Украли все средства с аккаунта BTC-e

[AntonCh]

Это можно назвать пиаром, но я не могу спокойно смотреть на то отношение к безопасности пользователей, которое наблюдаю в BTC-e и не только.

 

Уважаемые пользователи btc-e.com и не только

 

Отвечу по вопросам:

 

1. По поводу 2фа да действительно не всегда она спасает от троянов (кейлогеров и т.п.) так как при вводе данных - троян их будет перехватывать, а так же в некоторых случаях может подменить.

 

А зачем тогда такая 2фа?

Это конечно правильно защищаться от подбора пароля, но это защита от атак 10-летней давности. Никакие 20-значные пароли и никакие блокировки по IP вам не помогут если у вас в браузере сидит троян - man-in-the-browser attack (MitB).

 

Сейчас многие биржи, в том числе BTC-e, поставили себе google authenticator и убеждают пользователей его активировать как лучшую защиту от взлома. Типа Google это правильно, открытый стандарт это правильно, опенсорс это правильно. Бред. Правильные вещи нужно еще и правильно использовать. Google Authenticator предназначен только для аутентификации пользователя (т.е. логина), и ни для чего более. Его категорически нельзя использовать для подтверждения транзакций, потому что когда вы вводите код из аутентификатора, вы не знаете, что вы подтверждаете. Когда троян сидит в браузере, он может как угодно менять то что вы видите в своем личном кабинете в BTC-e, он может перехватить только что введенный вами код и сразу использовать его для совсем другой транзакции, нежели вы предполагали (30 секунд вполне достаточно). Трояну не нужен ваш пароль - вы его сами вводите при входе. Трояну не нужен ваш аутентификатор - вы сами вводите одноразовый код... но только не для себя.

 

Правильно делать 2-факторную авторизацию транзакции, а не 2-факторную аутентификацию пользователя. Детали транзакции должны обязательно отобразиться на втором устройстве, которое используется для подтверждения (чаще всего - на телефоне), и которым троян в браузере не может манипулировать. Правильно сделано здесь: https://www.azid.ru/sites.php (это обещанный пиар).

 

Теперь, что мы видим в BTC-e:

1. Коды из аутентификатора используются для подтверждения вывода, когда пользователь не знает реально, что он подтверждает.

2. Во время привязки гугл аутентификатора его ключ отображается в браузере. Это значит, что если троян уже сидит в браузере, ваш будущий взломщик может стащить ключ и сделать себе клон вашего гугл аутентификатора.

3. Даже та хромая реализация 2фа, которая есть, может быть отключена просто снятием галочек на странице "Безопасность". Никакого подтверждения для этого не требуется. Соответственно, если в компьютере ТС был троян, он мог это тихо сделать и сразу запросить вывод средств без подтверждения.

 

В-общем, то что сейчас есть в BTC-e это не безопасность, это попытка создать ложное чувство безопасности (Брюс Шнайер, известный гуру в области компьютерной безопасности, называет это security theater), поэтому несмотря на 3-летнюю историю биржи, сейчас я бы никому не рекомендовал ей пользоваться, до тех пор пока там не появится нормальная защита.

 

Раскрытие информации: я являюсь со-учредителем компании, которая делает TapLogin (ссылка выше), я не имею интереса в goc.io, они пока единственный биткойн сервис, который использует наше решение.

[En1ken]

@AntonCh,Уважаемый, вы пиаритесь слишком смешно)

Вы сами себе же и противоречите. Если у пользователя в браузере уже сидит троян то НИКАКАЯ защита не поможет, особенно со стороны биржи, ведь биржа не знает кто сидит у вас за компом.

Что касаемо дублирование информации на второй девайс, то это возможно только с помощью смс,ибо подключение интернета к второму девайсу так же не гарантирует что в нем ничего не сидит уже. Если биржа будет отправлять данные в смс сообщениях(полные данные о переводе, сумме и т.д и т.п) то о какой конфиденциальности может идти речь? Те же опсосы, тот же билинг с радостью сольют все ваши данные куда нужно, и опять вы будете крыть биржу что вас раскрыли. Да и что помешает злоумышленнику подделать смс, или же вскрыть сам билинг, ведь как показывает практика(спамеры, слитые базы в сети) то все билинги ненадежные ибо сделаны только ради выгоды и быстрого наполнения кармана, да и что таить, сами билинги продают базы номеров. Так что смс информирование не выход из ситуации.

Самая главная защита,это руки и мозги того кто сидит у монитора. Если у вас на бирже круглые суммы то кто вам мешает купить простенький нетбук за 5 000 рублей, поставить туда линукс, заблокировать файл хост на то чтобы пускал только на адрес биржи и почты и не лазить по порнушке с него))

@koksokola,Если у вас в девайсе с которого сидите на бирже уже сидит бяка то никакие смс, никакая 2фа вас не спасут.

[En1ken]

@AntonCh,P/s Я бы низа что не доверил бы свой аккаунт в ваш сервис, по той простой причине что вы тогда получаете доступ КО всей моей информации,что с телефона что с компа. Так как что девайс что комп отправляют запросы по вашим api, если у вас нидай бог обнаружится дырочка, ну или вы захотите легких денег(читать как кинуть) то у вас в руках будет вся биржа. Да и если через вас пойдет много трафа и вами заинтересуются то где гарантия что вы не сдадите все данные в органы? А биржа которая 3 года функционирует и которая доказала свои серьезные намерения(вспомните взлом(подбор api ключей) и слив много денег со счетов) и биржа не закрылась(как тот же гокс и так далее) а вернула средства и продолжила свою работу. А то что некотоые пишут типа их сломали и так далее то нужно меньше лазить по всяким левым сайтам, повторюсь, ВАША безопасность в ВАШИХ же руках.

Скажу прямо, у меня на скрытой учетке(с которой не пишу в чате, у которой мыло нигде не палилось) лежит довольно таки приличная сумма, и в сутки через нее проходит ну очень много средств(порядка 100-150 000 долларов, и 10-30 000 евро) и так уже на протяжении 9 месяцев, и странное дело, ни разу лишней копейки не потерял(тьфу тьфу) потому что нужно думать головой при финансовых делах.

[Susur]

Так а почему не воровали у миллионеров? В страхе что те на спустят на тормозах?

крипта такая вещь, что если ее уперли, то ее уже не найдешь и не вернешь,

и не надо большого ума, чтобы замести за собой следы.

[btc-e.com]

Может кто знает, возможно ли получить от почтовой службы логи за определенный день, tut.by (привязан к google Apps)?

 

Ниже дамп письма отправленного на ваш почтовый ящик, с которого был подтвержден вывод средств.

 

for < serge######>; Mon, 14 Apr 2014 11:32:15 +0000 (UTC) 

To: serge########## 

From: "BTC-E" < no_reply@btc-e.com> 

Content-Type: text/plain; charset="utf-8" 

 

Уважаемый RaiH, 

 

Нам поступил запрос на вывод 1.75739511 BTC на кошелек 1AsfVw6k5QNn9JVbBHPUZ2V1rT1N6tRDMo 

 

Для подтверждения транзакции перейдите по ссылке: 

https://btc-e.com/withdraw_confirm/5f0f9ae19fac880da8ffc3b4dbbd5cb8b74bec9dsad21030a65d90c43ce3e54c65058081f042d22da02ab4b39f46d8e153855320bee707c6f1744b45bb5aa8fcad7 

 

Для отмены транзакции перейдите по ссылке: 

https://btc-e.com/withdraw_confirm/5f0f9ae19fac880da8ffc3bsss4dbbd5cb8b74bec9d21030a65d90c43ce3e54c65058081f042d22da02ab4b39f46d8e153855320bee707c6f1744b45bb5aa8fcad7?cancel=1 

 

IP: 217.21.51.41 

Имя пользователя: RaiH 

 

С Уважением, 

Администрация портала BTC-E.COM 

[gudini]

в общем от кражи на бтц-е не защищен ни кто получается?

[En1ken]

@gudini,Читайте выше, ВАША безопасность ВСЕГДА только В ВАШИХ руках. И дело тут совсем не в бирже, дело в том как вы сами к ней(безопасности) огтноситесь

А то тут послушаешь некоторых, так все вешают на биржу, тогда по сути можно спецом ставить себе вирус, и потом гнать на биржу типа свистнули, верните мне бабки.

@thecure, А может потому что миллионеры думаю башкой за свою безопасность? И не относятся халатно, и не бродят по ссылкам из чата, не смотрят порно, и не качают всякие боты терминалы на рабочую станцию.

Может в этом на самом деле заключается почему у них ничего не воруют? Может иммено поэтому они спокойно хранят тонны средств на бирже? Ведь все что делается на бирже делается на свой страх и риск, потому как потом невозможно найти концов.

Если бы биржа тырила средства то им проще и лучше ограбить одного миллионера и замять дело, чем воровать у сотен мелких клиентов, которые как правило начинают больше ныть чем тот же миллионер.

 

Ну а что миллинер сделает? Он так же как и ты будет писать-писать, а его будут игнорить-игнорить.

 

это как в банке вкладчик с 1000 дол. и вкладчик с 100000 дол., вроде оба клиенты банка а отношение к ним разное. Понимаешь в чём загвоздка, я думаю что акки крупных держателей средств под находятся лучшим надзором со стороны биржи. Представляешь если хакнут такой акк снимут с ордеров  около 1000 битков или если на нём фиат то закупят на него эти 1000 битков, как поведёт себя курс Да и вывод сразу с биржи к примеру 1000 битков подозрителен. Думаю у этих людей с биржей свои договорённости есть. 

P.S. Осталось найти такого милионера и у него спросить  :)

Что за бред вы несете епть. Вам гокс ничего не показал и не научил что ли?

Там свистнули миллиарды, плюс Карпелеса все знают и знают кто и где он, но один хрен ничего не могут сделать.

А тут о бирже никто ничего не знает,ни владельцев ни офиса,Вообще ничего, и даже миллионеры ничего не знают, так что прекращайте пороть ахинею, и проверьте лучше свой девайс на вирусы, и подумайте, КАКИЕ боты, КАКИЕ терминалы вы ставили для торговли?

[Elena82]

Рекомендую зарегестрироваться и продублировать информацию на http://mmgp.ru/showthread.php?t=231007&page=35referrerid=116591 Там просто представитель биржи отписывается по всем проблемам... Да и другим интересно будет...

[vm2014]

по-моему лучше чем одноразовый пароль из смс пока что ничего не придумали

 

Согласен, но это стало неоправданно дорого в последнее время - 55 коп. за СМС. Поэтому все переходят на аналогичные push-сообщения через приложения, как taplogin. Вряд-ли кто-то согласится отдать несколько рублей только за вход и подтверждение пары операций.

[thecure]

на сайте таплогина в прайсе указана цена в 50 копеек за одно подтверждение. Я конечно может не все условия смотрел, но это бросилось в глаза.

[vm2014]

@AntonCh,Уважаемый, вы пиаритесь слишком смешно)

Вы сами себе же и противоречите. Если у пользователя в браузере уже сидит троян то НИКАКАЯ защита не поможет, особенно со стороны биржи, ведь биржа не знает кто сидит у вас за компом.

Что касаемо дублирование информации на второй девайс, то это возможно только с помощью смс,ибо подключение интернета к второму девайсу так же не гарантирует что в нем ничего не сидит уже. Если биржа будет отправлять данные в смс сообщениях(полные данные о переводе, сумме и т.д и т.п) то о какой конфиденциальности может идти речь? Те же опсосы, тот же билинг с радостью сольют все ваши данные куда нужно, и опять вы будете крыть биржу что вас раскрыли. Да и что помешает злоумышленнику подделать смс, или же вскрыть сам билинг, ведь как показывает практика(спамеры, слитые базы в сети) то все билинги ненадежные ибо сделаны только ради выгоды и быстрого наполнения кармана, да и что таить, сами билинги продают базы номеров. Так что смс информирование не выход из ситуации.

Самая главная защита,это руки и мозги того кто сидит у монитора. Если у вас на бирже круглые суммы то кто вам мешает купить простенький нетбук за 5 000 рублей, поставить туда линукс, заблокировать файл хост на то чтобы пускал только на адрес биржи и почты и не лазить по порнушке с него))

@koksokola,Если у вас в девайсе с которого сидите на бирже уже сидит бяка то никакие смс, никакая 2фа вас не спасут.

 

Согласитесь, что подсадить бяку на два устройства одновременно – это уже серьезная задача? Тем более одновременно с них подменять действия пользователей в отношении конкретной транзакции... Это может стоить дороже денег на аккаунте. 

 

Хотя то, что безопасность зависит от отношения пользователя, – это совершенно точно.  :)

[AntonCh]

Вы сами себе же и противоречите. Если у пользователя в браузере уже сидит троян то НИКАКАЯ защита не поможет, особенно со стороны биржи, ведь биржа не знает кто сидит у вас за компом.

 

 

Абсолютно верно, применительно в BTC-e в ее нынешнем виде. Грамотно сделанная двухфакторная защита поможет даже если в браузере уже сидит троян.

 

Что касаемо дублирование информации на второй девайс, то это возможно только с помощью смс,ибо подключение интернета к второму девайсу так же не гарантирует что в нем ничего не сидит уже. Если биржа будет отправлять данные в смс сообщениях(полные данные о переводе, сумме и т.д и т.п) то о какой конфиденциальности может идти речь? Те же опсосы, тот же билинг с радостью сольют все ваши данные куда нужно, и опять вы будете крыть биржу что вас раскрыли. Да и что помешает злоумышленнику подделать смс, или же вскрыть сам билинг, ведь как показывает практика(спамеры, слитые базы в сети) то все билинги ненадежные ибо сделаны только ради выгоды и быстрого наполнения кармана, да и что таить, сами билинги продают базы номеров. Так что смс информирование не выход из ситуации.

 

В том числе поэтому мы не используем смс (если у вас смартфон). Общение с телефоном идет напрямую через интернет с 100% шифрованием всего трафика.

 

Что касается взлома второго девайса, напомню, что смысл двухфакторной защиты как раз в том, чтобы усложнить задачу для взломщика - вынудить его взламывать два девайса, а не один. В той реализации 2фа, что есть сейчас в BTC-e, взламывать второй девайс не нужно, он бесполезен и существует только для вашего "спокойствия".

 

Самая главная защита,это руки и мозги того кто сидит у монитора.

Полностью согласен. Вы так или иначе кому-то доверяете свои данные или деньги. Смотрите насколько они грамотны в защите ваших данных или денег.

[AntonCh]

на сайте таплогина в прайсе указана цена в 50 копеек за одно подтверждение. Я конечно может не все условия смотрел, но это бросилось в глаза.

да, вы не все смотрели. Указанная цена относится только к старым java телефонам.

[En1ken]

@AntonCh, Согласитесь, но добровольно давать данные третьим лицам между потребителем и непосредственно биржей, гораздо опаснее чем работать напрямую.

[madmaximka]

@AntonCh, Согласитесь, но добровольно давать данные третьим лицам между потребителем и непосредственно биржей, гораздо опаснее чем работать напрямую.

 

естественно. использование дополнительной прокладки увеличивает риски. считаю что использование электронного ключа, а также TAN генератора значительно уменьшает вероятность воровства средств. однако не замечал за биржами желания использовать данные решения...

[En1ken]

@madmaximka, Вы понимаете что использование сторонего сервиса это равносильно тому что вы подарите все свои данные этому сервису.

Неужели вы реально думаете что молодой стартап,который занимается пиаром в таких темах способен выдержать нагрузку которую создадут пользователи биржи?

Нагрузку в плане безопасности, ведь даже самая маленькая уязвимость приведет к тому что те кто воспользовался этим сервисом просто станут доступны хакеру.

Это как про ту барсетку, вы знаете для чего создали Барсетку, нета для чего, а чтобы потерять все документы и деньги разом)

[En1ken]

@AntonCh, кстати вопрос.

Почему вы считаете что использование 2фа бесмысленно? Если в момент генерации и создания кода у вас уже сидит вирус то это опять же все на плечах пользователя, нужно быть ответственным.

Если же вы про троян который перехватывает данные то если такой троян сидит уже в компе, то при регистрации в вашем сервисе(или на бирже) троян подсунет свою ссылку на скачку(и пользователь не узнает об этом), так что не несите чепухи, 2фа разрабатывали специалисты которые по крайней мере на порядок выше вашего знают про безопасность,недаром данным видом авторизации пользуются крупнейшие банки, сервисы и тому подобное.

И кстати, на будущее, все что подключенно к интернету УЖЕ уязвимо), так что нужно для таких дел иметь как раз таки офлайн ключ.

[RaiH]

..............

Изменено 23 июл 2015, 19:33 пользователем RaiH

[thecure]

Самое надежное решение описал Eniken - отдельный линукс терминал, в идеале еще два инет канала и два терминала, один для работы, другой для ввода вывода средств.  И почты не на всяких тут.бай, а на гугле с смс авторизацией.

Изменено 17 апр 2014, 10:42 пользователем thecure

[En1ken]

@thecure, Ну 2 канала это уже перебор)) Я со второго девайса(нетбук) веду все переговоры,сделки и так далее, а на компе только на бирже и там же делаю код, потом код перекидываю себе по аське на нетбук и уже оттуда копирую и отдаю непосредственно клиенту, так же и принимаю на аську которая в компе. Пароли сложные, записанны в бллокноте, скажете что мания? Зато знаю что те суммы которые мне отдают клиенты останутся в целости и сохраности, уж лучше перебздеть чем недобздеть.

@thecure,Насчет гугл почты именно так и сделанно, причем каждый раз как выхожу жму кнопку выход.так же и на бирже.

[traider_999]

 

Может кто знает, возможно ли получить от почтовой службы логи за определенный день, tut.by (привязан к google Apps)?

 

Ниже дамп письма отправленного на ваш почтовый ящик, с которого был подтвержден вывод средств.

 

for < serge######>; Mon, 14 Apr 2014 11:32:15 +0000 (UTC) 

To: serge########## 

From: "BTC-E" < no_reply@btc-e.com> 

Content-Type: text/plain; charset="utf-8" 

 

Уважаемый RaiH, 

 

Нам поступил запрос на вывод 1.75739511 BTC на кошелек 1AsfVw6k5QNn9JVbBHPUZ2V1rT1N6tRDMo 

 

Для подтверждения транзакции перейдите по ссылке: 

https://btc-e.com/withdraw_confirm/5f0f9ae19fac880da8ffc3b4dbbd5cb8b74bec9dsad21030a65d90c43ce3e54c65058081f042d22da02ab4b39f46d8e153855320bee707c6f1744b45bb5aa8fcad7 

 

Для отмены транзакции перейдите по ссылке: 

https://btc-e.com/withdraw_confirm/5f0f9ae19fac880da8ffc3bsss4dbbd5cb8b74bec9d21030a65d90c43ce3e54c65058081f042d22da02ab4b39f46d8e153855320bee707c6f1744b45bb5aa8fcad7?cancel=1 

 

IP: 217.21.51.41 

Имя пользователя: RaiH 

 

С Уважением, 

Администрация портала BTC-E.COM 

 

RaiH,так тебе это письмо приходило или нет...

[thecure]

@thecure, Ну 2 канала это уже перебор)) Я со второго девайса(нетбук) веду все переговоры,сделки и так далее, а на компе только на бирже и там же делаю код, потом код перекидываю себе по аське на нетбук и уже оттуда копирую и отдаю непосредственно клиенту, так же и принимаю на аську которая в компе. Пароли сложные, записанны в бллокноте, скажете что мания? Зато знаю что те суммы которые мне отдают клиенты останутся в целости и сохраности, уж лучше перебздеть чем недобздеть.

@thecure,Насчет гугл почты именно так и сделанно, причем каждый раз как выхожу жму кнопку выход.так же и на бирже.

ну два канала это совсем параноидальный уровень защиты :D

[Final]

И кстати, на будущее, все что подключенно к интернету УЖЕ уязвимо)

Вы не поверите. Но уязвимо даже  то, что не подключено к интернету и никогда не будет.) 

Можешь почитать документы Сноудена например - это если в общих чертах. Масштаб там посерьезней.

В последнее время даже начал испытывать некоторую паранойю и желание уехать в Тундру.

[thecure]

 

И кстати, на будущее, все что подключенно к интернету УЖЕ уязвимо)

Вы не поверите. Но уязвимо даже  то, что не подключено к интернету и никогда не будет.) 

Можешь почитать документы Сноудена например - это если в общих чертах. Масштаб там посерьезней.

В последнее время даже начал испытывать некоторую паранойю и желание уехать в Тундру.

 

Типо что в ЦРУ нажимают кнопку и все биосы и процессоры Интелд взрываются?

[En1ken]

@Final, Ну так мы сейчас говорим конкретно о конкретной бирже)

Единственный вариант это если сама биржа разработает подобие того сервиса который предлагает выше.