A importancia dos lacres nas caixas das Hardwallets

[l3pox]

na Trezor T o lacre vem de uma forma que quando você remove fica uma cola, realmente difícil de falsificar, mas vamos lá, digamos que alguém conseguiu

crie sua seed e use uma passphrase por padrão, sempre

como a passphrase é opcional e pode ser QUALQUER coisa fica praticamente impossível descobrirem

[Disruptivas]

Hoje saiu uma notícia sobre um cara que perdeu o equivalente a R$ 1.2 milhão por ter comprado uma hardware da Trezor de um fabricante não autorizado.

A notícia diz:

Embora carteiras de hardware sejam muito seguras, o problema é que essa pessoa teria gerado e guardado as 12 palavras que davam acesso à carteira de Ferrer.''

Pelo que entendi, um ''amigo/conhecido'' deu a wallet pra ele de presente.... mas eis que foi um presente de troia e depois drenou os fundos do moço.

Claro que não tem no final do dia nada a ver com a segurança das hardware, mas eis um tipo de presente que é dificil de aceitar rs

[tg88]

Hoje saiu uma notícia sobre um cara que perdeu o equivalente a R$ 1.2 milhão por ter comprado uma hardware da Trezor de um fabricante não autorizado.

A notícia diz:

Embora carteiras de hardware sejam muito seguras, o problema é que essa pessoa teria gerado e guardado as 12 palavras que davam acesso à carteira de Ferrer.''

Pelo que entendi, um ''amigo/conhecido'' deu a wallet pra ele de presente.... mas eis que foi um presente de troia e depois drenou os fundos do moço.

Claro que não tem no final do dia nada a ver com a segurança das hardware, mas eis um tipo de presente que é dificil de aceitar rs

Influenciador perde R$ 1,2 milhão em criptomoedas após comprar carteira Trezor de fonte duvidosa

Pois é se ele tivesse lido esse tópico já teria evitado esse golpe facilmente. Mas a história é bem curiosa pois ele já era influencer e um seguidor convenceu ele a entrar no mundo cripto e presenteou ele com essa hardwallet com a seed gerada previamente 

Prenderam esse amigo porem não encontraram os milhões, se meu saldo sumisse assim e eu tivesse recebido uma hard wallet de presente com a seed já preenchida logo eu também já saberia quem foi.

[joker_josue]

Pois... o problema do Bitcoin, que não é problema, é quem esta fora disto e entrar por meio de alguém é se esse alguém é bandido.
Claro que isso não justifica, estamos a falar de dinheiro que dá trabalho para conseguir, e por isso deve ser usado sempre com cuidado, não importa qual a recomendação que se tenha.

A pessoa deve sempre ler e informar-se máximo possível sobre o Bitcoin ou outro qualquer ativo que irá investir.

[rdluffy]

Influenciador perde R$ 1,2 milhão em criptomoedas após comprar carteira Trezor de fonte duvidosa

Pois é se ele tivesse lido esse tópico já teria evitado esse golpe facilmente. Mas a história é bem curiosa pois ele já era influencer e um seguidor convenceu ele a entrar no mundo cripto e presenteou ele com essa hardwallet com a seed gerada previamente 

Prenderam esse amigo porem não encontraram os milhões, se meu saldo sumisse assim e eu tivesse recebido uma hard wallet de presente com a seed já preenchida logo eu também já saberia quem foi.

Será que o cara nem resetou a carteira?

E também sempre há a possibilidade de alguém alterar algo na carteira para talvez gerar seeds que o hacker já criou, dando a falsa impressão que foi gerada pela sua hardwallet mesmo, mas aí precisa ser muito bom para fazer essa alteração

[tg88]

Será que o cara nem resetou a carteira?

E também sempre há a possibilidade de alguém alterar algo na carteira para talvez gerar seeds que o hacker já criou, dando a falsa impressão que foi gerada pela sua hardwallet mesmo, mas aí precisa ser muito bom para fazer essa alteração

Pois é pelo que andei vendo os golpes envolvendo hard wallets geralmente são menos sofisticados na parte técnica e mais focados na engenharia social mesmo. Pela versão contada pela vitima tudo indica que foi isso mesmo, ele já recebeu com a seed pronta e teve seu trabalho poupado  . Parece que ele confiava bastante no amigo.

[alegotardo]

na Trezor T o lacre vem de uma forma que quando você remove fica uma cola, realmente difícil de falsificar, mas vamos lá, digamos que alguém conseguiu

crie sua seed e use uma passphrase por padrão, sempre

como a passphrase é opcional e pode ser QUALQUER coisa fica praticamente impossível descobrirem

Ah os lacres VOID? Vai se iludindo pensando que eles são seguros... com uma rápida pesquisa no youtube tu encontra pelo menos 10 molequinhos que recém "desmamaram" te ensinando como remover eles sem que a garantia saiba que tu mexeu no PC ou Videogame.
Já fiz teste de alguns, aquele "casca de ovo" ainda é o melhor, porém ele é muito frágil e não serve para a maioria das aplicações.

Enfim... lacre de segurança é igual cadeado, afasta alguns meliantes mais pé de chinelo, porém não garante a segurança do seu negócio.

Sobre as hardware-wallets, o melhor mesmo ainda é comprar de fontes confiáveis e se possível fazer uma inspeção visual criteriosa quando recebê-lo.
Eu realmente não entendo como é que existem pessoas que compram de sites não oficiais, tentando economizar migalhas na compra de um COFRE onde irão depositar milhares de $$$, tem que ser muito burro mesmo.

[joker_josue]

Pois é pelo que andei vendo os golpes envolvendo hard wallets geralmente são menos sofisticados na parte técnica e mais focados na engenharia social mesmo. Pela versão contada pela vitima tudo indica que foi isso mesmo, ele já recebeu com a seed pronta e teve seu trabalho poupado  . Parece que ele confiava bastante no amigo.

Com amigos desses quem precisa de inimigos?

Concordo, que os golpes centram-se mais na engenharia social. O golpe a nível de técnico, exige um conhecimento mais complexo e muito mais tempo e custos, tempo esse que pode nunca ser 100% recompensado. Enquanto na engenharia social, a recompensa é mais provável, ou pelo menos não exige tanto tempo gasto. Porque com o mesmo tempo, pode-se trabalhar varias potencias vitimas.

[l3pox]

Hoje saiu uma notícia sobre um cara que perdeu o equivalente a R$ 1.2 milhão por ter comprado uma hardware da Trezor de um fabricante não autorizado.

A notícia diz:

Embora carteiras de hardware sejam muito seguras, o problema é que essa pessoa teria gerado e guardado as 12 palavras que davam acesso à carteira de Ferrer.''

Pelo que entendi, um ''amigo/conhecido'' deu a wallet pra ele de presente.... mas eis que foi um presente de troia e depois drenou os fundos do moço.

Claro que não tem no final do dia nada a ver com a segurança das hardware, mas eis um tipo de presente que é dificil de aceitar rs

eita, que sacanagem
de novo, daria para mitigar o risco disso usando uma passphrase

(falando nisso sem querer descobri esse site super legal, olha só https://www.useapassphrase.com/ )

mas realmente, melhor SÓ comprar de revendedores autorizados

Será que o cara nem resetou a carteira?

E também sempre há a possibilidade de alguém alterar algo na carteira para talvez gerar seeds que o hacker já criou, dando a falsa impressão que foi gerada pela sua hardwallet mesmo, mas aí precisa ser muito bom para fazer essa alteração

Pois é pelo que andei vendo os golpes envolvendo hard wallets geralmente são menos sofisticados na parte técnica e mais focados na engenharia social mesmo. Pela versão contada pela vitima tudo indica que foi isso mesmo, ele já recebeu com a seed pronta e teve seu trabalho poupado  . Parece que ele confiava bastante no amigo.

acredito que a tendência é que as pessoas mal intencionadas cada vez mais migrem para golpes de engenharia social ao invés de usar violência direta
pra que se arriscar se dá para enganar alguém sem sair de casa?

bem triste...

[joker_josue]

(falando nisso sem querer descobri esse site super legal, olha só https://www.useapassphrase.com/ )

Site interessante. Mas não é para usar num cenário real. Agora para simulação e testes, bem interessante para se ter uma ideia da complexidade que se deve procurar aplicar.

[Paredao]

acredito que a tendência é que as pessoas mal intencionadas cada vez mais migrem para golpes de engenharia social ao invés de usar violência direta
pra que se arriscar se dá para enganar alguém sem sair de casa?

bem triste...

Sim, com certeza. Como faz falta um bom e velho cartório, onde se tinha que autenticar toda a documentação e depois caso ocorresse alguma fraude dava para processar. Hoje a bandidagem faz tudo pela internet. Viva a liberdade !!!!!!

[Forsyth Jones]

(falando nisso sem querer descobri esse site super legal, olha só https://www.useapassphrase.com/ )

Site interessante. Mas não é para usar num cenário real. Agora para simulação e testes, bem interessante para se ter uma ideia da complexidade que se deve procurar aplicar.

No keepass, um gerenciador de senhas mais famoso do mundo e opensource, inclusive eu utilizo ele há 7 anos ou mais, tem uma função que, além de gerar senhas com caracteres aleatórios e complexos, geram palavras semelhantes a um mnemônico, mas usando palavras um pouco mais complexas como: outcome scrutiny ladies slept unlearned...

Seguindo essa dica de segurança, além de ser mais fácil de memorizar e de guardar, uma lista de palavras é mais fácil do que memorizar caracteres como: jS?Zpkt}r8bgalH}A-P$ e dependendo da extensão das palavras, possui o mesmo nível de segurança do que o exemplo de senha citado.


Um outro problema a ser resolvido quando usamos passphrase é que não devemos deixar que tanto a seed + passphrase caiam em mãos erradas, por isso não devem ser guardadas juntas, então ou memorizamos a passphrase ou deixamos ela guardada geograficamente longe da seedphrase. Como resolver esse problema?

[l3pox]

acredito que a tendência é que as pessoas mal intencionadas cada vez mais migrem para golpes de engenharia social ao invés de usar violência direta
pra que se arriscar se dá para enganar alguém sem sair de casa?

bem triste...

Sim, com certeza. Como faz falta um bom e velho cartório, onde se tinha que autenticar toda a documentação e depois caso ocorresse alguma fraude dava para processar. Hoje a bandidagem faz tudo pela internet. Viva a liberdade !!!!!!

hahaha me divirto com seus posts Paredao
acha que nos cartórios não tinha/tem nenhum golpe ou mesmo engenharia social?

e sim, a anonimização e o novo território de liberdade que e crypto possibilita coisas boas e ruins, assim é a vida com a maioria das novas tecnologias.

(falando nisso sem querer descobri esse site super legal, olha só https://www.useapassphrase.com/ )

Site interessante. Mas não é para usar num cenário real. Agora para simulação e testes, bem interessante para se ter uma ideia da complexidade que se deve procurar aplicar.

No keepass, um gerenciador de senhas mais famoso do mundo e opensource, inclusive eu utilizo ele há 7 anos ou mais, tem uma função que, além de gerar senhas com caracteres aleatórios e complexos, geram palavras semelhantes a um mnemônico, mas usando palavras um pouco mais complexas como: outcome scrutiny ladies slept unlearned...

Seguindo essa dica de segurança, além de ser mais fácil de memorizar e de guardar, uma lista de palavras é mais fácil do que memorizar caracteres como: jS?Zpkt}r8bgalH}A-P$ e dependendo da extensão das palavras, possui o mesmo nível de segurança do que o exemplo de senha citado.


Um outro problema a ser resolvido quando usamos passphrase é que não devemos deixar que tanto a seed + passphrase caiam em mãos erradas, por isso não devem ser guardadas juntas, então ou memorizamos a passphrase ou deixamos ela guardada geograficamente longe da seedphrase. Como resolver esse problema?

legal, não sabia isso sobre o keepass

você fez a pergunta e já deu a resolução
só fazer um backup, preferencialmente estilo Shamir, e armazenar a passphrase e a seed em locais separados
pronto.

[Forsyth Jones]

legal, não sabia isso sobre o keepass

você fez a pergunta e já deu a resolução
só fazer um backup, preferencialmente estilo Shamir, e armazenar a passphrase e a seed em locais separados
pronto.

Eu lembro de usar o shamir backup assim que foi lançado na Trezor, mas sinceramente? Anotar 33 palavras e mais um conjunto necessários pra recuperar a carteira parece ser muito exagerado, mas agora o shamir backup permite 20 palavras, muito melhor, ainda não testei, mas pretendo testar novamente quando eu tiver animo pra anotar esse tanto de palavras.

Um método interessante é você criar um mnemônico falso, uma isca, mas isso na verdade é o seu mnemônico criptografado e que se combinado com uma senha (otp-key) a sua frase mnemônica verdadeira é revelada.

Mas esse método ainda apresenta falhas, ao criptografar o mnemônico, ele cria um mnemônico inválido, ou seja, se a pessoa copiar este mnemônico na electrum e selecionar o bip39, vai ver que é um mnemônico inválido. Mas dá pra enganar e fazer qualquer um pensar que é o seu mnemônico, quando na verdade ele carrega um segredo que só decriptado com a chave-otp.

Eu postei sobre isso um dia lá na grinda, valhe a pena conferir: https://bitcointalk.org/index.php?topic=5495690.0

Com isso, você tem duas proteções adicionais: frase mnemônica criptografada semelhante a uma seedphrase normal com a mesma extensão e a passphrase, ou seja, o ladrão teria dois trabalhos.

[joker_josue]

Com isso, você tem duas proteções adicionais: frase mnemônica criptografada semelhante a uma seedphrase normal com a mesma extensão e a passphrase, ou seja, o ladrão teria dois trabalhos.

Então, mas não seria mais pratico fazer mais ou menos isso já na seedphrase normal?
Por exemplo, eu aponto a frase normal trocando as palavras do local, sabendo que a palavra numero x é na realidade a numero y, e vice versa.

[l3pox]

legal, não sabia isso sobre o keepass

você fez a pergunta e já deu a resolução
só fazer um backup, preferencialmente estilo Shamir, e armazenar a passphrase e a seed em locais separados
pronto.

Eu lembro de usar o shamir backup assim que foi lançado na Trezor, mas sinceramente? Anotar 33 palavras e mais um conjunto necessários pra recuperar a carteira parece ser muito exagerado, mas agora o shamir backup permite 20 palavras, muito melhor, ainda não testei, mas pretendo testar novamente quando eu tiver animo pra anotar esse tanto de palavras.

Um método interessante é você criar um mnemônico falso, uma isca, mas isso na verdade é o seu mnemônico criptografado e que se combinado com uma senha (otp-key) a sua frase mnemônica verdadeira é revelada.

Mas esse método ainda apresenta falhas, ao criptografar o mnemônico, ele cria um mnemônico inválido, ou seja, se a pessoa copiar este mnemônico na electrum e selecionar o bip39, vai ver que é um mnemônico inválido. Mas dá pra enganar e fazer qualquer um pensar que é o seu mnemônico, quando na verdade ele carrega um segredo que só decriptado com a chave-otp.

Eu postei sobre isso um dia lá na grinda, valhe a pena conferir: https://bitcointalk.org/index.php?topic=5495690.0

Com isso, você tem duas proteções adicionais: frase mnemônica criptografada semelhante a uma seedphrase normal com a mesma extensão e a passphrase, ou seja, o ladrão teria dois trabalhos.

se preferir você pode fazer um shamir com uma seed de 24 ou 12 palavras também por si mesmo
mais palavras vão tornar a chave mais segura e possibilitar shamirs mais complexos (5 de 7 por exemplo) mas não é estritamente necessário fazer pela ferramenta deles
dá pra usar uma alternativa "no dedo" mesmo
"poor man's shamir", algo assim

Com isso, você tem duas proteções adicionais: frase mnemônica criptografada semelhante a uma seedphrase normal com a mesma extensão e a passphrase, ou seja, o ladrão teria dois trabalhos.

Então, mas não seria mais pratico fazer mais ou menos isso já na seedphrase normal?
Por exemplo, eu aponto a frase normal trocando as palavras do local, sabendo que a palavra numero x é na realidade a numero y, e vice versa.

pode ser, só não vai se confundir e nunca mais conseguir recuperar seu backup

[Forsyth Jones]

Então, mas não seria mais pratico fazer mais ou menos isso já na seedphrase normal?
Por exemplo, eu aponto a frase normal trocando as palavras do local, sabendo que a palavra numero x é na realidade a numero y, e vice versa.

Eu não recomendo esse método, acho inseguro e muito fácil de causar confusão mental como perder a ordem correta das palavras.

corte~

É bom ter mais de um método de recuperação, mas há quem diga que o shamir backup não é tão seguro assim, preciso me aprofundar mais.

Deem uma olhada de como funciona o seed-otp na prática: seed-otp demo

Github

[l3pox]

uma grande vantagem do shamir é que ele te protege contra o ataque da chave de fenda de 5 reais.
ou pelo menos de compra tempo

fiquei curioso de ouvir os problemas dele, tem algum relato?

[alegotardo]

acredito que a tendência é que as pessoas mal intencionadas cada vez mais migrem para golpes de engenharia social ao invés de usar violência direta
pra que se arriscar se dá para enganar alguém sem sair de casa?

bem triste...

Concordo!
Além de ser mais seguro também é possível "reduzir custos" e alcançar mais vítimas com esse tipo de golpe.
Os próprios órgão de segurança reconhecer que esse é novo modelo do crime que começou com aquelas ligações de dentro dos presídios e hoje possui sofisticadas "centrais bancárias" que conseguem enganar até mesmo quem já ouviu falar desse tipo de golpe.
O problema é que os órgãos de combate à esse tipo de crime parecem não conseguir acompanhar o crescimento tecnológico da bandidagem.


Agora, na real, por mais que não seja muito prático, eu ainda acho que as papper-wallet ou semelhantes (iron-wallet, etc) ainda são mais seguras do que qualquer dispositivo físico quando o assunto é cold-wallet em que a sua intenção é apenas de guardar bitcoin para sacar em um futuro distante.... tendo a segurança de armazenar a private-key em um lugar "não tão escondido" que você consiga encontrar após alguns anos, todas essas brechas de segurança tecnológicas são eliminadas.