Εμφάνιση 1-15 από 15
  1. #1
    Εγγραφή
    22-09-2003
    Μηνύματα
    81.664
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Security
    Το επίσημο site του ψηφιακού νομίσματος Monero φέρεται να έχει πέσει θύμα παραβίασης, με αποτέλεσμα να σερβίρει κακόβουλο λογισμικό κλοπής των κρυπτονομισμάτων των χρηστών, που κατέβασαν το ψηφιακό πορτοφόλι από αυτό.

    Όσοι κατέβασαν το CLI wallet του την Δευτέρα 18 Νοεμβρίου, θα πρέπει να ελέγξουν τα hashes των binaries και να τα διαγράψουν άμεσα -χωρίς να τα εκτελέσουν- αν διαφέρουν από τα επίσημα. Η επίθεση είχε στόχο τα binaries για Linux και Windows του Monero.

    "It's strongly recommended to anyone who downloaded the CLI wallet from this website between Monday 18th 2:30 AM UTC and 4:30 PM UTC, to check the hashes of their binaries," GetMonero officials wrote. "If they don't match the official ones, delete the files and download them again. Do not run the compromised binaries for any reason."

    An analysis of the malicious Linux binary found that it added a few new functions to the legitimate one. One of the functions was called after a user opened or created a new wallet. It sent the wallet seed—which is the cryptographic secret used to access wallet funds—to a server located at node.hashmonero[.]com. The malware then sent wallet funds to the servers located at node.xmrsupport[.]co and 45.9.148[.]65.
    A malicious Windows version of the CLI wallet carried out an almost identical attack sequence.
    Πηγή : Ars Technica

  2. #2
    Το avatar του μέλους bomberb17
    bomberb17 Guest
    Η απορία μου ήταν πάντα: Τι κερδίζουμε με το να κάνουμε verify το hash όταν κατεβάζουμε ένα binary; Αν ο hacker είχε καταφέρει να παραβιάσει τον web server και να περάσει μολυσμένο binary, τότε θα είχε καταφέρει να αλλάξει και το hash που δείχνει η σελίδα για να κάνει match το hash του μολυσμένου binary.. (εκτός και αν ο χρήστης το ψάχνει τόσο πολύ και κάνει cross-check το hash value με άλλες πηγές...)

  3. #3
    Εγγραφή
    15-09-2007
    Ηλικία
    31
    Μηνύματα
    817
    Downloads
    0
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    37482/4998
    ISP
    ΟΤΕ Conn-x
    SNR / Attn
    8.8(dB) / 18.1(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από bomberb17 Εμφάνιση μηνυμάτων
    Η απορία μου ήταν πάντα: Τι κερδίζουμε με το να κάνουμε verify το hash όταν κατεβάζουμε ένα binary; Αν ο hacker είχε καταφέρει να παραβιάσει τον web server και να περάσει μολυσμένο binary, τότε θα είχε καταφέρει να αλλάξει και το hash που δείχνει η σελίδα για να κάνει match το hash του μολυσμένου binary.. (εκτός και αν ο χρήστης το ψάχνει τόσο πολύ και κάνει cross-check το hash value με άλλες πηγές...)
    Αν κάνεις την επαλήθευση με ψηφιακές υπογραφές, δεν είναι το ίδιο. Πολλά προγράμματα πλέον δεν παρέχουν απλά hashes αλλά επαλήθευση με υπογραφή.
    Ε τώρα αν έχουν χακάρει και τις υπογραφές, τι να πω
    topkek

  4. #4
    Το avatar του μέλους bomberb17
    bomberb17 Guest
    Παράθεση Αρχικό μήνυμα από divinesheet Εμφάνιση μηνυμάτων
    Αν κάνεις την επαλήθευση με ψηφιακές υπογραφές, δεν είναι το ίδιο. Πολλά προγράμματα πλέον δεν παρέχουν απλά hashes αλλά επαλήθευση με υπογραφή.
    Ε τώρα αν έχουν χακάρει και τις υπογραφές, τι να πω
    Εγώ πάντως δεν θυμάμαι κάποιο website να έχει signed hash.

  5. #5
    Εγγραφή
    01-06-2014
    Περιοχή
    ΑΓΙΑ ΠΑΡΑΣΚΕΥΗ
    Μηνύματα
    987
    Downloads
    6
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    109999/10999
    ISP
    Nova
    SNR / Attn
    14(dB) / 13(dB)
    Path Level
    Fastpath
    Παράθεση Αρχικό μήνυμα από bomberb17 Εμφάνιση μηνυμάτων
    Η απορία μου ήταν πάντα: Τι κερδίζουμε με το να κάνουμε verify το hash όταν κατεβάζουμε ένα binary; Αν ο hacker είχε καταφέρει να παραβιάσει τον web server και να περάσει μολυσμένο binary, τότε θα είχε καταφέρει να αλλάξει και το hash που δείχνει η σελίδα για να κάνει match το hash του μολυσμένου binary.. (εκτός και αν ο χρήστης το ψάχνει τόσο πολύ και κάνει cross-check το hash value με άλλες πηγές...)
    Ισχύει.
    Αλλά από την άλλη πόσοι χρήστες θα το κάνουν αυτό;
    Ποιός θα κάτσει να ελέγχει το hash με certutil πχ αν δεν έχει λόγο να πιστεύει ότι αυτό που κατεβάζει μπορεί να έχει πειραχθεί;

  6. #6
    Το avatar του μέλους bomberb17
    bomberb17 Guest
    Όπως είπα το θέμα είναι ότι ακόμα και αν ελέγξει το hash, και πάλι δεν είναι σίγουρος γιατί μπορεί ο hacker απλά να έχει αλλάξει το hash που φαίνεται στο download page.
    Ακόμα και υπογεγραμμένο να είναι όπως είπε ο φίλος μας παραπάνω (που εγώ προσωπικά δε το έχω δει πουθενά), και πάλι θα πρέπει να έχει υπογραφτεί με χρήση κάποιου PKI αλλιώς η υπογραφή είναι άχρηστη.

  7. #7
    Εγγραφή
    16-10-2008
    Μηνύματα
    3.275
    Downloads
    9
    Uploads
    0
    ISP
    -
    Με το hash τσεκάρουμε και για corruption. Αν είναι σωστό το hash, τότε κατεβάσαμε σωστά το malware

  8. #8
    Το avatar του μέλους bomberb17
    bomberb17 Guest
    Ε καλά δε χρειάζεται να κάνουμε πια τόση δουλειά με secure hashes.. Ένα απλό CRC32 checksum και τέλος

  9. #9
    Εγγραφή
    31-05-2006
    Περιοχή
    Στο σπίτι του Θόδωρα
    Ηλικία
    41
    Μηνύματα
    3.447
    Downloads
    0
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    Χίλια/Χίλια
    ISP
    INALAN
    Router
    UniFi Express
    Παράθεση Αρχικό μήνυμα από bomberb17 Εμφάνιση μηνυμάτων
    Η απορία μου ήταν πάντα: Τι κερδίζουμε με το να κάνουμε verify το hash όταν κατεβάζουμε ένα binary; Αν ο hacker είχε καταφέρει να παραβιάσει τον web server και να περάσει μολυσμένο binary, τότε θα είχε καταφέρει να αλλάξει και το hash που δείχνει η σελίδα για να κάνει match το hash του μολυσμένου binary.. (εκτός και αν ο χρήστης το ψάχνει τόσο πολύ και κάνει cross-check το hash value με άλλες πηγές...)
    Εύλογη η απορία σου αλλά η απάντηση σου έρχεται από το συγκεκριμένο incident - αν δεν υπήρχε το hash τότε θα αργούσαν πολύ να πάρουν χαμπάρι τι έγινε. Οπότε το συγκεκριμένο control δουλεύει αλλά θέλει και τους χρήστες να βάλουν ένα χεράκι.
    Στο συγκεκριμένο σενάριο φαίνεται πως το binary έγινε tampered μετά τη δημοσίευση - αλλιώς το hash verification θα έβγαζε επιτυχία. Παρόλα αυτά ο κακόβουλος χρήστης μπόρεσε να αλλάξει μόνο το binary αλλά όχι το hash.
    You thought there would be a funny slogan here.
    You just fell for one of my classical pranks.
    Bazinga

  10. #10
    Εγγραφή
    29-06-2005
    Μηνύματα
    15.802
    Downloads
    4
    Uploads
    0
    ISP
    .
    Δικαιωσαν τον τιτλο (MoROnero)

  11. #11
    Εγγραφή
    30-04-2008
    Μηνύματα
    8.650
    Downloads
    0
    Uploads
    0
    Που 'σαι ρε chek2fire...

  12. #12
    Το avatar του μέλους bomberb17
    bomberb17 Guest
    Παράθεση Αρχικό μήνυμα από Φιλόσοφος_Στ@ρχίδας Εμφάνιση μηνυμάτων
    Εύλογη η απορία σου αλλά η απάντηση σου έρχεται από το συγκεκριμένο incident - αν δεν υπήρχε το hash τότε θα αργούσαν πολύ να πάρουν χαμπάρι τι έγινε. Οπότε το συγκεκριμένο control δουλεύει αλλά θέλει και τους χρήστες να βάλουν ένα χεράκι.
    Στο συγκεκριμένο σενάριο φαίνεται πως το binary έγινε tampered μετά τη δημοσίευση - αλλιώς το hash verification θα έβγαζε επιτυχία. Παρόλα αυτά ο κακόβουλος χρήστης μπόρεσε να αλλάξει μόνο το binary αλλά όχι το hash.
    Ναι οκ δεν είπα ότι δεν προσφέρει τίποτα ως προς την ασφάλεια, απλά εννοούσα ότι δεν σημαίνει ότι αν τσεκάρουμε το hash με αυτό που υπάρχει στη σελίδα κοιμόμαστε ήσυχοι..

  13. #13
    Εγγραφή
    09-11-2007
    Μηνύματα
    1.571
    Downloads
    0
    Uploads
    0
    Ταχύτητα
    8192/1024
    ISP
    Cyta Hellas
    DSLAM
    Cyta Hellas - ΤΡΙΠΟΛΗ
    Παράθεση Αρχικό μήνυμα από bomberb17 Εμφάνιση μηνυμάτων
    Η απορία μου ήταν πάντα: Τι κερδίζουμε με το να κάνουμε verify το hash όταν κατεβάζουμε ένα binary; Αν ο hacker είχε καταφέρει να παραβιάσει τον web server και να περάσει μολυσμένο binary, τότε θα είχε καταφέρει να αλλάξει και το hash που δείχνει η σελίδα για να κάνει match το hash του μολυσμένου binary.. (εκτός και αν ο χρήστης το ψάχνει τόσο πολύ και κάνει cross-check το hash value με άλλες πηγές...)
    1. To binary συνήθως γίνεται host σε άλλον server από ό,τι αυτός με το site. Στο site περιέχονται και τα hashes. Οπότε μπορεί κάποιος να αλλάξει το binary αλλά να μην καταφέρει να τρυπώσει και στον server που κάνει host το site για να αλλάξει το hash.

    2. Μπήκα από περιέργεια στο site του monero να δω αν προσφέρουν GPG signed binaries. Δυστυχώς όχι, αλλά προσφέρουν GPG signed λίστα hashes και το public key βρίσκεται στο repo τους (άρα δύσκολο να αλλάξει). Παραθέτω τι λένε στην αρχή της σελίδας download:
    Note: the SHA256 hashes are listed by the downloads for convenience, but a GPG-signed list of the hashes is at getmonero.org/downloads/hashes.txt and should be treated as canonical, with the signature checked against the appropriate GPG key in the source code (in /utils/gpg_keys).
    Κάνω προσπάθεια να βάζω ; αντι για ?


  14. #14
    Εγγραφή
    26-03-2014
    Ηλικία
    29
    Μηνύματα
    90
    Downloads
    0
    Uploads
    0
    ISP
    Vodafone
    DSLAM
    Cyta Hellas - ΣΚΑΓΙΟΠΟΥΛΕΙΟ
    Router
    openwrt x86 abomination
    tbh αν είναι να κάτσεις να ασχοληθείς με monero καλύτερα να το κάνεις install με κάποιο package manager (οι οποίοι ελέγχουν pgp)

  15. #15
    Το avatar του μέλους bomberb17
    bomberb17 Guest
    Ok το Monero έχει μια παραπάνω "ευαισθησία" με το θέμα μια και αφορά κρυπτονόμισμα, αλλά και το ίδιο το project προέρχεται από επιστημονική ομάδα που τηρεί ευλαβικά τα security practices. (άρα και η τήρηση των hashes - binaries - public keys σε ξεχωριστούς servers).
    Τώρα βέβαια αυτό δε σημαίνει ότι τηρείται από τα υπόλοιπα binaries που διανέμονται δεξιά - αριστερά..

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας