A importância de se proteger do ataque da chave de fenda de 5 reais!

[l3pox]

Talvez muitos aqui já tenham visto esse meme:



A ideia é bem explicativa:
de que adianta ter um sistema super seguro se você é o ponto central de falha?
Se você faz sua própria custódia vale a pena pensar em como se proteger do ataque da chave de fenda (ou pistola/bazuka/porrete/fuzil) de 5 reais.

Você tem um sistema que te mantém imune a ser coagido a revelar suas chaves privadas?

A melhor forma para evitar o ataque é sacrificar conveniência e não ter suas chaves privadas em sua posse, tem diversos graus de segurança para isso mas ao chegar numa quantidade de ativos maior do que você gostaria de perder é recomendável fazer um upgrade na sua segurança, caso opte for fazer auto-custódia.

o nível de segurança de seu sistema é você quem tem que descobrir
talvez queira fazer uma multi sig, talvez um shamir 3 de 5 já seja suficiente, talvez você prefira dividir sua chave privada em pedaços de 1 palavra cada e espalhar em safe boxes em bancos por todo o país como os irmãos Winklevoss fizeram no começo da Gemini

você terá que descobrir.

outra solução é fazer como eu e não ter nada em crypto 
não participo do upside sinistro mas também não corro riscos.

Se eu tivesse crypto faria um Shamir e dividiria em 12 partes pelos 5 continentes, algumas dentro de paredes, outras com amigos, outras enterradas.
como dizem em inglês: "better safe, than sorry"

brincadeiras a parte, criei esse tópico pq pensar e trocar ideias sobre segurança nunca é demais.

[joker_josue]

A ideia é bem explicativa:
de que adianta ter um sistema super seguro se você é o ponto central de falha?
Se você faz sua própria custódia vale a pena pensar em como se proteger do ataque da chave de fenda (ou pistola/bazuka/porrete/fuzil) de 5 reais.

Você tem um sistema que te mantém imune a ser coagido a revelar suas chaves privadas?

Acho que esse é um elemento fundamental, para começar a segurança.
Não é ter as coisas todas encriptadas, guardadas a 7 chaves, etc... Se no final a pessoa clica no link errado.

Apesar de muito já se ter alertado, os hackers continua a ter sucesso nos seus roubos, porque as pessoas continua a clicar em links e abrir ficheiros, que não deviam.

Por isso, a segurança começa com o comportamento da pessoa. Se uma pessoa não faz download de ficheiros com origem duvidosa, não clica em links que recebe em emails duvidosos, nem faz compras em sites "estranhos", é meio caminho para evitar ter problemas.

O conselho que eu sempre deu, quando perguntam-me por segurança informática é sempre este: lê bem antes de abrir, clicar, comprar e certamente vais saber se é seguro ou não. Se algo esta a gerar a duvida, não faças!


Ou então seguir o exemplo Lucasgabd não ter crypto.  

[bitmover]

Tópico interessante.
Basicamente, como manter seus bitcoins em segurança quando sua integridade física é ameaçada. Já existem respostas para esse problema desenvolvidas por profissionais e que realmetne funcionam, mas vou comentar esses exemplos abaixo (que não funcionam):

A melhor forma para evitar o ataque é sacrificar conveniência e não ter suas chaves privadas em sua posse, tem diversos graus de segurança para isso mas ao chegar numa quantidade de ativos maior do que você gostaria de perder é recomendável fazer um upgrade na sua segurança, caso opte for fazer auto-custódia.

Não faz sentido. Se voce não tem as chaves privadas, voce nao tem os bitcoin.
Se voce tem uma carteira no seu computador com os bitcoins, esse carteira tem as chaves privadas e voce pode ser coagido a fazer essa transação.

talvez queira fazer uma multi sig, talvez um shamir 3 de 5 já seja suficiente, talvez você prefira dividir sua chave privada em pedaços de 1 palavra cada e espalhar em safe boxes em bancos por todo o país como os irmãos Winklevoss fizeram no começo da Gemini

você terá que descobrir.

outra solução é fazer como eu e não ter nada em crypto 
não participo do upside sinistro mas também não corro riscos.

Se eu tivesse crypto faria um Shamir e dividiria em 12 partes pelos 5 continentes, algumas dentro de paredes, outras com amigos, outras enterradas.
como dizem em inglês: "better safe, than sorry"

Todas essas opções voce pode ser coagido a revelar onde estão as chaves. Voce pode ser forçado a ligar para o amigo ou familar e ele te fala a chave. Se ele nao te falar, voce vai ter um dedinho esmagado. Fácil convencer ne? rsrs


A melhor solução pra isso é a hidden wallet, que existe na Ledger Nano (talvez na trezor tb, mas nao sei se tem mesmo).
Voce simplesmente adiciona uma passphrase a sua hardware wallet, e assim o mesmo dispositivo terá multiplas carteiras (uma para cada passphrase).

Seu device terá dessa forma 2 PIN, um para a carteira sem passphrase e outro para a principal carteira, com passphrase.

Esse recurso foi desenvolvido justamente para esses casos de coação física. Dessa forma, voce pega sua ledger, usa o PIN da carteira fake (com poucos satoshis) e entrega esses satoshis para a pessoa que está coagindo voce.

A sua carteira principal permanecerá intacta, e o ladrao sairá da sua casa feliz por ter roubado uma fração do seu patrimônio.

https://www.ledger.com/academy/passphrase-an-advanced-security-feature

WHAT’S PLAUSIBLE DENIABILITY?
Much like with anything of value, there will always be people trying to steal it by any means possible. Unfortunately in the world of crypto, we have seen rare occasions where individuals known to have some wealth in crypto to be the target of physical robbery and threats. The Passphrase could offer a limited amount of protection for your cryptocurrencies in such an event.

For the passphrase, Plausible Deniability comes down to being able to make someone else think they now have access to your crypto fortune. For example, someone could be putting you under duress to hand out your recovery phrase or unlock your Ledger device. With its usual settings, it would only give access to your regular accounts, not your hidden ones. Especially if there is a bit of a balance on your regular accounts while the majority of your crypto rests on hidden accounts, this could be pretty convincing. You could even use multiple hidden accounts with different passphrases. This can be useful if the attacker is aware of the passphrase feature.

Plausible Deniability doesn’t give any certainties, but it could give you a fighting chance to save your crypto fortune under extreme circumstances.[/quote[

[joker_josue]

A melhor solução pra isso é a hidden wallet, que existe na Ledger Nano (talvez na trezor tb, mas nao sei se tem mesmo).
Voce simplesmente adiciona uma passphrase a sua hardware wallet, e assim o mesmo dispositivo terá multiplas carteiras (uma para cada passphrase).

Seu device terá dessa forma 2 PIN, um para a carteira sem passphrase e outro para a principal carteira, com passphrase.

Esse recurso foi desenvolvido justamente para esses casos de coação física. Dessa forma, voce pega sua ledger, usa o PIN da carteira fake (com poucos satoshis) e entrega esses satoshis para a pessoa que está coagindo voce.

Que funcionalidade bem interessante. Desconhecia por completo.
Mais um motivo para comprar um Ledger.

Mas agora se ele roubar a Ledger? Fisicamente é possível hackar para aceder ao conteúdo da carteira?

E se formos coagidos a revelar a passphrose? Acho que não há muita volta a dar... EDIT:  Fui ler as instruções, e já percebi a ideia, será criada uma 25 palavra. E neste caso só revelamos 24, que é o comum. Muito bom mesmo.

[bitmover]

Mas agora se ele roubar a Ledger? Fisicamente é possível hackar para aceder ao conteúdo da carteira?

Esse tipo de ataque é bastante raro, e as hardware wallets tem alguma segurança pra isso.

Contudo, se um hacker teve acesso físico a um dispositivo, por segurança é bom considera-lo permanentemente comprometido e não usa-lo mais.

A Trezor tem uma falha sem fix (até onde eu sei) que um dispositivo sem a passphrase é comprometido com um ataque físico.

https://www.ledger.com/improving-the-ecosystem-disclosure-of-the-trezor-recovery-phrase-extraction-vulnerability
The bad news is that if someone got a hold of your device, they can access your recovery phrase through it in a matter of a few minutes. The materials necessary to perform this attack only cost a rough $100, it works 100% of the time and the vulnerability appears to be completely unfixable. It doesn’t only concern Trezor hardware wallets: devices designed in a similar fashion (e.g. Keepkey) are equally impacted.

...

There is another workaround to still keep your cryptocurrencies secure as well. Similar to Ledger devices, a Trezor hardware wallet can be set up with a passphrase. This is an extra word of your own choosing that you can add on top of your recovery phrase. To make sure it’d be nearly impossible to brute force your passphrase, it is strongly recommended to add a lengthy (preferably over 37 characters), random and secure passphrase.

[joker_josue]

Esse tipo de ataque é bastante raro, e as hardware wallets tem alguma segurança pra isso.

Contudo, se um hacker teve acesso físico a um dispositivo, por segurança é bom considera-lo permanentemente comprometido e não usa-lo mais.

O cenário que eu coloco, não é voltar a usar o equipamento. Mas sim caso o equipamento seja roubado ou perdido.
Quem ficar com ele, dificilmente conseguira obter a informação dele, certo?

Claro que se isto acontecer, a pessoa deve logo transferir todos os seus fundos para outros endereços.

[l3pox]

boa Joker, um tempo atrás ouvi alguém falando que os virus para roubar criptomoedas estavam diminuindo pq agora fazia muito mais sentido usar engenharia social para enganar pessoas, o bom e velho phishing.

bitmover, ao falar "sacrificar conveniência e não ter suas chaves privadas" não me referia a deixar a custódia com terceiros (apesar de que para alguns talvez essa seja uma boa opção)

e sim não estar com as chaves em sua posse.
essa sugestão de espalhar as chaves pelos 4 cantos do mundo pode ser útil nesse sentido
o 6529 comenta que criou um sistema que inclui pessoas anonimas (em quem vc confia) mas que vc mesmo não conseguiria ser coagido a revelar quem são
mas o sistema dele deve ser pesadão por fazer a gestão de sei lá, 8, 9 ou 10 dígitos em cripto e nfts.

a ideia da passphrase secreta ou PIN + plausibly deniability é boa mesmo! esqueci de mencionar no tópico principal

Esse tipo de ataque é bastante raro, e as hardware wallets tem alguma segurança pra isso.

Contudo, se um hacker teve acesso físico a um dispositivo, por segurança é bom considera-lo permanentemente comprometido e não usa-lo mais.

O cenário que eu coloco, não é voltar a usar o equipamento. Mas sim caso o equipamento seja roubado ou perdido.
Quem ficar com ele, dificilmente conseguira obter a informação dele, certo?

Claro que se isto acontecer, a pessoa deve logo transferir todos os seus fundos para outros endereços.

a maioria das hardware wallets tem um dispositivo de apagar tudo da memória após o usuário errar o pin para abertura X vezes.
não é tão simples roubar uma hw e conseguir abrí-la.

[alegotardo]

Além da hidden wallet, uma forma de proteção para casos de roubo seria ter uma segunda HW física...
Sim, quem tem muito BTc precisa deixar de ser pão duro e ter pelo menos duas HW.

Nesse segunda você guarda um saldo menor e entrega ela ao bandido for for atacado com a chave inglesa.

É a mesma "técnica" de quem anda com dois celulares no bolso... no momento em que o bandido estiver te rendendo, ele vai pegar o primeiro celular que você oferecer para ele, raramente vai pedir se você tem mais um.

Para quem tem quantias menores, divida seus valores em várias papper-wallets, o bandido nunca saberá quantas você possui.

[Disruptivas]

Gente e pra celulares, existe algum app que faça algo parecido com essa funcionalidade de usar um pin que desbloqueia uma conta secundária?

Talvez vocês tenham acompanhado um pouco esses assaltos a celulares que anda rolando em que os assaltantes obrigam os usuários a dar a senha. Hoje eu li um tweet horrível disso. E eu tenho uma tendência muito forte e ja provada de sempre reagir, o que é uma merda, mas eu fico muuuuuito puta.

Ai fiquei pensano que poderia ter isso, um pin falso que quando eu ativo, exibe apps falsos enquanto bloqueia os aplicativos conectados aos devices e chama a policia ._. Se não tem algo assim, vai precisar ter porque ta muito ruim. Eu vim ver minha mãe e ela vive em um bairro meio ruim e SP me deixou muito traumatizada, eu não consigo NUNCA sair de casa sem arma de choque.

Enfim, alguma solução pra celular para o ataque da chave de fenda?

Achei o tópico incrível Lucas!!!!!! Não te dou mil merits pois não tenho nenhum hahahaha

[TryNinja]

Olha que loucura... acabei de ver essa história no twitter: https://twitter.com/MrVanDep/status/1522324368843493377

O cara tava de boa no taxi, com a janela aberta, passou um cidadão e tomou o celular da sua mão... até o fim do dia já tinham rapado todo o seu saldo do Nubank e Banco do Brasil, pedido R$ 2k em whisky pelo IFood e feito um empréstimo no seu nome. Mais de R$ 116k de prejuízo...

Isso que nem precisaram da chave de fenda.

Gente e pra celulares, existe algum app que faça algo parecido com essa funcionalidade de usar um pin que desbloqueia uma conta secundária?

Blue Wallet tem isso de uma senha secundária/falsa para outra wallet.

edit:

Talvez vocês tenham acompanhado um pouco esses assaltos a celulares que anda rolando em que os assaltantes obrigam os usuários a dar a senha. Hoje eu li um tweet horrível disso. E eu tenho uma tendência muito forte e ja provada de sempre reagir, o que é uma merda, mas eu fico muuuuuito puta.

Esse que postei ali?

[Disruptivas]

Tu postou aqui? Não entendi se tu ta citando um post antigo ou não.
Mas de qualquer forma, aqui na mãe eles assistem esses jornais sensacionalistas que só mostram bad trip e a semana INTEIRA mostrou casos de assalto com morte, só coisa péssima e desde o início da semana eu to meio full noiada.

E a pergunta foi mais no sentido de soluções pro celular em si, não pra wallets. Mas algo que tenha um mecanismo semelhando ao citado, mas mais generalista. Fuçando as configurações do meu celular, eu descobri que tem um mecanismo que tu aperta 5x a tecla de desligar e ele manda sua localização pra uma lista de contatos pre-selecionados. Mas o teste não funcionou, n sei se precisa ter a localização ja ativada ou ou que, tentei uma vez só também, mas n enviou nd kkkkk

[joker_josue]

E a pergunta foi mais no sentido de soluções pro celular em si, não pra wallets. Mas algo que tenha um mecanismo semelhando ao citado, mas mais generalista. Fuçando as configurações do meu celular, eu descobri que tem um mecanismo que tu aperta 5x a tecla de desligar e ele manda sua localização pra uma lista de contatos pre-selecionados. Mas o teste não funcionou, n sei se precisa ter a localização ja ativada ou ou que, tentei uma vez só também, mas n enviou nd kkkkk

Não é nenhuma app, mas pode configurar contas convidado e isso pode ajudar nesses casos.
Eu nunca usei, nem sei bem como funciona, mas pode experimentar. Aqui esta um tutorial a explicar como funciona:
https://www.popsci.com/security-tips-borrowing-phone/

[bitmover]

Talvez vocês tenham acompanhado um pouco esses assaltos a celulares que anda rolando em que os assaltantes obrigam os usuários a dar a senha. Hoje eu li um tweet horrível disso. E eu tenho uma tendência muito forte e ja provada de sempre reagir, o que é uma merda, mas eu fico muuuuuito puta.

Ai fiquei pensano que poderia ter isso, um pin falso que quando eu ativo, exibe apps falsos enquanto bloqueia os aplicativos conectados aos devices e chama a policia ._. Se não tem algo assim, vai precisar ter porque ta muito ruim. Eu vim ver minha mãe e ela vive em um bairro meio ruim e SP me deixou muito traumatizada, eu não consigo NUNCA sair de casa sem arma de choque.

Realmente ey tenho visto bastante relatos assim.
Hoje em dia temos cada vez mais aplicativos com todas as permissoes de bancos e corretoras no  celular .

Fiquei ate  pensando em desinstalar alguns aplicativos,  mas não adianta. Hoje em dia no computador não dá pra fazer mais nada, sempre autentica pelo celular.

Tem umas soluções de umas pastas escondidas mas nunca pesquisei muito sobre

[TryNinja]

Tu postou aqui? Não entendi se tu ta citando um post antigo ou não.

No mesmo post que eu pergunto isso, tem um link para o thread do twitter:

Olha que loucura... acabei de ver essa história no twitter: https://twitter.com/MrVanDep/status/1522324368843493377

O cara tava de boa no taxi, com a janela aberta, passou um cidadão e tomou o celular da sua mão... até o fim do dia já tinham rapado todo o seu saldo do Nubank e Banco do Brasil, pedido R$ 2k em whisky pelo IFood e feito um empréstimo no seu nome. Mais de R$ 116k de prejuízo...

Isso que nem precisaram da chave de fenda.

Talvez vocês tenham acompanhado um pouco esses assaltos a celulares que anda rolando em que os assaltantes obrigam os usuários a dar a senha. Hoje eu li um tweet horrível disso. E eu tenho uma tendência muito forte e ja provada de sempre reagir, o que é uma merda, mas eu fico muuuuuito puta.

Esse que postei ali?

[l3pox]

Desesperador TryNinja
li o thread dele inteiro e doeu por aqui

conheço gente que já nem anda na rua com o celular principal com bancos e apps de valores, só com uber mesmo, e deixa o celular do banco em casa

tem suas desvantagens (caso vc precise fazer um pix na rua por exemplo pq seu cartão falhou sabe-se lá pq) mas pode ser uma solução.

Quanto ao app pra celular com passphrase Disruptivas, em geral o recomendado seria não deixar mais do que vc pode perder numa carteira de celular, de toda forma, e usar hardware wallets.


comentário polêmico se tirado fora de contexto:
Esses assaltos a celulares destravados são uma merda mesmo, o único lado bom que vejo nisso é que tendo essa possibilidade talvez vejamos menos assaltos violentos, sequestros, etc...
mais ou menos como o comentário que li recentemente que agora temos menos casos com virus e trojans pq todo mundo cai em phishing então é mais fácil e menos arriscado fazer phishing, além de ser bem mais difícil tipificar como crime (alguém transferir os ativos para você por ingenuidade VS vc invadir o computador de alguém, estilo o caso do Golpista do Tinder)

óbvio que seria melhor não ter assalto nenhum mas infelizmente não é o mundo que vivemos.

enfim, dá pra ficar bem paranoico com esse papo.


lembrete pra vida:
- não andar de taxi e uber com a janela aberta
- não ficar panguando na rua com celular na mão, leve um livro, melhor.

[Paredao]

- não ficar panguando

  Adorei esse termo. Não conhecia.
Para outros que também não conhecem:

"Tá panguando"

Diz-se de uma pessoa que está viajando ou boiando em uma conversa ou em determinados momentos.
Quem pangua é panguão.

  Rindo muito.

*Fonte: Dicionário Informal.

[alegotardo]

Olha que loucura... acabei de ver essa história no twitter: https://twitter.com/MrVanDep/status/1522324368843493377

O cara tava de boa no taxi, com a janela aberta, passou um cidadão e tomou o celular da sua mão... até o fim do dia já tinham rapado todo o seu saldo do Nubank e Banco do Brasil, pedido R$ 2k em whisky pelo IFood e feito um empréstimo no seu nome. Mais de R$ 116k de prejuízo...

Isso que nem precisaram da chave de fenda.

Cara, até pouco tempo eu tinha o Google Pay (Não é o Play, é Pay mesmo... de pagamento) instalado que permitia fazer pagamentos usando o NFC.
Até o momento em que fiz uma compra de mais de 2 mil reais e a maquininha sequer pediu a senha... absurdo!
Claro que o problema não é o APP, pois o mesmo poderia acontecer com o cartão físico, porém um celular é muito mais visado que um cartão hoje em dia, aí vai que roubam ele desbloqueado... ferrou.

[joker_josue]

Cara, até pouco tempo eu tinha o Google Pay (Não é o Play, é Pay mesmo... de pagamento) instalado que permitia fazer pagamentos usando o NFC.
Até o momento em que fiz uma compra de mais de 2 mil reais e a maquininha sequer pediu a senha... absurdo!
Claro que o problema não é o APP, pois o mesmo poderia acontecer com o cartão físico, porém um celular é muito mais visado que um cartão hoje em dia, aí vai que roubam ele desbloqueado... ferrou.

Você tinha isso bem configurado?
Eu nunca usei, mas tenho a ideia que dá para por limites de até quando não pede senha.

Infelizmente, por causa dos roubos, temos de ser contidos ao usar algumas tecnologias. É pena.

[l3pox]

- não ficar panguando

  Adorei esse termo. Não conhecia.
Para outros que também não conhecem:

"Tá panguando"

Diz-se de uma pessoa que está viajando ou boiando em uma conversa ou em determinados momentos.
Quem pangua é panguão.

  Rindo muito.

*Fonte: Dicionário Informal.

hahahaha eu adoro também, uso sempre

desde "bora parar de panguar, tá na hora de sair" até "não fica panguando com o celular por aqui que essa rua é perigosa"

Olha que loucura... acabei de ver essa história no twitter: https://twitter.com/MrVanDep/status/1522324368843493377

O cara tava de boa no taxi, com a janela aberta, passou um cidadão e tomou o celular da sua mão... até o fim do dia já tinham rapado todo o seu saldo do Nubank e Banco do Brasil, pedido R$ 2k em whisky pelo IFood e feito um empréstimo no seu nome. Mais de R$ 116k de prejuízo...

Isso que nem precisaram da chave de fenda.

Cara, até pouco tempo eu tinha o Google Pay (Não é o Play, é Pay mesmo... de pagamento) instalado que permitia fazer pagamentos usando o NFC.
Até o momento em que fiz uma compra de mais de 2 mil reais e a maquininha sequer pediu a senha... absurdo!
Claro que o problema não é o APP, pois o mesmo poderia acontecer com o cartão físico, porém um celular é muito mais visado que um cartão hoje em dia, aí vai que roubam ele desbloqueado... ferrou.

sinistro pensar nisso mesmo, só me liguei recentemente quando parei para comer num lugar e vi duas pessoas pagando com cartão por aproximação mas na hora de aproximar usavam o celular, achei muito high tech!

Cara, até pouco tempo eu tinha o Google Pay (Não é o Play, é Pay mesmo... de pagamento) instalado que permitia fazer pagamentos usando o NFC.
Até o momento em que fiz uma compra de mais de 2 mil reais e a maquininha sequer pediu a senha... absurdo!
Claro que o problema não é o APP, pois o mesmo poderia acontecer com o cartão físico, porém um celular é muito mais visado que um cartão hoje em dia, aí vai que roubam ele desbloqueado... ferrou.

Você tinha isso bem configurado?
Eu nunca usei, mas tenho a ideia que dá para por limites de até quando não pede senha.

Infelizmente, por causa dos roubos, temos de ser contidos ao usar algumas tecnologias. É pena.

realmente Joker, mas a coisa ainda é pior no Brasil que em Portugal... bem diferente...

[joker_josue]

realmente Joker, mas a coisa ainda é pior no Brasil que em Portugal... bem diferente...

Pois! 
No Brasil os roubos tornam-se muito físicos, deixando a pessoa mal fisicamente.

Porque cá também existe muitos esquemas para roubar os mais "ingénuos". Mas normalmente são coisas a distancia, que não envolve tanto ameaça física direta. Também existe, mas numa escala bem menor.