W ciągu ostatnich kilku dni tajemniczy złodziej przywłaszczył sobie ponad 320 bitcoinów należących do użytkowników portfela Blockchain.info. Wszystkie ofiary łączy jedno – ze swoim portfelem online łączyły się przez sieć Tor. To był zły pomysł.
Jedną z największych, a zarazem stosunkowo mało znanych wad sieci Tor jest narażenie jej użytkowników na ataki typu Man in The Middle prowadzone przez złośliwych operatorów węzłów wyjściowych. Taki węzeł może na przykład doklejać konie trojańskie do pobieranych plików wykonywalnych, ale może także przechwytywać hasła do portfeli BTC prowadzonych w sieci.
Przypadkowe ofiary
Pierwsze zgłoszenie poszkodowanej osoby, które znaleźliśmy, pochodzi sprzed 2 dni. Na Reddicie użytkownik Blockchain.info poskarżył się, że z jego konta zniknęło nieco ponad 1 BTC. Podał także adres portfela, na które powędrowały jego bitcoiny. Dzisiaj z kolei odezwał się inny poszkodowany, który z kolei stracił 2,5 BTC a twierdził, że dba o bezpieczeństwo, jego hasło ma ponad 80 znaków a korzysta z platformy linuksowej. Analiza użytkowników Reddita pozwoliła na ustalenie przyczyny kradzieży – obie ofiary korzystały z sieci Tor i portfela Blockchain.info.
Jak najprawdopodobniej doszło do ataku? Ofiary złodziei łączyły się za pośrednictwem sieci Tor ze stroną WWW. Miały pecha, ponieważ ich połączenie wychodziło do internetu przez węzeł sieci, którego operatorem był złodziej. Złodziej, aby podsłuchać ich loginy i hasła, musiał najpierw poradzić sobie z protokołem HTTPS. Podrobienie certyfikatu strony jest praktycznie niemożliwe, lecz atak nie był trudnym zadaniem – są gotowe narzędzia, które widząc żądanie HTTPS automatycznie zamieniają je na HTTP. Użytkownicy najwyraźniej nie zwrócili uwagi na to, że strona, którą otwierali, nie zapewniała już szyfrowania transmisji. Istnieją także narzędzia, które zamieniają ikonkę strony (favicon) na taką, która przypomina charakterystyczną kłódkę HTTPS, by optycznie oszukać użytkowników. Po przechwyceniu loginu i hasła atakujący mógł wypłacić środki, ponieważ poszkodowani nie korzystali z dwuskładnikowego uwierzytelnienia.
Niemałe straty
Choć osoby, które opisały na Reddicie swoje przygody, straciły relatywnie niewielkie sumy, to analiza rachunku złodzieja pokazuje, że jego łączne przychody wyniosły 321 BTC a jedna z ofiar straciła aż 254 BTC. Obroty na rachunku pokazują także, że do kradzieży dochodziło od 21 listopada tego roku a ostatnia transakcja miała miejsce wczoraj. Co ciekawe, już 4 dni temu Blockchain.info wprowadził filtr blokujący połączenia z sieci Tor więc najwyraźniej jego administratorzy zdają już sobie sprawę z zagrożenia.
Rachunek złodzieja
Warto przy tej okazji po raz kolejny przypomnieć, że Tor nie jest uniwersalnym narzędziem, zapewniającym użytkownikom magiczną odporność na wszystkie ataki. Między innymi z tego powodu warto oprócz Tora korzystać z połączenia VPN lub bardzo pilnie weryfikować, czy strona, którą otwieramy, zawsze oferuje połączenie szyfrowane.
Komentarze
Brawo! Zawszę się cieszę, gdy okradają bitcozjebów ;-) Pozdrowienia dla sprawcy i życzę dalszych powodzeń.
Zgadza się! Ja się dodatkowo cieszę jak biją murzynów a sąsiada drogówka łapie. Nic nie cieszy bardziej niż to, że kogoś okradają. To takie polskie przecież.
100/100 !
14/88!
Łuć XD
Ej, czy ty też wyrównujesz do dołu? Za mądry dla ciebie, kto mądrzejszy od ogółu matołów? Za bogaty ten, kto bogatszy niż ty? Ludzie zachowują się jak ogrodnika psy. Ej, czy równasz w dół? Skoro tobie brak, to niech też braknie mu? Brak mi słów na takie podejście -zawiść, zazdrość, zamiast starać się mieć więcej, tylko myślisz żeby inni mieli mniej… Ej, śmiej się, śmiej, zobaczysz jednak, twój śmiech urwie się jak hejnał. Niech myśl jedna ogarnie tu wszystkie umysły…
Słowa Wojtka Sokoła nadal aktualne.
schutzen88, ile utopiłeś nieumiejętnie w nie inwestując? Podejrzanie mocno boli cię dupka ;-)
No niektórzy już sobie niezły biznes z TORa zaczynają robić… Coraz gorzej, czas chyba na TORv2, bo ostatnio wychodzi wada za wadą.
W sumie wiele z tych wad jest znanych od dawna ;)
Bitcoin i inne kryptowaluty, „z natury” zapewniają anonimowość. Na razie operacje Bitcoinowe nie są zakazane, choć prawdopodobnie są monitorowane. Co miało dać poszkodowanemu użycie Tora? Równie dobrze mógł to zrobić jakimś VPNem, nawet enkapsulując go kolejnym VPNem, skoro tak bardzo chciał ukryć operację kryptowalutą.
.
O Torze zrobiło się już głośno za sprawą spektakularnych włamów i operacji policyjnych, i widzę że ludzie bezkrytycznie wierzą w jego „siłę”.
Monitorowane w jaki sposób? Możliwy jest tylko backdoor w portfelach lub tak jak tutaj, atak MIDM.
Miałem na myśli portale oferujące operacje kryptowalutami, użytkowników je odwiedzających i logujących się. O ile samej kryptowaluty nie da się „monitorować”, to można obserwować jak się te transakcje rozwijają. Rządowe fiskalizmy nie będą przyglądać się rozwojowi Bitcoina bezczynnie.
Bitcoin absolutnie nie jest anonimowy. Pełna historia operacji, portfele, powiązania – wszystko jest publicznie dostępne.
http://www.theregister.co.uk/2014/11/27/bitcoin_laid_bare_boffins_beat_anonymity/
http://www.coindesk.com/researcher-tracks-bitcoin-movements-anonymity/
i przede wszystkim to: http://arxiv.org/abs/1107.4524
itd.
ATSD „Co ciekawe, już 4 dni temu Blockchain.info wprowadził filtr blokujący połączenia z sieci Tor więc najwyraźniej jego administratorzy zdają już sobie sprawę z zagrożenia.” to takie trochę wylewanie dziecięcia z kąpielą :/
No no. Zawsze myślałem że BTC zapewnia anonimowość. Ale jak widać to trochę bardziej skomplikowane.
Bitcoin zapewnia pseudonimowość. Anonimowość powinien zapewnić Zerocoin, dodatkowy protokół działający na Bitcoinie.
Ale też nie przejmowałbym się specjalnie jednym artykułem z arXiv. Nie chce mi się powtarzać historii z /., więc tylko zarzucę linkiem dotyczącym innej „deanonimizacji” – poczytajcie sobie całą dyskusję.
http://yro.slashdot.org/story/14/11/26/2121214/bitcoin-is-not-anonymous-after-all
Ja dodam jeszcze, że na samym Blockchain (tak, ten serwis, co o nim jest w artykule). Można sobie na żywo oglądać transakcje BTC:
https://blockchain.info/pl
zastanawiam się tylko ile czasu zajmuje wpisywanie hasła składającego się z 80 znaków…
Pewnie ctrl+c ctrl+v z pliku tekstowego :P
Na początku przeczytałem MIT :D Studenci vs Bitcoinowcy xD Dziwne, że wcześniej nie pomyśleli o tym filtrze na tora :v
Teoretycznie TOR zapewnia dodatkową prywatność – o ile ktoś umie na tyle go używać, by nie połączyć się przez http…
Bo btc trzyma sie na portfelu na pececie najlepiej a nie w wirtualnych portfelach. Kopiujesz regularnie plik wallet.dat i tyle jezeli chodzi o zabezpieczenia.
„Jedną z największych, a zarazem stosunkowo mało znanych wad sieci Tor jest narażenie jej użytkowników na ataki typu Man in The Middle prowadzone przez złośliwych operatorów węzłów wyjściowych.”
Mam nadzieję że twórcom TORa się to uda naprawić
Z tego co się orientuję to ten portfel jest oparty w pełni na javascript, z serwera otrzymuje się jedynie zaszyfrowany portfel, a wszystkie operacje są wykonywane na poziomie przeglądraki (w tym odszyfrowanie portfela). Atakujący więc nie podsłuchał a dokleił swoje złośliwe coś, by otrzymać hasło.
Na biednego nie trafiło
I po co komu był ten bitcoin?
Jak ktos korzysta z Tora laczac sie z platformami Bitcoin i nie weryfikuje czy ma HTTPS czy nie to sorry ale czegos tu nie rozumiem , przeciez to sa podstawy!!!Tak to jest jak ludzie uzywaja narzedzi o ktorych nie maja pojecia.
HTTPS to podstawa jesli chodzi o Tor przeciez wiadomo ze ostatni wezel to slaby punkt,dodatek do przegladarki HTTPS everywhere sie klania.