#защита_инвестиций #Важно #оффлайн_нападения
Иногда меня спрашивают, мол зачем так со всем этим запариваться? VPN, фингерпринты, приватность и так далее по списку. Ну слил Facebook твои личные данные там, или Ledger, чего то париться, а?
Подписчик с Украины как раз подогнал новость что в Запорожье, бандиты пытались ограбить майнера (который от них удачно отстрелялся). В свою очередь, я немного посерфил интернет и вот что подсобрал:
Полицейские в Николаеве избили майнера и требовали ключи к криптовалютным кошелькам
Полицейские похищали IT-предпринимателей ради получения выкупа
Полицейские в Киеве задержали двух братьев похитивших криптовалютчика
В Одессе криптовалютчика ограбили на 1,5 млн и едва не убили
(Оффтоп:
Я вообще заметил что Одесса довольно веселый город, здесь еще будут судить основателя криптовалютного инвестиционного фонда за организацию заказного убийства а недавно, предприниматель с охотничей винтовки уложил двух рэкетиров (одобряю). Это не учитывая что там часто пытаются взорвать кого то с помощью дронов.)
К этому еще добавим мои старые посты (которые НЕОБХОДИМО перечитать): 1. Пост от участника событий которого пытали чтобы забрать ключи,
2. Вымогатели украли владельца биржи Exmo и требовали выкуп.
У любого прочитавшего возникнут две мысли:
- Чего удивляться, это Украина
- Да вроде бы и немного случаев
Насчет количества случаев, могу вас "обрадовать": я серфил в течении десятка минут, и собрал только недавнее или очень известное. Общее количество случаев думаю на порядки (это больше чем в десятки раз если что) выше, так как некоторые новости появляются только в региональных изданиях (тоесть найти новости можно только целенаправленным поиском в Гугле), многие (!!!) люди не идут в полицию (по разным причинам, для объяснения которых понадобился бы отдельный пост)
По первому, я тоже не соглашусь. Украина это страна Запорожской Сечи, казаков, Махно и анархии, что создает в таких делах свой, местный колорит.
В противовес, в РФ силовикам не нужно избивать майнера. Они вполне могут (и практикуют) эдакий социальный договор: Ты отдаешь нам криптовалюту, а мы тебя не сажаем по статье финансирование терроризма. Или же экстремизм. Или еще какую то статью подвяжут, благо их хватает. В самом крайнем случае могут вломиться при обмене крупной суммы и просто забрать мешки с деньгами а потом убежать в Чечню (а что вы им сделаете, а? Будете стрелять в пришедших к вам Э-шников или росгвардейцев, понимая что с вами потом будет?). Или вломиться к вам и отобрать крипту в "Фонд ФСБ". И это не говоря о упочившем (Земля пухом) Павле Няшине (которого ограбил Дед Мороз. Которого кстати так и не нашли) и тех ребятах которые в Москве трейдеру лицо бритвой резали
Тоесть, если у наших младших братьев махновщина, когда пих пах, стрельба друг в друга, дроны с гранатами, то в РФ отжим уже "цивильный". Но еще интересный момент: Полно новостей о том, как бандиты грабят отставных кегебилов и чекистов (вот одного заставили банки с долларами руками на городе выкапывать). Причина этого проста - ухудшение уровня жизни простых людей и слишком явное неравенство. Но подумайте: Если люди настолько отчаялись что прыгают на заведомо "большие" цели (так как очевидно что у всех этих вертухаев в отставке есть серъезные подвязки где надо) то разве они откажутся от намного более легкой добычи, например какого нибудь майнера или внезапно разбогатевшего трейдера, а? Реальный случай
А также мой старый пост, где ссылки на все самые громкие нападения на криптовалютчиков ВНЕ СНГ:
https://t.iss.one/lemon_crypto/395
Так вот, вам надеюсь теперь понятно почему в СНГ стоит озаботиться о своей приватности?
_______
Источник | #lemon_crypto
Иногда меня спрашивают, мол зачем так со всем этим запариваться? VPN, фингерпринты, приватность и так далее по списку. Ну слил Facebook твои личные данные там, или Ledger, чего то париться, а?
Подписчик с Украины как раз подогнал новость что в Запорожье, бандиты пытались ограбить майнера (который от них удачно отстрелялся). В свою очередь, я немного посерфил интернет и вот что подсобрал:
Полицейские в Николаеве избили майнера и требовали ключи к криптовалютным кошелькам
Полицейские похищали IT-предпринимателей ради получения выкупа
Полицейские в Киеве задержали двух братьев похитивших криптовалютчика
В Одессе криптовалютчика ограбили на 1,5 млн и едва не убили
(Оффтоп:
Я вообще заметил что Одесса довольно веселый город, здесь еще будут судить основателя криптовалютного инвестиционного фонда за организацию заказного убийства а недавно, предприниматель с охотничей винтовки уложил двух рэкетиров (одобряю). Это не учитывая что там часто пытаются взорвать кого то с помощью дронов.)
К этому еще добавим мои старые посты (которые НЕОБХОДИМО перечитать): 1. Пост от участника событий которого пытали чтобы забрать ключи,
2. Вымогатели украли владельца биржи Exmo и требовали выкуп.
У любого прочитавшего возникнут две мысли:
- Чего удивляться, это Украина
- Да вроде бы и немного случаев
Насчет количества случаев, могу вас "обрадовать": я серфил в течении десятка минут, и собрал только недавнее или очень известное. Общее количество случаев думаю на порядки (это больше чем в десятки раз если что) выше, так как некоторые новости появляются только в региональных изданиях (тоесть найти новости можно только целенаправленным поиском в Гугле), многие (!!!) люди не идут в полицию (по разным причинам, для объяснения которых понадобился бы отдельный пост)
По первому, я тоже не соглашусь. Украина это страна Запорожской Сечи, казаков, Махно и анархии, что создает в таких делах свой, местный колорит.
В противовес, в РФ силовикам не нужно избивать майнера. Они вполне могут (и практикуют) эдакий социальный договор: Ты отдаешь нам криптовалюту, а мы тебя не сажаем по статье финансирование терроризма. Или же экстремизм. Или еще какую то статью подвяжут, благо их хватает. В самом крайнем случае могут вломиться при обмене крупной суммы и просто забрать мешки с деньгами а потом убежать в Чечню (а что вы им сделаете, а? Будете стрелять в пришедших к вам Э-шников или росгвардейцев, понимая что с вами потом будет?). Или вломиться к вам и отобрать крипту в "Фонд ФСБ". И это не говоря о упочившем (Земля пухом) Павле Няшине (которого ограбил Дед Мороз. Которого кстати так и не нашли) и тех ребятах которые в Москве трейдеру лицо бритвой резали
Тоесть, если у наших младших братьев махновщина, когда пих пах, стрельба друг в друга, дроны с гранатами, то в РФ отжим уже "цивильный". Но еще интересный момент: Полно новостей о том, как бандиты грабят отставных кегебилов и чекистов (вот одного заставили банки с долларами руками на городе выкапывать). Причина этого проста - ухудшение уровня жизни простых людей и слишком явное неравенство. Но подумайте: Если люди настолько отчаялись что прыгают на заведомо "большие" цели (так как очевидно что у всех этих вертухаев в отставке есть серъезные подвязки где надо) то разве они откажутся от намного более легкой добычи, например какого нибудь майнера или внезапно разбогатевшего трейдера, а? Реальный случай
А также мой старый пост, где ссылки на все самые громкие нападения на криптовалютчиков ВНЕ СНГ:
https://t.iss.one/lemon_crypto/395
Так вот, вам надеюсь теперь понятно почему в СНГ стоит озаботиться о своей приватности?
_______
Источник | #lemon_crypto
Перший Запорiзький
В Запорожской области пытались ограбить майнера, но мужчина открыл стрельбу
Попытка ограбления произошла в Орехове Пологовского района. Об этом сообщает пресс-служба ГУНП в Запорожской области. 8 апреля трое мужчин попытались ограбить майнера. Они хотели забрать у мужчины оборудование для майнинга биткоинов «Bitcoin Antminer S9»…
"Кто позволяет чужаку жить - тот разделяет грех его существования"
Как не странно, данный эпиграф очень подходит к недавней новости: IRS (налоговики) во вторник арестовали администратора популярного (некогда) миксера Bitcoin Fog
Взяли за жопу россиянина, который обвиняется в том, что помог "отмыть" биткоинов на 336 миллионов, 78 из которых - приходились на даркмаркеты.
Притом взяли его благодаря неосторожности 10 летней давности: он купил через МТ.Гокс биткоины (со своего аккаунта, где был подвязан адрес, фио и гугл аккаунт) за евро со своей карты, далее попытался обфусцировать эти битки (как видно сейчас - неудачно) и потом опять их конвертировал в средства на Liberty Reserve, с которых и заплатил за хостинг своего Bitcoin Fog.
Реверсивная инженерия федералов, полагаю, выглядела примерно так:
1. Узнали у хостинг провайдера чем и кто платил за хостинг BF.
2. Так как Liberty Reserve был давно закрыт, а все его БД получили федералы, была поднята база где и стало понятно с помощью чего были куплены "либерти доллары"
3. Провели трекинг биткоин адресов и нашли изначальный, "материнский адрес".
4. Обратились к БД ныне покойной биржи МТ.Гокс (их БД тоже у американских федералов) и получили уже окончательную инфу. А далее ждали пока дурачок сам прилетит в США где его и приняли с чистой душой.
Как видим, вывод напрашивается сам:
1. Основной источник деанонимизации это так называемые централизованные "шлюзы", где идет конвертация фиата на крипту: обменники, биржи, электронные платежные системы.
Это всегда надо держать в голове, особенно если вы любитель купить дури на Гидре.
Второй момент, связанный с эпиграфом в начале статьи: Общество принуждают к некоему "удобному" поведению.
Этот россиянин, он что, продавал наркотики/оружие или может их покупал? Нет, его проект вообще никак не был с этим связан. Даже "черные биткоины", как видно , составляли всего четверть оборота миксера.
Но раз не ввел КУС, значит разделишь вину других. Странно, что с такой логикой не закрывают продавцов кухонных ножей, ведь самое популярное орудие убийства то. Коллективная ответственность - это никогда не хорошо. Но как видим, применяется она довольно активно в виде кнута, которым "мотивируют" разнообразные сервисы следовать в форватере решений чиновников.
Разве уже запрещено предоставлять услуги приватности? Может в таком случае запретим ВПН, прокси и все остальное? (С наличкой кстати борятся очень активно)
У меня уже был пост о том, где объяснялась причина этого всего: властям просто очень удобно всех "нагнуть" - так проще (и приятнее) работать, когда преступников ищет само общество, заставляя проходить КУС, сохраняя логи годами и главное мысля категорией "Если ты честный, то тебе нечего скрывать".
Но разве мы должны облегчать им работу? 😏
Пускай отрабатывают свой хлеб, не превращая общество в стадо баранов.
Ну и да, еще вывод, что если вы делаете что-то незаконное, то черт возьми, делайте это от А до Б с умом, а не тяп ляп. Иначе, даже лет через 10, придет к вам "Николаич" и закроет вас на "10 год тюрмы"
_______
Источник | #lemon_crypto
Как не странно, данный эпиграф очень подходит к недавней новости: IRS (налоговики) во вторник арестовали администратора популярного (некогда) миксера Bitcoin Fog
Взяли за жопу россиянина, который обвиняется в том, что помог "отмыть" биткоинов на 336 миллионов, 78 из которых - приходились на даркмаркеты.
Притом взяли его благодаря неосторожности 10 летней давности: он купил через МТ.Гокс биткоины (со своего аккаунта, где был подвязан адрес, фио и гугл аккаунт) за евро со своей карты, далее попытался обфусцировать эти битки (как видно сейчас - неудачно) и потом опять их конвертировал в средства на Liberty Reserve, с которых и заплатил за хостинг своего Bitcoin Fog.
Реверсивная инженерия федералов, полагаю, выглядела примерно так:
1. Узнали у хостинг провайдера чем и кто платил за хостинг BF.
2. Так как Liberty Reserve был давно закрыт, а все его БД получили федералы, была поднята база где и стало понятно с помощью чего были куплены "либерти доллары"
3. Провели трекинг биткоин адресов и нашли изначальный, "материнский адрес".
4. Обратились к БД ныне покойной биржи МТ.Гокс (их БД тоже у американских федералов) и получили уже окончательную инфу. А далее ждали пока дурачок сам прилетит в США где его и приняли с чистой душой.
Как видим, вывод напрашивается сам:
1. Основной источник деанонимизации это так называемые централизованные "шлюзы", где идет конвертация фиата на крипту: обменники, биржи, электронные платежные системы.
Это всегда надо держать в голове, особенно если вы любитель купить дури на Гидре.
Второй момент, связанный с эпиграфом в начале статьи: Общество принуждают к некоему "удобному" поведению.
Этот россиянин, он что, продавал наркотики/оружие или может их покупал? Нет, его проект вообще никак не был с этим связан. Даже "черные биткоины", как видно , составляли всего четверть оборота миксера.
Но раз не ввел КУС, значит разделишь вину других. Странно, что с такой логикой не закрывают продавцов кухонных ножей, ведь самое популярное орудие убийства то. Коллективная ответственность - это никогда не хорошо. Но как видим, применяется она довольно активно в виде кнута, которым "мотивируют" разнообразные сервисы следовать в форватере решений чиновников.
Разве уже запрещено предоставлять услуги приватности? Может в таком случае запретим ВПН, прокси и все остальное? (С наличкой кстати борятся очень активно)
У меня уже был пост о том, где объяснялась причина этого всего: властям просто очень удобно всех "нагнуть" - так проще (и приятнее) работать, когда преступников ищет само общество, заставляя проходить КУС, сохраняя логи годами и главное мысля категорией "Если ты честный, то тебе нечего скрывать".
Но разве мы должны облегчать им работу? 😏
Пускай отрабатывают свой хлеб, не превращая общество в стадо баранов.
Ну и да, еще вывод, что если вы делаете что-то незаконное, то черт возьми, делайте это от А до Б с умом, а не тяп ляп. Иначе, даже лет через 10, придет к вам "Николаич" и закроет вас на "10 год тюрмы"
_______
Источник | #lemon_crypto
WIRED
Feds Arrest an Alleged $336M Bitcoin-Laundering Kingpin
The alleged administrator of Bitcoin Fog kept the dark web service running for 10 years before the IRS caught up with him.
Как же я не люблю дешевый пиар, особенно когда он расчитан на полных дураков.
Что истории об Эппл не разглашающей данные айфонов (было опровергнуто десятки раз) что вот недавний пиар Signal, где они как бы "поиздевались" над американским прокурором, показав ему и миру что ничего не хранят у себя.
Все бы хорошо, да вот только как я уже говорил, пиар расчитан на дураков не разбирающихся в самых основах ИБ.
Авторизация в Signal происходит за счет номера телефона. Номера телефона в РФ и в Европе (практически весь ЕС) продаются по паспорту. Мне продолжать?
Если кому то еще не очевидно, то Signal неимоверно уязвим перед любым honeypot-ом. Давайте зарядим сферического коня в вакууме: Федералы создают фейковый магазин наркотиков, ведут переписку с вами, сохраняют у себя логи (нотариально заверенные, конечно же) а потом требуют к примеру у Signal ваш номер телефона. И все, придется вам сушить сухари, так как состав преступления есть, и благодаря номеру телефона понятно кто вел эту переписку.
Вот как то так. Реально защищенный мессенджер это мессенджер где авторизация будет происходить за счет некоего изначально определенного токена. Да, номер телефона является как раз таки хорошим примером оффлайн токена, но чертовски не анонимным.
Вот когда Signal изменит это, тогда и хайпиться можно будет
_______
Источник | #lemon_crypto
Что истории об Эппл не разглашающей данные айфонов (было опровергнуто десятки раз) что вот недавний пиар Signal, где они как бы "поиздевались" над американским прокурором, показав ему и миру что ничего не хранят у себя.
Все бы хорошо, да вот только как я уже говорил, пиар расчитан на дураков не разбирающихся в самых основах ИБ.
Авторизация в Signal происходит за счет номера телефона. Номера телефона в РФ и в Европе (практически весь ЕС) продаются по паспорту. Мне продолжать?
Если кому то еще не очевидно, то Signal неимоверно уязвим перед любым honeypot-ом. Давайте зарядим сферического коня в вакууме: Федералы создают фейковый магазин наркотиков, ведут переписку с вами, сохраняют у себя логи (нотариально заверенные, конечно же) а потом требуют к примеру у Signal ваш номер телефона. И все, придется вам сушить сухари, так как состав преступления есть, и благодаря номеру телефона понятно кто вел эту переписку.
Вот как то так. Реально защищенный мессенджер это мессенджер где авторизация будет происходить за счет некоего изначально определенного токена. Да, номер телефона является как раз таки хорошим примером оффлайн токена, но чертовски не анонимным.
Вот когда Signal изменит это, тогда и хайпиться можно будет
_______
Источник | #lemon_crypto
Telegram
Технологии, медиа и общество
#malware
Интересная вот новость недавно была
Исследовательская группа компании The NordLocker запустила в сеть троян, который за время своей активности собрал нешуточную БД файлов, картинок, куки своих жертв (1.2 TB)
"Between 2018 and 2020, a custom Trojan-type malware infiltrated over 3 million Windows-based computers and stole 1.2 terabytes (TB) of personal information. This malware case study was performed in partnership with a third-party company specializing in data breach analysis."
Поражал он в основном (как я понял) любителей качать нелегальный Adobe Photoshop, что является очень эффективным и логичным вектором атаки, так как Фотошоп популярен, нужен всем (для манипуляций с фото) и лицензия стоит довольно дорого.
Троян любил делать сриншоты рабочего стола, снимать видео с вэбки (привет любителям не иметь чехлов на вэбку), воровать куки (привет любителям хранить в браузере сессии с разных онлайн аккаунтов), воровать текстовые документы (привет любителям хранить пароли в txt)
Радует только то, что это не был реальный зловред, а социальный эксперимент.
По ссылке хорошие советы защиты от таких троянов, поэтому советую прочесть
Единственный совет, с каким лично я не согласен: "Store files on an encrypted cloud"
Во-первых, как мы давно уже знаем, лучший шифровальщик файлов это ваша голова. Поэтому использовать встроенные решения от облака где вы собираетесь хранить файлы - далеко не лучшая идея. Если кидаете бэкап на облако (что само по скбе не плохая идея), то шифруйте его перед этим хорошими шифраторами, по типу VeraCrypt или Cryptomator и потом уже результат бросайте на облако
Вот ,кстати, отличная пошаговая статья, как шифровать под облако: telegra.ph
_______
Источник | #lemon_crypto
Интересная вот новость недавно была
Исследовательская группа компании The NordLocker запустила в сеть троян, который за время своей активности собрал нешуточную БД файлов, картинок, куки своих жертв (1.2 TB)
Загадка от Жака Фреско: Какую ось поражал этот Троян?))"Between 2018 and 2020, a custom Trojan-type malware infiltrated over 3 million Windows-based computers and stole 1.2 terabytes (TB) of personal information. This malware case study was performed in partnership with a third-party company specializing in data breach analysis."
Поражал он в основном (как я понял) любителей качать нелегальный Adobe Photoshop, что является очень эффективным и логичным вектором атаки, так как Фотошоп популярен, нужен всем (для манипуляций с фото) и лицензия стоит довольно дорого.
Троян любил делать сриншоты рабочего стола, снимать видео с вэбки (привет любителям не иметь чехлов на вэбку), воровать куки (привет любителям хранить в браузере сессии с разных онлайн аккаунтов), воровать текстовые документы (привет любителям хранить пароли в txt)
Радует только то, что это не был реальный зловред, а социальный эксперимент.
По ссылке хорошие советы защиты от таких троянов, поэтому советую прочесть
Единственный совет, с каким лично я не согласен: "Store files on an encrypted cloud"
Во-первых, как мы давно уже знаем, лучший шифровальщик файлов это ваша голова. Поэтому использовать встроенные решения от облака где вы собираетесь хранить файлы - далеко не лучшая идея. Если кидаете бэкап на облако (что само по скбе не плохая идея), то шифруйте его перед этим хорошими шифраторами, по типу VeraCrypt или Cryptomator и потом уже результат бросайте на облако
Вот ,кстати, отличная пошаговая статья, как шифровать под облако: telegra.ph
_______
Источник | #lemon_crypto
Nordlocker
Here’s how malware steals files
We analyzed how one malware stole 6 million files, 26 million online accounts, and 2 billion cookies.
Когда проиграл пари, но член кушать не хочется, и ты находишь оригинальный выход из ситуации
Ну а вообще, не очень хочется язвить в данном случае. Ясное дело заключение скорее всего и сломало человека (как морально так и физически). Притом арестован был по финансовой статье (уклонение от уплаты налогов), которые я лично не считаю достаточной причиной чтобы лишать людей свободы (если они конечно могут компенсировать убытки).
Тоесть, по сути: за отказ делиться с главным бандитом (государством), старого деда заперли за решетку где он скоропостижно зачах.
И самое главное, что на его месте может оказаться любой из вас. Вот вы все мечтаете о биткоине по миллиону, мысли там о ламбах и мулатках, а по факту стоит думать как уплатить 15-30 % подоходного и потом еще 15-20 % НДС )))
Или учиться жить скромно и не привлекать ненужное внимание. Я бы сказал мол "бежать в оффшоры", но сейчас их начнут давить (уже договорились сделать минимальную ставку налога в 15 % по миру) и убегать будет некуда.
А иначе, будет как со стариком Маккафи (ну он то хоть пожить успел) - мулатки и ламба будут в виде плакатов на стене тюремной камеры.
_______
Источник | #lemon_crypto
Ну а вообще, не очень хочется язвить в данном случае. Ясное дело заключение скорее всего и сломало человека (как морально так и физически). Притом арестован был по финансовой статье (уклонение от уплаты налогов), которые я лично не считаю достаточной причиной чтобы лишать людей свободы (если они конечно могут компенсировать убытки).
Тоесть, по сути: за отказ делиться с главным бандитом (государством), старого деда заперли за решетку где он скоропостижно зачах.
И самое главное, что на его месте может оказаться любой из вас. Вот вы все мечтаете о биткоине по миллиону, мысли там о ламбах и мулатках, а по факту стоит думать как уплатить 15-30 % подоходного и потом еще 15-20 % НДС )))
Или учиться жить скромно и не привлекать ненужное внимание. Я бы сказал мол "бежать в оффшоры", но сейчас их начнут давить (уже договорились сделать минимальную ставку налога в 15 % по миру) и убегать будет некуда.
А иначе, будет как со стариком Маккафи (ну он то хоть пожить успел) - мулатки и ламба будут в виде плакатов на стене тюремной камеры.
_______
Источник | #lemon_crypto
BBC News
John McAfee: Anti-virus creator found dead in prison cell
The software mogul is found dead hours after a Spanish court allowed his extradition to the US on tax charges.
#защита_инвестиций #пароли #2fa
Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.
"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"
Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.
Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)
И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))
Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.
Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).
Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)
А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))
Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
_______
Источник | #lemon_crypto
Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.
"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"
Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.
Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)
И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))
Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.
Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).
Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)
А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))
Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
_______
Источник | #lemon_crypto
CyberNews
The password hassle: a strong one is no longer enough
A strong password is a must, though not enough to protect yourself or your employer from intrusion.
#основы
Комментарий к новости о коллекции Sad Frog District которую убрали с маркетплейса Opensea:
"Я вообще не шарю, там же типа блокчейн, как можно отменить/удалить если ты уже купил? Раковая хуйня, получается как обычный сайт так еще и без возвратов. Наебали гоев как всегда "
Такое я вижу чаще чем хотелось бы. Если кто не понял, объясню логику комментатора. Человек видит централизованный сервис (биржа/обменник/маркетплейс) и экстраполирует его на остальную систему. Тоесть видит не так как оно есть "Сеть Эфира - надстройки на ней" а только вот эти надстройки. Поэтому у него в голове полная каша, где при удалении чего то с маркетплейса оно как бы исчезает и с блокчейна (хотя на самом деле это совсем не так). Конечно же эти нфт остались у своих владельцев, конечно же владельцы и дальше могут ими торговать/смотреть/пересылать. Но для выросших на продуктах инсты, ФБ, Эппла и прочих "юзерфрендли" это за гранью понимания. Не могу выставить на продажу в три щелчка, значит все, у меня украли мою жабу, беда беда.
Это одна из основных проблем криптовалют и технологии блокчейн: сложность во взаимодействии и понимании. Взаимодействии вне Бинанса/Opensea и понимании чего то большего чем "гы гы, у меня тут кошелек на blockchain.com я криптоантихрист".
Понимание хотя бы того факта, что централизованные решения это всего лишь надстройка над самой технологией, и если вас пидорнули с биржи это не значит что вы не сможете продать свой токен - это уже не плохо.
_______
Источник | #lemon_crypto
Комментарий к новости о коллекции Sad Frog District которую убрали с маркетплейса Opensea:
"Я вообще не шарю, там же типа блокчейн, как можно отменить/удалить если ты уже купил? Раковая хуйня, получается как обычный сайт так еще и без возвратов. Наебали гоев как всегда "
Такое я вижу чаще чем хотелось бы. Если кто не понял, объясню логику комментатора. Человек видит централизованный сервис (биржа/обменник/маркетплейс) и экстраполирует его на остальную систему. Тоесть видит не так как оно есть "Сеть Эфира - надстройки на ней" а только вот эти надстройки. Поэтому у него в голове полная каша, где при удалении чего то с маркетплейса оно как бы исчезает и с блокчейна (хотя на самом деле это совсем не так). Конечно же эти нфт остались у своих владельцев, конечно же владельцы и дальше могут ими торговать/смотреть/пересылать. Но для выросших на продуктах инсты, ФБ, Эппла и прочих "юзерфрендли" это за гранью понимания. Не могу выставить на продажу в три щелчка, значит все, у меня украли мою жабу, беда беда.
Это одна из основных проблем криптовалют и технологии блокчейн: сложность во взаимодействии и понимании. Взаимодействии вне Бинанса/Opensea и понимании чего то большего чем "гы гы, у меня тут кошелек на blockchain.com я криптоантихрист".
Понимание хотя бы того факта, что централизованные решения это всего лишь надстройка над самой технологией, и если вас пидорнули с биржи это не значит что вы не сможете продать свой токен - это уже не плохо.
_______
Источник | #lemon_crypto
Telegram
Crypto Lemon
#основы
Комментарий к новости о коллекции Sad Frog District которую убрали с маркетплейса Opensea:
"Я вообще не шарю, там же типа блокчейн, как можно отменить/удалить если ты уже купил? Раковая хуйня, получается как обычный сайт так еще и без возвратов.…
Комментарий к новости о коллекции Sad Frog District которую убрали с маркетплейса Opensea:
"Я вообще не шарю, там же типа блокчейн, как можно отменить/удалить если ты уже купил? Раковая хуйня, получается как обычный сайт так еще и без возвратов.…
#linking
"Это удар в спину" - В.В.Пыня
forklog.com
Оказалось, что сервис который лично я советовал вам в одном из постов - www.walletexplorer.com является собственностью ChainAnalysis (с относительно недавнего момента). И не будь эти засранцы собой, если бы не тречили и не логировали айпи и их активность. Вот заходит кто то с такого то айпишника и смотрит связи такого то адреса. А адрес - хакера. Знаяит есть смысл присмотреться к этому айпи повнимательнее.
Также оказалось что ChainAnalysis имеет много своих нод через которые Электрум и похожие сервисы пересылают транзакции (Электрум это не полная нода, напомню) и ясное дело тоже тречит активность.
Кто то скажет что точность такого способа связывания адресов с личностями сомнительна (много кто смотрит адреса хакеров/других людей и может оказаться что свой вы так то даже не смотрели). Так то оно так, но использовать это как вспомогательный инструмент анализа (когда нужна любая дополнительная зацепка) это очень даже умно.
Перестать ли после этого пользоваться этим сервисом? Ну если вы не умеете минимально в чистые куки + canvas blocker + vpn - тогда да.
Но это я так, озвучил инфу к сведению, чтобы у кого то не было лишних иллюзий в соучае чего :)
_______
Источник | #lemon_crypto
"Это удар в спину" - В.В.Пыня
forklog.com
Оказалось, что сервис который лично я советовал вам в одном из постов - www.walletexplorer.com является собственностью ChainAnalysis (с относительно недавнего момента). И не будь эти засранцы собой, если бы не тречили и не логировали айпи и их активность. Вот заходит кто то с такого то айпишника и смотрит связи такого то адреса. А адрес - хакера. Знаяит есть смысл присмотреться к этому айпи повнимательнее.
Также оказалось что ChainAnalysis имеет много своих нод через которые Электрум и похожие сервисы пересылают транзакции (Электрум это не полная нода, напомню) и ясное дело тоже тречит активность.
Кто то скажет что точность такого способа связывания адресов с личностями сомнительна (много кто смотрит адреса хакеров/других людей и может оказаться что свой вы так то даже не смотрели). Так то оно так, но использовать это как вспомогательный инструмент анализа (когда нужна любая дополнительная зацепка) это очень даже умно.
Перестать ли после этого пользоваться этим сервисом? Ну если вы не умеете минимально в чистые куки + canvas blocker + vpn - тогда да.
Но это я так, озвучил инфу к сведению, чтобы у кого то не было лишних иллюзий в соучае чего :)
_______
Источник | #lemon_crypto
ForkLog
СМИ раскрыли некоторые методы работы расследователей из Chainalysis
Документы из недатированной презентации аналитической компании Chainalysis для итальянской полиции продемонстрировали инструменты, которые фирма использует для сбора информации о криптотранзакциях и пользователях. Об этом сообщает CoinDesk. Слайды из презентации…
Читаю блог одного очень интересного человека, и наткнулся на вот такое.
Американской исполнительной бюрократии под страхом карьерного продвижения запрещено иметь криптоактивы.
Под "запрещено" я понимаю не типичный славянский запрет "10 год тюрьмы" а более продвинутый вариант, когда "ты то конечно можешь это сделать, но не удивляйся если останешься на своей нынешней должности навсегда"
Но интересен конечно вопрос, почему такая нелюбовь со стороны американской системы именно к крипте.
Самое очевидное что приходит на ум, это конечно же "непрозрачность" что ставит под сомнение честность бюрократа. Но лично мне кажется, что причина немного более глубокая: Сам факт обладания активом с довольно сомнительной репутацией.
Так как вырезку я сделал с Патреона автора не спрашивая его разрешения, то со своей стороны вижу необходимость прорекламировать его блог - https://t.iss.one/kamil_galeev
_______
Источник | #lemon_crypto
Американской исполнительной бюрократии под страхом карьерного продвижения запрещено иметь криптоактивы.
Под "запрещено" я понимаю не типичный славянский запрет "10 год тюрьмы" а более продвинутый вариант, когда "ты то конечно можешь это сделать, но не удивляйся если останешься на своей нынешней должности навсегда"
Но интересен конечно вопрос, почему такая нелюбовь со стороны американской системы именно к крипте.
Самое очевидное что приходит на ум, это конечно же "непрозрачность" что ставит под сомнение честность бюрократа. Но лично мне кажется, что причина немного более глубокая: Сам факт обладания активом с довольно сомнительной репутацией.
Так как вырезку я сделал с Патреона автора не спрашивая его разрешения, то со своей стороны вижу необходимость прорекламировать его блог - https://t.iss.one/kamil_galeev
_______
Источник | #lemon_crypto
#Taproot
Сегодня уже окончательно (см.ниже) активировали софт форк Taproot в сети Bitcoin.
Как вы помните (или нет) этому софт форку предшествовала настоящая драма, поэтому и активировали его в несколько этапов (следуя спецификации):
- T+0: release of one or more full nodes with activation code
- T+14: signal tracking begins
- T+28: earliest possible lock in
- T+104: locked in by this date or need to try a different activation process
- T+194: activation (if lockin occurred)
В апреле был замерджен "Speedy Trial" (T+0 этап), об этом я тогда писал. Далее, все наблюдали, какие майнерские ноды сигналят о его поддержке. В июне 90 % майнерских нод "согласились" с софт форком, поэтому процесс его принятия по сути стал неизбежным, а активация была назначена на 14е ноября.
Как мне кажется, это одно из самых масштабных обновлений биткоина, где то на уровне имплементации P2SH в BIP16.
Что конкретно даст нам этот Taproot, более углубленно можно прочитать здесь - forklog.com
Другое дело, что хоть софт форк и активирован (читайте: уже работает), полагаю, нам придется долго ждать до более менее его широкого распространения, так как среди кастодиальных сервисов (Coinbase, ХАРО, биржи), та его часть что добавляет новые схемы подписи (усиливающие приватность) пользуется не сильной любовью (создает им лишние проблемы перед регуляторами). Следовательно стоит ожидать определенного пассивного сопротивления (как когда то было с blockchain.com и Segwitt) со стороны этих сервисов.
Для понимания: Segwitt был активирован в 2017, и несмотря на то, что P2WPKH дает экономию на комиссиях аж целых 40 % (да, вместо условно 10 баксов вы платите только 6), на сегодняшний день такие адреса составляют примерно 15 % от всех остальных. В свою очередь, это связано с двумя причинами:
1. Пассивное противодействие основных узлов экономики биткоина (как то кошельки blockchain.com и Coinbase, которые до последнего не вводили возможность их клиентам пользоваться такими адресами)
2. Косность людей (люди начали шевелиться только когда комиссия в сети биткоина начала активный рост и 40 % экономии с каждой транзакции стало отражаться на кошельке)
Но определенно, новость хорошая. Прогресс не остановить! 😁
_______
Источник | #lemon_crypto
Сегодня уже окончательно (см.ниже) активировали софт форк Taproot в сети Bitcoin.
Как вы помните (или нет) этому софт форку предшествовала настоящая драма, поэтому и активировали его в несколько этапов (следуя спецификации):
- T+0: release of one or more full nodes with activation code
- T+14: signal tracking begins
- T+28: earliest possible lock in
- T+104: locked in by this date or need to try a different activation process
- T+194: activation (if lockin occurred)
В апреле был замерджен "Speedy Trial" (T+0 этап), об этом я тогда писал. Далее, все наблюдали, какие майнерские ноды сигналят о его поддержке. В июне 90 % майнерских нод "согласились" с софт форком, поэтому процесс его принятия по сути стал неизбежным, а активация была назначена на 14е ноября.
Как мне кажется, это одно из самых масштабных обновлений биткоина, где то на уровне имплементации P2SH в BIP16.
Что конкретно даст нам этот Taproot, более углубленно можно прочитать здесь - forklog.com
Другое дело, что хоть софт форк и активирован (читайте: уже работает), полагаю, нам придется долго ждать до более менее его широкого распространения, так как среди кастодиальных сервисов (Coinbase, ХАРО, биржи), та его часть что добавляет новые схемы подписи (усиливающие приватность) пользуется не сильной любовью (создает им лишние проблемы перед регуляторами). Следовательно стоит ожидать определенного пассивного сопротивления (как когда то было с blockchain.com и Segwitt) со стороны этих сервисов.
Для понимания: Segwitt был активирован в 2017, и несмотря на то, что P2WPKH дает экономию на комиссиях аж целых 40 % (да, вместо условно 10 баксов вы платите только 6), на сегодняшний день такие адреса составляют примерно 15 % от всех остальных. В свою очередь, это связано с двумя причинами:
1. Пассивное противодействие основных узлов экономики биткоина (как то кошельки blockchain.com и Coinbase, которые до последнего не вводили возможность их клиентам пользоваться такими адресами)
2. Косность людей (люди начали шевелиться только когда комиссия в сети биткоина начала активный рост и 40 % экономии с каждой транзакции стало отражаться на кошельке)
Но определенно, новость хорошая. Прогресс не остановить! 😁
_______
Источник | #lemon_crypto
Ttrcoin
В блокчейне биткоина запущено масштабное обновление Taproot. Что оно даст и как отреагирует рынок?
Активация долгожданного обновления Taproot состоялась в блокчейне биткоина этим утром. Блок 709 632, на который был назначен запуск, добыл пул F2Pool в...
О двух аспектах вот этого треда
Одна из основных проблем криптовалют это конечно же централизованные крупные узлы, как то торговые площадки или крупные онлайн кошельки (blockchain.info, Coinbase).
Коротко суть: человек на Opensea (эфирная площадка для торговли NFT) выгодно купил nft BAYC и был "заблокирован" площадкой. Из-за чего ясное дело был поднят крик и вой. Человека понять можно - Opensea это крупнейшая на данный момент площадка с огромной ликвидностью которой скорее всего нет у конкурентов вместе взятых.
Тут интересный момент. Что нам говорит в таких случаях говорят "адепты свободной руки рынка"? Мол есть поставщик услуг, и он всегда пытается максимизировать свою полезность для клиента, иначе его съедят конкуренты к которым недовольный клиент и уйдет. Что мы видим в реальности, на примере самой децентрализованной системы (подразумеваются криптовалюты как класс)? Что люди готовы терпеть плевки в лицо, главное чтобы сохранялся нужный объем ликвидности и удобства. Coinbase удобен? да. Поэтому люди будут терпеть налоговые декларации и сливы своих данных. Opensea предоставляет нужную ликвидность? Да. Поэтому будут пресмыкаться перед админами чтобы те "разблочили" (см.ниже) их активы чтобы торговать и дальше. Та же история и с Бинансом который время от времени нагинает своих пользователей, а те не то, что не уходят, а пищат от удовольствия. Ну вы поняли о том насколько взгляды адептов "свободного рынка" соотносятся с реальностью.
Теперь к техническому аспекту этого треда, а именно "блокировке". Честно скажу, пока глубоко не разбирался как работает смарт контракт Opensea, но здесь важно понимать вот что. Площадка не может никак "заблокировать" ваши активы когда они уже у вас на кошельке. Тоесть, вполне можно не дать вам торговать дальше конкретно на Opensea (если такая возможность изначально прописана в смартконтракте), но пойти и выставить нфт на какой-нибудь Rarible - вам никто помешать не может. Еще правда вариант реальной заморозки средств это непосредственно при попадании актива на смарт контракт (а он в какой то момент там оказывается), но такой блок не происходил бы "через 7-10 минут после продажи" (цитата) так как к тому времени все уже выводится именно на ваш кошелек. Площадка по такой же причине не может "откатывать" сделки (может только не пропустить сделку сразу, если нфт помечено как краденное) в отличии от более централизованных сервисов (любая криптобиржа где активность просто рисуется на вашем экране и в любой момент может быть изменена).
Поэтому если кто то вас будет пугать блокировками на DEX площадках, то уточните о чем идет речь. Очень вероятно человек слишком впечатлительный (что не отменяет возмущения людей по поводу того что их лишают удобной и ликвидной площадки, тут все понятно)
_______
Источник | #lemon_crypto
Одна из основных проблем криптовалют это конечно же централизованные крупные узлы, как то торговые площадки или крупные онлайн кошельки (blockchain.info, Coinbase).
Коротко суть: человек на Opensea (эфирная площадка для торговли NFT) выгодно купил nft BAYC и был "заблокирован" площадкой. Из-за чего ясное дело был поднят крик и вой. Человека понять можно - Opensea это крупнейшая на данный момент площадка с огромной ликвидностью которой скорее всего нет у конкурентов вместе взятых.
Тут интересный момент. Что нам говорит в таких случаях говорят "адепты свободной руки рынка"? Мол есть поставщик услуг, и он всегда пытается максимизировать свою полезность для клиента, иначе его съедят конкуренты к которым недовольный клиент и уйдет. Что мы видим в реальности, на примере самой децентрализованной системы (подразумеваются криптовалюты как класс)? Что люди готовы терпеть плевки в лицо, главное чтобы сохранялся нужный объем ликвидности и удобства. Coinbase удобен? да. Поэтому люди будут терпеть налоговые декларации и сливы своих данных. Opensea предоставляет нужную ликвидность? Да. Поэтому будут пресмыкаться перед админами чтобы те "разблочили" (см.ниже) их активы чтобы торговать и дальше. Та же история и с Бинансом который время от времени нагинает своих пользователей, а те не то, что не уходят, а пищат от удовольствия. Ну вы поняли о том насколько взгляды адептов "свободного рынка" соотносятся с реальностью.
Теперь к техническому аспекту этого треда, а именно "блокировке". Честно скажу, пока глубоко не разбирался как работает смарт контракт Opensea, но здесь важно понимать вот что. Площадка не может никак "заблокировать" ваши активы когда они уже у вас на кошельке. Тоесть, вполне можно не дать вам торговать дальше конкретно на Opensea (если такая возможность изначально прописана в смартконтракте), но пойти и выставить нфт на какой-нибудь Rarible - вам никто помешать не может. Еще правда вариант реальной заморозки средств это непосредственно при попадании актива на смарт контракт (а он в какой то момент там оказывается), но такой блок не происходил бы "через 7-10 минут после продажи" (цитата) так как к тому времени все уже выводится именно на ваш кошелек. Площадка по такой же причине не может "откатывать" сделки (может только не пропустить сделку сразу, если нфт помечено как краденное) в отличии от более централизованных сервисов (любая криптобиржа где активность просто рисуется на вашем экране и в любой момент может быть изменена).
Поэтому если кто то вас будет пугать блокировками на DEX площадках, то уточните о чем идет речь. Очень вероятно человек слишком впечатлительный (что не отменяет возмущения людей по поводу того что их лишают удобной и ликвидной площадки, тут все понятно)
_______
Источник | #lemon_crypto
Twitter
Mpa3yka
Here's my thread about how @opensea unreasonably blocked my account and frozen all my NFTs after my offer 40 weth for @BoredApeYC #6267 was accepted. I think it's very important to spread this case among NFT community! Let's start ⬇️
Подведем небольшие итоги 2021 (пока вы еще в состоянии читать, хе хе)
Был наконец активирован Taproot
По данным ChainAnalysis, в 2021 году владеют криптой около 3.9 % населения Земли (больше всего в Украине, России, США). Лично я полагаю что на самом деле владельцев крипты больше, так как не все попали под всевидящее окоСаурона ChainAnalysis 😁
As of August 2021, more than 76 million people had created unique Bitcoin wallets on Blockchain.com, which makes purchasing Bitcoin possible. That’s roughly 20 million users more than a year earlier (or 43%) and about 48 million users more than in 2018 (a 171% increase).
47 % трейдеров до сих пор предпочитают централизованные биржи. Около половины. Вроде бы и плохо, но ребята, в 2017 это было где то около 80 %. В верном направлении идем, товарищи!
Случилось то, что все давно обсуждали и то, чего нехотя ждали: Централизованные биржи (пока только в Корее) начинают закрывать возможности вывода на "неверифицированные" кошельки. Полагаю в скором их опыт начнут перенимать и конторы по типу blockchain.com или Coinbase. Но об этом я напишу еще подробнее. Но уже в следующем году 😉
Так что, заранее, поздравляю всех с Наступающим, и желаю чтобы медведям пришлось ждать обещаного три года (медвежатина только с 2023)!⛄️
_______
Источник | #lemon_crypto
Был наконец активирован Taproot
По данным ChainAnalysis, в 2021 году владеют криптой около 3.9 % населения Земли (больше всего в Украине, России, США). Лично я полагаю что на самом деле владельцев крипты больше, так как не все попали под всевидящее око
As of August 2021, more than 76 million people had created unique Bitcoin wallets on Blockchain.com, which makes purchasing Bitcoin possible. That’s roughly 20 million users more than a year earlier (or 43%) and about 48 million users more than in 2018 (a 171% increase).
47 % трейдеров до сих пор предпочитают централизованные биржи. Около половины. Вроде бы и плохо, но ребята, в 2017 это было где то около 80 %. В верном направлении идем, товарищи!
Случилось то, что все давно обсуждали и то, чего нехотя ждали: Централизованные биржи (пока только в Корее) начинают закрывать возможности вывода на "неверифицированные" кошельки. Полагаю в скором их опыт начнут перенимать и конторы по типу blockchain.com или Coinbase. Но об этом я напишу еще подробнее. Но уже в следующем году 😉
Так что, заранее, поздравляю всех с Наступающим, и желаю чтобы медведям пришлось ждать обещаного три года (медвежатина только с 2023)!⛄️
_______
Источник | #lemon_crypto
Telegram
Crypto Lemon
#Taproot
Сегодня уже окончательно (см.ниже) активировали софт форк Taproot в сети Bitcoin.
Как вы помните (или нет) этому софт форку предшествовала настоящая драма, поэтому и активировали его в несколько этапов (следуя спецификации):
- T+0: release…
Сегодня уже окончательно (см.ниже) активировали софт форк Taproot в сети Bitcoin.
Как вы помните (или нет) этому софт форку предшествовала настоящая драма, поэтому и активировали его в несколько этапов (следуя спецификации):
- T+0: release…