Ian Balina es un inversionista en criptomonedas que dedica parte de su tiempo a dar consejos acerca del mundo del Bitcoin y las ICOs en su canal de YouTube. Uno o varios hackers accedieron a sus cuentas durante el streaming en vivo de una de sus charlas, y robaron 2 millones de dólares en criptomonedas.
|
etiquetas: criptomonedas , hack , streaming , ian balina
www.reddit.com/r/Buttcoin/comments/8co4nc/crypto_youtuber_hacked_out_o
Habría twitteado estar siendo hackeado antes de que ocurriera.
Un montaje.
Pues leyendo esto, se lo merece
El sistema es seguro. Lo que no era seguro era el sistema de guardar las claves.
Es como si dejas la llave bajo el felpudo y te quejas de la puerta si te roban.
Haces un streaming para montarte una coartada y haces que un compinche se lleve la pasta en medio de la retransmisión. ?
Vale, sacaría el título de experto donde Casado .... pero lo que no era, era en seguridad. He hecho, estaba a nivel párvulos.
Pero es altamente preocupante que alguien que esta trabajando con criptomonedas carezca de un conocimiento basico sobre como funcionan los ordenadores.
Mi impresion sobre el mercado de criptomonedas es que es una enorme burbuja dirigida por personas que no entienden la tecnologia ni los posibles usos reales de las criptomonedas, ni les importa entenderlos. Lejos queda la idea original de crear un nuevo tipo de moneda que estubiera libre de manipulaciones. Ahora solo importa cuanto dinero se puede chupar del sistema economico hasta que este falle. Una estafa piramidal a la antigua usanza.
Por eso la mayoría de bancos te obligan a una doble autenticación usando algún dispositivo físico para mover dinero.
Las cryptos deberían hacer lo mismo, si aspiran a sustituir al dinero clásico (como algunos pregonan)
www.reddit.com/r/Buttcoin/comments/8co4nc/crypto_youtuber_hacked_out_o
Habría twitteado estar siendo hackeado antes de que ocurriera.
Un montaje.
10/10 gizmodo.
El problema es que, cuanto más virtualizado esté todo, mas expuestos estaremos.
Mi banco me acribilla a llamadas para convencerme de que use su app, cuando ni tengo un smartphone.
Al sistema que se está imponiendo le importa tres pimientos tu seguridad. Lo único que le interesa es que no haya un documentos físico de ninguna transacción.
Ejemplo: ¿ El día que casquen los servidores de la Seguridad Social como carajo vamos a demostrar los años cotizados para reclamar una pensión ?
Pues con los bancos y el dinero, lo mismo. Sin papeles oficiales, estamos vendidos.
La tecnología está muy bien para una cosas, pero ya nos pasamos de guays.
El problema de Bitcoin y demás es que si entran en tu casa hasta la cocina y te roban, no tienes a quien reclamar ni a quien acudir
Si te ponen un sistema impenetrable vigilado por rayos laser y chuknorris ninjas armados hasta los dientes hasta arriba de coca y vas y dejas la llave debajo del felpudo, pues mira.
Edit: He usado la misma metáfora que #12, xorry.
Ahora que los bancos estan implementando las transferencias instantáneas, se va a disparar el fraude.
Si tampoco es totalmente seguro(En informatica nada lo es) , pero si sueles trabajar con portatil y movil. Y evitas el acceso de otras personas a ellos puede servir.
Y luego iréis por ahí pensando que sóis una especie de seres de luz cuyo mayor estandarte es la honestidad y respeto.
Sóis patéticos.
#35 A ver si ahora no se puede comentar la jugada
Que manía tenéis muchos de querer siempre tener a mano a un tercero para hacerle responsable. Si realmente necesitas eso, seguridad en la custodia de grandes cantidades, Xapo guardará tus bitcoins en un antiguo refugio nuclear Suizo, altamente custodiado, donde no tendrás problemas.
Siempre puedes utilizar evernote, por lo visto va bien. (Aunque parece ser que fue un robo con colaboracion del robado)
#1 #2 #3 #4 #5 #6 #9 #15 #20
Simplemente Google necesitaba que alguien pusiera al alcance de sus usuarios una herramienta que utilizase ese protocolo de generación de claves y como no la había o no era de suficiente calidad la hicieron ellos y pusieron su nombre.
en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm
2 millones incluyen 20? Redacta mejor mi hija.
Osea, depende de como de bien guardado esté ese secreto. Ignoro si esta aplicación va unida a tu cuenta de google (la usé hace mucho tiempo, cuando solo daba soporte a las cuentas de google y si, iba ligada a tu cuenta de google) Así que una de dos, o las claves secretas están en tu móvil o están en los servidores de google. En cualquier caso me parece mas inseguro que el sistema de claves y cartearas de un solo uso de bitcoin.
Ay con los ofendiditos...
Tanto quien ofrece el servicio como el usuario deben proteger sus claves sí.
Ignoro si esta aplicación va unida a tu cuenta de google
No va unido a nada, es un proceso completamente local en el dispositivo. Es una simple fórmula en la que partiendo de una clave secreta (shared key) permite generar claves temporales consensuadas.
Así que una de dos, o las claves secretas están en tu móvil
Están en tu móvil.
En cualquier caso me parece mas inseguro que el sistema de claves y cartearas de un solo uso de bitcoin.
No sé a que te refieres, ¿puedes aportar alguna información al respecto? (sospecho que aplican también TOTP aunque no seas consciente de ello).
Editado: Entiendo que te refieres al sistema de llave pública/privada. No entro a valorar si una es más segura que otra, solo respondía a la implicación de Google en el sistema del Google Authenticator, que no la hay más allá de que son quienes crearon la aplicación.
Perdón, estoy en esa edad.
PD: Y si entran a robar en casa, tengo seguro de hogar y además puedo llamar a la policía.
También es posible que cuando muevan los tokens, se pueda conocer su procedencia, como, si no recuerdo mal, pasó con los del Ransomware del año pasado, a los que pillaron cuando trataron de convertir a Monero los Bitcoins que habían recibido como pago.
Si como dices las claves están en tú móvil y no se sincronizan con tus otros dispositivos me parece un plus de seguridad, aunque es un poco ingenuo pensar que google no se ha reservado la capacidad de mirar tus claves. En cuanto a bitcoin, lo que yo hago (hice) es generar mi claves y apuntarla en un papel. Lo de las carteras de un solo uso no son mas que otro par de claves para una única transacción, a fin de minimizar riesgos. Si alguien te roba las claves, con un keylogger, mirandote por encima del hombro, etc. solo te van a robar una transacción. Esto no es obligatorio, es una practica común.
Obviamente si no guardas bien tu clave secreta y te la roban estás jodido, como con todo.
Tan sencillo como utilizar cualquiera de las muchas aplicaciones que implementan el protocolo TOTP como FreeOTP, Authenticator Plus, Authy, etc.
Simplemente Google fue el primero en utilizarlo de forma significativa y por eso se suele referir a su cliente de referencia. Lo que no quita que el protocolo es abierto y puedes implementarlo tú mismo si quieres.
En cuanto a bitcoin, lo que yo hago (hice) es generar mi claves y apuntarla en un papel. Lo de las carteras de un solo uso no son mas que otro par de claves para una única transacción, a fin de minimizar riesgos. Si alguien te roba las claves, con un keylogger, mirandote por encima del hombro, etc. solo te van a robar una transacción. Esto no es obligatorio, es una practica común.
El uso que se le da al TOTP es para acceder a servicios de terceros, como por ejemplo Gmail, añadiendo una segunda capa de autentificación. No es un sustituto para un sistema de cifrado con llave pública y privada ni pretende serlo.
Ha existido alguna iniciativa de sustituir el TOTP al que nos referimos por una propuesta basada en llaves públicas y privadas para evitar el riesgo que indicas de transmitir la clave y que se deba mantener segura en los dos extremos de la comunicación, con el sistema de llave pública y privada únicamente basta mantener seguro uno de los dos extremos que a su vez puede estar desconectado de la red permanentemente. Dicho esto estas iniciativas por ahora no han conseguido ser adoptadas. Y seguramente hay razones de peso para que no haya triunfado.
Con TOTP el usuario debe introducir una clave de 6 dígitos. Con llaves públicas/privadas se requiere que hablen los ordenadores entre sí.
Con TOTP puedes disponer de un dispositivo sin conexión a Internet, generar la clave no requiere de comunicación con el servidor (salvo cuando se configura la primera vez). Con llaves públicas/privadas el servidor debe recibir del emisor una respuesta firmada.
Un sistema no es mejor que el otro en todo, simplemente para cada caso tiene sentido aplicar una tecnología u otra. Si la información sensible ya está en el servicio de destino y está accesible a ellos hay poco que hacer desde el lado de usuario para protegerla más allá de confiar en quienes gestionan ese servicio.
www.coinbase.com/vault?locale=es
Justo acabo de acabar mi ultimo proyecto con Arduino, puede que me haga un generador de claves TOTP offline, me has dado una gran idea con esta conversación.
"Meanwhile, Balina says the hackers have gradually began moving his coins to popular exchange desks like Binance and KuCoin. We’ll update the story if there are any interesting developments.. We’ll update the story if there are any interesting developments."
¿De qué pais es este tipo?
¿No ha presentado una denuncia por robo y crackeo y las autoridades policiales, el fbi o el que sea rastreado inmediatamente las cuentas de los ladrones a traves de la red, y de los exchangers?
Los exchangers son como una especie de bancos y lo mismo que en un banco las autoridades se pueden poner en contacto para congelar o parar una acción delictiva (por ejemplo una transacción a traves de un banco en que unos terroristas van a comprar una ojiva nuclear a un traficante y casualmente las autoridades conocen las cuentas origen o destino de la transaccion) así que un juez les crea una orden y bloquean las transacciones con origen en alguna cuenta o rama de cuentas (grupo de cuentas que van siguiendo y desde la que parten las criptodivisas robadas) e incluso congelan el dinero hasta que se investigue mejor.
La clave son los exchangers o intercambiadores.
Despues se habrán creado bases de datos de cuentas y rastros de cuentas implicadas que quedarán digamos como congeladas. Un poco como las bases de datos de numeros imei de telefonos robados (los operadores de telecomunicaciones cuando estos telefonos denunciados como robados se conectan les bloquean el acceso a la red y generan una alerta, no sé si con la localización, muchos operadores de muchos paises lo hacen, otros no)
Si se ha conseguido pillar a algunos de los crackers de los crackeos de cajeros a traves de los equipos de los bancos (los que activaban para expulsar dinero en unos momentos determinados que unas mulas pasaban, y despues estas mulas pasaban el dinero a criptodivisas para pasarselo a los supuestos crackers originales u otros intermediarios)
www.vozpopuli.com/economia-y-finanzas/empresas/mulas-criptomonedas-ope www.entrepcs.com/jackpotting-capturan-delincuente-en-espana-y-roban-80
www.google.es/search?q=robo+cajeros+hackeo+bancos+mulas&oq=robo+ca
Lo de los cajeros creo que es lo que llaman jackpotting.
.
Al haberle desacreditado con esa supuesta argucia, la denuncia a la policia o autoridades seria mas compleja y quizás quedase desacreditada (no se la aceptarian) y los crackers tendrian mas tiempo para ofuscar las transacciones y cuentas a traves de las cuales tunelizaban y sacaban el dinero de la red o hacian desaparecer el rastro mejor.
- al activar el servicio normalmente se te facilitan unos códigos de un solo uso que puedes imprimir o guardar donde quieras.
- además en el caso concreto de Google, si tienes un pc con cuenta iniciada puedes desactivar la doble autenticación o bien descargar nuevos códigos de un solo uso
Claro que si acabas robando a una mafia poderosa igual te metes en un lio peor.
Bueno si no, se cumple el refran "quien roba a un ladron tiene 100 años de perdon".
Segun esto estimo que los crackeos y robos denunciados serán un mínimo porcentaje de los ocurridos.
Crackers justicieros que roban a delincuentes, mafiosos, traficantes, defraudadores, ... de los cuales descubren que cometen otros delitos. Es la versión de los justicieros que se toman la justicia por su mano en el mundo físico de fuera del ciberespacio.
Y como te comenta #95 tienes esos codigos... y opciones a la hora de configurar para recuperarla. Aun asi... si no tienes lo anterior, no es complejo.
A todo ello hay clientes TOTP (Google Authenticator lo es) que permiten hacer copias de seguridad, como Authenticator Plus.
Si almaceno todos mis datos bancarios en evernote y alguien los roba, estoy igual de jodido practicamente.
Mi blanco me exige doble autenticación vía móvil para hacer transferencia. Por tanto no puedo almacenar todos mis datos bancarios en evernote. No puedo poner mi móvil ahí.
Si te diera mi usuario y pin del banco podrías ver mis cuentas, poco más.
Es la ventaja de un sistema centralizado, que puedes aplicar medidas de seguridad de forma uniforme a todo el sistema.
Pues eso: no está preparado para el gran público.
Como dirían en el boletín de las notas del cole: necesita mejorar.