Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций
Ребята, понимаете в чем дело, это кажется простой задачей, если разбираешься. Но люди, к несчастью, даже те кому удалось дорваться до денежной сиськи (100 000 биткоинов хе хе) редко задумываются над такими вещами. Очень многие пытаются применять методы обычного бизнеса на криптоиндустрию, и часто это как минимум ведет к новым рискам. Как мы можем увидеть, даже биржи с долгой историей попадаются на такое (привет недавно взломанной Kucoin а также ранее взломанным Bittrex, Bitfinex, Poloniex, Gemini и остальным)
Вот например ваш кейс: защитить средства. Вы думаете что если бы он раскинул бабки по HD кошельку (я думаю многим сразу такая идея в голову приходит), это бы сильно помогло? Любой софт за доли секунды просматривает все ненулевые адреса в таком кошельке, поэтому уровень защиты не сильно отличался бы от того, что есть сейчас.
Чтобы организовать нормальный уровень, надо как минимум нанять специалиста. Толкового. И лучше не одного (на каждую сферу - разный спец, под бэкэнд, криптоэнд, клиентсайд и так далее). А жаба жеж душит, спецам то деньги хорошие надо платить :)
Вот в этом вот кейсе например бы помогла связка HD кошелек + passhrase (bip39) , притом не так, что одна passphrase (иначе тот же уровень защиты что и просто при HD) а под каждые условные 5000 отдельная фраза. А еще лучше, ее хэш, типа на первые 10 000 идет HD + sha2(passphrase1), для следующего HD + sha2(passphrase2) и так далее.
Но всем ведь лень, если что, можно все на хакеров спихнуть, статьи "за безответственность и долбоебизм" пока нет :)
Ребята, понимаете в чем дело, это кажется простой задачей, если разбираешься. Но люди, к несчастью, даже те кому удалось дорваться до денежной сиськи (100 000 биткоинов хе хе) редко задумываются над такими вещами. Очень многие пытаются применять методы обычного бизнеса на криптоиндустрию, и часто это как минимум ведет к новым рискам. Как мы можем увидеть, даже биржи с долгой историей попадаются на такое (привет недавно взломанной Kucoin а также ранее взломанным Bittrex, Bitfinex, Poloniex, Gemini и остальным)
Вот например ваш кейс: защитить средства. Вы думаете что если бы он раскинул бабки по HD кошельку (я думаю многим сразу такая идея в голову приходит), это бы сильно помогло? Любой софт за доли секунды просматривает все ненулевые адреса в таком кошельке, поэтому уровень защиты не сильно отличался бы от того, что есть сейчас.
Чтобы организовать нормальный уровень, надо как минимум нанять специалиста. Толкового. И лучше не одного (на каждую сферу - разный спец, под бэкэнд, криптоэнд, клиентсайд и так далее). А жаба жеж душит, спецам то деньги хорошие надо платить :)
Вот в этом вот кейсе например бы помогла связка HD кошелек + passhrase (bip39) , притом не так, что одна passphrase (иначе тот же уровень защиты что и просто при HD) а под каждые условные 5000 отдельная фраза. А еще лучше, ее хэш, типа на первые 10 000 идет HD + sha2(passphrase1), для следующего HD + sha2(passphrase2) и так далее.
Но всем ведь лень, если что, можно все на хакеров спихнуть, статьи "за безответственность и долбоебизм" пока нет :)
Telegram
PrimeBlock
Один адрес, один приватный ключ и 25 000 BTC или как один из самых популярных DeFi хранит ваши битки
Речь идёт про RenBTC, отвечающий за выпуск токенов битка на эфире (WBTC) на счетах которого заблокировано почти 100 000 BTC.
Известный криптоэнтузиаст…
Речь идёт про RenBTC, отвечающий за выпуск токенов битка на эфире (WBTC) на счетах которого заблокировано почти 100 000 BTC.
Известный криптоэнтузиаст…
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций
Вот что пришло в бота: "Добрый день! Остро встал вопрос анонимизации собственных BTC, по причине возможности принятия поправок к закону о ЦФА, т.к. по недальновидности завёл на биржу фиат через карту напрямую и, к сожалению, почти всегда использовал один адрес BTC (KYC на этой бирже пройден и объём средств пройденных по данному адресу превышает 1 млн.руб). В связи с этим вопрос: как максимально эффективно уйти от используемого адреса BTC (анонимизароваться) без использования анонимайзеров и миксеров и как обезопаситься при принятии таких поправок, чтобы не было последствий?
В целом как лучше действовать в типовой ситуации: пройдены KYC на биржах, не было «прокладки» при заводе средств на биржу и использовался один адрес BTC?"
Хороший вопрос, для многих будет актуален. Вариантов есть пара (первые, которые на ум пришли):
1. Переотправка самому себе. Да, звучит странно, но довольно действенный метод учитывая что многие программы для слежки не смотрят дальше чем на 7 транзакций вглубь. Тоесть, вам нужно переотправить самому себе условно 7-8 раз, но здесь и начинаются основные сложности: если вы будете переотправлять в экосистеме одного кошелька, то вам нужно или запариться с UTXO (чтобы ненароком не связать выходы друг с дружкой, а если такое случится, то 100 % со стороны будет понятно что принадлежат они одному человеку). Или же просто, как в посте выше, создать 7 кошельков (например 7 разных seed фраз) и переотправлять по ним. В этом случае с одной стороны возрастет время, потраченное на это дело, но очень сильно уменьшит вероятность совершить ошибку выше (и умножить все усилия на 0). Выбирать вам.
Про UTXO и как их выбирать писал здесь немного, а здесь про связывание адресов. А вот блокэксплорер с этого поста умеет видеть связанные адреса и объединяет их в "кошельки". Рекомендуется для проверки не ошиблись ли вы на каком то из этапов.
Вариант надежный как швейцарские часы, тратится только время (зато приобретаются хорошие знания). Надо понимать, что даже единичный перевод (с кошелька на кошелек, я имею ввиду разные seed-ы , а не адреса в одном кошельке) со стороны может казаться сменой владельца, здесь уж как повезет (скорее не повезет, поэтому запариваться все же придется)
2. Купить Монеро. Да да, хороший вариант. Создаете кошелек Монеро (хватает хороших генераторов, или можно офиц скачать, тот же Trezor и ledger поддерживают Монеро). При отправке с биржи, биржа будет знать только сколько вы отправили и куда, а любые дальнейшие действия ей неизвестны, от слова совсем. Можете сразу перевести на второй монеровский адрес, и все, вы ушли в анонимность с концами.
Плюсы такого способа: простота
Минусы: Монеро не любят. На некоторых биржах, можно получить заморозку средств если вы пришлете им Монеро (вот реальный случай, морозили Bitfinex и Поло). Поэтому если вы собираетесь потом опять выводить в биткоин, то придется запариться и прошерстить интернет, чтобы не нарваться на подложенную свинью.
Хотел добавить еще какой то третий способ (как мы помним, вопрос был про случай без использования анонимайзеров и миксеров) но ничего на ум не пришло (выводить через условный Zcash я включаю во второй вариант). Поэтому вот вам два основных способа. Если знаете еще какие нибудь способы, можете смело писать их в бота, админы прочтут и оценят :)
P.S: В варианте с биткоинами можно наприметь поиграть в социальную инженерию, с срежессировать сценарий как будто вы отправили деньги в обменник (у 90 % обменников один паттерн поведения на любой платеж приходящий к ним) но это вы уж фантазию сами проявите если что :)
Вот что пришло в бота: "Добрый день! Остро встал вопрос анонимизации собственных BTC, по причине возможности принятия поправок к закону о ЦФА, т.к. по недальновидности завёл на биржу фиат через карту напрямую и, к сожалению, почти всегда использовал один адрес BTC (KYC на этой бирже пройден и объём средств пройденных по данному адресу превышает 1 млн.руб). В связи с этим вопрос: как максимально эффективно уйти от используемого адреса BTC (анонимизароваться) без использования анонимайзеров и миксеров и как обезопаситься при принятии таких поправок, чтобы не было последствий?
В целом как лучше действовать в типовой ситуации: пройдены KYC на биржах, не было «прокладки» при заводе средств на биржу и использовался один адрес BTC?"
Хороший вопрос, для многих будет актуален. Вариантов есть пара (первые, которые на ум пришли):
1. Переотправка самому себе. Да, звучит странно, но довольно действенный метод учитывая что многие программы для слежки не смотрят дальше чем на 7 транзакций вглубь. Тоесть, вам нужно переотправить самому себе условно 7-8 раз, но здесь и начинаются основные сложности: если вы будете переотправлять в экосистеме одного кошелька, то вам нужно или запариться с UTXO (чтобы ненароком не связать выходы друг с дружкой, а если такое случится, то 100 % со стороны будет понятно что принадлежат они одному человеку). Или же просто, как в посте выше, создать 7 кошельков (например 7 разных seed фраз) и переотправлять по ним. В этом случае с одной стороны возрастет время, потраченное на это дело, но очень сильно уменьшит вероятность совершить ошибку выше (и умножить все усилия на 0). Выбирать вам.
Про UTXO и как их выбирать писал здесь немного, а здесь про связывание адресов. А вот блокэксплорер с этого поста умеет видеть связанные адреса и объединяет их в "кошельки". Рекомендуется для проверки не ошиблись ли вы на каком то из этапов.
Вариант надежный как швейцарские часы, тратится только время (зато приобретаются хорошие знания). Надо понимать, что даже единичный перевод (с кошелька на кошелек, я имею ввиду разные seed-ы , а не адреса в одном кошельке) со стороны может казаться сменой владельца, здесь уж как повезет (скорее не повезет, поэтому запариваться все же придется)
2. Купить Монеро. Да да, хороший вариант. Создаете кошелек Монеро (хватает хороших генераторов, или можно офиц скачать, тот же Trezor и ledger поддерживают Монеро). При отправке с биржи, биржа будет знать только сколько вы отправили и куда, а любые дальнейшие действия ей неизвестны, от слова совсем. Можете сразу перевести на второй монеровский адрес, и все, вы ушли в анонимность с концами.
Плюсы такого способа: простота
Минусы: Монеро не любят. На некоторых биржах, можно получить заморозку средств если вы пришлете им Монеро (вот реальный случай, морозили Bitfinex и Поло). Поэтому если вы собираетесь потом опять выводить в биткоин, то придется запариться и прошерстить интернет, чтобы не нарваться на подложенную свинью.
Хотел добавить еще какой то третий способ (как мы помним, вопрос был про случай без использования анонимайзеров и миксеров) но ничего на ум не пришло (выводить через условный Zcash я включаю во второй вариант). Поэтому вот вам два основных способа. Если знаете еще какие нибудь способы, можете смело писать их в бота, админы прочтут и оценят :)
P.S: В варианте с биткоинами можно наприметь поиграть в социальную инженерию, с срежессировать сценарий как будто вы отправили деньги в обменник (у 90 % обменников один паттерн поведения на любой платеж приходящий к ним) но это вы уж фантазию сами проявите если что :)
Forwarded from CryptoВорчун™
Анонимности не существует
Есть лишь невозможность собрать достаточную доказательную базу о том, что вы верблюд. Поэтому если хотите что-то спрятать, прячьте на видном месте.
Я о том, что в принципе Хорошие сценарии сделать свои биткоины анонимными, но...
Можно вообще ничего не делать, даже если собственный холодный адрес «о котором все знают» везде засвечен. Почему? Потому, что только вы признаете то, что он ваш собственный.
Для стороннего наблюдателя, это «используемый вами адрес», физического доступа к которому, вы возможно и не имеете вовсе. А де-юре с доказательной базой привязать вас к этому адресу как выгодополучателя может только непосредственная запись как вы получаете к нему доступ.
Во всех остальных случаях, то что адрес принадлежит вам, всего лишь домыслы. А возможно это вообще кошелек вашего родственника, гражданина Нигерии (нынче модно), который по доброте душевной является душеприказчиком вашего криптосостояния. Хотя оно вовсе и не ваше на самом деле.
Так что не хочешь быть замеченным? Не суетись. В остальном же, «был бы человек, статья найдется». И это тоже следует иметь ввиду.
Есть лишь невозможность собрать достаточную доказательную базу о том, что вы верблюд. Поэтому если хотите что-то спрятать, прячьте на видном месте.
Я о том, что в принципе Хорошие сценарии сделать свои биткоины анонимными, но...
Можно вообще ничего не делать, даже если собственный холодный адрес «о котором все знают» везде засвечен. Почему? Потому, что только вы признаете то, что он ваш собственный.
Для стороннего наблюдателя, это «используемый вами адрес», физического доступа к которому, вы возможно и не имеете вовсе. А де-юре с доказательной базой привязать вас к этому адресу как выгодополучателя может только непосредственная запись как вы получаете к нему доступ.
Во всех остальных случаях, то что адрес принадлежит вам, всего лишь домыслы. А возможно это вообще кошелек вашего родственника, гражданина Нигерии (нынче модно), который по доброте душевной является душеприказчиком вашего криптосостояния. Хотя оно вовсе и не ваше на самом деле.
Так что не хочешь быть замеченным? Не суетись. В остальном же, «был бы человек, статья найдется». И это тоже следует иметь ввиду.
Telegram
Crypto Lemon
#защита_инвестиций
Вот что пришло в бота: "Добрый день! Остро встал вопрос анонимизации собственных BTC, по причине возможности принятия поправок к закону о ЦФА, т.к. по недальновидности завёл на биржу фиат через карту напрямую и, к сожалению, почти всегда…
Вот что пришло в бота: "Добрый день! Остро встал вопрос анонимизации собственных BTC, по причине возможности принятия поправок к закону о ЦФА, т.к. по недальновидности завёл на биржу фиат через карту напрямую и, к сожалению, почти всегда…
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций
На мой пост выше был написан интересный ответ
Ну тоесть как, автор немного не о том написал. Он пишет, что мол пока ты сам нк признаешь что адрес твойч значит никто ничего доказать не может. Но к несчастью это не совсем так.
Если пройден тот же КУС на бирже, из под этого аккаунта куплены биткоины, за которые в дальнейшем будет заказана следователь , то отрицание не поможет.
Есть факт завязки на личность определенной суммы крипты, с которой личность должна выплатить налоги, ну или поделиться с "Фондом ФСБ"
Поэтому советы мои хороши, так как всегда можно сказать мол "биткоины отправил в обменник ребята, дальше не знаю что и куда ушло" а если нет, то и отмазаться (во всех смыслах) сложнее будет.
Для этого совет и давал
На мой пост выше был написан интересный ответ
Ну тоесть как, автор немного не о том написал. Он пишет, что мол пока ты сам нк признаешь что адрес твойч значит никто ничего доказать не может. Но к несчастью это не совсем так.
Если пройден тот же КУС на бирже, из под этого аккаунта куплены биткоины, за которые в дальнейшем будет заказана следователь , то отрицание не поможет.
Есть факт завязки на личность определенной суммы крипты, с которой личность должна выплатить налоги, ну или поделиться с "Фондом ФСБ"
Поэтому советы мои хороши, так как всегда можно сказать мол "биткоины отправил в обменник ребята, дальше не знаю что и куда ушло" а если нет, то и отмазаться (во всех смыслах) сложнее будет.
Для этого совет и давал
Telegram
PrimeBlock
Анонимности не существует
Есть лишь невозможность собрать достаточную доказательную базу о том, что вы верблюд. Поэтому если хотите что-то спрятать, прячьте на видном месте.
Я о том, что в принципе Хорошие сценарии сделать свои биткоины анонимными, но...…
Есть лишь невозможность собрать достаточную доказательную базу о том, что вы верблюд. Поэтому если хотите что-то спрятать, прячьте на видном месте.
Я о том, что в принципе Хорошие сценарии сделать свои биткоины анонимными, но...…
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #Bitcoin #основы
Bruteforce ECDSA
Очень часто слышу размышления (чего врать, общаюсь с человеком который твердо в этом уверен) насколько безопасен биткоин в плане криптографической стойкости его основ: криптографии ECDSA
Ну тоесть устойчив ли он к брутфорсу, тупому перебору приватников чтобы найти какой нибудь жирный адрес.
Немного математики:
Количество адресов на которых лежит более одного биткоина оценивается в 800 000 (590к - миллион, взял среднее)
Скорость подбора GeForce 2080 Ti - 2000 pass/s
Количество валидных приватных ключей - 2^256 . Но вы же понимаете, что ни Bitcoin Core, ни Electrum, ни тот же blockchain.com не дадут вам создать приватник состоящий из числа 0, или 1. Есть ограничения как по нижней границе, так и по верхней (так как если брать очень большие числа, то один приватник будет соответствовать двум публичным ключам, что не есть хорошо), поэтому среднее значение стоит брать как 2^160.
(2^160)/2000 - перебор полного диапазона одной видеокартой.
(2^160)/(2000 * 800 000) - это время чтобы найти хотя бы один адрес где больше 1 биткоина.
Получается всего то ничего - 7 * 10^49 лет, хе хе.
Тоесть, чтобы получить хотя бы один жирный (>1btc) адрес при переборе за 1 год (!) необходимо купить 7 * 10^49 видеокарт GeForce )))))
Если еще умножить на их цену в 1000 баксов, то получим изначальные капиталовложения всего лишь в 15 * 10^40 триллионов долларов. ВВП США - 20 триллионов, для понимания, так сказать.
В принципе, о брутфорсе разговор можно считать законченным.
Можете делиться ссылкой на пост с теми, кто вам рассказывает как они будут хакать блокчейн )
P.S: Есть направление ПЛИС (программируемых интегральных логических схем) которые в отличии от GPU или CPU могут выдавать скорости в 10, 100 раз больше, но вы можете догадаться что на данный момент это существенно роли не играет.
P.P.S: Подбор приватника, деривация из него публичного ключа и проверка на совпадение и простое хэширование с последующей проверкой >\< (это суть майнинга) это разноранговые по "весу" операции. Поэтому хоть GeForce выдает сколько то там Gh/s , паролей она выдает всего 2000 (тоесть в миллионы раз меньше). Это к тому, если вам будут доказывать что ключи будут подбирать Асиками для майнинга (не будут, скорость как видим не позволит. А относительно нынешних асиков не позволит также и их заточеность под конкретный алгоритм работы)
Bruteforce ECDSA
Очень часто слышу размышления (чего врать, общаюсь с человеком который твердо в этом уверен) насколько безопасен биткоин в плане криптографической стойкости его основ: криптографии ECDSA
Ну тоесть устойчив ли он к брутфорсу, тупому перебору приватников чтобы найти какой нибудь жирный адрес.
Немного математики:
Количество адресов на которых лежит более одного биткоина оценивается в 800 000 (590к - миллион, взял среднее)
Скорость подбора GeForce 2080 Ti - 2000 pass/s
Количество валидных приватных ключей - 2^256 . Но вы же понимаете, что ни Bitcoin Core, ни Electrum, ни тот же blockchain.com не дадут вам создать приватник состоящий из числа 0, или 1. Есть ограничения как по нижней границе, так и по верхней (так как если брать очень большие числа, то один приватник будет соответствовать двум публичным ключам, что не есть хорошо), поэтому среднее значение стоит брать как 2^160.
(2^160)/2000 - перебор полного диапазона одной видеокартой.
(2^160)/(2000 * 800 000) - это время чтобы найти хотя бы один адрес где больше 1 биткоина.
Получается всего то ничего - 7 * 10^49 лет, хе хе.
Тоесть, чтобы получить хотя бы один жирный (>1btc) адрес при переборе за 1 год (!) необходимо купить 7 * 10^49 видеокарт GeForce )))))
Если еще умножить на их цену в 1000 баксов, то получим изначальные капиталовложения всего лишь в 15 * 10^40 триллионов долларов. ВВП США - 20 триллионов, для понимания, так сказать.
В принципе, о брутфорсе разговор можно считать законченным.
Можете делиться ссылкой на пост с теми, кто вам рассказывает как они будут хакать блокчейн )
P.S: Есть направление ПЛИС (программируемых интегральных логических схем) которые в отличии от GPU или CPU могут выдавать скорости в 10, 100 раз больше, но вы можете догадаться что на данный момент это существенно роли не играет.
P.P.S: Подбор приватника, деривация из него публичного ключа и проверка на совпадение и простое хэширование с последующей проверкой >\< (это суть майнинга) это разноранговые по "весу" операции. Поэтому хоть GeForce выдает сколько то там Gh/s , паролей она выдает всего 2000 (тоесть в миллионы раз меньше). Это к тому, если вам будут доказывать что ключи будут подбирать Асиками для майнинга (не будут, скорость как видим не позволит. А относительно нынешних асиков не позволит также и их заточеность под конкретный алгоритм работы)
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #Bitcoin #основы
Bruteforce ECDSA
Очень часто слышу размышления (чего врать, общаюсь с человеком который твердо в этом уверен) насколько безопасен биткоин в плане криптографической стойкости его основ: криптографии ECDSA
Ну тоесть устойчив ли он к брутфорсу, тупому перебору приватников чтобы найти какой нибудь жирный адрес.
Немного математики:
Количество адресов на которых лежит более одного биткоина оценивается в 800 000 (590к - миллион, взял среднее)
Скорость подбора GeForce 2080 Ti - 2000 pass/s
Количество валидных приватных ключей - 2^256 . Но вы же понимаете, что ни Bitcoin Core, ни Electrum, ни тот же blockchain.com не дадут вам создать приватник состоящий из числа 0, или 1. Есть ограничения как по нижней границе, так и по верхней (так как если брать очень большие числа, то один приватник будет соответствовать двум публичным ключам, что не есть хорошо), поэтому среднее значение стоит брать как 2^160.
(2^160)/2000 - перебор полного диапазона одной видеокартой.
(2^160)/(2000 * 800 000) - это время чтобы найти хотя бы один адрес где больше 1 биткоина.
Получается всего то ничего - 7 * 10^49 лет, хе хе.
Тоесть, чтобы получить хотя бы один жирный (>1btc) адрес при переборе за 1 год (!) необходимо купить 7 * 10^49 видеокарт GeForce )))))
Если еще умножить на их цену в 1000 баксов, то получим изначальные капиталовложения всего лишь в 15 * 10^40 триллионов долларов. ВВП США - 20 триллионов, для понимания, так сказать.
В принципе, о брутфорсе разговор можно считать законченным.
Можете делиться ссылкой на пост с теми, кто вам рассказывает как они будут хакать блокчейн )
P.S: Есть направление ПЛИС (программируемых интегральных логических схем) которые в отличии от GPU или CPU могут выдавать скорости в 10, 100 раз больше, но вы можете догадаться что на данный момент это существенно роли не играет.
P.P.S: Подбор приватника, деривация из него публичного ключа и проверка на совпадение и простое хэширование с последующей проверкой >\< (это суть майнинга) это разноранговые по "весу" операции. Поэтому хоть GeForce выдает сколько то там Gh/s , паролей она выдает всего 2000 (тоесть в миллионы раз меньше). Это к тому, если вам будут доказывать что ключи будут подбирать Асиками для майнинга (не будут, скорость как видим не позволит. А относительно нынешних асиков не позволит также и их заточеность под конкретный алгоритм работы)
Bruteforce ECDSA
Очень часто слышу размышления (чего врать, общаюсь с человеком который твердо в этом уверен) насколько безопасен биткоин в плане криптографической стойкости его основ: криптографии ECDSA
Ну тоесть устойчив ли он к брутфорсу, тупому перебору приватников чтобы найти какой нибудь жирный адрес.
Немного математики:
Количество адресов на которых лежит более одного биткоина оценивается в 800 000 (590к - миллион, взял среднее)
Скорость подбора GeForce 2080 Ti - 2000 pass/s
Количество валидных приватных ключей - 2^256 . Но вы же понимаете, что ни Bitcoin Core, ни Electrum, ни тот же blockchain.com не дадут вам создать приватник состоящий из числа 0, или 1. Есть ограничения как по нижней границе, так и по верхней (так как если брать очень большие числа, то один приватник будет соответствовать двум публичным ключам, что не есть хорошо), поэтому среднее значение стоит брать как 2^160.
(2^160)/2000 - перебор полного диапазона одной видеокартой.
(2^160)/(2000 * 800 000) - это время чтобы найти хотя бы один адрес где больше 1 биткоина.
Получается всего то ничего - 7 * 10^49 лет, хе хе.
Тоесть, чтобы получить хотя бы один жирный (>1btc) адрес при переборе за 1 год (!) необходимо купить 7 * 10^49 видеокарт GeForce )))))
Если еще умножить на их цену в 1000 баксов, то получим изначальные капиталовложения всего лишь в 15 * 10^40 триллионов долларов. ВВП США - 20 триллионов, для понимания, так сказать.
В принципе, о брутфорсе разговор можно считать законченным.
Можете делиться ссылкой на пост с теми, кто вам рассказывает как они будут хакать блокчейн )
P.S: Есть направление ПЛИС (программируемых интегральных логических схем) которые в отличии от GPU или CPU могут выдавать скорости в 10, 100 раз больше, но вы можете догадаться что на данный момент это существенно роли не играет.
P.P.S: Подбор приватника, деривация из него публичного ключа и проверка на совпадение и простое хэширование с последующей проверкой >\< (это суть майнинга) это разноранговые по "весу" операции. Поэтому хоть GeForce выдает сколько то там Gh/s , паролей она выдает всего 2000 (тоесть в миллионы раз меньше). Это к тому, если вам будут доказывать что ключи будут подбирать Асиками для майнинга (не будут, скорость как видим не позволит. А относительно нынешних асиков не позволит также и их заточеность под конкретный алгоритм работы)
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций
В китайских роутерах (конкретно в Jetstream(Ematic) и Wavlink) обнаружили встроенные бэкдоры, с помощью которых можно получать доступ к устройству удаленно. Ну и собственно делать на нем все что хочешь. Китайцы конкретно использовали это для создания огромных сетей из роутеров-"зомби" (ботнеты) и последующих атак на сайты типа Reddit.
Но поверьте мне, недалек тот день (особенно учитывая какой активный рост битка) когда китайцы решат что использовать бэкдоры для того чтобы ложить сайты с Винни Пухом не так актуально как воровать крипту у наивных пользователей.
Какой будет примерный вектор атаки (если за основу брать бэкдор описаный в статье):
1. С помощью бэкдора (удаленный доступ в обход админа и последующее получения пароля) роутер берется под контроль.
2. Роутер фильтрует траффик, и если проходят какие то подключения к криптосайтам (например к нодам Електрума) то происходит следующий пункт
3. Роутер предоставляет "обнову" которая выскакивает у незадачливого пользователя на экране, предлагая обновить прошивку. Если брать за основу недавние взломы кошелька Электрум, когда люди с удовольствием "обновлялись", буду иметь смелость утверждать что и в случае с роутером "обновится" 3 из 4-х пользователей.
5. Обнова являет собой по сути малварь, которую сам, своими руками ставит пользователь, и она может делать уже что угодно. Конкретно что, не особо важно. Китайцы своего добились, коммунизм восторжествовал.
Какой способ защиты от этого вот всего? Ну для начала, не покупать китайское говно. Да да, я знаю что и Айфоны сейчас делаются в Китае. Но есть разница между иностранным заводом на территории КНР, которому софт предоставляют те же европейцы/американцы и собственно поделками сицзинпиней.
Второй важный момент (и практически невозможный, здесь в основном помогает только удача и случай на вашей стороне) это обращать внимание и читать все то, что выскакивает, предлагает обновиться и тд. Вирус сам не поставится в любом случае. Но у него всегда есть верный мясной помощник, который подстрахует и кликнет когда надо на нужную кнопку!
Тема так то серъезная, потому что в дальнейшем, учитывая рост цены биткоина и развитие концепции "интернета вещей", попытаться своровать ваши битки может даже какой то чайник или фен.
Напомню пару полезных постов по теме роутеров:
Азы защиты роутера
Почему не стоит покупать БУ роутер с рук
В китайских роутерах (конкретно в Jetstream(Ematic) и Wavlink) обнаружили встроенные бэкдоры, с помощью которых можно получать доступ к устройству удаленно. Ну и собственно делать на нем все что хочешь. Китайцы конкретно использовали это для создания огромных сетей из роутеров-"зомби" (ботнеты) и последующих атак на сайты типа Reddit.
Но поверьте мне, недалек тот день (особенно учитывая какой активный рост битка) когда китайцы решат что использовать бэкдоры для того чтобы ложить сайты с Винни Пухом не так актуально как воровать крипту у наивных пользователей.
Какой будет примерный вектор атаки (если за основу брать бэкдор описаный в статье):
1. С помощью бэкдора (удаленный доступ в обход админа и последующее получения пароля) роутер берется под контроль.
2. Роутер фильтрует траффик, и если проходят какие то подключения к криптосайтам (например к нодам Електрума) то происходит следующий пункт
3. Роутер предоставляет "обнову" которая выскакивает у незадачливого пользователя на экране, предлагая обновить прошивку. Если брать за основу недавние взломы кошелька Электрум, когда люди с удовольствием "обновлялись", буду иметь смелость утверждать что и в случае с роутером "обновится" 3 из 4-х пользователей.
5. Обнова являет собой по сути малварь, которую сам, своими руками ставит пользователь, и она может делать уже что угодно. Конкретно что, не особо важно. Китайцы своего добились, коммунизм восторжествовал.
Какой способ защиты от этого вот всего? Ну для начала, не покупать китайское говно. Да да, я знаю что и Айфоны сейчас делаются в Китае. Но есть разница между иностранным заводом на территории КНР, которому софт предоставляют те же европейцы/американцы и собственно поделками сицзинпиней.
Второй важный момент (и практически невозможный, здесь в основном помогает только удача и случай на вашей стороне) это обращать внимание и читать все то, что выскакивает, предлагает обновиться и тд. Вирус сам не поставится в любом случае. Но у него всегда есть верный мясной помощник, который подстрахует и кликнет когда надо на нужную кнопку!
Тема так то серъезная, потому что в дальнейшем, учитывая рост цены биткоина и развитие концепции "интернета вещей", попытаться своровать ваши битки может даже какой то чайник или фен.
Напомню пару полезных постов по теме роутеров:
Азы защиты роутера
Почему не стоит покупать БУ роутер с рук
Cybernews
Walmart-exclusive router and others sold on Amazon & eBay contain hidden backdoors to control devices
Walmart-exclusive Jetstream routers and Wavlink routers contain hidden backdoors. The routers are actively being exploited by Mirai malware
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций
Часто слышу идею мол "лень иметь большие адреса в биткоине, давайте введем фичу чтобы можно было отправлять деньги на более короткие словосочетания, например как в логины в Телеграмм"
Результат можно увидеть в этом посте . Как можно понять из поста, были украдены деньги с Coinbase кошелька. Как именно: Компьютер по всей видимости был заражен так называемым clipping malware, у меня был пост о нем (и даже не один!). Каждый такой вирус имеет небольшую БД с огромного количества адресов, и когда вы копируете нужный вам адрес в буфер обмена, подменяет его похожим. Похожими в основном являются первые 4-5 символов (на которые в основном только и смотрят люди). А так как Coinbase не отображает полный адрес, а только его начальную часть, то это просто бинго для хакеров! По сути вероятность успеха многократно растет (я уже советовал не пользоваться Coinbase кошельком, они помимо идиотской реализации отправки еще любят рассылать письма счастья своим клиентам)
По итогу, имплементация идеи "коротких" адресов, более похожих на ники, стала бы лучшим новогодним подарком для разработчиков clipping малвари. Так что в мусорку такие "упрощения"!
Часто слышу идею мол "лень иметь большие адреса в биткоине, давайте введем фичу чтобы можно было отправлять деньги на более короткие словосочетания, например как в логины в Телеграмм"
Результат можно увидеть в этом посте . Как можно понять из поста, были украдены деньги с Coinbase кошелька. Как именно: Компьютер по всей видимости был заражен так называемым clipping malware, у меня был пост о нем (и даже не один!). Каждый такой вирус имеет небольшую БД с огромного количества адресов, и когда вы копируете нужный вам адрес в буфер обмена, подменяет его похожим. Похожими в основном являются первые 4-5 символов (на которые в основном только и смотрят люди). А так как Coinbase не отображает полный адрес, а только его начальную часть, то это просто бинго для хакеров! По сути вероятность успеха многократно растет (я уже советовал не пользоваться Coinbase кошельком, они помимо идиотской реализации отправки еще любят рассылать письма счастья своим клиентам)
По итогу, имплементация идеи "коротких" адресов, более похожих на ники, стала бы лучшим новогодним подарком для разработчиков clipping малвари. Так что в мусорку такие "упрощения"!
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций
Небольшая заметка о истории со взломом Ledger Live и дальнейшими фишинговыми атаками.
Немного несвоевременно, но не могу не отметить угрозу социальной инженерии в нынешнем мире и ее собственно эффективность (фишинг это как раз таки самый яркий ее пример)
https://telegra.ph/Idealnyj-fishing-ot-Ledger-Live-12-12
Небольшая заметка о истории со взломом Ledger Live и дальнейшими фишинговыми атаками.
Немного несвоевременно, но не могу не отметить угрозу социальной инженерии в нынешнем мире и ее собственно эффективность (фишинг это как раз таки самый яркий ее пример)
https://telegra.ph/Idealnyj-fishing-ot-Ledger-Live-12-12
Telegraph
Идеальный фишинг от Ledger Live
Как мы все помним, относительно недавно (в июле этого года) компания Ledger официально заявила (или скорее - признала) о взломе своей базы данных где хранились личные данные пользователей. Самое смешное кстати, что Ledger заявляет о взломе БД с целым миллионом…
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций
Раз мы уж заговорили о соц инженерии, также в связи с ростом биткоина и расследованием Навального, предлагаю вернуться к теме мобильных номеров и возможных уязвимостей с ними связанных.
Для начала предлагаю прочитать пару предыдущих моих постов на эту тему (чтобы заново не разжовывать основы):
- Как взломали аккаунт создателя Twitter через мобильный номер
- Как у создателя Augoror своровали миллион баксов подменив симку
- Как полицейские находят настоящего владельца подставного телефона (считаю пост одним из лучших на канале)
Если вы помните, недавно было расследование Навального, которое показало как легко и просто любому желающему получить "пробив" нужного номера телефона через специализированые форумы или даже ТГ ботов. (Комментарии эксперта: Как можно заметить на таких сервисах в основном "вспышку", тоесть показывают нынешнюю геолокацию) Нужен просто номер телефона и деньги. Вы бы могли задаться вопросом, мол какая связь с биткоином и соц инженерией? Ну с последним оно связано железным фактом, что в любой системе безопасности слабое звено это всегда человек. И именно черещ нее идет воздействие на сотрудников обладающиз необходимой информацией. Наказывай, не наказывай, пока мясные мешки будут иметь доступ к вашей персональной информации, они будут толковать ее налево. Это надо осознать и просто смириться с этим. Особенно тем кто живет в СНГ, где это часто единственный способ заработать немного денег и не подохнуть от гастрита вызванного безперебойным потреблением дошираков (а вы думали работник МТС икру ложками ест?).
А с биткоином оно связано тем, что нет более весомой причины выложить условных 100-300 баксов чем последующая экспроприация криптоактивов и перераспределение в нужные карманы (ну может кроме гулящей жены).
Что можно узнать о вас через пробив номера?
- геолокации за определенные период времени когда на телефоне происходила переадресация или любой звонок (поэтому ваш дом или любимые места найти не проблема)
- живая геолокация на данный момент с точностью до пяти метров (спасибо триангуляции)
- история звонков и СМС
При доступе к коммутаторному оборудованию и вышкам можно вообще ваши включение выключение телефона отслеживать. При включении телефон подает сигнал на ближайшие вышки, проверяя доступность сети. Таким образом идет "засвет" самого факта активности телефона, а также его местонахождение. (Комментарий эксперта: Чтобы собирать такую информацию необходимо напрямую следить за вышками, так как ни вышки ни коммутаторное оборудование истории не сохраняют, и по сути это довольно тонкая работа ведется всегда под конкретного человека. ТГ боты и форумные пробившики такого сделать не смогут. )
Может еще что то упустил, скорее всего, так как список немаленький. Для России с ее законами это может быть все вплоть до записи разговоров.
Как от этого защититься? Ну для начала, самый верный способ - иметь несколько номеров, и не светить те, на которые зарегистрировано что то важное. Этот ход уже защитит вас в достаточной мере. Лучше, если важный номер хранится не в телефоне, а отдельно на симке. Только смотрите чтобы номер не "сгорел", иногда симку надо будет вставлять в телефон (но к несчастью в таком случае свяжете номера между собой через IMEI телефона) и делать звонки. Лучше конечно же не из дома. Прочие схемы (более сложные но более интересные) вы можете осмыслить сами прочитав третий мой пост про работу полиции.
И да, не верьте клоунам которые после расследования оживились, убеждая вас что ваши данные в надежном хранении, что доступ имеют только избранные, а полиция и спецслужбы могут получить данные только через суд. Лучше перечитайте пост о том, как обычный оператор в колл центре восстановил номер разраба Augoror злоумышленнику в один клик. И про МВД (и тем более спецслужбы) тоже не верьте, пишущий это лично видел ордер от суда на обыск, полученный на липовое заявление (которое сами менты и написали, хех) и последующие маски шоу.
P.S: Особая благодарность эксперту в мобильных технологиях за познавательные комментарии
Раз мы уж заговорили о соц инженерии, также в связи с ростом биткоина и расследованием Навального, предлагаю вернуться к теме мобильных номеров и возможных уязвимостей с ними связанных.
Для начала предлагаю прочитать пару предыдущих моих постов на эту тему (чтобы заново не разжовывать основы):
- Как взломали аккаунт создателя Twitter через мобильный номер
- Как у создателя Augoror своровали миллион баксов подменив симку
- Как полицейские находят настоящего владельца подставного телефона (считаю пост одним из лучших на канале)
Если вы помните, недавно было расследование Навального, которое показало как легко и просто любому желающему получить "пробив" нужного номера телефона через специализированые форумы или даже ТГ ботов. (Комментарии эксперта: Как можно заметить на таких сервисах в основном "вспышку", тоесть показывают нынешнюю геолокацию) Нужен просто номер телефона и деньги. Вы бы могли задаться вопросом, мол какая связь с биткоином и соц инженерией? Ну с последним оно связано железным фактом, что в любой системе безопасности слабое звено это всегда человек. И именно черещ нее идет воздействие на сотрудников обладающиз необходимой информацией. Наказывай, не наказывай, пока мясные мешки будут иметь доступ к вашей персональной информации, они будут толковать ее налево. Это надо осознать и просто смириться с этим. Особенно тем кто живет в СНГ, где это часто единственный способ заработать немного денег и не подохнуть от гастрита вызванного безперебойным потреблением дошираков (а вы думали работник МТС икру ложками ест?).
А с биткоином оно связано тем, что нет более весомой причины выложить условных 100-300 баксов чем последующая экспроприация криптоактивов и перераспределение в нужные карманы (ну может кроме гулящей жены).
Что можно узнать о вас через пробив номера?
- геолокации за определенные период времени когда на телефоне происходила переадресация или любой звонок (поэтому ваш дом или любимые места найти не проблема)
- живая геолокация на данный момент с точностью до пяти метров (спасибо триангуляции)
- история звонков и СМС
При доступе к коммутаторному оборудованию и вышкам можно вообще ваши включение выключение телефона отслеживать. При включении телефон подает сигнал на ближайшие вышки, проверяя доступность сети. Таким образом идет "засвет" самого факта активности телефона, а также его местонахождение. (Комментарий эксперта: Чтобы собирать такую информацию необходимо напрямую следить за вышками, так как ни вышки ни коммутаторное оборудование истории не сохраняют, и по сути это довольно тонкая работа ведется всегда под конкретного человека. ТГ боты и форумные пробившики такого сделать не смогут. )
Может еще что то упустил, скорее всего, так как список немаленький. Для России с ее законами это может быть все вплоть до записи разговоров.
Как от этого защититься? Ну для начала, самый верный способ - иметь несколько номеров, и не светить те, на которые зарегистрировано что то важное. Этот ход уже защитит вас в достаточной мере. Лучше, если важный номер хранится не в телефоне, а отдельно на симке. Только смотрите чтобы номер не "сгорел", иногда симку надо будет вставлять в телефон (но к несчастью в таком случае свяжете номера между собой через IMEI телефона) и делать звонки. Лучше конечно же не из дома. Прочие схемы (более сложные но более интересные) вы можете осмыслить сами прочитав третий мой пост про работу полиции.
И да, не верьте клоунам которые после расследования оживились, убеждая вас что ваши данные в надежном хранении, что доступ имеют только избранные, а полиция и спецслужбы могут получить данные только через суд. Лучше перечитайте пост о том, как обычный оператор в колл центре восстановил номер разраба Augoror злоумышленнику в один клик. И про МВД (и тем более спецслужбы) тоже не верьте, пишущий это лично видел ордер от суда на обыск, полученный на липовое заявление (которое сами менты и написали, хех) и последующие маски шоу.
P.S: Особая благодарность эксперту в мобильных технологиях за познавательные комментарии
Telegram
Crypto Lemon
"Как взломали аккаунт создателя Twitter?
В эти выходные в официальном аккаунте Джека Дорси появились расистские и антисемитские публикации. Оказалось, что это был взлом аккаунта и твиты были удалены в течение 15 минут.
В компании заявили, что вина на…
В эти выходные в официальном аккаунте Джека Дорси появились расистские и антисемитские публикации. Оказалось, что это был взлом аккаунта и твиты были удалены в течение 15 минут.
В компании заявили, что вина на…
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #Важно
Полностью согласен . Но здесь стоит объяснить два момента. Сначала сам моральный и философский аспект:
"Я честный человек, мне нечего скрывать"
Самая известная отмазка для любого действия, будь то нежелание пользоваться более сложными и менее удобными опенсор продуктами, прохождение КУС или приседание на бутылку по просьбе товарища старлея. Ну а что, честный человек, мне сложно что ли? Происходит это из человеческой лени и надежды на классическое "авось". Это то, чего добивается любая власть и вообще любой имеющий власть (в случае КУС - биржи). И скажем так, у них это довольно успешно получается. Сам такой вопрос переводит народ в разряд "подозреваемых" или же как любят шутить в СНГ - "временно невиновных". Вам вот приятно себя таким ощущать? Полагаю что нет. Поэтому надо ставить атрибуцию иначе:
"Я честный человек, поэтому я сохраняю свою приватность. Вы меня в чем то обвиняете, что мне необходимо вам что то доказывать?"
В подтверждение этих слов есть несколько важных аргументов:
1. Кегебилы, чекисты, спецура, менты должны отрабатывать свой хлеб. Надо вычислить наркобаронов, торговцев ЦП, наркотой, обнальщиков? Пусквй устраивают мозговой штурм как это делать без превращения населения в терпильное стадо. Подставные покупатели, фишинговые даркнет площадки (honeypot) и так далее. Конечно на много проще и приятнее работать методом исключения: нагнуть всех и подходить к тем, кто не гнется мол "А ты чего не раком как все, а? Самый умный что ли? Может ты педофил там, или Эскобар, а ну ка сейчас проверочку пройдем..." Но вопрос почему люди должны им в этом подыгрывать?
2. Владельцы бирж/обменников, да и сами биржи довольно анонимны. Как может с вас что то требовать контора зарегистрированная в оффшоре с неизвестными владельцами? Ты это, сначала обелись в ЕС, законы о защите информации соблюдай, а потом поговорим о КУС и прочем.
Да и не только то биржи анонимны: это среди богатых явный тренд. К примеру, толком не понятно кто владеет порно холдингом MindGeeks (владелец Pornhub, Brazzers и тд). Как и со многими другими крупными сервисами в Сети. Почему то миллиардеры и миллионеры не спешат предоставлять свои данные, наоборот скрываются как могут. Почему обычные люди должны себя вести иначе?
3. Уязвимость баз данных. Данные утекают петабайтами, а тем криворуким идиотам которые это допускают (как на гос службе так и вне) практически всегда это сходит с рук. Может прежде чем всех верифицировать стоит свои руки выпрямить и не подвергать чужие жизни опасности, а?
Я понимаю, звучит идеалистически. Но суть то в том, что чем больше людей будет мыслить правильно, то и выше вероятность каких то изменений. Как рассказывал один математик и мультимиллионер (да да), автор книги о "Черном Лебеде" Нассим Талеб "Мир меняет не серое большинство, а непримиримое меньшинство" . Те, кто больше орут о своих правах, чаще всего и добиваются результата (например, многие продукты в Англии кошерны, так как непримиримые евреи не будут кушать не кошерную еду, а серому большинству все равно). Потому если наберется некая критическая масса недовольных, то как минимум биржам придется корректировать политику.
И да, если вы попали в какую то неприятную ситуацию с биржей или обменником, не бойтесь поднимать хайп: визжите, обзываете их скамом, создавайте миллионы тем на форумах, стучитесь в блоги. Вам может это показаться конфликтностью? Ну такие сервисы иначе не понимают. Поверьте мне, всякие хакеры постоянно так себя ведут, даже если правда не на их стороне, и довольно часто добиваются возврата своих средств (в основном от обменников и небольших бирж). Это несмотря на то, что они часто виноваты. А если, за вами будет правда, то вероятность успеха еще выше. Помните что говорил Данила Багров? "Сила в правде. У кого правда, тот и сильней"
Вот и вам советую быть сильными.
P.S: в следующем посте коснусь предметной стороны приватности
Полностью согласен . Но здесь стоит объяснить два момента. Сначала сам моральный и философский аспект:
"Я честный человек, мне нечего скрывать"
Самая известная отмазка для любого действия, будь то нежелание пользоваться более сложными и менее удобными опенсор продуктами, прохождение КУС или приседание на бутылку по просьбе товарища старлея. Ну а что, честный человек, мне сложно что ли? Происходит это из человеческой лени и надежды на классическое "авось". Это то, чего добивается любая власть и вообще любой имеющий власть (в случае КУС - биржи). И скажем так, у них это довольно успешно получается. Сам такой вопрос переводит народ в разряд "подозреваемых" или же как любят шутить в СНГ - "временно невиновных". Вам вот приятно себя таким ощущать? Полагаю что нет. Поэтому надо ставить атрибуцию иначе:
"Я честный человек, поэтому я сохраняю свою приватность. Вы меня в чем то обвиняете, что мне необходимо вам что то доказывать?"
В подтверждение этих слов есть несколько важных аргументов:
1. Кегебилы, чекисты, спецура, менты должны отрабатывать свой хлеб. Надо вычислить наркобаронов, торговцев ЦП, наркотой, обнальщиков? Пусквй устраивают мозговой штурм как это делать без превращения населения в терпильное стадо. Подставные покупатели, фишинговые даркнет площадки (honeypot) и так далее. Конечно на много проще и приятнее работать методом исключения: нагнуть всех и подходить к тем, кто не гнется мол "А ты чего не раком как все, а? Самый умный что ли? Может ты педофил там, или Эскобар, а ну ка сейчас проверочку пройдем..." Но вопрос почему люди должны им в этом подыгрывать?
2. Владельцы бирж/обменников, да и сами биржи довольно анонимны. Как может с вас что то требовать контора зарегистрированная в оффшоре с неизвестными владельцами? Ты это, сначала обелись в ЕС, законы о защите информации соблюдай, а потом поговорим о КУС и прочем.
Да и не только то биржи анонимны: это среди богатых явный тренд. К примеру, толком не понятно кто владеет порно холдингом MindGeeks (владелец Pornhub, Brazzers и тд). Как и со многими другими крупными сервисами в Сети. Почему то миллиардеры и миллионеры не спешат предоставлять свои данные, наоборот скрываются как могут. Почему обычные люди должны себя вести иначе?
3. Уязвимость баз данных. Данные утекают петабайтами, а тем криворуким идиотам которые это допускают (как на гос службе так и вне) практически всегда это сходит с рук. Может прежде чем всех верифицировать стоит свои руки выпрямить и не подвергать чужие жизни опасности, а?
Я понимаю, звучит идеалистически. Но суть то в том, что чем больше людей будет мыслить правильно, то и выше вероятность каких то изменений. Как рассказывал один математик и мультимиллионер (да да), автор книги о "Черном Лебеде" Нассим Талеб "Мир меняет не серое большинство, а непримиримое меньшинство" . Те, кто больше орут о своих правах, чаще всего и добиваются результата (например, многие продукты в Англии кошерны, так как непримиримые евреи не будут кушать не кошерную еду, а серому большинству все равно). Потому если наберется некая критическая масса недовольных, то как минимум биржам придется корректировать политику.
И да, если вы попали в какую то неприятную ситуацию с биржей или обменником, не бойтесь поднимать хайп: визжите, обзываете их скамом, создавайте миллионы тем на форумах, стучитесь в блоги. Вам может это показаться конфликтностью? Ну такие сервисы иначе не понимают. Поверьте мне, всякие хакеры постоянно так себя ведут, даже если правда не на их стороне, и довольно часто добиваются возврата своих средств (в основном от обменников и небольших бирж). Это несмотря на то, что они часто виноваты. А если, за вами будет правда, то вероятность успеха еще выше. Помните что говорил Данила Багров? "Сила в правде. У кого правда, тот и сильней"
Вот и вам советую быть сильными.
P.S: в следующем посте коснусь предметной стороны приватности
Telegram
CryptoВорчун™
Это будет звучать очевидным, но если вы прошли KYC на бирже, а потом выводите на один "холодный адрес" в блокчейне биткоина, имейте ввиду, что по сути вы косвенно обозначаете связь вашей личности с адресом, куда вы переводите.
В наше непростое время, накапливание…
В наше непростое время, накапливание…
Forwarded from Crypto Lemon
#защита_инвестиций #Ledger_hack
Как я и предполагал, все эти смс на телефон от "наркоманов и бандитов" являются фишингом. Довольно необычным, который ближе к угрозам и сталкингу, но все же не особо опасным (иначе не просили бы по 200-300 евро)
Угрозы поляку
Угрозы чеху
Еще угрозы
В таких ситуациях стоит и вправду обратиться в полицию, но и самому подготовиться (особенно учитывая качество полиции в СНГ. Здесь вам машину под дом для охраны как в Европе или Америке никто не пришлет)
Но масштабы конечно поражают, люди в комментах пишут что им фишинговый спам идет и на почту и на номер телефона, некоторым по 5-6 раз в день. Жопы ясное дело у людей горят нереально
Но реальная угроза (если конечно вы не криптомиллионер и вас уже не пробивают серъезные люди) это подмена симки. Вот очередная история. Человеку в данном случае просто повезло. И заметьте, история не от жителя из СНГ, там то симку подменить вообще как два пальца. Поэтому в первую очередь озаботьтесь сменой номера телефона. Такие дела
Как я и предполагал, все эти смс на телефон от "наркоманов и бандитов" являются фишингом. Довольно необычным, который ближе к угрозам и сталкингу, но все же не особо опасным (иначе не просили бы по 200-300 евро)
Угрозы поляку
Угрозы чеху
Еще угрозы
В таких ситуациях стоит и вправду обратиться в полицию, но и самому подготовиться (особенно учитывая качество полиции в СНГ. Здесь вам машину под дом для охраны как в Европе или Америке никто не пришлет)
Но масштабы конечно поражают, люди в комментах пишут что им фишинговый спам идет и на почту и на номер телефона, некоторым по 5-6 раз в день. Жопы ясное дело у людей горят нереально
Но реальная угроза (если конечно вы не криптомиллионер и вас уже не пробивают серъезные люди) это подмена симки. Вот очередная история. Человеку в данном случае просто повезло. И заметьте, история не от жителя из СНГ, там то симку подменить вообще как два пальца. Поэтому в первую очередь озаботьтесь сменой номера телефона. Такие дела
Forwarded from Crypto Lemon (Lemon)
#Trezor #защита_инвестиций
Вторая основная проблема любого апаратного кошелька (Первая - это человеческая тупость и лень) это то, что они не являются полностью закрытыми криптосистемами (большинство).
Тоесть, для того, чтобы аппаратник выполнял свою роль "кошелька" вам необходимо его подключить к другому устройству, которое ответственно за многие функции (от формирования неподписанных транзакций до восстановления кошелька). Благодаря этому, количество потенциальных векторов атаки также возрастает многократно.
К примеру, для восстановления кошелька по сид фразе в Trezor One и Ledger Nano S, необходимо эту сид фразу ввести с клавиатуры компьютера/телефона. Здесь нас и поджидают добрые кейлогеры, а если вы достаточно умен чтобы пользоваться виртуальной клавиатурой, все равно можно пасть жертвой программ делающих скриншоты вашего рабочего стола (это не говоря о том, что они даже не обязательны. Есть возможность считывать координаты мышки, и зная раскладку клавиатуры в случае чего восстановить ваш пароль/сид).
В дорогих моделях что ledger-a что Trezor-a есть возможность вводить слова с сенсорного экрана, поэтому там такой проблемы нет. Но мы же с вами не братья Богдановы хранящие сотни биткоинов. Здесь как бы жабу победить чтобы Trezor One заказать. Следовательно, в таком случае есть другие выходы:
Не знаю как ledger-e (и после историй со взломом полагаю, что никогда и не узнаю) но в Trezor-e давно уже есть чудесная функция "безопасного восстановления кошелька" (advanced recovery). Буду честным, сам узнал о ней только недавно.
Как видите, заскринить ничего нельзя, так как данные определяющие на какое поле клацать отображаются на дисплее Трезора. И кейлогеры тоже не у дел, так как клавиатура не используется вообще!
Надеюсь, вам будет полезно :)
Вторая основная проблема любого апаратного кошелька (Первая - это человеческая тупость и лень) это то, что они не являются полностью закрытыми криптосистемами (большинство).
Тоесть, для того, чтобы аппаратник выполнял свою роль "кошелька" вам необходимо его подключить к другому устройству, которое ответственно за многие функции (от формирования неподписанных транзакций до восстановления кошелька). Благодаря этому, количество потенциальных векторов атаки также возрастает многократно.
К примеру, для восстановления кошелька по сид фразе в Trezor One и Ledger Nano S, необходимо эту сид фразу ввести с клавиатуры компьютера/телефона. Здесь нас и поджидают добрые кейлогеры, а если вы достаточно умен чтобы пользоваться виртуальной клавиатурой, все равно можно пасть жертвой программ делающих скриншоты вашего рабочего стола (это не говоря о том, что они даже не обязательны. Есть возможность считывать координаты мышки, и зная раскладку клавиатуры в случае чего восстановить ваш пароль/сид).
В дорогих моделях что ledger-a что Trezor-a есть возможность вводить слова с сенсорного экрана, поэтому там такой проблемы нет. Но мы же с вами не братья Богдановы хранящие сотни биткоинов. Здесь как бы жабу победить чтобы Trezor One заказать. Следовательно, в таком случае есть другие выходы:
Не знаю как ledger-e (и после историй со взломом полагаю, что никогда и не узнаю) но в Trezor-e давно уже есть чудесная функция "безопасного восстановления кошелька" (advanced recovery). Буду честным, сам узнал о ней только недавно.
Как видите, заскринить ничего нельзя, так как данные определяющие на какое поле клацать отображаются на дисплее Трезора. И кейлогеры тоже не у дел, так как клавиатура не используется вообще!
Надеюсь, вам будет полезно :)
YouTube
Trezor Wallet Advanced Recovery Using 24 Word Seed Bitcoin Litecoin
Get Your Trezor Wallet here: https://shop.trezor.io?a=cryptomined.com
Watch this video tutorial and learn how to use Advanced Recovery to restore your Trezor Wallet using your 24 word Mnemonic seed.
The best way to support the channel is to use the store:…
Watch this video tutorial and learn how to use Advanced Recovery to restore your Trezor Wallet using your 24 word Mnemonic seed.
The best way to support the channel is to use the store:…
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #Важно #юмор
Упустил как то отличную статью от Антонопулуса насчет того, принятие крипты Пейпалом это добро или зло
Подписываюсь под каждым его словом, в особенности под негативным отношением Paypal к криптовалютам. Помимо того, что глава этой конторы называл крипту "величайшим скамом" (ссылка в статье) была более существенная деталь: Paypal благоволил разводилам. В чем была суть? Пейпал не признавал крипту товаром или услугой, поэтому при попытке продать крипту через пейпал кому то, вы могли обнаружить что этот кто-то накатал жалобу мол он отправил деньги и ничего не получил. Пейпал возвращал ему деньги, а вы по итогу оставались и без крипты и без денег. Это был настолько распространенный развод, что во многих гайдах ему уделяли первые строчки.
Сейчас же Пейпал занял другую позицию (не можешь уничтожить - возглавь) но ясное дело сделал это в своей извращенной манере, по сути сделав у себя эдакое криптоказино. Вы можете купить крипту, но переслать вы ее на криптокошелек вне системы Пейпала не можете.
К тому же, Пейпал ввел так называемые "обучающие материалы". Вот что по этому поводу пишет Антонопулус:
"On one hand, the service will be entirely custodial, meaning users will not have the key to their own coins, while on the other they intend to “provide account holders with educational content to help them understand the cryptocurrency ecosystem”. The idea that anyone informed about bitcoin would agree to not holding their private keys might indicate that this educational content will overlook the fundamental rule of “Not your keys; not your coins”
Я тоже с этого порядком хохотнул, классическая ситуация "уловки 22".
Вообщем статью советую к прочтению. А также советую слать в пешее эротическое все кастодиальные сервисы.
Упустил как то отличную статью от Антонопулуса насчет того, принятие крипты Пейпалом это добро или зло
Подписываюсь под каждым его словом, в особенности под негативным отношением Paypal к криптовалютам. Помимо того, что глава этой конторы называл крипту "величайшим скамом" (ссылка в статье) была более существенная деталь: Paypal благоволил разводилам. В чем была суть? Пейпал не признавал крипту товаром или услугой, поэтому при попытке продать крипту через пейпал кому то, вы могли обнаружить что этот кто-то накатал жалобу мол он отправил деньги и ничего не получил. Пейпал возвращал ему деньги, а вы по итогу оставались и без крипты и без денег. Это был настолько распространенный развод, что во многих гайдах ему уделяли первые строчки.
Сейчас же Пейпал занял другую позицию (не можешь уничтожить - возглавь) но ясное дело сделал это в своей извращенной манере, по сути сделав у себя эдакое криптоказино. Вы можете купить крипту, но переслать вы ее на криптокошелек вне системы Пейпала не можете.
К тому же, Пейпал ввел так называемые "обучающие материалы". Вот что по этому поводу пишет Антонопулус:
"On one hand, the service will be entirely custodial, meaning users will not have the key to their own coins, while on the other they intend to “provide account holders with educational content to help them understand the cryptocurrency ecosystem”. The idea that anyone informed about bitcoin would agree to not holding their private keys might indicate that this educational content will overlook the fundamental rule of “Not your keys; not your coins”
Я тоже с этого порядком хохотнул, классическая ситуация "уловки 22".
Вообщем статью советую к прочтению. А также советую слать в пешее эротическое все кастодиальные сервисы.
Medium
Why you should not use Paypal for Bitcoin
Today, PayPal announced that they will be launching a cryptocurrency digital wallet for buying, selling and storing Bitcoin, Ethereum…
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #пароли #2fa
Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.
"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"
Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.
Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)
И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))
Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.
Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).
Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)
А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))
Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.
"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"
Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.
Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)
И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))
Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.
Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).
Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)
А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))
Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
CyberNews
The password hassle: a strong one is no longer enough
A strong password is a must, though not enough to protect yourself or your employer from intrusion.
Forwarded from Crypto Lemon (Lemon)
#hack #social_engineering #защита_инвестиций
Уже мы пришли к тому, что криптографические технологии настолько продвинулись, что тупой брутфорс практически потерял актуальность. Даже его переосмысление, как то атаки на основы словарей или "радужные таблицы" могут помочь только в ограниченных случаях. На первое место выходит социальная инженерия.
Здесь совпали несколько факторов: Нынешнее интернет поколение довольно лениво (не сравнить с гиками 90х) и не любит думать и мир перенасыщен информацией, просто нет возможности глубокой верификации, людям приходится использовать множество допущений и часто доверять/отбрасывать информацию. К тому же, люди переносят практики оффлайн мира на мир виртуальный, что не есть верно. Вот результат
Мошенники сидят в Дискорде Opensea, подбирают жертву, пишут ей в лс представляясь тех поддержкой и далее очень интересно разводят:
"Мошенники связываются в видеосвязи и просят показать экран. Затем они заявляют, что расширение MetaMask для браузера Chrome необходимо синхронизировать повторно через мобильное приложение MetaMask. Синхронизация мобильного кошелька с кошельком в Chrome осуществляется через настройки расширения, которое после ввода пароля выводит на экран QR-код. Расширение при этом предупреждает, что демонстрация QR-кода посторонним недопустима, так как его сканирование позволяет автоматически импортировать кошелек на мобильное устройство."
Здесь вот сыграли роль жти два фактора: Художник-жертва поверил, что ему написала служба поддержки (не верифицировал). Перенес практику с оффлайна (сотрудники банка не будут врать, и в случае чего их притянут к ответственности а банк компенсирует потери) на крипту и конечно же, самое важное: поленился минимально разобраться в технологи Wallet connect и проигнорировал предупреждение Метамаска. Хакеры ускакали в закат с его деньгами и нфт.
Довольно неприятный момент, что часто люди "закрываются в себе" после такого: мол крипта это скам, все эти технологии чтобы развести честных трудяг и тд и тп.
Поэтому всегда будьте внимательны, потому что основная цель любой атаки на ваши сбережения - это вы.
Уже мы пришли к тому, что криптографические технологии настолько продвинулись, что тупой брутфорс практически потерял актуальность. Даже его переосмысление, как то атаки на основы словарей или "радужные таблицы" могут помочь только в ограниченных случаях. На первое место выходит социальная инженерия.
Здесь совпали несколько факторов: Нынешнее интернет поколение довольно лениво (не сравнить с гиками 90х) и не любит думать и мир перенасыщен информацией, просто нет возможности глубокой верификации, людям приходится использовать множество допущений и часто доверять/отбрасывать информацию. К тому же, люди переносят практики оффлайн мира на мир виртуальный, что не есть верно. Вот результат
Мошенники сидят в Дискорде Opensea, подбирают жертву, пишут ей в лс представляясь тех поддержкой и далее очень интересно разводят:
"Мошенники связываются в видеосвязи и просят показать экран. Затем они заявляют, что расширение MetaMask для браузера Chrome необходимо синхронизировать повторно через мобильное приложение MetaMask. Синхронизация мобильного кошелька с кошельком в Chrome осуществляется через настройки расширения, которое после ввода пароля выводит на экран QR-код. Расширение при этом предупреждает, что демонстрация QR-кода посторонним недопустима, так как его сканирование позволяет автоматически импортировать кошелек на мобильное устройство."
Здесь вот сыграли роль жти два фактора: Художник-жертва поверил, что ему написала служба поддержки (не верифицировал). Перенес практику с оффлайна (сотрудники банка не будут врать, и в случае чего их притянут к ответственности а банк компенсирует потери) на крипту и конечно же, самое важное: поленился минимально разобраться в технологи Wallet connect и проигнорировал предупреждение Метамаска. Хакеры ускакали в закат с его деньгами и нфт.
Довольно неприятный момент, что часто люди "закрываются в себе" после такого: мол крипта это скам, все эти технологии чтобы развести честных трудяг и тд и тп.
Поэтому всегда будьте внимательны, потому что основная цель любой атаки на ваши сбережения - это вы.
WHATTONEWS – Новости криптовалют
Мошенники атаковали пользователей платформы OpenSea
Пользователи маркетплейса невзаимозаменяемых токенов OpenSea становятся жертвами активной мошеннической кампании в мессенджере Discord, направленной на
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #оффлайн_нападения #Важно
https://www.youtube.com/watch?v=_w13NvN3pug
Пересказывать новость не буду, полагаю уже название говорит само за себя.
Давайте разберем некоторые моменты этой истории:
1. Работали по наводке
Полагаю сам проговорился. Но это в принципе и понятно. Время играет против вас, и сохранять в секрете такие вот хобби предельно сложно
2. Работали с крышей
Биткоины человек не вернет. Грабителей возможно даже найдут и посадят, но биткоины утекли безвозвратно тем, кто этих двух оболтусов и нанял
3. Человек не озаботился о своей безопасности
Держал все активы на бирже/кошельке.
Я уже несколько раз разбирал интересный алгоритм защиты, предложенный Антонопулусом, суть которого заключается в том, что вы разбиваете активы на несколько кошельков. Далее, у вас должны быть два особых кошелька: кошелек для основного количества активов (крипты) и второй, тоже довольно жирный, который будет отыгрывать роль "хвоста ящерицы", именно для вот таких вот ситуаций. В случае чего, вы отдаете этот кошелек грабителям. Да, часть активов утеряна, но это лучше чем потерять все.
В этой ситуации оно бы выглядело примерно так: несколько горячих кошельков с общей суммой до 3 бтц, один холодный на 50 бтц и "хвост ящерицы" на 20-25 бтц. На определенном моменте можно бы было "сбросить хвост", остаться целым, но при этом сохранить большую часть сбережений.
Опять таки, важное замечание: Этот способ работает только если грабители не в курсе сколько у вас точно крипты. А это они могут узнать только если у вас самих язык до колен и вы не умеете держать рот закрытым.
А вообще, ужас этой ситуации в том, что все люди - существа высоко социальные животные (за редким исключением на уровне стат.погрешности). Следовательно, чтобы не выпасть из социума нам необходимо постоянно играть в социальные игры и подавать правильные сигналы окружающим. В нынешнем мире это в первую очередь сигналы материальной обеспеченности и успешности. Проблема крипто трейдеров, майнеров и прочих людей из "серой зоны" деятельности как раз в том, что не подавать сигналы нельзя, а подавая их люди подвергают себя значительному риску, вплоть до вот таких новостей.
Что здесь можно посоветовать? Единственное что сразу приходит на ум, это найти себе хорошую работу, чтобы люди не задавались ненужными вопросами, по типу "а откуда к него деньги?".
https://www.youtube.com/watch?v=_w13NvN3pug
Пересказывать новость не буду, полагаю уже название говорит само за себя.
Давайте разберем некоторые моменты этой истории:
1. Работали по наводке
Полагаю сам проговорился. Но это в принципе и понятно. Время играет против вас, и сохранять в секрете такие вот хобби предельно сложно
2. Работали с крышей
Биткоины человек не вернет. Грабителей возможно даже найдут и посадят, но биткоины утекли безвозвратно тем, кто этих двух оболтусов и нанял
3. Человек не озаботился о своей безопасности
Держал все активы на бирже/кошельке.
Я уже несколько раз разбирал интересный алгоритм защиты, предложенный Антонопулусом, суть которого заключается в том, что вы разбиваете активы на несколько кошельков. Далее, у вас должны быть два особых кошелька: кошелек для основного количества активов (крипты) и второй, тоже довольно жирный, который будет отыгрывать роль "хвоста ящерицы", именно для вот таких вот ситуаций. В случае чего, вы отдаете этот кошелек грабителям. Да, часть активов утеряна, но это лучше чем потерять все.
В этой ситуации оно бы выглядело примерно так: несколько горячих кошельков с общей суммой до 3 бтц, один холодный на 50 бтц и "хвост ящерицы" на 20-25 бтц. На определенном моменте можно бы было "сбросить хвост", остаться целым, но при этом сохранить большую часть сбережений.
Опять таки, важное замечание: Этот способ работает только если грабители не в курсе сколько у вас точно крипты. А это они могут узнать только если у вас самих язык до колен и вы не умеете держать рот закрытым.
А вообще, ужас этой ситуации в том, что все люди - существа высоко социальные животные (за редким исключением на уровне стат.погрешности). Следовательно, чтобы не выпасть из социума нам необходимо постоянно играть в социальные игры и подавать правильные сигналы окружающим. В нынешнем мире это в первую очередь сигналы материальной обеспеченности и успешности. Проблема крипто трейдеров, майнеров и прочих людей из "серой зоны" деятельности как раз в том, что не подавать сигналы нельзя, а подавая их люди подвергают себя значительному риску, вплоть до вот таких новостей.
Что здесь можно посоветовать? Единственное что сразу приходит на ум, это найти себе хорошую работу, чтобы люди не задавались ненужными вопросами, по типу "а откуда к него деньги?".
YouTube
Кража века: у безработного украли 370 млн в биткоинах
⭕️Подпишитесь на канал 360: https://www.youtube.com/360tvru?sub_confirmation=1
Практически кража века произошла в Томске. У безработного жителя украли 85 биткоинов на 370 миллионов рублей. По версии следствия, мужчина в медицинской маске с приятелем поджидал…
Практически кража века произошла в Томске. У безработного жителя украли 85 биткоинов на 370 миллионов рублей. По версии следствия, мужчина в медицинской маске с приятелем поджидал…
Forwarded from Crypto Lemon (Lemon)
#метаданные #защита_инвестиций
Ребята, вы думаете я шутил когда говорил о том, что нужно уметь чистить exif файлов, перед тем как заливать их куда то?
Вот читали бы мой канал, включали мозги, и не попались бы на такой лаже. На скриншотах можете наблюдать практически все метаданные, которые хранит в себе видео/фотография
Вообще, чистить логирование, если вы серъезнач организация или имеете определенные планы тоже нужно уметь. Большинство программ чистят только хедеры, и то не все. А вот ведь часто остаются помимо этого также разные логи подключений и прочее (если мы о девайсах говорим), и в случае чего по ним вас могут очень легко вычислить. Например флешка в логах пишет и сохраняет устройства к которым была подключена. И если на флешке было что то интересное, то могут найти и устройство к которому она последний раз подключалась.
Имейте это ввиду. А то будете как эти.
Ребята, вы думаете я шутил когда говорил о том, что нужно уметь чистить exif файлов, перед тем как заливать их куда то?
Вот читали бы мой канал, включали мозги, и не попались бы на такой лаже. На скриншотах можете наблюдать практически все метаданные, которые хранит в себе видео/фотография
Вообще, чистить логирование, если вы серъезнач организация или имеете определенные планы тоже нужно уметь. Большинство программ чистят только хедеры, и то не все. А вот ведь часто остаются помимо этого также разные логи подключений и прочее (если мы о девайсах говорим), и в случае чего по ним вас могут очень легко вычислить. Например флешка в логах пишет и сохраняет устройства к которым была подключена. И если на флешке было что то интересное, то могут найти и устройство к которому она последний раз подключалась.
Имейте это ввиду. А то будете как эти.