» »

Uradna stran monera delila viruse, ki so kradli kriptovalute

Uradna stran monera delila viruse, ki so kradli kriptovalute

Slo-Tech - Neznani napadalci so vdrli v uradno spletno stran za kriptovaluo monero, a tega niso izkoristili za izmaličenje ali onesposobitev spletne strani. Namesto tega so zgolj zamenjali prevedeno programsko kodo (binaries) na spletni strani z okuženo verzijo, ki je vsebovala zlonamerno kodo, ki je kradla kriptovalute. Vdor so odkrili uporabniki, ki so opazili, da se na strani zapisane zgoščene vrednosti datotek ne ujemajo z dejanskimi. Po preiskavi je tudi ekipa Monera potrdila, da so bili tarče vdora. Okužene programske datoteke so bile na strani v ponedeljek med 15.30 in 17.30 po slovenskem času.

Ni še znano, kako so napadalci pridobili dostop do spletne strani getmonero.com. Prav tako ni jasno, koliko ljudi je zaradi namestitve virusa tudi izgubilo kaj kriptovalut. Na redditu najdemo različne zgodbe, med njimi tudi uporabnika, ki je domnevno izgubil 7000 dolarjev. V program so namreč napadalci vgradili funkcijo, ki je prebrala in na nadzorne strežnike poslala seme za tvorbo digitalne denarnice (wallet seed), kar je napadalcem omogočilo krajo sredstev iz dotične denarnice. Drugih dodatkov okuženi program ni imel.

V Moneru zato vsem uporabnikom svetujejo, da preverijo zgoščeno vrednost programov. Kdor je v dilemi, pa lahko s spletne strani prenese novo verzijo, ki je očiščena.

96 komentarjev

«
1
2

Evolve ::

amaterji

Nikonja ::

hmmm oni ne vedo kako..... bullshit na kvadrat... itak da so vedli ker so to sami naredili...

Bwaze6 ::

Okužene programske datoteke so bile na strani v ponedeljek med 15.30 in 17.30 po slovenskem času.


Zgleda da precej dlje:

Article updated on November 19, 03:00pm ET, with new statement from Monero team, widening the site compromise window from 35 minutes to 14 hours.

M.B. ::

Torej uspeli so zamenjat binaries, ne pa zgoščenih vrednosti. Al so pozabli na to?
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

Bwaze6 ::

Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?

Facebook dev ::

M.B. je izjavil:

Torej uspeli so zamenjat binaries, ne pa zgoščenih vrednosti. Al so pozabli na to?


Tudi če bi jih zamenjali, bi jih odkrili, ker je možno dobiti monero denarnico na več straneh. In potem se hash ne bi ujemal z nobeno izmed drugih strani.
Zdaj je pa vprašanje kaj se ti zdi da se bo zgodilo hitreje, da bo nekdo potegnil dol verzijo in videl, da se hash ne ujema, ali pa da ti spremeniš hash tudi na strani in nekdo ugotovi, da hashi niso več taki kot so bili.

poweroff ::

Bwaze6 je izjavil:

Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?

Vsak normalen uporabnik. Temu so namreč zgoščene vrednosti namenjene.

Je pa res, da je večina uporabnikov butljev...
sudo poweroff

jype ::

Bwaze6 je izjavil:

Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?
That's me!

Aja, ne, jaz sem hujši, ker ne preverjam zgoščenih vrednosti, temveč kar kriptografske podpise, res je pa, da ne nameščam odjemalcev za kar vsak shitcoin tam zunaj.

Zgodovina sprememb…

  • spremenilo: jype ()

kow ::

Bwaze6 je izjavil:

Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?


Vsak, ki ni idiot, ko namesca denarnico. Seveda je odvisno tudi od tega koliko denarja imas v denarnici. Popolnoma enako je z fizicno.
Ce imam v njej 20e, jo bom pustil na mizi in sel na WC. Ce imam notri jurja, pac ne.

Zgodovina sprememb…

  • spremenil: kow ()

MrStein ::

poweroff je izjavil:

Bwaze6 je izjavil:

Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?

Vsak normalen uporabnik. Temu so namreč zgoščene vrednosti namenjene.

Je pa res, da je večina uporabnikov butljev...

Ne, večina je normalnih. To pomeni ta beseda.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

Bwaze6 je izjavil:

Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?

A vgrajen podpis binary ni imel?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

MrStein je izjavil:

Bwaze6 je izjavil:

Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?

A vgrajen podpis binary ni imel?

Kako si pa to predstavljaš?
sudo poweroff

MrStein ::

Tako kot to ima skoraj vsak binary zadnjih 10 let.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Kako si tehnično predstavljaš, da binary izračuna in preveri svoj hash, pri čemer moraš hash v binary zapisati na tak način, da bo končni hash točno enak tistemu, ki ga bo binary izračunal iz sebe?

Also - pri digitalnem podpisovanju softwera je vprašanje zate tole: kdo preverja digitalni podpis?
sudo poweroff

MrStein ::

poweroff je izjavil:


Also - pri digitalnem podpisovanju softwera je vprašanje zate tole: kdo preverja digitalni podpis?

Isti, ki preverja hash v onem scenariju?

(Windows sicer sam preveri in opozori uporabnika, na Linux ne more biti zelo drugače)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Ja. Ob namestitvi operacijski sistem preveri, ali je program, gonilnik,... podpisan s strani uradnega developerja, katerega podpis mora biti podpisan s strani operacijskega sistema ((Microsofta,...). To lepo deluje, ko v sistem nameščaš "uradne" aplikacije. Kaj pa 3rd party software?

Recimo za Linux ima VirtualBox navodila kako si namestiš GPG ključ razvijalcev in se potem to preveri. Ker VBox nima s strani Ubuntuja podpisanih ključev. Ampak kaj če nekdo naredi svoj ključ in ga s hackom objavi na VBox spletni strani?
sudo poweroff

MrStein ::

Sem preveril in monero zgleda sploh nima podpisa.

Zato pa sem vprašal.

TortoiseSVN (GPL) recimo ima.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

kow ::

In zakaj bi zaupali neki instituciji, ki je podpisala podpis developerja, ki je zbuildal TortoiseSVN?

poweroff ::

Vprašanje je KDO je podpisal in kakšen je mehanizem, da se preveri podpis.

Also, znani so primeri, ko je Microsoft podpisoval ključe nekih totalno levih developerjev. Podobno tudi v drugih taborih.
sudo poweroff

MrStein ::

Saj ni pomembno kdo je ključ podpisal, ampak kdo je podpisal program.

A če je Digicert podpisal ključ nekega Johna Johnson-a mu zato zaupaš? Ali raje, ker veš, da je John Johnson dejansko avtor softvera?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Ne štekaš, ampak nič novega.

Recimo da sem jaz firma MalwareWriters. Microsoft prepričam, da mi podpiše moj ključ. In potem jaz spišem pohekano kripto denarnico in jo seveda podpišem s svojim podpisom... ki je podpisan s strani Microsofta. In je zadeva legit. Ljudje rečejo: "Microsoft pravi, da je program OK".

Kako pa dokažeš Microsoftu kdo si?

Pri nas morda lahko s kakšnim izpiskom iz Poslovnega registra. Kaj pa nek afriški ali iranski developer?
sudo poweroff

PrihajaNodi ::

Aaaa zato tak dump Monerota.
#OstaniDoma
#StaiAcasa
#SpikajmoSEvsi

MrStein ::

Če bi monero fantje uporabljali podpis, bi lahko takoj videli, da je trojanec fejk. (razen, če bi jim tudi ključ pohekali, ampak dejansko niti hash na web strani niso, tako da bi v tem primeru imeli jasen znak, da je nekaj narobe).

poweroff je izjavil:

Ne štekaš, ampak nič novega.

Recimo da sem jaz firma MalwareWriters. Microsoft prepričam, da mi podpiše moj ključ.

Če kdo ne šteka, si to to. MS nič ne podpiše.
No ja, nič novega (če bi rad zvlekel debato na ta nivo).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

poweroff ::

Se spet smešimo?

Authenticode is a Microsoft code-signing technology that identifies the publisher of Authenticode-signed software. Authenticode also verifies that the software has not been tampered with since it was signed and published.

Authenticode uses cryptographic techniques to verify publisher identity and code integrity. It combines digital signatures with an infrastructure of trusted entities, including certificate authorities (CAs), to assure users that a driver originates from the stated publisher. Authenticode allows users to verify the identity of the software publisher by chaining the certificate in the digital signature up to a trusted root certificate.
sudo poweroff

MrStein ::

In? Kaj ti ni jasno?
Gre za zadevo, ki deluje že ohoho let.
Zdaj to veš tudi ti.
Zraven seveda obvezno žališ.
Nič novega
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

WhiteAngel ::

Bwaze6 je izjavil:

Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?


Jaz. Kako boš pa drugače preveril, ali je zdownloadana reč legit? sha256sum in akcija. Če je pa nameščen prek apt, ti pa že ta izračuna in preveri hash. To vse laufa že desetletja...

poweroff ::

MrStein je izjavil:

In? Kaj ti ni jasno?
Gre za zadevo, ki deluje že ohoho let.
Zdaj to veš tudi ti.
Zraven seveda obvezno žališ.
Nič novega


Ti si trdil da "MS nič ne podpiše".

Sem ti samo lepo razložil, da podpiše ključ razvijalca. Razvijalec pa potem softwer.

Tu se strinjava?
sudo poweroff

MrStein ::

Uf, očitno bo potrebno narisati:



Kot vidiš, MS ni nič podpisal. Ali pa ne vidiš. Na tej točki težko rečt.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

kow ::

Podpisal je certum, same shit. Kako ves, da ni zraven poljske obvescevalne sluzbe oz. da na njih ne more pritisnit poljska drzava?
Monero potrebuje predvsem reproduceable build (ce ga se nima). Ce ze kdo mora podpisovati binarije, pa bi to morala biti skupina developerjev.
FluffyPony in druscina, ne pa CA, lepo te prosim...

Zgodovina sprememb…

  • spremenil: kow ()

poweroff ::

Dajmo še enkrat za ta počasne:

Authenticode is a Microsoft code-signing technology that identifies the publisher of Authenticode-signed software.

Authenticode uses cryptographic techniques to verify publisher identity and code integrity. It combines digital signatures with an infrastructure of trusted entities, including certificate authorities (CAs), to assure users that a driver originates from the stated publisher.

Si zdaj razumel, ali bo treba še kako drugače narisat?

Ker če smo to točko obdelali, je naslednje nagradno vprašanje... kako poteka verifikacija publisherja (developerja).

Ko boš to razumel, si pa zmagal.
sudo poweroff

SeMiNeSanja ::

Ampak nekje imajo nekatere izvršljive datoteke še en checksum 'vgrajen'.
Meni namreč TDR pridno nabija minus točke datotekam, češ da checksum ni pravilen:


(namenoma sem izbral datoteko, ki ne more imeti pravilnega checksum-a)

Na sliki sicer izgleda, kot da je vse živo narobe s to datoteko, a na koncu vse skupaj nanese le za oceno 3 ('sumljivo') od max. 10 za najbolj nevarne datoteke.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

kow ::

To je Portable Executable checksum. Ce se ne motim, ga ustvari linker oz. kdo drug bi ga lahko. Ni ravno nek resni varnostni mehanizem, ker ga lahko itak prepises.

Zgodovina sprememb…

  • spremenil: kow ()

SeMiNeSanja ::

kow je izjavil:

To je Portable Executable checksum. Ce se ne motim, ga ustvari linker oz. kdo drug bi ga lahko. Ni ravno nek resni varnostni mehanizem, ker ga lahko itak prepises.

Ne vem...mogoče skupaj z digitalnim podpisom tvorita nekakšen 'verodostojen par' ---- kjer pa je spet problem digitalnega podpisa, če mu je za zaupat.

Nenazadnje je podpis lahko povsem priseten...samo ne od tistega, ki ti misliš, da je... npr. namesto proizvajalec_programa.si, podpisan od proizvajaIec_programa.si - kdo pa bo opazil tisto 'malenkostno razliko'...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

kow ::

Sry, ampak se ti ne sanja :)

jype ::

Zabavno, kajne, da strokovnjaki za informacijsko varnost tako malo vedo o standardih informacijske varnosti?

Zgodovina sprememb…

kow ::

Strokovnjaki?

jype ::

Ja, SeMiNeSanja je strokovnjak za informacijsko varnost, ki očitno prodaja nek izdelek s tega področja, pojma pa nima, kako zaupanje v digitalnem vesolju dejansko deluje, kako kriptografsko zagotavljamo reči in kakšne ter katere so standardne implementacije, ki te reči zagotavljajo.

hamez66 ::

Recimo, da hacker shacka spletno stran, na kateri zamenja .exe datoteko z okuženo. Na spletni strani v "html" datoteki prav tako spremeni "hash" v takega, kot ga okužena datoteka ima. Kako v takem primeru preveriti, da je datoteka ni okužena, če tudi na spletni strani piše, da je podpis (err, hash) tak, kot ga okužena datoteka ima?

Zgodovina sprememb…

  • spremenilo: hamez66 ()

kow ::

https://src.getmonero.org/resources/use...

(datoteka s hashi je podpisana)

Zgodovina sprememb…

  • spremenil: kow ()

SeMiNeSanja ::

jype je izjavil:

Ja, SeMiNeSanja je strokovnjak za informacijsko varnost, ki očitno prodaja nek izdelek s tega področja, pojma pa nima, kako zaupanje v digitalnem vesolju dejansko deluje, kako kriptografsko zagotavljamo reči in kakšne ter katere so standardne implementacije, ki te reči zagotavljajo.

I to ti je prišepnila prababica na smrtni postelji ali kako?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

SeMiNeSanja ::

kow je izjavil:

https://src.getmonero.org/resources/use...

(datoteka s hashi je podpisana)

In kako veš, da je podpis 'ta pravi'?

Vsakdo si lahko kreira PGP keypair in podpiše neko datoteko...
In potem si pri težavi kako verodostojen je podpisnik.

Kaj pa če je podpisnik hash datoteke tisti, ki je namestil okuženi .exe file na strežnik, skupaj z popravljeno hash datoteko?

Ali lahko 100% zaupaš javnemu ključu osebe X, če ti ga ni lastnoročno na 4 oči izročila v roke? No, pa da ne omenjamo, kolikokrat so že ukradli ključe s katerimi se je podpisoval software...

V teoriji zveni vse dokaj preprosto, na koncu pa še zmeraj vse skupaj sloni na (slepem) zaupanju, zlasti ko se gre za raznorazne ključe, kjer svojo 'pristnost' potrdiš zgolj z obstojem mailboxa.

Pa tudi tam, kjer za drag denar kupujejo ključe, ki jih je podpisala (preverila pristnost identitete) neka 'zaupanja vredna' organizacija, je še vedno prostora za spodrsljaje, da enostavno ne opaziš, da je podpis sicer veljaven - a ne od pravega podpisnika.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

jype ::

A ni nenavadno, da SeMiNeSanja, strokovnjak za zaprtokodne informacijske rešitve, pojma nima, kako te reči delujejo?

Zgodovina sprememb…

MrStein ::

kow je izjavil:

Podpisal je certum, same shit. Kako ves, da ni zraven poljske obvescevalne sluzbe oz. da na njih ne more pritisnit poljska drzava?
Monero potrebuje predvsem reproduceable build (ce ga se nima). Ce ze kdo mora podpisovati binarije, pa bi to morala biti skupina developerjev.
FluffyPony in druscina, ne pa CA, lepo te prosim...

Ni podpisal Certum, ampak avtor.

"FluffyPony in druscina, ne pa CA"
FluffyPony + CA > FluffyPony

jype je izjavil:

Zabavno, kajne, da strokovnjaki za informacijsko varnost tako malo vedo o standardih informacijske varnosti?

Slotek pač, nič novega
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

kow ::

In kaj preprecuje Certumu, da izda nov certifikat, ki ima v imenu Stefan Kueng? Ali pa revokea njegov certifikat?

poweroff ::

MrStein je izjavil:

Ni podpisal Certum, ampak avtor.

Kaj je pa Certum podpisal? ;)
sudo poweroff

jype ::

Jype - če nimaš kaj pametnega za dodat k TEMI, potem utihni in se spelji!
Oh, imam, samo ti boš zopet jokal, če napišem, kako imamo to rešeni vsi tisti, ki uporabljamo odprtokodne rešitve, ker nekaj damo na varnost, ter kričal, da zaprtokodna tehnika ni slabša, čeprav očitno je.

Zgodovina sprememb…

MrStein ::

poweroff je izjavil:

MrStein je izjavil:

Ni podpisal Certum, ampak avtor.

Kaj je pa Certum podpisal? ;)

Certifikat of Stefana.

Podobno, kot če bi ti oni pixi ključ podpisal (PGP/GPG).

S tem na ključ ne vplivaš nič.


Bom počakal, da se malo pozanimaš o tej temi, da bo debata imela nek nivo.

Dan, dva bo dovolj?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Aha, torej si le počasi začel dojemati.

Se pravi... imamo nek software. Le-tega je podpisal avtor (v našem primeru ta Stefan).

Ampak mi ne vemo, kdo je ta Stefan, ne? Lahko je tudi Steinfan ali Matthaifan, ne?

Torej, gremo naprej... Certum (ali pa Microsoft) je pa podpisal certifikat od tega avtorja.


Se pravi sedaj vemo, da je program legit, ne? Program je podpisan s strani Stefana, da je Stefan Stefan, pa jamči Certum. Ali pa Microsoft.

Do tukaj se strinjamo?

(če ja, v naslednjem koraku sledi "šokantno" razkritje)
sudo poweroff

Facebook dev ::

Se strinjamo. Prosim za razkritje.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Uradna stran monera delila viruse, ki so kradli kriptovalute (strani: 1 2 )

Oddelek: Novice / Varnost
9615905 (11827) MrStein
»

Vdora v Spotify in Avast

Oddelek: Novice / Varnost
167895 (6733) MrStein
»

Zanimiv napad na kontroler trdega diska (strani: 1 2 3 )

Oddelek: Novice / Varnost
12044074 (37995) MrStein
»

Vdor v Drupal prizadel milijon uporabnikov

Oddelek: Novice / Varnost
84688 (2957) M.B.
»

Hekerji napadli Android Forums in Nvidio

Oddelek: Novice / Varnost
146326 (4534) mailer

Več podobnih tem