje preprečilo. Ljudje od foha si res velikokrat mislijo, da vse znajo in zmorejo, pa so zgolj bose kobile. Toda, to ni dovolj, zelo sofisticirani in predvsem motivirani napadalci se dokopljejo do še veljavnih certifikatov. So pa ti največkrat motivirani, da bi kaj izvedeli in ne odtujili.
Vrnite nam techno!

matijadmin ::

5 min. (legitimnega) brskanja po spletu razkrije, da so zaposleni (CTO npr.) s ThinkPadov po napadu presedlali na MacBooke. Strah pred Okni in pisci zlonamerne kode zanje? Pretirano.
Vrnite nam techno!
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Bitstamp zaradi suma vdora zaustavil trgovanje (strani: 1 2 3 )

Oddelek: Novice / Kriptovalute
10034397 (25728) hamez66
»

Bitcoin - Bitstamp - osnovna vprašanja (strani: 1 2 )

Oddelek: Loža
5119992 (17003) mat xxl
»

Borze ponovno omogočile izplačila bitcoinov, implozija na Mt.Goxu

Oddelek: Novice / Kriptovalute
227786 (4682) Loocas
»

Bitcoin znova na zgodovinskem vrhu (strani: 1 2 3 421 22 23 24 )

Oddelek: Novice / Kriptovalute
1187110926 (63914) technolog

Več podobnih tem