Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Monero-website bevatte korte tijd binary met malware die cryptovaluta stal

De website van cryptomunt Monero is korte tijd gehackt geweest. Er werd malware op de site geplaatst, waarbij cryptovaluta van gebruikers werd gestolen. Hoeveel slachtoffers de geïnfecteerde software hebben gedownload, is niet bekend.

De malware heeft mogelijk veertien uur online gestaan, zegt Monero. De CLI-binaries van Monero's wallet waren vervangen door een bestand met malware erin. Die malware kon de cryptomunt stelen uit de wallets die gebruikers op hun computer hadden staan. Het ging alleen om de CLI-binaries en niet om de Windows-, MacOS- of Linux-versies van de wallet. De malware werd ontdekt toen een gebruiker opmerkte dat de verificatiehash niet overeen kwam met de download zelf. Hij diende een issue in op GitHub. Monero bevestigde het lek later in een tweet.

Monero zegt dat de geïnfecteerde binaries slechts kort online stonden. Ze raden alle downloaders van de CLI-wallet aan de hashes daarvan te checken als zij die maandag tussen 01.30 en 15.30 uur hebben gedownload. Het is nog niet bekend hoe de supply-chain-aanval heeft kunnen plaatsvinden en of ook andere systemen van Monero zijn gehackt. De ontwikkelaars achter de munt zeggen nog onderzoek te doen en later met meer details te komen.

Monero is een cryptomunt die veel gebruikt wordt in cryptominers. Dat gebeurt tegenwoordig vooral met cryptomalware, maar het was ook ooit mogelijk Monero te delven via een plugin die beheerders op hun website konden implementeren. Onder andere Coinhive gebruikte die omstreden methode, maar stopte daar in maart van dit jaar mee.

Door Tijs Hofmans

Redacteur privacy & security

20-11-2019 • 10:22

19 Linkedin

Reacties (19)

Wijzig sortering
Zojuist geprobeerd en ik krijg nog steeds checksum errors via Chocolatey (package manager). Ik ging ervan uit dat het aan de package manager lag, maar nu weet ik het even niet meer:
Verifying with package checksum to determine if it needs to be redownloaded.
Error - hashes do not match. Actual value was '6B72B3836D179EB517154BBCB8E2119B168AE9D1054866A438AAEAB9521F795F'.
Downloading monero 64 bit
from 'https://downloads.getmonero.org/cli/win64'
Progress: 100% - Completed download of C:\Users\xxx\AppData\Local\Temp\chocolatey\monero\0.10.3.1\monero-win-x64-v0.15.0.0.zip (72.14 MB).
Download of monero-win-x64-v0.15.0.0.zip (72.14 MB) completed.
Error - hashes do not match. Actual value was '6B72B3836D179EB517154BBCB8E2119B168AE9D1054866A438AAEAB9521F795F'.
ERROR: Checksum for 'C:\xxx\bever\AppData\Local\Temp\chocolatey\monero\0.10.3.1\monero-win-x64-v0.15.0.0.zip' did not meet '2fbda6f6b1051053703e40cf77b6c6e11334509ad03a3c22d89b6bcb05615910' for checksum type 'sha256'. Consider passing the actual checksums through with --checksum --checksum64 once you validate the checksums are appropriate. A less secure option is to pass --ignore-checksums if necessary.
The install of monero was NOT successful.
//edit: hash in de package manager en die op de getmonero website komen niet overeen. Als ik handmatig de hash van de getmonero website invoer in de package manager klopt het wel. Maar welke nou de goede is?

[Reactie gewijzigd door GeoBeo op 20 november 2019 10:43]

Een hash zoals die op getmonero.org staat is in feite net zo borgend als een self signed https certificaat. Je zal óf vertrouwen uit de massa moeten halen dmv torrents óf een trustworthy partij moeten vinden die de binary voor je gesigneerd heeft. Zonder dat is het allemaal een wc-eend verhaal
Het bestand waarin de hashes vermeld worden is ondertekend met de sleutel van Fluffy Pony (of te wel Riccardo Spagni de hoofdontwikkelaar / het gezicht). Dat bestand kan je dus controleren of het bestand met de hashes juist is ondertekend. Dan kan je daarmee de betrouwbaarheid van die hashes aannemen.

Ze hebben (mede hierdoor) guides gepubliceerd hoe je dit kan controleren (als je niet weet hoe dit moet).
https://web.getmonero.org...ion-windows-beginner.html
https://web.getmonero.org...ation-allos-advanced.html
En dan staan mensen raar te kijken als je uBlock Origin en al die andere heb draaien op je computers webbrowser en op die van je smartphone, want is helemaal niet nodig zeggen ze dan.

Want hoe vaak is het ook gebeurd dat het in de reclame zat.

[Reactie gewijzigd door AmigaWolf op 20 november 2019 20:46]

Een hash zoals die op getmonero.org staat is in feite net zo borgend als een self signed https certificaat.
Niet echt borgend dus. Als ze het voor elkaar gekregen hebben een nieuwe evil binary te uploaden in plaats van de oude (zonder dat iemand het door had gedurende 14 uur) dan krijgen ze het vast ook wel voor elkaar een stukje tekst van de hash op de website aan te passen...
Het idee is dan ook vaak dat de hash van een download op een *andere* server staat waardoor de hacker niet één maar twee systemen moet binnendringen. Is geen borging maar wel een extra hindernis. Die in dit geval dan ook prima gewerkt heeft!
Dat is de omzeilen door de hash via een derde, onafhankelijke, partij te publiceren. Ik verbaas me altijd over het feit dat binaries en bijbehorende hash vanaf de zelfde server geserveerd worden...

In feite is dat totaal nutteloos wanneer je connect over https?
Ik zou gewoon lekker even helemaal niks doen, denk je ook niet? Je kan natuurlijk je wallet op het spel zetten door het zelf te ontdekken, je kunt het ook niet doen en de mensen van Monero het even laten uitzoeken en die met een statement laten komen? :)
Ik zou gewoon lekker even helemaal niks doen, denk je ook niet? Je kan natuurlijk je wallet op het spel zetten door het zelf te ontdekken, je kunt het ook niet doen en de mensen van Monero het even laten uitzoeken en die met een statement laten komen? :)
Ik had vandaag toevallig de GUI wallet gedownload en las daarna pas dit nieuws.

Omdat, het zogenaamd nu opgelost zou zijn was ik benieuwd of dat ook echt zo was. Lijkt nog niet helemaal opgelost dus voor wat betreft iig de package manager (die los staat van Monero zelf).

Ik vraag me nu af of ze Chocolatey wellicht ook hebben misbruikt als distributiekanaal voor de foute CLI binary (disclaimer: "ik vraag het me af" betekend niet "Ik denk dat").


Er blijkt in Chocolatey gewoon een juiste hash van een oudere versie in de package manager te zitten. Package manager probleem dus en geen Monero probleem.

[Reactie gewijzigd door GeoBeo op 20 november 2019 14:05]

Het lijkt erop dat hij de SHA256 hash van versie 0.10.3.1 (die op in chocolatey repo staat) probeert te vergelijken met de SHA256 hash van de huidige versie (0.15.0.0). Dit zijn echter wel allebei legitieme hashes.

Versie:0.10.3.1:
- '2fbda6f6b1051053703e40cf77b6c6e11334509ad03a3c22d89b6bcb05615910'
- https://github.com/monero...ro/releases/tag/v0.10.3.1 (helemaal onderaan)

Versie:0.15.0.0:
- '6B72B3836D179EB517154BBCB8E2119B168AE9D1054866A438AAEAB9521F795F'
- https://github.com/monero...ro/releases/tag/v0.15.0.0 / https://web.getmonero.org/downloads/hashes.txt

- Edit: Voor de andere comments, de laatste link is een PGP-Signed message en dus prima te controleren op authenticiteit. Zonder zou de hash dus alleen controleren op integriteit en inderdaad niet bewijzen dat het software is afkomstig van monero (en dus ook vervangen kunnen worden)

[Reactie gewijzigd door D_el_p op 20 november 2019 11:33]

Check het Github issue voor de hashes.
Doet chocolately een hash controle standaard voor alle downloads?
Daarom is het zo belangrijk dat je de hash van de download controleert met de hash die op de github staat. Dit beschermt je er tegen dat de bestanden onderweg van de server naar je computer veranderen.

En daarna moet je de signatures checken tegenover de public key van de programmeur die je de allereerste keer toen je de software ging gebruiken hebt geïnstalleerd. Dit beschermt je tegen het gehackt zijn van de site zelf.

Dit zijn de instructies die ik volg, elke keer als ik een nieuwe versie van Electron Cash installeer. Ik heb een cold wallet waar coins in zitten die niet van mij zijn maar die ik beheer, dus het updaten van die software (via een usb stickje) komt uiterst kritisch. Je zou maar software installeren die zwakke private keys maakt ...

[Reactie gewijzigd door ZeroPatient op 20 november 2019 11:54]

Het is helaas wel altijd irritant veel gedoe, maar voor dingen als een cryptowallet lijkt het me niet meer dan logisch dat je zoiets doet ja.
Nu ja, ik heb mijn cold wallet nu een jaar of 3 en nog maar een keer de software moeten updaten om compatible te blijven.
Wat als een hacker ook een nieuwe hash waarde op website plaatst? Dan zou het hele grote kraak van de eeuw worden, tijdlang zal niemand het merken...

Het is verstandig als men (software developers of verantwoordelijken van veilig internet) een zwaar beveiligd website gaat opzetten die elke HASH waardes kunnen controleren en het vergelijken met die in de databases staan.
Als je een bestand bij bijvoorbeeld open source website die kant en klaar software hebben wilt downloaden, stuurt dat website een verzoek naar zwaarbeveilgd HASH controle website. Als HASH waarde afwijkt kun je het bestand niet downloaden, een optimale bescherming voor de gebruikers.
Dus het moet wereldwijd ingevoerd worden, een nieuwe stap voor veilige internet.
Iedere developer kan alleen zijn eigen hash waardes van zijn eigen software of apps indienen!
Dus als een website met software die geen HASH hashwaardes gebruiken, kunnen we het niet downloaden.
Wat als een hacker ook een nieuwe hash waarde op website plaatst? Dan zou het hele grote kraak van de eeuw worden, tijdlang zal niemand het merken...
Dat vroeg ik me ook af. Hier het antwoord: D_el_p in 'nieuws: Monero-website bevatte korte tijd binary met malware die c...https://tweakers.net/nieu...ction=13691844#r_13691844
De download server was gecompromitteerd, niet de website. Daarnaast zijn de gepubliceerde hashes gpg-signed door de lead-maintainer van Monero, dit kan je prima zelf snel checken, volg daarvoor de guidelines die ook op de website, github en subreddit vermeld zijn.
Die kun je alleen checken als je zelf een eigen copy van hun pub keys hebt. Als een hacker ipv de download server de website zelf hackt dan kan hij natuurlijk alles veranderen. Ook de pub key van de lead-maintainer. Jij bent hier dus alleen tegen beschermt als je deze pub key al eerder hebt gedownload of hebt geïmporteerd. Dan bij het checken van de signatures krijg je fout melding en als je dan de pub key gaat checken kom je er achter dat hij verandert is. En dan de monero lead dev contacteren om te vragen waarom hij zijn pub key heeft verandert ....

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True