Carbanak: la più grande rapina bancaria dell'era digitale

[SpyroTSK]

Quote:

Originariamente inviato da Frinck

ma come si fa a essere cosi ritardati da credere e scrivere che un ATM sia stato svaligiato di 7,8 milioni di dollari, ma quanti cazzo di soldi pensate ci mettano dentro, ma siete deficienti. La gente andrebbe li con un carroarmato per rapinarli. Comunque la tecnica è una boiata da 4 soldi che potrebbe usare un qualsiasi noob cracker e probabilmente questa storia è solo la punta dell'iceberg di tante storie molto simili, questo perché in banca quasi qualunque dipendente ritardato può buttare dentro la sua password (gattino00) e muovere dei soldi da un conto a un altro, e se sti coglioni usano i pc pure per scaricare porno e aprire le mail che la nonna gli manda, la banca sarà piena di virus.

perdonami, ma non hai idea dei sistemi che usano le banche o grandi aziende

1) La password di ogni singolo utente và cambiata ogni 30 giorni
2) La password è autogenerata
3) I computer sono tutti sotto rete con dominio, firewall (hardware e software), vpn per le filiali e sotto server proxy
4) Il traffico del computer viene filtrato, quindi facebook, twitter, google e tutti i domini "scomodi" vengono bloccati.
5) Le persone serie utilizzerebbero Thin client.

Per capirsi, se fossi io il sysadmin non gli avrei manco permesso di modificare lo sfondo del desktop.


ps: nell'articolo c'è scritto "prelevamenti" è sbagliato! "Prelievi" è la giusta parola.
fonte:http://www.accademiadellacrusca.it/i...o-prelevamento

[Londo83]

Quote:

Originariamente inviato da SpyroTSK

perdonami, ma non hai idea dei sistemi che usano le banche o grandi aziende

1) La password di ogni singolo utente và cambiata ogni 30 giorni
2) La password è autogenerata
3) I computer sono tutti sotto rete con dominio, firewall (hardware e software), vpn per le filiali e sotto server proxy
4) Il traffico del computer viene filtrato, quindi facebook, twitter, google e tutti i domini "scomodi" vengono bloccati.
5) Le persone serie utilizzerebbero Thin client.

Per capirsi, se fossi io il sysadmin non gli avrei manco permesso di modificare lo sfondo del desktop.


ps: nell'articolo c'è scritto "prelevamenti" è sbagliato! "Prelievi" è la giusta parola.
fonte:http://www.accademiadellacrusca.it/i...o-prelevamento

Nel mondo dei sogni si.....nel mondo reale il capo o i capi che non hanno la minima idea di cosa sia un computer (figuriamoci cosa sia la sicurezza informatica) pretendono di avere la password che non scade perchè è troppo difficile ricordarsi una passqord al mese (ma stai tranquillo che sanno a memoria i numeri di telefono di tutte quelle che gli passano sotto la scrivania)...pretendono di avere la possibilità di andare su facebook o altri cazzi e tu se vuoi tenerti stretto il tuo lavoro devi fare come dicono....e via di password uguali al dominio o allo stesso nome utente su pc con accesso full a internet e su cui sono amministratori di macchina....

e te lo dico non per sentito dire,ma perchè l'ho visto e lo vedo tutt'ora fare in aziende leader mondiali del loro settore o peggio in aziende che gestiscono segreti militari (su pc con windows 2000,giuro!!!).....

lasciamo perdere ....

[bobafetthotmail]

Quote:

1) La password di ogni singolo utente và cambiata ogni 30 giorni

Chiunque abbia un grado più alto dell'admin (un manager qualsiasi) generalmente fa pressioni per non doverla cambiare sul suo PC e se non c'è un altro manager di grado più alto che gli dà delle legnate e lo rimette al suo posto, l'Admin non può farci niente.
Se il capo è un troglodita anche un semplice impiegato può ottenere questa concessione semplicemente chiedendolo al capo.

Inoltre, nel 99% dei casi dove avviene il cambio delle password, gli utenti usano al max 2 password che cambiano da un mese all'altro o aggiungono numeri progressivi o date alla fine della stessa password (facilmente capibili o trovabili tramite attacco con dizionari), se il sistema non controlla che le password siano diverse da quella precedente tendono a "cambiare" la password rimettendo la stessa.

Quote:

2) La password è autogenerata

Fantascenza pura e semplice. Nei rarissimi casi dove avviene le password sono su dei post-it attaccati allo schermo o al tavolo della postazione a cui si riferisce perchè nessuno si sbatte a ricordare una stringa alfanumerica di lettere/numeri/simboli che cambia ogni 30 giorni. (già non ricordano le password che mettono loro e fanno i post it con le loro credenziali in situazioni normali, figurati una assegnata dal sistema)
Con una cifra irrisoria pagata alla donna delle pulizie puoi avere le password di mezza azienda.

Quote:

3) I computer sono tutti sotto rete con dominio, firewall (hardware e software), vpn per le filiali e sotto server proxy

Quanto queste misure siano efficaci dipende da quanto hanno voglia di spendere per attuarle in modo decente ai piani alti.
Generalmente i fondi per l'IT tendono ad avere costi rilevanti per cambiare i portatili dei manager a cadenza annuale o biennale sui quali non si discute, ma per il resto è quasi sempre una lotta al coltello, assumendo che qualcuno ascolti l'Admin.

Quote:

4) Il traffico del computer viene filtrato, quindi facebook, twitter, google e tutti i domini "scomodi" vengono bloccati.

Stesso discorso del punto 1.

Quote:

5) Le persone serie utilizzerebbero Thin client.

Vedi punto 1. Nessuno di quelli che conta un pochino in una ditta (cioè di quelli che hanno password che vale la pena rubare) si accontenta di un thin client, vogliono il portatile nuovo e bello, e vogliono fare il pazzo che gli pare.

[SpyroTSK]

Quote:

Originariamente inviato da bobafetthotmail

Chiunque abbia un grado più alto dell'admin (un manager qualsiasi) generalmente fa pressioni per non doverla cambiare sul suo PC e se non c'è un altro manager di grado più alto che gli dà delle legnate e lo rimette al suo posto, l'Admin non può farci niente.
Se il capo è un troglodita anche un semplice impiegato può ottenere questa concessione semplicemente chiedendolo al capo.

Inoltre, nel 99% dei casi dove avviene il cambio delle password, gli utenti usano al max 2 password che cambiano da un mese all'altro o aggiungono numeri progressivi o date alla fine della stessa password (facilmente capibili o trovabili tramite attacco con dizionari), se il sistema non controlla che le password siano diverse da quella precedente tendono a "cambiare" la password rimettendo la stessa.

Fantascenza pura e semplice. Nei rarissimi casi dove avviene le password sono su dei post-it attaccati allo schermo o al tavolo della postazione a cui si riferisce perchè nessuno si sbatte a ricordare una stringa alfanumerica di lettere/numeri/simboli che cambia ogni 30 giorni. (già non ricordano le password che mettono loro e fanno i post it con le loro credenziali in situazioni normali, figurati una assegnata dal sistema)
Con una cifra irrisoria pagata alla donna delle pulizie puoi avere le password di mezza azienda.

Quanto queste misure siano efficaci dipende da quanto hanno voglia di spendere per attuarle in modo decente ai piani alti.
Generalmente i fondi per l'IT tendono ad avere costi rilevanti per cambiare i portatili dei manager a cadenza annuale o biennale sui quali non si discute, ma per il resto è quasi sempre una lotta al coltello, assumendo che qualcuno ascolti l'Admin.
Stesso discorso del punto 1.

Vedi punto 1. Nessuno di quelli che conta un pochino in una ditta (cioè di quelli che hanno password che vale la pena rubare) si accontenta di un thin client, vogliono il portatile nuovo e bello, e vogliono fare il pazzo che gli pare.

Ed è per questo che le banche/aziende vengono infinocchiate con semplici bruteforce/injection/exploit/trojan.

Se un'azienda mi assume per fare da sysadmin, la decisione operativa della rete spetta a me, a prescinedere dai costi, altrimenti assumevi bimbominkia che ti metteva un server samba con le condivisioni senza password e i server connessi via lan con l'amministratore senza password, i router senza firewall con le password "admin/admin".

edit: il problema password autogenerata si può aggirare facendogli mettere 1 password diversa sempre mantendendo i parametri:
- 8 caratteri
- minimo 1 lettera minuscola e 1 maiuscola
- deve contenere almeno un numero
- deve contenere un carattere speciale ./&%$@ ecc..
- non deve essere uguale ad una password utilizzata di recente

Oltre che la password scelta, si utilizza una smartcard/chiave hardware/rfid/impronte digitali.


Per quelli che non vogliono il thin client usano una rete ESTERNA alla banca.

[bobafetthotmail]

Quote:

Originariamente inviato da SpyroTSK

Se un'azienda mi assume per fare da sysadmin, la decisione operativa della rete spetta a me, a prescinedere dai costi

Questa non è una aspettativa realistica, purtroppo.
Ci sono casi di aziende dove chi comanda sa di essere un troglodita in campo IT (e che quindi magari dovrebbe demandare le decisioni a terzi) e quindi dà il giusto potere alla figura dell'Admin, ma di solito non è così.

Quote:

Oltre che la password scelta, si utilizza una smartcard/chiave hardware/rfid/impronte digitali.

Tempo perso perchè ne perderanno a pacchi, ci scriveranno sopra le password, faranno il 30 e diavolo comunque. Le impronte digitali non vanno bene perchè se hanno mani sporche o si sono fatti male o per una qualche ragione il lettore non gli legge il dito è un casino.

L'unico sistema serio e utile per l'umanità nel suo complesso è fare una selezione decente quando li assumi, tenere controllato e licenziarli se fanno cazzate del genere in quanto sono pericoli per l'azienda. Così chi ha orecchie per intendere cerca di diventare meno capra, e gli altri migrano verso altri lavori dove non è necessaria tutta questa sicurezza. Ma neanche chi assume il personale ne capisce una cippa, quindi come distingue le capre?

Ma resta fantascenza, si assume la ragazza carina, l'amico del cugino, e per licenziare qualcuno anche con giusta causa devi fare i salti mortali ("convincerlo" ad andarsene di solito è la strada che adottano e che funziona molto meglio)

Quote:

Per quelli che non vogliono il thin client usano una rete ESTERNA alla banca.

L'ho già detto sopra, si prende un PC qualsiasi (deve avere le feature di virtualizzazione quindi niente bidoni pre-2010), ci si mette un bell'hypervisor e si tengono distinti gli ambienti tra il sistema di controllo dei registri interni e il sistema operativo usato dall'utente normale.
Se sono due VM distinte con hypervisor, puoi riempire di merda finchè vuoi la VM usata dall'utente, ma non potrai MAI e poi MAI vedere alcunchè di quello che viene effettuato sulla VM dedicata a fare queste operazioni sul registro delle operazioni bancarie.

[Utonto_n°1]

Cmq, per quanti siano i complici e per quanto ci abbiano lavorato (intendo tantissime ore per un pò di anni), bisogna dire che alla fine il gioco ne valeva la pena,perchè se hanno preso centinaia di milioni di euro, sono un buon ritorno d'investimento

[miclab]

sembra che sia davanti ad una webcam per incontri bondage!!!

[Avatar0]

Massimo rispetto per chi truffa il sistema truffa.
Il problema vero è cosa ci fanno con i soldi guadagnati...

[Mac666]

A proposito delle password autogenerate: https://xkcd.com/936/

[cataflic]

non so...ho come l'impressione che negli ultimi giorni Kapersky sia più attiva del solito...

[bobafetthotmail]

Quote:

Originariamente inviato da Mac666

A proposito delle password autogenerate: https://xkcd.com/936/

Quello è valido se si parla di attacchi bruteforce (che provano tutte le possibili combinazioni) su sistemi che non hanno alcun controllo sul numero di tentativi di login per unità di tempo.

Praticamente tutti i sistemi connessi ad internet non progettati coi piedi tendono a far scattare allarmi belli grossi quando vengono fatti centinaia o migliaia di tentativi di login falliti per un dato account in un tempo limitato. Perchè francamente, non è minimamente umano tentare di loggarsi 1000 volte al secondo da punti diversi del pianeta per 3 giorni consecutivi, ed un server lo nota facilmente.

Ad esempio questo forum ti dà X tentativi di login se sbagli poi blocca i login per quell'account per X tempo.

Il motivo per cui la prima password è di solito più sicura della seconda è che con la prima non funziona un attacco basato su dizionari.
Se si usa un attacco con dizionari l'algoritmo di craccatura prova le diverse parole più che le combinazioni di lettere, quindi la seconda password è molto più facile da craccare che con un sistema bruteforce.

[SpyroTSK]

Quote:

Originariamente inviato da bobafetthotmail

Quello è valido se si parla di attacchi bruteforce (che provano tutte le possibili combinazioni) su sistemi che non hanno alcun controllo sul numero di tentativi di login per unità di tempo.

Praticamente tutti i sistemi connessi ad internet non progettati coi piedi tendono a far scattare allarmi belli grossi quando vengono fatti centinaia o migliaia di tentativi di login falliti per un dato account in un tempo limitato. Perchè francamente, non è minimamente umano tentare di loggarsi 1000 volte al secondo da punti diversi del pianeta per 3 giorni consecutivi, ed un server lo nota facilmente.

Ad esempio questo forum ti dà X tentativi di login se sbagli poi blocca i login per quell'account per X tempo.

Il motivo per cui la prima password è di solito più sicura della seconda è che con la prima non funziona un attacco basato su dizionari.
Se si usa un attacco con dizionari l'algoritmo di craccatura prova le diverse parole più che le combinazioni di lettere, quindi la seconda password è molto più facile da craccare che con un sistema bruteforce.

mi hai battuto sul tempo :P

[fraussantin]

Quote:

Originariamente inviato da Frinck

ma come si fa a essere cosi ritardati da credere e scrivere che un ATM sia stato svaligiato di 7,8 milioni di dollari, ma quanti cazzo di soldi pensate ci mettano dentro, ma siete deficienti. La gente andrebbe li con un carroarmato per rapinarli. Comunque la tecnica è una boiata da 4 soldi che potrebbe usare un qualsiasi noob cracker e probabilmente questa storia è solo la punta dell'iceberg di tante storie molto simili, questo perché in banca quasi qualunque dipendente ritardato può buttare dentro la sua password (gattino00) e muovere dei soldi da un conto a un altro, e se sti coglioni usano i pc pure per scaricare porno e aprire le mail che la nonna gli manda, la banca sarà piena di virus.

In realta se fosse così facile come dici non avremmo pij un soldo sul cc. E i romenpolacchi invece di clonare le postepay con 20 euro sopra avrebbero altro da fare.

Quote:

Originariamente inviato da blu(e)yes

Ho letto la notizia stamani sul quotidiano e il primo pensiero che mi è venuto in mente è stato il come abbiano fatto a conoscere certe cose. Difficile credere che non ci sia una o più talpe che hanno passato informazioni su procedure, sistemi e architetture delle reti.

Alla fine mi viene anche da dire tanto di cappello a coloro che sono riusciti in una tale impresa (tecnicamente parlando, si intende). Veramente impressionante.

In realtà la cosa difficile è entrare nel sistema , una volta dentro , basta ( come scritto ) monitorare cosa fa il dipendente. E farlo .

[*aLe]

Quote:

Originariamente inviato da bobafetthotmail

Chiunque abbia un grado più alto dell'admin (un manager qualsiasi) generalmente fa pressioni per non doverla cambiare sul suo PC.

Vero.
Puoi avere tutte le politiche di scadenza password di 'sto mondo, ma esiste sempre il flagghettino magico riservato ai vari SUSL/UL/SL e company:

Quote:

Originariamente inviato da Frinck

questo perché in banca quasi qualunque dipendente ritardato può buttare dentro la sua password (gattino00) e muovere dei soldi da un conto a un altro

No, fermo. Non credo sia veramente così semplice.
L'accesso ai PC della banca può essere semplice (magari ci sono delle regole ben precise per la stesura della password e via dicendo, ma ho mostrato qua sopra che si aggirano mettendo un semplice 'flag' nel profilo utente di qualcuno su un Domain Controller), ma riuscire a entrare nel PC di un impiegato di banca grazie al cielo non vuol dire avere accesso a tutti i movimenti di tutti i conti correnti (let alone movimentare quei conti).
Una volta loggato al PC che c'è allo sportello di una banca, immagino che serva l'accesso alla VPN con il datacenter (e qui le scuole di pensiero son due: VPN sempre attiva senza password né niente, oppure altra autenticazione diversa da quella con la quale si è entrati nel PC) e poi che servano le credenziali (ancora, immagino siano diverse da quelle usate per accedere al PC) per accedere fisicamente al software di gestione dei conti (se la macchina è un mero thin client come già ipotizzato da bobafetthotmail il problema non si pone, ma anche se la macchina non è un thin client spero bene che l'utente abbia installato solo un frontend).

Diciamo che grosse truffe non sono possibili senza la complicità (o l'estrema stupidità) di qualcuno interno alla banca, secondo me.

[Notturnia]

e poi ci si domanda come fa il crimine organizzato ed i terroristi a finanziarsi ?... beh.. non servono solo i bitcoins per muovere i soldi.. bastano anche questi hacker per tirare su qualche miliardo per poi comprare armi etc..

[Mparlav]

Il crimine organizzato fa quello che ha sempre fatto per secoli: cambiano solo i metodi e gli strumenti utilizzati, ma la sostanza ed il reimpiego delle "risorse" non cambia.

Un tempo i banditi piazzavano una carica di dinamite accanto alla cassaforte e la facevano saltare in aria, con appresso mezza banca, dipendenti e clienti.

Almeno con i furti elettronici non muore nessuno, almeno direttamente (indirettamente è ben diverso)

Nel minore dei mali, meglio questi furti che cassieri minacciati col taglierino o furgoni portavalori fatti esplodere.