я получил этот отчет о происшествии с mybitcoin счетов.


-----НАЧАТЬ PGP MESSAGE ----- ПОДПИСАЛИ
Hash: SHA1

            От стола Тома Уильямса, оператор MyBitcoin.com

                          Для незамедлительного релиза.

Есть много нерешенных вопросов, плавающих вокруг на Bitcoin
форум и другие места, о недавнем Mtgox утечке пароля и кражи
из системы MyBitcoin.

Я попытаюсь ответить как многие вопросы и проблемы, как лучше
как я могу, чтобы заглушить слух мельницу один раз и навсегда.

Как многие из вас уже знают, Mtgox был взломан и его файл был пароль
утечка. Как только мы услышали об утечке мы были близко мониторинг
система для аномальной активности, и мы не видели никаких.

На первый взгляд, мы не видим каких-либо убедительных доказательств, что утечка пароля
даже произошло. Был просто много спекуляций на SQL
впрыскивание уязвимость в сайте Mtgox в. Несколько клиентов нашего было
сообщил нам о резьбе на форуме, и мы внимательно наблюдали за ними.

На следующее утро наш клиент прислал нам ссылку скачать на
просочилась Mtgox файл паролей. Мы prompty загрузили файл, расфасованные
предупреждение на главной странице, и отключили логин.

Мы попытались выстроиться имена пользователей от утечки, и мы много нашли
соответствие из них. Мы начали блокировку всех этих счетов с помощью
сценарий, который мы должны были быть написаны в любой момент. Это было во время
на этот раз, что мы заметили шквал затрачивает происходит. Да, даже с
сайт отключен.

Атакующие были активные занятия, открытых для сайта. Мы быстро покраснел
их и затрачивают резко остановились. Мы отключили SCI, все оплаты
переадресация, и все квитанции URL трафика на все имена пользователей в
Mtgox утечки.

Мы исходили изменить пароль на каждой учетной записи, где имя пользователя
соответствие базы данных нашей системы. PGP-подписаны письма вышли ко всем из
счета, что мы изменили пароль на. Если учетная запись не имеет
адрес электронной почты или уже скомпрометирован мы миримся бюллетень.
(Адрес электронной почты является обязательной, когда мы открыли наш сервис на начальном этапе,
но люди жаловались, что это было не по-настоящему анонимным, поэтому мы сделали их
необязательный. К сожалению, это делает контактирование безопасности скомпрометирована
клиент невозможно.)

Исследование было проведено в то время, и мы определили, что
злоумышленник открыл сессию каждой активной пару пользователя / пароля впереди
времени, решить капчу, и использовали какой-то бот для поддержания
подключение, чтобы наша система не будет тайм-аут на сессии. Вполне вероятно,
его намерение, чтобы получить доступ к большему количеству счетов, чем он сделал, но как только
он заметил, что мы изменили главную страницу сайта он взлетел
действие, посылая шквал затрачивает.

(Перед тем, как задать вопрос: нет, мы не ограничиваем регистрации на IP-адрес, мы не можем мы..
есть много пользователей, которые пришли из Tor и I2P, что все, кажется
один и тот же IP-адрес источника.)

Мы пришли к выводу, что около 1% пользователей на просочились пароль Mtgox
файл был их Bitcoins похищен MyBitcoin. К сожалению, и
ужасный опыт для сообщества Bitcoin в целом.

IP-адрес, который используется злоумышленник был выход узла Тор и проводит
были на адрес, который находится за пределами нашей системы.

Теперь, чтобы решить эти слухи:

Нет, наша база данных не была нарушена. У нас был 3-й ревизии стороны компании
сайт для атак SQL инъекций и мы прошли. (Мы сделали, однако,
один XSS отверстие на странице адресной книги в прошлом месяце, что позволило бы
атакующему вставить поддельные записи в адресной книге клиента. это было
быстро фиксированные и обижая элементы адресной книги были очищены. а не
один клиент потратил на поддельные записи адресной книги.) Каждую строку
кода проверялась в прошлом месяце. Буквально построчно аудит
специалистов, и он был признан безопасным.

Нет, этот сайт не пытался каким-то любителем, что только научились
программные компьютеры. Она была создана опытными программистами, которые
понимать безопасность.

Да, мы используем шифрование паролей. Мы в настоящее время используют алгоритм SHA-256, но
после недавнего Mtgox взломать мы будем модернизировать что-то
сильнее. Удивительно, сколько сайтов до сих пор используют MD5, даже если он
был сломанные лет назад. Это мое личное мнение, что MD5 устареет
от современных операционных систем.

Мы также используем шифрование на уровне целого диска на каждом из наших
сервера. Когда вы не диск в NOC и уровень 1 техники заменяют
это он протирать диск перед РВД / бросая его в мусор? Не
как правило! Мы знаем, что эти ошибки случаются, поэтому мы принимаем меры предосторожности. Любые
все сервера с KVM IP на них побежали в безопасном режиме консоли.
корневые пароли требуется даже для однопользовательского режима. Все ключи дисковые
сдерживали месте и никогда не были получены в любом месте рядом с Интернет. Все
сервер паролей являются уникальными для каждого сервера и каждого пользователя, конечно. Только два
техники имеют доступ к защищенным серверам. Этот доступ через VPN
и мы используем только защищенные рабочие станции под управлением Linux и BSD доступа
их.

Мы используем сервера BSD с MAC, неизменными флагами, тюрьмами, PAX, SSP,
рандомизированы ММАП, безопасный уровень, WAF, смягчение DDoS и системы оповещения
- -- работы. Как я уже говорил ранее. Мы не любители. По факту,
в сочетании мы имеем более чем 30-летний опыт работы в платеже
обработка (кредитная карта арена) промышленность.

Большое количество проведения Bitcoin находится в холодном (автономный режим) хранении. Мы
только процент от удерживающего доступны горячих. Это делается для
очевидные причины.

В дальнейшем мы реализуем систему входа 2-фактор,
настраиваемые пользователем ограничения тратить деньги, лучше сеанса лексема переворачивание, и
куча новых возможностей SCI.

Пожелав сообщество Bitcoin все самое лучшее и быстрое восстановление, и
искренне Ваш,


Том Уильямс

-----НАЧАТЬ PGP SIGNATURE -----
Версия: GnuPG / MBC v1.0

iQEcBAEBAgAGBQJOAki5AAoJEJ + 5g06lAnqF3tcH / 0QNKf7aBEg08vML9MCkwTjF
VCoTAPzVaVsdbZOqiRwE2 / 6420tcFZrsWTXYZYbjXckEiYrl7 / DQ2XsLyhk4W567
T1sOCmpH99Z2 / VAvTfAd5obRTEGpMQ0SLIrfznyc8MmG4C1GvtVUr4jM79asPmRY
jsIn7v53o9Ra1sN3QcvMskRUU1JmqfqU6MlJrYwXrtc / P9Tjm7D3AtsjfvJRX12Z
9g5y1N + zRGVpp7OK35VFnfmIKtOOtb3IMgG5EhiUllsoXKfz1eE08v4f4d0aQstL
+HGMi3PktL1HBpIRni2n4MAaIXq / EyzxDSzkSHp6v032H70c1kkUibL // QNxQuM =
= VaXC
-----END PGP SIGNATURE -----