#защита_инвестиций #linux

Хотел было написать гайд по поводу настройки фаервола на Linux (а учитывая миллионы дистрибутивов и сборок, то конкретно под Убунту), но сам посидев с этим понял что довольно сложно, и намного проще будет пользоваться решением из коробки : https://www.techradar.com/best/best-free-linux-firewalls

Список бесплатных опен сорс фаерволов для Убунт, Дебианов и прочих пингвинов. Все просто, удобный нативный интерфейс, не надо ни писать скрипты, ни разбираться с командами.

Да, по стандарту большинство Линукс систем не имеют встроенного фаервола

Почему вам вообще нужен фаерволл на Линукс? Потому что вам обязательно нужен Линукс для операций с криптовалютами. Зачем? Да потому что на нём нет и 10й доли тех уязвимостей и векторов атаки которые есть на Винду.

Не так давно, у пользователя форума о крипте где я появляюсь, своровали 16 биткоинов из под 10й Винды, где он не ленился и лично настраивал все уровни защиты. Так вот, зачем лишний раз рисковать чтобы поиграть в какой нибудь контр-страйк или Доту? (Единственное чего нет на Линуксе - это игр, все остальное - есть и даже лучше). Особенно когда на кону большие суммы крипты. По крайней мере у вас должно быть две ОС - Линукс для криптовалют и чувствительной информации, и что-то другое для деградирования. Мой товарищ купил себе Макбук, с которого снес мак ось и поставил Линукс :D

Как я говорю постоянно: не ленитесь. Лень наказуема

#защита_инвестиций

Уже разработчики Электрума пишут о том, о чем я много раз писал на канале: проверяйте адрес перед отправкой средств

Clipping malware это вам не шутка. И как любой способ отъема средств у не особо внимательных граждан, он постоянно улучшается.

Если ранее это было просто программа которая заменяла нужный адрес на адрес хакера перед отправкой, в надежде что вы смотрите при отправке в окно и не заметите разницы (учитывая что это работало, многие реально так и отправляли скорее всего), то сейчас у подобных программ есть набор заранее сгенерированных адресов (тем же Vanity generator). Когда вы вводите адрес того, кому собираетесь отправить, малварь сравнивает его с набором заготовленных адресов, и находит максимально похожий. Например первые несколько знаков совпадают, или несколько последних. А бывает и так, что и первые совпадают и два-три последних. Основано на слабостях человеческого поведения, в попытке сделать "быстрее" мы смотрим только на первые/последние 2-4 знака, и с чистой совестью кликаем "отправить".

Чтобы так не попасться, по возможности стоит проверять или половину адреса (16 знаков) в начале или хотя бы с конца и начала глазами сверить по 5-6 знаков. Да, может лишить вас пары драгоценных секунд вашей жизни. С другой стороны, посчитайте сколько секунд вы потратите чтобы прийти в себя, если попадете в ситуацию как вот этот товарищ 😉

#защита_инвестиций #важно

Возможно вы были ознакомлены с этой новостью ранее, но я бы хотел немного подробнее ее разобрать. Коротко суть статьи: все внутреннее программное обеспечение Xiaomi отслеживает любую вашу активность (вплоть до того, какие папки вы открывали) в особенности встроенные браузеры Mi Browser и Mint Browser и отправляют на удаленные серверы в Китай, Сингапур и Россию.

Чем это грозит вам, как пользователю Сяоми в случае если вы на телефон устанавливаете какие то программы для крипты (та даже обычный Google authenticator):

К примеру, вы устанавливаете на свой телефон Electrum portable версию, чтобы делать "безопасные" переводы. Сяоми очевидно не может подсмотреть (на уровне прошивки. так то китайцы могут что то впихнуть и на уровень hardware, а оно уже все сможет :D ) что происходит в Electrum (но она знает о его наличии на телефоне). Но вы, ничего не подозревающий товарищ, вводите пароль со стандартной клавиатуры телефона. И вот эту информацию прошивка вполне может отправить куда нужно (честно говоря, этот вектор атаки свойственный для всех смартфонов).
Как от этого защититься: Не использовать стандартную клавиатуру, в Google Play хватает виртуальных клавиатур.

Также стоит упомянуть об отправке практически всей информации с телефона на удаленные сервера:

Здесь все немного сложнее. В ответ на статью, Сяоми заявили что данные передаются, но для их передачи и защиты используется "самое современное шифрование". Никогда не устаю угорать с вранья китаез. Объясню: если вы когда то столкнетесь с людьми или сервисами которые будут загонять похожую телегу, смело шлите их КЕМ. Хорошие конторы указывают конкретные алгоритмы шифрования, например, известные AES или Salsa20.
Как вы можете догадаться, в случае с Сяоми ничего хорошего не оказалось. Для передачи используется такой супер алгоритм как base64. Вы стыкаетесь с его братом, base58 каждый раз когда смотрите на любой биткоин адрес или приватный ключ в формате WIF. Так вот, base64 (как и base58) это не алгоритм шифрования, а алгоритм представления информации в удобной для чтения и передаче форме. Он двусторонний, "дешифровка" происходит за пару секунд. Вот вам пример - онлайн конвертер для base64
Тоесть, любая информация отправленная вашим телефоном Сяоми, попадает не только на сервера Китая, но и вообще любому желающему, которому будет не лень посмотреть траффик вашего телефона (например, ваш провайдер).
Как от этого защититься: Ну самый простой способ, это не пользоваться Сяоми :D А если без шуток, то вы должны трезво осознавать, что все ваши данные (ваша активность, поисковые запросы, настройки телефона, какие программы установлены) могут быть перехвачены хакерами, здесь даже не злобных китайских коммунистов стоит бояться. Поможет использование программ а-ля VPN и работа только из под них (они шифруют исходящий траффик).

Я конечно понимаю что "топ за свои деньги" и "Гугл тоже следит за нами", но советую все же обратить на это внимание :) Притом, что я уже писал пост почему лучше не хранить крипту на смартфоне. Тоже советую ознакомиться.

#защита_инвестиций

Новость немножко не свежая, но учитывая что я бываю слоупком, мне простительно.

Старые адреса, которые грязный конокрад Крейг Райт называл своими, написали коллективное письмо где обозвали его вруном. Но интересно здесь немного другое: а как собственно проверить, что это написали именно они, люди владеющие этими приватными ключами? (и отбросить версию что Крейг Райт сошел с ума, и сам себя называет говноедом)

Очень просто, в одном из моих старых постов я приводил подборку сервисов для верификации подписей в сети биткоин, но вот нашел еще один интересный сервис - https://tools.bitcoin.com/verify-message/

Это если вы собираетесь проверять подписи, быстрее и секьюрнее это конечно сделать онлайн, не запуская Электрум или другой биткоин кошелек. В самом Электруме переходим во вкладку tools/инструменты и далее в sign/verify message
Электрум намного удобнее если вам надо проверить подпись, кто что написал, и потом сразу же ответить, при этом подписав сообщение своим ключом.

Для понимания, зачем вообще это нужно, можно обратиться к самой сути биткоина, каждый раз когда вы отправляете транзакцию, вы предоставляете подпись, что даже, именно вы и есть владелец этого адреса и можете распоряжаться средствами (обновить в памяти как работают транзакции можно в этом посте). Только в кошельках это делается автоматически, по заранее стандартизированному скрипту.

А так, подписывают сообщения очень часто. Например, вы проворачиваете с партнером с Америки онлайн сделку. Сумма на десятки битков, и надо быть уверенным что вот то, что он вам написал только что, это именно его слова а не переиначенные каким то "человеком посредине" (MITM attack). Он подписывает сообщение, и вы уже спокойны (ведь приватник которым он подписал, он у него, на оффлайн машине или аппаратном кошельке, откуда не украдут просто так).

Или же вам надо создать дополнительный уровень защиты, когда вы не уверены что по почте все будет окей, вы пишете адрес, сообщение, подписываете его и все, даже если ваша почта будет взломана (а зная подвязанный номер телефона это вполне возможно), то вы всегда сможете просто повторить действие выше, и все будут знать что вы это вы.

Или на крайняк, вы выпендриваетесь перед дамами в клубе, мол вы крутой крипто инвестор, и у вас десятки биткоинов. "А как докажешь то, а?", спрашивают вас дамы. Ну не будете же вы им что то переводить с адреса (раньше был популярен развод в сети, на слабо). Вы, берете, показываете им ваш жирный биткоин адрес, подписываете любое сообщение, и все, видно что именно вы владелец этих средств. И потом можете звать их к себе домой 😏

Крайне не советую делать как в ситуации выше, если вы конечно не хотите встретиться с Павлом Няшиным, но хотел вам показать разнообразие вариантов. И в моих примерах даже нет и десятой части того, где это можно использовать! Очень вариативная и полезная штука 😌

#защита_инвестиций

Нельзя обойти стороной вот эту прекрасную новость.

Компания Kingold Jewelry Inc в течении 5 лет брала кредиты у Банка Китая (!!!, это вам не ломбард какой нибудь) под заставу золота своего производства, которое в итоге оказалось фальшивкой!

Да да, получили несколько миллиардов кредитов под фейковое золото. Притом это не была какая то хитрая схема, как например из моего прошлого поста о золотых инвестициях, а просто блин позолоченная медь. У меди и золота даже ,блядь, плотность разная, золотой слиток схожих геометрических размеров будет всегда в два раза тяжелее!!

Сейчас огромное количество возможностей подделки золотых слитков (тот же вольфрам имеет такую же плоность как и золото, а сам дешевле в десятки раз) которые определить, кроме как специальными химико физическими тестами никак нельзя! (ну или распилить слиток пополам, но крайне не советую, так как после такой операции вы сможете максимум что сдать в ломбард, ведь банк где вы покупали такое не примет)

Более подкованные скажут: покупай ОМС или же еще проще, обычный ETF на золото. С одной стороны оно то так, но вот что будет, если к примеру государство (я понятное дело подразумеваю в основном гегемона США) в какой то момент решит запретить торги на золоте, или просто начнет его конфисковать? ETF и ОМС спрятать не получится. Не верите что такое может быть? Такое уже было, ознакомьтесь.

К чему я вам это рассказываю? Во первых к тому, чтобы вы реально умели оценивать риски. Если даже Банк Китая попался, то очень вероятно что попадетесь и вы. Ну и когда кто то вместо этих ваших "криптовалютных пирамид" предлагает вам инвестировать в проверенный тысячелетиями инструмент, то вы относитесь к этому скептически. А то может оказаться что купите в итоге позолоченную крышку люка., знаете ли 😉

#защита_инвестиций #приватность

Нашел подборку неплохих статей на Хабре насчет собственно защиты информации. После их прочтения (чего и вам советую) в очередной раз убедился что защита целостности и конфиденциальности любой информации это всегда комплексная мера, а не только условный Tor как многие полагают.

1. Виды угроз
Статья о собственно видах угроз и возможных векторах атаки на информацию

2. Средства защиты
Собственно об основных способах защиты информации

3. Цена ошибки
Что случится, если вы забьете болт на это дело, прикрываясь старым-добрым "Ну меня это точно не коснется!"

К этому разделу хочу добавить недавний пример, показательный так сказать:
Кулхацкеры закодировали данные компании Garmin, так, как там наверное тоже думали что "ну нас не коснется", и потребовали выкуп в 10 миллионов долларов. Пришлось платить. Пожадничали на защиту миллион баксов раньше, заплатили в 10 раз больше. Собственно вы от этой компании (в плане уязвимости и мотивации вас взламывать) ничем не отличаетесь. Я бы даже сказал, что более простая жертва ☺️

Статьи написаны немного академично, но полезной информации, хоть на первый взгляд все кажется очевидным (люблю это слово, чаще всего те, кто его произносят, попадаются на этом очевидно) , хватает. Советую к прочтению

#защита_инвестиций

Меня попросили написать что то о взломе Kucoin-a 25-26 сентября. Вот только "что то" и могу написать (то, о чем кричат с каждого утюга и я уже писал много раз):

1. Не держите деньги на бирже.
Если вы не трейдер, и не торгуете с определенной частотой, то воспринимать шаражки с регистрацией в Гонконге или другом оффшоре как место где можно держать свои бабки - это диагноз. Таких людей уже даже не жалко.

Но интересный момент на который почему то никто из криптоканалов (по крайней мере из тех которые я читаю) не обращает внимание, так это на то, как собственно произошел взлом. Об этом даже не знают разработчики тех криптовалют и ерс-20 токенов которые украли хакеры, вот вам цитата из объявления проекта digitex:

"KuCoin hasn’t yet confirmed exactly what happened"

Ну тоесть хакеры взяли, горчие кошельки угнали, криптой обогатились. Вот вам и все сведения. Притом, что прошло уже добрых 6 дней, за такое время в былые времена появлялись разборы взломов DAO, алгоритма ERC-20 (да, веселый взлом был, функция определения хозяина контракта была публичной и к ней мог обратиться любой и переподвязать все на себя) и так далее.

Не то, что я намекаю что биржа украла эти бабки. Скорее всего просто ключи были просранны самым тупым и идиотским методом из-за напоевательства и пофигизма самой биржи, и если об этом узнают, то таким раздолбаям никто даже копейки не даст больше. Вот и молчат.

А так то, классика. Пару раз в году бывает.
_______
Source: https://t.iss.one/lemon_crypto/496

#защита_инвестиций #Важно

К предыдущему посту...

Как безопасно и удобно хранить разные суммы биткоинов для разных целей

Сделаю короткий очерк интересного способа, без лишних углублений (кому нужно будет сам продолжит).

Нам необходимо иметь много разных аккаунтов (например для рекламы, для получения донатов, для хранения жирных сумм, пару кошельков обманок), да так, чтобы компроментация одного кошелька/адреса не приводила автоматом к потере всех средств.

Сразу небось приходит в голову идея хранить n-е количество приватников на бумажке и использовать их?) Но это во первых, жутко неудобно, во вторых, не очень то и безопасно, так как такой способ невероятно уязвим к человеческой ошибке (например жена ваша убиралась и выбросила все бумажки :) )

Есть способ получше (благодаря BIP39, BIP44): Seed + passphrase

1. Генерируете сид в любом кошельке (лучше если 24 слова, но с 12-ю тоже работать будет)
2. Придумываете собственно passphrase которая и не простая (хотябы уровня слабого пароля. Как делать пароли вот у меня пост) но и которую вы никогда не забудете.
3. Добавляете до passphrase соль, которая будет соответствовать нужному вам кошельку. Это может быть как "01", "02", "03" так и например связка passphraseCOMMERCIAL .

Собственно эту связку, passphrase + соль (salt) используете как аргумент в оффлайн утилите генерации хэшей (подойдет любой, хотя нет, md5 и такое старье лучше не брать. Выбирайте sha1-sha2) и вот собственно получившийся хэш используете как 25-е слово к сиду. Вот как это будет примерно выглядеть:

1. (Первый кошелек): seed + sha2("passphrase-которую-я-всегда-помню01")
2. (Второй): seed + sha2("passphrase-которую-я-всегда-помню02")

Сложно? :)

Что оно дает:
1. Высокую секьюрность. Условному хакеру нужно узнать сид + алгоритм генерации (выше только один ИЗ возможных) + мастер пароль (passphrase ваша которую вы всегда помните). Тот же сид, можно хоть на лбу себе написать, без алгоритма деривации и мастер пароля от него толку немного.

2. Высокую гибкость. Для каждой цели у вас своя связка сид + мастер пароль, которые довольно сложно забыть. Также, вы можете с нужной вам связки взять xPub (вот здесь например - https://iancoleman.io/bip39/) генерировать новые адреса под каждую новую транзакцию (например xPub от связки seed + sha2("passphraseCOMMERCIAL") )

3. Высокую мобильность. Закинули сид в инстраграм, пароль и способ деривации у вас в голове, и провезли даже через самую внимательную границу хоть миллион биткоинов.

Вот так то, биткоин изящный и гениальный :)

Пару полезных ссылочек для самостоятельного ознакомления:
1. https://wiki.trezor.io/Passphrase#:~:text=Passphrase%20is%20an%20optional%20feature,device%20or%20the%20recovery%20seed
2. https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki
3. https://github.com/bitcoin/bips/blob/master/bip-0044.mediawiki

Анонимности не существует

Есть лишь невозможность собрать достаточную доказательную базу о том, что вы верблюд. Поэтому если хотите что-то спрятать, прячьте на видном месте.

Я о том, что в принципе Хорошие сценарии сделать свои биткоины анонимными, но...

Можно вообще ничего не делать, даже если собственный холодный адрес «о котором все знают» везде засвечен. Почему? Потому, что только вы признаете то, что он ваш собственный.

Для стороннего наблюдателя, это «используемый вами адрес», физического доступа к которому, вы возможно и не имеете вовсе. А де-юре с доказательной базой привязать вас к этому адресу как выгодополучателя может только непосредственная запись как вы получаете к нему доступ.

Во всех остальных случаях, то что адрес принадлежит вам, всего лишь домыслы. А возможно это вообще кошелек вашего родственника, гражданина Нигерии (нынче модно), который по доброте душевной является душеприказчиком вашего криптосостояния. Хотя оно вовсе и не ваше на самом деле.

Так что не хочешь быть замеченным? Не суетись. В остальном же, «был бы человек, статья найдется». И это тоже следует иметь ввиду.

#защита_инвестиций

Часто слышу идею мол "лень иметь большие адреса в биткоине, давайте введем фичу чтобы можно было отправлять деньги на более короткие словосочетания, например как в логины в Телеграмм"

Результат можно увидеть в этом посте . Как можно понять из поста, были украдены деньги с Coinbase кошелька. Как именно: Компьютер по всей видимости был заражен так называемым clipping malware, у меня был пост о нем (и даже не один!). Каждый такой вирус имеет небольшую БД с огромного количества адресов, и когда вы копируете нужный вам адрес в буфер обмена, подменяет его похожим. Похожими в основном являются первые 4-5 символов (на которые в основном только и смотрят люди). А так как Coinbase не отображает полный адрес, а только его начальную часть, то это просто бинго для хакеров! По сути вероятность успеха многократно растет (я уже советовал не пользоваться Coinbase кошельком, они помимо идиотской реализации отправки еще любят рассылать письма счастья своим клиентам)

По итогу, имплементация идеи "коротких" адресов, более похожих на ники, стала бы лучшим новогодним подарком для разработчиков clipping малвари. Так что в мусорку такие "упрощения"!
_______
Source: https://t.iss.one/lemon_crypto/523

#защита_инвестиций

Думаю вы уже давно в курсе насчет canvas fingerprinting, материалами кишит весь интернет. И также в курсе, что есть расширения которые их блокируют. Или отправляют в ответ фейковые "отпечатки"

Сейчас довольно часто вижу посты, даже вот от довольно толковых каналов, мол всякие браузерные расширения это фигня, сайты при выполнении скриптов flash, java и прочих могут видеть что у тебя установлено на браузере, и мол если у тебя много всего, то это тоже в своем роде фингерпринтинг. Соглашусь, так как если у вас стоит миллион расширений, то вас также можно легко вычислить из толпы. Но предположим что их у вас 1-2 (самых необходимых).
У критиков всяких canvas blocker-ов часто слышу аргумент про "не выделяться из толпы", мол если вы на себя оденете условный бронижилет, то в толпе вы будете привлекать больше внимания чем обычный белый воротничок. И на первый взгляд оно ведь так.

Но по сути это ведь подмена понятий!

В чем суть "не выделяться из толпы" если вы идете по улице? Ну как бы предполагается, что взгляд некоего Большого Брата (будь то человек за камерой или нейросеть) не сможет в силу ограничения на когнитивные процессы выщелкнуть вас из толпы, так как толпа по сути сливается в единое целое для него. Это в большей мере правда. Но ведь в Сети все совершенно не так. Нет никакого "слияния" с некоей "толпой". Нет толпы просто, в Сети каждый это IP + набор отпечатков (fingerprints) и куки. Переходя на сайт, хоть даже вместе с сотней пользователей, система знает , что вы это вы, а Вася это Вася. Считайте, что вы проходите под камерой через рамку металлоискателя, а у охраны лежит полное досье на вас. Вот корректная аналогия в данном случае.

Если же вы ставите себе условный CanvasBlocker (16 тысяч пользователей) и например некий VPN сервис, (предположим 10 тысяч пользователей) и допустим людей, которые тоже имеют два именно этих (не больше ни меньше) расширения вместе с вами, около трех сотен. То ситуация получается следующая: Большой Брат видит что зашел пользователь с такими то расширениями, но не видит кто конкретно из этих 300 человек.

В случае же отсутствия расширений, Большой Брат знает что вы это именно вы! Видит совпадение IP, видит совпадение fingerprints, cookies и так далее. В таком случае некорректно говорить ни о каком слиянии с толпой, ведь толпы то нет, есть вы, как на ладони.

Лично я, как можно догадаттся, положительно отношусь к расширениям (учитывая что некоторые из них блокируют те же запросы на просмотр расширений) и считаю что чем больше людей используют их тем лучше.

По поводу fingerprints: с версии Firefox 67 у вас есть настройки в самом браузере для блокировки фингер принтов. Браузер отсылает пустой "холст" сайту в ответ. Поиграйтесь с настройками, посмотрите.
_______
Source: https://t.iss.one/lemon_crypto/529

#защита_инвестиций #Ledger_hack

Как я и предполагал, все эти смс на телефон от "наркоманов и бандитов" являются фишингом. Довольно необычным, который ближе к угрозам и сталкингу, но все же не особо опасным (иначе не просили бы по 200-300 евро)

Угрозы поляку
Угрозы чеху

Еще угрозы

В таких ситуациях стоит и вправду обратиться в полицию, но и самому подготовиться (особенно учитывая качество полиции в СНГ. Здесь вам машину под дом для охраны как в Европе или Америке никто не пришлет)

Но масштабы конечно поражают, люди в комментах пишут что им фишинговый спам идет и на почту и на номер телефона, некоторым по 5-6 раз в день. Жопы ясное дело у людей горят нереально

Но реальная угроза (если конечно вы не криптомиллионер и вас уже не пробивают серъезные люди) это подмена симки. Вот очередная история. Человеку в данном случае просто повезло. И заметьте, история не от жителя из СНГ, там то симку подменить вообще как два пальца. Поэтому в первую очередь озаботьтесь сменой номера телефона. Такие дела
_______
Source: https://t.iss.one/lemon_crypto/534

https://t.iss.one/lemon_crypto/560
да прибудет с вами диверсификация

#защита_инвестиций #Важно #юмор

Упустил как то отличную статью от Антонопулуса насчет того, принятие крипты Пейпалом это добро или зло

Подписываюсь под каждым его словом, в особенности под негативным отношением Paypal к криптовалютам. Помимо того, что глава этой конторы называл крипту "величайшим скамом" (ссылка в статье) была более существенная деталь: Paypal благоволил разводилам. В чем была суть? Пейпал не признавал крипту товаром или услугой, поэтому при попытке продать крипту через пейпал кому то, вы могли обнаружить что этот кто-то накатал жалобу мол он отправил деньги и ничего не получил. Пейпал возвращал ему деньги, а вы по итогу оставались и без крипты и без денег. Это был настолько распространенный развод, что во многих гайдах ему уделяли первые строчки.

Сейчас же Пейпал занял другую позицию (не можешь уничтожить - возглавь) но ясное дело сделал это в своей извращенной манере, по сути сделав у себя эдакое криптоказино. Вы можете купить крипту, но переслать вы ее на криптокошелек вне системы Пейпала не можете.

К тому же, Пейпал ввел так называемые "обучающие материалы". Вот что по этому поводу пишет Антонопулус:
"On one hand, the service will be entirely custodial, meaning users will not have the key to their own coins, while on the other they intend to “provide account holders with educational content to help them understand the cryptocurrency ecosystem”. The idea that anyone informed about bitcoin would agree to not holding their private keys might indicate that this educational content will overlook the fundamental rule of “Not your keys; not your coins”

Я тоже с этого порядком хохотнул, классическая ситуация "уловки 22".

Вообщем статью советую к прочтению. А также советую слать в пешее эротическое все кастодиальные сервисы.
_______
Источник: https://t.iss.one/lemon_crypto/565

#защита_инвестиций #Важно #оффлайн_нападения

Иногда меня спрашивают, мол зачем так со всем этим запариваться? VPN, фингерпринты, приватность и так далее по списку. Ну слил Facebook твои личные данные там, или Ledger, чего то париться, а?

Подписчик с Украины как раз подогнал новость что в Запорожье, бандиты пытались ограбить майнера (который от них удачно отстрелялся). В свою очередь, я немного посерфил интернет и вот что подсобрал:

Полицейские в Николаеве избили майнера и требовали ключи к криптовалютным кошелькам

Полицейские похищали IT-предпринимателей ради получения выкупа

Полицейские в Киеве задержали двух братьев похитивших криптовалютчика

В Одессе криптовалютчика ограбили на 1,5 млн и едва не убили

(Оффтоп:
Я вообще заметил что Одесса довольно веселый город, здесь еще будут судить основателя криптовалютного инвестиционного фонда за организацию заказного убийства а недавно, предприниматель с охотничей винтовки уложил двух рэкетиров (одобряю). Это не учитывая что там часто пытаются взорвать кого то с помощью дронов.)

К этому еще добавим мои старые посты (которые НЕОБХОДИМО перечитать): 1. Пост от участника событий которого пытали чтобы забрать ключи,
2. Вымогатели украли владельца биржи Exmo и требовали выкуп.

У любого прочитавшего возникнут две мысли:
- Чего удивляться, это Украина
- Да вроде бы и немного случаев

Насчет количества случаев, могу вас "обрадовать": я серфил в течении десятка минут, и собрал только недавнее или очень известное. Общее количество случаев думаю на порядки (это больше чем в десятки раз если что) выше, так как некоторые новости появляются только в региональных изданиях (тоесть найти новости можно только целенаправленным поиском в Гугле), многие (!!!) люди не идут в полицию (по разным причинам, для объяснения которых понадобился бы отдельный пост)

По первому, я тоже не соглашусь. Украина это страна Запорожской Сечи, казаков, Махно и анархии, что создает в таких делах свой, местный колорит.
В противовес, в РФ силовикам не нужно избивать майнера. Они вполне могут (и практикуют) эдакий социальный договор: Ты отдаешь нам криптовалюту, а мы тебя не сажаем по статье финансирование терроризма. Или же экстремизм. Или еще какую то статью подвяжут, благо их хватает. В самом крайнем случае могут вломиться при обмене крупной суммы и просто забрать мешки с деньгами а потом убежать в Чечню (а что вы им сделаете, а? Будете стрелять в пришедших к вам Э-шников или росгвардейцев, понимая что с вами потом будет?). Или вломиться к вам и отобрать крипту в "Фонд ФСБ". И это не говоря о упочившем (Земля пухом) Павле Няшине (которого ограбил Дед Мороз. Которого кстати так и не нашли) и тех ребятах которые в Москве трейдеру лицо бритвой резали

Тоесть, если у наших младших братьев махновщина, когда пих пах, стрельба друг в друга, дроны с гранатами, то в РФ отжим уже "цивильный". Но еще интересный момент: Полно новостей о том, как бандиты грабят отставных кегебилов и чекистов (вот одного заставили банки с долларами руками на городе выкапывать). Причина этого проста - ухудшение уровня жизни простых людей и слишком явное неравенство. Но подумайте: Если люди настолько отчаялись что прыгают на заведомо "большие" цели (так как очевидно что у всех этих вертухаев в отставке есть серъезные подвязки где надо) то разве они откажутся от намного более легкой добычи, например какого нибудь майнера или внезапно разбогатевшего трейдера, а? Реальный случай

А также мой старый пост, где ссылки на все самые громкие нападения на криптовалютчиков ВНЕ СНГ:
https://t.iss.one/lemon_crypto/395

Так вот, вам надеюсь теперь понятно почему в СНГ стоит озаботиться о своей приватности?
_______
Источник | #lemon_crypto

#защита_инвестиций #пароли #2fa

Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.

"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"

Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.

Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)

И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))

Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.

Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).

Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)

А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))

Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
_______
Источник | #lemon_crypto