Bitcoin Forum

Para quem usa a cold wallet da ledger é bom tomar cuidado. Parece que teve um usuário que teve suas moedas roubadas por causa de extensão do chrome https://criptonizando.com/2020/01/03/google-chrome-extensao-maliciosa-rouba-r-70-mil-em-criptomoedas-de-usuario/ Já não gostava dessa carteira, com essas notícias então.

Mas o que isso tem a ver com a Ledger? Não é culpa ou falha da empresa.

Como o amigo disse acima, isso pode acontecer com qualquer tipo de carteira ao meu ver. A partir que você é vitima de uma aplicação maliciosa fica difícil condenar a empresa. O máximo que ela pode fazer é instruir ao máximo o usuário a sempre verificar o Software que ele está utilizando.

É complicado confiar em extensões e praticamente qualquer aplicativo/programa hoje em dia
É muito fácil eles obterem acesso aos nosso dados, o que digitamos e tudo mais, fácil fácil, ainda mais se tratando de cryptos o pessoal está muito em cima para roubar uns trocados

Eu aqui tomo o maior cuidado possível com programas, extensões, atualizações suspeitas...

Realmente o que aconteceu tem nada a ver com   a ledger

O cara escreveu a seed no computador,  imprimiu usando o Wifi da impressora e baixou uma extensão maliciosa.

Se depois disso tdo ele ainda tiver algum saldo eu ficaria muito surpreso.

E no fim não adiantou nada a segurança do hardware se o problema era o usuário, triste fim

Acredito que o Paredao alertou em especial os usuários da ledger pois eles também poderiam ter a belíssima ideia de instalar essa extensão devido ao nome dela estar vinculada a ledger.

Pressupondo que se eu não tenho uma ledger não vou estar buscando uma extensão chamada Ledger Secure para instalar no meu navegador.  ;D ;D

Isso também ocorre muito nos app's, já listaram app falso da carteira Exodus mais de uma vez na play store:

Alerta Exodus Fevereiro 2019:
https://twitter.com/exodus_io/status/1099250271962755074 (https://twitter.com/exodus_io/status/1099250271962755074)

Alerta Exodus 23 Abril 2018:
https://twitter.com/exodus_io/status/984221014069534720?lang=pt (https://twitter.com/exodus_io/status/984221014069534720?lang=pt)

O mais triste de ler notícias assim, é ver que empresas gastam milhões por ano investindo em segurança de ponta para seus produtos, sites, softwares, no marketing para provar isso, e etc....
Aí criam uma extensão, programa, vírus ou qualquer coisa com o nome da empresa (que poderia ser QUALQUER EMPRESA), sem relação alguma com a mesma.
A notícia se espalha em sites, fórums, redes sociais... com pessoas falando que é a mesma vulnerável, cheia de problemas e tudo mais o que for inverídico... seja por ignorância ou por ódio a mesma. TRISTE!!!

Desembucho isso não apenas para esse casos, mas para tantos outros que já vi por aí e também para um em especial que me atingiu a pouco tempo.
Notícias desse tipo são tão devastadoras como fake-news.

Todo esse investimento em segurança e etc nunca será superado pela ignorância do usuário. Quando se trata de dinheiro as pessoas parecem mais burras

Chegou o usuario chato (eu) ;D

Considero o produto da ledger um hot wallet bem seguro, mas nada de cold wallet

Cold wallet è aquela onde os dados sao fisicamente separados nos meios digitais, para ter uma ideia bem simples: dois computadores completamente separados, aonde aquele que tem as chaves privadas è desconectado totalmente de qualquer meio de comunicaçao externa.

O ledger è conectado atraves de um cabo USB

Não é que isso que você disse faz sentido. Ela não é uma cold wallet, assim como as outras concorrentes. Por isso que ainda mantenho minhas paperwallets enterradas até o dia que o bitcoin chegar a 1 milhão de dólares.  :D :D :D Essa sim podemos dizer que é uma coldwallet. Principalmente se for um lugar de terra fria.  ;D ;D ;D

relembrando as boas práticas de segurança:

1- nunca digitar seeds em devices que estejam conectados a internet
2 - nunca instalar extensões no chrome de procedência duvidosa
3 - evitar arquivos .exe de procedência duvidosa (ao menos em devices em que você movimenta crypto)
4 - sempre usar VPN (https://medium.com/@lucasgabd/what-are-the-top-uses-of-virtual-private-networks-ca56245bb812)
5- fazer backup das chaves privadas preferencialmente offline.

esqueci algo?

Esqueceu que tem que colocar as paperwallets dentro de um recipiente hermeticamente fechado e depois enterra-las. De preferência num local onde a terra não seja muito úmida. E também tem que ver se não tem nenhum vizinho bisbilhotando o que você está fazendo.

Paredao, eu acho que tu viu muitos filmes do Jack Sparrow.
Hilário imaginar alguém enterrando um pedaço de papel e futuramente esquecer de onde eles foram colocados. No caso tu teria um mapa do tesouro deles? Se tiver... a ideia de enterrar os papéis já vai por terra água à baixo.

Já pensou na ideia de de ter apenas uma semente (disposta discretamente no meio de um texto, que só faça sentido para você), espalhada em dois ou três lugares de backup e encriptadas com uma senha da qual tenha certeza que nunca irá esquecer?

Será que se pegar essa semente e enterrar igual o Paredao falou, nasce uma árvore de Bitcoins?

perdão pelo shitpost, não pude deixar essa oportunidade passar...

pra que todo esse trabalho gente.
muito mais simples: quebrar um pedaço da parede.
esconder o recipiente dentro de um tijolo, fechar a parede e pintar de novo.
simples.

Ah, eu já sou mais ressabiado e sigo na linha do ale, Lucas. E ainda teria o backup do backup ;D digamos que um avião caia sobre o local, ou mesmo um incêndio de grandes proporções. Nessa caso, pecar por mais não é demais  ;D 8)


https://i.pinimg.com/originals/9c/c0/82/9cc0826a9cd5f1b6418f95895dad77ea.png

Se rolar por aí ninja, me dá umas sementes pra eu plantar aqui também  ;D

É por ai mesmo, por isso o nome de "semente". Sementes foram feitas para serem enterradas e depois esperar a muda crescer. Quem sabe nasce um "pé de Bitcoin" douradinho.  ;D ;D ;D ;D Pessoal, tem que dar uma descontraída de vez em quando senão o povo fica maluco. Principalmente os traders que investem em shitcoins tipo a Nano.  :D :D :D

Cara, controla tuas paradas num host linux (virtual ou não), exclusivo para controle da carteira e já está bom demais.

VPN só se for para seu provedor não saber o que você está fazendo, mas vc nunca pensou no caso de a propria vpn estar monitorando e sniffando o que tu faz? Quebrar um SSL hoje não é tão difícil (pelo menos os de menor complexidade) com o firewall layer 7.

Exclusivamente em empresas de grande porte. O usuario comun nao è afetado em nemhuma maneira, ao menos que utilize sempre um wifi publico e nem è assim tao comum a colocaçao de firewall bem caros que façam deep packet inspection.

Acho que no exterior o custo de um firewall layer 7 não deve ser tão grande a ponto de inviabilizar. Os caras levantam um serviço VPN legitimo, conseguem nome, vão roubando as informações dos clientes e num dia qualquer executam o crime e varrem geral.

Googlei um da fortnet e apareceu por menos de 1500 dolares, custo abaixo de 0,2 BTC (https://www.avfirewalls.com/FortiGate-100E.asp).

Sobre vulnerabilidade utilizando vpn vi essa noticia na livecoins essa semana, o foco dos ransomwares está nos servidores de vpn e muitos continuam vulneraveis mesmo apos a exposição da falha:

https://livecoins.com.br/voce-utiliza-vpn-cuidado-nova-ameaca-ransomware/ (https://livecoins.com.br/voce-utiliza-vpn-cuidado-nova-ameaca-ransomware/)

Firewall e VPN recomendo levantar em cima do Freebsd, igual BTC tenha sobre sua guarda  ;D ;D ;D ;D

Vpn é bem complicado porque você tem que confiar muito que a empresa responsável é honesta e não está analisando tudo no seu tráfego, o potencial até de vendas de informações é grande

Rapaz: plantei minha seed aqui no Jardim e surgiram vários endereços. Inclusive eles estão à disposição para receberem doação regação de BTC... :D

Já até imagino um futuro tópico possível: stand up crypto, mas com vários níveis de profundidade, pois há muita tecnicidade criptográfica nesse mundo.

Quanto ao assunto do tópico:

Imo as hardware wallets não são hot nem cold, mas hardware mesmo, uma categoria diferente exatamente no meio dessas.

De início tremi na base ao ler sobre esse ataque no Reddit, mas depois vi que foi falha humana.

Ainda não o fiz, mas pretendo deixar backups em mais de um local devido ao risco de incêndio e ter uma proteção extra com uma 25° palavra secreta da seed que também se diz senha né... Pois minha seed é de 24. E não que tenha algo contra o n°, mas proteção em nosso cofre nunca é demais  ;D


Se a NSA descobrir minha seed qual será a facilidade em desvendar a última palavra (ou senha alfanumérica) secreta?

A possibilidade da NSA descobrir sua seed sem a 25a palavra é quase zero. ela ou tem computadores quanticos e quebra a criptografia direto, ou ela espionou você digitando/anotando a seed e consegue ela completa. A 25a palavra é para impedir que pessoas te obriguem  dar a seed pra elas (tipo, um bandido ameaça te matar se vc não der a seed, ou um governo ameaça te prender se vc não der a seed, ai vc dá a seed com a 25a palavra incorreta, preferencialmente uma onde vc colocou um valor irrisório só para essas situações mesmo).

Contra a NSA o que se pode fazer é usar criptografia mais forte e ficar longe de eletronicos que vc não sabe a origem.

Se o recipiente rachar e entrar umidade já era - o ideal seria escrever a seed com BIP39 em placa de titânio.  (inclusive é a prova de fogo)

Ah meu rei, já fui muito assim, mas é complicado fugir das "modernidades". Até curto um pfsense da vida (quem não curte), mas é brabo fazer tudo na unha em ambiente corporativo.

Abs

Só uso recipientes de titânio hermeticamente fechados. Abaixo vou postar a foto de um recipiente parecido com os que eu uso. São pequenos e de fácil manuseio. Para enterrar é uma beleza. Caso queira mais segurança dá para concretar por cima.

https://http2.mlstatic.com/tomshoo-titnio-edc-recipiente-prova-d39agua-capsula-de-D_NQ_NP_611258-MLB30394133319_052019-F.jpg

O contexto que tinha imaginado, mas não expliquei, seria em caso de arrombamento por parte das agências de 3 letras e achassem a seed com as 24 palavras.

Mas muito bem lembrado: colocar poucas doletas nas 24 palavras, outras poucas com a 25° "swordfish"  :D e a reserva de valor com a 25° escolhida.


Isso sim é profissa!

sempre existe essa possibilidade mas não é diferente da possibilidade do governo ou ISPs estarem de olho né?
nesse sentido é so usar uma VPN estabelecida no mercado.

e tem aí alternativas descentralizadas em crypto surgindo, como o BitTUBE e o sentinel, mas aparentemente os serviços não estão super estabelecidos ainda

o melhor mesmo é guardar fundos offline e sempre auditar seu processo de segurança.
ou melhor ainda: ter pouco, aí vc não precisa se preocupar com ser roubado.

Taí, esse sim é o melhor conselho do tópico até o momento! Porra, valeu lucão!

https://images.rapgenius.com/4177135027b01decf42f9ff48ffabe43.250x250x21.gif

 ;D

Brincadeiras à parte, VPN eu só confio no tunnel que eu mesmo criar e olhe lá. Qualquer intermediário, por mais seguro e conhecido que seja, é um ponto de falha e, infelizmente, sempre será :/ não há coisa melhor quer uma bela de uma paper wallet bem guardada e, para uma segurança ainda mais apurada, a geração da tx em um dispositivo offline para só propagar em um online.

A verdade é que a segurança perfeita só depende de nós mesmos!  8)

Poxa, quanto investimento.... agora imagina como deve ser o bunker do Paredao ::)

Quanto as VPN, nunca me senti confiável para usar elas, nem mesmos nas que são bem pagas. Uso eventualmente o TOR e em algumas situações uma lan house (sim, elas ainda existem) ou redes abertas de wifi para esconder o IP de certas "identidades".

Já pensou se voce fosse cliente do BitcoinBanco e vazasse o seu endereço completo? Muita gente ia querer fazer uma jardinagem grátis por ai  ;D  Brincadeira.

Esse é um dos motivos que não transaciono com exchanges que pedem comprovação de endereço. Nunca se sabe como são tratadas essas informações. Tem umas exchanges que quando você olha o pessoal de TI delas dá até medo.