Slo-Tech - Neznani napadalci so vdrli v uradno spletno stran za kriptovaluo monero, a tega niso izkoristili za izmaličenje ali onesposobitev spletne strani. Namesto tega so zgolj zamenjali prevedeno programsko kodo (binaries) na spletni strani z okuženo verzijo, ki je vsebovala zlonamerno kodo, ki je kradla kriptovalute. Vdor so odkrili uporabniki, ki so opazili, da se na strani zapisane zgoščene vrednosti datotek ne ujemajo z dejanskimi. Po preiskavi je tudi ekipa Monera potrdila, da so bili tarče vdora. Okužene programske datoteke so bile na strani v ponedeljek med 15.30 in 17.30 po slovenskem času.
Ni še znano, kako so napadalci pridobili dostop do spletne strani getmonero.com. Prav tako ni jasno, koliko ljudi je zaradi namestitve virusa tudi izgubilo kaj kriptovalut. Na redditu najdemo različne zgodbe, med njimi tudi uporabnika, ki je domnevno izgubil 7000 dolarjev. V program so namreč napadalci vgradili funkcijo, ki je prebrala in na nadzorne strežnike poslala seme za tvorbo digitalne denarnice (wallet seed), kar je napadalcem omogočilo krajo sredstev iz dotične denarnice. Drugih dodatkov okuženi program ni imel.
V Moneru zato vsem uporabnikom svetujejo, da preverijo zgoščeno vrednost programov. Kdor je v dilemi, pa lahko s spletne strani prenese novo verzijo, ki je očiščena.
Torej uspeli so zamenjat binaries, ne pa zgoščenih vrednosti. Al so pozabli na to?
Tudi če bi jih zamenjali, bi jih odkrili, ker je možno dobiti monero denarnico na več straneh. In potem se hash ne bi ujemal z nobeno izmed drugih strani. Zdaj je pa vprašanje kaj se ti zdi da se bo zgodilo hitreje, da bo nekdo potegnil dol verzijo in videl, da se hash ne ujema, ali pa da ti spremeniš hash tudi na strani in nekdo ugotovi, da hashi niso več taki kot so bili.
Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?
That's me!
Aja, ne, jaz sem hujši, ker ne preverjam zgoščenih vrednosti, temveč kar kriptografske podpise, res je pa, da ne nameščam odjemalcev za kar vsak shitcoin tam zunaj.
Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?
Vsak, ki ni idiot, ko namesca denarnico. Seveda je odvisno tudi od tega koliko denarja imas v denarnici. Popolnoma enako je z fizicno. Ce imam v njej 20e, jo bom pustil na mizi in sel na WC. Ce imam notri jurja, pac ne.
Kako si tehnično predstavljaš, da binary izračuna in preveri svoj hash, pri čemer moraš hash v binary zapisati na tak način, da bo končni hash točno enak tistemu, ki ga bo binary izračunal iz sebe?
Also - pri digitalnem podpisovanju softwera je vprašanje zate tole: kdo preverja digitalni podpis?
Ja. Ob namestitvi operacijski sistem preveri, ali je program, gonilnik,... podpisan s strani uradnega developerja, katerega podpis mora biti podpisan s strani operacijskega sistema ((Microsofta,...). To lepo deluje, ko v sistem nameščaš "uradne" aplikacije. Kaj pa 3rd party software?
Recimo za Linux ima VirtualBox navodila kako si namestiš GPG ključ razvijalcev in se potem to preveri. Ker VBox nima s strani Ubuntuja podpisanih ključev. Ampak kaj če nekdo naredi svoj ključ in ga s hackom objavi na VBox spletni strani?
Recimo da sem jaz firma MalwareWriters. Microsoft prepričam, da mi podpiše moj ključ. In potem jaz spišem pohekano kripto denarnico in jo seveda podpišem s svojim podpisom... ki je podpisan s strani Microsofta. In je zadeva legit. Ljudje rečejo: "Microsoft pravi, da je program OK".
Kako pa dokažeš Microsoftu kdo si?
Pri nas morda lahko s kakšnim izpiskom iz Poslovnega registra. Kaj pa nek afriški ali iranski developer?
Če bi monero fantje uporabljali podpis, bi lahko takoj videli, da je trojanec fejk. (razen, če bi jim tudi ključ pohekali, ampak dejansko niti hash na web strani niso, tako da bi v tem primeru imeli jasen znak, da je nekaj narobe).
Authenticode is a Microsoft code-signing technology that identifies the publisher of Authenticode-signed software. Authenticode also verifies that the software has not been tampered with since it was signed and published.
Authenticode uses cryptographic techniques to verify publisher identity and code integrity. It combines digital signatures with an infrastructure of trusted entities, including certificate authorities (CAs), to assure users that a driver originates from the stated publisher. Authenticode allows users to verify the identity of the software publisher by chaining the certificate in the digital signature up to a trusted root certificate.
Kdo pa preverja zgoščene vrednosti pri naneščanju programov z uradne strani, patološki paranoik?
Jaz. Kako boš pa drugače preveril, ali je zdownloadana reč legit? sha256sum in akcija. Če je pa nameščen prek apt, ti pa že ta izračuna in preveri hash. To vse laufa že desetletja...
Podpisal je certum, same shit. Kako ves, da ni zraven poljske obvescevalne sluzbe oz. da na njih ne more pritisnit poljska drzava? Monero potrebuje predvsem reproduceable build (ce ga se nima). Ce ze kdo mora podpisovati binarije, pa bi to morala biti skupina developerjev. FluffyPony in druscina, ne pa CA, lepo te prosim...
Authenticode is a Microsoft code-signing technology that identifies the publisher of Authenticode-signed software.
Authenticode uses cryptographic techniques to verify publisher identity and code integrity. It combines digital signatures with an infrastructure of trusted entities, including certificate authorities (CAs), to assure users that a driver originates from the stated publisher.
Si zdaj razumel, ali bo treba še kako drugače narisat?
Ker če smo to točko obdelali, je naslednje nagradno vprašanje... kako poteka verifikacija publisherja (developerja).
Ampak nekje imajo nekatere izvršljive datoteke še en checksum 'vgrajen'. Meni namreč TDR pridno nabija minus točke datotekam, češ da checksum ni pravilen:
(namenoma sem izbral datoteko, ki ne more imeti pravilnega checksum-a)
Na sliki sicer izgleda, kot da je vse živo narobe s to datoteko, a na koncu vse skupaj nanese le za oceno 3 ('sumljivo') od max. 10 za najbolj nevarne datoteke.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
To je Portable Executable checksum. Ce se ne motim, ga ustvari linker oz. kdo drug bi ga lahko. Ni ravno nek resni varnostni mehanizem, ker ga lahko itak prepises.
To je Portable Executable checksum. Ce se ne motim, ga ustvari linker oz. kdo drug bi ga lahko. Ni ravno nek resni varnostni mehanizem, ker ga lahko itak prepises.
Ne vem...mogoče skupaj z digitalnim podpisom tvorita nekakšen 'verodostojen par' ---- kjer pa je spet problem digitalnega podpisa, če mu je za zaupat.
Nenazadnje je podpis lahko povsem priseten...samo ne od tistega, ki ti misliš, da je... npr. namesto proizvajalec_programa.si, podpisan od proizvajaIec_programa.si - kdo pa bo opazil tisto 'malenkostno razliko'...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Ja, SeMiNeSanja je strokovnjak za informacijsko varnost, ki očitno prodaja nek izdelek s tega področja, pojma pa nima, kako zaupanje v digitalnem vesolju dejansko deluje, kako kriptografsko zagotavljamo reči in kakšne ter katere so standardne implementacije, ki te reči zagotavljajo.
Recimo, da hacker shacka spletno stran, na kateri zamenja .exe datoteko z okuženo. Na spletni strani v "html" datoteki prav tako spremeni "hash" v takega, kot ga okužena datoteka ima. Kako v takem primeru preveriti, da je datoteka ni okužena, če tudi na spletni strani piše, da je podpis (err, hash) tak, kot ga okužena datoteka ima?
Ja, SeMiNeSanja je strokovnjak za informacijsko varnost, ki očitno prodaja nek izdelek s tega področja, pojma pa nima, kako zaupanje v digitalnem vesolju dejansko deluje, kako kriptografsko zagotavljamo reči in kakšne ter katere so standardne implementacije, ki te reči zagotavljajo.
I to ti je prišepnila prababica na smrtni postelji ali kako?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Vsakdo si lahko kreira PGP keypair in podpiše neko datoteko... In potem si pri težavi kako verodostojen je podpisnik.
Kaj pa če je podpisnik hash datoteke tisti, ki je namestil okuženi .exe file na strežnik, skupaj z popravljeno hash datoteko?
Ali lahko 100% zaupaš javnemu ključu osebe X, če ti ga ni lastnoročno na 4 oči izročila v roke? No, pa da ne omenjamo, kolikokrat so že ukradli ključe s katerimi se je podpisoval software...
V teoriji zveni vse dokaj preprosto, na koncu pa še zmeraj vse skupaj sloni na (slepem) zaupanju, zlasti ko se gre za raznorazne ključe, kjer svojo 'pristnost' potrdiš zgolj z obstojem mailboxa.
Pa tudi tam, kjer za drag denar kupujejo ključe, ki jih je podpisala (preverila pristnost identitete) neka 'zaupanja vredna' organizacija, je še vedno prostora za spodrsljaje, da enostavno ne opaziš, da je podpis sicer veljaven - a ne od pravega podpisnika.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Podpisal je certum, same shit. Kako ves, da ni zraven poljske obvescevalne sluzbe oz. da na njih ne more pritisnit poljska drzava? Monero potrebuje predvsem reproduceable build (ce ga se nima). Ce ze kdo mora podpisovati binarije, pa bi to morala biti skupina developerjev. FluffyPony in druscina, ne pa CA, lepo te prosim...
Ni podpisal Certum, ampak avtor.
"FluffyPony in druscina, ne pa CA" FluffyPony + CA > FluffyPony
Jype - če nimaš kaj pametnega za dodat k TEMI, potem utihni in se spelji!
Oh, imam, samo ti boš zopet jokal, če napišem, kako imamo to rešeni vsi tisti, ki uporabljamo odprtokodne rešitve, ker nekaj damo na varnost, ter kričal, da zaprtokodna tehnika ni slabša, čeprav očitno je.
