#Trezor #защита_инвестиций
Вторая основная проблема любого апаратного кошелька (Первая - это человеческая тупость и лень) это то, что они не являются полностью закрытыми криптосистемами (большинство).
Тоесть, для того, чтобы аппаратник выполнял свою роль "кошелька" вам необходимо его подключить к другому устройству, которое ответственно за многие функции (от формирования неподписанных транзакций до восстановления кошелька). Благодаря этому, количество потенциальных векторов атаки также возрастает многократно.
К примеру, для восстановления кошелька по сид фразе в Trezor One и Ledger Nano S, необходимо эту сид фразу ввести с клавиатуры компьютера/телефона. Здесь нас и поджидают добрые кейлогеры, а если вы достаточно умен чтобы пользоваться виртуальной клавиатурой, все равно можно пасть жертвой программ делающих скриншоты вашего рабочего стола (это не говоря о том, что они даже не обязательны. Есть возможность считывать координаты мышки, и зная раскладку клавиатуры в случае чего восстановить ваш пароль/сид).
В дорогих моделях что ledger-a что Trezor-a есть возможность вводить слова с сенсорного экрана, поэтому там такой проблемы нет. Но мы же с вами не братья Богдановы хранящие сотни биткоинов. Здесь как бы жабу победить чтобы Trezor One заказать. Следовательно, в таком случае есть другие выходы:
Не знаю как ledger-e (и после историй со взломом полагаю, что никогда и не узнаю) но в Trezor-e давно уже есть чудесная функция "безопасного восстановления кошелька" (advanced recovery). Буду честным, сам узнал о ней только недавно.
Как видите, заскринить ничего нельзя, так как данные определяющие на какое поле клацать отображаются на дисплее Трезора. И кейлогеры тоже не у дел, так как клавиатура не используется вообще!
Надеюсь, вам будет полезно :)
Вторая основная проблема любого апаратного кошелька (Первая - это человеческая тупость и лень) это то, что они не являются полностью закрытыми криптосистемами (большинство).
Тоесть, для того, чтобы аппаратник выполнял свою роль "кошелька" вам необходимо его подключить к другому устройству, которое ответственно за многие функции (от формирования неподписанных транзакций до восстановления кошелька). Благодаря этому, количество потенциальных векторов атаки также возрастает многократно.
К примеру, для восстановления кошелька по сид фразе в Trezor One и Ledger Nano S, необходимо эту сид фразу ввести с клавиатуры компьютера/телефона. Здесь нас и поджидают добрые кейлогеры, а если вы достаточно умен чтобы пользоваться виртуальной клавиатурой, все равно можно пасть жертвой программ делающих скриншоты вашего рабочего стола (это не говоря о том, что они даже не обязательны. Есть возможность считывать координаты мышки, и зная раскладку клавиатуры в случае чего восстановить ваш пароль/сид).
В дорогих моделях что ledger-a что Trezor-a есть возможность вводить слова с сенсорного экрана, поэтому там такой проблемы нет. Но мы же с вами не братья Богдановы хранящие сотни биткоинов. Здесь как бы жабу победить чтобы Trezor One заказать. Следовательно, в таком случае есть другие выходы:
Не знаю как ledger-e (и после историй со взломом полагаю, что никогда и не узнаю) но в Trezor-e давно уже есть чудесная функция "безопасного восстановления кошелька" (advanced recovery). Буду честным, сам узнал о ней только недавно.
Как видите, заскринить ничего нельзя, так как данные определяющие на какое поле клацать отображаются на дисплее Трезора. И кейлогеры тоже не у дел, так как клавиатура не используется вообще!
Надеюсь, вам будет полезно :)
YouTube
Trezor Wallet Advanced Recovery Using 24 Word Seed Bitcoin Litecoin
Get Your Trezor Wallet here: https://shop.trezor.io?a=cryptomined.com
Watch this video tutorial and learn how to use Advanced Recovery to restore your Trezor Wallet using your 24 word Mnemonic seed.
The best way to support the channel is to use the store:…
Watch this video tutorial and learn how to use Advanced Recovery to restore your Trezor Wallet using your 24 word Mnemonic seed.
The best way to support the channel is to use the store:…
#Ledger #защита_инвестиций
Так, мне уже третий раз пишут что в своем посте о Трезоре я неправильно написал насчет Леджера, мол там похожая функция также есть.
Несмотря то, что я писал что "я не знаю как в Леджере и не узнаю" (я уже привык что многие люди у нас читают и видят то, что хотят увидеть) все же ради справедливости полагаю стоит написать, что у Леджера похожая функция тоже есть.
Она выглядит немного иначе: Вы клавишами выбираете первоначальные буквы слова, а потом Леджер предлагает вам варианты что это за слово. И так 12/25/24 итерации.
Тоже секьюрно, пишу без сарказма.
Так, мне уже третий раз пишут что в своем посте о Трезоре я неправильно написал насчет Леджера, мол там похожая функция также есть.
Несмотря то, что я писал что "я не знаю как в Леджере и не узнаю" (я уже привык что многие люди у нас читают и видят то, что хотят увидеть) все же ради справедливости полагаю стоит написать, что у Леджера похожая функция тоже есть.
Она выглядит немного иначе: Вы клавишами выбираете первоначальные буквы слова, а потом Леджер предлагает вам варианты что это за слово. И так 12/25/24 итерации.
Тоже секьюрно, пишу без сарказма.
Telegram
Crypto Lemon
#Trezor #защита_инвестиций
Вторая основная проблема любого апаратного кошелька (Первая - это человеческая тупость и лень) это то, что они не являются полностью закрытыми криптосистемами (большинство).
Тоесть, для того, чтобы аппаратник выполнял свою роль…
Вторая основная проблема любого апаратного кошелька (Первая - это человеческая тупость и лень) это то, что они не являются полностью закрытыми криптосистемами (большинство).
Тоесть, для того, чтобы аппаратник выполнял свою роль…
#защита_инвестиций #2fa #пароли
Наткнулся на интересную статью где показывается секьюрность аутентификации используя (и комбинируя) разные методы - https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model-2/
Номер 1 - самый лучший способ, и дальше вниз до худшего. Могу немного дополнить:
5й пункт, "Качественные пароли" для вас, как для пользователя, опасен совсем не тем, что пароль взломают или сдампят (как указано в vulnerabilities на сайте), а тем, что вы его просто напросто забудете )) Люди создают или хорошие пароли и их забывают, или легко взламываемую фигню которую легко взломать.
Также, несмотря на то, что пункт аутентификация по SMS стоит выше менеджера паролей (как например Keepassxc), но учитывая проблемы смс которые можно перехватывать через смс сервисы или sim swapping, я бы сказал что он более опасен. SMS добавляет много векторов атак, особенно если сервис куда вы авторизируетесь позволяет сбросить пароль через sms/email (в таком случае полная беда беда)
А так да, лучший совет это иметь менеджер паролей, а для 2fa иметь гугл аутентификатор. (Первый вариант обсуждать не будем, когда то потом расскажу почему)
Наткнулся на интересную статью где показывается секьюрность аутентификации используя (и комбинируя) разные методы - https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model-2/
Номер 1 - самый лучший способ, и дальше вниз до худшего. Могу немного дополнить:
5й пункт, "Качественные пароли" для вас, как для пользователя, опасен совсем не тем, что пароль взломают или сдампят (как указано в vulnerabilities на сайте), а тем, что вы его просто напросто забудете )) Люди создают или хорошие пароли и их забывают, или легко взламываемую фигню которую легко взломать.
Также, несмотря на то, что пункт аутентификация по SMS стоит выше менеджера паролей (как например Keepassxc), но учитывая проблемы смс которые можно перехватывать через смс сервисы или sim swapping, я бы сказал что он более опасен. SMS добавляет много векторов атак, особенно если сервис куда вы авторизируетесь позволяет сбросить пароль через sms/email (в таком случае полная беда беда)
А так да, лучший совет это иметь менеджер паролей, а для 2fa иметь гугл аутентификатор. (Первый вариант обсуждать не будем, когда то потом расскажу почему)
Unsupervised Learning
Unsupervised Learning is a Security, AI, and Meaning-focused newsletter & podcast that looks at how best to thrive as humans in a post-AI world. It combines original ideas, analysis, and mental models to bring not just the news, but why it matters and how…
#защита_инвестиций #хакинг #соц_инженерия
"Ой ой, зачем нам думать своей головой?!? Разработчики софта и железа подумают за нас и наши денежки"
Ну вот и результат - влетел мужик (сначала написал "мудик", совпадение?) на 17 биткоинов установив фишинговое приложение с Appstore.
Я даже не могу полностью винить только его: когда целенаправленно десятилетиями людей мотивировать быть ленивыми идиотами, то что ты от них в итоге ожидаешь? Это я про Эппл и прочие экосистемы где у пользователя отнимается возможность думать самому.
В крипте, в инфосеке и близких сферах действует только два правила:
1. Думать своей головой и надеяться только на себя
2. Do not trust - verify
Если бы этот мужчина следовал хотя бы второму правилу, в эту ситуацию он бы не попал (Он бы зашел на сайт Трезора и посмотрел, есть ли у них приложение под IOS или нет)
Но есть и положительная новость: похоже хотя бы у этого индивида спала пелена с глаз.
"But Christodoulou is angrier at Apple than at the thieves themselves: He says Apple marketed the App Store as a safe and trusted place, where each app is reviewed before it is allowed in the store.
Christodoulou, once a loyal Apple customer, said he no longer admires the company. “They betrayed the trust that I had in them,” he said in an interview. “Apple doesn’t deserve to get away with this"
Ну и поучительная история для вас, мои подписчики 😌
Как говорится - Нет худа без добра
"Ой ой, зачем нам думать своей головой?!? Разработчики софта и железа подумают за нас и наши денежки"
Ну вот и результат - влетел мужик (сначала написал "мудик", совпадение?) на 17 биткоинов установив фишинговое приложение с Appstore.
Я даже не могу полностью винить только его: когда целенаправленно десятилетиями людей мотивировать быть ленивыми идиотами, то что ты от них в итоге ожидаешь? Это я про Эппл и прочие экосистемы где у пользователя отнимается возможность думать самому.
В крипте, в инфосеке и близких сферах действует только два правила:
1. Думать своей головой и надеяться только на себя
2. Do not trust - verify
Если бы этот мужчина следовал хотя бы второму правилу, в эту ситуацию он бы не попал (Он бы зашел на сайт Трезора и посмотрел, есть ли у них приложение под IOS или нет)
Но есть и положительная новость: похоже хотя бы у этого индивида спала пелена с глаз.
"But Christodoulou is angrier at Apple than at the thieves themselves: He says Apple marketed the App Store as a safe and trusted place, where each app is reviewed before it is allowed in the store.
Christodoulou, once a loyal Apple customer, said he no longer admires the company. “They betrayed the trust that I had in them,” he said in an interview. “Apple doesn’t deserve to get away with this"
Ну и поучительная история для вас, мои подписчики 😌
Как говорится - Нет худа без добра
Crypto Lemon
#защита_инвестиций #хакинг #соц_инженерия "Ой ой, зачем нам думать своей головой?!? Разработчики софта и железа подумают за нас и наши денежки" Ну вот и результат - влетел мужик (сначала написал "мудик", совпадение?) на 17 биткоинов установив фишинговое…
#защита_инвестиций
Не Яблоком единым...
ФБ слишком часто допускает рекламу всякого скама, как вот например в этой истории.
ФБ пропустил рекламу "Клабхауса для декстопа", который на самом деле оказался вирусом-шифровальщиком (ransomware).
Вы должны понимать, что в нынешние времена, условный тупой брутфорс уходит в историю, и на первое место как раз таки выходит социальная инженерия, когда с одной стороны имеем отупленное, благодаря трендам в разработке ПО, стадо а с другой огромные наднациональные ТНК, которые слишком большие чтобы модерировать всякие мелкие скамы. Вспомните хотя бы многочисленные истории когда Гугл оплачивал несуществующие накладные. Как раз таки из-за того, что слишком большая компания с неимоверным крличеством бизнес процессов, которые отследить не по силам даже целым бухгалтерским отделам.
Просто отучивайтесь верить честности крупных сервисов. Это тот случай когда и не могут и не хотят. И больше перепроверяйте любой информации, тогда меньше вероятность что вы поставите себе какую то глупость на устройство.
И да, разбирайтесь в ЕЦП, так как очень много вирусни (особенно той, которая пытается вас нагнуть если вы подключились к плохому вай фай) пытается маскироваться под критические обновления. Открою вам тайну: производитель всегда из подписывает своим ключом, который к счастью невозможно подделать. И ваш телефон это понимает. Проблема в том, что не всегда понимает сам человек, который более ориентируется на визуальное восприятие, мол "ну выглядит же как обнова обычная, много умных слов, ыыы" и на этом его и ловят. С сайтами кстати тоже самое, правда сейчас браузеры сами вас предупреждают если сертификат подменен, просрочен или недостоверен (но опять таки, только с большимм сервисами).
Короче, море под названием "Интернет" кишит голодными акулами, пиратами и злобными туземцами (ха ха, вспомните мой пост о нигерийских хакерах) которые мечтают получить вашу крипту.
Не Яблоком единым...
ФБ слишком часто допускает рекламу всякого скама, как вот например в этой истории.
ФБ пропустил рекламу "Клабхауса для декстопа", который на самом деле оказался вирусом-шифровальщиком (ransomware).
Вы должны понимать, что в нынешние времена, условный тупой брутфорс уходит в историю, и на первое место как раз таки выходит социальная инженерия, когда с одной стороны имеем отупленное, благодаря трендам в разработке ПО, стадо а с другой огромные наднациональные ТНК, которые слишком большие чтобы модерировать всякие мелкие скамы. Вспомните хотя бы многочисленные истории когда Гугл оплачивал несуществующие накладные. Как раз таки из-за того, что слишком большая компания с неимоверным крличеством бизнес процессов, которые отследить не по силам даже целым бухгалтерским отделам.
Просто отучивайтесь верить честности крупных сервисов. Это тот случай когда и не могут и не хотят. И больше перепроверяйте любой информации, тогда меньше вероятность что вы поставите себе какую то глупость на устройство.
И да, разбирайтесь в ЕЦП, так как очень много вирусни (особенно той, которая пытается вас нагнуть если вы подключились к плохому вай фай) пытается маскироваться под критические обновления. Открою вам тайну: производитель всегда из подписывает своим ключом, который к счастью невозможно подделать. И ваш телефон это понимает. Проблема в том, что не всегда понимает сам человек, который более ориентируется на визуальное восприятие, мол "ну выглядит же как обнова обычная, много умных слов, ыыы" и на этом его и ловят. С сайтами кстати тоже самое, правда сейчас браузеры сами вас предупреждают если сертификат подменен, просрочен или недостоверен (но опять таки, только с большимм сервисами).
Короче, море под названием "Интернет" кишит голодными акулами, пиратами и злобными туземцами (ха ха, вспомните мой пост о нигерийских хакерах) которые мечтают получить вашу крипту.
TechCrunch
Facebook ran ads for a fake ‘Clubhouse for PC’ app planted with malware
Cybercriminals have taken out a number of Facebook ads masquerading as a Clubhouse app for PC users in order to target unsuspecting victims with malware, TechCrunch has learned. TechCrunch was alerted Wednesday to Facebook ads tied to several Facebook pages…
#защита_инвестиций #Важно #юмор
Упустил как то отличную статью от Антонопулуса насчет того, принятие крипты Пейпалом это добро или зло
Подписываюсь под каждым его словом, в особенности под негативным отношением Paypal к криптовалютам. Помимо того, что глава этой конторы называл крипту "величайшим скамом" (ссылка в статье) была более существенная деталь: Paypal благоволил разводилам. В чем была суть? Пейпал не признавал крипту товаром или услугой, поэтому при попытке продать крипту через пейпал кому то, вы могли обнаружить что этот кто-то накатал жалобу мол он отправил деньги и ничего не получил. Пейпал возвращал ему деньги, а вы по итогу оставались и без крипты и без денег. Это был настолько распространенный развод, что во многих гайдах ему уделяли первые строчки.
Сейчас же Пейпал занял другую позицию (не можешь уничтожить - возглавь) но ясное дело сделал это в своей извращенной манере, по сути сделав у себя эдакое криптоказино. Вы можете купить крипту, но переслать вы ее на криптокошелек вне системы Пейпала не можете.
К тому же, Пейпал ввел так называемые "обучающие материалы". Вот что по этому поводу пишет Антонопулус:
"On one hand, the service will be entirely custodial, meaning users will not have the key to their own coins, while on the other they intend to “provide account holders with educational content to help them understand the cryptocurrency ecosystem”. The idea that anyone informed about bitcoin would agree to not holding their private keys might indicate that this educational content will overlook the fundamental rule of “Not your keys; not your coins”
Я тоже с этого порядком хохотнул, классическая ситуация "уловки 22".
Вообщем статью советую к прочтению. А также советую слать в пешее эротическое все кастодиальные сервисы.
Упустил как то отличную статью от Антонопулуса насчет того, принятие крипты Пейпалом это добро или зло
Подписываюсь под каждым его словом, в особенности под негативным отношением Paypal к криптовалютам. Помимо того, что глава этой конторы называл крипту "величайшим скамом" (ссылка в статье) была более существенная деталь: Paypal благоволил разводилам. В чем была суть? Пейпал не признавал крипту товаром или услугой, поэтому при попытке продать крипту через пейпал кому то, вы могли обнаружить что этот кто-то накатал жалобу мол он отправил деньги и ничего не получил. Пейпал возвращал ему деньги, а вы по итогу оставались и без крипты и без денег. Это был настолько распространенный развод, что во многих гайдах ему уделяли первые строчки.
Сейчас же Пейпал занял другую позицию (не можешь уничтожить - возглавь) но ясное дело сделал это в своей извращенной манере, по сути сделав у себя эдакое криптоказино. Вы можете купить крипту, но переслать вы ее на криптокошелек вне системы Пейпала не можете.
К тому же, Пейпал ввел так называемые "обучающие материалы". Вот что по этому поводу пишет Антонопулус:
"On one hand, the service will be entirely custodial, meaning users will not have the key to their own coins, while on the other they intend to “provide account holders with educational content to help them understand the cryptocurrency ecosystem”. The idea that anyone informed about bitcoin would agree to not holding their private keys might indicate that this educational content will overlook the fundamental rule of “Not your keys; not your coins”
Я тоже с этого порядком хохотнул, классическая ситуация "уловки 22".
Вообщем статью советую к прочтению. А также советую слать в пешее эротическое все кастодиальные сервисы.
Medium
Why you should not use Paypal for Bitcoin
Today, PayPal announced that they will be launching a cryptocurrency digital wallet for buying, selling and storing Bitcoin, Ethereum…
#защита_инвестиций #Важно #оффлайн_нападения
Иногда меня спрашивают, мол зачем так со всем этим запариваться? VPN, фингерпринты, приватность и так далее по списку. Ну слил Facebook твои личные данные там, или Ledger, чего то париться, а?
Подписчик с Украины как раз подогнал новость что в Запорожье, бандиты пытались ограбить майнера (который от них удачно отстрелялся). В свою очередь, я немного посерфил интернет и вот что подсобрал:
Полицейские в Николаеве избили майнера и требовали ключи к криптовалютным кошелькам
Полицейские похищали IT-предпринимателей ради получения выкупа
Полицейские в Киеве задержали двух братьев похитивших криптовалютчика
В Одессе криптовалютчика ограбили на 1,5 млн и едва не убили
(Оффтоп:
Я вообще заметил что Одесса довольно веселый город, здесь еще будут судить основателя криптовалютного инвестиционного фонда за организацию заказного убийства а недавно, предприниматель с охотничей винтовки уложил двух рэкетиров (одобряю). Это не учитывая что там часто пытаются взорвать кого то с помощью дронов.)
К этому еще добавим мои старые посты (которые НЕОБХОДИМО перечитать): 1. Пост от участника событий которого пытали чтобы забрать ключи,
2. Вымогатели украли владельца биржи Exmo и требовали выкуп.
У любого прочитавшего возникнут две мысли:
- Чего удивляться, это Украина
- Да вроде бы и немного случаев
Насчет количества случаев, могу вас "обрадовать": я серфил в течении десятка минут, и собрал только недавнее или очень известное. Общее количество случаев думаю на порядки (это больше чем в десятки раз если что) выше, так как некоторые новости появляются только в региональных изданиях (тоесть найти новости можно только целенаправленным поиском в Гугле), многие (!!!) люди не идут в полицию (по разным причинам, для объяснения которых понадобился бы отдельный пост)
По первому, я тоже не соглашусь. Украина это страна Запорожской Сечи, казаков, Махно и анархии, что создает в таких делах свой, местный колорит.
В противовес, в РФ силовикам не нужно избивать майнера. Они вполне могут (и практикуют) эдакий социальный договор: Ты отдаешь нам криптовалюту, а мы тебя не сажаем по статье финансирование терроризма. Или же экстремизм. Или еще какую то статью подвяжут, благо их хватает. В самом крайнем случае могут вломиться при обмене крупной суммы и просто забрать мешки с деньгами а потом убежать в Чечню (а что вы им сделаете, а? Будете стрелять в пришедших к вам Э-шников или росгвардейцев, понимая что с вами потом будет?). Или вломиться к вам и отобрать крипту в "Фонд ФСБ". И это не говоря о упочившем (Земля пухом) Павле Няшине (которого ограбил Дед Мороз. Которого кстати так и не нашли) и тех ребятах которые в Москве трейдеру лицо бритвой резали
Тоесть, если у наших младших братьев махновщина, когда пих пах, стрельба друг в друга, дроны с гранатами, то в РФ отжим уже "цивильный". Но еще интересный момент: Полно новостей о том, как бандиты грабят отставных кегебилов и чекистов (вот одного заставили банки с долларами руками на городе выкапывать). Причина этого проста - ухудшение уровня жизни простых людей и слишком явное неравенство. Но подумайте: Если люди настолько отчаялись что прыгают на заведомо "большие" цели (так как очевидно что у всех этих вертухаев в отставке есть серъезные подвязки где надо) то разве они откажутся от намного более легкой добычи, например какого нибудь майнера или внезапно разбогатевшего трейдера, а? Реальный случай
А также мой старый пост, где ссылки на все самые громкие нападения на криптовалютчиков ВНЕ СНГ:
https://t.me/lemon_crypto/395
Так вот, вам надеюсь теперь понятно почему в СНГ стоит озаботиться о своей приватности?
Иногда меня спрашивают, мол зачем так со всем этим запариваться? VPN, фингерпринты, приватность и так далее по списку. Ну слил Facebook твои личные данные там, или Ledger, чего то париться, а?
Подписчик с Украины как раз подогнал новость что в Запорожье, бандиты пытались ограбить майнера (который от них удачно отстрелялся). В свою очередь, я немного посерфил интернет и вот что подсобрал:
Полицейские в Николаеве избили майнера и требовали ключи к криптовалютным кошелькам
Полицейские похищали IT-предпринимателей ради получения выкупа
Полицейские в Киеве задержали двух братьев похитивших криптовалютчика
В Одессе криптовалютчика ограбили на 1,5 млн и едва не убили
(Оффтоп:
Я вообще заметил что Одесса довольно веселый город, здесь еще будут судить основателя криптовалютного инвестиционного фонда за организацию заказного убийства а недавно, предприниматель с охотничей винтовки уложил двух рэкетиров (одобряю). Это не учитывая что там часто пытаются взорвать кого то с помощью дронов.)
К этому еще добавим мои старые посты (которые НЕОБХОДИМО перечитать): 1. Пост от участника событий которого пытали чтобы забрать ключи,
2. Вымогатели украли владельца биржи Exmo и требовали выкуп.
У любого прочитавшего возникнут две мысли:
- Чего удивляться, это Украина
- Да вроде бы и немного случаев
Насчет количества случаев, могу вас "обрадовать": я серфил в течении десятка минут, и собрал только недавнее или очень известное. Общее количество случаев думаю на порядки (это больше чем в десятки раз если что) выше, так как некоторые новости появляются только в региональных изданиях (тоесть найти новости можно только целенаправленным поиском в Гугле), многие (!!!) люди не идут в полицию (по разным причинам, для объяснения которых понадобился бы отдельный пост)
По первому, я тоже не соглашусь. Украина это страна Запорожской Сечи, казаков, Махно и анархии, что создает в таких делах свой, местный колорит.
В противовес, в РФ силовикам не нужно избивать майнера. Они вполне могут (и практикуют) эдакий социальный договор: Ты отдаешь нам криптовалюту, а мы тебя не сажаем по статье финансирование терроризма. Или же экстремизм. Или еще какую то статью подвяжут, благо их хватает. В самом крайнем случае могут вломиться при обмене крупной суммы и просто забрать мешки с деньгами а потом убежать в Чечню (а что вы им сделаете, а? Будете стрелять в пришедших к вам Э-шников или росгвардейцев, понимая что с вами потом будет?). Или вломиться к вам и отобрать крипту в "Фонд ФСБ". И это не говоря о упочившем (Земля пухом) Павле Няшине (которого ограбил Дед Мороз. Которого кстати так и не нашли) и тех ребятах которые в Москве трейдеру лицо бритвой резали
Тоесть, если у наших младших братьев махновщина, когда пих пах, стрельба друг в друга, дроны с гранатами, то в РФ отжим уже "цивильный". Но еще интересный момент: Полно новостей о том, как бандиты грабят отставных кегебилов и чекистов (вот одного заставили банки с долларами руками на городе выкапывать). Причина этого проста - ухудшение уровня жизни простых людей и слишком явное неравенство. Но подумайте: Если люди настолько отчаялись что прыгают на заведомо "большие" цели (так как очевидно что у всех этих вертухаев в отставке есть серъезные подвязки где надо) то разве они откажутся от намного более легкой добычи, например какого нибудь майнера или внезапно разбогатевшего трейдера, а? Реальный случай
А также мой старый пост, где ссылки на все самые громкие нападения на криптовалютчиков ВНЕ СНГ:
https://t.me/lemon_crypto/395
Так вот, вам надеюсь теперь понятно почему в СНГ стоит озаботиться о своей приватности?
1news.zp.ua
В Запорожской области пытались ограбить майнера, но мужчина открыл стрельбу | Первый запорожский
Попытка ограбления произошла в Орехове Пологовского района. Об этом сообщает пресс-служба ГУНП в Запорожской области. 8 апреля трое мужчин попытались ограбить
#защита_инвестиций #Windows
"Есть у меня кошелек на dogechain.info. Мой кошель - DELmZYiSXBHJrfid4LoUhS4P22oSGuTsNG. Держал там dogecoin. Все было всегда норм, но до 04 мая. В тот день зашел все норм было, собаки были на счету, но вот зашел вчера 30 мая и все, кто то вывел все мои монети одной транзой".
"Подозреваю што была включена в опере функцыя автозаполнения форм пароль и айди, дурак зачем я ее включил для такого места как кошелек. И вот этим и воспользовались. Просто поражает што сам кошлек мог бы и прислать на мыло мол подозрительная активность, смените пароли или што то как биржы присылают. Увели просто для меня сумму с моими то доходами астрономическую 15000 собак, держал их 5 лет, ждал может дог доллар выстрелит вот и обменяю. Дождался. Одно радует што не вложил и копья токо просиженных ночей на кранах"
"Я не знаю как я влез в этот кошелек, кто мне посоветовал dogechain.info. Но как то никогда с ним такого ничего не было за 5 лет. А тут на тебе стоило доги подняться до 0,7 $ и тут мои собакены ушли в неизвестном направлении."
Ребята, есть вот старое доброе вечное: Не пользуйтесь онлайн кошельками из под винды (речь идет для значительных для вас сумм)
Использование Виндовс накладывает кучу и маленькую тележку разнообразных уязвимостей, а здесь плюс еще все уязвимости онлайн кошельков. Здесь не сложение уязвимостей идет если что, а их произведение
Все учесть и от всего предостеречься практически нереально.
И как вы понимаете, это далеко не единичная история. Вот еще можете по хэштегу догекоин на Реддите почитать
Если сумма для вас важная, то только холодное хранение. Не онлайн кошельки, не биржи, не Метамаск. Иначе, потом, с большой вероятностью будете сами писать похожий пост а я вас буду закидывать в паблик))
"Есть у меня кошелек на dogechain.info. Мой кошель - DELmZYiSXBHJrfid4LoUhS4P22oSGuTsNG. Держал там dogecoin. Все было всегда норм, но до 04 мая. В тот день зашел все норм было, собаки были на счету, но вот зашел вчера 30 мая и все, кто то вывел все мои монети одной транзой".
"Подозреваю што была включена в опере функцыя автозаполнения форм пароль и айди, дурак зачем я ее включил для такого места как кошелек. И вот этим и воспользовались. Просто поражает што сам кошлек мог бы и прислать на мыло мол подозрительная активность, смените пароли или што то как биржы присылают. Увели просто для меня сумму с моими то доходами астрономическую 15000 собак, держал их 5 лет, ждал может дог доллар выстрелит вот и обменяю. Дождался. Одно радует што не вложил и копья токо просиженных ночей на кранах"
"Я не знаю как я влез в этот кошелек, кто мне посоветовал dogechain.info. Но как то никогда с ним такого ничего не было за 5 лет. А тут на тебе стоило доги подняться до 0,7 $ и тут мои собакены ушли в неизвестном направлении."
Ребята, есть вот старое доброе вечное: Не пользуйтесь онлайн кошельками из под винды (речь идет для значительных для вас сумм)
Использование Виндовс накладывает кучу и маленькую тележку разнообразных уязвимостей, а здесь плюс еще все уязвимости онлайн кошельков. Здесь не сложение уязвимостей идет если что, а их произведение
Все учесть и от всего предостеречься практически нереально.
И как вы понимаете, это далеко не единичная история. Вот еще можете по хэштегу догекоин на Реддите почитать
Если сумма для вас важная, то только холодное хранение. Не онлайн кошельки, не биржи, не Метамаск. Иначе, потом, с большой вероятностью будете сами писать похожий пост а я вас буду закидывать в паблик))
reddit
Someone Hacked my Dogechain Wallet and sent my 2000 doge to an...
my account - [Dogechain - The official dogecoin blockchain...
#защита_инвестиций
Отличная новость (нет)
Но этого и впрочем стоило ожидать, что государства легализируют вмешательство в ваши девайсы, и очевидно что никакие пароли их не остановят (за отказ давать пароль от телефона в Ирландии теперь грозит до 5 лет). В цивильных странах принимают законы, в бантустанах будут продолжать работать "по классике", тоесть "Или ты пароль даешь, или я тебе эту дубинку в жопу по ручку засуну, бля буду"
Поэтому смиритесь с тем, что пароль защищает только от несанкционировангого доступа, как то хакеры через взломанный вай фай. От ребят в погонах и с ордерами, вашу крипту защитит только ваша смекалка и хитрость. К примеру, несколько ОС на телефоне которые разблокируются разными отпечатками пальцев. Можно как в тез вайнах - отпечаток большого пальца ноги для работы с криптой :)
А как иначе? Я полагаю что если ирландские копы (про наших снгшных вежливо умолчим) увидят у вас на счету даже пару битков, то они их могут вполне "потерять" в ходе следствия. Потом будете в суде десятки лет доказывать что вы не верблюд.
В таких ситуациях, как говорит автор одного канала по инфо безопасности телефонов: "Надо выглядеть тупее, а быть умнее"
Иначе с Левиафаном не справиться :)
Отличная новость (нет)
Но этого и впрочем стоило ожидать, что государства легализируют вмешательство в ваши девайсы, и очевидно что никакие пароли их не остановят (за отказ давать пароль от телефона в Ирландии теперь грозит до 5 лет). В цивильных странах принимают законы, в бантустанах будут продолжать работать "по классике", тоесть "Или ты пароль даешь, или я тебе эту дубинку в жопу по ручку засуну, бля буду"
Поэтому смиритесь с тем, что пароль защищает только от несанкционировангого доступа, как то хакеры через взломанный вай фай. От ребят в погонах и с ордерами, вашу крипту защитит только ваша смекалка и хитрость. К примеру, несколько ОС на телефоне которые разблокируются разными отпечатками пальцев. Можно как в тез вайнах - отпечаток большого пальца ноги для работы с криптой :)
А как иначе? Я полагаю что если ирландские копы (про наших снгшных вежливо умолчим) увидят у вас на счету даже пару битков, то они их могут вполне "потерять" в ходе следствия. Потом будете в суде десятки лет доказывать что вы не верблюд.
В таких ситуациях, как говорит автор одного канала по инфо безопасности телефонов: "Надо выглядеть тупее, а быть умнее"
Иначе с Левиафаном не справиться :)
Telegram
Технології, медіа та суспільство
Полиция Ирландии получит право требовать от подозреваемых пароли от гаджетов при обыске. Отказ предоставить пароль будет считаться уголовным преступлением и наказываться сроком до пяти лет лишения свободы или штрафом до 30 тысяч евро. Обыски будут вестись…
#защита_инвестиций #Trezor #Privacy
Пошерстил по каналу, и заметил что еще ни разу не делился отличной статьей от SatoshiLabs - https://blog.trezor.io/the-only-way-to-protect-your-data-is-to-never-provide-it-ea2335388db6
Статья легкая, и я бы сказал что обязательна к прочтению для формирования правильной картины мировосприятия в крипте.
Ну и да, здесь повторяется одна из важных истин криптовалют, а также информационной безопастности в целом:
Only You Can Protect Your Data
(Вторая это "not your keys - not your money" )
Пошерстил по каналу, и заметил что еще ни разу не делился отличной статьей от SatoshiLabs - https://blog.trezor.io/the-only-way-to-protect-your-data-is-to-never-provide-it-ea2335388db6
Статья легкая, и я бы сказал что обязательна к прочтению для формирования правильной картины мировосприятия в крипте.
Ну и да, здесь повторяется одна из важных истин криптовалют, а также информационной безопастности в целом:
Only You Can Protect Your Data
(Вторая это "not your keys - not your money" )
Medium
The Only Way to Protect Your Data is to Never Provide it
Convenience is a honeypot. Consumers are drawn to simple, quick platforms with one-click ordering and minimal distractions: set up an…
#защита_инвестиций #пароли #2fa
Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.
"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"
Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.
Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)
И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))
Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.
Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).
Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)
А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))
Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
Прочитал вот статью о паролях, где пишут, что сильного пароля, даже менеджера паролей (с этим частично не согласен) уже недостаточно.
"The truth is, even if you keep good cyber hygiene, use strong passwords, and change them often enough, you are still vulnerable, especially your accounts that are not protected by at least the 2-factor authentication (2FA) method"
Вот в чем проблема такого подхода (в статье об этом тоже сказано, к слову): Двухфакторка добавляет условной стойкости, но также добавляет новые векторы атаки. Тот же SIM-swapping, или воровство мыла.
Нынешние, даже 128ми битные пароли, на данный момент принципиально невзламываемые (если мы говорим о разумных временных рамках и разумных растратах энергии)
И лично я считаю, что в нынешней хакерской культуре преобладает соц инженерия, а не тупой брутфорс. Поэтому ситуация когда через оператора у вас крадут сим карту и потом получают доступ к вашему аккаунту - более вероятна чем атака на сильный пароль. В чем опастность одних паролей? В том, что вы не знаете как их хранит принимающая сторона. Уже не один раз такое случалось, что хакеры взламывали БД неких известных сервисов, а там лежал .txt файл и сырые пароли даже без единичного хэширования))))
Но от идиотов-разработчиков вас как раз таки и защитит менеджкр паролей, если вы для каждого сайта будете генерировать новый уникальный пароль. Потеря одного не приведет к уязвимости вашей системы целиком.
Здесь, для 2FA уже или использовать некие токены (вплоть до биометрики, что меня правда пугает) или просто ей не пользоваться. Или организовывать и защиту номера телефона (в данном случае его неизвестность для третьих лиц - лучшая защита).
Личное мое (во избежание) предпочтение, это скорее 2SA (two-step-autentication), когда например нужно два пароля (так организовано кстати в blockchain.com, что есть плюс). Первый пароль для авторизации, а второй для совершения определенных действий. Первый пароль авторизации генерируется любым менеджером паролей, и для каждого сайта он уникален, а второй пароль (например для отправки битков) это один из 3-5 паролей (средний человек гарантированно будет помнить количество паролей в этом диапазоне)
А вообще, по этому поводу у меня уже был хороший пост. В оригинальной статье, кстати, Daniel Miessler добавил еще один пункт (8й). Как раз таки биометрика))
И ее основная уязвимость это конечно же extortion )))
Если тезисно, то 2fa через СМС или мыло это еще большая лажа чем only-password-autentication
CyberNews
The password hassle: a strong one is no longer enough
A strong password is a must, though not enough to protect yourself or your employer from intrusion.
#hack #social_engineering #защита_инвестиций
Уже мы пришли к тому, что криптографические технологии настолько продвинулись, что тупой брутфорс практически потерял актуальность. Даже его переосмысление, как то атаки на основы словарей или "радужные таблицы" могут помочь только в ограниченных случаях. На первое место выходит социальная инженерия.
Здесь совпали несколько факторов: Нынешнее интернет поколение довольно лениво (не сравнить с гиками 90х) и не любит думать и мир перенасыщен информацией, просто нет возможности глубокой верификации, людям приходится использовать множество допущений и часто доверять/отбрасывать информацию. К тому же, люди переносят практики оффлайн мира на мир виртуальный, что не есть верно. Вот результат
Мошенники сидят в Дискорде Opensea, подбирают жертву, пишут ей в лс представляясь тех поддержкой и далее очень интересно разводят:
"Мошенники связываются в видеосвязи и просят показать экран. Затем они заявляют, что расширение MetaMask для браузера Chrome необходимо синхронизировать повторно через мобильное приложение MetaMask. Синхронизация мобильного кошелька с кошельком в Chrome осуществляется через настройки расширения, которое после ввода пароля выводит на экран QR-код. Расширение при этом предупреждает, что демонстрация QR-кода посторонним недопустима, так как его сканирование позволяет автоматически импортировать кошелек на мобильное устройство."
Здесь вот сыграли роль жти два фактора: Художник-жертва поверил, что ему написала служба поддержки (не верифицировал). Перенес практику с оффлайна (сотрудники банка не будут врать, и в случае чего их притянут к ответственности а банк компенсирует потери) на крипту и конечно же, самое важное: поленился минимально разобраться в технологи Wallet connect и проигнорировал предупреждение Метамаска. Хакеры ускакали в закат с его деньгами и нфт.
Довольно неприятный момент, что часто люди "закрываются в себе" после такого: мол крипта это скам, все эти технологии чтобы развести честных трудяг и тд и тп.
Поэтому всегда будьте внимательны, потому что основная цель любой атаки на ваши сбережения - это вы.
Уже мы пришли к тому, что криптографические технологии настолько продвинулись, что тупой брутфорс практически потерял актуальность. Даже его переосмысление, как то атаки на основы словарей или "радужные таблицы" могут помочь только в ограниченных случаях. На первое место выходит социальная инженерия.
Здесь совпали несколько факторов: Нынешнее интернет поколение довольно лениво (не сравнить с гиками 90х) и не любит думать и мир перенасыщен информацией, просто нет возможности глубокой верификации, людям приходится использовать множество допущений и часто доверять/отбрасывать информацию. К тому же, люди переносят практики оффлайн мира на мир виртуальный, что не есть верно. Вот результат
Мошенники сидят в Дискорде Opensea, подбирают жертву, пишут ей в лс представляясь тех поддержкой и далее очень интересно разводят:
"Мошенники связываются в видеосвязи и просят показать экран. Затем они заявляют, что расширение MetaMask для браузера Chrome необходимо синхронизировать повторно через мобильное приложение MetaMask. Синхронизация мобильного кошелька с кошельком в Chrome осуществляется через настройки расширения, которое после ввода пароля выводит на экран QR-код. Расширение при этом предупреждает, что демонстрация QR-кода посторонним недопустима, так как его сканирование позволяет автоматически импортировать кошелек на мобильное устройство."
Здесь вот сыграли роль жти два фактора: Художник-жертва поверил, что ему написала служба поддержки (не верифицировал). Перенес практику с оффлайна (сотрудники банка не будут врать, и в случае чего их притянут к ответственности а банк компенсирует потери) на крипту и конечно же, самое важное: поленился минимально разобраться в технологи Wallet connect и проигнорировал предупреждение Метамаска. Хакеры ускакали в закат с его деньгами и нфт.
Довольно неприятный момент, что часто люди "закрываются в себе" после такого: мол крипта это скам, все эти технологии чтобы развести честных трудяг и тд и тп.
Поэтому всегда будьте внимательны, потому что основная цель любой атаки на ваши сбережения - это вы.
WHATTONEWS – Новости криптовалют
Мошенники атаковали пользователей платформы OpenSea
Пользователи маркетплейса невзаимозаменяемых токенов OpenSea становятся жертвами активной мошеннической кампании в мессенджере Discord, направленной на
#защита_инвестиций #золотые_правила
Не знаю видели вы или нет, но случилось то, о чем я говорю уже давно
ProtonMail слила французским властям данные человека - https://techcrunch.com/2021/09/06/protonmail-logged-ip-address-of-french-activist-after-order-by-swiss-authorities/
Слили мыло, айпи, устройство и его "номер" ( "The device used is a … device identified with the number …" )
Самый интересный здесь момент, что речь не идет о каком то злостном бородатом террористе, готовившимся вмазаться в толпу народа на молоковозе. Нет. Речь о каких то дурачках-коммунистах: "For the past year, a group of people have taken over a handful of commercial premises and apartments near Place Sainte Marthe in Paris. They want to fight against gentrification, real estate speculation, Airbnb and high-end restaurants. According to their story, French police sent an Europol request to ProtonMail in order to uncover the identity of the person who created a ProtonMail account — the group was using this email address to communicate. The address has also been shared on various anarchist websites"
Что имеем? По запросу властей (французы обратились через Европол к швейцарам и те уже потребовали у ProtonMail нужную информацию) компания без задней мысли предоставляет все ваши данные. Теперь давайте представим ситуацию, где какой нибудь СНГшный бантустан, через Интерпол обращается тоже к швейцарам чтобы получить данные о каких нибудь неугодных активистах по глупости своей пользующихся ProtonMail.
Как показывает эта история (в который раз повторяюсь, Ей Б-гу), у компаний нет морали, только риск менеджмент и они максимально пытаются прикрыть свою жопу.
Поэтому тезиса здесь два:
1. Анонимность и защищенность в сети это комплексная задача. Не выйдет сидеть с одного ВПН и пользоваться "анонимным" почтовым сервисом.
Для хотя бы более-менее достойного уровня защищенности нужен целый набор комплексных мер
2. Задача обеспечения анонимности лежит полностью и только на субъекте который эту анонимность ищет. Никто и никогда вам не будет предоставлять реально анонимный сервис или услугу, так как в этом случае он бы нес все издержки вместо вас. А дураков для такого нет. Тот же ProtonMail, несмотря на свою политику "оповещения клиента в случае если к его данным будет попытка получения доступа третьей стороной" по просьбе полиции швейцарии не оповещал этого француза в течении 8 месяцев!
Ну и да, еще интересный момент, для понимания: "ProtonMail’s public disclosures also log an alarming rise in requests for data by Swiss authorities.
According to its transparency report, ProtonMail received 13 orders from Swiss authorities back in 2017 — but that had swelled to over three and a half thousand (3,572!) by 2020"
А ProtonMail при этом поменяло свой ToS, что теперь если вы нарушаете законы Швейцарии, ваши данные и метаданные могут быть переданы властям.
Мир становится теснее и теснее
Не знаю видели вы или нет, но случилось то, о чем я говорю уже давно
ProtonMail слила французским властям данные человека - https://techcrunch.com/2021/09/06/protonmail-logged-ip-address-of-french-activist-after-order-by-swiss-authorities/
Слили мыло, айпи, устройство и его "номер" ( "The device used is a … device identified with the number …" )
Самый интересный здесь момент, что речь не идет о каком то злостном бородатом террористе, готовившимся вмазаться в толпу народа на молоковозе. Нет. Речь о каких то дурачках-коммунистах: "For the past year, a group of people have taken over a handful of commercial premises and apartments near Place Sainte Marthe in Paris. They want to fight against gentrification, real estate speculation, Airbnb and high-end restaurants. According to their story, French police sent an Europol request to ProtonMail in order to uncover the identity of the person who created a ProtonMail account — the group was using this email address to communicate. The address has also been shared on various anarchist websites"
Что имеем? По запросу властей (французы обратились через Европол к швейцарам и те уже потребовали у ProtonMail нужную информацию) компания без задней мысли предоставляет все ваши данные. Теперь давайте представим ситуацию, где какой нибудь СНГшный бантустан, через Интерпол обращается тоже к швейцарам чтобы получить данные о каких нибудь неугодных активистах по глупости своей пользующихся ProtonMail.
Как показывает эта история (в который раз повторяюсь, Ей Б-гу), у компаний нет морали, только риск менеджмент и они максимально пытаются прикрыть свою жопу.
Поэтому тезиса здесь два:
1. Анонимность и защищенность в сети это комплексная задача. Не выйдет сидеть с одного ВПН и пользоваться "анонимным" почтовым сервисом.
Для хотя бы более-менее достойного уровня защищенности нужен целый набор комплексных мер
2. Задача обеспечения анонимности лежит полностью и только на субъекте который эту анонимность ищет. Никто и никогда вам не будет предоставлять реально анонимный сервис или услугу, так как в этом случае он бы нес все издержки вместо вас. А дураков для такого нет. Тот же ProtonMail, несмотря на свою политику "оповещения клиента в случае если к его данным будет попытка получения доступа третьей стороной" по просьбе полиции швейцарии не оповещал этого француза в течении 8 месяцев!
Ну и да, еще интересный момент, для понимания: "ProtonMail’s public disclosures also log an alarming rise in requests for data by Swiss authorities.
According to its transparency report, ProtonMail received 13 orders from Swiss authorities back in 2017 — but that had swelled to over three and a half thousand (3,572!) by 2020"
А ProtonMail при этом поменяло свой ToS, что теперь если вы нарушаете законы Швейцарии, ваши данные и метаданные могут быть переданы властям.
Мир становится теснее и теснее
TechCrunch
ProtonMail logged IP address of French activist after order by Swiss authorities | TechCrunch
ProtonMail, a hosted email service with a focus on end-to-end encrypted communications, has been facing criticism after a police report showed that French
#защита_инвестиций #hardware
Не спешите меняться с друзьями кабелями особенно если они знают что вы крипто инвестор :)
Я уже писал, что существует два основных подхода взлома: software и hardware, второй имеет более высокую success probability но при этом точечный. Вот взлом через кабель это типичный пример такого взлома: Внутрь вставлен кейлоггер, геосканер, сниффер траффика а также команда на создание точки подключения вай фай. Впечатляет, неправда ли?
Другое дело, что вектор атаки через кабель слишком ограничен. В магазине такие кабели вам точно не попадутся :)
Но ничего не мешает к примеру поставлять такие кабеля (парочка на партию) в комплекте с аппаратными кошельками, правильно "заточенными". Что я имею ввиду:
https://www.docdroid.net/Jug5LX3/ledger-receive-address-attack-pdf
Известный еще с 2018 способ подмены адреса для получения криптовалюты. Вы подключили аппаратник к хосту (основной машине), вызвали функцию генерации адреса для получения средств а модифицированный софт вам подогнал адрес хакера. И все.
Или же например подмена адреса отправки (если отправляете вы) от чего спасет только внимательность.
И такие способы взлома вполне могут поместиться в такой вот кабель! (раз помещается кейлогер, вай фай хотспот и gps локатор).
Другое дело, что такой веселый кабель вы скорее всего не получите с Алика и не купите в магазине. Это тонкая работа, на кончиках пальцев :) Хвастаетесь криптовалютными богатствами, а вам друг, выбрав удачный момент, подсунул такой кабель. Может даже сам того не зная. И все, вы потеряли свой статус криптомиллионера а кто то приобрел :)
Так что даже здесь первое и главное правило: Не болтать
Вы не станете жертвой тончайшего уровня работы, если не будете давать повод.
Ниже приведу картинку, как эта вредная микросхема выглядит внутри type c кабеля
Не спешите меняться с друзьями кабелями особенно если они знают что вы крипто инвестор :)
Я уже писал, что существует два основных подхода взлома: software и hardware, второй имеет более высокую success probability но при этом точечный. Вот взлом через кабель это типичный пример такого взлома: Внутрь вставлен кейлоггер, геосканер, сниффер траффика а также команда на создание точки подключения вай фай. Впечатляет, неправда ли?
Другое дело, что вектор атаки через кабель слишком ограничен. В магазине такие кабели вам точно не попадутся :)
Но ничего не мешает к примеру поставлять такие кабеля (парочка на партию) в комплекте с аппаратными кошельками, правильно "заточенными". Что я имею ввиду:
https://www.docdroid.net/Jug5LX3/ledger-receive-address-attack-pdf
Известный еще с 2018 способ подмены адреса для получения криптовалюты. Вы подключили аппаратник к хосту (основной машине), вызвали функцию генерации адреса для получения средств а модифицированный софт вам подогнал адрес хакера. И все.
Или же например подмена адреса отправки (если отправляете вы) от чего спасет только внимательность.
И такие способы взлома вполне могут поместиться в такой вот кабель! (раз помещается кейлогер, вай фай хотспот и gps локатор).
Другое дело, что такой веселый кабель вы скорее всего не получите с Алика и не купите в магазине. Это тонкая работа, на кончиках пальцев :) Хвастаетесь криптовалютными богатствами, а вам друг, выбрав удачный момент, подсунул такой кабель. Может даже сам того не зная. И все, вы потеряли свой статус криптомиллионера а кто то приобрел :)
Так что даже здесь первое и главное правило: Не болтать
Вы не станете жертвой тончайшего уровня работы, если не будете давать повод.
Ниже приведу картинку, как эта вредная микросхема выглядит внутри type c кабеля
Vice
This Seemingly Normal Lightning Cable Will Leak Everything You Type
A new version of the OMG Cable is a USB-C to Lightning Cable that hackers can use to steal your passwords or other data.
#NFT #защита_инвестиций
Как вы можете заметить, сейчас огромный хайп по поводу non-fungible-tokens (что это такое, можете прочитать здесь). Наверное, не менее, а то и более огромный чем хайп ICO.
И в такие времена начинают цвести самые разнообразные скамы. Я даже не говорю о классике в стиле собрал деньги-и-слянял, такого более чем достаточно. Я скорее о новых интересных (а главное технологичных) способах разводить гоев на шекели!
Ведь что такое НФТ-токен? Это по сути информация записанная в блокчейн. Но есть одна интересная проблема: Нигде толком не указанно какая это информация должна быть :) (стандарт erc-721 гарантирует только привязку токена-нфт к адресу хозяина, а в каком виде будет этот токен, это другое дело). Так вот, первые массовые нфт запускались в сети Эфира, и я думаю любой кто делал хотя бы одну транзакцию примерно понимает что это такое и сколько стоит впихнуть определенный блок информации по деньгам в эту самую эфирную сеть. Поэтому разработчики и прочие аферисты сделали ход конем и придумали довольно оригинальное решение: Вместо полного блока информации (например картинки) записывать в блокчейн только ссылку на сайт и индекс который отражает какой именно картинкой из коллекции на сайте ты владеешь. Чувствуете, что попахивает неким наебом, неким несоответствием.
Думаю эту историю все уже видели. Но она ведь далеко не единственная! Недавно скамер продал на 1000 солан разных эмодзи и скрылся в закат. А это все благодаря этой системе, когда как бы смарт контракт есть, но что на самом деле ты получишь зависит только от того что будет размещенно на сайте. Могут и ковры быть и эмодзи или смешные картинки вместо машинок.
Загадка от Жака Фреско: Почему тогда non-fungible если как раз таки очень изменяемые и взаимозаменяемые, а?
У людей сразу появится вопрос, обстоит ли дело так со всеми коллекциями. Отвечу: не совсем. К примеру, Cryptokitties являются настоящими нфт. Крипто Панки? Тут уже посложнее: В контракте помещен хэш всех панков (ac39af4793119ee46bbff351d8cb6b5f23da60222126add4268e261199a2921b string) но отдельных картинок с атрибутами в нем нет. Тоесть, вы можете верифицировать что ваш токен это именно оригинальный панк, но понять какой именно это (супер редкий инопланетянин или же обычный панк) - на этот вопрос контракт ответа дать не может.
Так что ваши НФТ это, мягко говоря, не совсем то чем пытается казаться. НО! Это еще не самое веселое, конечно.
Вся суть в смарт контрактах, которые (из-за нереального числа говно дропов) ясное дело никто не проверяет. А в смарт контрактах может быть прописан очень широкий спектр потенциально вредоносных действий. К примеру, вполне вероятно при отправке "халявного" нфт упавшего вам на кошель, попрощаться с балансом кошелька и всеми остальными нфт (по ссылке такая вот история). Это даже мы не говорим о хитрой системе "прокси смарт контракта": Прокси контракт обращается к "материнскому" хорошему контракту и все вроде бы хорошо. Но в один момент начинается тотальная чистка кошельков пользователей. А потом, при разборе кода, окажется, что в "прокси" контракте была прописана возможность менять "материнский" контракт, которой в нужный момент и воспользовались разрабы-скаммеры.
Смарт контракт без вашег согласия деньги у вас не украдет. НО! Когда вы выполняете действие через Метамаск например, вы сильно смотрите и разбираетесь что это действие будет делать? Полагаю мы все знаем ответ на этот вопрос :)
Так что как то так, на данный момент
Как вы можете заметить, сейчас огромный хайп по поводу non-fungible-tokens (что это такое, можете прочитать здесь). Наверное, не менее, а то и более огромный чем хайп ICO.
И в такие времена начинают цвести самые разнообразные скамы. Я даже не говорю о классике в стиле собрал деньги-и-слянял, такого более чем достаточно. Я скорее о новых интересных (а главное технологичных) способах разводить гоев на шекели!
Ведь что такое НФТ-токен? Это по сути информация записанная в блокчейн. Но есть одна интересная проблема: Нигде толком не указанно какая это информация должна быть :) (стандарт erc-721 гарантирует только привязку токена-нфт к адресу хозяина, а в каком виде будет этот токен, это другое дело). Так вот, первые массовые нфт запускались в сети Эфира, и я думаю любой кто делал хотя бы одну транзакцию примерно понимает что это такое и сколько стоит впихнуть определенный блок информации по деньгам в эту самую эфирную сеть. Поэтому разработчики и прочие аферисты сделали ход конем и придумали довольно оригинальное решение: Вместо полного блока информации (например картинки) записывать в блокчейн только ссылку на сайт и индекс который отражает какой именно картинкой из коллекции на сайте ты владеешь. Чувствуете, что попахивает неким наебом, неким несоответствием.
Думаю эту историю все уже видели. Но она ведь далеко не единственная! Недавно скамер продал на 1000 солан разных эмодзи и скрылся в закат. А это все благодаря этой системе, когда как бы смарт контракт есть, но что на самом деле ты получишь зависит только от того что будет размещенно на сайте. Могут и ковры быть и эмодзи или смешные картинки вместо машинок.
Загадка от Жака Фреско: Почему тогда non-fungible если как раз таки очень изменяемые и взаимозаменяемые, а?
У людей сразу появится вопрос, обстоит ли дело так со всеми коллекциями. Отвечу: не совсем. К примеру, Cryptokitties являются настоящими нфт. Крипто Панки? Тут уже посложнее: В контракте помещен хэш всех панков (ac39af4793119ee46bbff351d8cb6b5f23da60222126add4268e261199a2921b string) но отдельных картинок с атрибутами в нем нет. Тоесть, вы можете верифицировать что ваш токен это именно оригинальный панк, но понять какой именно это (супер редкий инопланетянин или же обычный панк) - на этот вопрос контракт ответа дать не может.
Так что ваши НФТ это, мягко говоря, не совсем то чем пытается казаться. НО! Это еще не самое веселое, конечно.
Вся суть в смарт контрактах, которые (из-за нереального числа говно дропов) ясное дело никто не проверяет. А в смарт контрактах может быть прописан очень широкий спектр потенциально вредоносных действий. К примеру, вполне вероятно при отправке "халявного" нфт упавшего вам на кошель, попрощаться с балансом кошелька и всеми остальными нфт (по ссылке такая вот история). Это даже мы не говорим о хитрой системе "прокси смарт контракта": Прокси контракт обращается к "материнскому" хорошему контракту и все вроде бы хорошо. Но в один момент начинается тотальная чистка кошельков пользователей. А потом, при разборе кода, окажется, что в "прокси" контракте была прописана возможность менять "материнский" контракт, которой в нужный момент и воспользовались разрабы-скаммеры.
Смарт контракт без вашег согласия деньги у вас не украдет. НО! Когда вы выполняете действие через Метамаск например, вы сильно смотрите и разбираетесь что это действие будет делать? Полагаю мы все знаем ответ на этот вопрос :)
Так что как то так, на данный момент
#защита_инвестиций #оффлайн_нападения #Важно
https://www.youtube.com/watch?v=_w13NvN3pug
Пересказывать новость не буду, полагаю уже название говорит само за себя.
Давайте разберем некоторые моменты этой истории:
1. Работали по наводке
Полагаю сам проговорился. Но это в принципе и понятно. Время играет против вас, и сохранять в секрете такие вот хобби предельно сложно
2. Работали с крышей
Биткоины человек не вернет. Грабителей возможно даже найдут и посадят, но биткоины утекли безвозвратно тем, кто этих двух оболтусов и нанял
3. Человек не озаботился о своей безопасности
Держал все активы на бирже/кошельке.
Я уже несколько раз разбирал интересный алгоритм защиты, предложенный Антонопулусом, суть которого заключается в том, что вы разбиваете активы на несколько кошельков. Далее, у вас должны быть два особых кошелька: кошелек для основного количества активов (крипты) и второй, тоже довольно жирный, который будет отыгрывать роль "хвоста ящерицы", именно для вот таких вот ситуаций. В случае чего, вы отдаете этот кошелек грабителям. Да, часть активов утеряна, но это лучше чем потерять все.
В этой ситуации оно бы выглядело примерно так: несколько горячих кошельков с общей суммой до 3 бтц, один холодный на 50 бтц и "хвост ящерицы" на 20-25 бтц. На определенном моменте можно бы было "сбросить хвост", остаться целым, но при этом сохранить большую часть сбережений.
Опять таки, важное замечание: Этот способ работает только если грабители не в курсе сколько у вас точно крипты. А это они могут узнать только если у вас самих язык до колен и вы не умеете держать рот закрытым.
А вообще, ужас этой ситуации в том, что все люди - существа высоко социальные животные (за редким исключением на уровне стат.погрешности). Следовательно, чтобы не выпасть из социума нам необходимо постоянно играть в социальные игры и подавать правильные сигналы окружающим. В нынешнем мире это в первую очередь сигналы материальной обеспеченности и успешности. Проблема крипто трейдеров, майнеров и прочих людей из "серой зоны" деятельности как раз в том, что не подавать сигналы нельзя, а подавая их люди подвергают себя значительному риску, вплоть до вот таких новостей.
Что здесь можно посоветовать? Единственное что сразу приходит на ум, это найти себе хорошую работу, чтобы люди не задавались ненужными вопросами, по типу "а откуда к него деньги?".
https://www.youtube.com/watch?v=_w13NvN3pug
Пересказывать новость не буду, полагаю уже название говорит само за себя.
Давайте разберем некоторые моменты этой истории:
1. Работали по наводке
Полагаю сам проговорился. Но это в принципе и понятно. Время играет против вас, и сохранять в секрете такие вот хобби предельно сложно
2. Работали с крышей
Биткоины человек не вернет. Грабителей возможно даже найдут и посадят, но биткоины утекли безвозвратно тем, кто этих двух оболтусов и нанял
3. Человек не озаботился о своей безопасности
Держал все активы на бирже/кошельке.
Я уже несколько раз разбирал интересный алгоритм защиты, предложенный Антонопулусом, суть которого заключается в том, что вы разбиваете активы на несколько кошельков. Далее, у вас должны быть два особых кошелька: кошелек для основного количества активов (крипты) и второй, тоже довольно жирный, который будет отыгрывать роль "хвоста ящерицы", именно для вот таких вот ситуаций. В случае чего, вы отдаете этот кошелек грабителям. Да, часть активов утеряна, но это лучше чем потерять все.
В этой ситуации оно бы выглядело примерно так: несколько горячих кошельков с общей суммой до 3 бтц, один холодный на 50 бтц и "хвост ящерицы" на 20-25 бтц. На определенном моменте можно бы было "сбросить хвост", остаться целым, но при этом сохранить большую часть сбережений.
Опять таки, важное замечание: Этот способ работает только если грабители не в курсе сколько у вас точно крипты. А это они могут узнать только если у вас самих язык до колен и вы не умеете держать рот закрытым.
А вообще, ужас этой ситуации в том, что все люди - существа высоко социальные животные (за редким исключением на уровне стат.погрешности). Следовательно, чтобы не выпасть из социума нам необходимо постоянно играть в социальные игры и подавать правильные сигналы окружающим. В нынешнем мире это в первую очередь сигналы материальной обеспеченности и успешности. Проблема крипто трейдеров, майнеров и прочих людей из "серой зоны" деятельности как раз в том, что не подавать сигналы нельзя, а подавая их люди подвергают себя значительному риску, вплоть до вот таких новостей.
Что здесь можно посоветовать? Единственное что сразу приходит на ум, это найти себе хорошую работу, чтобы люди не задавались ненужными вопросами, по типу "а откуда к него деньги?".
YouTube
Кража века: у безработного украли 370 млн в биткоинах
⭕️Подпишитесь на канал 360: https://www.youtube.com/360tvru?sub_confirmation=1
Практически кража века произошла в Томске. У безработного жителя украли 85 биткоинов на 370 миллионов рублей. По версии следствия, мужчина в медицинской маске с приятелем поджидал…
Практически кража века произошла в Томске. У безработного жителя украли 85 биткоинов на 370 миллионов рублей. По версии следствия, мужчина в медицинской маске с приятелем поджидал…
#Важно #защита_инвестиций
Сколько веревочке ни виться, а конец будет
Интересный сегодня день. В принципе, закономерный итог всего того что сейчас происходит в РФ.
Если что, я в курсе (по ссылке разъяснение) что крипту никто не запрещает (хотят только майнинг чуть чуть запретить, если смотреть глазами простых людей) но мой глаз зацепился вот за что, в более ранней новости (что практически все горлодерики с криптотусовки пропустили мимо своих ушей и мозгов):
"ФСБ давно лоббирует идею запрета криптовалют, аргументируя это тем, что виртуальные активы используются для незаконной деятельности: покупки наркотиков, финансирования террористов и т. д."
Определенный смысл в таких заявлениях есть, но он конечно же вообще никак не связан с заботой о гражданах. Это конечно же мои мысли и оценочное суждение, но, очевидно ведь, что намного проще щемить людей, когда он не могут дать юридический отпор, так как находятся в "черной зоне" социума. Надеюсь прочитав мой старый пост вы догадаетесь о чем я.
И вот сейчас крипту в эту "черную зону" (где еще наркоторговцы, кардеры, обнальщики, фальшовомонетчики и прочие преступники) пытаются запихнуть, как мне кажется, не просто так. Как говорится, курочка подросла, пришла повестка в суп :)
А кто суп будет кушать? Даже не знаю, даже не знаю (материал по ссылке случайно совпал с фразой, ни на что не намекаю)
P.S: Да да, опять повторюсь, для уникумов: Сейчас никто пока в суп никого не отправляет. Но все ведь помнят как правильно варить лягушек, а? :)
Так что озаботьтесь своей приватностью. Как минимум, не светите своим КУС где попало (а то сейчас во всяких аирдропах, тестнетах и сейлах стало популярно требовать КУС, не пойми с какого перепугу)
Сколько веревочке ни виться, а конец будет
Интересный сегодня день. В принципе, закономерный итог всего того что сейчас происходит в РФ.
Если что, я в курсе (по ссылке разъяснение) что крипту никто не запрещает (хотят только майнинг чуть чуть запретить, если смотреть глазами простых людей) но мой глаз зацепился вот за что, в более ранней новости (что практически все горлодерики с криптотусовки пропустили мимо своих ушей и мозгов):
"ФСБ давно лоббирует идею запрета криптовалют, аргументируя это тем, что виртуальные активы используются для незаконной деятельности: покупки наркотиков, финансирования террористов и т. д."
Определенный смысл в таких заявлениях есть, но он конечно же вообще никак не связан с заботой о гражданах. Это конечно же мои мысли и оценочное суждение, но, очевидно ведь, что намного проще щемить людей, когда он не могут дать юридический отпор, так как находятся в "черной зоне" социума. Надеюсь прочитав мой старый пост вы догадаетесь о чем я.
И вот сейчас крипту в эту "черную зону" (где еще наркоторговцы, кардеры, обнальщики, фальшовомонетчики и прочие преступники) пытаются запихнуть, как мне кажется, не просто так. Как говорится, курочка подросла, пришла повестка в суп :)
А кто суп будет кушать? Даже не знаю, даже не знаю (материал по ссылке случайно совпал с фразой, ни на что не намекаю)
P.S: Да да, опять повторюсь, для уникумов: Сейчас никто пока в суп никого не отправляет. Но все ведь помнят как правильно варить лягушек, а? :)
Так что озаботьтесь своей приватностью. Как минимум, не светите своим КУС где попало (а то сейчас во всяких аирдропах, тестнетах и сейлах стало популярно требовать КУС, не пойми с какого перепугу)
Znak
Bloomberg: ФСБ убедила главу ЦБ Набиуллину запретить криптовалюту в России
ФСБ убедила главу Центробанка Эльвиру Набиуллину поддержать полный запрет на операции с криптовалютой в России, чтобы лишить возможности финансирования оппозицию и СМИ-иноагентов
#метаданные #защита_инвестиций
Ребята, вы думаете я шутил когда говорил о том, что нужно уметь чистить exif файлов, перед тем как заливать их куда то?
Вот читали бы мой канал, включали мозги, и не попались бы на такой лаже. На скриншотах можете наблюдать практически все метаданные, которые хранит в себе видео/фотография
Вообще, чистить логгирование, если вы серъезная организация или имеете определенные планы тоже нужно уметь. Большинство программ чистят только хедеры, и то не все. А вот ведь часто остаются помимо этого также разные логи подключений и прочее (если мы о девайсах говорим), и в случае чего по ним вас могут очень легко вычислить. Например флешка в логах пишет и сохраняет устройства к которым была подключена. И если на флешке было что то интересное, то могут найти и устройство к которому она последний раз подключалась.
Имейте это ввиду. А то будете как эти.
Ребята, вы думаете я шутил когда говорил о том, что нужно уметь чистить exif файлов, перед тем как заливать их куда то?
Вот читали бы мой канал, включали мозги, и не попались бы на такой лаже. На скриншотах можете наблюдать практически все метаданные, которые хранит в себе видео/фотография
Вообще, чистить логгирование, если вы серъезная организация или имеете определенные планы тоже нужно уметь. Большинство программ чистят только хедеры, и то не все. А вот ведь часто остаются помимо этого также разные логи подключений и прочее (если мы о девайсах говорим), и в случае чего по ним вас могут очень легко вычислить. Например флешка в логах пишет и сохраняет устройства к которым была подключена. И если на флешке было что то интересное, то могут найти и устройство к которому она последний раз подключалась.
Имейте это ввиду. А то будете как эти.
#защита_инвестиций
Да, это лучшее (к несчастью, как и все лучшее - писаное кровью) доказательство почему данные о себе нужно уметь хранить и оберегать.
Но в отличии от автора я не думаю что данные перестанут собирать. Чтобы ваши данные не попали куда не надо (например, к русским эскадронам смерти) то нужно самим об этом заботиться, и думать кому их предоставлять
https://t.me/ruheight/1153
Да, это лучшее (к несчастью, как и все лучшее - писаное кровью) доказательство почему данные о себе нужно уметь хранить и оберегать.
Но в отличии от автора я не думаю что данные перестанут собирать. Чтобы ваши данные не попали куда не надо (например, к русским эскадронам смерти) то нужно самим об этом заботиться, и думать кому их предоставлять
https://t.me/ruheight/1153
Telegram
RUH8
Так что? Теперь уже никому не нужно объяснять зачем русским "персональные данные", которые они достали из реестров в январе-феврале? Зачем нужен был новый ГОСТ на массовые захоронения и сорок пять тысяч мешков? Сборище полицаев, насильников, мародеров и убийц…