shapeshift.io hack teljes története

HUP cikkturkáló

Elég horror, de tanulságos történet: -130 000 USD, gyanúsan eltűnő munkatárs, új szerver/sshkulcsok, újabb hack, megint új szerver 0-ról, ismét hack, aztán az ismeretlen orosz hackertől pénzért megvásárolt információk

http://moneyandstate.com/looting-of-the-fox/

  • 6772 megtekintés

( gemnon v | 2016. 05. 22., v – 13:29 )

Devooops :P

Wow, now it’s starting to come together, each revelation peeling back a layer of Bob’s treachery. Bob had installed an RDP (remote desktop protocol – basically a screen viewer or controller) on Greg’s computer. And perhaps on others, we must assume.

Jézus :(

( Nyosigomboc v | 2016. 05. 22., v – 13:40 )

-Jo napot kivanok! Onok keresnek uj fopenztarost?
-Igen. De meg a regit is keressuk..

--
Is that a banana in your pocket, or are you just happy to see me?
Neither, it's my new iPhone.

( joco01 v | 2016. 05. 22., v – 17:05 )

Vajon egy bankból is ilyen könnyű pénzt lopni? Szeretném azt hinni, hogy nem, és ezek tényleg elszúrták, hogy nem foglalkoztak annyit a biztonsággal. Az is gáz, hogy a bitcoint és társait túl könnyű eltüntetni, na nem mintha a tradicionális pénzeket lehetetlen lenne, de akkor is. Más miatt is szkeptikus vagyok, ha valamelyik hatalom úgy gondolja, hogy felhasznál pár tízezer GPU-t (vagy már sokkal több kellene?), akkor elvben tönkre tudja vágni az egész elosztott hálózatot, vagy valami ilyesmi, laikus vagyok.

--

Pont forditva, a tradicionalis penzt lehet eltuntetni (keszpenz), a bitcoint meg nem. Minden egyes tranzakcio az egesz vilag szamara azonnal nyilvanos, az osszes bitcoin "erme" es "banko" utjat lehet latni a kezdetektol az azt most epp tartalmazo "penztarcaig". Az szokott lenni a kerdes, hogy az egyes penztarcak -tehat tulajdonkeppen az egyes tranzakciok- mogott kik allnak, de maga a penz nem tud eltunni.

Egy nagy szervezet nem tudja tonkretenni a rendszert azzal, hogy sokat banyaszik, mert a kibanyaszhato bitcoin mar kvazi elfogyott. (Egyesek lobbiznak a mennyiseg kiterjeszteseert.) Viszont az elofordulhat, hogy "tul sok szavazatot" szerez az elosztott halozatban, marpedig ha a tobbseg mondja, hogy szerinte Aladar atadta a penzt Belanak, akkor onnantol az az igazsag, akkor is, ha ezt Aladar nem akarja.

> marpedig ha a tobbseg mondja, hogy szerinte Aladar atadta a penzt Belanak, akkor onnantol az az igazsag, akkor is, ha ezt Aladar nem akarja.

Ebben biztos vagy?
En ugy tudom, hog ez nem lehetseges. Az 51%-os tamadassal vissza lehet vonni megtortent tranzakciot, de ezen kivul mas penzet elvenni nem lehet.

Lasd: http://bitcoin.stackexchange.com/questions/658/what-can-an-attacker-wit…

szvsz, az 51% attach mar csak elmeleti lehetoseg (vagy valami hiba kihasznalasa), pure powerrel mar kb lehetetlen: jelenlegi hashrate 1557428 Th/s, a ma kaphato leggyorsabb asicbol, kb 320e db kene a tamadashoz...

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Pont nem készpénzre, hanem bankban tartott pénzre, és ottani rendszergazdára gondoltam, habár ezt explicite nem írtam le. Arra remélhetőleg jobban vigyáznak, mint egy random startupnál, kevésbé tűnik el, és a bitcoinnal szemben nem is anonim. És igen, a szavazós támadásra gondoltam.

--

( zrubi v | 2016. 05. 23., h – 13:35 )

Ez nagyon jó tanmese. Ha csak a fele is igaz, már megérte megírni.
Én simán terjeszteni fogom ajánlott irodalomként a kurzusaimon ;)
Rengeteg olyan pont van benne, amiről ha beszélek, mindeki túl paranoidnak ítél....

--
zrubi.hu

Hat az a megdobbento hogy egy cegnel ahol penzt kezelnek (tehat az a profil hogy tranzakciokat hajtanak vegre) ilyen lyukas volt a rendszer mint egy budos ementali.

Egy ilyen profilu cegnel mar siman kene figyelni az SOD-ra (Segregation of Duty) vagyis azert mert Bob epitette a szervert kurvara semmi hataskorenek nem kellett volna lennie abban hogyan uzemelnek a munkatarsak gepei. Sot kifejezetten tilos barminemu hozzaferes.

pl aki egy cegnel accountot tud krealni az nem nyulhat bele megrendelesekbe nem adhat le nem hagyhat jova nem lehet olyan rola-ja ami lehetove teszi vendor letrehozasat majd a kifizetest. En azt mondom kurva olcson megusztak annak dacara hogy ilyen bakikat elkovettek mert gyakorlatilag megastak elore a sirjukat meg bele is fekudtek aztan mikor valaki rajukhanyta a foldet meglepodtek...

Meg ilyenek hogy a csavo besetal egy oriasi hack utan miutan kiderul hogy olyan kulcsot mutat be amivel soha nem leptek be mar ezerrel vilagitani kellett volna az alert alert feliratnak es minden rendszert lockolni kellett volna es nem megvarni mig a rakerdezes utan kitorli a kulcsokat...

Es itt jon a kepbe a sokszor felvetett problema mikor sikitozunk meg anyazunk mikor osszemosnak cegek kulonbozo role-okat es a linux szerver uzemeltetestol a level 88 HD-ig plusz meg fejlesszel is mindent egy emberre biznak.

Ert annyit az a munkaber amit ezzel sporoltak?

Hasonlóan jól dokumentált a tavalyi, Bitstamp -5.2 millió USD-s sztori: https://www.docdroid.net/159hk/270137312-bitstamp-incident-report-2-20-…

Pár bitcoin lopások az elmúlt évekből:
- 06/2011 MyBitcoin: -4000 BTC
- 07/2011 MyBitcoin: -78739 BTC
- 07/2011 Mtgox: -25000 BTC
- 09/2011 Mooncoin: -4000 BTC
- 03/2012 Linode hosting: -46653 BTC
- 05/2012 Bitcoinica: -39000 BTC
- 07/2012 Bitcoinica: -40000 BTC
- 07/2012 BTC-E: -4500 BTC
- 10/2013 Inputs.io: -4100 BTC
- 02/2014 Mtgox: -740 000 BTC
- 01/2015 Bitstamp: -18000 BTC
- 02/2015 Bter: -7100 BTC
- 05/2015 Bitfinex: -10500 BTC
- 08/2015 Bitcoinica: -40000 BTC
- 09/2015 BitPay: -5000 BTC
- 10/2015 Cryptsy: -10000 BTC
- 10/2015 Purse.io: -10200 BTC
+ még nagyonsok: https://bitcointhefts.com/

Tehát a jelenlegi 1BTC = 443USD-vel számolva összesen legalább ~507 millió USD értékű bitcoint loptak el.

A fentebb irt segregation of duty alkalmazasaval ez is elkerulheto lett volna. Evekig dolgoztam finance security-n sok mindent lattam tortenni a kulonbozo rendszereinkel de a finance reszhez emberfia nem tudott hozzaferni soha. Nemhogy bazzeg aki fejleszt az meg beleturkal az eles rendszerbe mint valami kozos gamserveren a koleszben...

Gyönyörű ez a lista, változatus startup hangzású nevekkel. Akkor most már egyértelműen jobban bízok a bankokban. Azt hihenénk, hogy ennyi év alatt tanulnak egymás hibáiból, vagy legalább a sajátjukból. A startup lufi hangzatos jelszavai között ennyire hátraszorult a biztonság?

--

( KissT | 2016. 05. 23., h – 14:42 )

Incidentally, the records indicate he’s white, after all.

Ezt nem igazan ertem...ez nem olyan amit csak ugy letagad az ember.