Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций
У меня был (да почему был, даже есть) знакомый который чертовски хорошо разбирается в технических вопросах криптовалют, но при этом считает их чистейшим разводом похлеще МММ. Так вот, он снискал славу тем, что воровал битки у глупых людей прямо из под носа, используя уязвимость старых брейн валлетов.
Давайте сначала вам распишу что такое brain wallet старого стиля: Вы выдумываете некую фразу, например ваш день рождения, эту фразу вы обрабатываете, например хэшируете sha256 (старые сайты и старые клиенты Bitcoin Core позволяют делать такой треш) и результат используете как приватный ключ. Вроде бы все идеально просто - фразу знаешь только ты, какие могут быть проблемы?
Но проблема в том, что у людей как ни крути мозг во много раз слабее чем у машин (грусть-печаль) и количество вариантов которые может выдумать человеческий мозг слишком ограничено по сравнению с RNG (генераторы случайных чисел) и к этому всему, у многих людей они повторяются. Помните, как говорится "У гениев мысли сходятся"? Не знаю как у гениев, но у любителей паролей в стиле 666lol - однозначно. Вот есть сайт со списком всех brainwallet-ов(https://eli5.eu/brainwallet/) где для адреса с 0.5 btc использовалось слово "power". Как вы понимаете, эти битки довольно скоро сменили владельца. Также встречаются типичные "123456q" и прочие творения. Сейчас, как вы можете догадаться, такой способ хранения средств лучше не использовать ВООБЩЕ (я знаю, что вы так точно выдумали бы супер крутой и защищенный брейнваллет, но все же не надо!)
Так вот, мой знакомый еще на заре этого вот всего, создал бота который перебирал все возможные фразы, хэшировал их sha256 и проверял балансы. В короткое время он сколотил себе состояние приблизительно в 200 биткоинов, и продал их все в 2015 :) (ну не верил человек, называл комьюнити сектантами а биткоин - МММ)
Историю я рассказал не просто так. Часто возникает желание "ускорить" логин куда то путем простого пароля, или же в голову приходят идеальные идеи что мол "Было бы неплохо использовать мамин день рождения, и хранить с его помощью 10 биткоинов. Никто ведь не знает кто моя мама!!1". Говорю вам от чистого сердца - не стоит так делать.
А для сложных паролей, и их запоминания есть множество отличных мнемонических техник, что позволит вам не жертвовать защищенностью. Вот толковая статья от 2008го года (тогда это уже была важная проблема) - https://www.securitylab.ru/analytics/354292.php
У меня был (да почему был, даже есть) знакомый который чертовски хорошо разбирается в технических вопросах криптовалют, но при этом считает их чистейшим разводом похлеще МММ. Так вот, он снискал славу тем, что воровал битки у глупых людей прямо из под носа, используя уязвимость старых брейн валлетов.
Давайте сначала вам распишу что такое brain wallet старого стиля: Вы выдумываете некую фразу, например ваш день рождения, эту фразу вы обрабатываете, например хэшируете sha256 (старые сайты и старые клиенты Bitcoin Core позволяют делать такой треш) и результат используете как приватный ключ. Вроде бы все идеально просто - фразу знаешь только ты, какие могут быть проблемы?
Но проблема в том, что у людей как ни крути мозг во много раз слабее чем у машин (грусть-печаль) и количество вариантов которые может выдумать человеческий мозг слишком ограничено по сравнению с RNG (генераторы случайных чисел) и к этому всему, у многих людей они повторяются. Помните, как говорится "У гениев мысли сходятся"? Не знаю как у гениев, но у любителей паролей в стиле 666lol - однозначно. Вот есть сайт со списком всех brainwallet-ов(https://eli5.eu/brainwallet/) где для адреса с 0.5 btc использовалось слово "power". Как вы понимаете, эти битки довольно скоро сменили владельца. Также встречаются типичные "123456q" и прочие творения. Сейчас, как вы можете догадаться, такой способ хранения средств лучше не использовать ВООБЩЕ (я знаю, что вы так точно выдумали бы супер крутой и защищенный брейнваллет, но все же не надо!)
Так вот, мой знакомый еще на заре этого вот всего, создал бота который перебирал все возможные фразы, хэшировал их sha256 и проверял балансы. В короткое время он сколотил себе состояние приблизительно в 200 биткоинов, и продал их все в 2015 :) (ну не верил человек, называл комьюнити сектантами а биткоин - МММ)
Историю я рассказал не просто так. Часто возникает желание "ускорить" логин куда то путем простого пароля, или же в голову приходят идеальные идеи что мол "Было бы неплохо использовать мамин день рождения, и хранить с его помощью 10 биткоинов. Никто ведь не знает кто моя мама!!1". Говорю вам от чистого сердца - не стоит так делать.
А для сложных паролей, и их запоминания есть множество отличных мнемонических техник, что позволит вам не жертвовать защищенностью. Вот толковая статья от 2008го года (тогда это уже была важная проблема) - https://www.securitylab.ru/analytics/354292.php
SecurityLab.ru
Мнемонические формулы для запоминания паролей
МФП эффективно помогают избегать многих небезопасных ситуаций, связанных с выбором сложных паролей и их использованием.
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #важно
Наткнулся на интересную статью от гуру секьюрности Гибсона (не того, который киберпанк выдумал и "Нейромант" написал, другого).
https://www.grc.com/haystack.htm
Сам автор - Стив Гибсон, работал в сфере защиты информации еще блин с 1981го года, предсказал появление Ддоса как способа атаки на сайты, и много чего еще. Короче, дядька старой закалки, толковый.
Так вот, как мы помним, силу пароля, а если сказать правильнее, его устойчивость к взлому многие привыкли определять энтропией пароля. Тоесть, мерой его хаотичности и непредсказуемости.
Гибсон в своей статье немного не согласен с этим. В угол своей идеи он ставит понятие Search Space Length (далее SSP), тоесть область всех возможных вариантов вашего пароля. Логика заключается в том, что хакер не знает ваш пароль, и при брутфорсе ему необходимо перебрать все возможные комбинации. Даже если он знает длину пароля, то ему придется перебирать пароль по максимальному алфавиту (буквы большого + малого регистра + цифры + знаки = 95 символов). Тоесть, SSP это всегда А^ n (где А - предполагаемый алфавит, а n - количество символов в пароле). Полный перебор даже 6-8 значного пароля при 95ти символьном алфавите может оказаться непосильной задачей, вы можете сами в этом убедиться если выдумаете такой пароль (не используйте свои пароли! Никогда не знаешь что сидит в твоем браузере!) и введете его в поле проверки пароля.
При этом, Гибсон сам же и пишет, что хоть пароли по типу "Password", "123456" по логике SSP и должны взламываться долго (18 минут для 123456, и 17 столетий для Password при онлайн атаке) но они будут взломаны в первую же микросекунду, так как эти "пароли" будут опробованы в первую очередь. Тоесть, как ни крути, а энтропия тоже играет свою роль. Низкоэнтропийный пароль просто скорее всего будет испробован одним из первых.
Сложно, правда? :)
Но суть статьи не в этом, а в интересном методе.
Гибсон приводит два пароля, один по типу "D0g....." а второй "P@wned1!" . Первый из них - низко энтропийный, а второй имеет более высокую хаотичность. При этом, первый пароль более устойчив по концепции SSP и что самое главное - он легко запоминаем.
Тоесть, наши сообразительные читатели могли догадаться, что в этой статье прямо происходит попытка решить извечную проблему между сложностью пароля и его легкозапоминаемостью. Очевидно, что высокоэнтропийные пароли человеческий мозг не в состоянии запомнить, но вот если пароль будет выглядеть как "G@2!.G@2!.G@2!.G@2!."?
Согласитесь, намного проще, ведь вам нужно запомнить только сам паттерн G@2!. и количество его повторений.
Вы скажете, мол хакер тоже догадается! На это Гибсон отвечает (в своей статье) что хакер не знает ни шаблон, ни количество повторений. Ну тоесть, он ведь реально не знает там шаблон из 3х букв или из 6, и повторений там 5 или 10? Ему нужно покрывать всю область перебора. При этом даже если учитывать то, что не нужно перебирать всю область (хватит перебрать половину паролей, чтобы получить 50 %ю вероятность найти нужный) то хакеру придется вместо двух миллионов лет потратить всего один. Чудесно!
Этот метод можно назвать password padding.
Довольно интересный подход, не правда ли?
Статья обязательна к прочтению, если что :)
Наткнулся на интересную статью от гуру секьюрности Гибсона (не того, который киберпанк выдумал и "Нейромант" написал, другого).
https://www.grc.com/haystack.htm
Сам автор - Стив Гибсон, работал в сфере защиты информации еще блин с 1981го года, предсказал появление Ддоса как способа атаки на сайты, и много чего еще. Короче, дядька старой закалки, толковый.
Так вот, как мы помним, силу пароля, а если сказать правильнее, его устойчивость к взлому многие привыкли определять энтропией пароля. Тоесть, мерой его хаотичности и непредсказуемости.
Гибсон в своей статье немного не согласен с этим. В угол своей идеи он ставит понятие Search Space Length (далее SSP), тоесть область всех возможных вариантов вашего пароля. Логика заключается в том, что хакер не знает ваш пароль, и при брутфорсе ему необходимо перебрать все возможные комбинации. Даже если он знает длину пароля, то ему придется перебирать пароль по максимальному алфавиту (буквы большого + малого регистра + цифры + знаки = 95 символов). Тоесть, SSP это всегда А^ n (где А - предполагаемый алфавит, а n - количество символов в пароле). Полный перебор даже 6-8 значного пароля при 95ти символьном алфавите может оказаться непосильной задачей, вы можете сами в этом убедиться если выдумаете такой пароль (не используйте свои пароли! Никогда не знаешь что сидит в твоем браузере!) и введете его в поле проверки пароля.
При этом, Гибсон сам же и пишет, что хоть пароли по типу "Password", "123456" по логике SSP и должны взламываться долго (18 минут для 123456, и 17 столетий для Password при онлайн атаке) но они будут взломаны в первую же микросекунду, так как эти "пароли" будут опробованы в первую очередь. Тоесть, как ни крути, а энтропия тоже играет свою роль. Низкоэнтропийный пароль просто скорее всего будет испробован одним из первых.
Сложно, правда? :)
Но суть статьи не в этом, а в интересном методе.
Гибсон приводит два пароля, один по типу "D0g....." а второй "P@wned1!" . Первый из них - низко энтропийный, а второй имеет более высокую хаотичность. При этом, первый пароль более устойчив по концепции SSP и что самое главное - он легко запоминаем.
Тоесть, наши сообразительные читатели могли догадаться, что в этой статье прямо происходит попытка решить извечную проблему между сложностью пароля и его легкозапоминаемостью. Очевидно, что высокоэнтропийные пароли человеческий мозг не в состоянии запомнить, но вот если пароль будет выглядеть как "G@2!.G@2!.G@2!.G@2!."?
Согласитесь, намного проще, ведь вам нужно запомнить только сам паттерн G@2!. и количество его повторений.
Вы скажете, мол хакер тоже догадается! На это Гибсон отвечает (в своей статье) что хакер не знает ни шаблон, ни количество повторений. Ну тоесть, он ведь реально не знает там шаблон из 3х букв или из 6, и повторений там 5 или 10? Ему нужно покрывать всю область перебора. При этом даже если учитывать то, что не нужно перебирать всю область (хватит перебрать половину паролей, чтобы получить 50 %ю вероятность найти нужный) то хакеру придется вместо двух миллионов лет потратить всего один. Чудесно!
Этот метод можно назвать password padding.
Довольно интересный подход, не правда ли?
Статья обязательна к прочтению, если что :)
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций
У меня уже был пост об некоторых моментах правильного выбора хорошего VPN сервиса, но хочется еще дополнить важным моментом.
При выборе VPN нужно смотреть страну происхождения сервиса. Как ни крути, а это пожалуй один из самых важных моментов при выборе. Страны делятся условно на плохие, и хорошие. Плохие, это там где по запросу соответствующих служб вашей страны (не важно правильный он или нет), сервис VPN предоставит все ваши данные, а хорошие - там где такого не случится.
При этом важно упомянуть, что если вы какой то психопат, террорист или что-то похожее, то за вас никто рвать жопу не будет, и любой ВПН сервис выдаст о вас данные кому нужно (и правильно сделает, авторы канала не одобряют действия нарушающие свободу других людей).
Чем "полновеснее" страна, тем меньше государств желающих с ней спорить, поэтому условному гражданину США намного сложнее уйти от налогов и получить приватность, чем гражданину Польши.
Если же вы гражданин СНГ, то можете считать что вы счастливчик в этом плане, с правительственными гномами в этих странах мало желающих вести дела.
Так вот, собственно небольшая подборка стран, если ВПН сервис расположен в них, то его условно можно назвать надежным.
1. Швейцария
Европейский оффшор, который имеет отличное от СНГ (и даже Евросоюза) налоговое законодательство, что позволяет Швейцарии не выдавать данные по запросу спецслужб, за исключением случаев финансирования терроризма, терроризма, отмывания денег и других тяжких преступлений. Важно отметить, что шитые в большинстве своем дела из СНГ игнорируются, и единственный способ взаимодействия со Швейцарией для гос бандитов из СНГ: обращения через Интерпол (по крайней мере единственный известный мне). Примеры сервисов из Швейцарии: ProtonVPN, VyprVPN
2. Гонконг
Город-государство, которое смотрит в большинстве своем сквозь пальцы на разные серые транзакций и мутные дела которые делаются под его юрисдикцией. Опять таки, до определённого предела (как и у Швейцарии)
Из него так сложно что-то достать, что США и ЕС предпочитают просто блокировать доступ своим гражданам к финансовым сервисам оттуда, чем заморачиваться.
Примеры сервисов: VPNCity, VPNSecure
3. Тайвань
Очень интересный случай. Тайвань это частично непризнанное государство и с этого выходит интересная деталь: к нему в принципе нельзя никак обратиться кроме как через Интерпол. Если страна не имеет представительств Тайваня у себя, то запрос официально никак подать и не сможет (уголовные запросы тоже передаются через представительства и посольства). Здесь важное уточнение: У РФ есть представительство Тайваня, поэтому в случае РФ такой вариант может не сработать. Остальные же страны из СНГ (Украина, Беларусь, Казахстан и остальные) таких представительств не имеют.
Примеры сервисов: NordVPN, ExpressVPN
4. Майлазия
Как ни странно, у Майлазии довольно строгое законодательство относительно приватности информации, без причины выдавать ваши данные никто не будет. Также Майлазия (как и другие страны из списка) не подписывала акт 5/9/14
Примеры сервисов: UrbanVPN, Hide.Me VPN
Еще конечно есть Панамы(не имеет законов насчет слежки за траффиком, но выдаст ваши данные США при первом же запросе), Британские Виргинские острова, Сингапур и прочие Либерии.
Всегда нужно держать в голове пару пунктов:
1. Законодательство по защите страной приватной информации
2. Взаимодействие с запросами спецслужб других государств
3. Является ли страна подписантом всяких актов тотальной слежки (по типу 5/9/14 и прочих)
Статья по теме:
https://proprivacy.com/guides/best-jurisdiction-vpn
У меня уже был пост об некоторых моментах правильного выбора хорошего VPN сервиса, но хочется еще дополнить важным моментом.
При выборе VPN нужно смотреть страну происхождения сервиса. Как ни крути, а это пожалуй один из самых важных моментов при выборе. Страны делятся условно на плохие, и хорошие. Плохие, это там где по запросу соответствующих служб вашей страны (не важно правильный он или нет), сервис VPN предоставит все ваши данные, а хорошие - там где такого не случится.
При этом важно упомянуть, что если вы какой то психопат, террорист или что-то похожее, то за вас никто рвать жопу не будет, и любой ВПН сервис выдаст о вас данные кому нужно (и правильно сделает, авторы канала не одобряют действия нарушающие свободу других людей).
Чем "полновеснее" страна, тем меньше государств желающих с ней спорить, поэтому условному гражданину США намного сложнее уйти от налогов и получить приватность, чем гражданину Польши.
Если же вы гражданин СНГ, то можете считать что вы счастливчик в этом плане, с правительственными гномами в этих странах мало желающих вести дела.
Так вот, собственно небольшая подборка стран, если ВПН сервис расположен в них, то его условно можно назвать надежным.
1. Швейцария
Европейский оффшор, который имеет отличное от СНГ (и даже Евросоюза) налоговое законодательство, что позволяет Швейцарии не выдавать данные по запросу спецслужб, за исключением случаев финансирования терроризма, терроризма, отмывания денег и других тяжких преступлений. Важно отметить, что шитые в большинстве своем дела из СНГ игнорируются, и единственный способ взаимодействия со Швейцарией для гос бандитов из СНГ: обращения через Интерпол (по крайней мере единственный известный мне). Примеры сервисов из Швейцарии: ProtonVPN, VyprVPN
2. Гонконг
Город-государство, которое смотрит в большинстве своем сквозь пальцы на разные серые транзакций и мутные дела которые делаются под его юрисдикцией. Опять таки, до определённого предела (как и у Швейцарии)
Из него так сложно что-то достать, что США и ЕС предпочитают просто блокировать доступ своим гражданам к финансовым сервисам оттуда, чем заморачиваться.
Примеры сервисов: VPNCity, VPNSecure
3. Тайвань
Очень интересный случай. Тайвань это частично непризнанное государство и с этого выходит интересная деталь: к нему в принципе нельзя никак обратиться кроме как через Интерпол. Если страна не имеет представительств Тайваня у себя, то запрос официально никак подать и не сможет (уголовные запросы тоже передаются через представительства и посольства). Здесь важное уточнение: У РФ есть представительство Тайваня, поэтому в случае РФ такой вариант может не сработать. Остальные же страны из СНГ (Украина, Беларусь, Казахстан и остальные) таких представительств не имеют.
Примеры сервисов: NordVPN, ExpressVPN
4. Майлазия
Как ни странно, у Майлазии довольно строгое законодательство относительно приватности информации, без причины выдавать ваши данные никто не будет. Также Майлазия (как и другие страны из списка) не подписывала акт 5/9/14
Примеры сервисов: UrbanVPN, Hide.Me VPN
Еще конечно есть Панамы(не имеет законов насчет слежки за траффиком, но выдаст ваши данные США при первом же запросе), Британские Виргинские острова, Сингапур и прочие Либерии.
Всегда нужно держать в голове пару пунктов:
1. Законодательство по защите страной приватной информации
2. Взаимодействие с запросами спецслужб других государств
3. Является ли страна подписантом всяких актов тотальной слежки (по типу 5/9/14 и прочих)
Статья по теме:
https://proprivacy.com/guides/best-jurisdiction-vpn
Telegram
Crypto Lemon
Немного о VPN
Важный момент, так как культура его использования у нас слабо развита, и часто люди не понимают вообще его цели, и следовательно совершают ошибки когда приходится им пользоваться.
Опустим вопрос зачем скрывать свой реальный айпи, так как чтобы…
Важный момент, так как культура его использования у нас слабо развита, и часто люди не понимают вообще его цели, и следовательно совершают ошибки когда приходится им пользоваться.
Опустим вопрос зачем скрывать свой реальный айпи, так как чтобы…
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #важно
Нашел ссылку, показывающую все известные (а сколько то случаев прошло мимо этой статьи) нападения на криптоинвесторов начиная с самого начала и заканчивая сегодняшним днем. Как можно заметить, грабят везде по миру, и в США, и даже в "мирной" (привет Брейвик) Норвегии! Разница правда в том, что в США биткоин трейдер может застрелить нападающего, а в Норвегии надо прыгать из окна чтобы убежать от бандита штурмующего двери. Но это уже другой разговор.
Здесь более интересен момент, о котором я постоянно говорю: если вы криптоинвестор, вы должны сохранять приватность. По крайней мере если верите в миллион за биткоин. В этом плане показательный первый случай, когда спецназ SWAT вломился в квартиру к одному из первых пользователей биткоина, и разработчика PGP - Хэлу Финни
А показательный он в связке с вот этой вот исторической вырезкой, о которой многие из вас могли не знать:
"Private individual ownership of gold coins and bars was illegal in the United States for four decades. “Hoarding” individual wealth in gold was banned from 1 May 1933 until 31 December 1974. Vast amounts of gold bullion were confiscated from people, who were forced to accept instead the Monopoly Money known as “United States Dollars”. Numerous individuals were criminally prosecuted for attempting to keep their gold—a crime according to Executive Orders 6102, 6111, 6260, and 6261, and the Gold Reserve Act passed by the U.S. Congress and signed into law by U.S. President Franklin Delano Roosevelt."
Тоесть, еще раз: в США, как бы самой свободной стране, власти в какой то момент решили, что хранить золото обычным людям негоже, и надо его доверить государству. Тех, кто отказывался - садили в тюрьму.
А теперь замените слово "золото" на слово "биткоин", или "криптовалюты" и скажите мне, что прямо вот такого не случится никогда :)
Но вот один важный момент: нельзя украсть то, о чем не знаешь. Если вы везде светите, что у вас есть битки, то за ними могут прийти. Начиная от грабителей обычных, заканчивая бандитами в погонах. Если же никто не знает что у вас и сколько его, то и забрать ничего не может ;)
Ниже картинка федерального указа США от 1933 года, обязывающего граждан сдавать золото:
Нашел ссылку, показывающую все известные (а сколько то случаев прошло мимо этой статьи) нападения на криптоинвесторов начиная с самого начала и заканчивая сегодняшним днем. Как можно заметить, грабят везде по миру, и в США, и даже в "мирной" (привет Брейвик) Норвегии! Разница правда в том, что в США биткоин трейдер может застрелить нападающего, а в Норвегии надо прыгать из окна чтобы убежать от бандита штурмующего двери. Но это уже другой разговор.
Здесь более интересен момент, о котором я постоянно говорю: если вы криптоинвестор, вы должны сохранять приватность. По крайней мере если верите в миллион за биткоин. В этом плане показательный первый случай, когда спецназ SWAT вломился в квартиру к одному из первых пользователей биткоина, и разработчика PGP - Хэлу Финни
А показательный он в связке с вот этой вот исторической вырезкой, о которой многие из вас могли не знать:
"Private individual ownership of gold coins and bars was illegal in the United States for four decades. “Hoarding” individual wealth in gold was banned from 1 May 1933 until 31 December 1974. Vast amounts of gold bullion were confiscated from people, who were forced to accept instead the Monopoly Money known as “United States Dollars”. Numerous individuals were criminally prosecuted for attempting to keep their gold—a crime according to Executive Orders 6102, 6111, 6260, and 6261, and the Gold Reserve Act passed by the U.S. Congress and signed into law by U.S. President Franklin Delano Roosevelt."
Тоесть, еще раз: в США, как бы самой свободной стране, власти в какой то момент решили, что хранить золото обычным людям негоже, и надо его доверить государству. Тех, кто отказывался - садили в тюрьму.
А теперь замените слово "золото" на слово "биткоин", или "криптовалюты" и скажите мне, что прямо вот такого не случится никогда :)
Но вот один важный момент: нельзя украсть то, о чем не знаешь. Если вы везде светите, что у вас есть битки, то за ними могут прийти. Начиная от грабителей обычных, заканчивая бандитами в погонах. Если же никто не знает что у вас и сколько его, то и забрать ничего не может ;)
Ниже картинка федерального указа США от 1933 года, обязывающего граждан сдавать золото:
GitHub
GitHub - jlopp/physical-bitcoin-attacks: A list of known attacks against Bitcoin / crypto asset owning entities that occurred in…
A list of known attacks against Bitcoin / crypto asset owning entities that occurred in meatspace. - jlopp/physical-bitcoin-attacks
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #linux
Хотел было написать гайд по поводу настройки фаервола на Linux (а учитывая миллионы дистрибутивов и сборок, то конкретно под Убунту), но сам посидев с этим понял что довольно сложно, и намного проще будет пользоваться решением из коробки : https://www.techradar.com/best/best-free-linux-firewalls
Список бесплатных опен сорс фаерволов для Убунт, Дебианов и прочих пингвинов. Все просто, удобный нативный интерфейс, не надо ни писать скрипты, ни разбираться с командами.
Да, по стандарту большинство Линукс систем не имеют встроенного фаервола
Почему вам вообще нужен фаерволл на Линукс? Потому что вам обязательно нужен Линукс для операций с криптовалютами. Зачем? Да потому что на нём нет и 10й доли тех уязвимостей и векторов атаки которые есть на Винду.
Не так давно, у пользователя форума о крипте где я появляюсь, своровали 16 биткоинов из под 10й Винды, где он не ленился и лично настраивал все уровни защиты. Так вот, зачем лишний раз рисковать чтобы поиграть в какой нибудь контр-страйк или Доту? (Единственное чего нет на Линуксе - это игр, все остальное - есть и даже лучше). Особенно когда на кону большие суммы крипты. По крайней мере у вас должно быть две ОС - Линукс для криптовалют и чувствительной информации, и что-то другое для деградирования. Мой товарищ купил себе Макбук, с которого снес мак ось и поставил Линукс :D
Как я говорю постоянно: не ленитесь. Лень наказуема
Хотел было написать гайд по поводу настройки фаервола на Linux (а учитывая миллионы дистрибутивов и сборок, то конкретно под Убунту), но сам посидев с этим понял что довольно сложно, и намного проще будет пользоваться решением из коробки : https://www.techradar.com/best/best-free-linux-firewalls
Список бесплатных опен сорс фаерволов для Убунт, Дебианов и прочих пингвинов. Все просто, удобный нативный интерфейс, не надо ни писать скрипты, ни разбираться с командами.
Да, по стандарту большинство Линукс систем не имеют встроенного фаервола
Почему вам вообще нужен фаерволл на Линукс? Потому что вам обязательно нужен Линукс для операций с криптовалютами. Зачем? Да потому что на нём нет и 10й доли тех уязвимостей и векторов атаки которые есть на Винду.
Не так давно, у пользователя форума о крипте где я появляюсь, своровали 16 биткоинов из под 10й Винды, где он не ленился и лично настраивал все уровни защиты. Так вот, зачем лишний раз рисковать чтобы поиграть в какой нибудь контр-страйк или Доту? (Единственное чего нет на Линуксе - это игр, все остальное - есть и даже лучше). Особенно когда на кону большие суммы крипты. По крайней мере у вас должно быть две ОС - Линукс для криптовалют и чувствительной информации, и что-то другое для деградирования. Мой товарищ купил себе Макбук, с которого снес мак ось и поставил Линукс :D
Как я говорю постоянно: не ленитесь. Лень наказуема
TechRadar
Best Linux firewall of 2024
Go beyond iptables with the best free Linux firewalls
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций
Уже разработчики Электрума пишут о том, о чем я много раз писал на канале: проверяйте адрес перед отправкой средств
Clipping malware это вам не шутка. И как любой способ отъема средств у не особо внимательных граждан, он постоянно улучшается.
Если ранее это было просто программа которая заменяла нужный адрес на адрес хакера перед отправкой, в надежде что вы смотрите при отправке в окно и не заметите разницы (учитывая что это работало, многие реально так и отправляли скорее всего), то сейчас у подобных программ есть набор заранее сгенерированных адресов (тем же Vanity generator). Когда вы вводите адрес того, кому собираетесь отправить, малварь сравнивает его с набором заготовленных адресов, и находит максимально похожий. Например первые несколько знаков совпадают, или несколько последних. А бывает и так, что и первые совпадают и два-три последних. Основано на слабостях человеческого поведения, в попытке сделать "быстрее" мы смотрим только на первые/последние 2-4 знака, и с чистой совестью кликаем "отправить".
Чтобы так не попасться, по возможности стоит проверять или половину адреса (16 знаков) в начале или хотя бы с конца и начала глазами сверить по 5-6 знаков. Да, может лишить вас пары драгоценных секунд вашей жизни. С другой стороны, посчитайте сколько секунд вы потратите чтобы прийти в себя, если попадете в ситуацию как вот этот товарищ 😉
Уже разработчики Электрума пишут о том, о чем я много раз писал на канале: проверяйте адрес перед отправкой средств
Clipping malware это вам не шутка. И как любой способ отъема средств у не особо внимательных граждан, он постоянно улучшается.
Если ранее это было просто программа которая заменяла нужный адрес на адрес хакера перед отправкой, в надежде что вы смотрите при отправке в окно и не заметите разницы (учитывая что это работало, многие реально так и отправляли скорее всего), то сейчас у подобных программ есть набор заранее сгенерированных адресов (тем же Vanity generator). Когда вы вводите адрес того, кому собираетесь отправить, малварь сравнивает его с набором заготовленных адресов, и находит максимально похожий. Например первые несколько знаков совпадают, или несколько последних. А бывает и так, что и первые совпадают и два-три последних. Основано на слабостях человеческого поведения, в попытке сделать "быстрее" мы смотрим только на первые/последние 2-4 знака, и с чистой совестью кликаем "отправить".
Чтобы так не попасться, по возможности стоит проверять или половину адреса (16 знаков) в начале или хотя бы с конца и начала глазами сверить по 5-6 знаков. Да, может лишить вас пары драгоценных секунд вашей жизни. С другой стороны, посчитайте сколько секунд вы потратите чтобы прийти в себя, если попадете в ситуацию как вот этот товарищ 😉
Twitter
Electrum
Be careful when copy-pasting a Bitcoin address. Current clipboard malware tries to replace them with similar-looking addresses, that start and end with the same characters.
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций #важно
Возможно вы были ознакомлены с этой новостью ранее, но я бы хотел немного подробнее ее разобрать. Коротко суть статьи: все внутреннее программное обеспечение Xiaomi отслеживает любую вашу активность (вплоть до того, какие папки вы открывали) в особенности встроенные браузеры Mi Browser и Mint Browser и отправляют на удаленные серверы в Китай, Сингапур и Россию.
Чем это грозит вам, как пользователю Сяоми в случае если вы на телефон устанавливаете какие то программы для крипты (та даже обычный Google authenticator):
К примеру, вы устанавливаете на свой телефон Electrum portable версию, чтобы делать "безопасные" переводы. Сяоми очевидно не может подсмотреть (на уровне прошивки. так то китайцы могут что то впихнуть и на уровень hardware, а оно уже все сможет :D ) что происходит в Electrum (но она знает о его наличии на телефоне). Но вы, ничего не подозревающий товарищ, вводите пароль со стандартной клавиатуры телефона. И вот эту информацию прошивка вполне может отправить куда нужно (честно говоря, этот вектор атаки свойственный для всех смартфонов).
Как от этого защититься: Не использовать стандартную клавиатуру, в Google Play хватает виртуальных клавиатур.
Также стоит упомянуть об отправке практически всей информации с телефона на удаленные сервера:
Здесь все немного сложнее. В ответ на статью, Сяоми заявили что данные передаются, но для их передачи и защиты используется "самое современное шифрование". Никогда не устаю угорать с вранья китаез. Объясню: если вы когда то столкнетесь с людьми или сервисами которые будут загонять похожую телегу, смело шлите их КЕМ. Хорошие конторы указывают конкретные алгоритмы шифрования, например, известные AES или Salsa20.
Как вы можете догадаться, в случае с Сяоми ничего хорошего не оказалось. Для передачи используется такой супер алгоритм как base64. Вы стыкаетесь с его братом, base58 каждый раз когда смотрите на любой биткоин адрес или приватный ключ в формате WIF. Так вот, base64 (как и base58) это не алгоритм шифрования, а алгоритм представления информации в удобной для чтения и передаче форме. Он двусторонний, "дешифровка" происходит за пару секунд. Вот вам пример - онлайн конвертер для base64
Тоесть, любая информация отправленная вашим телефоном Сяоми, попадает не только на сервера Китая, но и вообще любому желающему, которому будет не лень посмотреть траффик вашего телефона (например, ваш провайдер).
Как от этого защититься: Ну самый простой способ, это не пользоваться Сяоми :D А если без шуток, то вы должны трезво осознавать, что все ваши данные (ваша активность, поисковые запросы, настройки телефона, какие программы установлены) могут быть перехвачены хакерами, здесь даже не злобных китайских коммунистов стоит бояться. Поможет использование программ а-ля VPN и работа только из под них (они шифруют исходящий траффик).
Я конечно понимаю что "топ за свои деньги" и "Гугл тоже следит за нами", но советую все же обратить на это внимание :) Притом, что я уже писал пост почему лучше не хранить крипту на смартфоне. Тоже советую ознакомиться.
Возможно вы были ознакомлены с этой новостью ранее, но я бы хотел немного подробнее ее разобрать. Коротко суть статьи: все внутреннее программное обеспечение Xiaomi отслеживает любую вашу активность (вплоть до того, какие папки вы открывали) в особенности встроенные браузеры Mi Browser и Mint Browser и отправляют на удаленные серверы в Китай, Сингапур и Россию.
Чем это грозит вам, как пользователю Сяоми в случае если вы на телефон устанавливаете какие то программы для крипты (та даже обычный Google authenticator):
К примеру, вы устанавливаете на свой телефон Electrum portable версию, чтобы делать "безопасные" переводы. Сяоми очевидно не может подсмотреть (на уровне прошивки. так то китайцы могут что то впихнуть и на уровень hardware, а оно уже все сможет :D ) что происходит в Electrum (но она знает о его наличии на телефоне). Но вы, ничего не подозревающий товарищ, вводите пароль со стандартной клавиатуры телефона. И вот эту информацию прошивка вполне может отправить куда нужно (честно говоря, этот вектор атаки свойственный для всех смартфонов).
Как от этого защититься: Не использовать стандартную клавиатуру, в Google Play хватает виртуальных клавиатур.
Также стоит упомянуть об отправке практически всей информации с телефона на удаленные сервера:
Здесь все немного сложнее. В ответ на статью, Сяоми заявили что данные передаются, но для их передачи и защиты используется "самое современное шифрование". Никогда не устаю угорать с вранья китаез. Объясню: если вы когда то столкнетесь с людьми или сервисами которые будут загонять похожую телегу, смело шлите их КЕМ. Хорошие конторы указывают конкретные алгоритмы шифрования, например, известные AES или Salsa20.
Как вы можете догадаться, в случае с Сяоми ничего хорошего не оказалось. Для передачи используется такой супер алгоритм как base64. Вы стыкаетесь с его братом, base58 каждый раз когда смотрите на любой биткоин адрес или приватный ключ в формате WIF. Так вот, base64 (как и base58) это не алгоритм шифрования, а алгоритм представления информации в удобной для чтения и передаче форме. Он двусторонний, "дешифровка" происходит за пару секунд. Вот вам пример - онлайн конвертер для base64
Тоесть, любая информация отправленная вашим телефоном Сяоми, попадает не только на сервера Китая, но и вообще любому желающему, которому будет не лень посмотреть траффик вашего телефона (например, ваш провайдер).
Как от этого защититься: Ну самый простой способ, это не пользоваться Сяоми :D А если без шуток, то вы должны трезво осознавать, что все ваши данные (ваша активность, поисковые запросы, настройки телефона, какие программы установлены) могут быть перехвачены хакерами, здесь даже не злобных китайских коммунистов стоит бояться. Поможет использование программ а-ля VPN и работа только из под них (они шифруют исходящий траффик).
Я конечно понимаю что "топ за свои деньги" и "Гугл тоже следит за нами", но советую все же обратить на это внимание :) Притом, что я уже писал пост почему лучше не хранить крипту на смартфоне. Тоже советую ознакомиться.
3DNews - Daily Digital Digest
Специалист по безопасности — о смартфонах Xiaomi: «Это бэкдор с функциями телефона» [Обновлено]
Издание Reuters выпустило статью-предупреждение относительно того, что китайский гигант Xiaomi записывает личные данные миллионов людей об их активностях в Сети, а также об использовании устройства.
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций
Новость немножко не свежая, но учитывая что я бываю слоупком, мне простительно.
Старые адреса, которые грязный конокрад Крейг Райт называл своими, написали коллективное письмо где обозвали его вруном. Но интересно здесь немного другое: а как собственно проверить, что это написали именно они, люди владеющие этими приватными ключами? (и отбросить версию что Крейг Райт сошел с ума, и сам себя называет говноедом)
Очень просто, в одном из моих старых постов я приводил подборку сервисов для верификации подписей в сети биткоин, но вот нашел еще один интересный сервис - https://tools.bitcoin.com/verify-message/
Это если вы собираетесь проверять подписи, быстрее и секьюрнее это конечно сделать онлайн, не запуская Электрум или другой биткоин кошелек. В самом Электруме переходим во вкладку tools/инструменты и далее в sign/verify message
Электрум намного удобнее если вам надо проверить подпись, кто что написал, и потом сразу же ответить, при этом подписав сообщение своим ключом.
Для понимания, зачем вообще это нужно, можно обратиться к самой сути биткоина, каждый раз когда вы отправляете транзакцию, вы предоставляете подпись, что даже, именно вы и есть владелец этого адреса и можете распоряжаться средствами (обновить в памяти как работают транзакции можно в этом посте). Только в кошельках это делается автоматически, по заранее стандартизированному скрипту.
А так, подписывают сообщения очень часто. Например, вы проворачиваете с партнером с Америки онлайн сделку. Сумма на десятки битков, и надо быть уверенным что вот то, что он вам написал только что, это именно его слова а не переиначенные каким то "человеком посредине" (MITM attack). Он подписывает сообщение, и вы уже спокойны (ведь приватник которым он подписал, он у него, на оффлайн машине или аппаратном кошельке, откуда не украдут просто так).
Или же вам надо создать дополнительный уровень защиты, когда вы не уверены что по почте все будет окей, вы пишете адрес, сообщение, подписываете его и все, даже если ваша почта будет взломана (а зная подвязанный номер телефона это вполне возможно), то вы всегда сможете просто повторить действие выше, и все будут знать что вы это вы.
Или на крайняк, вы выпендриваетесь перед дамами в клубе, мол вы крутой крипто инвестор, и у вас десятки биткоинов. "А как докажешь то, а?", спрашивают вас дамы. Ну не будете же вы им что то переводить с адреса (раньше был популярен развод в сети, на слабо). Вы, берете, показываете им ваш жирный биткоин адрес, подписываете любое сообщение, и все, видно что именно вы владелец этих средств. И потом можете звать их к себе домой 😏
Крайне не советую делать как в ситуации выше, если вы конечно не хотите встретиться с Павлом Няшиным, но хотел вам показать разнообразие вариантов. И в моих примерах даже нет и десятой части того, где это можно использовать! Очень вариативная и полезная штука 😌
Новость немножко не свежая, но учитывая что я бываю слоупком, мне простительно.
Старые адреса, которые грязный конокрад Крейг Райт называл своими, написали коллективное письмо где обозвали его вруном. Но интересно здесь немного другое: а как собственно проверить, что это написали именно они, люди владеющие этими приватными ключами? (и отбросить версию что Крейг Райт сошел с ума, и сам себя называет говноедом)
Очень просто, в одном из моих старых постов я приводил подборку сервисов для верификации подписей в сети биткоин, но вот нашел еще один интересный сервис - https://tools.bitcoin.com/verify-message/
Это если вы собираетесь проверять подписи, быстрее и секьюрнее это конечно сделать онлайн, не запуская Электрум или другой биткоин кошелек. В самом Электруме переходим во вкладку tools/инструменты и далее в sign/verify message
Электрум намного удобнее если вам надо проверить подпись, кто что написал, и потом сразу же ответить, при этом подписав сообщение своим ключом.
Для понимания, зачем вообще это нужно, можно обратиться к самой сути биткоина, каждый раз когда вы отправляете транзакцию, вы предоставляете подпись, что даже, именно вы и есть владелец этого адреса и можете распоряжаться средствами (обновить в памяти как работают транзакции можно в этом посте). Только в кошельках это делается автоматически, по заранее стандартизированному скрипту.
А так, подписывают сообщения очень часто. Например, вы проворачиваете с партнером с Америки онлайн сделку. Сумма на десятки битков, и надо быть уверенным что вот то, что он вам написал только что, это именно его слова а не переиначенные каким то "человеком посредине" (MITM attack). Он подписывает сообщение, и вы уже спокойны (ведь приватник которым он подписал, он у него, на оффлайн машине или аппаратном кошельке, откуда не украдут просто так).
Или же вам надо создать дополнительный уровень защиты, когда вы не уверены что по почте все будет окей, вы пишете адрес, сообщение, подписываете его и все, даже если ваша почта будет взломана (а зная подвязанный номер телефона это вполне возможно), то вы всегда сможете просто повторить действие выше, и все будут знать что вы это вы.
Или на крайняк, вы выпендриваетесь перед дамами в клубе, мол вы крутой крипто инвестор, и у вас десятки биткоинов. "А как докажешь то, а?", спрашивают вас дамы. Ну не будете же вы им что то переводить с адреса (раньше был популярен развод в сети, на слабо). Вы, берете, показываете им ваш жирный биткоин адрес, подписываете любое сообщение, и все, видно что именно вы владелец этих средств. И потом можете звать их к себе домой 😏
Крайне не советую делать как в ситуации выше, если вы конечно не хотите встретиться с Павлом Няшиным, но хотел вам показать разнообразие вариантов. И в моих примерах даже нет и десятой части того, где это можно использовать! Очень вариативная и полезная штука 😌
Telegram
Crypto Lemon
#полезные_сервисы
Иногда у многих может возникнуть необходимость верифицировать некоторое подписанное (по сути, зашифрованное) сообщение с помощью чужого адреса. Например в случае сделок через эскроу, верификации личности подписанта или других финансовых…
Иногда у многих может возникнуть необходимость верифицировать некоторое подписанное (по сути, зашифрованное) сообщение с помощью чужого адреса. Например в случае сделок через эскроу, верификации личности подписанта или других финансовых…
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций
Нельзя обойти стороной вот эту прекрасную новость.
Компания Kingold Jewelry Inc в течении 5 лет брала кредиты у Банка Китая (!!!, это вам не ломбард какой нибудь) под заставу золота своего производства, которое в итоге оказалось фальшивкой!
Да да, получили несколько миллиардов кредитов под фейковое золото. Притом это не была какая то хитрая схема, как например из моего прошлого поста о золотых инвестициях, а просто блин позолоченная медь. У меди и золота даже ,блядь, плотность разная, золотой слиток схожих геометрических размеров будет всегда в два раза тяжелее!!
Сейчас огромное количество возможностей подделки золотых слитков (тот же вольфрам имеет такую же плоность как и золото, а сам дешевле в десятки раз) которые определить, кроме как специальными химико физическими тестами никак нельзя! (ну или распилить слиток пополам, но крайне не советую, так как после такой операции вы сможете максимум что сдать в ломбард, ведь банк где вы покупали такое не примет)
Более подкованные скажут: покупай ОМС или же еще проще, обычный ETF на золото. С одной стороны оно то так, но вот что будет, если к примеру государство (я понятное дело подразумеваю в основном гегемона США) в какой то момент решит запретить торги на золоте, или просто начнет его конфисковать? ETF и ОМС спрятать не получится. Не верите что такое может быть? Такое уже было, ознакомьтесь.
К чему я вам это рассказываю? Во первых к тому, чтобы вы реально умели оценивать риски. Если даже Банк Китая попался, то очень вероятно что попадетесь и вы. Ну и когда кто то вместо этих ваших "криптовалютных пирамид" предлагает вам инвестировать в проверенный тысячелетиями инструмент, то вы относитесь к этому скептически. А то может оказаться что купите в итоге позолоченную крышку люка., знаете ли 😉
Нельзя обойти стороной вот эту прекрасную новость.
Компания Kingold Jewelry Inc в течении 5 лет брала кредиты у Банка Китая (!!!, это вам не ломбард какой нибудь) под заставу золота своего производства, которое в итоге оказалось фальшивкой!
Да да, получили несколько миллиардов кредитов под фейковое золото. Притом это не была какая то хитрая схема, как например из моего прошлого поста о золотых инвестициях, а просто блин позолоченная медь. У меди и золота даже ,блядь, плотность разная, золотой слиток схожих геометрических размеров будет всегда в два раза тяжелее!!
Сейчас огромное количество возможностей подделки золотых слитков (тот же вольфрам имеет такую же плоность как и золото, а сам дешевле в десятки раз) которые определить, кроме как специальными химико физическими тестами никак нельзя! (ну или распилить слиток пополам, но крайне не советую, так как после такой операции вы сможете максимум что сдать в ломбард, ведь банк где вы покупали такое не примет)
Более подкованные скажут: покупай ОМС или же еще проще, обычный ETF на золото. С одной стороны оно то так, но вот что будет, если к примеру государство (я понятное дело подразумеваю в основном гегемона США) в какой то момент решит запретить торги на золоте, или просто начнет его конфисковать? ETF и ОМС спрятать не получится. Не верите что такое может быть? Такое уже было, ознакомьтесь.
К чему я вам это рассказываю? Во первых к тому, чтобы вы реально умели оценивать риски. Если даже Банк Китая попался, то очень вероятно что попадетесь и вы. Ну и когда кто то вместо этих ваших "криптовалютных пирамид" предлагает вам инвестировать в проверенный тысячелетиями инструмент, то вы относитесь к этому скептически. А то может оказаться что купите в итоге позолоченную крышку люка., знаете ли 😉
Sixth Tone
The Mystery of $2 Billion of Loans Backed by Fake Gold
All that glitters isn’t gold — even when the ingots have come straight from one of China’s leading precious metals processors.
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций #приватность
Нашел подборку неплохих статей на Хабре насчет собственно защиты информации. После их прочтения (чего и вам советую) в очередной раз убедился что защита целостности и конфиденциальности любой информации это всегда комплексная мера, а не только условный Tor как многие полагают.
1. Виды угроз
Статья о собственно видах угроз и возможных векторах атаки на информацию
2. Средства защиты
Собственно об основных способах защиты информации
3. Цена ошибки
Что случится, если вы забьете болт на это дело, прикрываясь старым-добрым "Ну меня это точно не коснется!"
К этому разделу хочу добавить недавний пример, показательный так сказать:
Кулхацкеры закодировали данные компании Garmin, так, как там наверное тоже думали что "ну нас не коснется", и потребовали выкуп в 10 миллионов долларов. Пришлось платить. Пожадничали на защиту миллион баксов раньше, заплатили в 10 раз больше. Собственно вы от этой компании (в плане уязвимости и мотивации вас взламывать) ничем не отличаетесь. Я бы даже сказал, что более простая жертва ☺️
Статьи написаны немного академично, но полезной информации, хоть на первый взгляд все кажется очевидным (люблю это слово, чаще всего те, кто его произносят, попадаются на этом очевидно) , хватает. Советую к прочтению
Нашел подборку неплохих статей на Хабре насчет собственно защиты информации. После их прочтения (чего и вам советую) в очередной раз убедился что защита целостности и конфиденциальности любой информации это всегда комплексная мера, а не только условный Tor как многие полагают.
1. Виды угроз
Статья о собственно видах угроз и возможных векторах атаки на информацию
2. Средства защиты
Собственно об основных способах защиты информации
3. Цена ошибки
Что случится, если вы забьете болт на это дело, прикрываясь старым-добрым "Ну меня это точно не коснется!"
К этому разделу хочу добавить недавний пример, показательный так сказать:
Кулхацкеры закодировали данные компании Garmin, так, как там наверное тоже думали что "ну нас не коснется", и потребовали выкуп в 10 миллионов долларов. Пришлось платить. Пожадничали на защиту миллион баксов раньше, заплатили в 10 раз больше. Собственно вы от этой компании (в плане уязвимости и мотивации вас взламывать) ничем не отличаетесь. Я бы даже сказал, что более простая жертва ☺️
Статьи написаны немного академично, но полезной информации, хоть на первый взгляд все кажется очевидным (люблю это слово, чаще всего те, кто его произносят, попадаются на этом очевидно) , хватает. Советую к прочтению
Хабр
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность» . Многие слышали это словосочетание, но не все понимают, что же это такое?...
#защита_инвестиций
Меня попросили написать что то о взломе Kucoin-a 25-26 сентября. Вот только "что то" и могу написать (то, о чем кричат с каждого утюга и я уже писал много раз):
1. Не держите деньги на бирже.
Если вы не трейдер, и не торгуете с определенной частотой, то воспринимать шаражки с регистрацией в Гонконге или другом оффшоре как место где можно держать свои бабки - это диагноз. Таких людей уже даже не жалко.
Но интересный момент на который почему то никто из криптоканалов (по крайней мере из тех которые я читаю) не обращает внимание, так это на то, как собственно произошел взлом. Об этом даже не знают разработчики тех криптовалют и ерс-20 токенов которые украли хакеры, вот вам цитата из объявления проекта digitex:
"KuCoin hasn’t yet confirmed exactly what happened"
Ну тоесть хакеры взяли, горчие кошельки угнали, криптой обогатились. Вот вам и все сведения. Притом, что прошло уже добрых 6 дней, за такое время в былые времена появлялись разборы взломов DAO, алгоритма ERC-20 (да, веселый взлом был, функция определения хозяина контракта была публичной и к ней мог обратиться любой и переподвязать все на себя) и так далее.
Не то, что я намекаю что биржа украла эти бабки. Скорее всего просто ключи были просранны самым тупым и идиотским методом из-за напоевательства и пофигизма самой биржи, и если об этом узнают, то таким раздолбаям никто даже копейки не даст больше. Вот и молчат.
А так то, классика. Пару раз в году бывает.
_______
Source: https://t.iss.one/lemon_crypto/496
Меня попросили написать что то о взломе Kucoin-a 25-26 сентября. Вот только "что то" и могу написать (то, о чем кричат с каждого утюга и я уже писал много раз):
1. Не держите деньги на бирже.
Если вы не трейдер, и не торгуете с определенной частотой, то воспринимать шаражки с регистрацией в Гонконге или другом оффшоре как место где можно держать свои бабки - это диагноз. Таких людей уже даже не жалко.
Но интересный момент на который почему то никто из криптоканалов (по крайней мере из тех которые я читаю) не обращает внимание, так это на то, как собственно произошел взлом. Об этом даже не знают разработчики тех криптовалют и ерс-20 токенов которые украли хакеры, вот вам цитата из объявления проекта digitex:
"KuCoin hasn’t yet confirmed exactly what happened"
Ну тоесть хакеры взяли, горчие кошельки угнали, криптой обогатились. Вот вам и все сведения. Притом, что прошло уже добрых 6 дней, за такое время в былые времена появлялись разборы взломов DAO, алгоритма ERC-20 (да, веселый взлом был, функция определения хозяина контракта была публичной и к ней мог обратиться любой и переподвязать все на себя) и так далее.
Не то, что я намекаю что биржа украла эти бабки. Скорее всего просто ключи были просранны самым тупым и идиотским методом из-за напоевательства и пофигизма самой биржи, и если об этом узнают, то таким раздолбаям никто даже копейки не даст больше. Вот и молчат.
А так то, классика. Пару раз в году бывает.
_______
Source: https://t.iss.one/lemon_crypto/496
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #Важно
К предыдущему посту...
Как безопасно и удобно хранить разные суммы биткоинов для разных целей
Сделаю короткий очерк интересного способа, без лишних углублений (кому нужно будет сам продолжит).
Нам необходимо иметь много разных аккаунтов (например для рекламы, для получения донатов, для хранения жирных сумм, пару кошельков обманок), да так, чтобы компроментация одного кошелька/адреса не приводила автоматом к потере всех средств.
Сразу небось приходит в голову идея хранить n-е количество приватников на бумажке и использовать их?) Но это во первых, жутко неудобно, во вторых, не очень то и безопасно, так как такой способ невероятно уязвим к человеческой ошибке (например жена ваша убиралась и выбросила все бумажки :) )
Есть способ получше (благодаря BIP39, BIP44): Seed + passphrase
1. Генерируете сид в любом кошельке (лучше если 24 слова, но с 12-ю тоже работать будет)
2. Придумываете собственно passphrase которая и не простая (хотябы уровня слабого пароля. Как делать пароли вот у меня пост) но и которую вы никогда не забудете.
3. Добавляете до passphrase соль, которая будет соответствовать нужному вам кошельку. Это может быть как "01", "02", "03" так и например связка passphraseCOMMERCIAL .
Собственно эту связку, passphrase + соль (salt) используете как аргумент в оффлайн утилите генерации хэшей (подойдет любой, хотя нет, md5 и такое старье лучше не брать. Выбирайте sha1-sha2) и вот собственно получившийся хэш используете как 25-е слово к сиду. Вот как это будет примерно выглядеть:
1. (Первый кошелек): seed + sha2("passphrase-которую-я-всегда-помню01")
2. (Второй): seed + sha2("passphrase-которую-я-всегда-помню02")
Сложно? :)
Что оно дает:
1. Высокую секьюрность. Условному хакеру нужно узнать сид + алгоритм генерации (выше только один ИЗ возможных) + мастер пароль (passphrase ваша которую вы всегда помните). Тот же сид, можно хоть на лбу себе написать, без алгоритма деривации и мастер пароля от него толку немного.
2. Высокую гибкость. Для каждой цели у вас своя связка сид + мастер пароль, которые довольно сложно забыть. Также, вы можете с нужной вам связки взять xPub (вот здесь например - https://iancoleman.io/bip39/) генерировать новые адреса под каждую новую транзакцию (например xPub от связки seed + sha2("passphraseCOMMERCIAL") )
3. Высокую мобильность. Закинули сид в инстраграм, пароль и способ деривации у вас в голове, и провезли даже через самую внимательную границу хоть миллион биткоинов.
Вот так то, биткоин изящный и гениальный :)
Пару полезных ссылочек для самостоятельного ознакомления:
1. https://wiki.trezor.io/Passphrase#:~:text=Passphrase%20is%20an%20optional%20feature,device%20or%20the%20recovery%20seed
2. https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki
3. https://github.com/bitcoin/bips/blob/master/bip-0044.mediawiki
К предыдущему посту...
Как безопасно и удобно хранить разные суммы биткоинов для разных целей
Сделаю короткий очерк интересного способа, без лишних углублений (кому нужно будет сам продолжит).
Нам необходимо иметь много разных аккаунтов (например для рекламы, для получения донатов, для хранения жирных сумм, пару кошельков обманок), да так, чтобы компроментация одного кошелька/адреса не приводила автоматом к потере всех средств.
Сразу небось приходит в голову идея хранить n-е количество приватников на бумажке и использовать их?) Но это во первых, жутко неудобно, во вторых, не очень то и безопасно, так как такой способ невероятно уязвим к человеческой ошибке (например жена ваша убиралась и выбросила все бумажки :) )
Есть способ получше (благодаря BIP39, BIP44): Seed + passphrase
1. Генерируете сид в любом кошельке (лучше если 24 слова, но с 12-ю тоже работать будет)
2. Придумываете собственно passphrase которая и не простая (хотябы уровня слабого пароля. Как делать пароли вот у меня пост) но и которую вы никогда не забудете.
3. Добавляете до passphrase соль, которая будет соответствовать нужному вам кошельку. Это может быть как "01", "02", "03" так и например связка passphraseCOMMERCIAL .
Собственно эту связку, passphrase + соль (salt) используете как аргумент в оффлайн утилите генерации хэшей (подойдет любой, хотя нет, md5 и такое старье лучше не брать. Выбирайте sha1-sha2) и вот собственно получившийся хэш используете как 25-е слово к сиду. Вот как это будет примерно выглядеть:
1. (Первый кошелек): seed + sha2("passphrase-которую-я-всегда-помню01")
2. (Второй): seed + sha2("passphrase-которую-я-всегда-помню02")
Сложно? :)
Что оно дает:
1. Высокую секьюрность. Условному хакеру нужно узнать сид + алгоритм генерации (выше только один ИЗ возможных) + мастер пароль (passphrase ваша которую вы всегда помните). Тот же сид, можно хоть на лбу себе написать, без алгоритма деривации и мастер пароля от него толку немного.
2. Высокую гибкость. Для каждой цели у вас своя связка сид + мастер пароль, которые довольно сложно забыть. Также, вы можете с нужной вам связки взять xPub (вот здесь например - https://iancoleman.io/bip39/) генерировать новые адреса под каждую новую транзакцию (например xPub от связки seed + sha2("passphraseCOMMERCIAL") )
3. Высокую мобильность. Закинули сид в инстраграм, пароль и способ деривации у вас в голове, и провезли даже через самую внимательную границу хоть миллион биткоинов.
Вот так то, биткоин изящный и гениальный :)
Пару полезных ссылочек для самостоятельного ознакомления:
1. https://wiki.trezor.io/Passphrase#:~:text=Passphrase%20is%20an%20optional%20feature,device%20or%20the%20recovery%20seed
2. https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki
3. https://github.com/bitcoin/bips/blob/master/bip-0044.mediawiki
iancoleman.io
BIP39 - Mnemonic Code
bitcoin mnemonic converter
Forwarded from CryptoВорчун™
Анонимности не существует
Есть лишь невозможность собрать достаточную доказательную базу о том, что вы верблюд. Поэтому если хотите что-то спрятать, прячьте на видном месте.
Я о том, что в принципе Хорошие сценарии сделать свои биткоины анонимными, но...
Можно вообще ничего не делать, даже если собственный холодный адрес «о котором все знают» везде засвечен. Почему? Потому, что только вы признаете то, что он ваш собственный.
Для стороннего наблюдателя, это «используемый вами адрес», физического доступа к которому, вы возможно и не имеете вовсе. А де-юре с доказательной базой привязать вас к этому адресу как выгодополучателя может только непосредственная запись как вы получаете к нему доступ.
Во всех остальных случаях, то что адрес принадлежит вам, всего лишь домыслы. А возможно это вообще кошелек вашего родственника, гражданина Нигерии (нынче модно), который по доброте душевной является душеприказчиком вашего криптосостояния. Хотя оно вовсе и не ваше на самом деле.
Так что не хочешь быть замеченным? Не суетись. В остальном же, «был бы человек, статья найдется». И это тоже следует иметь ввиду.
Есть лишь невозможность собрать достаточную доказательную базу о том, что вы верблюд. Поэтому если хотите что-то спрятать, прячьте на видном месте.
Я о том, что в принципе Хорошие сценарии сделать свои биткоины анонимными, но...
Можно вообще ничего не делать, даже если собственный холодный адрес «о котором все знают» везде засвечен. Почему? Потому, что только вы признаете то, что он ваш собственный.
Для стороннего наблюдателя, это «используемый вами адрес», физического доступа к которому, вы возможно и не имеете вовсе. А де-юре с доказательной базой привязать вас к этому адресу как выгодополучателя может только непосредственная запись как вы получаете к нему доступ.
Во всех остальных случаях, то что адрес принадлежит вам, всего лишь домыслы. А возможно это вообще кошелек вашего родственника, гражданина Нигерии (нынче модно), который по доброте душевной является душеприказчиком вашего криптосостояния. Хотя оно вовсе и не ваше на самом деле.
Так что не хочешь быть замеченным? Не суетись. В остальном же, «был бы человек, статья найдется». И это тоже следует иметь ввиду.
Telegram
Crypto Lemon
#защита_инвестиций
Вот что пришло в бота: "Добрый день! Остро встал вопрос анонимизации собственных BTC, по причине возможности принятия поправок к закону о ЦФА, т.к. по недальновидности завёл на биржу фиат через карту напрямую и, к сожалению, почти всегда…
Вот что пришло в бота: "Добрый день! Остро встал вопрос анонимизации собственных BTC, по причине возможности принятия поправок к закону о ЦФА, т.к. по недальновидности завёл на биржу фиат через карту напрямую и, к сожалению, почти всегда…
#защита_инвестиций
Часто слышу идею мол "лень иметь большие адреса в биткоине, давайте введем фичу чтобы можно было отправлять деньги на более короткие словосочетания, например как в логины в Телеграмм"
Результат можно увидеть в этом посте . Как можно понять из поста, были украдены деньги с Coinbase кошелька. Как именно: Компьютер по всей видимости был заражен так называемым clipping malware, у меня был пост о нем (и даже не один!). Каждый такой вирус имеет небольшую БД с огромного количества адресов, и когда вы копируете нужный вам адрес в буфер обмена, подменяет его похожим. Похожими в основном являются первые 4-5 символов (на которые в основном только и смотрят люди). А так как Coinbase не отображает полный адрес, а только его начальную часть, то это просто бинго для хакеров! По сути вероятность успеха многократно растет (я уже советовал не пользоваться Coinbase кошельком, они помимо идиотской реализации отправки еще любят рассылать письма счастья своим клиентам)
По итогу, имплементация идеи "коротких" адресов, более похожих на ники, стала бы лучшим новогодним подарком для разработчиков clipping малвари. Так что в мусорку такие "упрощения"!
_______
Source: https://t.iss.one/lemon_crypto/523
Часто слышу идею мол "лень иметь большие адреса в биткоине, давайте введем фичу чтобы можно было отправлять деньги на более короткие словосочетания, например как в логины в Телеграмм"
Результат можно увидеть в этом посте . Как можно понять из поста, были украдены деньги с Coinbase кошелька. Как именно: Компьютер по всей видимости был заражен так называемым clipping malware, у меня был пост о нем (и даже не один!). Каждый такой вирус имеет небольшую БД с огромного количества адресов, и когда вы копируете нужный вам адрес в буфер обмена, подменяет его похожим. Похожими в основном являются первые 4-5 символов (на которые в основном только и смотрят люди). А так как Coinbase не отображает полный адрес, а только его начальную часть, то это просто бинго для хакеров! По сути вероятность успеха многократно растет (я уже советовал не пользоваться Coinbase кошельком, они помимо идиотской реализации отправки еще любят рассылать письма счастья своим клиентам)
По итогу, имплементация идеи "коротких" адресов, более похожих на ники, стала бы лучшим новогодним подарком для разработчиков clipping малвари. Так что в мусорку такие "упрощения"!
_______
Source: https://t.iss.one/lemon_crypto/523
reddit
WARNING!Please guys be extremely careful!
Posted in r/Bitcoin by u/seraf1990 • 422 points and 291 comments
#защита_инвестиций
Думаю вы уже давно в курсе насчет canvas fingerprinting, материалами кишит весь интернет. И также в курсе, что есть расширения которые их блокируют. Или отправляют в ответ фейковые "отпечатки"
Сейчас довольно часто вижу посты, даже вот от довольно толковых каналов, мол всякие браузерные расширения это фигня, сайты при выполнении скриптов flash, java и прочих могут видеть что у тебя установлено на браузере, и мол если у тебя много всего, то это тоже в своем роде фингерпринтинг. Соглашусь, так как если у вас стоит миллион расширений, то вас также можно легко вычислить из толпы. Но предположим что их у вас 1-2 (самых необходимых).
У критиков всяких canvas blocker-ов часто слышу аргумент про "не выделяться из толпы", мол если вы на себя оденете условный бронижилет, то в толпе вы будете привлекать больше внимания чем обычный белый воротничок. И на первый взгляд оно ведь так.
Но по сути это ведь подмена понятий!
В чем суть "не выделяться из толпы" если вы идете по улице? Ну как бы предполагается, что взгляд некоего Большого Брата (будь то человек за камерой или нейросеть) не сможет в силу ограничения на когнитивные процессы выщелкнуть вас из толпы, так как толпа по сути сливается в единое целое для него. Это в большей мере правда. Но ведь в Сети все совершенно не так. Нет никакого "слияния" с некоей "толпой". Нет толпы просто, в Сети каждый это IP + набор отпечатков (fingerprints) и куки. Переходя на сайт, хоть даже вместе с сотней пользователей, система знает , что вы это вы, а Вася это Вася. Считайте, что вы проходите под камерой через рамку металлоискателя, а у охраны лежит полное досье на вас. Вот корректная аналогия в данном случае.
Если же вы ставите себе условный CanvasBlocker (16 тысяч пользователей) и например некий VPN сервис, (предположим 10 тысяч пользователей) и допустим людей, которые тоже имеют два именно этих (не больше ни меньше) расширения вместе с вами, около трех сотен. То ситуация получается следующая: Большой Брат видит что зашел пользователь с такими то расширениями, но не видит кто конкретно из этих 300 человек.
В случае же отсутствия расширений, Большой Брат знает что вы это именно вы! Видит совпадение IP, видит совпадение fingerprints, cookies и так далее. В таком случае некорректно говорить ни о каком слиянии с толпой, ведь толпы то нет, есть вы, как на ладони.
Лично я, как можно догадаттся, положительно отношусь к расширениям (учитывая что некоторые из них блокируют те же запросы на просмотр расширений) и считаю что чем больше людей используют их тем лучше.
По поводу fingerprints: с версии Firefox 67 у вас есть настройки в самом браузере для блокировки фингер принтов. Браузер отсылает пустой "холст" сайту в ответ. Поиграйтесь с настройками, посмотрите.
_______
Source: https://t.iss.one/lemon_crypto/529
Думаю вы уже давно в курсе насчет canvas fingerprinting, материалами кишит весь интернет. И также в курсе, что есть расширения которые их блокируют. Или отправляют в ответ фейковые "отпечатки"
Сейчас довольно часто вижу посты, даже вот от довольно толковых каналов, мол всякие браузерные расширения это фигня, сайты при выполнении скриптов flash, java и прочих могут видеть что у тебя установлено на браузере, и мол если у тебя много всего, то это тоже в своем роде фингерпринтинг. Соглашусь, так как если у вас стоит миллион расширений, то вас также можно легко вычислить из толпы. Но предположим что их у вас 1-2 (самых необходимых).
У критиков всяких canvas blocker-ов часто слышу аргумент про "не выделяться из толпы", мол если вы на себя оденете условный бронижилет, то в толпе вы будете привлекать больше внимания чем обычный белый воротничок. И на первый взгляд оно ведь так.
Но по сути это ведь подмена понятий!
В чем суть "не выделяться из толпы" если вы идете по улице? Ну как бы предполагается, что взгляд некоего Большого Брата (будь то человек за камерой или нейросеть) не сможет в силу ограничения на когнитивные процессы выщелкнуть вас из толпы, так как толпа по сути сливается в единое целое для него. Это в большей мере правда. Но ведь в Сети все совершенно не так. Нет никакого "слияния" с некоей "толпой". Нет толпы просто, в Сети каждый это IP + набор отпечатков (fingerprints) и куки. Переходя на сайт, хоть даже вместе с сотней пользователей, система знает , что вы это вы, а Вася это Вася. Считайте, что вы проходите под камерой через рамку металлоискателя, а у охраны лежит полное досье на вас. Вот корректная аналогия в данном случае.
Если же вы ставите себе условный CanvasBlocker (16 тысяч пользователей) и например некий VPN сервис, (предположим 10 тысяч пользователей) и допустим людей, которые тоже имеют два именно этих (не больше ни меньше) расширения вместе с вами, около трех сотен. То ситуация получается следующая: Большой Брат видит что зашел пользователь с такими то расширениями, но не видит кто конкретно из этих 300 человек.
В случае же отсутствия расширений, Большой Брат знает что вы это именно вы! Видит совпадение IP, видит совпадение fingerprints, cookies и так далее. В таком случае некорректно говорить ни о каком слиянии с толпой, ведь толпы то нет, есть вы, как на ладони.
Лично я, как можно догадаттся, положительно отношусь к расширениям (учитывая что некоторые из них блокируют те же запросы на просмотр расширений) и считаю что чем больше людей используют их тем лучше.
По поводу fingerprints: с версии Firefox 67 у вас есть настройки в самом браузере для блокировки фингер принтов. Браузер отсылает пустой "холст" сайту в ответ. Поиграйтесь с настройками, посмотрите.
_______
Source: https://t.iss.one/lemon_crypto/529
Mozilla
Firefox blocks fingerprinting
Fingerprinting is a type of online tracking that’s more invasive than ordinary cookie-based tracking — that’s why Firefox Browser blocks it.