Compromesso il wallet di Monero: controllate sempre gli hash!

Compromesso il wallet di Monero: controllate sempre gli hash!

Nei giorni scorsi sul sito web ufficiale di Monero è rimasta disponibile una versione edulcorata del wallet ufficiale, in grado di inviare a terzi criptovaluta all'insaputa dell'utente

di pubblicata il , alle 11:21 nel canale Sicurezza
 

Nei giorni scorsi il sito web ufficiale della criptovaluta Monero è stato compromesso: hacker ad ora non meglio identificati hanno infatti modificato i pacchetti del wallet CLI (command line interface) sostituendo quello originale con una versione edulcorata e in grado di inviare fondi a terzi ad insaputa dell'utente.

Il problema è stato scoperto da un utente il quale ha notato che l'hash crittografico del pacchetto scaricato non corrispondeva a quello indicato sul sito: approfondendo ha poi scoperto che la mancata corrispondenza non era frutto di un errore ma di un'azione perpetrata a scopo criminale.

Il problema è stato riconosciuto e confermato dai responsabili del sito GetMonero.org, i quali hanno pubblicato un post sul blog ufficiale nella giornata di martedì 19 novembre. I pacchetti compromessi sono rimasti disponibili per il download per una finestra di tempo relativamente limitata, dalle 2:30 AM UTC alle 4:30 PM UTC del 18 novembre.

"E fortemente consigliato a chiunque abbia scaricato il wallet CLI da sito di controllare gli hash dei loro pacchetti. Se non corrispondono a quelli ufficiali, eliminare i file e scaricarli nuovamente. Non avviare i file compromessi per alcuna ragione" si legge sul blog.

I responsabili di GetMonero.org non hanno però divulgato ulteriori dettagli relativi al problema e fino ad ora non è dato sapere quale sia la vulnerabilità che abbia potato alla compromissione dei file. Il problema è sotto indagine, ma ancor oggi non sono stati comunicati aggiornamenti. Sono state messe a disposizione due risorse per aiutare gli utenti a controllare l'autenticità dei file: una per Windows e una, dedicata ad utenti più avazati, per Linux, Mac e Windows.

La vicenda dimostra l'importanza di verificare sempre gli hash crittografici dei file scaricati. Si tratta di un modo per esssere certi di usare un'applicazione autentica e non compromessa: gli sviluppatori mettono a disposizione l'hash crittografico del codice sorgente dei loro programmi. Un hash ha due caratteristiche peculiari: dato lo stesso input l'hash risultante sarà sempre uguale, e una piccolissima modifica all'input restituirà un hash completamente differente. Per questo motivo l'utente può, una volta scaricato il programma, calcolarne l'hash e se questo dovesse non corrispondere avrebbe la prova che il codice è stato compromesso. Ecco un'ottima pagina di Wikipedia per chi volesse approfondire.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan22 Novembre 2019, 13:59 #1
Quello di controllare l'hash del programma vale sia per le app normali ma soprattutto dove ci siano soldi che girano. Violare un sito che dispacci programmi è ormai abbastanza frequente per cui occorre controllare.
amd-novello22 Novembre 2019, 14:46 #2
magnifico
Gringo [ITF]22 Novembre 2019, 15:05 #3
....il futuro e la criptovaluta..... tutti dicono.....
....e poi succede questo..... Avanti la Prossima......
Zurlo22 Novembre 2019, 15:07 #4
Mah, io per farla piu' pulita, avrei cambiato anche l'hash pubblicato - se ne sarebbero accorti (forse) solo alla prossima release.
WarSide22 Novembre 2019, 16:47 #5
Originariamente inviato da: Zurlo
Mah, io per farla piu' pulita, avrei cambiato anche l'hash pubblicato - se ne sarebbero accorti (forse) solo alla prossima release.


Avranno violato solo il repository dove sono archiviati i pacchetti compilati e non il sito
Sandro kensan22 Novembre 2019, 16:56 #6
Però i commentatori critici dimenticano i vantaggi delle criptomonete ovvero che si può decidere di inviare soldi in qualsiasi istante, che le commissioni di transazione sono quasi nulle per diverse criptomonete come i bitcoin cash, che i costi di ricezione sono nulli, che non ci sono frontiere che tengano e si può inviare soldi dovunque ci sia una connessione Internet ovvero in tutto il mondo.

Basta pubblicare o rendere noto un indirizzo di una crypto e si può ricevere denaro.

Poi ci sono anche dei risvolti su cui fare attenzione come questo.
Sandro kensan22 Novembre 2019, 17:01 #7
Originariamente inviato da: WarSide
Avranno violato solo il repository dove sono archiviati i pacchetti compilati e non il sito


Avranno anche delle procedure di sicurezza per mantenere distinti e in posti sicuri i due oggetti ovvero l'hash e l'app. Visto che il sito è facilmente compromissibile avranno delle procedure che spengano la pagina quando viene alterata.

Poi la realtà non la conosco ma noto che in pochissime ore hanno bloccato il malware. Quanti lo avranno scaricato in quella finestra temporale? sicuramente poche persone ma i malfattori avranno guadagnato cifre cospicue.
macs31122 Novembre 2019, 18:29 #8
Originariamente inviato da: Sandro kensan
Però i commentatori critici dimenticano i vantaggi delle criptomonete ovvero che si può decidere di inviare soldi in qualsiasi istante, che le commissioni di transazione sono quasi nulle per diverse criptomonete come i bitcoin cash, che i costi di ricezione sono nulli, che non ci sono frontiere che tengano e si può inviare soldi dovunque ci sia una connessione Internet ovvero in tutto il mondo.

Basta pubblicare o rendere noto un indirizzo di una crypto e si può ricevere denaro.

Poi ci sono anche dei risvolti su cui fare attenzione come questo.


capisco che per terzo mondo e paesi in crisi possa essere un'ancora, un rifugio. ma in un paese civilizzato, cosa cambia da una banca? io i bonifici non li pago, arrivano ovunque in un giorno (certo non è istantaneo ma nemmeno ho bisogno che lo sia), i costi di ricezione sono ovviamente nulli.

da quello che mi pareva di aver letto (ma mi potrei sbagliare) ci vuole parecchia energia per effettuare i trasferimenti in cripto.
Sandro kensan22 Novembre 2019, 20:37 #9
Originariamente inviato da: macs311
capisco che per terzo mondo e paesi in crisi possa essere un'ancora, un rifugio. ma in un paese civilizzato, cosa cambia da una banca? io i bonifici non li pago, arrivano ovunque in un giorno (certo non è istantaneo ma nemmeno ho bisogno che lo sia), i costi di ricezione sono ovviamente nulli.

da quello che mi pareva di aver letto (ma mi potrei sbagliare) ci vuole parecchia energia per effettuare i trasferimenti in cripto.


I bonifici sono a pagamento. Molte banche li proponevano ad un euro a bonifico. Adesso so che molte banche offrono bonifici gratis ma... ma all'interno di un pacchetto a pagamento.

Le banche on line offrono bonifici gratis ma occorre tenere i soldi da loro, quindi è sempre una forma di pagamento con in più un pagamento allo Stato del bollo e altri piccoli pagamenti delle banche on line come il bancomat e le altre carte.

Quindi il bonifico è gratis all'interno di un pacchetto a pagamento. Invece le cripto sono gratuite all'interno di un pacchetto gratis.

Poi le crypto sono quasi istantanee, i bitcoin cash arrivano in una decina di minuti, 60 minuti per sei conferme quando le cifre sono cospicue mentre i bonifici impiegano uno o due giorni lavorativi, due giorni secondo la mia esperienza, partono subito ma chi li riceve mi avvisa in un paio di giorni.

I costi di ricezione del bonifico non sono ovviamente nulli perché non esiste un pacchetto che ti offre la banca per ricevere bonifici il cui costo sia zero. Ci sono le carte con l'IBAN ma non costano zero euro. Mentre un wallet bitcoin costa zero euro.

Poi io volevo fare bonifici verso un exchange in Europa ma la mia banca non me lo permette. In pratica dovendo passare per le banche i bonifici SEPA sono filtrati da una loro lista di buoni o cattivi. Questo non avviene per le crypto.

Io posso inviare crypto dove voglio in tutta Europa e in tutto il mondo. Con i bonifici puoi inviarli in quasi tutta Europa e in una gran parte del mondo. C'è differenza che per quasi tutti è trascurabile, io noto la differenza.
TheQ.23 Novembre 2019, 09:21 #10
Pubblicità: sicurezza, facilità, costi ridotti, lotta alle banche.
Realtà: la Blockchain non previene hackeraggi (evita solo che in hacker non si generi denaro dal nulla), per niente facile (spiegate ad un anziano come si controlla l'hash), costi abnormi e superiori alle vie ufficiali (ridotti se accetti una transazione in giorni durante i quali il valore della moneta sarà sicuramente cambiato al ribasso), banche che si sfregano le mani per la totale deregolamentazione del settore che permette loro di fare una delle loro attività preferite (il riciclaggio del denaro). Non a caso la speculazione che ha rovinato le criptivalute (vedere l'intervista al padre dei dogecoin) viene dagli speculatori finanziari e dai bankster.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^