cwbe coordinatez:
101
63540
63590
5734320
9063541
9063815

ABSOLUT
KYBERIA
permissions
you: r,
system: public
net: yes

neurons

stats|by_visit|by_K
source
tiamat
K|my_K|given_K
last
commanders
polls

total descendants::13
total children::1
show[ 2 | 3] flat
jj, nejaki rusaci. v tomto ma Trezor celkom slabe miesto

ale stale mensia sranda ako novinka od Ledgeru "send us your seed"




00000101000635400006359005734320090635410906381509063832
drakh
 drakh      17.05.2023 - 12:14:24 , level: 1, UP   NEW
s tym ledgerom ma napada len..

staci sa pozret co sa stalo LastPassu, tym ceskym bitcoinmatom, ci teraz ta "private" messenger apka co "zverejnila" privatne kluce...


ze, what can goes wrong.. uz len skrz obycajnu security.

skvely napad..
kolko asi bude trvat kym sa ludom zacnu stracat coiny ? :D

0000010100063540000635900573432009063541090638150906383209065411
ulkas
 ulkas      23.05.2023 - 14:47:29 , level: 2, UP   NEW
co je s tym ledgerom? nevenoval som tomu pozornost, ale akoze po tych rokoch teraz vyrukovali, ze ledger ma vsetky private keys niekde uchovane?

000001010006354000063590057343200906354109063815090638320906541109066383
Acron
 Acron      26.05.2023 - 19:51:17 [2K] , level: 3, UP   NEW
oznamili, ze pripravuju moznost online backupu a kedze su closed source, nie je jasne, ci funkcia exportovania tam bola vzdy a nikto o nej nevedel alebo ako to vlastne chcu urobit. a nevedia to odkomunikovat. plus teda moznost backupu, aj ked by default vypnutu, povazuje vela ludi za riziko

0000010100063540000635900573432009063541090638150906383209064202
gnd
 gnd      18.05.2023 - 14:10:09 , level: 2, UP   NEW
o ceskych btc atm neviem nic, nemas nejaky link ?

000001010006354000063590057343200906354109063815090638320906420209064209
drakh
 drakh      18.05.2023 - 14:30:30 , level: 3, UP   NEW
https://arstechnica.com/information-technology/2023/03/hackers-drain-bitcoin-atms-of-1-5-million-by-exploiting-0-day-bug/
https://www.generalbytes.com/en/news/general-bytes-statement-on-the-security-incident-that-occurred-on-march-18-2023

v skratke:
hackeri poskenovali digitalocean a nasli si ipcky a servicy ktore im patria
nasli endpoint ce ktory sa uploadovali videa a obrazky na identifikaciu usera
cez tento endpoint vedeli nahrat vlastnu java aplikaciu, a spustit(toto je velike wtf)
tymto to viacmenej nakompletku pwnli

This resulted in the following:
- Ability to access the database.
- Ability to read and decrypt API keys to access funds in hot wallets and exchanges.
- Send funds from hot wallets.
- Download user names and their password hashes and turn off 2FA.
- Ability to access terminal event logs and scan for any instance where customers scanned private keys at the ATM. Older versions of ATM software were logging this information.

cele to bol vraj 0day exploit. A danu zranitelnost predtym neodhalili ziadne pentesty (este vacsie WTF)

akoze ked takuto chybu ala diery v PHP aplikaciach z roku 2000 pentest neodhali tak to je ze total lamerina. ak teda tie pentesty ozaj davali robit.

00000101000635400006359005734320090635410906381509063832090642020906420909070122
dudel
 dudel      16.06.2023 - 14:17:58 , level: 4, UP   NEW
wtf? to som ani nepostrehol tuto kauzicku
tak to je pekna lamerina teda. alebo to naozaj boli top hackeri? :)

00000101000635400006359005734320090635410906381509063832090642020906420909069041
niekt0
 niekt0      09.06.2023 - 18:36:08 [2K] , level: 4, UP   NEW
Pentest ti (z definicie) nemoze odhalit 100% veci, uz len preto ze je to typicky blackbox. Plus ako pentester sa sice snazis najst co najviac chyb, ale ked uz to dajme tomu kompromitujes inak, tak tvoja motivacia dost klesa. Aj v projektoch kde su zdrojaky dlhodobo verejne dostupne, sa po rokoch aj desiatkach rokov najdu zasadne bugy (openssl, linux kernel, ..., ... )

S tym ze chyby boli su a budu sa musi pocitat, pentest si nemozes dovolit nespravit, to si koledujes o problemy tak nejak s istotou, ale nefunguje to tak ze spravim si pentest, a teraz som voci problemom s bezpecnostou imunny. Ani rozne code reviews nemaju 100% ucinnost, vzdy odhalist nejaku cast problemov (a ak ich je vela, urcite je vzdy dobry napad hladat okolo), ale istota sa v tejto branzi moc nenosi. Formalne verifikacie dost pomahaju (aj ked v praxi ta ich implementacia nie je 100%, aj openssl bolo akoze formalne verifikovane, ale iba niektore casti), ale pre projekty tohto rozsahu nie su prakticky realizovatelne.

(plus potom nie je pentest ako pentest, (code-review, whatever), je tam ista miera heuristiky testera, a rozni hackeri maju roznu mieru skusenosti, talentu, specifickych povahovych vlastnosti, je tam prestor pre ludske chyby, mentalne rozpolozenia, atd, atd)

0000010100063540000635900573432009063541090638150906383209064202090642090906904109069775
drakh
 drakh      14.06.2023 - 11:54:08 , level: 5, UP   NEW
Ja chapem ze pentest nema sancu odhalti vsetko.

Pochopim ze napriklad ze tazko odhali to ze to co uploadujes sa nahrava do chujoveho foldra, nad ktorym je este aj chujove nastavenie ze ak tam nieco hodis tak sa to server snazi spustit (toto pokial neprebruzdaju komplet zdrojaky a nastavenia, odhalis asi tazko, specialne pri java aplikaciach kde mas x vtstvou abstrackiu kym sa niekam dostanes).
Ale nam v pentestoch vzdy endpointy ktore ocakavali "obrazok" a podarilo sa tam nahrat "textak" tak vzdy svietili ze halo toto asi takto nema byt.

0000010100063540000635900573432009063541090638150906383209063920
ulkas
 ulkas      17.05.2023 - 17:40:54 (modif: 17.05.2023 - 17:42:53), level: 2, UP   NEW !!CONTENT CHANGED!!
tak toto je inak dost stara zalezitost, bezne sa predavali ledgery na amazone "z druhej ruky", alebo sa tvarili ako oficko obchod atd. ale tusim to robievali tak, ze len prepalili firmware, ale nejak inak modifikovali ten povodny hardware. toto hore je cisto fake uz od vyroby.

a inak hej, coiny sa budu stracat v buducnosti vo velkom. preto by mali vstupit do hry banky a vratit sa do svojej podstaty, kvoli ktorej vznikli - a to je bezpecnostny sejf. cize banky by mali (respektive si myslim, ze dokonca z podstaty veci aj budu musiet v buducnosti) sa postarat o bezpecnu uschovu klucov za plebs.

0000010100063540000635900573432009063541090638150906383209063893
bulY
 bulY      17.05.2023 - 15:57:14 , level: 2, UP   NEW
jj aj na sociale sa na to rozbehol masivny hate
pre mna je to velmi zaujimava vec, lebo uplne chapem snahu ledgeru posunut to viac k masam pricom je zaroven jasne, ze akakykolvek naznak potencialu leaku seedu je totalne no-go
ledger to nejak rollbackol pokial to spravne chapem. tipol by som si ze to prehrmi a na jeho jednoznacne top poziciu na trhu to nebude mat velky dopad, ale o par tisic zakznikov urcite prisiel

000001010006354000063590057343200906354109063815090638320906389309064133
drakh
 drakh      18.05.2023 - 11:13:13 , level: 3, UP   NEW
jj tu diskusu som videl.

Akoze chapem ze idu na priblizenie sa masam, ale to ze si uploadnes seed k nim ide uplne proti tomu na co podobne HW sluzia a to jest mat to komplet vo svojich rukach a byt chraneny pred nejakymi online leakmi seedov. Radsej keby ich marketing popracoval na vzdelavani userov.

00000101000635400006359005734320090635410906381509063832090638930906413309064143
ulkas
 ulkas      18.05.2023 - 11:46:40 (modif: 18.05.2023 - 11:48:35) [1K] , level: 4, UP   NEW !!CONTENT CHANGED!!
ale nikto ti nebrani mat kluce u seba. ide cisto o sluzby, pre vacsinu populacie bude bezpecnejsie aj pohodlnejsie, ked ich kluce bude spravovat banka. navyse to bude este aj pekne prekryte poistkami na vratenie penazi, keby nieco.

nie tak davnu tu jedno id pisalo, ako mu z trezoru vylupili coiny, vdaka phishingu na update firmwaru.

0000010100063540000635900573432009063541090638150906383209063893090641330906414309064247
bulY
 bulY      18.05.2023 - 16:04:53 , level: 5, UP   NEW
pre Ledger je to blbe v tom, ze celou touto kouzou sa poukazazlo na fakt, ze so s ich closed source riesenim vlastne nikto nemoze vediet ci sa seed niekam neposiela.