Nevzdáváme to - nová burza bitcoinů

[Jakub Galgonek]

Ostré obchodování spouštíme již za pár dní.

Informace o brzkém spuštění již z jejich webu zmizela, takže nějaký výsledek tato diskuze asi přecejen měla

[Reklama]

[belzebub]

A jak si pomůžu, když nasadím děravou aplikaci do produkčně zabezpečeného prostředí? Je to naprosto k ničemu! První je zabezpečit aplikaci a o to tu celou dobu jde. Investovat prostředky do zabezpečení prostředí, když mám v aplikaci díry jak vrata (ačkoliv to já nevím, to se právě snažím zjistit) je vyhazování peněz oknem

Zde pravdepodobne lezi Vas nejvetsi omyl - nechapete, ze bezpecny musi byt cely system "bitstock.cz". Ne pouze nektere jeho casti, ale VSECHNY. Vas pristup, kdy chcete abychom Vam testovali POUZE jednu jedinou komponentu systemu "bitstock.cz" je znacne naivni, protoze bud to znamena, ze si neuvedomujete jak komplexni je problematika bezpecnosti na internetu, nebo si to uvedomujete, ale zapomnel jste nam v prvnim prispevku rici, ze netestujete zabezpeceni celeho systemu "bitstock.cz", ale pouze weboveho UI.

Pokud pouziji Vasi analogii o zamrizovanych dverich a otevrenem oknu do sklepa, tak nam rikate, ze mate perfektne zabezpeceny dum, a at se do nej zkusime dostat. Ve chvili, kdy nekdo upozorni na fakt, ze okno do sklepa je otevrene nam sdelite, ze to nas nema zajimat, ze ve skutecnosti testujete pouze jednu zed domu se dvermi. Pak se urazite, ze jsme hlupaci, kteri nechapou, ze zbytek domu je pouze tresnicka na dortu, a Vy pouze chcete, abychom Vam (zadarmo!!) ozkouseli zabezpeceni zamrizovanych dveri, a nevsimali si okna do sklepa, protoze pry nakonec ty dvere budou stejne v jinem dome, takze bychom meli cely zbytek domu ignorovat.
Pak Vas nekolik lidi upozorni, ze Ve dverich je sice ciselny zamek, ale skrze sklo v nich je videt papirek na stole, na kterem je mozne precist "Kod dveri: 1234", dvere jsou sice pancerove a zamrizovane, ale panty drzi pouze v drevenem ramu a mrize jsou prisroubovane z vnejsi strany domu.

Vidite prosim tu absurtidu? Rozumite ted tomu, ze Vam lide reknou, ze nejenze zjevne nerozumite bezpecnosti, ale jeste po nich chcete zcela nesmyslne testovat jedny konkretni dvere v dome, ve kterem nakonec nebudou.

Pokud Vam ani toto nedava smysl, prosim napiste mi to. Zatim totiz stale trochu doufam, ze pochopite co se Vam zde snazime sdelit (prestoze nekdy znacne nehezkym zpusobem). Pokud mi ale napisete, ze ani toto Vam smysl nedava, alespon budu moci v klidu ignorovat tuto debatu, protoze nepovede nikam.

[Mirek Prýmek]

Informace o brzkém spuštění již z jejich webu zmizela, takže nějaký výsledek tato diskuze asi přecejen měla

A doprcic! Vsichni black hat hackeri, kteri se uz tetelili na snadny ulovek nas ted budou nenavidet a pujdou po nas!

No stalo nam to za to?!

[Lol Phirae]

A doprcic! Vsichni black hat hackeri, kteri se uz tetelili na snadny ulovek nas ted budou nenavidet a pujdou po nas!

No, a ještě zvýšíme počet alkoholiků, protože teď lidi místo toho, aby investovali do BTC díry, nakoupí ten rum.

No stalo nam to za to?!

No, já se docela pobavil. I ty hlášky kolem celé téhle sekty (za to můžou Windows, nasadíme pořádný firewall a pouvažujeme o HTTPS) byly dost dobrý 

[jivep]

Zaujala mne jeste jedna stranka veci , a to financni.

Majitel, ktery chce na teto burze obchodovat ma slozit zalohu 2000Kc , za kazdy 1BTC ktery chce obchodovat, bez zalohy nema ucet a nema moznost operovat s vetsim mnozstvim, dale je poplatek za zprostredkovani 1% (0.5% kazda strana) tedy pri 1BTC cca 230 Kc (pri soucasnem kurzu 29.11. 11:26).

pri moznosti nakupu vetsiho mnozstvi BTC (napr.20) Vam tedy musim slozit predem 20*2000 a za zprostredkovani zaplati obe strany 4600,- .
Tedy nejen ze disponujete penezi klientu predem (pravda v pomeru vuci cene BTC malem, nicmene je mate predem a muzete je treba i kratkodobe urocit) , ale mate i velmi pekny zisk.

Pak tedy ale padaji veskere informace o tom, ze neni treba mit licenci na bankovni operace.
Cim vice se dostavam do hloubky, tim nezodpovednejsi mi tento projekt pripada. Opravdu to pusobi dojmem "Vypad Carloss, honem to zaplnime a vyrejzujem na tom".

[Reklama]

[Mirage]

Je možné, že i ostatní směnárny bitcoinů jsou na tom stejně, jen tu nikdo neřešil jejich bezpečnost.
V tom případě se divím, že jich bylo vyloupeno jen tak málo!
Je to jako si postavit banku i trezor ze sádrokartonu!
Tohle fórum čte hodně lidí, dobrých i zlých, myslím, že počet útoků na směnárny bude prudce vzrůstat!
Banky obvykle nepřiznávají, když je někdo vyloupí, jen aby ostatní nedostali pocit, že vyloupit banku je něco snadného.
Když vidím tuhle diskuzi na jedné straně a tu ,,odhodlanost" to zabezpečit na straně druhé, dostávám neodolatelnou chuť taky nějakou směnárnu BTC vybílit, asi se to začnu učit.

[Lol Phirae]

Je možné, že i ostatní směnárny bitcoinů jsou na tom stejně, jen tu nikdo neřešil jejich bezpečnost.

To není možné, ale jisté. Viz "best of" hlášky od kolegy Prýmka tady v diskusi. Jsou to fakt šílenci.

[Ondřej Novák]

precist "Kod dveri: 1234", dvere jsou sice pancerove a zamrizovane, ale panty drzi pouze v drevenem ramu a mrize jsou prisroubovane

Proč ten kód nepoužijete, když ho tam vidíte?

Vidite prosim tu absurtidu? Rozumite ted tomu, ze Vam lide reknou, ze nejenze zjevne nerozumite bezpecnosti, ale jeste po nich chcete zcela nesmyslne testovat jedny konkretni dvere v dome, ve kterem nakonec nebudou.

Pokud Vam ani toto nedava smysl, prosim napiste mi to. Zatim totiz stale trochu doufam, ze pochopite co se Vam zde snazime sdelit (prestoze nekdy znacne nehezkym zpusobem). Pokud mi ale napisete, ze ani toto Vam smysl nedava, alespon budu moci v klidu ignorovat tuto debatu, protoze nepovede nikam.

Nechápu co se mi snažíte sdělit. Já stále čekám aspoň nějaký výčet bezpečnostních rizik.

Bavme se trochu o zabezpečení obecně, ne o konkrétním serveru

- jde přečíst baner na server - pravděpodobně se někdo domnívá, že podle typu verze serveru se dá vybrat nějaký typ útoku a server kompromitovat. Já nevím, ale já jako hacker, pokud by tam nebyl banner, tak bych útočil na všechna možná zranitelnosti za poslední dobu známých. K tomu banner nepotřebuju. Je to jen taková ochrana pro dobrý pocit. Tyhle typy ochran bývají nejhorší. Člověk má pocit, že to má zabezpečený, a nic dalšího pro bezpečnost nedělá.
- otevřený port SSH - pravděpodobně se někdo domnívá, že když je tam otevřený port SSH, tak by se to dalo teoreticky hacknout. To má samozřejmě pravdu.. teoreticky. Ale dejme tomu, že port SSH změnit nejde (politika poskytovatele) a zatím tam potřebujete mít přístup. Hesla si samozřejmě na veřejné SSH nedám.
- co tam máme dál?
- ideální by bylo, aby na prvním stroji nebylo nic. Třeba jen balancer nebo proxy. Útočník se maximálně dostane do prázdného stroje. Co dál mi poradíte?.
- pravidelné bezpečnostní aktualizace...
- omezení přístupových práv do databází (aby aplikace nemohla měnit strukturu databází)

- můžeme nyní řešit bezpečnost nasazené aplikace?

[Lol Phirae]

To má samozřejmě pravdu.. teoreticky. Ale dejme tomu, že port SSH změnit nejde (politika poskytovatele) a zatím tam potřebujete mít přístup. Hesla si samozřejmě na veřejné SSH nedám.

Já se snad vojebnu. Mistře "bezpečáku", i na svém domácím routeru (a řadě dalších) mám SSH zabezpečeno tak, že přístup je povolen pouze z whitelistu IP adres. A pro případ, že je třeba přistupovat z předem neznámých IP, tak k tomu mi slouží VPN zabezpečená zaheslovaným certifikátem plus ověřením už. jména a hesla přes RADIUS. To vše předtím, než se vůbec dostanu k samotnému přihlašování klíčem přes SSH. Vy jste fakt sebevrazi, kdo vás ta to najal? 

[Mirek Prýmek]

Tyhle typy ochran bývají nejhorší.

Tak ja ted nevim. Prisel jste poprosit o radu, nebo nas presvedcovat o tom, ze tomu rozumite lip nez my?

Co dál mi poradíte?.

Mate tam poradnej firewall? Urcite tam dejte iptables, ty jsou daleko bezpecnejsi nez PF. Taky by to urcite chtelo fail2ban. Potom taky urcite zverejnete zdrojak, abyste predesli security by obscurity. Uplne vyborna vychytavka je taky zavest dvojfaktorovou autentizaci a jeden z faktoru (idealne heslo) zverejnit a pak sledovat, kdo se tam prihlasi a toho zabanovat podle IP.

Jo a planujete honeypot? Ted nemyslim jako infrastrukturu, o te se samozrejme nebudeme bavit, to je jenom tresnicka. Ale dal bych tam honeypot aplikacni. Idealne integrovanej primo do te SQL databaze.

No a pak uz jenom ty infrastrukturni zalezitosti - server dat do DMZ, sifrovat disky, protoze to bude v racku, do kteryho muze kdokoli. no a taky urcite nezapomenout na disaster recovery - takze databazi replikovat nekam offsite. Coz bude problem, protoze server je v DMZ, ale da se to obejit VPNkou. S hardwarovymi tokeny samozrejme, bezpecnost je priorita.

[Ondřej Novák]

To má samozřejmě pravdu.. teoreticky. Ale dejme tomu, že port SSH změnit nejde (politika poskytovatele) a zatím tam potřebujete mít přístup. Hesla si samozřejmě na veřejné SSH nedám.

Já se snad vojebnu. Mistře "bezpečáku", i na svém domácím routeru (a řadě dalších) mám SSH zabezpečeno tak, že přístup je povolen pouze z whitelistu IP adres. A pro případ, že je třeba přistupovat z předem neznámých IP, tak k tomu mi slouží VPN zabezpečená zaheslovaným certifikátem plus ověřením už. jména a hesla přes RADIUS. To vše předtím, než se vůbec dostanu k samotnému přihlašování klíčem přes SSH. Vy jste fakt sebevrazi, kdo vás ta to najal? 

A jak máte zabezpečenou tu VPN? Ta má přece taky někde otevřený port?

[Pavel 'TIGER' Růžička]

... tedy máte výdrž, to musím uznat. Tohle vlákno je o ničem, stejně jako ten projekt. Když si vezmu, co by se muselo napravit, aby to mohlo vůbec fungovat ... Jediné co to ukázalo je, čeho jsou lidé ne/schopní pro peníze.

[Pavel 'TIGER' Růžička]

To má samozřejmě pravdu.. teoreticky. Ale dejme tomu, že port SSH změnit nejde (politika poskytovatele) a zatím tam potřebujete mít přístup. Hesla si samozřejmě na veřejné SSH nedám.

Já se snad vojebnu. Mistře "bezpečáku", i na svém domácím routeru (a řadě dalších) mám SSH zabezpečeno tak, že přístup je povolen pouze z whitelistu IP adres. A pro případ, že je třeba přistupovat z předem neznámých IP, tak k tomu mi slouží VPN zabezpečená zaheslovaným certifikátem plus ověřením už. jména a hesla přes RADIUS. To vše předtím, než se vůbec dostanu k samotnému přihlašování klíčem přes SSH. Vy jste fakt sebevrazi, kdo vás ta to najal? 

A jak máte zabezpečenou tu VPN? Ta má přece taky někde otevřený port?

A? Otevřený port jako nemůže být velmi dobře zabezpečen a tak ho raději zavřeme ... zajímavé.

[Mirage]

Hele Andy, můžu ti říkat Andy ne?
Pochybuji, že tu máš ještě nějaké fanoušky.
Měl bys koupit novou doménu, pořádně zamaskovat vzhled, zlepšit bezpečnost, založit si nový nick a zkusit to znovu 
Teď už pro tebe nikdo nejspí nehrábne ani prstem, zazdil sis to, když jsi se začal urážet, že nalezené problémy jsou jen nějaké kraviny. Jo a pro nejlepšího hackera jsi sliboval nějakou cenu, jedinou cenu, kterou tu kdo dostal, tak je Rum, kterému jsi udělil řád scriptkiddieho první úrovně Což ho myslím celkem překvapilo! Už se těšil na nějakou tu finanční, věcnou nebo třeba tekutou cenu a ty mu udělíš vyznamenání neřkuli přímo řád asi nebyl rád za ten řád ten neřád

[Lol Phirae]

A jak máte zabezpečenou tu VPN? Ta má přece taky někde otevřený port?

A číst ještě umíte? Už jsem vám napsal, že je tam certifikát a RADIUS. Bez nich vás to jaksi vykopne. Kdybych byl paranoidní magor (což by v případě vašeho projektu bylo na místě), tak si tam dám třeba port knocking.