fillippone
Legendary
Online
Activity: 2324
Merit: 16574
Fully fledged Merit Cycler - Golden Feather 22-23
|
|
January 17, 2021, 05:02:53 PM Last edit: May 16, 2023, 12:36:40 AM by fillippone |
|
<...>Questo ottimo post spiega il motivo per cui non si dovrebbe mai fare i fenomeni sui social rispetto alle proprie competenze/skills sul tema. Come si diceva, sarebbe effettivamente troppo facile un attacco di social engineering su target sensibili attraverso la mole di dati che si possono estrapolare dal Ledger Leak. Meglio sempre rimanere un acquafredda o un duesoldi qualunque.
Assolutamente, ed è per questo che uno può avere il setup più sicuro al mondo, ma se poi vs a fare il fenomeno in giro, allora basta un attacco con una chiave inglese da 5 dollari: Alla fine l’anello debole siamo sempre noi. Come anche dimostra il caso del supernerd che ha dimenticato la password del wallet con 7,000 BTC.
|
|
|
|
alexrossi
Legendary
Offline
Activity: 3878
Merit: 1745
Join the world-leading crypto sportsbook NOW!
|
|
January 17, 2021, 07:08:47 PM |
|
Ragazzi, nessuno nega le responsabilità, enormi, della Ledger. Però veramente a questo punto se uno punta a ottenere qualcosa con minacce alla famiglia etc lo può fare con qualsiasi persona messa bene sul lato economico. Il malvivente rischia poco? Su che base? E soprattutto quanta gente c'è in posti "normali" con crimine nella media che correrebbe il rischio di sequestrare e/o attaccare un perfetto sconosciuto sulla base che potenzialmente potrebbe avere dei bitcoin?
Il problema è anche coronavirus, disoccupazione, ecc... Gente skillata che si ritrova senza lavoro e vuole delinquere. Non è una bella situazione
|
|
|
|
Ale88
Legendary
Offline
Activity: 2548
Merit: 2831
Top Crypto Casino
|
|
January 17, 2021, 10:21:00 PM |
|
Ragazzi, nessuno nega le responsabilità, enormi, della Ledger. Però veramente a questo punto se uno punta a ottenere qualcosa con minacce alla famiglia etc lo può fare con qualsiasi persona messa bene sul lato economico. Il malvivente rischia poco? Su che base? E soprattutto quanta gente c'è in posti "normali" con crimine nella media che correrebbe il rischio di sequestrare e/o attaccare un perfetto sconosciuto sulla base che potenzialmente potrebbe avere dei bitcoin?
Il problema è anche coronavirus, disoccupazione, ecc... Gente skillata che si ritrova senza lavoro e vuole delinquere. Non è una bella situazione Dal delinquere a sequestrare e torturare beh, io direi che c'è una certa differenza eh! Ci vuole anche un certo pelo sullo stomaco e veramente nulla da perdere, oltre al fatto che ora chi eventualmente potrebbe davvero sentirsi minacciato prenderà le dovute precauzioni tipo nuovi wallet, non tenere il Ledger in casa, avvisare i familiari di stare più all'allerta e cose del genere.
|
|
|
|
Ale88
Legendary
Offline
Activity: 2548
Merit: 2831
Top Crypto Casino
|
|
January 17, 2021, 10:28:31 PM |
|
Ho tagliato il resto della risposta perché siamo d'accordo, ma su questa parte voglio invece aggiungere una riflessione. Dobbiamo sempre ricordarci che c'è una grossa differenza tra un furto con le cripto e un furto verso persone che (cito le tue parole) sono "messe bene sul lato economico". Si si, su quello siamo d'accordo, ci avevo pensato. Detto questo: sono d'accordo con te che le probabilità di essere oggetto di attenzione siano basse, però sappiamo anche che c'è gente che ha parecchi Btc..... io stesso ho dato un'occhiata alla lista dei nomi trafugata e un paio di assidui frequentatori del forum li ho trovati (anche se uno dice che non ha Btc ). E se li ho riconosciuti io lo possono fare tutti visto che ci ho dedicato proprio 2 minuti e non sono certo un investigatore..... Beh ma cos'hai scoperto? "Solo" un indirizzo potenzialmente non più in uso. Si sapeva già prima dal leak della Ledger chi ha parecchi bitcoin e sta sul forum, c'è perfino gente che ha rilasciato interviste etc quindi se qualcuno voleva davvero colpirli mica aveva bisogno di aspettare un leak con l'indirizzo di casa. Si fa una semplice ricerca su Google per esempio di Theymos, che sappiamo tutti che è stracarico di BTC, e i dati li trovi lo stesso.
|
|
|
|
alexrossi
Legendary
Offline
Activity: 3878
Merit: 1745
Join the world-leading crypto sportsbook NOW!
|
|
January 17, 2021, 10:33:44 PM Merited by fillippone (2) |
|
Dal delinquere a sequestrare e torturare beh, io direi che c'è una certa differenza eh! Ci vuole anche un certo pelo sullo stomaco e veramente nulla da perdere
Effettivamente, penso tu abbia ragione. Si spera che questa lista rimanga sempre il più contenuta possibile: https://github.com/jlopp/physical-bitcoin-attacks/blob/master/README.mdE che le forze dell'ordine siano aggiornate su come agire in queste situazioni.
|
|
|
|
duesoldi
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
January 17, 2021, 10:51:46 PM |
|
Beh ma cos'hai scoperto? "Solo" un indirizzo potenzialmente non più in uso. Si sapeva già prima dal leak della Ledger chi ha parecchi bitcoin e sta sul forum, c'è perfino gente che ha rilasciato interviste etc quindi se qualcuno voleva davvero colpirli mica aveva bisogno di aspettare un leak con l'indirizzo di casa. Si fa una semplice ricerca su Google per esempio di Theymos, che sappiamo tutti che è stracarico di BTC, e i dati li trovi lo stesso.
Non mi riferisco a quello che conosciamo tutti e che ha smesso di fare conferenze mi riferisco ad altri due, noti contributori della sez italiana e che quindi non cito. Questi due, tolti noi del forum che li conosciamo in versione virtuale, non sono conosciuti nel mondo esterno come possessori di Btc salvo l'averne parlato (immagino) con qualche amico. Ma di sicuro non hanno mai fatto conferenze o propagandato in pubblico questo loro interesse. Perciò in teoria sarebbero al sicuro, ma il leak di Ledger ha reso nota la loro mail (almeno) e questo li espone al pericolo che qualcuno li possa prima o poi identificare. Azz.... non sapevo che qualcuno si fosse preso la briga di tenere traccia di tutti questi casi. Quello che in questa lista compare come "Tjeerd H." è il tizio che citavo nel mio precedente post: https://archive.fo/UONTD
|
|
|
|
babo
Legendary
Offline
Activity: 3766
Merit: 4519
The hacker spirit breaks any spell
|
|
January 18, 2021, 08:37:44 AM |
|
la lista fa paura e spero che faccia paura anche a voi, in modo da farvi diventare il piu possibile "secure" compliant
al momento dire al mondo di avere tanti bitcoin non e' una cosa intelligente, affatto
io sono al sicuro, perche essendo stronzo, quello che ho comprato lho sempre rivenduto per farci un guadagno instant non ho creduto al progetto (essendo profilo investitore iper cauto)
|
|
|
|
duesoldi
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
January 18, 2021, 11:47:17 AM |
|
la lista fa paura e spero che faccia paura anche a voi, in modo da farvi diventare il piu possibile "secure" compliant
al momento dire al mondo di avere tanti bitcoin non e' una cosa intelligente, affatto
io sono al sicuro, perche essendo stronzo, quello che ho comprato lho sempre rivenduto per farci un guadagno instant non ho creduto al progetto (essendo profilo investitore iper cauto)
Eh ma il problema è a monte. Se un malvivente venisse da te partendo dalla lista hackerata e ti facesse qualche domanda spiacevole usando un avvitatore mentre tu fossi legato ad una sedia, come potresti dimostrargli che non hai più nulla e hai venduto tutto? gli fai vedere le tx in uscita ? E' per questo che liste di quel tipo una volta uscite sono comunque un rischio! tu puoi non avere più nulla, ma come glielo dici? come li convinci ?
|
|
|
|
fillippone
Legendary
Online
Activity: 2324
Merit: 16574
Fully fledged Merit Cycler - Golden Feather 22-23
|
|
January 18, 2021, 12:40:46 PM |
|
Eh ma il problema è a monte. Se un malvivente venisse da te partendo dalla lista hackerata e ti facesse qualche domanda spiacevole usando un avvitatore mentre tu fossi legato ad una sedia, come potresti dimostrargli che non hai più nulla e hai venduto tutto? gli fai vedere le tx in uscita ? E' per questo che liste di quel tipo una volta uscite sono comunque un rischio! tu puoi non avere più nulla, ma come glielo dici? come li convinci ?
La risposta è la plausible deniability: Ledger 101 — Part 4: Advanced Security PrinciplesWe have seen how the passphrase can efficiently add security to your backup. Tt can also be used for a different reason called plausible deniability.
Instead of entering your passphrase each time you need it, you can attach it to a second PIN on your Ledger device. This results in having two valid PIN codes: one will unlock the normal set of accounts, the other the alternative set of accounts.
Therefore, if ever you were asked under duress to “open and empty your hardware wallet”, you could use the first PIN code, showing the normal accounts with minimal assets. The attacker is then satisfied and leaves the scene quickly, with limited financial damage on your side.
You must however know that plausible deniability has a limit to its efficiency. If your attacker is knowledgeable about your crypto situation, or even knows about the existence of a potential passphrase, you would most likely still have to reveal the passphrase or alternative PIN code.
This is why putting yourself out of the equation by having your high value hardware wallet and backup away from your home gives you more chance of success in case of a critical security situation.
Si tratta quindi di convincere l'aggressore che il saldo che gli avete mostrato su una derivazione secondaria del vostro wallet è la vostra intera dotazione di Bitcoin, e che siete dei fanfaroni, visto che i 0.1 BTC in questione è tutto quello che avete.
|
|
|
|
duesoldi
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
January 18, 2021, 01:30:20 PM |
|
Si tratta quindi di convincere l'aggressore che il saldo che gli avete mostrato su una derivazione secondaria del vostro wallet è la vostra intera dotazione di Bitcoin, e che siete dei fanfaroni, visto che i 0.1 BTC in questione è tutto quello che avete.
Troppi punti deboli, viene anche detto nel passo che hai quotato: You must however know that plausible deniability has a limit to its efficiency. If your attacker is knowledgeable about your crypto situation, or even knows about the existence of a potential passphrase, you would most likely still have to reveal the passphrase or alternative PIN code. Si sta ragionando sul fatto che chi ti è entrato in casa conosca il tuo nome tramite la famosa lista ledger. Se non è pir@a prima di venire da te si sarà almeno un po' documentato sul suo funzionamento e quindi saprà di sicuro che ledger prevede questo doppio pin. Morale: ti obbligo a entrare in entrambi i modi, se no l'avvitatore te lo faccio annusare da sotto la lingua….
|
|
|
|
fillippone
Legendary
Online
Activity: 2324
Merit: 16574
Fully fledged Merit Cycler - Golden Feather 22-23
|
|
January 18, 2021, 01:58:29 PM |
|
Si tratta quindi di convincere l'aggressore che il saldo che gli avete mostrato su una derivazione secondaria del vostro wallet è la vostra intera dotazione di Bitcoin, e che siete dei fanfaroni, visto che i 0.1 BTC in questione è tutto quello che avete.
Troppi punti deboli, viene anche detto nel passo che hai quotato: You must however know that plausible deniability has a limit to its efficiency. If your attacker is knowledgeable about your crypto situation, or even knows about the existence of a potential passphrase, you would most likely still have to reveal the passphrase or alternative PIN code. Si sta ragionando sul fatto che chi ti è entrato in casa conosca il tuo nome tramite la famosa lista ledger. Se non è pir@a prima di venire da te si sarà almeno un po' documentato sul suo funzionamento e quindi saprà di sicuro che ledger prevede questo doppio pin. Morale: ti obbligo a entrare in entrambi i modi, se no l'avvitatore te lo faccio annusare da sotto la lingua…. Evabbè, è ovvio che la cosa deve essere studiata per bene. Tipo: entrano in casa, ti legano e mettono in moto l'avvitatore: Non ho Bitcoin. Inseriscono l'avvitatore in un orifizio casuale: "Ok, ho Bitcoin, prendete il ledger"=>PIN1=>0.1 Bitcoin Non se la Bevono. Spingono l'avvitatore neb dentro il sopra citato orifizio "Ok,ok, prendete il ledger"=>PIN2=>10 Bitcoin Almeno hai salvato gli altri orifizi ed il paper wallet da 100 BTC che hai cifrato nelle pagine dell'album fotografico di famiglia...
|
|
|
|
acquafredda
Legendary
Offline
Activity: 1316
Merit: 1481
|
|
January 18, 2021, 02:00:38 PM |
|
Non c'è molto da scherzare ma è così. Ricordate, niente magliette, niente cappellini, niente tazze, né portachiavi. Siete tutti dei nocoiners e il fondatore di bitconnio si chiama Alvaro Vitali.
|
|
|
|
duesoldi
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
January 18, 2021, 02:13:56 PM |
|
Almeno hai salvato gli altri orifizi ed il paper wallet da 100 BTC che hai cifrato nelle pagine dell'album fotografico di famiglia...
Si scherza ma è così. Poi…. qualcuno qui era presente con due mail diverse, vuol dire che ha comperato due volte. Se il ladro riesce a collegare le due mail sa che prima di arrivare all'album fotografico deve farti (il "ti" è impersonale) sputare anche il secondo Ledger. Un po' troppi pin da ricordare….. soprattutto con un avvitatore attaccato all'orifizio Non c'è molto da scherzare ma è così. Ricordate, niente magliette, niente cappellini, niente tazze, né portachiavi. Siete tutti dei nocoiners e il fondatore di bitconnio si chiama Alvaro Vitali.
Sempre basso profilo. Bassissimo. Diciamo a livello del mano stradale…..
|
|
|
|
babo
Legendary
Offline
Activity: 3766
Merit: 4519
The hacker spirit breaks any spell
|
|
January 18, 2021, 02:15:38 PM |
|
Eh ma il problema è a monte. Se un malvivente venisse da te partendo dalla lista hackerata e ti facesse qualche domanda spiacevole usando un avvitatore mentre tu fossi legato ad una sedia, come potresti dimostrargli che non hai più nulla e hai venduto tutto? gli fai vedere le tx in uscita ? E' per questo che liste di quel tipo una volta uscite sono comunque un rischio! tu puoi non avere più nulla, ma come glielo dici? come li convinci ?
certo ma tu pensa quadrimensionalmente quanti di questi magari non hanno nulla? vale la pena rischiare la galera per non avere niente anche se non ci pensate, i criminali hanno ben chiaro il concetto di RoI (anche se grezzo) se il roi e' basso (o probabile basso) non rischiano Sempre basso profilo. Bassissimo. Diciamo a livello del mano stradale…..
sempre!!! PAROLE SANTE nel dubbio meglio essere invisibili
|
|
|
|
fillippone
Legendary
Online
Activity: 2324
Merit: 16574
Fully fledged Merit Cycler - Golden Feather 22-23
|
|
January 18, 2021, 02:19:22 PM |
|
Sempre basso profilo. Bassissimo. Diciamo a livello del mano stradale…..
Così è abbastanza livello manto stradale? Tra l'altro non è male come plausible deniability! "Ehhh ho venduto tutto a 10,000 per comprarmi la Lambo!" Scusate, era per sdrammattizzare l'atmosfera, che tra avvitatori ed immagini macabre, si stava facendo piuttosto pesante.
|
|
|
|
duesoldi
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
January 18, 2021, 02:26:42 PM |
|
Tra l'altro non è male come plausible deniability! "Ehhh ho venduto tutto a 10,000 per comprarmi la Lambo!"
La targa è una poesia !
|
|
|
|
alexrossi
Legendary
Offline
Activity: 3878
Merit: 1745
Join the world-leading crypto sportsbook NOW!
|
|
January 18, 2021, 02:30:56 PM |
|
Evabbè, è ovvio che la cosa deve essere studiata per bene. Tipo: entrano in casa, ti legano e mettono in moto l'avvitatore: Non ho Bitcoin. Inseriscono l'avvitatore in un orifizio casuale: "Ok, ho Bitcoin, prendete il ledger"=>PIN1=>0.1 Bitcoin Non se la Bevono. Spingono l'avvitatore neb dentro il sopra citato orifizio "Ok,ok, prendete il ledger"=>PIN2=>10 Bitcoin
Almeno hai salvato gli altri orifizi ed il paper wallet da 100 BTC che hai cifrato nelle pagine dell'album fotografico di famiglia...
Si ma questa situazione è già un too late. Per me la questione prevenzione nasce molto prima, in particolare: monitoraggio del luogo dove si abita (ipcam, relazioni con il vicinato, ecc...), prevenzione attiva (armi). Poi come diceva ale88, dalla delinquenza al sequestro e tortura ci sono ordini di grandezza in mezzo, spero sempre che i casi menzionati rimangano un retaggio di alcuni paesi dell'est.
|
|
|
|
babo
Legendary
Offline
Activity: 3766
Merit: 4519
The hacker spirit breaks any spell
|
|
January 18, 2021, 05:16:48 PM |
|
Sempre basso profilo. Bassissimo. Diciamo a livello del mano stradale…..
Così è abbastanza livello manto stradale? Tra l'altro non è male come plausible deniability! "Ehhh ho venduto tutto a 10,000 per comprarmi la Lambo!" Scusate, era per sdrammattizzare l'atmosfera, che tra avvitatori ed immagini macabre, si stava facendo piuttosto pesante. ora spiegami perche vai a pubblicare le foto della mia auto te lho detto quando abbiamo fatto il giro, che se volevi te la prestavo ma tu non hai voluto ahahahahah cmq non la comprerei mai, troppo tamarra
|
|
|
|
fillippone
Legendary
Online
Activity: 2324
Merit: 16574
Fully fledged Merit Cycler - Golden Feather 22-23
|
|
January 18, 2021, 06:16:54 PM |
|
<...> cmq non la comprerei mai, troppo tamarra È un’auto sportiva Babo. Deve essere tamarra, altrimenti con il Panamera scatta l’effetto cumenda. Personalmente avrei optato per l’arancione bitcoin. Credo lo abbiano a catalogo.
|
|
|
|
Ale88
Legendary
Offline
Activity: 2548
Merit: 2831
Top Crypto Casino
|
|
January 19, 2021, 03:47:02 AM |
|
cmq non la comprerei mai, troppo tamarra Io mi accontenterei dell'M3 dalla quale hanno scattato la foto E concordo con fillippone, le Lamborghini devono essere tamarre, e il colore deve seguire lo stile: a me piacciono molto verdi (tonalità "nucleare") oppure viola
|
|
|
|
|