Bitcoin Forum
December 06, 2019, 03:06:34 PM *
News: Latest Bitcoin Core release: 0.19.0.1 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 ... 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 [192] 193 194 195 196 197 198 199 »
  Print  
Author Topic: Аппаратные кошельки  (Read 50243 times)
igor72
Hero Member
*****
Offline Offline

Activity: 602
Merit: 736

CryptoTalk.Org - Get Paid for every Post!


View Profile
November 10, 2019, 11:17:57 AM
Merited by FontSeli (2), madnessteat (1)
 #3821

Я выше прочитал, что при потере своего Леджера, по сид фразе устройства можно восстановить все монеты на новом Леджере. Получается что на серверах производителей леджера где-то хранится информация о ваших монетах?
Из вашей Сид фразы генерируются все приватные ключи ко всем монетам. Восстановить все свои монеты можно и без леджера по одной сид фразе.

Сид к Леджеру создается на стартовом этапе его использования. Получается что она сразу в себе содержит приватники ко всем возможным кошелькам, которые вы будете создавать в будущем для своих новых монет? Для меня это непонятно.
Это все описано в BIP39 и BIP32.

Мнемоническая фраза + пароль посредством хеш-функций преобразуются в огромное число, которое тоже по определенному алгоритму преобразуется в корневой приватный мастер-ключ, из которого получаются ключи следующего уровня, из тех следующего и так далее. Получается большое ветвистое дерево ключей, где каждый ключ занимает строго определенное место (derivation path) в иерархии (поэтому такой кошелек называется Hierarchical Deterministic wallet, сокращенно HD-кошелек). Кошельки, поддерживающие BIP44, сортируют главные ветви дерева по монетам, следующие ответвления по аккаунтам, ну и дальше внешние/внутренние (приемные/сдачи) и наконец ключи, которыми мы пользуемся для генерации адресов и подписывания транзакций.

Это дерево при генерации леджером не просчитывается заранее (да и невозможно это), просто по мере надобности нужные ключи вычисляются из сида (даже слабомощный леджер/трезор это делает достаточно быстро). То есть ключи в леджере не хранятся, хранится только сид.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
1575644795
Hero Member
*
Offline Offline

Posts: 1575644795

View Profile Personal Message (Offline)

Ignore
1575644795
Reply with quote  #2

1575644795
Report to moderator
1575644795
Hero Member
*
Offline Offline

Posts: 1575644795

View Profile Personal Message (Offline)

Ignore
1575644795
Reply with quote  #2

1575644795
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1575644795
Hero Member
*
Offline Offline

Posts: 1575644795

View Profile Personal Message (Offline)

Ignore
1575644795
Reply with quote  #2

1575644795
Report to moderator
1575644795
Hero Member
*
Offline Offline

Posts: 1575644795

View Profile Personal Message (Offline)

Ignore
1575644795
Reply with quote  #2

1575644795
Report to moderator
FontSeli
Hero Member
*****
Offline Offline

Activity: 560
Merit: 510


CryptoTalk.Org - Get Paid for every Post!


View Profile
November 10, 2019, 11:41:35 AM
 #3822

Это все описано в BIP39 и BIP32.

Мнемоническая фраза + пароль посредством хеш-функций преобразуются в огромное число, которое тоже по определенному алгоритму преобразуется в корневой приватный мастер-ключ, из которого получаются ключи следующего уровня, из тех следующего и так далее. Получается большое ветвистое дерево ключей, где каждый ключ занимает строго определенное место (derivation path) в иерархии (поэтому такой кошелек называется Hierarchical Deterministic wallet, сокращенно HD-кошелек). Кошельки, поддерживающие BIP44, сортируют главные ветви дерева по монетам, следующие ответвления по аккаунтам, ну и дальше внешние/внутренние (приемные/сдачи) и наконец ключи, которыми мы пользуемся для генерации адресов и подписывания транзакций.

Это дерево при генерации леджером не просчитывается заранее (да и невозможно это), просто по мере надобности нужные ключи вычисляются из сида (даже слабомощный леджер/трезор это делает достаточно быстро). То есть ключи в леджере не хранятся, хранится только сид.

Спасибо за объяснение.

Получается что потом когда вы вводите в новый кошелек сид, и при установке приложения для определенной монеты, которые у вас были раньше - приложение обращается к сиду и находит там приватник для кошелька этой монеты? А как оно знает что там такой приватник уже был ранее, а не нужно вычислить новый?

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
CryptoTalk.org| 
MAKE POSTS AND EARN BTC!
🏆
igor72
Hero Member
*****
Offline Offline

Activity: 602
Merit: 736

CryptoTalk.Org - Get Paid for every Post!


View Profile
November 10, 2019, 11:56:02 AM
 #3823

Получается что потом когда вы вводите в новый кошелек сид, и при установке приложения для определенной монеты, которые у вас были раньше - приложение обращается к сиду и находит там приватник для кошелька этой монеты?
Да.
Quote
А как оно знает что там такой приватник уже был ранее, а не нужно вычислить новый?
Не понял вопроса, разверните. Как я сказал, на определенном месте дерева (на определенном пути деривации) для данного сида всегда будет один и тот же ключ, он не случайно сгенерирован, он вычислен.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
FontSeli
Hero Member
*****
Offline Offline

Activity: 560
Merit: 510


CryptoTalk.Org - Get Paid for every Post!


View Profile
November 10, 2019, 01:27:00 PM
 #3824

Не понял вопроса, разверните. Как я сказал, на определенном месте дерева (на определенном пути деривации) для данного сида всегда будет один и тот же ключ, он не случайно сгенерирован, он вычислен.

Т.е. получается когда вы впервые устанавливаете приложение, например для EOS, ключ вычисляется на устройстве, далее вы его удалили не потратив монеты, установили приложение для Grin и т.д. приватники для всех этих монет будут вычислены. Потом вы вводите свой сид на новом Леджере и при установке приложения для ЕОС, оно вычисляет опять определенное "место на дереве" и берет оттуда приватник?

Теперь мне стало понятно. Походу и я созрел для покупки Леджера))

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
CryptoTalk.org| 
MAKE POSTS AND EARN BTC!
🏆
igor72
Hero Member
*****
Offline Offline

Activity: 602
Merit: 736

CryptoTalk.Org - Get Paid for every Post!


View Profile
November 10, 2019, 01:43:34 PM
 #3825

Т.е. получается когда вы впервые устанавливаете приложение, например для EOS, ключ вычисляется на устройстве, далее вы его удалили не потратив монеты, установили приложение для Grin и т.д. приватники для всех этих монет будут вычислены. Потом вы вводите свой сид на новом Леджере и при установке приложения для ЕОС, оно вычисляет опять определенное "место на дереве" и берет оттуда приватник?
Ну да, примерно так. Только не помню, чтобы Grin поддерживался Леджером.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
witcher_sense
Hero Member
*****
Online Online

Activity: 728
Merit: 950


CryptoTalk.Org - Get Paid for every Post!


View Profile WWW
November 10, 2019, 06:50:33 PM
 #3826

Не понял вопроса, разверните. Как я сказал, на определенном месте дерева (на определенном пути деривации) для данного сида всегда будет один и тот же ключ, он не случайно сгенерирован, он вычислен.

Т.е. получается когда вы впервые устанавливаете приложение, например для EOS, ключ вычисляется на устройстве, далее вы его удалили не потратив монеты, установили приложение для Grin и т.д. приватники для всех этих монет будут вычислены. Потом вы вводите свой сид на новом Леджере и при установке приложения для ЕОС, оно вычисляет опять определенное "место на дереве" и берет оттуда приватник?

Теперь мне стало понятно. Походу и я созрел для покупки Леджера))
Только тут есть один момент. Если вы устанавливаете пароль вместе с сид-фразой, то вам нужно обязательно запоминать его, потому что приватные ключи генерируются совершенно разные. То есть из одной сид-фразы с разными паролями будут совершенно разные наборы адресов. Если вы отправите монеты на seed+pass1, то вы не увидите этих монет на простой seed или seed+pass(любой pass, отличный от pass1).

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
marfich97
Sr. Member
****
Offline Offline

Activity: 980
Merit: 301



View Profile
November 11, 2019, 09:55:34 AM
 #3827

Не понял вопроса, разверните. Как я сказал, на определенном месте дерева (на определенном пути деривации) для данного сида всегда будет один и тот же ключ, он не случайно сгенерирован, он вычислен.

Т.е. получается когда вы впервые устанавливаете приложение, например для EOS, ключ вычисляется на устройстве, далее вы его удалили не потратив монеты, установили приложение для Grin и т.д. приватники для всех этих монет будут вычислены. Потом вы вводите свой сид на новом Леджере и при установке приложения для ЕОС, оно вычисляет опять определенное "место на дереве" и берет оттуда приватник?

Теперь мне стало понятно. Походу и я созрел для покупки Леджера))
Только тут есть один момент. Если вы устанавливаете пароль вместе с сид-фразой, то вам нужно обязательно запоминать его, потому что приватные ключи генерируются совершенно разные. То есть из одной сид-фразы с разными паролями будут совершенно разные наборы адресов. Если вы отправите монеты на seed+pass1, то вы не увидите этих монет на простой seed или seed+pass(любой pass, отличный от pass1).
Так собственно так всегда - если поставил "password1", то не зайдешь по паролю "password" или "password2" Smiley Фактически в первом случае ключи генерируются из рут сида в 24 слова, а во втором - в 25 слов, и для безопасности лучше когда 25 слово подлиннее.

igor72
Hero Member
*****
Offline Offline

Activity: 602
Merit: 736

CryptoTalk.Org - Get Paid for every Post!


View Profile
November 11, 2019, 10:07:24 AM
 #3828

и для безопасности лучше когда 25 слово подлиннее.
Мы тут с коллегой в соседней ветке спорили недавно по этому поводу, и он меня переубедил, что в данном случае длина пароля в 20-30 и больше символов избыточна, достаточно и 12-ти, но случайных.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
naska21
Hero Member
*****
Offline Offline

Activity: 1246
Merit: 553


CryptoTalk.Org - Get Paid for every Post!


View Profile
November 11, 2019, 01:57:20 PM
 #3829

Это так, "случай форс-мажора" и я имел ввиду воспользоваться тулзой  от iancoleman на оффлайн компьютере и притом внутри  виртуальной машины  и тогда 'светить" сид совсем не страшно.
Я считаю неправильным использование виртуальной машины для таких целей. Может, это и безопасней, чем на обычной "рабочей" системе, но теоретически уязвимо все равно - зловред может скриншотить экран виртуалки. Для таких случаев лучше иметь в хозяйстве флешку с Tails, а еще лучше отдельный комп без сетевых интерфейсов.

C Tails хорошая подсказка так как достигается сразу две цели - анонимность и экономное расходование ресурсов системы.  Я давно с этой OS не работал поэтому о такой возможности  забыл. Сейчас загрузил образ новой версии и поставил все на флешку, старая версия сама обновляться не захотела.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
Dimenzino
Member
**
Offline Offline

Activity: 364
Merit: 32


View Profile
November 11, 2019, 02:22:03 PM
Last edit: November 12, 2019, 03:24:40 AM by Dimenzino
 #3830

Я точно не знаю, как там в трезоре устроено, но судя по всему примерно так же как в леджере (исхожу из информации, опубликованной в вики трезора: https://wiki.trezor.io/Monero_(XMR) ). То есть нужно использовать Monero GUI.
Вот это-то и смутило что надо лезть на сайт монеры и качать оттуда их приблуды на которые вот жалобы..
To ALL
Кто в курсе эта связка "GUI+аппаратник" (трезор т к примеру) имеет один уникальный (и отслеживаемый) адрес ?
отсюда
Quote
Пользоваться официальным электронным кошельком Monero для накопления монет я не хочу, так как он имеет один уникальный адрес. И хотя данные по нему зашифрованы, и ключ только у меня, всё равно, можно отследить все операции по нему в сети
https://otzovik.com/review_5075475.html
вообще отзыв занятный

ps
ну и так и дальше
https://otzovik.com/ крипта
vs
https://otzovik.com/Ledger
https://otzovik.com/Trezor
можно судить о продвинутости народных масс..
igor72
Hero Member
*****
Offline Offline

Activity: 602
Merit: 736

CryptoTalk.Org - Get Paid for every Post!


View Profile
November 12, 2019, 09:06:31 AM
 #3831

To ALL
Кто в курсе эта связка "GUI+аппаратник" (трезор т к примеру) имеет один уникальный (и отслеживаемый) адрес ?
Отслеживаемый? В любом случае, можно создать кроме primary дополнительные адреса. У меня леджер, но в трезоре, думаю, так же - интерфейс-то одинаковый.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
Dimenzino
Member
**
Offline Offline

Activity: 364
Merit: 32


View Profile
November 12, 2019, 02:40:42 PM
Last edit: November 13, 2019, 04:54:17 AM by Dimenzino
 #3832

add-on к 37 символов
продолжение про
Unfixable Seed Extraction on Trezor - A practical and reliable attack. 01 Jul 2019
https://twitter.com/donjonledger/status/1146323810167197696
видео google.ru/ Unfixable Key Extraction Attack on Trezor
на этом форуме -
google.ru/ "donjon.ledger.com - Unfixable-Key-Extraction-Attack-on-Trezor" _site:bitcointalk.org
у трезорцев --
google.ru/ "Unfixable Key Extraction Attack" site:blog.trezor.io -->
-->
Quote
https://blog.trezor.io/our-response-to-the-donjon-team-seed-extraction-attack-dd8417749664
Наш ответ на нападение по извлечению семян команды Донжона
Our Response to the Donjon Team Seed Extraction Attack
11 июля 2019

...Команда Donjon опубликовала презентацию атаки в социальных сетях, не раскрывая подробностей в SatoshiLabs, приведя неверный пример процедуры ответственного раскрытия .
The Donjon team published the presentation of the attack on social media without disclosing details to SatoshiLabs, setting an incorrect example of the responsible disclosure procedure.
Публично обмениваясь и обмениваясь материалами, документирующими атаку, команда Donjon ставит под угрозу индустрию аппаратных кошельков в целом..
By publicly sharing and resharing materials documenting the attack, the Donjon team endangers the hardware wallet industry in general..
..Используя 12 случайных строчных букв в качестве парольной фразы, злоумышленник должен проверить в среднем около 48 000 000 000 000 000 парольных фраз, прежде чем набрать правильную. Подобная атака обойдется в Amazon AWS в 77 миллионов долларов.
By using 12 random lowercase letters as a passphrase, the attacker would have to check about 48,000,000,000,000,000 passphrases on average, before hitting the right one. An attack like this would cost an estimate of $77 million through Amazon AWS.
..«Мы хотели бы поблагодарить Ledger за практическую демонстрацию атаки, о которой мы знали с момента создания Trezor. Поскольку мы понимаем, что ни одно оборудование не является на 100% безопасным, мы ввели концепцию парольной фразы; что помимо правдоподобного отрицания устраняются многие виды физических атак, как этот ».
- Марек Палатинус, генеральный директор SatoshiLabs
хмм..
поиск обсуждений дальше -
- google.ru/ "donjon.ledger.com/Unfixable-Key-Extraction-Attack-on-Trezor" + blog.trezor.io
https://bitcointalk.org/index.php?topic=5161786 - Hardware wallets still aren't secure, and they never will be. Use paper wallets  (Read 1352 times)
что на реддите
google.ru/"Unfixable Key Extraction Attack on Trezor" site:reddit.com
-->
https://reddit.com/r/TREZOR
, https://reddit.com/r/cryptonist
, https://np.reddit.com/r/TREZOR/Unfixable Key Extraction Attack on Trezor
reddit.com/ethereum/unfixable_seed_extraction_on_trezor
Quote
https://www.reddit.com/r/TREZOR/comments/dksrxv/trezor_access_lost_4_digits_pin/
+ https://translate.google.com

chrisgagne   22 дня назад
Они признали в своем блоге уязвимость, которую невозможно исправить, которая обходит PIN-код, но не раскрыли ее на своей странице безопасности, что показалось мне крайне недобросовестным поведением компании, заявляющей о продаже защищенного устройства. В другом месте они утверждают, что « ... PIN-код обеспечивает эффективную защиту вашего устройства ... », но, учитывая их сообщение в блоге, это кажется откровенной ложью.

oliverlikes  SatoshiLabs 22 дня назад
Мы не смогли опубликовать детали, представленные Ledger, потому что они сами не предоставили все необходимые детали.
Это уязвимость Шредингера на данный момент. Леджер несколько убедительно представляет это как реальную вещь, но они не пошли дальше, чем «Это реально, ребята, поверьте нам».

chrisgagne  22 дня назад
На своей странице об уязвимостях вы заявляете: «Другими словами, мы не платим вознаграждения за недоказанные, теоретические проблемы, но мы оставляем за собой право исправлять их в любом случае. Покажите нам рабочий эксплойт, если вы хотите доказать, что это настоящая уязвимость ».
В своей статье блога вы заявляете:
«Мы хотели бы поблагодарить Леджера за практическую демонстрацию атаки, о которой мы знали с момента разработки Трезора ».
“We would like to thank Ledger for practically demonstrating the attack that we have been aware of since designing Trezor."
Я не знаю, что думают другие, но практическая демонстрация очень похожа на рабочий эксплойт.
I don't know what others think, but a practical demonstration sounds a lot like a working exploit.


Кроме того, вы признаете, что знали об этом с самого начала.
Further, you admit that you've been aware of it from the very beginning.


Это признание того, что вы сознательно продали уязвимый продукт (сотням тысяч?) Многим людям
That's a confession that you knowingly sold a vulnerable product to (hundreds of thousands?) lots of people


, и при этом продолжаете продавать его как безопасный, заявляя, что PIN-коды эффективны, и не раскрываете его на своей основной странице раскрытия.
Я не уверен, почему вы тратите свое время на то, чтобы поджигать людей, призывающих вас к вашей плохо раскрытой уязвимости, а не ... вы знаете ... на самом деле ее исправить ?
..Где эта уязвимость раскрыта на сайте Трезора?
..Кроме того, если Трезору известно, что семена могут быть извлечены всего за несколько тысяч долларов, почему Трезор не приказывает людям менять семена и перемещать кошелек в случае потери Трезора ?

Aussiehash  21 день назад
За последние 4 десятилетия компьютерные инженеры говорили, что ни один компьютерный сервер не является безопасным, если злоумышленник имеет физический доступ.
Ergo - аппаратный кошелек (с защищенным элементом или без него) не защищен, если у злоумышленника есть физический доступ и неограниченное время.
Один из вариантов - стереть аппаратный кошелек между использованиями и восстановить начальное значение (расширенное восстановление в Trezor One), которое можно потратить. Вы можете использовать SSS в случае Trezor T или MicroSD с шифрованием AES для Coldcard.
Кроме того, вы можете использовать Multisig, Passphrases, сторонний multisig, Locktime, Airgap, Glacier Protocol, ноутбук Purism, клетку Фарадея, церемонии подписания ключей и т. Д. И т. Д. И т. Д. И т. Д.

chrisgagne  21 день назад
Отлично, тогда SatoshiLabs должна это признать. Не требуйте « ... ПИН-код обеспечивает эффективную защиту вашего устройства ... », когда это просто не так. Скажите людям, что им нужно перевести средства на новый кошелек, и объясните, как это сделать (создать новые семена, чтобы получить адрес, восстановить старый кошелек, отправить средства на новый адрес, восстановить новый кошелек?). Объясните «практически [продемонстрированную» »уязвимость на странице раскрытия информации о безопасности, а не притворяйтесь, что ее не существует.
Я не ожидаю совершенно безопасного устройства, способного противостоять бесконечной атаке. Я ожидаю, что поставщики продуктов для обеспечения безопасности будут полностью прозрачны в отношении известных проблем безопасности. Отсутствие этой уязвимости на их странице раскрытия информации о безопасности, утверждение о том, что ПИН обеспечивает эффективную защиту, когда это не так, и подразумевает, что не требуется никаких дальнейших действий для защиты средств в случае потери кошелька, не являются прозрачно удаленными.
Почему мы должны доверять непрозрачной компании, даже если ее конкуренты выявили свои уязвимости? Почему SatoshiLabs публично не признала, что были известные уязвимости даже на этапе проектирования? Что еще они прячут? Задняя дверь? Я вижу сообщения о том, что люди теряют все средства на своем Trezor, несмотря на покупку подлинного устройства и никогда не раскрывая свое семя. Может ли кто-то в SL на самом деле быть за этим?

Aussiehash  21 день назад
Почему мы должны доверять непрозрачной компании, даже если ее конкуренты выявили свои уязвимости?
Эта уязвимость donjon была продемонстрирована, но не раскрыта. Вероятно, он существует, возможно, он связан с кремниевой ошибкой STM, но там, где SL может смягчить атаку на повышение уровня ошибок STM wallet.fail, которая когда-то была раскрыта, путем удаления контрольной точки контрольной суммы загрузчика и в некоторой степени хеширования мнемонического секрета с помощью PIN-кода.

SatoshiLabs публично признает, что были известные уязвимости даже на этапе проектирования?
OGs будут помнить более простые времена USB Erupters friedcat, ASIC чип-предзаказов в партиях от YiFu на bitcointalk, монеты Casascius и кошельки Piper термобумаги. MtGox занимал 80% рынка, а DPR был свободным человеком. У предзаказов было дурное имя, у BFL был список ожидания + год и был блог Джоди.
В ту эпоху наступил Трезор, это был подарок сообществу биткойнов, малиновые пи-щиты были предоставлены разработчикам кошельков бесплатно, а Трезор должен был быть бесконечно лучше бумажных и настольных горячих кошельков. Это кратко перечислено как кампания кикстартера, затем пошло частный предварительный заказ, затем почти обанкротилось. Это было открытое оборудование и открытый исходный код, вы могли создавать свои собственные, и люди делали это.
Целью проекта было сделать что-то более безопасным и безопасным, чем то, что было там. Был Биткойн-QT, Биткойн Оружейная, Мультибит и Электрум. Никто другой не поддерживал BIP32 / 39/44, кроме Trezor.
...
Aussiehash  21 день назад
Так почему же Trezor не советует пользователям менять свой кошелек в случае потери?
Они должны проинформировать пользователей, что если вы потеряете свой Трезор, это гонка, в которой ваши монеты будут сметаться с потенциальным вором, как и Леджер .
и тэ дэ
https://www.reddit.com/r/TREZOR/comments/cms26i/trezor_one_wallet_hacked - Trezor One wallet hacked
https://www.reddit.com/r/btc/comments/c8zdsk/unfixable_seed_extraction_on_trezor_a_practical/
https://www.reddit.com/r/ethereum/comments/c8w6fb/unfixable_seed_extraction_on_trezor_a_practical/
https://www.reddit.com/r/Bitcoin/comments/cobola/how_to_keep_your_bitcoin_safe_posting_this_for/
https://www.reddit.com/r/noncensored_bitcoin/comments/c9d91a/uncensoredrcryptocurrency_unfixable_seed/

Quote
https://www.reddit.com/r/Monero/comments/ca5c2j/skepticism_sunday_july_07_2019/
Degener8iv   4 months ago
https://ledger-donjon.github.io//Unfixable-Key-Extraction-Attack-on-Trezor/
It should be noted that this article was written by a security researcher at ledger, who obviously has much to gain by the community losing faith in Trezor. So consider the source...
Следует отметить, что эта статья была написана исследователем безопасности в Леджер, который, очевидно, имеет много пользы для сообщества, теряющего веру в Трезора. Итак, рассмотрим источник ...
...
vorot93   4 месяца назад
Каков статус поддержки Lightning Network? Я обеспокоен тем, что комбинация Биткойн + LN может съесть наш ланч как достаточно частную среду обмена.
vorot93   4 месяца назад
Я знаю, почему LN более приватен с Монеро. Мой вопрос когда ?
Потому что сейчас, если я хочу купить мороженое и не сделать свою транзакцию прозрачной, я либо использую Bitcoin+LN, возьму мороженое и уйду, либо мне придется ждать блокчейн Monero на прилавке, как мой лед. крем тает. Конфиденциальность ни для чего, если это не удобно.

Quote
https://www.reddit.com/r/Bitcoin/comments/cobola/how_to_keep_your_bitcoin_safe_posting_this_for/

jsunio  3 месяца назад
Sorry to say Ledger has the same vulnerability, and has dealt with it in a worse way
Извините, что у Леджера такая же уязвимость, и он справился с ней хуже
https://thenextweb.com/hardfork/2018/03/20/ledger-nano-s-hack-cryptocurrency/
https://thenextweb.com/hardfork/2018/02/06/cryptocurrency-wallet-ledget-hardware/
https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/
https://7labs.io/tips-tricks/trezor-vs-ledger.html

CryptoNoob-17  3 месяца назад
НЕ ИСПОЛЬЗУЙТЕ АУТЕНТИФИКАЦИЮ ФАКТОРА SMS TEXT 2
Если ваш телефон / SIM-карта будет клонирована, у вас будет плохое время. Ваши обменные кошельки будут очищены «хакером».
Используйте приложение Authenticator, например, Google Authenticator или что-то подобное. Таким образом, кто-то в Северной Корее не сможет отправить ваши деньги с обмена, потому что ему нужен ваш телефон. Надежно храните резервные коды 2fa.

Отслеживаемый? В любом случае, можно создать кроме primary дополнительные адреса. У меня леджер, но в трезоре, думаю, так же - интерфейс-то одинаковый.
Описание как это делается есть где-то ? или может вы подскажете как там и на что жать ?
marfich97
Sr. Member
****
Offline Offline

Activity: 980
Merit: 301



View Profile
November 12, 2019, 03:03:07 PM
 #3833

и для безопасности лучше когда 25 слово подлиннее.
Мы тут с коллегой в соседней ветке спорили недавно по этому поводу, и он меня переубедил, что в данном случае длина пароля в 20-30 и больше символов избыточна, достаточно и 12-ти, но случайных.
12 случайных символов дадут где-то 2 столетия на подбор прямым брутфорсом, так что как вариант нормально, конечно если там не будет aaa* и тогда такой пароль подберется быстрее. Но вместе с тем, если выбрать 3-4 небольших-средних слова и соединить их между собой, то можно получить пароль общей длиной в 20-30 символов и который нельзя перебрать по словарю потому что это будет комбинация из слов в неизвестном порядке, но при этом эту фразу можно будет запомнить и никуда не записывать.

Dimenzino
Member
**
Offline Offline

Activity: 364
Merit: 32


View Profile
November 12, 2019, 03:11:36 PM
Last edit: November 13, 2019, 04:52:06 AM by Dimenzino
 #3834

и для безопасности лучше когда 25 слово подлиннее.
Мы тут с коллегой в соседней ветке спорили недавно по этому поводу, и он меня переубедил, что в данном случае длина пароля в 20-30 и больше символов избыточна, достаточно и 12-ти, но случайных.
12 случайных символов дадут где-то 2 столетия на подбор прямым брутфорсом, так что как вариант нормально, конечно если там не будет aaa* и тогда такой пароль подберется быстрее. Но вместе с тем, если выбрать 3-4 небольших-средних слова и соединить их между собой, то можно получить пароль общей длиной в 20-30 символов и который нельзя перебрать по словарю потому что это будет комбинация из слов в неизвестном порядке, но при этом эту фразу можно будет запомнить и никуда не записывать.
Если входят заглавные буквы, цифры, спецсимволы, есть непсевдослучайность.. (русские+английские ещё б желательна возможность но в кошельках её нет)
.. то пасс конешн короче.. но вот насколько
https://ru.wikipedia.org/Сложность_пароля
https://ru.wikipedia.org/Информационная_энтропия
Подробно о генераторах случайных и псевдослучайных чисел
анализаторы надежности паролей - программа zxcvbn
yandex.ru/ брутфорс спецсимволы энтропия
https://bitcointalk.org/index.php?topic=5132928 - [Инструкция] Как создать надёжный пароль  (Read 587 times)
https://youtu.be/y1MQyl13ssc?t=299 - 4:55 - "если энтропия вашего пароля меньше 40 бит то 4 GPU подберут пасс за минуту"

Quote
https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4
Наш ответ на выводы #MITBitcoinExpo Леджера
Our Response to Ledger’s #MITBitcoinExpo Findings
...
Брутфорс парольной фразы, состоящей из девяти буквенно-цифровых символов (комбинация букв и цифр в верхнем и нижнем регистре) или даже двенадцати строчных букв и пробелов, может стоить миллионы долларов.
Bruteforcing a passphrase of just nine alphanumeric characters (a combination of letters and numbers in both upper and lower case) or even twelve lowercase letters and spaces can cost millions of dollars.
...
«Мы хотели бы поблагодарить Ledger за практическую демонстрацию атаки, о которой мы знали с момента создания Trezor . Поскольку мы понимаем, что ни одно оборудование не является на 100% безопасным, мы ввели концепцию парольной фразы; что помимо правдоподобного отрицания устраняются многие виды физических атак, как этот ».
- Марек Палатинус , генеральный директор SatoshiLabs
+
Quote
https://habr.com/ru/post/256671/
26 апреля 2015
возьмём случайный набор из 8 символов.
Заметьте, что и у генератора это дефолтная длина. Я получил «U6zruRWL»
впишем его в поле ввода сервиса проверки сложности паролей GRC password crack checker
получим, что при применении «Большого массива для взлома» скорость его обнаружения составит 2.22 секунды
пойдём, полежим с тёплым полотенчиком на лице

Вы скажете, что «большой массив для взлома» – это экзотика. Извините. Массив из 24 обычных GPU, оптимизированных для быстрого подбора хэшей, доступен любому агентству и среднему бизнесу. Тем более, что их не обязательно покупать, а можно арендовать – например, в облаке. А представьте, на что способно агентство национального масштаба. Ужас.
Даже если отбросить этот сценарий, то в графе «простой оффлайновый перебор» значится всего лишь 37 минут.
Попробуем удлинить пароль. Что получится?
9 символов — 2 минуты
10 символов — 2 часа
11 символов — 6 дней
12 символов — 1 год
13 символов — 64 года
Может, добавим спецсимволов ?
8 символов – 1 минута
9 символов – 2 часа
10 символов – 1 неделя
11 символов – 2 года
12 символов – 2 века
Уже неплохо, но безопасной кажется лишь отметка в 12 символов, содержащих верхний и нижний регистр, цифры и спецсимволы.
Конечно, все эти расчёты зависят от используемого алгоритма хэширования. Придётся принять, что все используемые вами пароли будут хранится с шифрованием самым глупым и быстрым алгоритмом.
+ за 5 лет GPU ускорились вдвое
ps
но и вероятность наличия аппаратно-софтовых закладок (+ их утечек) должна быть соответствующей
Все производители чипов, и оборудования для анализа этих самых чипов часто под сильным контролем властей (а когда идеология "властей" извините "ни рыба ни мясо, "рассчитана на дебилов" и постоянно рушится с утечками баз то пардоньте)
igor72
Hero Member
*****
Offline Offline

Activity: 602
Merit: 736

CryptoTalk.Org - Get Paid for every Post!


View Profile
November 13, 2019, 07:55:33 AM
 #3835

Отслеживаемый? В любом случае, можно создать кроме primary дополнительные адреса. У меня леджер, но в трезоре, думаю, так же - интерфейс-то одинаковый.
Описание как это делается есть где-то ? или может вы подскажете как там и на что жать ?
Попробую подсказать, но я не понял, что именно вам не понятно? Как использовать монеро на трезоре или как добавить субадрес?


Что касается passphrase, то в данном случае расчеты, применимые к паролям здесь не совсем подходят. Все-таки чтобы испытать одну passphrase дополнительно необходимо просчитать 2048 хешей.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
Dimenzino
Member
**
Offline Offline

Activity: 364
Merit: 32


View Profile
November 13, 2019, 03:35:23 PM
 #3836

как добавить субадрес?
как добавить субадрес
igor72
Hero Member
*****
Offline Offline

Activity: 602
Merit: 736

CryptoTalk.Org - Get Paid for every Post!


View Profile
November 13, 2019, 03:41:38 PM
 #3837

как добавить субадрес?
как добавить субадрес
Слева нажмите "Получить", справа появится основной адрес, а снизу "Создать новый адрес", вот туда нажмите, дайте произвольное название-метку и всё.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
johhnyUA
Legendary
*
Offline Offline

Activity: 1400
Merit: 1113


CryptoTalk.Org - Get Paid for every Post!


View Profile
November 13, 2019, 04:31:30 PM
 #3838

~snip~

Вот, статья от толкового дядьки Гибсона (спасибо Ксенону131), который занимался секьюрностью еще когда многих из нас на свете не было, а самые старые под стол ходили пешком  Grin

https://www.grc.com/haystack.htm

И там вот ты можешь проверить стойкость по символам. Для онлайн хакинга даже 6-8 символом при максимальном алфавите (95 знаков) будут непосильной задачей. При оффлайн хакинге, при 95 знаках реально нужно не меньше 10ти символов.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
Dimenzino
Member
**
Offline Offline

Activity: 364
Merit: 32


View Profile
November 14, 2019, 08:31:09 PM
Last edit: November 15, 2019, 04:06:14 AM by Dimenzino
 #3839

История - но с аппаратником(-ми?) она была или без - непонятно.. не хочет говорить (каким лохом оказался) - "угадывайте между строк.
(+ про антивирус-шпион .. но это для аппаратников видимо не страшно ? а вот фишинг .. что если аппаратник самообновляться будет с фиш-сайта ?)
Quote
https://bitcointalk.org/index.php?topic=5186827.msg53055397#msg53055397
История взлома и кражи криптовалют
https://bits.media/istoriya-vzloma-ot-sergey-simanovsky/
..
Сейчас той ОС-ки уже нет. Железо чистое. Так же, как и все флешки - они вообще были убиты физически (хоть куда-то ушла агрессия – кстати, сломать современные флешки, я уже молчу про аппаратные кошельки, не просто, даже при помощи молотка).
...
Человег Друг-Человека24.09 00:31
При этом информации, которая смогла бы пролить свет на картину произошедших событий практически нет, мы только прочитали что ну вот да украли, было на кошельке и тут не стало, ну офигеть интрига дня... Зато как он там орал и метался - все остальное эфирное время, драматизм конечно в лучших шекспировских традициях.
..
It's LSV23.09 15:47
Сочувствую... Это конечно страшно, когда теряешь всё. Не унывай. Где-то потеряешь, где-то обязательно прибудет.
В статье вы писали про аппаратные кошельки. Если не сложно напишите каким образом с них у вас ушли средстваHuh
.. Итог: чувствуется недосказанность событий.
молотком крушил аппаратные кошели.. (?) -->
А команда Runas для трезоро-леджер-водов - видимо может пригодиться ?
Quote
https://bits.media/kak-predotvratit-vzlom-i-vorovstvo-kriptovalyuty/
Рекомендации по организации хранения криптовалют и токенов

Права пользователя. Давайте пользователю ровно столько прав, сколько требуется для выполнения задач. Не сидите под пользователем с административными полномочиями. Более того, можно с помощью ограниченных прав пользователя дополнительно обезопасить кошелек. Например, завести две учетные записи, первая имеет доступ к кошельку, но под ней нельзя залогиниться ни локально, ни по сети. Вторая учетная запись может быть использована для входа, но не имеет доступа к кошельку. Чтобы из под нее работать с кошельком, необходимо дополнительно запускать его с помощью команды Runas, как в этом примере https://bits.media/wallet-security/

Quote
Заходим в виртуальную машину от имени пользователя banker. Щелкаем правой кнопкой по папке wallet, выбираем properties, и на вкладке General снизу нажимаем на кнопку Advanced, в открывшемся окне ставим галку напротив Encrypt contents to secure data, жмем ок, в окне подтверждения выбираем Apply changes to this folder, subfolder and files. Подтверждаем, дожидаемся окончания процесса шифрования.

Теперь только пользователь banker может пользоваться кошельком, для остальных он зашифрован, даже если украдут образ виртуальной машины или физический компьютер, без ключа пользователя banker до кошелька не добраться. После выполнения приведенных выше действий никто, кроме banker, не имеет доступа к папке кошелька по правам NTFS, плюс папка зашифрована EFS с ключом пользователя banker.

Но есть одно но, сидя под banker любая программа может вытащить данные, от этого защитимся следующим образом: мы не будем заходить под пользователем banker, а заходить будем под пользователем user, а запускать кошелек будем от имени banker. Для этого изменим файл run.cmd следующим образом: кликаем по нему правой кнопкой мыши, нажимаем edit и изменяем содержимое на Runas /user:my_bank\banker “D:\bitcoin\bitcoin.exe –datadir=D:\wallet”

После этих действий запуск run.cmd будет сопровождаться запросом пароля пользователя banker, кто его не знает не сможет запустить кошелек.
Антивирус. Ставить или нет антивирус? Если компьютер подключен к сети, используется для еще каких-либо задач, кроме хранения криптовалюты, в него есть возможность подключать флэшки или иным способом подгрузить вредоносные программы – мы рекомендуем использовать антивирус. Если же компьютер специально настроен только как кошелек, везде закручена безопасность на максимум, на компьютере нет никакого постороннего ПО и возможности его туда загрузить – лучше обойтись без антивируса. Есть небольшая вероятность, что антивирус отошлет в компанию производителя кошелек как подозрительный файл, например, или в самом антивирусе найдут уязвимость. Хоть это и очень маловероятно, но случаи подобные уже были, совсем их исключать не стоит.
...
Песочницы. Заведите отдельную виртуалку для просмотра присланных файлов. Всегда есть риск получить документ с 0-day эксплоитом, который еще не обнаруживается антивирусом. У виртуальных машин есть такой плюс, как довольно быстрая работа со снепшотами. То есть выделаете слепок системы, запускаете на ней сомнительные файлы, и после окончания работ возвращаете состояние виртуалки на момент, когда вы подозрительные файлы еще не открывали. Это нужно как минимум для последующей безопасной работы с другими данными.
...
Не оставляйте вещи без присмотра. Про флэшки или смартфон без пароля всем все понятно. Но в некоторых случаях даже ноутбук может быть взломан просто при вставлении в USB порт устройства, похожего на флэшку. А на самом деле это будет аппаратный HID эмулятор клавиатуры и набор эксплоитов. Так что в Windows среде после настройки всех своих устройств рекомендуется запретить автоматическую установку драйверов и устройств, активировав политику «Запретить установку устройств, не описанных другими параметрами политики».
...
Фишинг. Чаще всего атакуют сайты бирж, онлайн кошельков, популярных обменников.
В лидерах myetherwallet.com, blockchain.com и localbitcoins.com. Чаще всего мошенники регистрируют домен, похожий на атакуемый. Заливают туда безобидный сайт или форум. Покупают рекламу в поисковиках на него. Как только рекламные объявления проходят модерацию, сайт подменяется на клон атакуемого сайта. Настоящий при этом не редко начинают DDoS’ить. Пользователь не может попасть на сайт, вводит в поисковике его название, кликает по первой строчке в выдаче, не посмотрев, что это реклама, и оказывается на сайте мошенников, который выглядит, как настоящий. Далее он вводит свои логины и пароли, и деньги с его аккаунта утекают злоумышленникам. Зачастую не помогает даже двухфакторная аутентификация, пин коды и т.п. Пользователь сам это все введет. Скажем, при логине введет код, система скажет, что код не верный, введите еще раз. Он введет второй код. А на самом деле первый код использовался для входа, а второй для подтверждения вывода средств.

Другой пример – отложенные атаки. Когда вы открываете присланный вам сайт, который выглядит как безопасный, и оставляете вкладку открытой. Через какое-то время при отсутствии действий на странице, ее содержимое подменяется на фишинговый сайт
п.2
(add к кошельблокирующему dpi)
былое и думы
Будет сложно, вон в Тюмени начали уже тестирование Чебурнета. Вводят DPI (Direct packet inspection),
https://yandex.ru/ DPI +NTCP2
Quote
Новый транспортный протокол позволяет не только эффективно противостоять dpi, но и существенно снижает нагрузку на процессор
https://habr.com/ [dpi]:
-->
Quote
https://habr.com/ru/news/t/468743/
Один из авторов закона Андрей Луговой (2) ранее объяснял, что эти меры должны защитить российский сегмент Сети
-->
Quote
https://habr.com/ru/post/468603/
Rutracker включил eSNI. Конец эпохи DPI и конец блокировок

--> https://4pda.ru/ eSNI
Quote
https://4pda.ru/forum/index.php?showtopic=737235&st=10680#entry78302151
Пару страниц назад я спрашивал, зачем нужен пункт "Персональный DNS-сервер".
Оказывается, пункт настроек "Персональный DNS-сервер" Весьма важная и полезная вещь.
При использовании классической схемы DNS, провайдеры могут лезть в ваши DNS-пакеты, просматривать, какие домены вы запрашиваете, и подменять ответы как угодно. Этим же занимаются мошенники, подменяя резолверы на взломанных роутерах, чтобы направить пользователя на поддельный сервер.
Встроенными ресурсами только Android 9 позволяет нам использовать DNS over TLS. C DNS over TLS запросы посылаются внутри зашифрованного тоннеля так, что провайдер не может подменить или просмотреть запрос.
А с приходом шифрования имени домена в сертификатах X.509 (ESNI) станут невозможны блокировки через DPI по SNI (Server Name Indication, специальное поле, в котором передается имя домена в первом TLS-пакете), которые сейчас применяются у некоторых крупных провайдеров.
-->
Quote
https://4pda.ru/forum/index.php?showtopic=837667&st=8040#entry78905263
но некоторые CDN (допустим, Cloudflare) уже внедряют eSNI, вскрыть которое не получится - останется только заблокировать в России все сайты, сидящие за CloudFlare
Quote
https://4pda.ru/forum/index.php?showtopic=163303&st=8000#entry80174848
Я включил DoH и esni. Вот тут можно потестить
Мои настройки можно найти тут
Quote
https://www.opennet.ru/opennews/art.shtml?num=49325
В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике
25.09.2018
https://bitcointalk.org/index.php?topic=1201197 - Использование CloudFlare ставит под угрозу Биткоин сервисы
хмм .. и чего ?
google.ru/ ESNI +DPI _site:ru-board.com
-->
Quote
http://forum.ru-board.com/topic.cgi?forum=5&topic=49599&start=200#6
сейчас многими провайдерами перехватываются/подменяются DNS-запросы.
То есть не поможет прописывание своих DNS ни в роутере, ни в системе.
Сейчас нужно всё шифровать, используя всевозможные технологии DNSSEC, DNSCrypt, DoH, DoT, eSNI.
google.ru/ DPI, DNSSEC, DNSCrypt, DoH, DoT, eSNI
Quote
https://www.opennet.ru/tips/info/3086.shtml
Включение ESNI и DNS over HTTPS в Firefox. 25.01.2019
https://www.youtube.com/watch?v=59xhpI8poHM
igor72
Hero Member
*****
Offline Offline

Activity: 602
Merit: 736

CryptoTalk.Org - Get Paid for every Post!


View Profile
November 15, 2019, 11:20:07 AM
 #3840

про антивирус-шпион .. но это для аппаратников видимо не страшно ?
не страшно
Quote
а вот фишинг .. что если аппаратник самообновляться будет с фиш-сайта ?
Фишинг - это про другое. Вы, наверное, имеете в виду фейковый сайт с обновлением прошивки.
На сайте трезора написано:
Quote
Reflashing the Trezor with malicious firmware

Official Trezor firmware is signed by the SatoshiLabs master key. Installing unofficial firmware on the Trezor is possible, but doing so will wipe the device storage, and Trezor will show a warning every time it starts.

То есть, если такое и возможно, то трудно будет это не заметить.

С леджером все еще сложнее.

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
.CryptoTalk.org.|.MAKE POSTS AND EARN BTC!.🏆
Pages: « 1 ... 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 [192] 193 194 195 196 197 198 199 »
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!