Bitcoin Forum
July 25, 2021, 10:41:35 PM *
News: Latest Bitcoin Core release: 0.21.1 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 2 3 4 5 6 7 8 [9]  All
  Print  
Author Topic: Sicurezza: oltre gli aspetti tecnici.  (Read 17365 times)
TheLobster
Member
**
Offline Offline

Activity: 80
Merit: 10


View Profile WWW
March 13, 2019, 05:23:54 PM
Last edit: March 13, 2019, 05:37:45 PM by TheLobster
 #161

Perche' un wallet che si rispetti ti deve dare accesso alla chiave privata e la stessa puo' essere utilizzata su altro wallet.

Forse mi sono spiegato male io.

Il wallet che immagino, è un wallet privato ed opensource esattamente come può essere Electrum, ma con in più tutte le features di sicurezza che ho descritto.

Quindi un siffatto wallet, alla chiave privata ti dà accesso esattamente come fa electrum, con la differenza che te la fa visualizzare soltanto dopo un tot di tempo a partire da quando la richiedi. E questo tot di tempo, devi prima averlo impostato tu. Una volta impostato, non è più modificabile prima di un tot di ore settate dal Global Settings Timelock.

Questo sistema ti consente di avere accesso tranquillamente alla chiave privata dopo un tot di ore in situazioni di normalità, e al contempo ti dà la sicurezza che il ladro non potrà estrapolare subito la chiave privata nel caso tu sia sotto rapina. Sia che il ladro voglia impossessarsi dei BTC con una transazione, sia che voglia impossessarsene con le privkey, il wallet gli imporrà di aspettare secondo le tempistiche che abbiamo in precedenza settato.

Certo io poi parlavo del seed in realtà, perchè mi riferivo ad un wallet multivaluta, ma il concetto è lo stesso
1627252895
Hero Member
*
Offline Offline

Posts: 1627252895

View Profile Personal Message (Offline)

Ignore
1627252895
Reply with quote  #2

1627252895
Report to moderator
1627252895
Hero Member
*
Offline Offline

Posts: 1627252895

View Profile Personal Message (Offline)

Ignore
1627252895
Reply with quote  #2

1627252895
Report to moderator
1627252895
Hero Member
*
Offline Offline

Posts: 1627252895

View Profile Personal Message (Offline)

Ignore
1627252895
Reply with quote  #2

1627252895
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1627252895
Hero Member
*
Offline Offline

Posts: 1627252895

View Profile Personal Message (Offline)

Ignore
1627252895
Reply with quote  #2

1627252895
Report to moderator
1627252895
Hero Member
*
Offline Offline

Posts: 1627252895

View Profile Personal Message (Offline)

Ignore
1627252895
Reply with quote  #2

1627252895
Report to moderator
duesoldi
Legendary
*
Online Online

Activity: 1554
Merit: 1606


View Profile
March 13, 2019, 07:54:23 PM
 #162

E' difficile che un ladro oggi sia competente

E' difficile oggi, ma tra tot anni quando le cripto saranno mainstream?
Non reputo assolutamente sicuro fare affidamento sulla presunta ignoranza in materia del ladro, potresti trovarti di fronte ad un ladro esperto che si specializza in questo tipo di furti. A quel punto che fai, perdi i soldi solo perchè le tue previsioni erano sbagliate?

Per me il problema di cui stiamo discutendo si pone oggi, non tra 10 anni. Tra 10 anni - e sempre che il mercato delle cripto si sia diffuso come qui tutti auspichiamo  Wink -  si sarà creato un ecosistema che offrirà tantissimi servizi, compreso quello di custodia oppure di "svuotamento wallet"  (leggi: grosso prelievo) solo a seguito di N diverse conferme.
Oggi servizi di questo tipo non ci sono ancora; iniziano a comparire solo per i servizi di custodia e "quasi" assicurazione ma sono tutti da verificare imho,  ma tra 10 anni saranno la normalità.
Quindi volendomi (secondo questo mio punto di vista) porre il problema oggi, da questo assunto dicevo che oggi il ladro/rapinatore lo immaginavo fondamentalmente cripto-ignorante.

Non ti basta nel senso che secondo te questo vorrebbe dire ugualmente "sfidare la sorte" ?  Bene, allora affrontiamo il problema da un altro punto di vista, ovvero cerchiamo di impedire che il ladro "conoscitore di cripto" ci svuoti il wallet senza dover per questo immaginare wallet complicatissimi. Sarebbe possibile oggi?
Io dico di sì, basta usare un wallet multifirma.
Poniamo di usare un wallet che richieda 2 su 3 chiavi per eseguire la tx (tanto per fare un esempio).
Non necessariamente devi dare una chiave a tuo zio e la terza ad un notaio per essere sicuro, le puoi benissimo tenere tutte e 3 tu ovviamente in posti diversi, il ladro come farebbe a sapere che le hai tutte tu?

Riprendo l'esempio che facevi quando parlavi del fatto che il ladro (non ignorante) dovrebbe rassegnarsi vedendo il contatore del wallet e "capendo" quindi (essendo per tua ipotesi conoscitore del mondo cripto) che deve aspettare tot tempo affinché la tx venga eseguita.
Allora e per lo stesso motivo (cioè il ladro "conosce le cripto") ti dico che puoi benissimo fargli vedere che il wallet è multisig  (questo si vede dal wallet) e che tu hai una sola delle 3 chiavi.
Come potrebbe il ladro sostenere che le hai tutte tu ?   Wink


picchio
Legendary
*
Offline Offline

Activity: 2422
Merit: 1099



View Profile
March 13, 2019, 09:04:50 PM
 #163

Perche' un wallet che si rispetti ti deve dare accesso alla chiave privata e la stessa puo' essere utilizzata su altro wallet.

Forse mi sono spiegato male io.

Il wallet che immagino, è un wallet privato ed opensource esattamente come può essere Electrum, ma con in più tutte le features di sicurezza che ho descritto.

Quindi un siffatto wallet, alla chiave privata ti dà accesso esattamente come fa electrum, con la differenza che te la fa visualizzare soltanto dopo un tot di tempo a partire da quando la richiedi. E questo tot di tempo, devi prima averlo impostato tu. Una volta impostato, non è più modificabile prima di un tot di ore settate dal Global Settings Timelock.

Questo sistema ti consente di avere accesso tranquillamente alla chiave privata dopo un tot di ore in situazioni di normalità, e al contempo ti dà la sicurezza che il ladro non potrà estrapolare subito la chiave privata nel caso tu sia sotto rapina. Sia che il ladro voglia impossessarsi dei BTC con una transazione, sia che voglia impossessarsene con le privkey, il wallet gli imporrà di aspettare secondo le tempistiche che abbiamo in precedenza settato.

Certo io poi parlavo del seed in realtà, perchè mi riferivo ad un wallet multivaluta, ma il concetto è lo stesso
Non voglio escludere nulla ma il tempo è un parametro "ingannabile" a meno di non trovare stratagemmi come quello di Satoshi che ha utilizzato il pow per garantire che non sarebbero trascorsi meno di 10 minuti tra un blocco e l'altro.

Se il wallet deve tirare fuori la chiave solo dopo tot secondi da un certo tempo, o deve ricevere una informazione dopo tale tempo o ha una informazione che non può usare prima, nel sw libero volere è potere quindi non trovo una soluzione.

Forse puoi codificare il seed (o la chiave privata) con la chiave pubblica di un address inutilizzato (che non ha mai speso (o firmato) nulla) che solo tu (o qualcuno di cui ti fidi) controlli e che, quando ti serve,  fai comparire in blockchain. A quel punto il wallet legge la chiave pubblica che gli serve per ricavare la chiave privata ed è in grado di spendere gli input o di stampartela a video o ...

Mi viene da dire: a questo punto meglio un multisign.
 


 
 
           ▄████▄
         ▄████████▄
       ▄████████████▄
     ▄████████████████▄
    ████████████████████      ▄█▄                 ▄███▄                 ▄███▄                 ▄████████████████▀   ▄██████████

  ▄▄▄▀█████▀▄▄▄▄▀█████▀▄▄▄     ▀██▄             ▄██▀ ▀██▄             ▄██▀ ▀██▄             ▄██▀                   ██
▄█████▄▀▀▀▄██████▄▀▀▀▄█████▄     ▀██▄         ▄██▀     ▀██▄         ▄██▀     ▀██▄         ▄██▀        ▄█▄          ▀██████████████▄
████████████████████████████       ▀██▄     ▄██▀         ▀██▄     ▄██▀         ▀██▄     ▄██▀          ▀█▀                        ██
 ▀████████████████████████▀          ▀██▄ ▄██▀             ▀██▄ ▄██▀     ▄█▄     ▀██▄ ▄██▀                                       ██
   ▀████████████████████▀              ▀███▀                 ▀███▀       ▀█▀       ▀███▀      ▄███████████████████████████████████▀
     ▀████████████████▀
       ▀████████████▀
         ▀████████▀
           ▀████▀
║║


║║
.
.

║║
██
║║
.
.

║║
██
║║
.
║║


║║
TheLobster
Member
**
Offline Offline

Activity: 80
Merit: 10


View Profile WWW
March 13, 2019, 09:05:37 PM
 #164

"capendo" quindi (essendo per tua ipotesi conoscitore del mondo cripto) che deve aspettare tot tempo affinché la tx venga eseguita.

No la mia ipotesi era un'altra: sia che sia un esperto di cripto, sia che non lo sia, in ogni caso non cambia il fatto che il wallet mostrerà un countdown del quale si debba attendere la fine.

Quote
puoi benissimo fargli vedere che il wallet è multisig  (questo si vede dal wallet) e che tu hai una sola delle 3 chiavi.
Come potrebbe il ladro sostenere che le hai tutte tu ?   Wink

"Chiama tua zia che ha l'altra chiave e fattela dare, altrimenti ti massacro"

E a quel punto, se gli hai mentito e tua zia al telefono non ne sa nulla della chiave, il ladro capirà che la terza chiave ce l'hai sempre tu. E so cazzi.
Se invece l'hai davvero data a tua zia, lei te la darà. E il ladro potrà prendere i soldi subito.

Un wallet che mostri al ladro che l'unica soluzione è aspettare, che non ci siano altri segreti da svelare o cose da fare, mi sembra e continua a sembrare francamente l'unico modo

Quote
Per me il problema di cui stiamo discutendo si pone oggi, non tra 10 anni.

Il post parlava di un futuro in cui le cripto saranno conosciute e si intensificheranno i furti di questo tipo, non parlava di oggi.
Se parliamo di oggi allora è sufficiente non esporsi e basta.


TheLobster
Member
**
Offline Offline

Activity: 80
Merit: 10


View Profile WWW
March 13, 2019, 09:09:21 PM
 #165

Non voglio escludere nulla ma il tempo è un parametro "ingannabile" [...] Se il wallet deve tirare fuori la chiave solo dopo tot secondi da un certo tempo, o deve ricevere una informazione dopo tale tempo o ha una informazione che non può usare prima, nel sw libero volere è potere quindi non trovo una soluzione.

In che senso è un parametro ingannabile? E quale sarebbe il problema di un software libero? Ti faccio questa seconda domanda perchè non sono un programmatore, quindi vorrei capire bene il punto debole del mio ragionamento
duesoldi
Legendary
*
Online Online

Activity: 1554
Merit: 1606


View Profile
March 14, 2019, 08:50:53 PM
 #166

"Chiama tua zia che ha l'altra chiave e fattela dare, altrimenti ti massacro"

E a quel punto, se gli hai mentito e tua zia al telefono non ne sa nulla della chiave, il ladro capirà che la terza chiave ce l'hai sempre tu. E so cazzi.
Se invece l'hai davvero data a tua zia, lei te la darà. E il ladro potrà prendere i soldi subito.

La zia era un esempio, se vuoi complicare la cosa posso dire al ladro che una delle chiavi è depositata su un sito che me la può inviare solo dopo mia richiesta ma con ritardo di 2 giorni (nulla di fantascientifico, ad esempio ifttt.com )  e la terza è in una cassetta di sicurezza in banca accessibile solo in orario di apertura.
O qualche altra cosa che possa venire in mente, di casi non è difficile inventarne se li studi prima.


Vado un po' fuori tema - invece - a proposito del wallet multisig  (il collegamento con la tua domanda è dato dal fatto che la tua intenzione fosse trovare una via sicura tra 10 anni).
Ti segnalo questo post di Plutosky :

https://bitcointalk.org/index.php?topic=313900.msg50163831#msg50163831

nell'articolo linkato si parla di un diverso algoritmo di firma digitale  che - tra gli altri vantaggi - consentirebbe un sistema multisig che NON sarebbe riconoscibile come tale guardando semplicemente gli indirizzi (come invece avviene oggi con il multisig Btc).
E' molto interessante imho.

Questo peraltro non consentirebbe più di utilizzare un wallet multisig per risolvere il "tuo problema" perché, non essendo più riconoscibile un multisig dagli indirizzi, il ladro sarebbe portato a credere che la tx non parta semplicemente perché hai inserito una chiave "ad ca@@um"  (non so se mi sono spiegato).

picchio
Legendary
*
Offline Offline

Activity: 2422
Merit: 1099



View Profile
March 14, 2019, 10:07:32 PM
 #167

Non voglio escludere nulla ma il tempo è un parametro "ingannabile" [...] Se il wallet deve tirare fuori la chiave solo dopo tot secondi da un certo tempo, o deve ricevere una informazione dopo tale tempo o ha una informazione che non può usare prima, nel sw libero volere è potere quindi non trovo una soluzione.

In che senso è un parametro ingannabile? E quale sarebbe il problema di un software libero? Ti faccio questa seconda domanda perchè non sono un programmatore, quindi vorrei capire bene il punto debole del mio ragionamento
Puoi cambiare la data del PC che esegue il software oppure impostare la data modificando una linea del codice sorgente, qualcosa tipo:
date='2019-04-13 23:02'; e sei nel futuro. Il software (il tuo wallet) crede di essere nel futuro.
Il sw libero è un prerequisito per poter avere un wallet e non crea il problema.
Ma se conosci il codice sorgente non hai bisogno di ingannarlo modificando la data, basta capire come viene codificata la chiave privata e richiami la funzione che la decodifica e la fai stampare.


 
 
           ▄████▄
         ▄████████▄
       ▄████████████▄
     ▄████████████████▄
    ████████████████████      ▄█▄                 ▄███▄                 ▄███▄                 ▄████████████████▀   ▄██████████

  ▄▄▄▀█████▀▄▄▄▄▀█████▀▄▄▄     ▀██▄             ▄██▀ ▀██▄             ▄██▀ ▀██▄             ▄██▀                   ██
▄█████▄▀▀▀▄██████▄▀▀▀▄█████▄     ▀██▄         ▄██▀     ▀██▄         ▄██▀     ▀██▄         ▄██▀        ▄█▄          ▀██████████████▄
████████████████████████████       ▀██▄     ▄██▀         ▀██▄     ▄██▀         ▀██▄     ▄██▀          ▀█▀                        ██
 ▀████████████████████████▀          ▀██▄ ▄██▀             ▀██▄ ▄██▀     ▄█▄     ▀██▄ ▄██▀                                       ██
   ▀████████████████████▀              ▀███▀                 ▀███▀       ▀█▀       ▀███▀      ▄███████████████████████████████████▀
     ▀████████████████▀
       ▀████████████▀
         ▀████████▀
           ▀████▀
║║


║║
.
.

║║
██
║║
.
.

║║
██
║║
.
║║


║║
jack0m
Legendary
*
Online Online

Activity: 2604
Merit: 1393


View Profile
July 08, 2020, 01:36:53 PM
 #168

Mi è tornato in mente questo vecchio topic leggendo questo articolo che, anche se non menziona in alcun modo bitcoin e cripto, ci ricorda cosa si rischia raccontando in giro di possederne:

https://www.repubblica.it/esteri/2020/07/08/news/olanda_la_polizia_scopre_una_stanza_della_tortura_nel_covo_di_una_banda_criminale-261298461

La cosa è già abbastanza agghiacciante di per sé, ma quello che lascia sconcertati è che non si parli di qualche paese del Centro-Sud America dove spadroneggiano i narcos, ma della civilissima e frugalissima Olanda... Contro questi scenari estremi la prima difesa resta sempre: bitcoin, what's that?

Money is a hoax. Debt is slavery. Consumerism is toxic.
lukax8
Sr. Member
****
Offline Offline

Activity: 1484
Merit: 296


View Profile WWW
July 18, 2021, 03:50:53 PM
 #169

Rispolvero il post con questo articolo di Paolo Attivissimo

"La seduttrice informatica assetata di bitcoin"

https://attivissimo.blogspot.com/2021/07/podcast-del-disinformatico-rsi-20210716.html


La storia potrebbe essere una bufala ma comunque una truffa realizzabile....

duesoldi
Legendary
*
Online Online

Activity: 1554
Merit: 1606


View Profile
July 19, 2021, 01:43:23 PM
 #170

La storia potrebbe essere una bufala ma comunque una truffa realizzabile....

Interessante. Non sembra nemmeno molto difficile da realizzare, probabilmente la cosa più complicata è procurarsi quel tipo di sostanza ma da episodi che ogni tanto si leggono sulla stampa chi è del giro probabilmente se la può procurare senza troppa fatica.

Anche il fatto di mettere le cripto come oggetto di interesse nel proprio profilo è la classica tecnica che consente di pescare tra obiettivi selezionati: chi non è interessato probabilmente soprassiede, mentre uno del settore viene incuriosito e quindi cerca il contatto.
Tutto studiato direi, perciò storia plausibile.
L'unico punto debole è che anche eventuali investigatori potrebbero andare a caccia di profili di quel tipo ma penso che il rischio per il malvivente sia irrisorio perché in caso di accertamento potrebbe sempre rispondere: sì mi interessano le cripto, che male c'è ?  :-)


jack0m
Legendary
*
Online Online

Activity: 2604
Merit: 1393


View Profile
July 19, 2021, 07:24:47 PM
 #171

La storia potrebbe essere una bufala ma comunque una truffa realizzabile....

Interessante. Non sembra nemmeno molto difficile da realizzare, probabilmente la cosa più complicata è procurarsi quel tipo di sostanza ma da episodi che ogni tanto si leggono sulla stampa chi è del giro probabilmente se la può procurare senza troppa fatica.

Anche il fatto di mettere le cripto come oggetto di interesse nel proprio profilo è la classica tecnica che consente di pescare tra obiettivi selezionati: chi non è interessato probabilmente soprassiede, mentre uno del settore viene incuriosito e quindi cerca il contatto.
Tutto studiato direi, perciò storia plausibile.
L'unico punto debole è che anche eventuali investigatori potrebbero andare a caccia di profili di quel tipo ma penso che il rischio per il malvivente sia irrisorio perché in caso di accertamento potrebbe sempre rispondere: sì mi interessano le cripto, che male c'è ?  :-)


a me pare che il rischio è che se scrivi "crypto trader" nel tuo profilo attiri proprio gente poco raccomandabile che vuole impossessarsi in ogni modo delle tue crypto, e magari anziché le goccine nel bicchiere va molto più sulle spicce usando tenaglie e martello... la tipa ha rischiato di venire rapita e massacrata per estorcerle qualcosa che in realtà non aveva neppure... un gioco molto pericoloso.

Money is a hoax. Debt is slavery. Consumerism is toxic.
duesoldi
Legendary
*
Online Online

Activity: 1554
Merit: 1606


View Profile
July 19, 2021, 07:49:10 PM
 #172

a me pare che il rischio è che se scrivi "crypto trader" nel tuo profilo attiri proprio gente poco raccomandabile che vuole impossessarsi in ogni modo delle tue crypto, e magari anziché le goccine nel bicchiere va molto più sulle spicce usando tenaglie e martello... la tipa ha rischiato di venire rapita e massacrata per estorcerle qualcosa che in realtà non aveva neppure... un gioco molto pericoloso.

Guarda che "crypto trader" era scritto nel profilo della donna, non della vittima.
E' la donna che ha messo quelle parole nel profilo proprio per attrarre vittime che potevano essere interessate a quel tipo di attività. Una tecnica imho molto efficace.
Non aveva da temere nulla la donna, sicuramente aveva dei complici (c'è anche scritto) che l'avrebbero protetta nel caso di bisogno.



jack0m
Legendary
*
Online Online

Activity: 2604
Merit: 1393


View Profile
July 19, 2021, 08:32:39 PM
 #173

a me pare che il rischio è che se scrivi "crypto trader" nel tuo profilo attiri proprio gente poco raccomandabile che vuole impossessarsi in ogni modo delle tue crypto, e magari anziché le goccine nel bicchiere va molto più sulle spicce usando tenaglie e martello... la tipa ha rischiato di venire rapita e massacrata per estorcerle qualcosa che in realtà non aveva neppure... un gioco molto pericoloso.

Guarda che "crypto trader" era scritto nel profilo della donna, non della vittima.
E' la donna che ha messo quelle parole nel profilo proprio per attrarre vittime che potevano essere interessate a quel tipo di attività. Una tecnica imho molto efficace.
Non aveva da temere nulla la donna, sicuramente aveva dei complici (c'è anche scritto) che l'avrebbero protetta nel caso di bisogno.


appunto, ha rischiato che la cosa le si ritorcesse contro, incontrando gente più "cattiva" di lei, e magari pure dei complici.

Money is a hoax. Debt is slavery. Consumerism is toxic.
alexrossi
Legendary
*
Offline Offline

Activity: 2786
Merit: 1386


Join the world-leading crypto sportsbook NOW!


View Profile WWW
July 20, 2021, 09:49:11 AM
 #174

a me pare che il rischio è che se scrivi "crypto trader" nel tuo profilo attiri proprio gente poco raccomandabile che vuole impossessarsi in ogni modo delle tue crypto, e magari anziché le goccine nel bicchiere va molto più sulle spicce usando tenaglie e martello... la tipa ha rischiato di venire rapita e massacrata per estorcerle qualcosa che in realtà non aveva neppure... un gioco molto pericoloso.

Guarda che "crypto trader" era scritto nel profilo della donna, non della vittima.
E' la donna che ha messo quelle parole nel profilo proprio per attrarre vittime che potevano essere interessate a quel tipo di attività. Una tecnica imho molto efficace.
Non aveva da temere nulla la donna, sicuramente aveva dei complici (c'è anche scritto) che l'avrebbero protetta nel caso di bisogno.


appunto, ha rischiato che la cosa le si ritorcesse contro, incontrando gente più "cattiva" di lei, e magari pure dei complici.

Vabé, se la tipa è una criminale sarà conscia dei rischi del mestiere... avrà valutato bene la situazione, e magari andava in giro armata e seguita per ogni evenienza.

Mi viene in mente la scena iniziale di scarface con lo scambio di droga.

  ▄▄█████▄▄███████▄▄
 ███████████
     ▀▀███▄
█████████████        ▀██▄
█████████████          ██▄
███████████            ██▄
██▀▀█████▀▀              ██
██                       ██
██                       ██
▀██                     ██▀
 ▀██                   ██▀
  ▀██▄               ▄██▀
    ▀███▄▄       ▄▄███▀
       ▀▀█████████▀▀
███████████    LEADING CRYPTO SPORTSBOOK & CASINO    ███████████
MULTI
CURRENCY
1500+
CASINO GAMES
CRYPTO EXCLUSIVE
CLUBHOUSE
FAST & SECURE
PAYMENTS
..PLAY NOW!..
Pages: « 1 2 3 4 5 6 7 8 [9]  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!