Bitcoin Forum

Local => Новички => Topic started by: Nick_NNN on May 16, 2018, 06:33:17 AM



Title: Безопасная работа с desktop-кошельками
Post by: Nick_NNN on May 16, 2018, 06:33:17 AM
Безопасная работа с кошельками, установленными на компьютере (Bitcoin Core, Ethereum Wallet)

Приватные ключи и безопасность

Приватные ключи к любому адресу дают возможность отправлять средства с этого адреса. При использовании любой программы, установленной на компьютере (Bitcoin Core, Ethereum Wallet) встает вопрос безопасного хранения и использования приватных ключей. Доступ к приватным ключам злоумышленники могут получить только в двух случаях:

  • Вирус присутствует при создании кошелька (контейнера с приватными ключами). В этом момент приватные ключи еще не зашифрованы, соответственно к ним можно получить доступ.
  • Вирус присутствует при отправке средств с кошелька. Данная операция требует пароля от контейнера с приватными ключами, соответственно вирус может перехватить или пароль от контейнера, или сам приватный ключ.

Смотреть баланс и запускать кошелек безопасно даже при наличии вируса, приватные ключи надежно зашифрованы и получить их без пароля невозможно.

Для того, чтобы исключить возможность кражи приватных ключей необходимо:

  • Работать в безопасной среде. Имеется в виду операционная система, в которой максимально исключена возможность присутствия вируса.
  • Иметь оригинальную версию кошелька. Файл, который скачан с официального сайта, контрольные суммы которого проверены спустя некоторое время.

Использование безопасной среды

В качестве такой среды отлично подойдет операционная система, записанная на DVD-диск. Существует много сборок с инсталляциями Windows, которые включают встроенную среду для диагностики компьютера на базе Windows PE. Такая сборка позволяет загрузиться с диска и устанавливать различные программы, в то же время диск является защищенным от записи, и вирус физически не может попасть в эту систему. Важно! Необходимо ответственно подойти к выбору загрузочного диска и выбирать популярные и проверенные сборки операционных систем, чтобы не получить диск уже с вирусом.

Я создал свою сборку Windows 10 PE SE. При записи образа на диск обязательно финализируем (блокируем запись на будущее): Образ Windows 10 PE SE (https://drive.google.com/file/d/1-xouWlIyQ2YeLfuRFzqkP17hcCUSTLc-)

Данный образ был собран с использованием проекта с открытым исходным кодом http://win10se.cwcodes.net/ и проверен несколькими антивирусами. Для сборки использовался оригинальный образ Windows 10.

http://www.vscrypto.com/img/security/winpese10.png

Оригинальная версия кошелька Bitcoin Core

Чтобы быть уверенным в "чистоте" инсталляции программы, ее нужно скачать с официального сайта и через какое-то время проверить контрольные суммы. Официальные сайты тоже могут быть взломаны, и есть вероятность скачивания Вами сборки с вирусом. Bitcoin Core можно скачать отсюда: https://bitcoin.org/ru/download

После скачивания программы ее необходимо добавить в архив с паролем. Это гарантирует на будущее даже при наличии вируса невозможность изменения данного файла.

Bitcoin Core также можно скачать по моей ссылке: Bitcoin Core 0.16.0 (https://drive.google.com/open?id=1y2q7tgwYaf3Qk4RTcnztCHuHIR-e7qXi")
Пароль к архиву: bitcoin112233

Данный файл был создан на телефоне путем скачивания программы с официального сайта и добавлением в архив с паролем. Контрольная сумма инсталляции кошелька была неоднократно сверена с официальной, в том числе при загрузке в безопасной среде. Архив программы можно хранить на жестком диске, например в папке с данными кошелька.

Безопасный платеж в программе Bitcoin Core

  • Загружаемся с диска, распаковываем архив программы Bitcoin Core и устанавливаем ее. Если пароль к архиву не подходит, значит архив заражен вирусом!
  • При запуске программы Bitcoin Core указываем папку, которая используется для хранения данных кошелька (при загрузке с диска Вам будут доступны ваши диски HDD/SDD). Программа запускается, показывает Ваш баланс и готова к работе.

P.S.

Возможно имеет смысл прилепить тему. Я 10 месяцев назад "вошел" в криптовалюты, вопрос безопасного хранения ключей стоял очень остро. Сейчас для всех операций с приватными ключами загружаюсь с DVD-диска, ставлю заново кошелек и работаю.

Кошелек для myetherwallet.com я также создавал себе при загрузке с диска

Для "параноиков" (таких как я) рекомендую создать свой загрузочный диск описанным мною способом и также сделать себе инсталляции кошельков.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Maksimov on May 16, 2018, 07:14:34 AM
Всё это конечно верно, но зачем вы выкладываете свой файл "Bitcoin Core также можно скачать по моей ссылке". Это как-то противоречит основной концепции безопасности: не качать и не запускать программ из не проверенных источников.
Также добавлю, что неплохая альтернатива загрузки с диска - это установка отдельной виртуальной машины исключительно для работы из под неё с приватными ключами.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Nick_NNN on May 16, 2018, 07:29:52 AM
Всё это конечно верно, но зачем вы выкладываете свой файл "Bitcoin Core также можно скачать по моей ссылке". Это как-то противоречит основной концепции безопасности: не качать и не запускать программ из не проверенных источников.

Для примера. Конечно, делать нужно все самому. Кроме того, на сайте доступны контрольные суммы сборок, ее (сумму) один раз обязательно нужно проверить в безопасной среде

Также добавлю, что неплохая альтернатива загрузки с диска - это установка отдельной виртуальной машины исключительно для работы из под неё с приватными ключами.

Я так делаю для WebMony, но там еще подтверждение по SMS. Виртуальная машина будет использовать VHD диск, как бы туда ничего не пролезло с основной машины. Это конечно из разряда фантастики


Title: Re: Безопасная работа с desktop-кошельками
Post by: Nick_NNN on May 16, 2018, 08:47:05 AM
Не знал, что официальные сайты тоже могут быть с вирусами..

На свете ломают все. Теоретически возможно скачать сборку с вирусом внутри, даже если она пролежала на сайте 2 минуты (как пример - вирус Петя в системе обновления Медок прошлым летом). Поэтому переходить на новую версию желательно постепенно, скачали с телефона и добавили в архив сегодня, контрольную сумму проверили через неделю и начали пользоваться


Title: Re: Безопасная работа с desktop-кошельками
Post by: irontrader on September 04, 2018, 01:57:42 PM
А я бы в первом посте написал бы только:

  • покупаешь в магазине средний по цене ноутбук (за 36000 рублей по нынешним временам вполне пойдёт, главное 8 Гб памяти и 2 Тб диск)
  • ставишь на него любимую ЛИЦЕНЗИОННУЮ систему, для которой есть поддержка
  • используешь этот ноутбук только для кошелька

Никаких других программ на ноутбуке быть не должно!

Примерно по такой схеме работать.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Nick_NNN on September 04, 2018, 03:29:52 PM
  • покупаешь в магазине средний по цене ноутбук (за 36000 рублей по нынешним временам вполне пойдёт, главное 8 Гб памяти и 2 Тб диск)
  • ставишь на него любимую ЛИЦЕНЗИОННУЮ систему, для которой есть поддержка
  • используешь этот ноутбук только для кошелька

А разве уязвимости не находят в самом актуальном ПО ? Основная идея метода в том, чтобы система была на носителе ReadOnly, который перед записью и после записи проверяется чем только можно и как только можно, а потом уже используется без риска подцепить что-то на нее. Тот же Petya (EternalBlu который использовал) попадал на актуальные системы в свое время.

Да и в система WinPE сама по себе гораздо устойчивее будет чем лицензия


Title: Re: Безопасная работа с desktop-кошельками
Post by: m2017 on September 04, 2018, 03:59:00 PM
Безопасная работа с кошельками, установленными на компьютере (Bitcoin Core, Ethereum Wallet)

Приватные ключи и безопасность

Приватные ключи к любому адресу дают возможность отправлять средства с этого адреса. При использовании любой программы, установленной на компьютере (Bitcoin Core, Ethereum Wallet) встает вопрос безопасного хранения и использования приватных ключей. Доступ к приватным ключам злоумышленники могут получить только в двух случаях:

  • Вирус присутствует при создании кошелька (контейнера с приватными ключами). В этом момент приватные ключи еще не зашифрованы, соответственно к ним можно получить доступ.
  • Вирус присутствует при отправке средств с кошелька. Данная операция требует пароля от контейнера с приватными ключами, соответственно вирус может перехватить или пароль от контейнера, или сам приватный ключ.

Смотреть баланс и запускать кошелек безопасно даже при наличии вируса, приватные ключи надежно зашифрованы и получить их без пароля невозможно.

Для того, чтобы исключить возможность кражи приватных ключей необходимо:

  • Работать в безопасной среде. Имеется в виду операционная система, в которой максимально исключена возможность присутствия вируса.
  • Иметь оригинальную версию кошелька. Файл, который скачан с официального сайта, контрольные суммы которого проверены спустя некоторое время.

Использование безопасной среды

В качестве такой среды отлично подойдет операционная система, записанная на DVD-диск. Существует много сборок с инсталляциями Windows, которые включают встроенную среду для диагностики компьютера на базе Windows PE. Такая сборка позволяет загрузиться с диска и устанавливать различные программы, в то же время диск является защищенным от записи, и вирус физически не может попасть в эту систему. Важно! Необходимо ответственно подойти к выбору загрузочного диска и выбирать популярные и проверенные сборки операционных систем, чтобы не получить диск уже с вирусом.

Я создал свою сборку Windows 10 PE SE. При записи образа на диск обязательно финализируем (блокируем запись на будущее): Образ Windows 10 PE SE (https://drive.google.com/file/d/1-xouWlIyQ2YeLfuRFzqkP17hcCUSTLc-)

Данный образ был собран с использованием проекта с открытым исходным кодом http://win10se.cwcodes.net/ и проверен несколькими антивирусами. Для сборки использовался оригинальный образ Windows 10.

http://www.vscrypto.com/img/security/winpese10.png

Оригинальная версия кошелька Bitcoin Core

Чтобы быть уверенным в "чистоте" инсталляции программы, ее нужно скачать с официального сайта и через какое-то время проверить контрольные суммы. Официальные сайты тоже могут быть взломаны, и есть вероятность скачивания Вами сборки с вирусом. Bitcoin Core можно скачать отсюда: https://bitcoin.org/ru/download

После скачивания программы ее необходимо добавить в архив с паролем. Это гарантирует на будущее даже при наличии вируса невозможность изменения данного файла.

Bitcoin Core также можно скачать по моей ссылке: Bitcoin Core 0.16.0 (https://drive.google.com/open?id=1y2q7tgwYaf3Qk4RTcnztCHuHIR-e7qXi")
Пароль к архиву: bitcoin112233

Данный файл был создан на телефоне путем скачивания программы с официального сайта и добавлением в архив с паролем. Контрольная сумма инсталляции кошелька была неоднократно сверена с официальной, в том числе при загрузке в безопасной среде. Архив программы можно хранить на жестком диске, например в папке с данными кошелька.

Безопасный платеж в программе Bitcoin Core

  • Загружаемся с диска, распаковываем архив программы Bitcoin Core и устанавливаем ее. Если пароль к архиву не подходит, значит архив заражен вирусом!
  • При запуске программы Bitcoin Core указываем папку, которая используется для хранения данных кошелька (при загрузке с диска Вам будут доступны ваши диски HDD/SDD). Программа запускается, показывает Ваш баланс и готова к работе.

P.S.

Возможно имеет смысл прилепить тему. Я 10 месяцев назад "вошел" в криптовалюты, вопрос безопасного хранения ключей стоял очень остро. Сейчас для всех операций с приватными ключами загружаюсь с DVD-диска, ставлю заново кошелек и работаю.

Кошелек для myetherwallet.com я также создавал себе при загрузке с диска

Для "параноиков" (таких как я) рекомендую создать свой загрузочный диск описанным мною способом и также сделать себе инсталляции кошельков.

1) DVD - прошлый век, поэтому Live CD ставим на флэшку.
2) Устанавливаем не дырявый Windows, а Linux.

Для этого будет достаточно обычной флэшки на 4 Gb. Linux занимает объем около 1 Gb, +\-. Флэшка на USB 3.0 будет чуть шустрее. 2-я флэшка, с инфо под MEW: пароли, json-файл и прочее. 2-ю флэшку подключаем лишь под Live CD, в нашем случае Live Флэшка.

Преимущества: инфо на эту операционку не записать. после перезагрузки\выключения вся инфо стирается, за исключением ОС. Если с кошельком для эфира это выполнимо, то с биткоином это не прокатит.

Можно установить на флэшку полноценную Linux и кошелек под биткоин, например, electrum. Но эти все варианты мне кажутся извращенством, потому что проще купить аппаратный кошелек и не мучиться \ не изобретать велосипед.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Nick_NNN on September 04, 2018, 07:06:35 PM
1) DVD - прошлый век, поэтому Live CD ставим на флэшку.
2) Устанавливаем не дырявый Windows, а Linux.

На современных флешках отсутствует возможность заблокировать запись, следовательно воткнув систему в инфицированную ось можно тоже самое получить и на флешке. Я сам хотел свой LiveCD на флешку записать, не нашел с тумблером запись ON/OFF

Аппаратный кошелек это конечно выход, но начинать с него среднестатический пользователь вряд ли будет


Title: Re: Безопасная работа с desktop-кошельками
Post by: WhiteCollarWorker on September 05, 2018, 04:18:12 AM
  • покупаешь в магазине средний по цене ноутбук (за 36000 рублей по нынешним временам вполне пойдёт, главное 8 Гб памяти и 2 Тб диск)
  • ставишь на него любимую ЛИЦЕНЗИОННУЮ систему, для которой есть поддержка
  • используешь этот ноутбук только для кошелька

А разве уязвимости не находят в самом актуальном ПО ? Основная идея метода в том, чтобы система была на носителе ReadOnly, который перед записью и после записи проверяется чем только можно и как только можно, а потом уже используется без риска подцепить что-то на нее. Тот же Petya (EternalBlu который использовал) попадал на актуальные системы в свое время.

Да и в система WinPE сама по себе гораздо устойчивее будет чем лицензия

В актуальном находят, а в неактуальном уже нашли.

Есть зловреды, которые живут в ОЗУ, а сохраняются в БИОС (не обязательно материнки).

В первом сообщении темы даны ссылки, в том числе на образ ОС, который предлагается скачать. Вывод: либо пост написан неопытным новичком, либо это впаривание трояна.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Nick_NNN on September 05, 2018, 05:33:53 AM
В первом сообщении темы даны ссылки, в том числе на образ ОС, который предлагается скачать. Вывод: либо пост написан неопытным новичком, либо это впаривание трояна.

Дочитайте первое сообщение до конца, а именно последнее предложение. А "впаривание трояна" элементарно проверяется, там образ всего на 200М, скачать и проверить антивирусом слабо?


Title: Re: Безопасная работа с desktop-кошельками
Post by: BurningInside on September 05, 2018, 07:16:10 AM
В первом сообщении темы даны ссылки, в том числе на образ ОС, который предлагается скачать. Вывод: либо пост написан неопытным новичком, либо это впаривание трояна.

Дочитайте первое сообщение до конца, а именно последнее предложение. А "впаривание трояна" элементарно проверяется, там образ всего на 200М, скачать и проверить антивирусом слабо?

Хватит повторять про проверку антивирусом. Проверка антивирусом не даёт гарантий, потому что антивирус запаздывает в отношении новых вирусов, а кастомные может не распознавать годами.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Nick_NNN on September 05, 2018, 07:24:25 AM
Хватит повторять про проверку антивирусом. Проверка антивирусом не даёт гарантий, потому что антивирус запаздывает в отношении новых вирусов, а кастомные может не распознавать годами.

Я же написал что такие диски самому нужно под себя создавать. Оставил ссылки на OpenSource проекта, через который это можно сделать. Или вы думаете WinPeSE тоже мне принадлежит и я туда свои скрипты поставил? :)


Title: Re: Безопасная работа с desktop-кошельками
Post by: Epifanova on September 05, 2018, 09:04:24 AM
Автор большое спасибо за статью , очень полезная информация для меня , успехов тебе!


Title: Re: Безопасная работа с desktop-кошельками
Post by: chimk on September 05, 2018, 09:12:48 AM
А я бы в первом посте написал бы только:

  • покупаешь в магазине средний по цене ноутбук (за 36000 рублей по нынешним временам вполне пойдёт, главное 8 Гб памяти и 2 Тб диск)
  • ставишь на него любимую ЛИЦЕНЗИОННУЮ систему, для которой есть поддержка
  • используешь этот ноутбук только для кошелька

Никаких других программ на ноутбуке быть не должно!

Примерно по такой схеме работать.
Может это не совсем профессионально, но я сделал именно так. Правда несколько раз выйти в интернет с этого компа все равно пришлось. Для скачивания кошелька и отправки кое каких данных через почту на соседний комп. Seed и пароль естественно только на бумаге и в ручную записано. в 2-х экземплярах


Title: Re: Безопасная работа с desktop-кошельками
Post by: numb-f on September 05, 2018, 10:52:08 AM
А я бы в первом посте написал бы только:

  • покупаешь в магазине средний по цене ноутбук (за 36000 рублей по нынешним временам вполне пойдёт, главное 8 Гб памяти и 2 Тб диск)
  • ставишь на него любимую ЛИЦЕНЗИОННУЮ систему, для которой есть поддержка
  • используешь этот ноутбук только для кошелька

Никаких других программ на ноутбуке быть не должно!

Примерно по такой схеме работать.
Может это не совсем профессионально, но я сделал именно так. Правда несколько раз выйти в интернет с этого компа все равно пришлось. Для скачивания кошелька и отправки кое каких данных через почту на соседний комп. Seed и пароль естественно только на бумаге и в ручную записано. в 2-х экземплярах

Это вполне профессионально. Тоже так сделал. В Инет хожу за синхронизацией кошелька и Винда 10 (лицензия) обновления скачивает. Никаких других программ не стоит. Коины в сохранности.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Nick_NNN on September 05, 2018, 11:23:34 AM
Это вполне профессионально. Тоже так сделал. В Инет хожу за синхронизацией кошелька и Винда 10 (лицензия) обновления скачивает. Никаких других программ не стоит. Коины в сохранности.

Ноутбук стоит 500$, аппаратный кошель 100$, зачем переплачивали?

Если уж на то пошло, ИМХО лучше отдельный телефон, на который поставить кошель от BlockChain. Приватные ключи в нем шифруются паролем пользователя, украсть их невозможно взломом сервера, безопасность будет не хуже чем у отдельного ноутбука


Title: Re: Безопасная работа с desktop-кошельками
Post by: m2017 on September 05, 2018, 02:55:37 PM
А я бы в первом посте написал бы только:

  • покупаешь в магазине средний по цене ноутбук (за 36000 рублей по нынешним временам вполне пойдёт, главное 8 Гб памяти и 2 Тб диск)
  • ставишь на него любимую ЛИЦЕНЗИОННУЮ систему, для которой есть поддержка
  • используешь этот ноутбук только для кошелька

Никаких других программ на ноутбуке быть не должно!

Примерно по такой схеме работать.
Может это не совсем профессионально, но я сделал именно так. Правда несколько раз выйти в интернет с этого компа все равно пришлось. Для скачивания кошелька и отправки кое каких данных через почту на соседний комп. Seed и пароль естественно только на бумаге и в ручную записано. в 2-х экземплярах

Мне кажется это несколько дорогой способ решения данного вопроса, но все же, способ. Вообще-то, можно было сделать проще. Хотя понятие проще \ сложнее будет отличаться для всех.

Мне кажется интересным вариант установки дополнительной ОС на внешний диск, привлекательнее всего Linux, чтобы использовать для действий с криптой. Это будет дешевле покупки ноутбука, но придется поплясать немного с бубном. Чтобы при подключении внешнего жесткого диска система (у большинства это Windows) предлагала загрузиться с Linux. Воткнули внешний HDD - пользуемся Linux. Вытащили \ перезагрузились - пользуемся основной ОС.

Либо совсем простой вариант: покупка аппаратного кошелька.

Каждый выбирает исходя своему бюджету и потребностям.


Title: Re: Безопасная работа с desktop-кошельками
Post by: vadia on September 06, 2018, 05:58:24 PM
Интересен вот этот момент "Если пароль к архиву не подходит, значит архив заражен вирусом!"
И вот почему. Я слышал, что хранить приватные ключи и файлы безопасно в запароленых архивах, но получается, что вирус может просто поменять пароль к архиву и невозможно будет его открыть?


Title: Re: Безопасная работа с desktop-кошельками
Post by: Raxxla on September 06, 2018, 06:14:57 PM
Мне кажется это несколько дорогой способ решения данного вопроса, но все же, способ. Вообще-то, можно было сделать проще...

Для людей, у которых по 100 BTC и больше (а таких тут много) - этот способ совсем не дорогой.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Nick_NNN on September 07, 2018, 06:33:09 AM
Мне кажется это несколько дорогой способ решения данного вопроса, но все же, способ. Вообще-то, можно было сделать проще...

Для людей, у которых по 100 BTC и больше (а таких тут много) - этот способ совсем не дорогой.

Согласно "закону бутерброда", чем больше будет баланс на кошельке, тем вероятнее поймать что-нибуть на такую систему. Например, выйти в интернет в публичной сети и быть взломанному по какой-нибуть новой уязвимости


Title: Re: Безопасная работа с desktop-кошельками
Post by: Kings Park on September 11, 2018, 01:11:21 PM
Для "параноиков" (таких как я) рекомендую создать свой загрузочный диск описанным мною способом и также сделать себе инсталляции кошельков.
Настоящие параноики, никогда не будут проводить подобные операции сидя в винде. Только открытый код, только Linux.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Nick_NNN on September 11, 2018, 01:24:01 PM
Для "параноиков" (таких как я) рекомендую создать свой загрузочный диск описанным мною способом и также сделать себе инсталляции кошельков.
Настоящие параноики, никогда не будут проводить подобные операции сидя в винде. Только открытый код, только Linux.

А чем плоха WinPE для такого случая?


Title: Re: Безопасная работа с desktop-кошельками
Post by: Yury1 on September 13, 2018, 06:31:46 AM
Для тех, кто заботится о безопасности это хороший пример того, как можно обходиться без он-лайн кошельков. Думаю, для многих новичков эта инфа будет, наверное, кстати.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Maksimov on September 13, 2018, 07:03:01 AM
Для "параноиков" (таких как я) рекомендую создать свой загрузочный диск описанным мною способом и также сделать себе инсталляции кошельков.
Настоящие параноики, никогда не будут проводить подобные операции сидя в винде. Только открытый код, только Linux.
Linux это не панацея, конечно в общей массе под него вирусов меньше написано, но если вирус специально заточен под кражу крипты, то и под Linux без проблем сборки делают, т.к. игра стоит свеч.


Title: Re: Безопасная работа с desktop-кошельками
Post by: Andrey123 on September 13, 2018, 09:09:45 AM
Параноидальная тема какая-то....на кой хер качать этот Коре, когда можно за сотку евро купить нормальный аппаратный кошелёк?
Либо вообще сделать бумажный адрес и снести всё накуй!!!

Столько лет использую десятки различных кошельков, разных монет и не видел вируса, который как-то проникнет, да узнает что надо тырить определённые файлы, да именно этой монеты, да переотправлять его куда-то....

Шиза.... ;D