Title: Безопасная работа с desktop-кошельками Post by: Nick_NNN on May 16, 2018, 06:33:17 AM Безопасная работа с кошельками, установленными на компьютере (Bitcoin Core, Ethereum Wallet)
Приватные ключи и безопасность Приватные ключи к любому адресу дают возможность отправлять средства с этого адреса. При использовании любой программы, установленной на компьютере (Bitcoin Core, Ethereum Wallet) встает вопрос безопасного хранения и использования приватных ключей. Доступ к приватным ключам злоумышленники могут получить только в двух случаях:
Смотреть баланс и запускать кошелек безопасно даже при наличии вируса, приватные ключи надежно зашифрованы и получить их без пароля невозможно. Для того, чтобы исключить возможность кражи приватных ключей необходимо:
Использование безопасной среды В качестве такой среды отлично подойдет операционная система, записанная на DVD-диск. Существует много сборок с инсталляциями Windows, которые включают встроенную среду для диагностики компьютера на базе Windows PE. Такая сборка позволяет загрузиться с диска и устанавливать различные программы, в то же время диск является защищенным от записи, и вирус физически не может попасть в эту систему. Важно! Необходимо ответственно подойти к выбору загрузочного диска и выбирать популярные и проверенные сборки операционных систем, чтобы не получить диск уже с вирусом. Я создал свою сборку Windows 10 PE SE. При записи образа на диск обязательно финализируем (блокируем запись на будущее): Образ Windows 10 PE SE (https://drive.google.com/file/d/1-xouWlIyQ2YeLfuRFzqkP17hcCUSTLc-) Данный образ был собран с использованием проекта с открытым исходным кодом http://win10se.cwcodes.net/ и проверен несколькими антивирусами. Для сборки использовался оригинальный образ Windows 10. http://www.vscrypto.com/img/security/winpese10.png Оригинальная версия кошелька Bitcoin Core Чтобы быть уверенным в "чистоте" инсталляции программы, ее нужно скачать с официального сайта и через какое-то время проверить контрольные суммы. Официальные сайты тоже могут быть взломаны, и есть вероятность скачивания Вами сборки с вирусом. Bitcoin Core можно скачать отсюда: https://bitcoin.org/ru/download После скачивания программы ее необходимо добавить в архив с паролем. Это гарантирует на будущее даже при наличии вируса невозможность изменения данного файла. Bitcoin Core также можно скачать по моей ссылке: Bitcoin Core 0.16.0 (https://drive.google.com/open?id=1y2q7tgwYaf3Qk4RTcnztCHuHIR-e7qXi") Пароль к архиву: bitcoin112233 Данный файл был создан на телефоне путем скачивания программы с официального сайта и добавлением в архив с паролем. Контрольная сумма инсталляции кошелька была неоднократно сверена с официальной, в том числе при загрузке в безопасной среде. Архив программы можно хранить на жестком диске, например в папке с данными кошелька. Безопасный платеж в программе Bitcoin Core
P.S. Возможно имеет смысл прилепить тему. Я 10 месяцев назад "вошел" в криптовалюты, вопрос безопасного хранения ключей стоял очень остро. Сейчас для всех операций с приватными ключами загружаюсь с DVD-диска, ставлю заново кошелек и работаю. Кошелек для myetherwallet.com я также создавал себе при загрузке с диска Для "параноиков" (таких как я) рекомендую создать свой загрузочный диск описанным мною способом и также сделать себе инсталляции кошельков. Title: Re: Безопасная работа с desktop-кошельками Post by: Maksimov on May 16, 2018, 07:14:34 AM Всё это конечно верно, но зачем вы выкладываете свой файл "Bitcoin Core также можно скачать по моей ссылке". Это как-то противоречит основной концепции безопасности: не качать и не запускать программ из не проверенных источников.
Также добавлю, что неплохая альтернатива загрузки с диска - это установка отдельной виртуальной машины исключительно для работы из под неё с приватными ключами. Title: Re: Безопасная работа с desktop-кошельками Post by: Nick_NNN on May 16, 2018, 08:47:05 AM Не знал, что официальные сайты тоже могут быть с вирусами.. На свете ломают все. Теоретически возможно скачать сборку с вирусом внутри, даже если она пролежала на сайте 2 минуты (как пример - вирус Петя в системе обновления Медок прошлым летом). Поэтому переходить на новую версию желательно постепенно, скачали с телефона и добавили в архив сегодня, контрольную сумму проверили через неделю и начали пользоваться Всё это конечно верно, но зачем вы выкладываете свой файл "Bitcoin Core также можно скачать по моей ссылке". Это как-то противоречит основной концепции безопасности: не качать и не запускать программ из не проверенных источников. Для примера. Конечно, делать нужно все самому. Кроме того, на сайте доступны контрольные суммы сборок, ее (сумму) один раз обязательно нужно проверить в безопасной среде Также добавлю, что неплохая альтернатива загрузки с диска - это установка отдельной виртуальной машины исключительно для работы из под неё с приватными ключами. Я так делаю для WebMony, но там еще подтверждение по SMS. Виртуальная машина будет использовать VHD диск, как бы туда ничего не пролезло с основной машины. Это конечно из разряда фантастики Title: Re: Безопасная работа с desktop-кошельками Post by: irontrader on September 04, 2018, 01:57:42 PM А я бы в первом посте написал бы только:
Никаких других программ на ноутбуке быть не должно! Примерно по такой схеме работать. Title: Re: Безопасная работа с desktop-кошельками Post by: Nick_NNN on September 04, 2018, 03:29:52 PM
А разве уязвимости не находят в самом актуальном ПО ? Основная идея метода в том, чтобы система была на носителе ReadOnly, который перед записью и после записи проверяется чем только можно и как только можно, а потом уже используется без риска подцепить что-то на нее. Тот же Petya (EternalBlu который использовал) попадал на актуальные системы в свое время. Да и в система WinPE сама по себе гораздо устойчивее будет чем лицензия Title: Re: Безопасная работа с desktop-кошельками Post by: m2017 on September 04, 2018, 03:59:00 PM Безопасная работа с кошельками, установленными на компьютере (Bitcoin Core, Ethereum Wallet) Приватные ключи и безопасность Приватные ключи к любому адресу дают возможность отправлять средства с этого адреса. При использовании любой программы, установленной на компьютере (Bitcoin Core, Ethereum Wallet) встает вопрос безопасного хранения и использования приватных ключей. Доступ к приватным ключам злоумышленники могут получить только в двух случаях:
Смотреть баланс и запускать кошелек безопасно даже при наличии вируса, приватные ключи надежно зашифрованы и получить их без пароля невозможно. Для того, чтобы исключить возможность кражи приватных ключей необходимо:
Использование безопасной среды В качестве такой среды отлично подойдет операционная система, записанная на DVD-диск. Существует много сборок с инсталляциями Windows, которые включают встроенную среду для диагностики компьютера на базе Windows PE. Такая сборка позволяет загрузиться с диска и устанавливать различные программы, в то же время диск является защищенным от записи, и вирус физически не может попасть в эту систему. Важно! Необходимо ответственно подойти к выбору загрузочного диска и выбирать популярные и проверенные сборки операционных систем, чтобы не получить диск уже с вирусом. Я создал свою сборку Windows 10 PE SE. При записи образа на диск обязательно финализируем (блокируем запись на будущее): Образ Windows 10 PE SE (https://drive.google.com/file/d/1-xouWlIyQ2YeLfuRFzqkP17hcCUSTLc-) Данный образ был собран с использованием проекта с открытым исходным кодом http://win10se.cwcodes.net/ и проверен несколькими антивирусами. Для сборки использовался оригинальный образ Windows 10. http://www.vscrypto.com/img/security/winpese10.png Оригинальная версия кошелька Bitcoin Core Чтобы быть уверенным в "чистоте" инсталляции программы, ее нужно скачать с официального сайта и через какое-то время проверить контрольные суммы. Официальные сайты тоже могут быть взломаны, и есть вероятность скачивания Вами сборки с вирусом. Bitcoin Core можно скачать отсюда: https://bitcoin.org/ru/download После скачивания программы ее необходимо добавить в архив с паролем. Это гарантирует на будущее даже при наличии вируса невозможность изменения данного файла. Bitcoin Core также можно скачать по моей ссылке: Bitcoin Core 0.16.0 (https://drive.google.com/open?id=1y2q7tgwYaf3Qk4RTcnztCHuHIR-e7qXi") Пароль к архиву: bitcoin112233 Данный файл был создан на телефоне путем скачивания программы с официального сайта и добавлением в архив с паролем. Контрольная сумма инсталляции кошелька была неоднократно сверена с официальной, в том числе при загрузке в безопасной среде. Архив программы можно хранить на жестком диске, например в папке с данными кошелька. Безопасный платеж в программе Bitcoin Core
P.S. Возможно имеет смысл прилепить тему. Я 10 месяцев назад "вошел" в криптовалюты, вопрос безопасного хранения ключей стоял очень остро. Сейчас для всех операций с приватными ключами загружаюсь с DVD-диска, ставлю заново кошелек и работаю. Кошелек для myetherwallet.com я также создавал себе при загрузке с диска Для "параноиков" (таких как я) рекомендую создать свой загрузочный диск описанным мною способом и также сделать себе инсталляции кошельков. 1) DVD - прошлый век, поэтому Live CD ставим на флэшку. 2) Устанавливаем не дырявый Windows, а Linux. Для этого будет достаточно обычной флэшки на 4 Gb. Linux занимает объем около 1 Gb, +\-. Флэшка на USB 3.0 будет чуть шустрее. 2-я флэшка, с инфо под MEW: пароли, json-файл и прочее. 2-ю флэшку подключаем лишь под Live CD, в нашем случае Live Флэшка. Преимущества: инфо на эту операционку не записать. после перезагрузки\выключения вся инфо стирается, за исключением ОС. Если с кошельком для эфира это выполнимо, то с биткоином это не прокатит. Можно установить на флэшку полноценную Linux и кошелек под биткоин, например, electrum. Но эти все варианты мне кажутся извращенством, потому что проще купить аппаратный кошелек и не мучиться \ не изобретать велосипед. Title: Re: Безопасная работа с desktop-кошельками Post by: Nick_NNN on September 04, 2018, 07:06:35 PM 1) DVD - прошлый век, поэтому Live CD ставим на флэшку. 2) Устанавливаем не дырявый Windows, а Linux. На современных флешках отсутствует возможность заблокировать запись, следовательно воткнув систему в инфицированную ось можно тоже самое получить и на флешке. Я сам хотел свой LiveCD на флешку записать, не нашел с тумблером запись ON/OFF Аппаратный кошелек это конечно выход, но начинать с него среднестатический пользователь вряд ли будет Title: Re: Безопасная работа с desktop-кошельками Post by: WhiteCollarWorker on September 05, 2018, 04:18:12 AM
А разве уязвимости не находят в самом актуальном ПО ? Основная идея метода в том, чтобы система была на носителе ReadOnly, который перед записью и после записи проверяется чем только можно и как только можно, а потом уже используется без риска подцепить что-то на нее. Тот же Petya (EternalBlu который использовал) попадал на актуальные системы в свое время. Да и в система WinPE сама по себе гораздо устойчивее будет чем лицензия В актуальном находят, а в неактуальном уже нашли. Есть зловреды, которые живут в ОЗУ, а сохраняются в БИОС (не обязательно материнки). В первом сообщении темы даны ссылки, в том числе на образ ОС, который предлагается скачать. Вывод: либо пост написан неопытным новичком, либо это впаривание трояна. Title: Re: Безопасная работа с desktop-кошельками Post by: Nick_NNN on September 05, 2018, 05:33:53 AM В первом сообщении темы даны ссылки, в том числе на образ ОС, который предлагается скачать. Вывод: либо пост написан неопытным новичком, либо это впаривание трояна. Дочитайте первое сообщение до конца, а именно последнее предложение. А "впаривание трояна" элементарно проверяется, там образ всего на 200М, скачать и проверить антивирусом слабо? Title: Re: Безопасная работа с desktop-кошельками Post by: BurningInside on September 05, 2018, 07:16:10 AM В первом сообщении темы даны ссылки, в том числе на образ ОС, который предлагается скачать. Вывод: либо пост написан неопытным новичком, либо это впаривание трояна. Дочитайте первое сообщение до конца, а именно последнее предложение. А "впаривание трояна" элементарно проверяется, там образ всего на 200М, скачать и проверить антивирусом слабо? Хватит повторять про проверку антивирусом. Проверка антивирусом не даёт гарантий, потому что антивирус запаздывает в отношении новых вирусов, а кастомные может не распознавать годами. Title: Re: Безопасная работа с desktop-кошельками Post by: Nick_NNN on September 05, 2018, 07:24:25 AM Хватит повторять про проверку антивирусом. Проверка антивирусом не даёт гарантий, потому что антивирус запаздывает в отношении новых вирусов, а кастомные может не распознавать годами. Я же написал что такие диски самому нужно под себя создавать. Оставил ссылки на OpenSource проекта, через который это можно сделать. Или вы думаете WinPeSE тоже мне принадлежит и я туда свои скрипты поставил? :) Title: Re: Безопасная работа с desktop-кошельками Post by: chimk on September 05, 2018, 09:12:48 AM А я бы в первом посте написал бы только: Может это не совсем профессионально, но я сделал именно так. Правда несколько раз выйти в интернет с этого компа все равно пришлось. Для скачивания кошелька и отправки кое каких данных через почту на соседний комп. Seed и пароль естественно только на бумаге и в ручную записано. в 2-х экземплярах
Никаких других программ на ноутбуке быть не должно! Примерно по такой схеме работать. Title: Re: Безопасная работа с desktop-кошельками Post by: numb-f on September 05, 2018, 10:52:08 AM А я бы в первом посте написал бы только: Может это не совсем профессионально, но я сделал именно так. Правда несколько раз выйти в интернет с этого компа все равно пришлось. Для скачивания кошелька и отправки кое каких данных через почту на соседний комп. Seed и пароль естественно только на бумаге и в ручную записано. в 2-х экземплярах
Никаких других программ на ноутбуке быть не должно! Примерно по такой схеме работать. Это вполне профессионально. Тоже так сделал. В Инет хожу за синхронизацией кошелька и Винда 10 (лицензия) обновления скачивает. Никаких других программ не стоит. Коины в сохранности. Title: Re: Безопасная работа с desktop-кошельками Post by: Nick_NNN on September 05, 2018, 11:23:34 AM Это вполне профессионально. Тоже так сделал. В Инет хожу за синхронизацией кошелька и Винда 10 (лицензия) обновления скачивает. Никаких других программ не стоит. Коины в сохранности. Ноутбук стоит 500$, аппаратный кошель 100$, зачем переплачивали? Если уж на то пошло, ИМХО лучше отдельный телефон, на который поставить кошель от BlockChain. Приватные ключи в нем шифруются паролем пользователя, украсть их невозможно взломом сервера, безопасность будет не хуже чем у отдельного ноутбука Title: Re: Безопасная работа с desktop-кошельками Post by: m2017 on September 05, 2018, 02:55:37 PM А я бы в первом посте написал бы только: Может это не совсем профессионально, но я сделал именно так. Правда несколько раз выйти в интернет с этого компа все равно пришлось. Для скачивания кошелька и отправки кое каких данных через почту на соседний комп. Seed и пароль естественно только на бумаге и в ручную записано. в 2-х экземплярах
Никаких других программ на ноутбуке быть не должно! Примерно по такой схеме работать. Мне кажется это несколько дорогой способ решения данного вопроса, но все же, способ. Вообще-то, можно было сделать проще. Хотя понятие проще \ сложнее будет отличаться для всех. Мне кажется интересным вариант установки дополнительной ОС на внешний диск, привлекательнее всего Linux, чтобы использовать для действий с криптой. Это будет дешевле покупки ноутбука, но придется поплясать немного с бубном. Чтобы при подключении внешнего жесткого диска система (у большинства это Windows) предлагала загрузиться с Linux. Воткнули внешний HDD - пользуемся Linux. Вытащили \ перезагрузились - пользуемся основной ОС. Либо совсем простой вариант: покупка аппаратного кошелька. Каждый выбирает исходя своему бюджету и потребностям. Title: Re: Безопасная работа с desktop-кошельками Post by: vadia on September 06, 2018, 05:58:24 PM Интересен вот этот момент "Если пароль к архиву не подходит, значит архив заражен вирусом!"
И вот почему. Я слышал, что хранить приватные ключи и файлы безопасно в запароленых архивах, но получается, что вирус может просто поменять пароль к архиву и невозможно будет его открыть? Title: Re: Безопасная работа с desktop-кошельками Post by: Raxxla on September 06, 2018, 06:14:57 PM Мне кажется это несколько дорогой способ решения данного вопроса, но все же, способ. Вообще-то, можно было сделать проще... Для людей, у которых по 100 BTC и больше (а таких тут много) - этот способ совсем не дорогой. Title: Re: Безопасная работа с desktop-кошельками Post by: Nick_NNN on September 07, 2018, 06:33:09 AM Мне кажется это несколько дорогой способ решения данного вопроса, но все же, способ. Вообще-то, можно было сделать проще... Для людей, у которых по 100 BTC и больше (а таких тут много) - этот способ совсем не дорогой. Согласно "закону бутерброда", чем больше будет баланс на кошельке, тем вероятнее поймать что-нибуть на такую систему. Например, выйти в интернет в публичной сети и быть взломанному по какой-нибуть новой уязвимости Title: Re: Безопасная работа с desktop-кошельками Post by: Kings Park on September 11, 2018, 01:11:21 PM Для "параноиков" (таких как я) рекомендую создать свой загрузочный диск описанным мною способом и также сделать себе инсталляции кошельков. Настоящие параноики, никогда не будут проводить подобные операции сидя в винде. Только открытый код, только Linux.Title: Re: Безопасная работа с desktop-кошельками Post by: Nick_NNN on September 11, 2018, 01:24:01 PM Для "параноиков" (таких как я) рекомендую создать свой загрузочный диск описанным мною способом и также сделать себе инсталляции кошельков. Настоящие параноики, никогда не будут проводить подобные операции сидя в винде. Только открытый код, только Linux.А чем плоха WinPE для такого случая? Title: Re: Безопасная работа с desktop-кошельками Post by: Yury1 on September 13, 2018, 06:31:46 AM Для тех, кто заботится о безопасности это хороший пример того, как можно обходиться без он-лайн кошельков. Думаю, для многих новичков эта инфа будет, наверное, кстати.
Title: Re: Безопасная работа с desktop-кошельками Post by: Maksimov on September 13, 2018, 07:03:01 AM Для "параноиков" (таких как я) рекомендую создать свой загрузочный диск описанным мною способом и также сделать себе инсталляции кошельков. Настоящие параноики, никогда не будут проводить подобные операции сидя в винде. Только открытый код, только Linux.Title: Re: Безопасная работа с desktop-кошельками Post by: Andrey123 on September 13, 2018, 09:09:45 AM Параноидальная тема какая-то....на кой хер качать этот Коре, когда можно за сотку евро купить нормальный аппаратный кошелёк?
Либо вообще сделать бумажный адрес и снести всё накуй!!! Столько лет использую десятки различных кошельков, разных монет и не видел вируса, который как-то проникнет, да узнает что надо тырить определённые файлы, да именно этой монеты, да переотправлять его куда-то.... Шиза.... ;D |