deisik
Legendary
Offline
Activity: 3444
Merit: 1280
English ⬄ Russian Translation Services
|
|
January 04, 2018, 07:41:41 PM |
|
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас. Каким образом, Карл? Или на серверах биржи хранятся монеты (т.е. приватные ключи) клиентов? На любой нормальной бирже на сервере только движок крутится, а котлеты (зачёркнуто) кошельки отдельно, особенно если речь идёт о чём-то типа VPS, откуда даже без всяких зловредов можно умыкнуть что угодно. Помнится, несколько лет назад таким образом спёрли базу пользователей этого форума. Некто с помощью социальной инженерии получил физический доступ к серверу в стойке и стырил бекап форума, проказник, ахахах. Потом здесь был полный ахтунг (зачёркнуто) аншлаг по смене паролей
|
|
|
|
|
|
|
|
|
Even in the event that an attacker gains more than 50% of the network's
computational power, only transactions sent by the attacker could be
reversed or double-spent. The network would not be destroyed.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
Loran Lann
Member
Offline
Activity: 252
Merit: 12
|
|
January 04, 2018, 07:45:04 PM Last edit: February 01, 2022, 04:52:46 PM by Xal0lex |
|
По хорошему то косяк производителей благодаря которому заявленной производительности теперь не будет, соответственно товар бракованный и производитель должен понести ответственность перед покупателями, интересно кто то добьется скидки на новые процы взамен старых? А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас. Если хакнуть биржу то зачем заморачиваться со зловредом, когда внутренний счет биржи уже в руках Понятно если это децентрализованная биржа типа дельты, а в других случаях заморачиваться не будут.
|
|
|
|
chimk
|
|
January 04, 2018, 07:52:52 PM |
|
ну можно ещё дальше зайти. допустим комп только для кошельков и комп для бирж. на биржах всё таки 2fa есть
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 07:53:09 PM |
|
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас. Каким образом, Карл? Да обыкновенным. Покупается 0-day уязвимость, очень тихо ломаются сервера биржи, на страницы биржи инжектится вредоносный JS-ниндзя. Главное чтобы админы биржи как можно дольше были не в курсе. Какая вероятность, что пользователи криптовалютных бирж имеют у себя на компе какой-нибудь кошелёк с криптой, которую можно украсть, вытащив приватный ключ из памяти? Или пароль от почты, не защищённый двухфакторной авторизацией, на которую завязано куча всего? А какая вероятность, что у некоторых есть бизнесы/проекты, по которым можно тоже много интересного нарыть?
|
|
|
|
dalayma
Newbie
Offline
Activity: 29
Merit: 0
|
|
January 04, 2018, 07:54:50 PM |
|
какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?
Мера №0: поставить патч и перезагрузиться. Всё, больше ничего не надо делать. Просто жить с компом, который работает на 2/3 своей мощности. Для паролей использовать Keepass или программные/аппаратные аналоги. Никаких документов с паролями в открытую. А что такое патч извините за компьютерную несведомость и где его взять
|
|
|
|
chimk
|
|
January 04, 2018, 07:58:17 PM |
|
какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?
Мера №0: поставить патч и перезагрузиться. Всё, больше ничего не надо делать. Просто жить с компом, который работает на 2/3 своей мощности. Для паролей использовать Keepass или программные/аппаратные аналоги. Никаких документов с паролями в открытую. А что такое патч извините за компьютерную несведомость и где его взять присоединяюсь. запилитите подробнейший лайфхак для танкистов p s а вот на площадках где крутится баблишко типо stemmit и golos всё наверное сложнее. им тоже надо 2fa вводить
|
|
|
|
deisik
Legendary
Offline
Activity: 3444
Merit: 1280
English ⬄ Russian Translation Services
|
|
January 04, 2018, 08:00:35 PM |
|
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас. Каким образом, Карл? Да обыкновенным. Покупается 0-day уязвимость, очень тихо ломаются сервера биржи, на страницы биржи инжектится вредоносный JS-ниндзя. Главное чтобы админы биржи как можно дольше были не в курсе Как быть с теми, кто торгует через API? Но в целом сама схема внутренне противоречива, поскольку ежели человек торгует на бирже, то и свои монеты он хранит также на бирже, что противоречит идее кражи кошелька пользователя с его локального компьютера. Если мы, конечно, не имеем в виду условно "децентрализованные" биржи, поскольку настоящие децентрализованные бирже не могут иметь централизованных торговых площадок, а вся "торговля" реализуется через функционал кошелька. Кроме того, даже если теоретически допустить такую схему, то она вряд ли реализуема на практике, особенно та её часть, где "на страницы биржи инжектится вредоносный JS-ниндзя"
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 08:06:11 PM |
|
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас. Каким образом, Карл? Да обыкновенным. Покупается 0-day уязвимость, очень тихо ломаются сервера биржи, на страницы биржи инжектится вредоносный JS-ниндзя. Главное чтобы админы биржи как можно дольше были не в курсе Как быть с теми, кто торгует через API? Но в целом сама схема внутренне противоречива, поскольку ежели человек торгует на бирже, то и свои монеты он хранит также на бирже, что противоречит идее кражи кошелька пользователя с его локального компьютера. Если мы, конечно, не имеем в виду условно "децентрализованные" биржи, поскольку настоящие децентрализованные бирже не могут иметь централизованных торговых площадок, а вся "торговля" реализуется через функционал кошелька Тут на форуме много слезливых историй было про "я был идиотом и все свои деньги держал на MGox/BTC-E, надо было часть в холодные кошельки с биржи выводить". Так что думаю, даже среди тех, кто на биржах торгует дураков мало все средства на бирже держать. Лопаются они на раз. Под любым предлогом. В любой момент. С теми, кто торгует через API посложнее. Они молодцы.
|
|
|
|
|
Grigorashev
Member
Offline
Activity: 164
Merit: 10
|
|
January 04, 2018, 08:21:23 PM |
|
Снижать почти вдвое производительность компьютера как-то совсем не хочется. Может, выпустят какой-то более щадящий патч?
|
|
|
|
deisik
Legendary
Offline
Activity: 3444
Merit: 1280
English ⬄ Russian Translation Services
|
|
January 04, 2018, 08:27:12 PM Last edit: January 04, 2018, 09:04:35 PM by deisik |
|
Снижать почти вдвое производительность компьютера как-то совсем не хочется. Может, выпустят какой-то более щадящий патч?
Эта проблема заложена в самом подходе Который нацелен на максимальное увеличение скорости доступа к памяти без каких либо проверок. Лично я вижу решение проблемы в создании защищённой виртуальной машины по типу эмулятора QEMU, скажем, на уровне браузера, который будет прогонять через себя потенциально опасный код (исполняемую в данный момент часть кода) и смотреть, не лезет ли он в чужие области тьмы (зачёркнуто) памяти, а повторно уже запускать его напрямую. Если код меняется, тогда запускаем проверку заново. В общем придумают чего-нибудь обтекаемое
|
|
|
|
chimk
|
|
January 04, 2018, 08:48:23 PM |
|
интересно эта новость повлияет на поток капитала в крипту?
|
|
|
|
SIMON 1
Member
Offline
Activity: 238
Merit: 12
IGT-crypto - lifetime income from working exchange
|
|
January 04, 2018, 09:03:59 PM |
|
Ну а если на компе только MEW и телега для передачи адресов,как то поможет обезопасить?
|
|
|
|
Tigran88
|
|
January 04, 2018, 09:18:56 PM |
|
Снижать почти вдвое производительность компьютера как-то совсем не хочется. Может, выпустят какой-то более щадящий патч?
Эта проблема заложена в самом подходе Который нацелен на максимальное увеличение скорости доступа к памяти без каких либо проверок. Лично я вижу решение проблемы в создании защищённой виртуальной машины по типу эмулятора QEMU, скажем, на уровне браузера, который будет прогонять через себя потенциально опасный код (исполняемую в данный момент часть кода) и смотреть, не лезет ли он в чужие области тьмы (зачёркнуто) памяти, а повторно уже запускать его напрямую. Если код меняется, тогда запускаем проверку заново. В общем придумают чего-нибудь обтекаемое Интересный способ решения проблемы, думаю что-то в этом роде и придумают. С другой стороны гугл уже мог давно все себе скопировать и подготовить патчи со скрытым майнером, якобы замедляющие вашу систему, двойной профит
|
|
|
|
klint.on
Member
Offline
Activity: 97
Merit: 12
|
|
January 04, 2018, 09:46:42 PM |
|
Этой уязвимости подвержена не только крипта, но и банковские и государственные службы и структуры. Сокрушительный удар для интел. Уже 2-ой по счету за 3 месяца. Решением может послужить установка патча для ОСи и отключение js скриптов в настройке браузера. Это позволит свести риск подцепить этот трипер к минимуму.
Акции AMD и цены на их процы думаю скоро пойдут в гору. Интел, наоборот, просядет значительно.
|
|
|
|
fers93
Member
Offline
Activity: 350
Merit: 12
|
|
January 04, 2018, 10:00:16 PM |
|
какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?
установить патч с обновлением, купить проц не интел, а интел выкинуть на помойку, никогда не нравился ни интел не джефорс, амд и ати форефа))
|
|
|
|
chimk
|
|
January 04, 2018, 10:07:27 PM |
|
какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?
установить патч с обновлением, купить проц не интел, а интел выкинуть на помойку, никогда не нравился ни интел не джефорс, амд и ати форефа)) Напишите плизз развёрнуто лайфхак. многие будут вам благодарны за хакерство надо ужесточать наказание. квалифицировать как разбой во первых. во вторых в крупных размерах. ибо это психологическое массовое давление с помощью техники
|
|
|
|
deisik
Legendary
Offline
Activity: 3444
Merit: 1280
English ⬄ Russian Translation Services
|
|
January 04, 2018, 10:22:59 PM Last edit: January 04, 2018, 10:38:16 PM by deisik |
|
какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?
установить патч с обновлением, купить проц не интел, а интел выкинуть на помойку, никогда не нравился ни интел не джефорс, амд и ати форефа)) Только что вышло обновление для Моциллы Самая свежая версия - 57.0.4. Всем рекомендую срочно обновится, особенно тем, кто пользуется этим браузером. Данное обновление содержит исправления безопасности для упомянутых ранее уязвимостей Meltdown и Spectre. Обновление доступно как для Linux, так и для Windows. Более подробную информацию про данные уязвимости можно почитать здесь. Сейчас пойду ещё Оперу посмотрю. Дополнено: опера пока не шевелятся
|
|
|
|
fers93
Member
Offline
Activity: 350
Merit: 12
|
|
January 04, 2018, 10:27:06 PM |
|
какие есть меры? я на компе ничего не храню на бумаге только. после каждого визита делаю выход. на на втором компе был документ с паролями от второстепенных сайтов. сейчас всё удалено. может как то почистить можно?
установить патч с обновлением, купить проц не интел, а интел выкинуть на помойку, никогда не нравился ни интел не джефорс, амд и ати форефа)) Напишите плизз развёрнуто лайфхак. многие будут вам благодарны за хакерство надо ужесточать наказание. квалифицировать как разбой во первых. во вторых в крупных размерах. ибо это психологическое массовое давление с помощью техники про то как выкинуть интел легко... смотри если у тебя ноутбук то это будет сложнее, хотя можно просто вытащить от туда винт с инфой а все остальное в окно, а если у тебя большой гроб то в окно конечно не вариант выкидывать, но можно также дернуть от туда винт а комп загрузить в багажник и отвезти в лес и закопать, если нет машины то это конечно же усугубляет ситуацию, придется тогда его расчленять и паковать в черные пакеты и выкидывать на помойку частями не за один раз конечно З.Ы. ну а по факту если то что никто не знает как ставить
|
|
|
|
|
|