poniedziałek, 20 czerwca 2011

Bitcoin - włamania na konto i kradzież zawartości portfela

Tak sobie czytam o tym co się ostatnio dzieje w świecie Bitcoin. Mam na myśli włamanie na serwer MtGox z którego została skradziona cała baza danych, co na niej było tłumaczyć nie trzeba.

Jadąc rano do pracy postawiłem się w roli hackera, który chciałbym oskubać z bitcoinów innych używkoników. Co bym zrobił na jego miejscu ?

Celem byłby serwis www.Bitomat.pl

Pytanie jak się tam dostać. Włamanie na serwer to zadanie nie łatwe, ale są sprytniejsze sposoby. Wystarczy przyjąć założenie , że pewien procent użytkowników polskiego forum bitcoin posiada ten sam login i hasło jakie mają w bitomat.pl.

Ja bym się zabrał za podjeście psychologiczne, czyli stara szkoła Kevina Mitnicka i jego socjotechniki.

Na początek założyłbym strone dedykowaną dla handlujących bitcoinem, a o ferującą możliwość bezpiecznego przechowywania portfela, albo cos w tym rodzaju. Zrobienie dobrego faka powinno zająć kilka dni, włącznie z podłączeniem się do facebooka i kupieniem 1000 fanów(bo przecież to można kupić, ludzie sprzedają już swoje zdanie - takie czasy).

Potem wszedłbym na polskie forum bitcoin i zarzucił wątek z pytaniem czy ktoś ma tam konto, bo wejście jest tylko na zaproszenie a ja zaproszenia nie mam. Potem jako inny user rozdałbym kilka zaproszeń oczywiście wszystkie były by już wykorzystane. Zainteresowanie serwisem by wzrosło zwłaszcza, że byłby tajemniczym miejscem do którego każdy chciałby wejść. Po kilku dniach dał bym info od kolejnego usera na forum, że jest opcja zarejestrowania się bez zaproszenia.

Każdy user, który by się rejestrował podawałby hasło i login, które natychmiast wyświetlały by się na mojej konsoli. Dodatkowo algorytm banował by 2 pierwsze hasła, mówiąc , że za mało znaków itp. tym samy user podałby więcej niż jednoo swoje hasło. Te loginy i hasła natychmiast bym wprowadzał do panelu logowania się na www.bitomat.pl i czyścił kolejne konta. Skala może nie byłaby tak duża jak kradzież bazy z MtGox , ale zakładając pewien procent userów, którzy mają te same hasła kilku mógłbym okraść.


Rada prosta. Ja jak zakladam gdzie konto staram sie dawac nazwe uzytkoniwka zawsze inna, do tego haslo ktore generuje sobie swoim algorytmem (o tym pisałem już kiedyś).

---------------------
W ramach sprostowania nie podważam tutaj bezpieczeństwa żadnego z serwisów. To co napisałem ma służyć przewidzeniu zagrożenia, a nie zugerowaniu ataku czy podważaniu bezpieczeństwa.

3 komentarze:

  1. w bitomacie lada moment pojawi się zabezpieczenie w postaci sztywno ustawionego adresu portfela bitcoina oraz nr konta bankowego. w związku z tym na nic twoje sposoby.

    OdpowiedzUsuń
  2. Ale rozkminka dobra :]

    OdpowiedzUsuń
  3. nr konta bankowego?? hmm... a to miało nas w ogóle oderwać od tej bankowej sfory... czyli kółko się zamyka i bankierzy dalej mieli zajęcie :-)

    OdpowiedzUsuń