Pages:
Author

Topic: Аппаратные кошельки - page 23. (Read 154352 times)

jr. member
Activity: 43
Merit: 2
February 17, 2020, 03:48:12 PM
Появился вопрос. Если я оставлю своим детям сид фразу (от ledgera), а они введут её на новом устройстве (ledger), как они узнают какие монеты там есть? Они введут сид, ledger его примет, но на нем не установленно ни одного app. И им придется перебирать все доступные варианты? Он ведь поддерживает более 1000 монет, конечно большая часть это токены ефира, но все же.
legendary
Activity: 2317
Merit: 2318
February 14, 2020, 01:26:11 PM
Прошивка или драйвер?

Прошивка, которую загружает драйвер в устройство при каждом запуске ОС. Если, допустим, в HDD или SSD прошивка постоянно хранится в ROM на самом устройстве, то в других устройствах ROM отсутствует и прошивку приходится загружать в устройство при каждом включении питания. 

Quote
Я тоже слово firmware понимаю как прошивка, но разве ОС меняет прошивки без инициирования или подтверждения действия пользователем? Но не важно, прошивка или драйвер, по-моему такая заточенная на открытость и безопасность система должна предупреждать и требовать подтверждения перед установкой проприетарного драйвера. Может в Tails так и есть, не знаю.

Смотря как настроить. Пакеты firmware обновляются точно также, как и обычные пакеты программ или библиотек. Если настроено автоматическое обновление, то обновление firmware не будет заметно.

Не знаю как в Tails, но в Debian при установке нужно явно указывать non-free репозиторий, куда входят в том числе и firmware.
staff
Activity: 3472
Merit: 4111
Crypto Swap Exchange
February 14, 2020, 05:53:01 AM
👍

Означает,  что включены драйвера с  закрытыми исходниками. Если  хотите, чтобы таких драйверов не было надо собирать c нуля свой дистрибутив, Linux from scratch.

Есть менее болезненный вариант - использовать дистрибутивы одобренные Фондом свободного программного обеспечения: https://www.gnu.org/distros/
У некоторых даже всё железо с ними работает.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
February 14, 2020, 05:09:53 AM
Это "non-free" не означает ли, что код для этих firmware может быть и закрытым?

Это прошивки различных железяк (сетевых адаптеров, Wi-Fi и т. д.). Non-free прошивки как правило закрыты и распространяются производителями в виде готовых бинарников. Но без них та или иная железяка может не заработать.
Прошивка или драйвер? Я тоже слово firmware понимаю как прошивка, но разве ОС меняет прошивки без инициирования или подтверждения действия пользователем? Но не важно, прошивка или драйвер, по-моему такая заточенная на открытость и безопасность система должна предупреждать и требовать подтверждения перед установкой проприетарного драйвера. Может в Tails так и есть, не знаю.
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
February 14, 2020, 05:07:43 AM
Мне не до конца ясно, вот здесь написано: "However, Tails includes non-free firmware in order to work on as much hardware as possible.". Это "non-free" не означает ли, что код для этих firmware может быть и закрытым?
Чтобы Tails мог бутаться и работать как каком то условном HP с AMD графикой и каким то Broadcom модулем wifi, ему нужен какой то определенный non-free софт. Этот софт не разрабатывается сообществом Tails, а берется уже готовое решение. И да, Tails не защищает от от зараженного BIOS/UEFI.

Но, все это настолько узкие векторы атак, что спецслужбы даже за это браться не будут. Большинство проблем с приватностью/безопасностью по вине пользователя. Даже действительно крутых хакеров ловят на обыкновенных проёбах, типа, использование Iphone и хранения всех паролей в iCloud keychain. Службы подают запрос, получают от Apple все что им нужно и приходят в гости.

Был даже какой то хакер, который сфоткал сиськи своей подруги и опубликовал где то на форуме, или в соц сети. А фото содержало интересные EXIF-данные с... правильно -- геолокацией. Гости пришли к сисястой подруге хакера, но и найти его уже не было проблемой. И это поймали не какого то школьника, который вчера качнул Kali Linux, а сегодня посмотрел видос и начал подбирать пароли от соседского роутера, а действительно прошаренного чувака. И не было никаких брутфорсов на супер-компах спец-служб и прочего. Обыкновенный проёб. И такие проёбы это большинство случаев поимки людей.

Даже люди, которые сидят за двойными VPN палились, и к ним приходили гости. Как так? А все просто -- упал VPN, на секунду засветил свой IP и пипец.

А еще блядские cookies (и кросс-платформенная слежка) + фингерпринтинг (а здесь вообще есть где развернуться, от Canvas, шрифтов до говно Flash и Silverlight).

А еще возможен вариант, что у вас "течёт" DNS. Тогда, хоть вы все время под VPN, все равно придут гости.  Smiley

Так что, предположим ситуацию -- человек в бегах, надо с кем то списаться, за ним охотятся спец службы. На его месте, я бы вообще не парился о какой то firmware атаке, и спокойно бы купил на радио-рынке какой то б/у ноут-нетбук и бутался бы с Tails.

А в случае использования в связке с аппаратником какие опасности вы видите при использовании MetaMask, например?
Опасностей как бы нет, согласно тому, что распиаренные флешки подписывают транзу у себя, но, мне не нравится иметь ненужные расширения.
В общем, я не вижу смысла пользоваться тем же Метамаском, потому что у меня есть MyCrypto, который меня устраивает. Надо отправить ЕТН? Открыл MyCrypto, отправил, закрыл. Все. Зачем мне какое то расширение-кошелек, которое постоянно онлайн и будет нагружать мой Firefox?

Если потратить время на самообразование, установить себе какой то дистр Линукса, настроить фаерволл, разобраться с утечкой DNS, если лень самому поднимать, тогда взять себе ProtonVPN или Mullvad, и можно жить не парясь. У меня один ноут, я на нем и работаю, и крипту держу, и фильмы смотрю и CS иногда играю, и нет никакой мистики в том, что у меня все впорядке.

Кстати, утечку DNS можно проверить здесь:


Фингерпринтинг и пр. можно проверить здесь:


Также не забывайте о балансе между приватностью/безопасностью и удобством использования. Потому что гайки можно так закрутить, что вы не сможете нормально пользоваться своим компом. А как "правильно" выбрать баланс, это уже личный вопрос каждого.

А как от этого всего защититься? Любимый поисковик в помощь. В сети инфы валом.
legendary
Activity: 2317
Merit: 2318
February 14, 2020, 04:45:51 AM
Это "non-free" не означает ли, что код для этих firmware может быть и закрытым?

Это прошивки различных железяк (сетевых адаптеров, Wi-Fi и т. д.). Non-free прошивки как правило закрыты и распространяются производителями в виде готовых бинарников. Но без них та или иная железяка может не заработать.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
February 14, 2020, 04:38:42 AM
Quote
Это "non-free" не означает ли, что код для этих firmware может быть и закрытым?
Означает,  что включены драйвера с  закрытыми исходниками.
Может быть. Но бывает "non-free" софт и с открытыми исходниками. Вот я и хочу знать точно, есть ли в Tails драйверы с закрытым кодом?
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
February 14, 2020, 03:19:57 AM
Данные дистры полностью open source, их собирает сообщество, а не компания. Да и само сообщество проверяет свою же работу.
Мне не до конца ясно, вот здесь написано: "However, Tails includes non-free firmware in order to work on as much hardware as possible.". Это "non-free" не означает ли, что код для этих firmware может быть и закрытым?
Quote
А вот всякие крипто-расширения крипто-кошельков в крипто-браузеры -- всегда избегал и продолжаю делать по сегодня.
А в случае использования в связке с аппаратником какие опасности вы видите при использовании MetaMask, например?
newbie
Activity: 34
Merit: 0
February 14, 2020, 01:08:01 AM
Я считаю что данными устройствами можно пользоваться не для крупного хранения , много находили уязвимостей и найдет ещё . Если хранить много денег , то лучше на компе у которого выпаяна сетевая карта и отправлять биткойны только через флешку .
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
February 14, 2020, 01:00:10 AM
Мне кажется, что туда разработчики особенно усердно встраивают инструменты для слежения за вами.
Ну бред же)). Данные дистры полностью open source, их собирает сообщество, а не компания. Да и само сообщество проверяет свою же работу. Да и вы, при желании, можете провести аудит кода (или заказать за плату у какой нибудь компании).

То же Сноуден очень хорошо пропиарил Tails, потому что сам им пользовался (по рассказам).

Так что, мне как минимум кажется странным, доверять компании Ledger и думать что Tails/Whonix является шпионским софтом.

Кстати хотел спросить специалистов, опасно ли использовать Ledger c MyEtherwallet?
Уже @igor72 ответил...

Кстати, MyCrypto норм кошель. Юзаю его с тех пор как он появился, проблем ноль. Девы этого кошелька меня удивили, не знали что PGP-ключ имеет срок действия... пришлось им публично об этом напомнить.

А вот всякие крипто-расширения крипто-кошельков в крипто-браузеры -- всегда избегал и продолжаю делать по сегодня.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
February 14, 2020, 12:35:57 AM
Кстати хотел спросить специалистов, опасно ли использовать Ledger c MyEtherwallet?
Почему должно быть опасно? По-моему, не более опасно, чем использование Ledger Live или Electrum. Я, правда, в последнее время перешел на MyCrypto и MetaMask.
hero member
Activity: 1232
Merit: 858
February 13, 2020, 04:25:58 PM


На сайте производителя при скачивании Ledger Live в разделе совместимость указано указано, что работает на Виндоус начиная с 8 версии и выше. Скорее всего это сделано, потому что поддержка Win 7 прекращена. Возможно работать и будет. Семеркой уже давно не пользуюсь так бы попробовал.

C прошлыми версиями работало, но через костыли. Проще наверное решить для себя, а так ли нужен этот Ledger Live?)


В обычной работе в случае необходимости я использую Электрум, но он же поддерживает не все криптовалюты.
С помощью Ledger Live прошивку самого кошелька обновлять можно.

Кстати хотел спросить специалистов, опасно ли использовать Ledger c MyEtherwallet?
legendary
Activity: 3262
Merit: 3675
Top Crypto Casino
February 13, 2020, 03:33:52 PM


На сайте производителя при скачивании Ledger Live в разделе совместимость указано указано, что работает на Виндоус начиная с 8 версии и выше. Скорее всего это сделано, потому что поддержка Win 7 прекращена. Возможно работать и будет. Семеркой уже давно не пользуюсь так бы попробовал.

C прошлыми версиями работало, но через костыли. Проще наверное решить для себя, а так ли нужен этот Ledger Live?)
hero member
Activity: 1232
Merit: 858
February 13, 2020, 02:57:22 PM
Кстати, кто нибудь из любителей этих пропиареных флешек тестил их в паре c Whonix или Tails?
Да я, блин, Ванга  Cheesy -- https://twitter.com/Tails_live/status/1227643465561001985

Красиво наванговали))
Они уже давно были заточены под безопасность. Имели на борту предустановленные Tor и Electrum. Так что расширение возможностей для крипты это очень разумный шаг. Вот только лично я не доверяю специализированным приложениям заточенным под безопасность. Мне кажется, что туда разработчики особенно усердно встраивают инструменты для слежения за вами.
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
February 13, 2020, 11:02:02 AM
Кстати, кто нибудь из любителей этих пропиареных флешек тестил их в паре c Whonix или Tails?
Да я, блин, Ванга  Cheesy -- https://twitter.com/Tails_live/status/1227643465561001985


А если попробовать после тора использовать прокси сервер или анонимайзер, что конечно не добавит безопасности, но биржа видеть не будет.
Можно добавить прокси, и биржа не заподозрит, но, для этого нужно засетапить этот прокси, купить VPS за крипту и пр.
Главное не "перешифроваться", а то другие проблемы могут возникнуть при слишком большом количестве звеньев.
hero member
Activity: 1232
Merit: 858
February 13, 2020, 07:11:04 AM
В это трудно поверить, уверен, что вы ошибаетесь.
1. Electrum с поддержкой сегвит вышел в конце 17-го.
2. Разработчики изначально были против P2WPKH-P2SH (так же, как и против BIP39), то есть не поддерживали его принципиально и не собираются.
3. Если бы вы оказались правы, то вы смогли бы восстановить свой адрес при помощи сида. Попробуйте, получится ли у вас это?

Наконец-то дошли руки попробовать. Для чистоты эксперимента установил на чистую систему Убунты Электрум версии 3.3.4 (в котором в свое время и создавал свой P2WPKH-P2SH адрес).
Начал восстанавливать кошелек по сид фразе. И пока не указал в опциях "использовать seed в формате BIP 39" мне не разрешило нажать кнопку далее.
Я не знаю как так у меня получилось, когда я создавал себе сегвит кошелек в Электруме сид фразу генерировал там же. И Электрум создал кошелек начинающийся с тройки.



Нормальные биржи (где не страшно завести свои деньги) просто не дадут создать у себя аккаунт из под выходной ноды Tor

IP-адреса выходных нод не являются секретом ни для кого, так что 99.99% бирж просто не позволит создать у себя аккаунт под одним из этих IP-адресов.

У Tor браузера хорошая сопротивляемость к фингерпринтингу, а биржи ой как любят трекать все и всех (жучков много, некоторые биржи даже свои жучки пилят). Если даже урезать настройки приватности самого Tor (чтобы позволить бирже увидеть отпечаток как Firefox), разрешить полностью JS и пр., чтобы просто пользоваться цепочкой из нод для скрытия IP -- тогда с той же вероятностью (что выше) биржа вряд ли разрешит регистрацию такого аккаунта.

Если попробовать схитрить, пойти в кафе и регнуть себе аккаунт оттуда, а потом логиниться с дома через Tor -- аккаунт скорее всего локнут для "выяснения причин".

А если попробовать после тора использовать прокси сервер или анонимайзер, что конечно не добавит безопасности, но биржа видеть не будет.
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
February 13, 2020, 02:44:57 AM
Потому что ноды всякие бывают
Да, всякие, вот первая часть, чтобы разрушить мифы Tor:


совпадет ваш IP с выводом на биржу монет c IP каких-нибудь преступников и все - за вашим аккаунтом уже будут следить.
Эмм, вообще то чуть не так.

Нормальные биржи (где не страшно завести свои деньги) просто не дадут создать у себя аккаунт из под выходной ноды Tor

IP-адреса выходных нод не являются секретом ни для кого, так что 99.99% бирж просто не позволит создать у себя аккаунт под одним из этих IP-адресов.

У Tor браузера хорошая сопротивляемость к фингерпринтингу, а биржи ой как любят трекать все и всех (жучков много, некоторые биржи даже свои жучки пилят). Если даже урезать настройки приватности самого Tor (чтобы позволить бирже увидеть отпечаток как Firefox), разрешить полностью JS и пр., чтобы просто пользоваться цепочкой из нод для скрытия IP -- тогда с той же вероятностью (что выше) биржа вряд ли разрешит регистрацию такого аккаунта.

Если попробовать схитрить, пойти в кафе и регнуть себе аккаунт оттуда, а потом логиниться с дома через Tor -- аккаунт скорее всего локнут для "выяснения причин".


Кстати, кто нибудь из любителей этих пропиареных флешек тестил их в паре c Whonix или Tails? Много танцевали с бубном?
hero member
Activity: 1232
Merit: 858
February 12, 2020, 02:55:14 PM

Хорошая статья, где на пальцах рассказаны отличия VPN, Tor и прокси серверов. Tor конечно же подходит лучше всего, но и ему доверять полностью я не стал бы. Потому что ноды всякие бывают, и используют их в разных целях совпадет ваш IP с выводом на биржу монет c IP каких-нибудь преступников и все - за вашим аккаунтом уже будут следить. Это конечно же лично моя паранойя, но её в расчет тоже стоит брать.
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
hero member
Activity: 1232
Merit: 858
February 12, 2020, 04:22:23 AM
А вообще может ли такое быть что все эти аппаратники рано или поздно обяжут следовать пятой директиве по отмыванию денег?Например сдавать айпи пользователей балансы.Компании которые производят данные кошельки леджер и трезор находятся в Европе и им тоже могут сказать хотите продолжать работать дайте нам базу данных ваших пользователей.

Есть такая хорошая поговорка "Надейся на лучшее, а предполагай худшее". Пошел слух что в связи с пятой директивой начинают всех сильнее зажимать (вот вчера появилась информация о приостановке работы такого динозавра как епэйментс).
Поэтому если хотите пересраховаться, то не держите на таких кошельках как минимум всех своих монет.



Леджер лайв запилили не просто же так а чтобы собирать данные.И база данных такие как электронная почта фио адрес доставки по любому у них хранится.
Какие данные у них могут быть, если я купил леджер у посредника, подключил его один раз через VPN к Ledger Live для установки всех нужных приложений и удалил Ledger Live до выхода следующей прошивки?

Если вы устанавливаете какую-либо программу на компьютер, то я не стал бы на 100% доверять ВПН. Теоретически можно допустить возможность, что они умеют обходить ВПН.
Pages:
Jump to: