Příspěvky

361

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 09:46:24 »

A ještě jedna věc, pokud bych se chtěl vráti na začátek diskuze. Jak podle vás byl prolomen bitcash? Znáte někdo podrobnosti útoku. Co vím, tak Carlos se bil do prsou, že má perfektně zabezpečný server a dělá audity. Pravděpodobně myslel audity vlastního indiána, protože byl na to patřičně hrdy. Měl tam prý i nějaký iptables pravidla proti ddosům.

Jenže podle jiných informací ho nejspíš někdo vykradl přes aplikaci. Z povahy toho, jak probíhala krádež se někdo tam snad ani nedostal přes sql injection, ale prostě se mu naboural do admin rozhraní a donutil aplikaci, aby vyplatila bitcoiny na jinou adresu. Možná dokonce ani neviděl jakou částku, protože ta výplata je ve dvou transakcích, jako by se snažil tu částku uhodnout (a navíc to nevybral vše).

Z toho usuzuju, že je fajn mít super extra zámek a ocelové dveře a mříž na dveřích, ale nesmím ve sklepě nechat otevřené okno a v celý barák volně průchozí. Podle mého názoru zabezpečení se nesmí soustředit jen na dveře. Má manželka například než jde spát, tak poctivě zamkne všechny dveře do všech pokojů a do sklepa. Takže asi tak.

Otevřený SSH, banner v apachovi... neříkám, že by se to nemělo podceňovat, ale na druhou stranu, je to až to poslední a zároveň to nejjednoduší, co jde zabezpečit.

362

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 09:37:35 »

Ano, zatím se ve vašem systému nepodařilo najít žádnou bezpečnostní díru – ovšem především proto, že to zatím nikdo vážně nezkoušel. A pokud váš systém opravdu umíte dobře zabezpečit, pak je záhadou, proč předvádíte tu spoustu začátečnických chyb: výpis SQL příkazů uživateli (už teď jste útočníkům prozradili, jak se jmenují některé tabulky a sloupce a jaký máte způsob pojmenování – pro SQL injection je to usnadnění práce); různé výmluvy typu teď je to jen demo nebo jen narychlo, to ještě doděláme; nedokážete si obhájit SSH na standardním portu; zřejmě vůbec nemáte definované bezpečnostní požadavky na provozní prostředí a na způsob nasazení aplikace (jinak byste podle nich postupovali už při nasazení dema – protože postupovat jinak by bylo porušením těch požadavků).

Asi jsem se blbě vyjádřil, nebo přecenil diskutující. Samzořejmě jsem chtěl prolamovat aplikaci a ne provádět cílený útok na servery virtualmasteru, jakože nemáme ještě žádný stabilní server na kterým poběží ostrý provoz. Za to se omlouvám. Na produkčním serveru žádný SSH být nesmí a ideální by bylo, kdyby to byla nejaka DMZ (beztak tam bude nějaký LBL, v nejhorším případě proxy). Myslel jsem si, že to lidem dojde.

363

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 09:33:43 »

Dobře tedy, každopádně, zatím největší problém jste skutečně objevil vy a to zapomenutý výpis chybové hlášky, což jsem následně fixnul. Jestli to byl nejhorší problém v celém systému, tak to vypadá dobře

Právě naopak, vypadá to hodně špatně. Je z toho totiž zřejmé, že místo „vytvoříme maximálně bezpečné prostředí, kolem kterého

Jen bych vás přátelsky upozornil, že jste reagoval na ironii. Ta myšlenka pokračuje.

... Samozřejmě bych byl blbej, kdybych si teď řekl, že je to ok, můžem to pustit. To spíš uznám, že tenhle způsob penetračního testování nebyl moc úspěšný.

364

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 08:32:12 »

Chtěl bych se zeptat, z jakého programu je to výstup?

Nevím možná by stačilo použít google? Nápovědu jste dostal opravdu velkou. Já to našel okamžitě co to bylo za program

no asi neumím hledat, protože jsem hlášku napsal do google a vypadlo na mě spoustu diskuzí na různá témata

PS: Sakra lidi, opravte někdo tohle debilní forum. pořad mi vypadává sezení a odhlašuje mě to

365

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 08:30:10 »

B) Ondřeji, pokud ti rozhodím sandál pomocí 10-ti příkazů napsaných z konzole, tak nadávání mi do scriptkiddies a pindy o tom, že k žádnému narušení bezpečnosti nedošlo, nejen že mě neublíží, ale v očích celé řady lidí ztrácíš hodnotu, maskuješ svojí blbost, aroganci a trapně naduté ego. Totiž jen idiot kouše do ruky, která ho krmí - navíc když o to sám požádá, požádal jsi, aby se ti na to

Z dovolením, na to musím reagovat

Myslím si, že o nadutém egu by tady mohlo vyprávět mnoho lidí. Já jsem v zásadě s tím ale počítal. Pokud nadutě prohlásím, že to nikdo nehackne, můžu očekávat pak bití do prsou toho, kdo první objeví nějaký problém. A tak se tak stalo. ... začalo to žumpou... proto reakce ve stylu akce...

A je to přesně tak, jak tu někdo napsal výše. Kdybych jsem sem přišel s klasickou prosbou o pomoci, tak budu zaignorovaný. Stačí si přečíst celý forum. Ale každý zdejší diskutér a spoustu dalších zejména linuxáků, si myslí, že umí všechno a že to mohou každýmu ukázat... a na tuhle strunu jsem cíleně chtěl zahrát (i když mi to věřit nebudete - což mi je v celku jedno)

Dobře tedy, každopádně, zatím největší problém jste skutečně objevil vy a to zapomenutý výpis chybové hlášky, což jsem následně fixnul. Jestli to byl nejhorší problém v celém systému, tak to vypadá dobře Samozřejmě bych byl blbej, kdybych si teď řekl, že je to ok, můžem to pustit. To spíš uznám, že tenhle způsob penetračního testování nebyl moc úspěšný.

Kdyby to bylo ovšem tak jednoduché. Několika testů v minulosti jsem se už účastnil od některých českých firem plných expertů. Asi bych to shrnul slovy klasika: "Ja nevím, ale já osobně bych do takového výzkumu neinvestoval" - v reakci na prohlášení, že Jára Cimrman do obce přicestoval kolem roku 1906 plus mínus 400 let... tak zhruba tak nějak vypadal výstup z toho testu ("je to asi OK, ale jsou tam možná i nějaká hrozně velká rizika" - když to chcete slyšet)

Nechci se ptát - doporučte mi firmu. To jsem několikrát udělal když jsem doma instaloval topení. Po třech vyhozených instalatérech  začínám uvažovat, že se naučím ty trubky vařit sám.

Ale zpátky k tématu. Ta služba je skutečně v demu, ne že by si někdo řekl, že to asi není bezpečný a operativně to přepnul do dema. Je to taky tím, že některé části ještě nejsou napsané (zejména věci, které souvisí s komunikací s bankou) a i z hlediska práva zatím ani neexistuje provozovatel jako právnická osoba. Tohle všechno je na delší čas. Do té doby se bude testovat, ladit, testovat, ladit, vymýšlet strategie, jak to zabezpečit víc a jak třeba bránit i jiným typům útoku, které mohou přicházet do úvahu. Fakt nechci přijít o vložené prachy, nebo nedejbože někomu ty prachy viset

366

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 08:07:46 »

Ja som uplny amater ale vidim toto:
Blind SQL injection was found at: "http://www.bitstock.cz/register", using HTTP method POST. The injectable parameter is: "captcha".
Blind SQL injection was found at: "http://www.bitstock.cz/command", using HTTP method GET. The injectable parameter is: "amount".
Blind SQL injection was found at: "http://www.bitstock.cz/command", using HTTP method GET. The injectable parameter is: "price".

Dobrý den, teší mě, že to někdo zkouší. Chtěl bych se zeptat, z jakého programu je to výstup?

Proved jsem kontrolu uvedených návrhů a nic jsem tam nenašel. Jenom jeden příklad za všechny

https://www.bitstock.cz/command?operation=buy&market=BTC&amount=89%27;%20SELECT%20*%20FROM

Když to udělá člověk nepřihlášený, tak je tam jen redirect na login. Když to udělám přihlašný, tak mě to pouze předvyplní formulář. Což je přesně ten účel toho příkazu. Samotné odeslání nelze dělat GETem, to by bylo asi fakt nebezpečný. Navíc tam v tom formuláři v tom potvrzovacím okénku je kontrola CSRF tokenu. Jinak s těmi čísly v GETu a v POSTu se dělá to, že první co se udělá, že se převedou na číslo. Takže když tam někdo napíše řetězec, maximálně ho to vykopne, že má tu hodnotu neplatnou

U capcha SQL injection asi těžko, když to nechodí do databáze.

Ale jinak dík, rozhodně bych rád k tomu viděl nějaký comment, jak k tomu ten program došel. Třeba existuje nějaké validnější řešení, čímž ten validátor uspkojím

367

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 02:12:15 »

Podle mého názoru to chtěli normálně spustit a až po tom, co se do toho lidi opřeli, operativně řekli, že to je jen demo.
To si myslím a nikdo mi to nevyvrátí.

On to s přehledem vyvrací první příspěvek téhle diskuze

Kromě toho, že dokumentace by potřebovala přeformátovat a vůbec hodně vylepšit a ovládání je šílené (proč sakra ve výpisu příkazů nejde zadat nový?), tak pokud kupuji za částku, na kterou nemám, příkaz se stejně zadá a navíc ani nezablokuje žádné peníze

Řekl bych, že se ten příkaz jen "zadal", ale pak zůstal zadaný a nespustil se, třeba proto, že neprošel při validaci. Kdyžtak mi napiš id toho příkazu a já zjistím, jak na tom je.

Počítal jsem, že většina obchodníků bude obchodovat na hlavní stránce, kde je prodat a nakoupit dvě obrovské tlačítka, nebo rovnou klikat na nabídku

368

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 16:28:44 »

Vlastně ani Litecoin není to pravé! Zapomeňte i na Litecoin, protože je tady Peercoin (code: PPC).
Teprve Peercoin (code: PPC) je to skutečně pravý. Ten těžte a hlavně kupujte! Teprve až s Peercoinem (code: PPC) zbohatnete! 

Konečně začínáte chápat povahu toho bysnysu 

369

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 16:04:25 »

A už sis založil nějakou burzu? :-D

Bitstock.cz plánuje i obchod s LTC 

370

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 14:49:42 »

Tak určitě. To je veliký rozdíl.  Stejně dobře můžete prodávat za 1200 USD třeba právo si na ulici prdnout - když si k tomu přimyslíte pohádku o skleníkových plynech, globálním oteplení, směrnici EU a emisních povolenkách pro ovčany, tak to bude znít daleko důvěryhodněji, než ta šaškárna s BTC.

To není pohádka, to je realita, viz burza s emisnima povolenkama

371

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 14:44:03 »

Ježovanoho, to bych mohl říct i o NASDAQu - to je taková služba, kdy vám někdo za práci zaplatí akciema Applu a vy si chcete za svojí práci já nevím, zajít do soukromé vířivky v Praze na jížní spojce, kde akcie Applu těžko uplatníte. A nebo naopak, kdýž vám někdo bude ochoten něco zařídit třeba na internetu a bude za to chtít zaplatit aciema Applu. Přijdete na NASDAQ, pošlete peníze, kliknete na nabídku a dostanete akcie Applu. Tím může váš život na NASDAQu končit.

Takový pohádky fakt právníky nezajímají, dokonce ani zákazníky. Buď jste burza, která vytváří nějaký trh, nebo jste escrow, nebo se nudíte a baví vás jQuery...

...ale dost už, už fakt myslím, že jsem toho napsal až příliš...

Akcie nejsou Bitcoiny. Bitcoiny nejsou akcie

372

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 14:43:18 »

No, pokud důvěřivým neznalým lidem prodáváte NIC za 1200 USD za kus, tak v civilizovaném státě dřív či později skončíte přinejlepším tak, že až se skutečně ukáže, že to NIC má hodnotu NIC, tak zaplacenou cenu budete muset vrátit, neb se vaše počínání, slovy zákona, příčí dobrým mravům a tudíž je smlouva od počátku neplatná. V tom horším případě vás zabásnou za podvod nebo něco podobného.

Ty NIC ale nedostaneš, ty získáš právo provést transakci v blockchainu. To je rozdíl. A tím že to právo použiješ to právo předáš někomu jinému. A to že těch práv je limitované množství dělí cenu toho NIC.

Dneska ani vaše skutečné peníze v bance nemají vyšší cenu, než náklady na udržení záznamu v databázi. Zkuste se toho NIC vzdát.

373

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 14:35:57 »

Opět se pletete, ta burza negeneruje nějaké výnosy. Ta burza slouží k prodeji a nákupu. Jedna strana chce prodat, druhá koupit. Není účelem burzy zajisit zisk. To si pletete s investičním fondem (nebo podílovým fondem)

Příklad:

Investice do podílových listů v sobě obsahuje riziko
kolísání aktuální hodnoty investované částky a výnosů z ní a není zaručena návratnost původně investované částky. Minulé
výnosy nejsou zárukou výnosů budoucích. Míra očekávaného výnosu z cenných papírů nebo jiných investičních nástrojů
souvisí s mírou investičního rizika a není jisté, že skutečný výnos bude odpovídat výnosu očekávanému. Výnosy z cenných
papírů nebo jiných investičních nástrojů dosahované v minulosti nejsou zárukou výnosů budoucích

Tohle není investice do podílových listu. Tohle je služba, kdy vám někdo za práci zaplatí bitcoinama a vy si chcete za svojí práci já nevím, zajít do soukromé vířivky v Praze na jížní spojce, kde bitcoiny těžko uplatníte.

A nebo naopak, kdýž vám někdo bude ochoten něco zařídit třeba na internetu a bude za to chtít zaplatit bitcoinama. Přijdete na bitstock, pošlete peníze, kliknete na nabídku a dostanete bitcoiny. Tím může váš život na bitstocku končit.

374

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 14:21:11 »

No tak s tím taky opatrně. Normální broker má ze zákona povinnost (alespoň formální) zjišťovat úroveň znalostí investora a podle toho mu (ne)dovolit některé nebezpečnější nástroje používat.

Máte pravdu, ale ten formulář je pro srandu králíkům, protože ho můžete vyplnit stylem "nechci sdělovat jaké mám investiční zkušenosti". Já ho vyplňoval 3x a na burze obchoduju normálně

Např. pákové operace.

Tam žádné pákové operace nejsou

Btw, když jsme u toho, nemáte tam - pokud jsem to nepřehlídl - ani takovejten běžnej disclaimer, že minulé výnosy neznamenají výbosy budoucí. No... jak myslíte...

Opět se pletete, ta burza negeneruje nějaké výnosy. Ta burza slouží k prodeji a nákupu. Jedna strana chce prodat, druhá koupit. Není účelem burzy zajisit zisk. To si pletete s investičním fondem (nebo podílovým fondem)

375

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 13:58:57 »

K férovosti burzy není možné dojít jinak než hlubokým trhem a regulací. Nemáte ani jedno. Když mi práskne ten zmíněný stoploss na 800, tak jakou "transparentnost" mi můžete nabídnout? Maximálně se tak můžu "transparentně" dozvědět, že někdo párkrát za nějakou

Nikdo vás nenutí tam dávat stoploss. Nehledě na to, že my nepodporujeme klasický stoploss jako na velkých burzách, ale spíš stoplimit. Tedy pokud by obchodník vydal normální příkaz "prodej za 800", a na trhu bude nabídka k nákupu za 1000, tak prodá za 1000. Pokud ale obchodník napíše, že má prodat za 800 po tom, co poslední obchod byl za 800, tak se ten příkaz uspí a aktivuje se, až když poslední obchod klesne pod 800. Pak se stane to, co obchodník chtěl, splní se jeho přání, prodá se za minimální cenu 800. Ale taky se může stát, že nic neprodá, protože první nabídka ke koupy bude 790.  Takže obchodník také může zadat prodej za 700, když cena klesne pod 800.

Samozřejmě, že se špatným příkazem dá zrujnovat váš účet, ale ... s tím moc nenadělám, nevydávejte špatné příkazy. To UI je navrženo tak, aby běžný franta uživatel vyplnil maximální cenu a počet a odstřelil to do trhu. Pokud se někdo cítí jako frikulín, ať si podává stoplossy. Cílem burzy je sprostředkovat obchod na podmínkách, které vyhovují oběma stranám. Není cílem provádět spekulace, ale bránit jim nikdo nebude, protože spekulanti vytváří likviditu (ale nesou si na bedrech svá rizika)