Congrats for the community effort. OP: I hope you realize that you will have to put quite a lot of work into this, maybe more than you imagined at the beginning. A lot of hardware and investors to manage  |
|
|
|
Jejeje, Billy, eres rápido. Me has pillado la cita en los dos minutos de reflexión en los que he tenido el mensaje antes de modificarlo. No hay problema, creo que pequé un poco de ingenuo en el consejo. Ya leí tu contestación. Me encantó lo del hijo cocachas que tira de script... Bastante real |
|
|
|
|
Well, he is not even using a unique address for collecting the funds. That's very lame to say the least. Before investing please verify that this guy knows what he is doing.
|
|
|
|
|
Hi, my Max OSX firewall is asking me if I want ARMORY to accept incoming traffic. Why is this? I thought armory was relying in Bitcoin-QT, which is the one doing the listening... Am I correct?
Just curiosity, because even if I don't allow armory to accept incoming traffic, it works OK when broadcasting offline transmissions or displaying received funds.
|
|
|
|
Se supone que la libreta está en tu entorno privado. Si conoces a algún cracker en tu entorno físico con acceso al pc de tu casa, por ejemplo, es evidente que este consejo no sirve. La mayoría de gente utiliza contraseñas mucho más simples y las repite en los diferentes lugares. Con que solamente tomasen dicho consejo o utilizasen contraseñas largas, me es indiferente, mejoraría la seguridad en este aspecto varios órdenes de magnitud, por supuesto, que una clave de 30 caracteres sea como sea es suficientemente robusta, pero aún así existen multitud de servicios que limitan la longitud de la contraseña que puedes introducir.
¿Entonces por qué no apuntar en la libreta la contraseña completa? En términos de seguridad, apuntarla completa o dejando fuera sólo "-MslM" es lo mismo. Estoy de acuerdo en que repetir contraseñas es el peor de los crímenes, pero creo hay que decirle a la gente que "pR%4$klXfT" es menos seguro que " correcto caballo bujía bateria", y como es obvio también es muchísimo más difícil que recordar. Si te limitan los caracteres, pR%4$klXfT puede valer (con un buen gestor de passwords tipo LastPass o 1Password, porque eso no hay dios que lo recuerde). Si no te lo limitan, y salvo la banca online (que es de locos) para las cosas importantes no suelen limitartelo, lo mejor es ir a por una contraseña larga pero fácil de recordar, y así no la tendrás que apuntar en ninguna parte (ni siquiera en tu gestor de passwords). |
|
|
|
Hola, he aterrizado hace unos dias en ésta historia de los bitcoins y me ha parecido bastante interesante la propuesta de rampion sobre la compra del ASICs, siento llegar tarde pero creo que se hicieron dos ordenes de compra, todavia se puede utilizar la otra? no lo digo porque yo la quisiera comprar ya que ni siquiera tengo bitcoins (estoy en ello) pero se podría comprar el otro con la gente interesada y hacer dos grupos, siendo rampion el encargado de gestionarlo, yo estoy dispuesto a comprar 10 bitcoins ya mismo. Aunque imagino que la otra orden la habran anulado.
Resido en Madrid CP 28700.
El otro pedido no parece cancelado, pero sigue impagado. Ni siquiera contacté a Avalon porque conseguimos poner un pedido nuevo, y pagarlo en el acto. Si consigues el monto total (76.46 BTC) mándame un PM y lo vemos. |
|
|
|
Además, da igual lo bueno que sea el servicio de dropbox, cada vez que lo usas online tu pc podría estar comprometido robando la información y punto. Dropbox o cualquier otro servicio, como Blockchain.info.
Sé que parece paranoico, pero hay que aceptar la premisa de que un ordenador conectado a internet pudo haber sido comprometido. A partir de ahí, hablamos.
Esta es la pura y simple realidad. Y cuando usas un fichero, por muy encriptado que estés, lo desencriptas. Y en ese momento, si estás online, puede ser reenviado a un atacante. |
|
|
|
Cuidado. Dropbox NO CIFRA NI ENCRIPTA los datos. Allinvain (al que le robaron los 25K, solo 1.500.000€ al cambio) cree que su wallet se lo mangaron de su dropbox, de hecho se han filtrado hace no más de año y medio cientos de miles de usuarios+passwords de la base de datos de dropbox. Ahora dropbox acaba de empezar con 2FA ( https://www.dropbox.com/help/363/es) lo que lo hace más seguro, pero aún así NI CIFRA NI ENCRIPTA. Según la web de Dropbox: - Dropbox uses modern encryption methods to both transfer and store your data. - Secure Sockets Layer (SSL) and AES-256 bit encryption. ¿No es cierto? Sí, pero Dropbox almacena una copia de tu contraseña. Los empleados de dropbox pueden desencriptar tus datos. Exacto, es un problema estructural por cómo está diseñado el sistema |
|
|
|
ni siquiera tecleo mis passwords, porque uso LastPass... (vaya, que estoy confiando también todas mis passwords a un servicio externo, pero me fío).
Si te refieres a que no las tecleas porque usas copiar y pegar, algunos keyloggers detectan la acción de pegar y echan un ojo en el portapapeles. La seguridad completa no existe... Si tengo mi backup en local, en un servidor dedicado sin conexión a internet, y un día se me inunda la casa o entra un ladrón y se lleva el equipo, a lo mejor me quedo sin mis bitcoins. Quizás en ese caso habría sido mejor tenerlos también en un servidor on-line.... no?
El ladrón se habrá llevado una copia cifrada del wallet.dat, que de nada le sirve si desconoce la contraseña. Y tú tendrás otras copias por ahí, algunas de ellas offline y algunas online. Por ejemplo, y como ya he mencionado alguna vez, yo guardo una copia oculta en varias imágenes usando esteganografía, y están ahí a la vista en el dropbox. La única forma de estar totalmente seguro de que un "hacker" no te robará tus bitcoins es consiguiendo que tus claves privadas no vean jamás la red. Guardar tu wallet encriptado en dropbox, igual dentro de un video que esconde otro volumen de Truecrypt, en teoría es segurísimo. Pero no nos olvidemos que el factor humano es el más débil: igual has utilizado como contraseña de encriptación del wallet la misma contraseña (o parte) que utilizas para Ebay, o Lastpass, o Dropbox, o GPG.... Un atacante sofisticado puede utilizar ese info y acabar desencriptando tu wallet, por culpa de un error humano. Si tus claves privadas (wallet.dat, wallet de armory, etc.) jamás ven la red, un atacante remoto jamás podrá robarte tus btc. Vivir sin dropbox parece difícil, pero tampoco lo es tanto si guardas la copia de seguridad de tu wallet en varios CDs (usando imágenes+estenografía, si gustas) que luego dejas también en el coche y en un cajón de la oficina... Y por cierto: con Armory puedes generar un backup en papel que te permite recuperar las claves de TODAS tus direcciones, incluso las que has generado después de imprimir el papel... Para siempre. Basta con guardar ese papel en una caja fuerte/caja de seguridad de un banco... Y sabes que por mucho que se te inunde la casa o te roben el ordenador, ahí estará. |
|
|
|
Por ejemplo, y como ya he mencionado alguna vez, yo guardo una copia oculta en varias imágenes usando esteganografía, y están ahí a la vista en el dropbox.
La verdad es que yo tengo configuradas las copias automáticas desde Blockchain.info a mi Dropbox, sin esteganografía ni nada, y no me parece inseguro. Mi backup está cifrado con mi contraseña de Blockchain.info, y a su vez al estar en Dropbox está cifrado con mi contraseña de Dropbox. Cuidado. Dropbox NO CIFRA NI ENCRIPTA los datos. Allinvain (al que le robaron los 25K, solo 1.500.000€ al cambio) cree que su wallet se lo mangaron de su dropbox, de hecho se han filtrado hace no más de año y medio cientos de miles de usuarios+passwords de la base de datos de dropbox. Ahora dropbox acaba de empezar con 2FA ( https://www.dropbox.com/help/363/es) lo que lo hace más seguro, pero aún así NI CIFRA NI ENCRIPTA. Lo dicho: para transacciones del día a día blockchain con 2FA* es suficientemente seguro. Para los ahorros de una vida, yo no me la jugaría con ellos ni de coña. *SIEMPRE CON 2FA. A TODOS LOS QUE LES HAN ROBADO DE BLOCKCHAIN.INFO, NO TENIAN 2FA. LO MISMO VALE PARA MTGOX, ETC. |
|
|
|
Todo depende del "vector de ataque" del que te quieras proteger. En mi opinión con los bitcoins el peligro más grande está, por el momento, en un ataque remoto a través de internet. Aún es poco probable con un ladrón se ponga a rebuscar entre tus cds o tus pendrives para encontrar ese volumen encriptado que contiene tu "wallet", o a hojear tus libros a ver si encuentra una hoja llena de letras con la que recuperar tu "maletín virtual"... Porque gracias a Armory también puedes guardar en papel tus wallet y el acceso a las llaves de todas tus direcciones, presentes y futuras.... ¿Lo sabías? Si buceas en el foro, verás que ha habido muchos robos en MtGox, blockchain, e incluso de clientes locales online. A allinvain, ilustre minero y coforero nuestro, le mangaron 25.000 BTC (si, 25K) de su hot wallet. Y ya hay mucho malware que busca precisamente robarte tu wallet (incluso las claves en RAM), además de convertirte en "esclavo" de botnets para minar. Y por cierto, uno de los más famosos ataca exclusivamente a los mac: http://www.f-secure.com/v-descs/backdoor_osx_devilrobber_a.shtml. Yo también lleva décadas usando sólo linux o mac, pero por mucho que sean sistemas estructuralmente más seguros y que existan herramientas maravillosas como Little Snitch, no podemos considerarnos libres de malware. Es, simplemente, una falacia. Por otro lado, verás que no hay una sola historia de alguien a quien le hayan robado el ordenador, y que a partir de ahí le hayan robado también los bitcoins. En un sistema online (que puede ser un disco duro interno, externo o simplemente un pendrive) puedes utilizar encriptación en todo el disco, añadiendo capas de seguridad a tu sistema (encriptación de disco + encriptación del wallet, password fuertes, etc.). Si te roban ese pendrive o ese disco duro externo, tu info será completamente inaccesible. También puedes meter ese disco/usb/ordenador en una caja fuerte, y ahí tienes una capa más de seguridad. Cuando estás online, esas capas de seguridad te protegen menos porque en algún momento la información valiosa estará desencriptada en RAM (mientras la usas), y un malware decente esperará a ese momento para reenviársela al atacante. Por último, claro que alguien puede saber que tienes bitcoins y pegarte una paliza hasta que se los des todos. Pero repito: todo depende del vector de ataque del que te quieras proteger, y el peligro mayor actualmente está online. |
|
|
|
|
The truth is that they are spending money to get more newbies sucked in their preorder scheme. With already at least 20k preorders in the backlog and without even a working prototype. It's a shame.
|
|
|
|
Buenas,
Se supone que tus claves en blockchain.info están encriptadas y se desencriptan de forma local en el navegador con Javascript, no?
Además, te permite guardarte una copia de seguridad encriptada que se puede importar y utilizar desde el cliente Multibit.
¿Tan inseguro lo veis? ¿Por qué?
Gracias, un saludo.
En general debes considerar una clave insegura si la has creado en un ordenador que haya estado conectado a internet en algún momento. Tus claves de blockchain.info, da igual como de encriptadas estén, son vulnerables a ser robadas con un keylogger ahora o pudieron ser robadas cuando las creaste. Para ahorros en serio, la única opción razonable es crear las claves en un ordenador offline y limpio y no dejar jamas que vean la red. Las transacciones deben ser firmadas offline también. Lógicamente hay que buscar un equilibrio entre seguridad y usabilidad. Las medidas de seguridad de blockchain.info son sólidas, pero para proteger tu calderilla, nada más. Hombre... El par de claves se genera automáticamente, tú lo único que tecleas (es decir, susceptible de ser interceptado por un keylogger) es la contraseña que encripta dicho par de claves asimétricas. Pero claro, si pensamos que puede haber un keylogger, tampoco podríamos entrar nunca a un banco on-line, por ejemplo. Es decir, que sí, que lo más seguro es no conectarse jamás a internet... pero el hecho de suponer que en el ordenador de mi casa no va a haber un keylogger (teniendo en cuenta que su dueño tiene ciertos conocimientos y no instala cosas raras) es algo bastante razonable. Lo que te ha explicado Ogig es la realidad: si quieres un alto nivel de seguridad para tus ahorros, las claves privadas nunca deben ver la red. La compración con la banca online es pésima: tu banco GARANTIZA tus ahorros. Viajo bastante, y mi tarjeta ha sido clonada un par de veces. Siempre me han devuelto el dinero. Si te "hackean" la cuenta del banco, tranquilo: el banco GARANTIZA tu saldo. Con el bitcoin, es todo lo contrario. Imáginate tu cartera, online u offline, como una maleta llena de efectivo. Si te lo roban, jamás volverás a ver esa malet. Por eso mismo tienes que proteger más tus bitcoins de lo que proteges tu cuenta de banca online. Además: qué pasa si Blockchain.info quiebra? Si un banco quiebra, al menos el estado garantiza hasta una cantidad X. Qué pasa si un día se cae y nunca vuelve a estar online? Lo dicho: tu cartera de bitcoins es como una maleta llena de billetes. Cuando usas blockchain.info, tu maleta la tiene SIEMPRE Y SOLO blockchain.info, POR MUCHO QUE LA LLAVE SOLO LA TENGAS TÚ. No quiero decir que blockchain.info sea inseguro: si usas 2FA, es de lo mejorcito que hay en cuanto a "hot wallets". Pero el grueso de tus ahorros no lo llevas en una cartera que sacas a la calle, ¿verdad? No, lo tienes en una caja fuerte. En el mundo bitcoin, caja fuerte = sistema offline. |
|
|
|
|
Vaya, tienes que meter afiliados para que te paguen algo... Un poco ponzi, ¿no? Sin ofender...
|
|
|
|
Batch #1 and Batch #2 units had their value stated in USD on the website. Batch #3 was always listed in BTC only.
What USD/EUR value will be declared for import duties/taxes value? This is quite an important matter, as some of us in Europe have to pay up to 24% VAT.
It's gonna be whatever fiat value you paid for at the time of purchase. So, it's 7700 +24%. Well, exchange rate was aprox. $70usd per BTC when I bought - for a 3 modules unit that is more like $5.250 Anyhow is a big hit indeed, when it comes to customs value. But it is what it is, we already knew that. |
|
|
|
|
Batch #1 and Batch #2 units had their value stated in USD on the website. Batch #3 was always listed in BTC only.
What USD/EUR value will be declared for import duties/taxes value? This is quite an important matter, as some of us in Europe have to pay up to 24% VAT.
|
|
|
|
Is it possible to make minor changes to an existing Avalon batch 3 order? I placed an order that included a PSU, but I have since learned that it causes issues with customs. Now I want to remove the PSU. (and get the 2 BTC difference).
Customs of which country? I've had a lot of problems with hard drive psu's when shipping goods to Argentina or Brazil. Goods got stock FOREVER in customs, just because of the fu***ng psu's, and I went through a whole lot of problems because of that. From the other side, I never got problems with customs when receiving items with PSUs to CE countries, but who knows... A PSU is definitely not worth the risk |
|
|
|
Acabo de leer tus consejos. Discrepo totalmente en tu recomendación sobre la contraseña. Es igual de segura una contraseña que contenga 5 o más palabras sin relación entre ellas que una combinación de 15 símbolos aleatorios, pero la primera contraseña (5 palabras, pueden significar algo para ti pero no pueden ser una frase célebre, por ejemplo) será MUCHO más fácil de recordar. Lo verdaderamente importante es la LONGITUD: si tu contraseña tiene 50 caracteres, aunque sean todo minúsculas y esté compuesta por varias palabras que aparecen en diccionario, sería invencible. Si tiene sólo 10, por mucho que le cambies algún caracter (en plan Tr0v4d0R13), será más fácil de crackear y sobre todo más difícil de recordar.Además, tu sugieres: h0X+R!84~WA8vOS-MpslM (en la libreta anotaríamos h0X+R!84~WA8vOS y memorizaríamos -MpslM deducido de Mi padre se llama Manuel) Malísima recomendación. Es facilísimo programar un script que ataca con "brute force" una contraseña a partir de una parte que ya se conoce. Si un cracker se hiciera con tu libreta, sólo tendría que usar un script que partiera de la parte que ya conoce (h0X+R!84~WA8vOS), y en crackear -MpslM tardaría pocos segundos. En este hilo ( https://bitcointalk.org/index.php?topic=85495.80) tienes varios ejemplos de ese tipo de script, y testimonios de gente que ha recuperado contraseñas olvidadas a partir de fragmentos que sí recordaba. Por último, aquí un comic que explica de forma brillante por qué es mejor una contraseña larga pero fácil de recordar: http://xkcd.com/936/ |
|
|
|
|
Show Posts
