Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций
Так ребята, кто из вас любит хранить крипту не на специальных аппаратных кошельках или же дома на ноутбуке, а например на телефоне, а?)
Ну думаю не мало людей, оно ведь и понятно: мобильно (извиняйте за каламбур), удобно, быстрый доступ, просто и понятно.
А как вам тогда понравится подбородка вот таких вот новостей, а?
Парень сдал в ремонт айфон, с него пропали биткоины на сумму 250 тысяч долларов:
https://ain.ua/2019/04/03/s-iphone-ugnali-bitcoiny/
Киберполицейские изъяли телефон у подозреваемого. После этого с него пропали $7400 в биткоинах: https://t.co/h4FbwVviPT
И это как вы понимаете первые две верхние ссылки в выдаче поиска. Дальше там тоже полно интересностей насчет разных способов воровства с мобильных телефонов всего что можно.
Нужно понимать, что некоторые вещи не совмещаются. Например, нельзя совместить мультизадачность, удобство и простоту с безопасностью и надежностью. Никакой смартфон никогда (здесь я имею ввиду ближайшее будущее) не будет иметь все это вместе. По многим причинам.
К примеру чем чаще используется девайс, тем выше вероятность потери средств (по любому поводу, будь то вирус или мусора из киберполиции), при этом (!!!) у смартфонов нет защиты от ошибок (в первую очередь от хозяина) назовем это так. В аппаратном кошельке к примеру есть устойчивость ко взлому ввиде собственно защиты программной, а также защиты от дурака которая выражается в невозможности использовать его не по назначению (не залезете же вы на зараженный порносайт с Леджера?)
Смартфон это всегда основная цель программных атак (Андроид дырявый), цель кражи (гопники на улице или менты), он всегда подвержен опасности взлома "сервисными работниками" (те же гопники только в форме). При этом его нельзя спрятать. Леджер или даже обычная шифрованная флешка этому всему не подвержена (даже обыску, все ведь смотрели Криминальное Чтиво и помнят сцену с часами? )
Так что не майтесь глупостями. Храните все там, где для этого лучшие условия или же держите на телефоне те суммы которые не жалко потерять (ну мб вам и 250к не жалко, кто ж вас знает).
Это все я написал в преддверии выхода нового супер секьюрного телефона HTC со встроенной нодой Core (спойлер: полная херня из-за выше сказанного , к тому же ноду можно перекомпилить как угодно, а потом не поедете же вы судиться с Тайванем, а?)
Так ребята, кто из вас любит хранить крипту не на специальных аппаратных кошельках или же дома на ноутбуке, а например на телефоне, а?)
Ну думаю не мало людей, оно ведь и понятно: мобильно (извиняйте за каламбур), удобно, быстрый доступ, просто и понятно.
А как вам тогда понравится подбородка вот таких вот новостей, а?
Парень сдал в ремонт айфон, с него пропали биткоины на сумму 250 тысяч долларов:
https://ain.ua/2019/04/03/s-iphone-ugnali-bitcoiny/
Киберполицейские изъяли телефон у подозреваемого. После этого с него пропали $7400 в биткоинах: https://t.co/h4FbwVviPT
И это как вы понимаете первые две верхние ссылки в выдаче поиска. Дальше там тоже полно интересностей насчет разных способов воровства с мобильных телефонов всего что можно.
Нужно понимать, что некоторые вещи не совмещаются. Например, нельзя совместить мультизадачность, удобство и простоту с безопасностью и надежностью. Никакой смартфон никогда (здесь я имею ввиду ближайшее будущее) не будет иметь все это вместе. По многим причинам.
К примеру чем чаще используется девайс, тем выше вероятность потери средств (по любому поводу, будь то вирус или мусора из киберполиции), при этом (!!!) у смартфонов нет защиты от ошибок (в первую очередь от хозяина) назовем это так. В аппаратном кошельке к примеру есть устойчивость ко взлому ввиде собственно защиты программной, а также защиты от дурака которая выражается в невозможности использовать его не по назначению (не залезете же вы на зараженный порносайт с Леджера?)
Смартфон это всегда основная цель программных атак (Андроид дырявый), цель кражи (гопники на улице или менты), он всегда подвержен опасности взлома "сервисными работниками" (те же гопники только в форме). При этом его нельзя спрятать. Леджер или даже обычная шифрованная флешка этому всему не подвержена (даже обыску, все ведь смотрели Криминальное Чтиво и помнят сцену с часами? )
Так что не майтесь глупостями. Храните все там, где для этого лучшие условия или же держите на телефоне те суммы которые не жалко потерять (ну мб вам и 250к не жалко, кто ж вас знает).
Это все я написал в преддверии выхода нового супер секьюрного телефона HTC со встроенной нодой Core (спойлер: полная херня из-за выше сказанного , к тому же ноду можно перекомпилить как угодно, а потом не поедете же вы судиться с Тайванем, а?)
AIN.UA
Киевский айтишник сдал iPhone в ремонт в Бруклине − с него пропали $258 000 в биткоинах
Весной прошлого года киевский айтишник Игорь (попросил не указывать свои личные данные) сдал свой iPhone в ремонт в Бруклине. Смартфон признали нерабочим и выдали Игорю новый. На старом было установлено приложение для хранения криптовалюты. Владелец сильно…
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций
Новость немножко не свежая, но учитывая что я бываю слоупком, мне простительно.
Старые адреса, которые грязный конокрад Крейг Райт называл своими, написали коллективное письмо где обозвали его вруном. Но интересно здесь немного другое: а как собственно проверить, что это написали именно они, люди владеющие этими приватными ключами? (и отбросить версию что Крейг Райт сошел с ума, и сам себя называет говноедом)
Очень просто, в одном из моих старых постов я приводил подборку сервисов для верификации подписей в сети биткоин, но вот нашел еще один интересный сервис - https://tools.bitcoin.com/verify-message/
Это если вы собираетесь проверять подписи, быстрее и секьюрнее это конечно сделать онлайн, не запуская Электрум или другой биткоин кошелек. В самом Электруме переходим во вкладку tools/инструменты и далее в sign/verify message
Электрум намного удобнее если вам надо проверить подпись, кто что написал, и потом сразу же ответить, при этом подписав сообщение своим ключом.
Для понимания, зачем вообще это нужно, можно обратиться к самой сути биткоина, каждый раз когда вы отправляете транзакцию, вы предоставляете подпись, что даже, именно вы и есть владелец этого адреса и можете распоряжаться средствами (обновить в памяти как работают транзакции можно в этом посте). Только в кошельках это делается автоматически, по заранее стандартизированному скрипту.
А так, подписывают сообщения очень часто. Например, вы проворачиваете с партнером с Америки онлайн сделку. Сумма на десятки битков, и надо быть уверенным что вот то, что он вам написал только что, это именно его слова а не переиначенные каким то "человеком посредине" (MITM attack). Он подписывает сообщение, и вы уже спокойны (ведь приватник которым он подписал, он у него, на оффлайн машине или аппаратном кошельке, откуда не украдут просто так).
Или же вам надо создать дополнительный уровень защиты, когда вы не уверены что по почте все будет окей, вы пишете адрес, сообщение, подписываете его и все, даже если ваша почта будет взломана (а зная подвязанный номер телефона это вполне возможно), то вы всегда сможете просто повторить действие выше, и все будут знать что вы это вы.
Или на крайняк, вы выпендриваетесь перед дамами в клубе, мол вы крутой крипто инвестор, и у вас десятки биткоинов. "А как докажешь то, а?", спрашивают вас дамы. Ну не будете же вы им что то переводить с адреса (раньше был популярен развод в сети, на слабо). Вы, берете, показываете им ваш жирный биткоин адрес, подписываете любое сообщение, и все, видно что именно вы владелец этих средств. И потом можете звать их к себе домой 😏
Крайне не советую делать как в ситуации выше, если вы конечно не хотите встретиться с Павлом Няшиным, но хотел вам показать разнообразие вариантов. И в моих примерах даже нет и десятой части того, где это можно использовать! Очень вариативная и полезная штука 😌
Новость немножко не свежая, но учитывая что я бываю слоупком, мне простительно.
Старые адреса, которые грязный конокрад Крейг Райт называл своими, написали коллективное письмо где обозвали его вруном. Но интересно здесь немного другое: а как собственно проверить, что это написали именно они, люди владеющие этими приватными ключами? (и отбросить версию что Крейг Райт сошел с ума, и сам себя называет говноедом)
Очень просто, в одном из моих старых постов я приводил подборку сервисов для верификации подписей в сети биткоин, но вот нашел еще один интересный сервис - https://tools.bitcoin.com/verify-message/
Это если вы собираетесь проверять подписи, быстрее и секьюрнее это конечно сделать онлайн, не запуская Электрум или другой биткоин кошелек. В самом Электруме переходим во вкладку tools/инструменты и далее в sign/verify message
Электрум намного удобнее если вам надо проверить подпись, кто что написал, и потом сразу же ответить, при этом подписав сообщение своим ключом.
Для понимания, зачем вообще это нужно, можно обратиться к самой сути биткоина, каждый раз когда вы отправляете транзакцию, вы предоставляете подпись, что даже, именно вы и есть владелец этого адреса и можете распоряжаться средствами (обновить в памяти как работают транзакции можно в этом посте). Только в кошельках это делается автоматически, по заранее стандартизированному скрипту.
А так, подписывают сообщения очень часто. Например, вы проворачиваете с партнером с Америки онлайн сделку. Сумма на десятки битков, и надо быть уверенным что вот то, что он вам написал только что, это именно его слова а не переиначенные каким то "человеком посредине" (MITM attack). Он подписывает сообщение, и вы уже спокойны (ведь приватник которым он подписал, он у него, на оффлайн машине или аппаратном кошельке, откуда не украдут просто так).
Или же вам надо создать дополнительный уровень защиты, когда вы не уверены что по почте все будет окей, вы пишете адрес, сообщение, подписываете его и все, даже если ваша почта будет взломана (а зная подвязанный номер телефона это вполне возможно), то вы всегда сможете просто повторить действие выше, и все будут знать что вы это вы.
Или на крайняк, вы выпендриваетесь перед дамами в клубе, мол вы крутой крипто инвестор, и у вас десятки биткоинов. "А как докажешь то, а?", спрашивают вас дамы. Ну не будете же вы им что то переводить с адреса (раньше был популярен развод в сети, на слабо). Вы, берете, показываете им ваш жирный биткоин адрес, подписываете любое сообщение, и все, видно что именно вы владелец этих средств. И потом можете звать их к себе домой 😏
Крайне не советую делать как в ситуации выше, если вы конечно не хотите встретиться с Павлом Няшиным, но хотел вам показать разнообразие вариантов. И в моих примерах даже нет и десятой части того, где это можно использовать! Очень вариативная и полезная штука 😌
Telegram
Crypto Lemon
#полезные_сервисы
Иногда у многих может возникнуть необходимость верифицировать некоторое подписанное (по сути, зашифрованное) сообщение с помощью чужого адреса. Например в случае сделок через эскроу, верификации личности подписанта или других финансовых…
Иногда у многих может возникнуть необходимость верифицировать некоторое подписанное (по сути, зашифрованное) сообщение с помощью чужого адреса. Например в случае сделок через эскроу, верификации личности подписанта или других финансовых…
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #Важно
К предыдущему посту...
Как безопасно и удобно хранить разные суммы биткоинов для разных целей
Сделаю короткий очерк интересного способа, без лишних углублений (кому нужно будет сам продолжит).
Нам необходимо иметь много разных аккаунтов (например для рекламы, для получения донатов, для хранения жирных сумм, пару кошельков обманок), да так, чтобы компроментация одного кошелька/адреса не приводила автоматом к потере всех средств.
Сразу небось приходит в голову идея хранить n-е количество приватников на бумажке и использовать их?) Но это во первых, жутко неудобно, во вторых, не очень то и безопасно, так как такой способ невероятно уязвим к человеческой ошибке (например жена ваша убиралась и выбросила все бумажки :) )
Есть способ получше (благодаря BIP39, BIP44): Seed + passphrase
1. Генерируете сид в любом кошельке (лучше если 24 слова, но с 12-ю тоже работать будет)
2. Придумываете собственно passphrase которая и не простая (хотябы уровня слабого пароля. Как делать пароли вот у меня пост) но и которую вы никогда не забудете.
3. Добавляете до passphrase соль, которая будет соответствовать нужному вам кошельку. Это может быть как "01", "02", "03" так и например связка passphraseCOMMERCIAL .
Собственно эту связку, passphrase + соль (salt) используете как аргумент в оффлайн утилите генерации хэшей (подойдет любой, хотя нет, md5 и такое старье лучше не брать. Выбирайте sha1-sha2) и вот собственно получившийся хэш используете как 25-е слово к сиду. Вот как это будет примерно выглядеть:
1. (Первый кошелек): seed + sha2("passphrase-которую-я-всегда-помню01")
2. (Второй): seed + sha2("passphrase-которую-я-всегда-помню02")
Сложно? :)
Что оно дает:
1. Высокую секьюрность. Условному хакеру нужно узнать сид + алгоритм генерации (выше только один ИЗ возможных) + мастер пароль (passphrase ваша которую вы всегда помните). Тот же сид, можно хоть на лбу себе написать, без алгоритма деривации и мастер пароля от него толку немного.
2. Высокую гибкость. Для каждой цели у вас своя связка сид + мастер пароль, которые довольно сложно забыть. Также, вы можете с нужной вам связки взять xPub (вот здесь например - https://iancoleman.io/bip39/) генерировать новые адреса под каждую новую транзакцию (например xPub от связки seed + sha2("passphraseCOMMERCIAL") )
3. Высокую мобильность. Закинули сид в инстраграм, пароль и способ деривации у вас в голове, и провезли даже через самую внимательную границу хоть миллион биткоинов.
Вот так то, биткоин изящный и гениальный :)
Пару полезных ссылочек для самостоятельного ознакомления:
1. https://wiki.trezor.io/Passphrase#:~:text=Passphrase%20is%20an%20optional%20feature,device%20or%20the%20recovery%20seed
2. https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki
3. https://github.com/bitcoin/bips/blob/master/bip-0044.mediawiki
К предыдущему посту...
Как безопасно и удобно хранить разные суммы биткоинов для разных целей
Сделаю короткий очерк интересного способа, без лишних углублений (кому нужно будет сам продолжит).
Нам необходимо иметь много разных аккаунтов (например для рекламы, для получения донатов, для хранения жирных сумм, пару кошельков обманок), да так, чтобы компроментация одного кошелька/адреса не приводила автоматом к потере всех средств.
Сразу небось приходит в голову идея хранить n-е количество приватников на бумажке и использовать их?) Но это во первых, жутко неудобно, во вторых, не очень то и безопасно, так как такой способ невероятно уязвим к человеческой ошибке (например жена ваша убиралась и выбросила все бумажки :) )
Есть способ получше (благодаря BIP39, BIP44): Seed + passphrase
1. Генерируете сид в любом кошельке (лучше если 24 слова, но с 12-ю тоже работать будет)
2. Придумываете собственно passphrase которая и не простая (хотябы уровня слабого пароля. Как делать пароли вот у меня пост) но и которую вы никогда не забудете.
3. Добавляете до passphrase соль, которая будет соответствовать нужному вам кошельку. Это может быть как "01", "02", "03" так и например связка passphraseCOMMERCIAL .
Собственно эту связку, passphrase + соль (salt) используете как аргумент в оффлайн утилите генерации хэшей (подойдет любой, хотя нет, md5 и такое старье лучше не брать. Выбирайте sha1-sha2) и вот собственно получившийся хэш используете как 25-е слово к сиду. Вот как это будет примерно выглядеть:
1. (Первый кошелек): seed + sha2("passphrase-которую-я-всегда-помню01")
2. (Второй): seed + sha2("passphrase-которую-я-всегда-помню02")
Сложно? :)
Что оно дает:
1. Высокую секьюрность. Условному хакеру нужно узнать сид + алгоритм генерации (выше только один ИЗ возможных) + мастер пароль (passphrase ваша которую вы всегда помните). Тот же сид, можно хоть на лбу себе написать, без алгоритма деривации и мастер пароля от него толку немного.
2. Высокую гибкость. Для каждой цели у вас своя связка сид + мастер пароль, которые довольно сложно забыть. Также, вы можете с нужной вам связки взять xPub (вот здесь например - https://iancoleman.io/bip39/) генерировать новые адреса под каждую новую транзакцию (например xPub от связки seed + sha2("passphraseCOMMERCIAL") )
3. Высокую мобильность. Закинули сид в инстраграм, пароль и способ деривации у вас в голове, и провезли даже через самую внимательную границу хоть миллион биткоинов.
Вот так то, биткоин изящный и гениальный :)
Пару полезных ссылочек для самостоятельного ознакомления:
1. https://wiki.trezor.io/Passphrase#:~:text=Passphrase%20is%20an%20optional%20feature,device%20or%20the%20recovery%20seed
2. https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki
3. https://github.com/bitcoin/bips/blob/master/bip-0044.mediawiki
iancoleman.io
BIP39 - Mnemonic Code
bitcoin mnemonic converter