Το επίσημο site του ψηφιακού νομίσματος Monero φέρεται να έχει πέσει θύμα παραβίασης, με αποτέλεσμα να σερβίρει κακόβουλο λογισμικό κλοπής των κρυπτονομισμάτων των χρηστών, που κατέβασαν το ψηφιακό πορτοφόλι από αυτό.

Όσοι κατέβασαν το CLI wallet του την Δευτέρα 18 Νοεμβρίου, θα πρέπει να ελέγξουν τα hashes των binaries και να τα διαγράψουν άμεσα -χωρίς να τα εκτελέσουν- αν διαφέρουν από τα επίσημα. Η επίθεση είχε στόχο τα binaries για Linux και Windows του Monero.



"It's strongly recommended to anyone who downloaded the CLI wallet from this website between Monday 18th 2:30 AM UTC and 4:30 PM UTC, to check the hashes of their binaries," GetMonero officials wrote. "If they don't match the official ones, delete the files and download them again. Do not run the compromised binaries for any reason."

An analysis of the malicious Linux binary found that it added a few new functions to the legitimate one. One of the functions was called after a user opened or created a new wallet. It sent the wallet seed—which is the cryptographic secret used to access wallet funds—to a server located at node.hashmonero[.]com. The malware then sent wallet funds to the servers located at node.xmrsupport[.]co and 45.9.148[.]65.
A malicious Windows version of the CLI wallet carried out an almost identical attack sequence.

Πηγή : Ars Technica (https://arstechnica.com/information-technology/2019/11/official-monero-website-is-hacked-to-deliver-currency-stealing-malware/?utm_brand=arstechnica&utm_source=twitter&utm_social-type=owned&utm_medium=social)

Η απορία μου ήταν πάντα: Τι κερδίζουμε με το να κάνουμε verify το hash όταν κατεβάζουμε ένα binary; Αν ο hacker είχε καταφέρει να παραβιάσει τον web server και να περάσει μολυσμένο binary, τότε θα είχε καταφέρει να αλλάξει και το hash που δείχνει η σελίδα για να κάνει match το hash του μολυσμένου binary.. (εκτός και αν ο χρήστης το ψάχνει τόσο πολύ και κάνει cross-check το hash value με άλλες πηγές...)

Η απορία μου ήταν πάντα: Τι κερδίζουμε με το να κάνουμε verify το hash όταν κατεβάζουμε ένα binary; Αν ο hacker είχε καταφέρει να παραβιάσει τον web server και να περάσει μολυσμένο binary, τότε θα είχε καταφέρει να αλλάξει και το hash που δείχνει η σελίδα για να κάνει match το hash του μολυσμένου binary.. (εκτός και αν ο χρήστης το ψάχνει τόσο πολύ και κάνει cross-check το hash value με άλλες πηγές...)

Αν κάνεις την επαλήθευση με ψηφιακές υπογραφές, δεν είναι το ίδιο. Πολλά προγράμματα πλέον δεν παρέχουν απλά hashes αλλά επαλήθευση με υπογραφή.
Ε τώρα αν έχουν χακάρει και τις υπογραφές, τι να πω :p

Αν κάνεις την επαλήθευση με ψηφιακές υπογραφές, δεν είναι το ίδιο. Πολλά προγράμματα πλέον δεν παρέχουν απλά hashes αλλά επαλήθευση με υπογραφή.
Ε τώρα αν έχουν χακάρει και τις υπογραφές, τι να πω :p

Εγώ πάντως δεν θυμάμαι κάποιο website να έχει signed hash.

Η απορία μου ήταν πάντα: Τι κερδίζουμε με το να κάνουμε verify το hash όταν κατεβάζουμε ένα binary; Αν ο hacker είχε καταφέρει να παραβιάσει τον web server και να περάσει μολυσμένο binary, τότε θα είχε καταφέρει να αλλάξει και το hash που δείχνει η σελίδα για να κάνει match το hash του μολυσμένου binary.. (εκτός και αν ο χρήστης το ψάχνει τόσο πολύ και κάνει cross-check το hash value με άλλες πηγές...)

Ισχύει.
Αλλά από την άλλη πόσοι χρήστες θα το κάνουν αυτό;
Ποιός θα κάτσει να ελέγχει το hash με certutil πχ αν δεν έχει λόγο να πιστεύει ότι αυτό που κατεβάζει μπορεί να έχει πειραχθεί;

Όπως είπα το θέμα είναι ότι ακόμα και αν ελέγξει το hash, και πάλι δεν είναι σίγουρος γιατί μπορεί ο hacker απλά να έχει αλλάξει το hash που φαίνεται στο download page.
Ακόμα και υπογεγραμμένο να είναι όπως είπε ο φίλος μας παραπάνω (που εγώ προσωπικά δε το έχω δει πουθενά), και πάλι θα πρέπει να έχει υπογραφτεί με χρήση κάποιου PKI αλλιώς η υπογραφή είναι άχρηστη.

Με το hash τσεκάρουμε και για corruption. Αν είναι σωστό το hash, τότε κατεβάσαμε σωστά το malware :p

Ε καλά δε χρειάζεται να κάνουμε πια τόση δουλειά με secure hashes.. Ένα απλό CRC32 checksum και τέλος :)

Η απορία μου ήταν πάντα: Τι κερδίζουμε με το να κάνουμε verify το hash όταν κατεβάζουμε ένα binary; Αν ο hacker είχε καταφέρει να παραβιάσει τον web server και να περάσει μολυσμένο binary, τότε θα είχε καταφέρει να αλλάξει και το hash που δείχνει η σελίδα για να κάνει match το hash του μολυσμένου binary.. (εκτός και αν ο χρήστης το ψάχνει τόσο πολύ και κάνει cross-check το hash value με άλλες πηγές...)
Εύλογη η απορία σου αλλά η απάντηση σου έρχεται από το συγκεκριμένο incident - αν δεν υπήρχε το hash τότε θα αργούσαν πολύ να πάρουν χαμπάρι τι έγινε. Οπότε το συγκεκριμένο control δουλεύει αλλά θέλει και τους χρήστες να βάλουν ένα χεράκι.
Στο συγκεκριμένο σενάριο φαίνεται πως το binary έγινε tampered μετά τη δημοσίευση - αλλιώς το hash verification θα έβγαζε επιτυχία. Παρόλα αυτά ο κακόβουλος χρήστης μπόρεσε να αλλάξει μόνο το binary αλλά όχι το hash.

Δικαιωσαν τον τιτλο (MoROnero) :p

Που 'σαι ρε chek2fire...

Εύλογη η απορία σου αλλά η απάντηση σου έρχεται από το συγκεκριμένο incident - αν δεν υπήρχε το hash τότε θα αργούσαν πολύ να πάρουν χαμπάρι τι έγινε. Οπότε το συγκεκριμένο control δουλεύει αλλά θέλει και τους χρήστες να βάλουν ένα χεράκι.
Στο συγκεκριμένο σενάριο φαίνεται πως το binary έγινε tampered μετά τη δημοσίευση - αλλιώς το hash verification θα έβγαζε επιτυχία. Παρόλα αυτά ο κακόβουλος χρήστης μπόρεσε να αλλάξει μόνο το binary αλλά όχι το hash.

Ναι οκ δεν είπα ότι δεν προσφέρει τίποτα ως προς την ασφάλεια, απλά εννοούσα ότι δεν σημαίνει ότι αν τσεκάρουμε το hash με αυτό που υπάρχει στη σελίδα κοιμόμαστε ήσυχοι..

Η απορία μου ήταν πάντα: Τι κερδίζουμε με το να κάνουμε verify το hash όταν κατεβάζουμε ένα binary; Αν ο hacker είχε καταφέρει να παραβιάσει τον web server και να περάσει μολυσμένο binary, τότε θα είχε καταφέρει να αλλάξει και το hash που δείχνει η σελίδα για να κάνει match το hash του μολυσμένου binary.. (εκτός και αν ο χρήστης το ψάχνει τόσο πολύ και κάνει cross-check το hash value με άλλες πηγές...)

1. To binary συνήθως γίνεται host σε άλλον server από ό,τι αυτός με το site. Στο site περιέχονται και τα hashes. Οπότε μπορεί κάποιος να αλλάξει το binary αλλά να μην καταφέρει να τρυπώσει και στον server που κάνει host το site για να αλλάξει το hash.

2. Μπήκα από περιέργεια στο site του monero να δω αν προσφέρουν GPG signed binaries. Δυστυχώς όχι, αλλά προσφέρουν GPG signed λίστα hashes και το public key βρίσκεται στο repo τους (άρα δύσκολο να αλλάξει). Παραθέτω τι λένε στην αρχή της σελίδας download:


Note: the SHA256 hashes are listed by the downloads for convenience, but a GPG-signed list of the hashes is at getmonero.org/downloads/hashes.txt and should be treated as canonical, with the signature checked against the appropriate GPG key in the source code (in /utils/gpg_keys).

tbh αν είναι να κάτσεις να ασχοληθείς με monero καλύτερα να το κάνεις install με κάποιο package manager (οι οποίοι ελέγχουν pgp)

Ok το Monero έχει μια παραπάνω "ευαισθησία" με το θέμα μια και αφορά κρυπτονόμισμα, αλλά και το ίδιο το project προέρχεται από επιστημονική ομάδα που τηρεί ευλαβικά τα security practices. (άρα και η τήρηση των hashes - binaries - public keys σε ξεχωριστούς servers).
Τώρα βέβαια αυτό δε σημαίνει ότι τηρείται από τα υπόλοιπα binaries που διανέμονται δεξιά - αριστερά..