Crypto Lemon

2021-03-31 20:07:50 #защита_инвестиций

"Ой ой, зачем нам думать своей головой?!? Разработчики софта и железа подумают за нас и наши денежки"

Ну вот и результат - влетел мужик (сначала написал "мудик", совпадение?) на 17 биткоинов установив фишинговое приложение с Appstore.

Я даже не могу полностью винить только его: когда целенаправленно десятилетиями людей мотивировать быть ленивыми идиотами, то что ты от них в итоге ожидаешь? Это я про Эппл и прочие экосистемы где у пользователя отнимается возможность думать самому.

В крипте, в инфосеке и близких сферах действует только два правила:
1. Думать своей головой и надеяться только на себя
2. Do not trust - verify

Если бы этот мужчина следовал хотя бы второму правилу, в эту ситуацию он бы не попал (Он бы зашел на сайт Трезора и посмотрел, есть ли у них приложение под IOS или нет)

Но есть и положительная новость: похоже хотя бы у этого индивида спала пелена с глаз.
"But Christodoulou is angrier at Apple than at the thieves themselves: He says Apple marketed the App Store as a safe and trusted place, where each app is reviewed before it is allowed in the store.

Christodoulou, once a loyal Apple customer, said he no longer admires the company. “They betrayed the trust that I had in them,” he said in an interview. “Apple doesn’t deserve to get away with this"

Ну и поучительная история для вас, мои подписчики

Как говорится - Нет худа без добра Открыть/Комментировать

2021-03-29 01:48:49 Решил написать небольшую заметку об NFT, блокчейне и Дурове. Дурова добавил ясное дело для хайпа)

Жду вопросов в бота)

https://telegra.ph/Paru-slov-ob-NFT-blockchain-i-Pavle-Durove-03-28 Открыть/Комментировать

2021-03-27 03:02:44 #защита_инвестиций #2fa #пароли

Наткнулся на интересную статью где показывается секьюрность аутентификации используя (и комбинируя) разные методы - https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model-2/

Номер 1 - самый лучший способ, и дальше вниз до худшего. Могу немного дополнить:

5й пункт, "Качественные пароли" для вас, как для пользователя, опасен совсем не тем, что пароль взломают или сдампят (как указано в vulnerabilities на сайте), а тем, что вы его просто напросто забудете )) Люди создают или хорошие пароли и их забывают, или легко взламываемую фигню которую легко взломать.

Также, несмотря на то, что пункт аутентификация по SMS стоит выше менеджера паролей (как например Keepassxc), но учитывая проблемы смс которые можно перехватывать через смс сервисы или sim swapping, я бы сказал что он более опасен. SMS добавляет много векторов атак, особенно если сервис куда вы авторизируетесь позволяет сбросить пароль через sms/email (в таком случае полная беда беда)

А так да, лучший совет это иметь менеджер паролей, а для 2fa иметь гугл аутентификатор. (Первый вариант обсуждать не будем, когда то потом расскажу почему) Открыть/Комментировать

2021-03-26 01:58:04 Мда, и такое в жизни бывает. Крипта разрушает семьи

Оригинальный тред, советую к прочтению: https://www.reddit.com/r/Bitcoin/comments/mcozeh/my_wife_is_leaving_because_bitcoin/

#юмор Открыть/Комментировать

2021-03-23 01:46:22 #Ledger #защита_инвестиций

Так, мне уже третий раз пишут что в своем посте о Трезоре я неправильно написал насчет Леджера, мол там похожая функция также есть.

Несмотря то, что я писал что "я не знаю как в Леджере и не узнаю" (я уже привык что многие люди у нас читают и видят то, что хотят увидеть) все же ради справедливости полагаю стоит написать, что у Леджера похожая функция тоже есть.

Она выглядит немного иначе: Вы клавишами выбираете первоначальные буквы слова, а потом Леджер предлагает вам варианты что это за слово. И так 12/25/24 итерации.

Тоже секьюрно, пишу без сарказма. Открыть/Комментировать

2021-03-22 02:34:33 Мда, конечно дикая новость. Был человек, а потом лег и не проснулся. Не хакеры, не оборотни в погонах или бандиты режущие бритвой лицо, а обычный тромб.
Соболезнования семье.

А для крипты именно такие случаи поднимают одну из наиболее остро стоящих проблем: как передать свои активы в случае каких то форс-мажоров. Ведь уже было пару известных случаев, что человек погибал и его активы навсегда исчезали вместе с ним. Прямо как у древних викингов - уплыло тело конунга на своем биткоиновом драккаре окруженное горами альткоинов.

А ведь к несчастью, толкового ответа, который бы соединял полную уверенность, что наследники все получат и секьюрность (по многим факторам) до сих пор не существует. Только общие советы, как вот например здесь

У меня был пост связанный с этой проблемой, но он был очень обобщенный и я как то так и забыл его завершить. Но в связи с грустной новостью, придется пошевелиться.

И да, подписчикам: Как видите, жизнь может оборваться в любой момент совершенно неожиданно. Живите сейчас Открыть/Комментировать

2021-03-20 03:49:57 Интересный пост с целой подборкой историй, о том как бельгийская полиция ломает "супер секьюрные криптотелефоны"

Самое интересное что ломает не через какие то уязвимости в самом телефоне (да и невозможно толком, всех владельцев не переловишь) а просто через взлом серверов (sic!) где хранятся данные всех этих "супер секретных чатов". Самое забавное, что ими реально пользуются преступники, как то наркоторговцы, похитители людей, торговцы оружием и тд.

Я понимаю что в нынешнем мире пропагандируется разделение профессий, мол зачем учить все если можно углубленно что-то одно. И если ты занят созданием наркоимперии то может уже не остатья свободных мозгов на осмысление тезиса "Важная информация хранится на чужих серверах контролируемых неизвестно кем". Но блин, людей для консультации то нанять можно, а?

Открою вам тайну: Никто за вас не будет подставлять свою жопу (Старые подписчики припомнят эту фразу, так как я говорю ее слишком часто). Уясните это раз и навсегда.
Если вы не в курсах, то те же интернет провайдеры и хостинг провайдеры (вместе с дата центрами) по первому запросу полиции дампят все что имеет отношение к вам и отправляют куда скажут. Самое смешное, что вас уведомлять никто не будет. Также, 90 % всех этих коммерческих "no log VPN" на самом деле ведут логи, так как иначе их возьмут за жопу. Это еще повезет, если вы попадете на сервис который хранит логи всего месяц.

Отучайтесь верить всяким сервисам которые предлагают вам "анонимность и приватность". Эти вещи можно выковать только своими руками, с большими затратами времени и труда. Но если уж меня читают какие то кардеры, наркоторговцы и прочие (не одобряю такие вещи) "романтики большой дороги" то вы блин уясните себе это, и действуйте соответственно. Ну или же готовьтесь сушить сухари на зоне Открыть/Комментировать

2021-03-19 19:50:00 #Реклама
Внимание!

Мы открываем свободный доступ в наш приватный VIP канал с сигналами и аналитикой

Всего 35 мест для доступа этой ссылке

https://t.me/joinchat/74V5eDARsKBiYjhi Открыть/Комментировать

2021-03-18 20:56:28 Учитывая высокую загруженность (и как следствие - высокие комиссии) в сети Bitcoin я до сих пор не понимаю почему все повально не переходят на native Segwitt адреса (это те, которые начинаются с "bc1...."). Вот вам скриншот, разница между транзакциями во времени - всего лишь десяток минут.
При этом в той, где отправка идет с Legacy адреса на Legacy адрес комиссия - 0.00006624 . А в транзакции где Native Segwitt - Legacy всего то 0.00003898 . Величины sat/byte примерно одинаковы. Если их свести к одному числу, то комиссия второй транзакции вырастет до 0.000045 (что все равно на 30 % ниже)
В случае переводов bc1... - bc1.. (с нативного на нативный) там комиссия будет где то 1/3 от legacy - legacy

При переводе на понятный всем язык "долларов", вы экономите от 5 до 10ти баксов за перевод. Довольно неплохо, разве нет?

Так что собственно вас останавливает от того, чтобы оставлять у себя в кармане больше денег? Открыть/Комментировать

2021-03-17 17:25:27 #Trezor #защита_инвестиций

Вторая основная проблема любого апаратного кошелька (Первая - это человеческая тупость и лень) это то, что они не являются полностью закрытыми криптосистемами (большинство).

Тоесть, для того, чтобы аппаратник выполнял свою роль "кошелька" вам необходимо его подключить к другому устройству, которое ответственно за многие функции (от формирования неподписанных транзакций до восстановления кошелька). Благодаря этому, количество потенциальных векторов атаки также возрастает многократно.

К примеру, для восстановления кошелька по сид фразе в Trezor One и Ledger Nano S, необходимо эту сид фразу ввести с клавиатуры компьютера/телефона. Здесь нас и поджидают добрые кейлогеры, а если вы достаточно умен чтобы пользоваться виртуальной клавиатурой, все равно можно пасть жертвой программ делающих скриншоты вашего рабочего стола (это не говоря о том, что они даже не обязательны. Есть возможность считывать координаты мышки, и зная раскладку клавиатуры в случае чего восстановить ваш пароль/сид).

В дорогих моделях что ledger-a что Trezor-a есть возможность вводить слова с сенсорного экрана, поэтому там такой проблемы нет. Но мы же с вами не братья Богдановы хранящие сотни биткоинов. Здесь как бы жабу победить чтобы Trezor One заказать. Следовательно, в таком случае есть другие выходы:

Не знаю как ledger-e (и после историй со взломом полагаю, что никогда и не узнаю) но в Trezor-e давно уже есть чудесная функция "безопасного восстановления кошелька" (advanced recovery). Буду честным, сам узнал о ней только недавно.

Как видите, заскринить ничего нельзя, так как данные определяющие на какое поле клацать отображаются на дисплее Трезора. И кейлогеры тоже не у дел, так как клавиатура не используется вообще!

Надеюсь, вам будет полезно :) Открыть/Комментировать