FontSeli
|
|
November 10, 2019, 01:27:00 PM |
|
Не понял вопроса, разверните. Как я сказал, на определенном месте дерева (на определенном пути деривации) для данного сида всегда будет один и тот же ключ, он не случайно сгенерирован, он вычислен.
Т.е. получается когда вы впервые устанавливаете приложение, например для EOS, ключ вычисляется на устройстве, далее вы его удалили не потратив монеты, установили приложение для Grin и т.д. приватники для всех этих монет будут вычислены. Потом вы вводите свой сид на новом Леджере и при установке приложения для ЕОС, оно вычисляет опять определенное "место на дереве" и берет оттуда приватник? Теперь мне стало понятно. Походу и я созрел для покупки Леджера))
|
Celebrate Julian's freedom!
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
November 10, 2019, 01:43:34 PM |
|
Т.е. получается когда вы впервые устанавливаете приложение, например для EOS, ключ вычисляется на устройстве, далее вы его удалили не потратив монеты, установили приложение для Grin и т.д. приватники для всех этих монет будут вычислены. Потом вы вводите свой сид на новом Леджере и при установке приложения для ЕОС, оно вычисляет опять определенное "место на дереве" и берет оттуда приватник? Ну да, примерно так. Только не помню, чтобы Grin поддерживался Леджером.
|
|
|
|
witcher_sense
Legendary
Offline
Activity: 2422
Merit: 4397
🔐BitcoinMessage.Tools🔑
|
|
November 10, 2019, 06:50:33 PM |
|
Не понял вопроса, разверните. Как я сказал, на определенном месте дерева (на определенном пути деривации) для данного сида всегда будет один и тот же ключ, он не случайно сгенерирован, он вычислен.
Т.е. получается когда вы впервые устанавливаете приложение, например для EOS, ключ вычисляется на устройстве, далее вы его удалили не потратив монеты, установили приложение для Grin и т.д. приватники для всех этих монет будут вычислены. Потом вы вводите свой сид на новом Леджере и при установке приложения для ЕОС, оно вычисляет опять определенное "место на дереве" и берет оттуда приватник? Теперь мне стало понятно. Походу и я созрел для покупки Леджера)) Только тут есть один момент. Если вы устанавливаете пароль вместе с сид-фразой, то вам нужно обязательно запоминать его, потому что приватные ключи генерируются совершенно разные. То есть из одной сид-фразы с разными паролями будут совершенно разные наборы адресов. Если вы отправите монеты на seed+pass1, то вы не увидите этих монет на простой seed или seed+pass(любой pass, отличный от pass1).
|
|
|
|
marfich97
|
|
November 11, 2019, 09:55:34 AM |
|
Не понял вопроса, разверните. Как я сказал, на определенном месте дерева (на определенном пути деривации) для данного сида всегда будет один и тот же ключ, он не случайно сгенерирован, он вычислен.
Т.е. получается когда вы впервые устанавливаете приложение, например для EOS, ключ вычисляется на устройстве, далее вы его удалили не потратив монеты, установили приложение для Grin и т.д. приватники для всех этих монет будут вычислены. Потом вы вводите свой сид на новом Леджере и при установке приложения для ЕОС, оно вычисляет опять определенное "место на дереве" и берет оттуда приватник? Теперь мне стало понятно. Походу и я созрел для покупки Леджера)) Только тут есть один момент. Если вы устанавливаете пароль вместе с сид-фразой, то вам нужно обязательно запоминать его, потому что приватные ключи генерируются совершенно разные. То есть из одной сид-фразы с разными паролями будут совершенно разные наборы адресов. Если вы отправите монеты на seed+pass1, то вы не увидите этих монет на простой seed или seed+pass(любой pass, отличный от pass1). Так собственно так всегда - если поставил "password1", то не зайдешь по паролю "password" или "password2" Фактически в первом случае ключи генерируются из рут сида в 24 слова, а во втором - в 25 слов, и для безопасности лучше когда 25 слово подлиннее.
|
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
November 11, 2019, 10:07:24 AM |
|
и для безопасности лучше когда 25 слово подлиннее.
Мы тут с коллегой в соседней ветке спорили недавно по этому поводу, и он меня переубедил, что в данном случае длина пароля в 20-30 и больше символов избыточна, достаточно и 12-ти, но случайных.
|
|
|
|
naska21
|
|
November 11, 2019, 01:57:20 PM |
|
Это так, "случай форс-мажора" и я имел ввиду воспользоваться тулзой от iancoleman на оффлайн компьютере и притом внутри виртуальной машины и тогда 'светить" сид совсем не страшно. Я считаю неправильным использование виртуальной машины для таких целей. Может, это и безопасней, чем на обычной "рабочей" системе, но теоретически уязвимо все равно - зловред может скриншотить экран виртуалки. Для таких случаев лучше иметь в хозяйстве флешку с Tails, а еще лучше отдельный комп без сетевых интерфейсов. C Tails хорошая подсказка так как достигается сразу две цели - анонимность и экономное расходование ресурсов системы. Я давно с этой OS не работал поэтому о такой возможности забыл. Сейчас загрузил образ новой версии и поставил все на флешку, старая версия сама обновляться не захотела.
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
November 11, 2019, 02:22:03 PM Last edit: November 12, 2019, 03:24:40 AM by Dimenzino |
|
Я точно не знаю, как там в трезоре устроено, но судя по всему примерно так же как в леджере (исхожу из информации, опубликованной в вики трезора: https://wiki.trezor.io/Monero_(XMR) ). То есть нужно использовать Monero GUI. Вот это-то и смутило что надо лезть на сайт монеры и качать оттуда их приблуды на которые вот жалобы.. To ALL Кто в курсе эта связка " GUI+аппаратник" (трезор т к примеру) имеет один уникальный (и отслеживаемый) адрес ?отсюда Пользоваться официальным электронным кошельком Monero для накопления монет я не хочу, так как он имеет один уникальный адрес. И хотя данные по нему зашифрованы, и ключ только у меня, всё равно, можно отследить все операции по нему в сетиhttps://otzovik.com/review_5075475.htmlвообще отзыв занятный ps ну и так и дальше https://otzovik.com/ криптаvs https://otzovik.com/Ledgerhttps://otzovik.com/Trezorможно судить о продвинутости народных масс..
|
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
November 12, 2019, 09:06:31 AM |
|
To ALL Кто в курсе эта связка "GUI+аппаратник" (трезор т к примеру) имеет один уникальный (и отслеживаемый) адрес ?
Отслеживаемый? В любом случае, можно создать кроме primary дополнительные адреса. У меня леджер, но в трезоре, думаю, так же - интерфейс-то одинаковый.
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
November 12, 2019, 02:40:42 PM Last edit: November 13, 2019, 04:54:17 AM by Dimenzino |
|
add-on к 37 символовпродолжение про Unfixable Seed Extraction on Trezor - A practical and reliable attack. 01 Jul 2019 https://twitter.com/donjonledger/status/1146323810167197696видео google.ru/ Unfixable Key Extraction Attack on Trezorна этом форуме - google.ru/ "donjon.ledger.com - Unfixable-Key-Extraction-Attack-on-Trezor" _site:bitcointalk.orgу трезорцев -- google.ru/ "Unfixable Key Extraction Attack" site:blog.trezor.io --> --> https://blog.trezor.io/our-response-to-the-donjon-team-seed-extraction-attack-dd8417749664Наш ответ на нападение по извлечению семян команды Донжона Our Response to the Donjon Team Seed Extraction Attack 11 июля 2019 ...Команда Donjon опубликовала презентацию атаки в социальных сетях, не раскрывая подробностей в SatoshiLabs, приведя неверный пример процедуры ответственного раскрытия . The Donjon team published the presentation of the attack on social media without disclosing details to SatoshiLabs, setting an incorrect example of the responsible disclosure procedure. Публично обмениваясь и обмениваясь материалами, документирующими атаку, команда Donjon ставит под угрозу индустрию аппаратных кошельков в целом.. By publicly sharing and resharing materials documenting the attack, the Donjon team endangers the hardware wallet industry in general.. ..Используя 12 случайных строчных букв в качестве парольной фразы, злоумышленник должен проверить в среднем около 48 000 000 000 000 000 парольных фраз, прежде чем набрать правильную. Подобная атака обойдется в Amazon AWS в 77 миллионов долларов. By using 12 random lowercase letters as a passphrase, the attacker would have to check about 48,000,000,000,000,000 passphrases on average, before hitting the right one. An attack like this would cost an estimate of $77 million through Amazon AWS. ..«Мы хотели бы поблагодарить Ledger за практическую демонстрацию атаки, о которой мы знали с момента создания Trezor. Поскольку мы понимаем, что ни одно оборудование не является на 100% безопасным, мы ввели концепцию парольной фразы; что помимо правдоподобного отрицания устраняются многие виды физических атак, как этот ». - Марек Палатинус, генеральный директор SatoshiLabs хмм.. поиск обсуждений дальше - - google.ru/ "donjon.ledger.com/Unfixable-Key-Extraction-Attack-on-Trezor" + blog.trezor.iohttps://bitcointalk.org/index.php?topic=5161786 - Hardware wallets still aren't secure, and they never will be. Use paper wallets (Read 1352 times) что на реддите google.ru/"Unfixable Key Extraction Attack on Trezor" site:reddit.com--> https://reddit.com/r/TREZOR, https://reddit.com/r/cryptonist, https://np.reddit.com/r/TREZOR/Unfixable Key Extraction Attack on Trezorreddit.com/ethereum/unfixable_seed_extraction_on_trezorhttps://www.reddit.com/r/TREZOR/comments/dksrxv/trezor_access_lost_4_digits_pin/+ https://translate.google.comchrisgagne 22 дня назад Они признали в своем блоге уязвимость, которую невозможно исправить, которая обходит PIN-код, но не раскрыли ее на своей странице безопасности, что показалось мне крайне недобросовестным поведением компании, заявляющей о продаже защищенного устройства. В другом месте они утверждают, что « ... PIN-код обеспечивает эффективную защиту вашего устройства ... », но, учитывая их сообщение в блоге, это кажется откровенной ложью. oliverlikes SatoshiLabs 22 дня назад Мы не смогли опубликовать детали, представленные Ledger, потому что они сами не предоставили все необходимые детали. Это уязвимость Шредингера на данный момент. Леджер несколько убедительно представляет это как реальную вещь, но они не пошли дальше, чем «Это реально, ребята, поверьте нам». chrisgagne 22 дня назад На своей странице об уязвимостях вы заявляете: «Другими словами, мы не платим вознаграждения за недоказанные, теоретические проблемы, но мы оставляем за собой право исправлять их в любом случае. Покажите нам рабочий эксплойт, если вы хотите доказать, что это настоящая уязвимость ». В своей статье блога вы заявляете: «Мы хотели бы поблагодарить Леджера за практическую демонстрацию атаки, о которой мы знали с момента разработки Трезора ». “We would like to thank Ledger for practically demonstrating the attack that we have been aware of since designing Trezor." Я не знаю, что думают другие, но практическая демонстрация очень похожа на рабочий эксплойт. I don't know what others think, but a practical demonstration sounds a lot like a working exploit.Кроме того, вы признаете, что знали об этом с самого начала. Further, you admit that you've been aware of it from the very beginning.Это признание того, что вы сознательно продали уязвимый продукт (сотням тысяч?) Многим людям That's a confession that you knowingly sold a vulnerable product to (hundreds of thousands?) lots of people, и при этом продолжаете продавать его как безопасный, заявляя, что PIN-коды эффективны, и не раскрываете его на своей основной странице раскрытия. Я не уверен, почему вы тратите свое время на то, чтобы поджигать людей, призывающих вас к вашей плохо раскрытой уязвимости, а не ... вы знаете ... на самом деле ее исправить ? ..Где эта уязвимость раскрыта на сайте Трезора? ..Кроме того, если Трезору известно, что семена могут быть извлечены всего за несколько тысяч долларов, почему Трезор не приказывает людям менять семена и перемещать кошелек в случае потери Трезора ? Aussiehash 21 день назад За последние 4 десятилетия компьютерные инженеры говорили, что ни один компьютерный сервер не является безопасным, если злоумышленник имеет физический доступ. Ergo - аппаратный кошелек (с защищенным элементом или без него) не защищен, если у злоумышленника есть физический доступ и неограниченное время. Один из вариантов - стереть аппаратный кошелек между использованиями и восстановить начальное значение (расширенное восстановление в Trezor One), которое можно потратить. Вы можете использовать SSS в случае Trezor T или MicroSD с шифрованием AES для Coldcard. Кроме того, вы можете использовать Multisig, Passphrases, сторонний multisig, Locktime, Airgap, Glacier Protocol, ноутбук Purism, клетку Фарадея, церемонии подписания ключей и т. Д. И т. Д. И т. Д. И т. Д. chrisgagne 21 день назад Отлично, тогда SatoshiLabs должна это признать. Не требуйте « ... ПИН-код обеспечивает эффективную защиту вашего устройства ... », когда это просто не так. Скажите людям, что им нужно перевести средства на новый кошелек, и объясните, как это сделать (создать новые семена, чтобы получить адрес, восстановить старый кошелек, отправить средства на новый адрес, восстановить новый кошелек?). Объясните «практически [продемонстрированную» »уязвимость на странице раскрытия информации о безопасности, а не притворяйтесь, что ее не существует. Я не ожидаю совершенно безопасного устройства, способного противостоять бесконечной атаке. Я ожидаю, что поставщики продуктов для обеспечения безопасности будут полностью прозрачны в отношении известных проблем безопасности. Отсутствие этой уязвимости на их странице раскрытия информации о безопасности, утверждение о том, что ПИН обеспечивает эффективную защиту, когда это не так, и подразумевает, что не требуется никаких дальнейших действий для защиты средств в случае потери кошелька, не являются прозрачно удаленными. Почему мы должны доверять непрозрачной компании, даже если ее конкуренты выявили свои уязвимости? Почему SatoshiLabs публично не признала, что были известные уязвимости даже на этапе проектирования? Что еще они прячут? Задняя дверь? Я вижу сообщения о том, что люди теряют все средства на своем Trezor, несмотря на покупку подлинного устройства и никогда не раскрывая свое семя. Может ли кто-то в SL на самом деле быть за этим? Aussiehash 21 день назад Почему мы должны доверять непрозрачной компании, даже если ее конкуренты выявили свои уязвимости?Эта уязвимость donjon была продемонстрирована, но не раскрыта. Вероятно, он существует, возможно, он связан с кремниевой ошибкой STM, но там, где SL может смягчить атаку на повышение уровня ошибок STM wallet.fail, которая когда-то была раскрыта, путем удаления контрольной точки контрольной суммы загрузчика и в некоторой степени хеширования мнемонического секрета с помощью PIN-кода. SatoshiLabs публично признает, что были известные уязвимости даже на этапе проектирования?OGs будут помнить более простые времена USB Erupters friedcat, ASIC чип-предзаказов в партиях от YiFu на bitcointalk, монеты Casascius и кошельки Piper термобумаги. MtGox занимал 80% рынка, а DPR был свободным человеком. У предзаказов было дурное имя, у BFL был список ожидания + год и был блог Джоди. В ту эпоху наступил Трезор, это был подарок сообществу биткойнов, малиновые пи-щиты были предоставлены разработчикам кошельков бесплатно, а Трезор должен был быть бесконечно лучше бумажных и настольных горячих кошельков. Это кратко перечислено как кампания кикстартера, затем пошло частный предварительный заказ, затем почти обанкротилось. Это было открытое оборудование и открытый исходный код, вы могли создавать свои собственные, и люди делали это. Целью проекта было сделать что-то более безопасным и безопасным, чем то, что было там. Был Биткойн-QT, Биткойн Оружейная, Мультибит и Электрум. Никто другой не поддерживал BIP32 / 39/44, кроме Trezor. ... Aussiehash 21 день назад Так почему же Trezor не советует пользователям менять свой кошелек в случае потери?Они должны проинформировать пользователей, что если вы потеряете свой Трезор, это гонка, в которой ваши монеты будут сметаться с потенциальным вором, как и Леджер . и тэ дэ https://www.reddit.com/r/TREZOR/comments/cms26i/trezor_one_wallet_hacked - Trezor One wallet hacked https://www.reddit.com/r/btc/comments/c8zdsk/unfixable_seed_extraction_on_trezor_a_practical/https://www.reddit.com/r/ethereum/comments/c8w6fb/unfixable_seed_extraction_on_trezor_a_practical/https://www.reddit.com/r/Bitcoin/comments/cobola/how_to_keep_your_bitcoin_safe_posting_this_for/https://www.reddit.com/r/noncensored_bitcoin/comments/c9d91a/uncensoredrcryptocurrency_unfixable_seed/https://www.reddit.com/r/Monero/comments/ca5c2j/skepticism_sunday_july_07_2019/Degener8iv 4 months ago https://ledger-donjon.github.io//Unfixable-Key-Extraction-Attack-on-Trezor/It should be noted that this article was written by a security researcher at ledger, who obviously has much to gain by the community losing faith in Trezor. So consider the source... Следует отметить, что эта статья была написана исследователем безопасности в Леджер, который, очевидно, имеет много пользы для сообщества, теряющего веру в Трезора. Итак, рассмотрим источник ... ... vorot93 4 месяца назад Каков статус поддержки Lightning Network? Я обеспокоен тем, что комбинация Биткойн + LN может съесть наш ланч как достаточно частную среду обмена. vorot93 4 месяца назад Я знаю, почему LN более приватен с Монеро. Мой вопрос когда ? Потому что сейчас, если я хочу купить мороженое и не сделать свою транзакцию прозрачной, я либо использую Bitcoin+LN, возьму мороженое и уйду, либо мне придется ждать блокчейн Monero на прилавке, как мой лед. крем тает. Конфиденциальность ни для чего, если это не удобно. Отслеживаемый? В любом случае, можно создать кроме primary дополнительные адреса. У меня леджер, но в трезоре, думаю, так же - интерфейс-то одинаковый. Описание как это делается есть где-то ? или может вы подскажете как там и на что жать ?
|
|
|
|
marfich97
|
|
November 12, 2019, 03:03:07 PM |
|
и для безопасности лучше когда 25 слово подлиннее.
Мы тут с коллегой в соседней ветке спорили недавно по этому поводу, и он меня переубедил, что в данном случае длина пароля в 20-30 и больше символов избыточна, достаточно и 12-ти, но случайных. 12 случайных символов дадут где-то 2 столетия на подбор прямым брутфорсом, так что как вариант нормально, конечно если там не будет aaa* и тогда такой пароль подберется быстрее. Но вместе с тем, если выбрать 3-4 небольших-средних слова и соединить их между собой, то можно получить пароль общей длиной в 20-30 символов и который нельзя перебрать по словарю потому что это будет комбинация из слов в неизвестном порядке, но при этом эту фразу можно будет запомнить и никуда не записывать.
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
November 12, 2019, 03:11:36 PM Last edit: November 13, 2019, 04:52:06 AM by Dimenzino |
|
и для безопасности лучше когда 25 слово подлиннее.
Мы тут с коллегой в соседней ветке спорили недавно по этому поводу, и он меня переубедил, что в данном случае длина пароля в 20-30 и больше символов избыточна, достаточно и 12-ти, но случайных. 12 случайных символов дадут где-то 2 столетия на подбор прямым брутфорсом, так что как вариант нормально, конечно если там не будет aaa* и тогда такой пароль подберется быстрее. Но вместе с тем, если выбрать 3-4 небольших-средних слова и соединить их между собой, то можно получить пароль общей длиной в 20-30 символов и который нельзя перебрать по словарю потому что это будет комбинация из слов в неизвестном порядке, но при этом эту фразу можно будет запомнить и никуда не записывать. Если входят заглавные буквы, цифры, спецсимволы, есть непсевдослучайность.. (русские+английские ещё б желательна возможность но в кошельках её нет) .. то пасс конешн короче.. но вот насколько https://ru.wikipedia.org/Сложность_пароляhttps://ru.wikipedia.org/Информационная_энтропияПодробно о генераторах случайных и псевдослучайных чиселанализаторы надежности паролей - программа zxcvbnyandex.ru/ брутфорс спецсимволы энтропияhttps://bitcointalk.org/index.php?topic=5132928 - [Инструкция] Как создать надёжный пароль (Read 587 times) https://youtu.be/y1MQyl13ssc?t=299 - 4:55 - "если энтропия вашего пароля меньше 40 бит то 4 GPU подберут пасс за минуту" https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4Наш ответ на выводы #MITBitcoinExpo Леджера Our Response to Ledger’s #MITBitcoinExpo Findings ... Брутфорс парольной фразы, состоящей из девяти буквенно-цифровых символов (комбинация букв и цифр в верхнем и нижнем регистре) или даже двенадцати строчных букв и пробелов, может стоить миллионы долларов.Bruteforcing a passphrase of just nine alphanumeric characters (a combination of letters and numbers in both upper and lower case) or even twelve lowercase letters and spaces can cost millions of dollars. ... «Мы хотели бы поблагодарить Ledger за практическую демонстрацию атаки, о которой мы знали с момента создания Trezor . Поскольку мы понимаем, что ни одно оборудование не является на 100% безопасным, мы ввели концепцию парольной фразы; что помимо правдоподобного отрицания устраняются многие виды физических атак, как этот ». - Марек Палатинус , генеральный директор SatoshiLabs + https://habr.com/ru/post/256671/26 апреля 2015 возьмём случайный набор из 8 символов. Заметьте, что и у генератора это дефолтная длина. Я получил «U6zruRWL» впишем его в поле ввода сервиса проверки сложности паролей GRC password crack checkerполучим, что при применении «Большого массива для взлома» скорость его обнаружения составит 2.22 секундыпойдём, полежим с тёплым полотенчиком на лице Вы скажете, что «большой массив для взлома» – это экзотика. Извините. Массив из 24 обычных GPU, оптимизированных для быстрого подбора хэшей, доступен любому агентству и среднему бизнесу. Тем более, что их не обязательно покупать, а можно арендовать – например, в облаке. А представьте, на что способно агентство национального масштаба. Ужас. Даже если отбросить этот сценарий, то в графе «простой оффлайновый перебор» значится всего лишь 37 минут. Попробуем удлинить пароль. Что получится? 9 символов — 2 минуты10 символов — 2 часа 11 символов — 6 дней 12 символов — 1 год13 символов — 64 года Может, добавим спецсимволов ? 8 символов – 1 минута 9 символов – 2 часа 10 символов – 1 неделя 11 символов – 2 года 12 символов – 2 векаУже неплохо, но безопасной кажется лишь отметка в 12 символов, содержащих верхний и нижний регистр, цифры и спецсимволы. Конечно, все эти расчёты зависят от используемого алгоритма хэширования. Придётся принять, что все используемые вами пароли будут хранится с шифрованием самым глупым и быстрым алгоритмом. + за 5 лет GPU ускорились вдвое ps но и вероятность наличия аппаратно-софтовых закладок (+ их утечек) должна быть соответствующей Все производители чипов, и оборудования для анализа этих самых чипов часто под сильным контролем властей (а когда идеология "властей" извините " ни рыба ни мясо, "рассчитана на дебилов" и постоянно рушится с утечками баз то пардоньте)
|
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
November 13, 2019, 07:55:33 AM |
|
Отслеживаемый? В любом случае, можно создать кроме primary дополнительные адреса. У меня леджер, но в трезоре, думаю, так же - интерфейс-то одинаковый. Описание как это делается есть где-то ? или может вы подскажете как там и на что жать ?Попробую подсказать, но я не понял, что именно вам не понятно? Как использовать монеро на трезоре или как добавить субадрес? Что касается passphrase, то в данном случае расчеты, применимые к паролям здесь не совсем подходят. Все-таки чтобы испытать одну passphrase дополнительно необходимо просчитать 2048 хешей.
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
November 13, 2019, 03:35:23 PM |
|
как добавить субадрес? как добавить субадрес
|
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
November 13, 2019, 03:41:38 PM |
|
как добавить субадрес? как добавить субадрес Слева нажмите "Получить", справа появится основной адрес, а снизу "Создать новый адрес", вот туда нажмите, дайте произвольное название-метку и всё.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1845
Crypto for the Crypto Throne!
|
|
November 13, 2019, 04:31:30 PM |
|
~snip~
Вот, статья от толкового дядьки Гибсона (спасибо Ксенону131), который занимался секьюрностью еще когда многих из нас на свете не было, а самые старые под стол ходили пешком https://www.grc.com/haystack.htmИ там вот ты можешь проверить стойкость по символам. Для онлайн хакинга даже 6-8 символом при максимальном алфавите (95 знаков) будут непосильной задачей. При оффлайн хакинге, при 95 знаках реально нужно не меньше 10ти символов.
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
November 14, 2019, 08:31:09 PM Last edit: December 17, 2019, 07:26:50 PM by Dimenzino |
|
История - но с аппаратником(-ми?) она была или без - непонятно.. не хочет говорить (каким лохом оказался) - "угадывайте между строк. (+ про антивирус-шпион .. но это для аппаратников видимо не страшно ? а вот фишинг .. что если аппаратник самообновляться будет с фиш-сайта ?) https://bitcointalk.org/index.php?topic=5186827.msg53055397#msg53055397История взлома и кражи криптовалют https://bits.media/istoriya-vzloma-ot-sergey-simanovsky/.. Сейчас той ОС-ки уже нет. Железо чистое. Так же, как и все флешки - они вообще были убиты физически (хоть куда-то ушла агрессия – кстати, сломать современные флешки, я уже молчу про аппаратные кошельки, не просто, даже при помощи молотка). ... Человег Друг-Человека24.09 00:31 При этом информации, которая смогла бы пролить свет на картину произошедших событий практически нет, мы только прочитали что ну вот да украли, было на кошельке и тут не стало, ну офигеть интрига дня... Зато как он там орал и метался - все остальное эфирное время, драматизм конечно в лучших шекспировских традициях. .. It's LSV23.09 15:47 Сочувствую... Это конечно страшно, когда теряешь всё. Не унывай. Где-то потеряешь, где-то обязательно прибудет. В статье вы писали про аппаратные кошельки. Если не сложно напишите каким образом с них у вас ушли средства .. Итог: чувствуется недосказанность событий. молотком крушил аппаратные кошели.. ( ?) --> А команда Runas для трезоро-леджер-водов - видимо может пригодиться ? https://bits.media/kak-predotvratit-vzlom-i-vorovstvo-kriptovalyuty/Рекомендации по организации хранения криптовалют и токенов Права пользователя. Давайте пользователю ровно столько прав, сколько требуется для выполнения задач. Не сидите под пользователем с административными полномочиями. Более того, можно с помощью ограниченных прав пользователя дополнительно обезопасить кошелек. Например, завести две учетные записи, первая имеет доступ к кошельку, но под ней нельзя залогиниться ни локально, ни по сети. Вторая учетная запись может быть использована для входа, но не имеет доступа к кошельку. Чтобы из под нее работать с кошельком, необходимо дополнительно запускать его с помощью команды Runas, как в этом примере https://bits.media/wallet-security/Заходим в виртуальную машину от имени пользователя banker. Щелкаем правой кнопкой по папке wallet, выбираем properties, и на вкладке General снизу нажимаем на кнопку Advanced, в открывшемся окне ставим галку напротив Encrypt contents to secure data, жмем ок, в окне подтверждения выбираем Apply changes to this folder, subfolder and files. Подтверждаем, дожидаемся окончания процесса шифрования.
Теперь только пользователь banker может пользоваться кошельком, для остальных он зашифрован, даже если украдут образ виртуальной машины или физический компьютер, без ключа пользователя banker до кошелька не добраться. После выполнения приведенных выше действий никто, кроме banker, не имеет доступа к папке кошелька по правам NTFS, плюс папка зашифрована EFS с ключом пользователя banker.
Но есть одно но, сидя под banker любая программа может вытащить данные, от этого защитимся следующим образом: мы не будем заходить под пользователем banker, а заходить будем под пользователем user, а запускать кошелек будем от имени banker. Для этого изменим файл run.cmd следующим образом: кликаем по нему правой кнопкой мыши, нажимаем edit и изменяем содержимое на Runas /user:my_bank\banker “D:\bitcoin\bitcoin.exe –datadir=D:\wallet”
После этих действий запуск run.cmd будет сопровождаться запросом пароля пользователя banker, кто его не знает не сможет запустить кошелек. Антивирус. Ставить или нет антивирус? Если компьютер подключен к сети, используется для еще каких-либо задач, кроме хранения криптовалюты, в него есть возможность подключать флэшки или иным способом подгрузить вредоносные программы – мы рекомендуем использовать антивирус. Если же компьютер специально настроен только как кошелек, везде закручена безопасность на максимум, на компьютере нет никакого постороннего ПО и возможности его туда загрузить – лучше обойтись без антивируса. Есть небольшая вероятность, что антивирус отошлет в компанию производителя кошелек как подозрительный файл, например, или в самом антивирусе найдут уязвимость. Хоть это и очень маловероятно, но случаи подобные уже были, совсем их исключать не стоит. ... Песочницы. Заведите отдельную виртуалку для просмотра присланных файлов. Всегда есть риск получить документ с 0-day эксплоитом, который еще не обнаруживается антивирусом. У виртуальных машин есть такой плюс, как довольно быстрая работа со снепшотами. То есть выделаете слепок системы, запускаете на ней сомнительные файлы, и после окончания работ возвращаете состояние виртуалки на момент, когда вы подозрительные файлы еще не открывали. Это нужно как минимум для последующей безопасной работы с другими данными. ... Не оставляйте вещи без присмотра. Про флэшки или смартфон без пароля всем все понятно. Но в некоторых случаях даже ноутбук может быть взломан просто при вставлении в USB порт устройства, похожего на флэшку. А на самом деле это будет аппаратный HID эмулятор клавиатуры и набор эксплоитов. Так что в Windows среде после настройки всех своих устройств рекомендуется запретить автоматическую установку драйверов и устройств, активировав политику «Запретить установку устройств, не описанных другими параметрами политики». ... Фишинг. Чаще всего атакуют сайты бирж, онлайн кошельков, популярных обменников. В лидерах myetherwallet.com, blockchain.com и localbitcoins.com. Чаще всего мошенники регистрируют домен, похожий на атакуемый. Заливают туда безобидный сайт или форум. Покупают рекламу в поисковиках на него. Как только рекламные объявления проходят модерацию, сайт подменяется на клон атакуемого сайта. Настоящий при этом не редко начинают DDoS’ить. Пользователь не может попасть на сайт, вводит в поисковике его название, кликает по первой строчке в выдаче, не посмотрев, что это реклама, и оказывается на сайте мошенников, который выглядит, как настоящий. Далее он вводит свои логины и пароли, и деньги с его аккаунта утекают злоумышленникам. Зачастую не помогает даже двухфакторная аутентификация, пин коды и т.п. Пользователь сам это все введет. Скажем, при логине введет код, система скажет, что код не верный, введите еще раз. Он введет второй код. А на самом деле первый код использовался для входа, а второй для подтверждения вывода средств. Другой пример – отложенные атаки. Когда вы открываете присланный вам сайт, который выглядит как безопасный, и оставляете вкладку открытой. Через какое-то время при отсутствии действий на странице, ее содержимое подменяется на фишинговый сайт п.2(add к кошельблокирующему dpi) былое и думы Будет сложно, вон в Тюмени начали уже тестирование Чебурнета. Вводят DPI (Direct packet inspection), https://yandex.ru/ DPI +NTCP2Новый транспортный протокол позволяет не только эффективно противостоять dpi, но и существенно снижает нагрузку на процессор https://habr.com/ [dpi]:--> https://habr.com/ru/post/415977/ - Туннели и VPN, устойчивые к DPI Streisand — целый набор различных сервисов: OpenConnect/AnyConnect, OpenVPN, stunnel, Shadowsocks, WireGuard. .. Shadowsocks. Шифрованный SOCKS-прокси. Судя по всему, при желании может быть детектирован, однако существуют плагины, маскирующие его под «чистый HTTPS». .. OpenVPN вполне себе детектируется со стороны, поэтому его обычно и пытаются завернуть в shadowsocks, obfs4 и аналогичные штуки. , https://habr.com/ru/company/hidemy_name/blog/444230/--> --> --> https://4pda.ru/ eSNIhttps://4pda.ru/forum/index.php?showtopic=737235&st=10680#entry78302151Пару страниц назад я спрашивал, зачем нужен пункт "Персональный DNS-сервер". Оказывается, пункт настроек "Персональный DNS-сервер" Весьма важная и полезная вещь. При использовании классической схемы DNS, провайдеры могут лезть в ваши DNS-пакеты, просматривать, какие домены вы запрашиваете, и подменять ответы как угодно. Этим же занимаются мошенники, подменяя резолверы на взломанных роутерах, чтобы направить пользователя на поддельный сервер. Встроенными ресурсами только Android 9 позволяет нам использовать DNS over TLS. C DNS over TLS запросы посылаются внутри зашифрованного тоннеля так, что провайдер не может подменить или просмотреть запрос. А с приходом шифрования имени домена в сертификатах X.509 ( ESNI) станут невозможны блокировки через DPI по SNI (Server Name Indication, специальное поле, в котором передается имя домена в первом TLS-пакете), которые сейчас применяются у некоторых крупных провайдеров. --> https://bitcointalk.org/index.php?topic=1201197 - Использование CloudFlare ставит под угрозу Биткоин сервисыхмм .. и чего ? google.ru/ ESNI +DPI _site:ru-board.com--> google.ru/ DPI, DNSSEC, DNSCrypt, DoH, DoT, eSNIhttps://www.youtube.com/watch?v=59xhpI8poHMhttps://habr.com/ru/post/358126/Shadowsocks пилят обычные программисты для себя, его главная цель — пробивать китайский государственный файерволл. Косвеноо об эффективности говорит тот факт, что несколько лет назад одного из разработчиков навестила полиция и заставила удалить код из репозитория (надо ли говорить, что Git позволяет быстро отмотать любое изменение назад, поэтому никакого эффекта это удаление не возымело). https://habr.com/ru/post/392741/Разработчику Великого Китайского Файервола пришлось показать китайским студентам, как обойти защиту при помощи VPNФан Биньсин, разработчик системы фильтрации контента Китая (эту систему называют еще «Великий китайский файервол) на днях попал в неловкую ситуацию. Он выступал перед студентами Харбинского политехнического университета, рассказывая об интернет-цензуре в различных странах, включая Южную Корею. Во время одной из интерактивных демонстраций ему необходимо было зайти на какой-то южнокорейский сайт. Ресурс оказался заблокированным внутри Китая (блокировался ресурс при помощи того самого „Великого файервола“), но в рамках выступления сайт показать было нужно. И Фан Биньсин решил вопрос по-простому. Он решил использовать VPN, чтобы обойти защиту собственной системы.
|
|
|
|
igor72
Legendary
Offline
Activity: 1946
Merit: 2060
Crypto Swap Exchange
|
|
November 15, 2019, 11:20:07 AM |
|
про антивирус-шпион .. но это для аппаратников видимо не страшно ? не страшно а вот фишинг .. что если аппаратник самообновляться будет с фиш-сайта ? Фишинг - это про другое. Вы, наверное, имеете в виду фейковый сайт с обновлением прошивки. На сайте трезора написано: Reflashing the Trezor with malicious firmware
Official Trezor firmware is signed by the SatoshiLabs master key. Installing unofficial firmware on the Trezor is possible, but doing so will wipe the device storage, and Trezor will show a warning every time it starts. То есть, если такое и возможно, то трудно будет это не заметить. С леджером все еще сложнее.
|
|
|
|
madnessteat
Legendary
Offline
Activity: 2366
Merit: 2172
|
|
November 15, 2019, 07:08:13 PM |
|
Ребята, 13 ноября вышла новая прошивка на Ledger Nano S - 1.6.0
У меня в настоящий момент стоит 1.5.5, обновил Ledger Live до версии 1.18.2 как описано в инструкции, но кнопка Firmware update не появляется. What if I don't see the update button? The update is released progressively, please try again later if the update is not visible in the Manager. Кто-то уже смог обновить прошивку, если надпись не появлялась? Пробовал выключать кошелек, Ledger Live - ничего не помогло.
|
| . .Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄ ███░░░░███░░░░███ ▀░░░▀░░▀░░░▀░░▀░░░▀ ▄░░░░░░░░░░░░ ▀██████████ ░░░░░███░░░░▀ ░░█░░░███▄█░░░█ ░░██▌░░███░▀░░██▌ ░█░██░░███░░░█░██ ░█▀▀▀█▌░███░░█▀▀▀█▌ ▄█▄░░░██▄███▄█▄░░▄██▄ ▄███▄ ░░░░▀██▄▀ | . REGIONAL SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██ ██░▀░██░█░███░▀██░███▄█ █▄███▄██▄████▄████▄▄▄██ ██▀ ▀███▀▀░▀██▀▀▀██████ ███▄███░▄▀██████▀█▀█▀▀█ ████▀▀██▄▀█████▄█▀███▄█ ███▄▄▄████████▄█▄▀█████ ███▀▀▀████████████▄▀███ ███▄░▄█▀▀▀██████▀▀▀▄███ ███████▄██▄▌████▀▀█████ ▀██▄███▀██▄█▄▄▄██▄████▀ ▀▀██████████▄▄███▀▀ ▀▀▀▀█▀▀▀▀ | . EUROPEAN BETTING PARTNER | |
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
November 15, 2019, 07:15:41 PM Last edit: November 15, 2019, 07:39:47 PM by Dimenzino |
|
Фишинг - это про другое. Вы, наверное, имеете в виду фейковый сайт с обновлением прошивки. На сайте трезора написано: Reflashing the Trezor with malicious firmware Official Trezor firmware is signed by the SatoshiLabs master key. Installing unofficial firmware on the Trezor is possible, but doing so will wipe the device storage, and Trezor will show a warning every time it starts. То есть, если такое и возможно, то трудно будет это не заметить. С леджером все еще сложнее. Я про то что обмануть железку проще. Значит и фиш для неё видимо проделать проще. допустим какой-то железке надо зайти на некий сайт чтоб автообновиться. Как пример - приведу монерный (за которым заметил странность) жмакаю на getmonero.org - а попадаю то на https://web.getmonero.org , а то на https://www.getmonero.org но никак не на https://getmonero.orgИ вот как определить какой из них "фейковый" ? "их переехали", значит им надо как-то разослать железкам новую инструкцию куда ходить за прошивкой - и подменить её хацкерам будет видимо проще простого.. если они уже имеют "фейковый" сайт - то вот и фишинг + исходники у трезораТ открыты --> любой может его приучить опознавать левую подпись и заходить на левые сайты ? (он же это на автомате перешивается? а вручную на компе с антивирусом нельзя.. но в трезор антивирус не встроен..) С леджелом не знаю как там .. но интересно на будущее, особенно с новым X
|
|
|
|
IeSua
|
|
November 15, 2019, 08:34:51 PM Merited by madnessteat (1) |
|
Ребята, 13 ноября вышла новая прошивка на Ledger Nano S - 1.6.0 ~
У меня в настоящий момент стоит 1.5.5, обновил Ledger Live до версии 1.18.2 как описано в инструкции, но кнопка Firmware update не появляется. ~ What if I don't see the update button? The update is released progressively, please try again later if the update is not visible in the Manager. Кто-то уже смог обновить прошивку, если надпись не появлялась? Пробовал выключать кошелек, Ledger Live - ничего не помогло. Проверял несколько раз после сообщения igor72, пока ничего не прилетело. Они же пишут в своем твитте: "The release will be progressive, so you may see it available later." - судя по всему, надо просто подождать. Это как обновления для Андроид, один регион уже несколько недель как обновился, а другой все ждет.
|
|
|
|
|