Pages:
Author

Topic: Аппаратные кошельки - page 64. (Read 154352 times)

sr. member
Activity: 1162
Merit: 312
~ конечно леджер лайв может им отправлять стату с такими данными ~

Это всего лишь мое предположение, ничем не обоснованное. Леджер одна из лучших, если не лучшая, компания по разработке и производству аппаратных кошельков. Я не думаю, что им интересны средства своих же пользователей. Думаю им куда больше важна репутация, соответственно и полное обеспечение защиты кошельков своих же клиентов.  
Тоже думаю что они не собирают таких данных, просто незачем - у них показателем деятельности должны быть объемы продаж, а не количество транз или битков на кошельках пользователей Smiley

Ваше мнение про телеметрию Win 10 хотелось бы услышать - эта ось с аппаратником думается потенциально опасна в будущем (?)
Аппаратнику из флешки виндоус никак не навредит, если физически отключать интернет - самый оптимальный способ, избавиться от воздушных чипов и подключать/отключать интернет проводом, но не забывать этого делать. Полноценному аппаратному кошельку виндоус и с включенным инетом вообще никак не навредит. Вопрос утечки данных в руки к криминальным элементам в расчет не беру, больше шансов что к вам придут братки которые как-то связаны с обменниками в которых менялась крипта или с налоговой/банком через которые проходят платежи.
member
Activity: 826
Merit: 56
Tails
Видимо вы много чего пробовали раз до Tails дело дошло ?
Ваше мнение про телеметрию Win 10 хотелось бы услышать - эта ось с аппаратником думается потенциально опасна

Нашлась ещё занятная ссылка (комменты приветствуются)
http://forum.ru-board.com/topic.cgi?forum=62&topic=30617&glp
AutoSettings.zip от westlife, который предназначен для отключения свистелок и перделок в LTSB
Quote
http://forum.ru-board.com/topic.cgi?forum=2&topic=5493&glp
https://www.ixbt.com/news/2017/05/24/microsoft-windows-10-china-government-edition.html
Microsoft завершает разработку специальной версии ОС Windows 10, создаваемой по требованию китайского правительства. Разработка ведется в рамках совместного предприятия Microsoft и China Electronics Technology Group (CTEC). Отличием от обычной версии Windows 10 будет отсутствие средств наблюдения за пользователем.
member
Activity: 826
Merit: 56
Загляните в Википедию
130 сотрудников в Париже, Вьерзоне и Сан-Франциско.
вика не всегда права
ну а 130 это ещё ничего.. до 1000 пока время есть
а в визе наверное уже давно за 1000 .. статеечка про атаки на визу попалась. "фиктивные сертификации" - они и для кошельков ведь возможны.. хотя думается тут надо сертифицировать не только кошелек но и ось с которой он работает
Quote
https://3dnews.ru/815613
на примере лишь одной из конкретных стычек ученых с банками — достаточно выделить ключевые элементы такого рода исследований, проводимых с единственной, в общем-то, целью — таки заставить банки наконец реально озаботиться защитой платежных карт, а не списывать свои собственные проколы на беспечность клиентов и ошибки торговых структур.
В качестве живого примера, наглядно демонстрирующего реальную ситуацию с защитой современных кредитных карт, следует взять знаменитую историю с компрометацией платежных терминалов или PED (от PIN Entry Device — «Устройство ввода ПИН-кода»).
 
Во-первых, потому что все прежние «кембриджские атаки» против платежных карт были сосредоточены вокруг слабостей карточек с магнитной полосой, а эту древнюю технологию уже вполне можно считать безнадежно устаревшей и доживающей свои последние годы. Во-вторых, потому что атака Андерсона со товарищи против PED стала первой серьезной компрометацией новой технологии Chip-n-PIN, известной также под более официальным названием EMV (от первых букв коллективного хозяина стандарта: Europay – Mastercard – Visa) и считающейся куда более защищенной от мошенничества, нежели карты с магнитной полосой. Ну и в-третьих, эта история настолько выпукло и рельефно отобразила «неискренность», мягко говоря, банковских инстанций при обсуждении проблем защиты информации, что тут даже ни тени сомнения нет в том, какая из спорящих сторон оказывается правой.
Если совсем вкратце, то дело было так. Массовое внедрение карт EMV и соответствующей инфраструктуры в банках и торговле Великобритании пришлось на начало 2006 года. Уже на следующий год, к осени 2007-го, специалисты Кембриджа выявили в новой системе и первую серьезнейшую уязвимость. Слабость, как уже сказано, была обнаружена в терминалах PED.
 
Проанализировав наиболее распространенные из этих устройств (выпущенных разными производителями), ученые в каждом из них выявили участок, где содержательные данные о карточках покупателей проходят в открытом, а не в зашифрованном виде. Иначе говоря, злоумышленник, подсоединившийся к такому месту схемы, может похищать все реквизиты каждой вставленной карты, включая ее PIN-код доступа, а затем изготавливать карту-клон с магнитной полоской. (Чип-карты EMV оснащены магнитной полосой ради обратной совместимости с прежней технологией, поэтому и «неполный клон» — фальшивую карту без чипа — можно применять в старых банкоматах, еще не оснащенных считывателем микросхемы.)
Не публикуя поначалу свое открытие широко, исследователи сразу известили банковскую индустрию (британскую платежную ассоциацию APACS, транснациональную карточную сеть Visa) о серьезной слабости новой технологии. Ну а банковские структуры, по давно заведенной там традиции, ученых полностью проигнорировали, назвав их атаку оторванными от жизни «лабораторными экспериментами». Выждав почти полгода, но так и не дождавшись никакой конструктивной реакции на серьезные предупреждения, кембриджские исследователи теперь уже открыто опубликовали свои результаты для сообщества инфобезопасности в феврале 2008 года.
 
По убеждению ученых, выявивших зияющую дыру в защите технологии, особой критике должен быть подвергнут в высшей степени непрозрачный, ущербный по самой сути своей процесс сертификации и оценки безопасности устройств PED, обрабатывающих критично важные данные.
Корпорация-гигант Visa и банковская ассоциация APACS сертифицировали устройства как безопасные, официально санкционировав их широчайшее распространение. Но при этом «компетентные инстанции», проводившие оценку, не сумели увидеть в PED тех серьезнейших уязвимостей, что были выявлены кембриджской командой. Более того, при выдаче своих сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемом «подлог». Вполне официально было объявлено, что устройства PED прошли «оценку на соответствие Common Criteria», или CC, то есть международному набору стандартов для инфосистем безопасности, принятому в Британии, США и других странах НАТО.
В Великобритании выдачей сертификатов о соответствии требованиям Common Criteria ведает правительственная спецслужба GCHQ. Однако в GCHQ на запрос из Кембриджа сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC. Вот тут-то и выяснилось, что «оценка на соответствие CC» и «сертификат о соответствии СС» — это две существенно разные вещи. Результаты тестирования на предмет сертификации СС по закону положено открыто публиковать, а Visa и APACS категорически отказываются показывать кому-либо отчеты об оценке безопасности терминалов PED. Более того, строго засекречены даже сами инстанции, проводившие эту оценку...

Подводя своеобразный итог данной фазе истории (вскоре за которой последуют и другие, еще более поразительные фазы), профессор Росс Андерсон высказался о порочных подходах индустрии к проблемам безопасности в таких выражениях:

«Уроки, которые мы здесь получаем, вовсе не ограничиваются банкингом. В самых разных областях, от электронных машин для голосования до автоматизированных систем учета медицинских данных, постоянно появляется одна и та же комбинация — из глупых ошибок, фиктивных сертификаций и сопротивления властей, тормозящих исследования. Повсюду, где люди вынуждены опираться на безопасность систем, нам требуются честные процедуры оценки, результаты которых открыто публикуются и проверяются независимой экспертизой».

Помимо этих чрезвычайно важных мыслей, к которым еще будет повод вернуться, некрасивая, но очень показательная история вокруг PED рассказывается здесь с подробностями также и вот по какой причине. Спустя еще несколько месяцев, к осени 2008-го стало известно, что как минимум в полудюжине европейских стран полиция обнаружила преступную сеть хай-тек-воров — свыше сотни миниатюрных закладок в PED-терминалах розничной торговли. Эти закладки, как выяснилось, скрытно внедрялись в PED сразу после производства на фабрике, работали в точках продажи уже около года и похищали реквизиты платежных карт именно через ту дыру, которую ученые Кембриджа выявили, а банковская индустрия решила «не замечать».
В общей сложности, по грубым оценкам, с помощью этой массово внедренной закладки неведомым преступникам удалось похитить свыше 100 миллионов долларов со счетов владельцев скомпрометированных банковских карт... Поймать же столь ушлых жуликов, насколько можно судить по сообщениям прессы, полиции так и не удалось. Когда Интерпол уже висел у мошенников на хвосте, что называется, вычислив точное географическое местоположение их сервера, который через сеть GSM собирал похищенные данные и управлял работой закладок, в работу следствия неожиданно вмешалась довольно странная в данном контексте сила.

Гуру-безопасник о технологиях.. у кого аглицкий хороший на слух можете прокомментировать ?
https://www.youtube.com/watch?v=s2XHyzPA9Zc - Bitcoin Problems - Computerphile
https://www.youtube.com/watch?v=UlLN0QERWBs - Stolen Bitcoin Tracing - Computerphile
https://www.youtube.com/watch?v=JyxRH18YlpA - How Bitcoin Works - Computerphile
https://www.youtube.com/watch?v=p9HH_dFcoLc - Why Bitcoin is Not Cash - Computerphile
Quote
https://3dnews.ru/815613
область творчества и научных исследований профессора Росса Андерсона — инфобезопасность в ее наиболее широком смысле — обладает такой спецификой, что люди здесь год за годом и раз за разом почему-то очень упорно совершают одни и те же ошибки, наступая на одни и те же грабли. Пытаясь осмыслить эту ситуацию и обобщая опыт собственных многолетних исследований, в начале 2000-х годов Андерсон написал специальную монографию — совершенно уникальный по охвату тем справочник под названием «Инженерия безопасности. Руководство по созданию надежных распределенных систем» (Ross Anderson, Security Engineering: A Guide to Building Dependable Distributed Systems, 2001, John Wiley & Sons).
На огромном количестве примеров из реальной жизни Росс Андерсон не только объясняет, как надо и как не следует использовать те или иные шифры, механизмы контроля и системы защиты, но и демонстрирует с их помощью решение множества инженерных проблем системного уровня, будь то выбор процента для ложных тревог, соотнесение прочности системы с ее гибкостью или практичности использования с гарантиями надежной работы.
Через несколько лет после первого издания книги, к 2006 году, этот автор сумел-таки убедить издательство Wiley & Sons в том, что его «Руководство» целесообразно в полном электронном виде выложить в Интернет — в свободный онлайновый доступ для всех интересующихся.
Согласно убеждениям и расчетам Андерсона, подобный шаг (а) не только предоставляет нужные и важные сведения всем тем, кто не имеет возможности купить недешевую «настоящую» книгу, но и (б) не сокращает, а, напротив, увеличивает продажи бумажного варианта книги (ибо информация о ценном ресурсе распространится так намного шире, а, легко скачав по собственному выбору отдельные главы и оценив качество работы, состоятельные читатели, скорее всего, захотят иметь книгу целиком в качестве настольного справочника). Хотя обычно идея о свободном доступе к их продукции книгоиздателям очень не нравится, в данном случае автору пошли навстречу. И очень скоро стало ясно, что эксперимент Андерсона полностью себя оправдал. Когда все главы «Инженерии безопасности» стали свободно доступны в Сети, продажи бумажной версии книги действительно заметно подскочили...
В 2008 году вышло второе — существенно дополненное и переработанное — издание «Руководства». А еще через четыре года, в 2012-м, уже без всяких сомнений и возражений со стороны Wiley & Sons, и эта версия книги — наряду с первым изданием — также стала свободно доступной для скачиваний непосредственно на сайте Росса Андерсона.
https://www.cl.cam.ac.uk/~rja14/book.html
https://www.cl.cam.ac.uk/~rja14/musicfiles/manuscripts/SEv1.pdf
member
Activity: 826
Merit: 56
legendary
Activity: 2464
Merit: 2377
~ конечно леджер лайв может им отправлять стату с такими данными ~

Это всего лишь мое предположение, ничем не обоснованное. Леджер одна из лучших, если не лучшая, компания по разработке и производству аппаратных кошельков. Я не думаю, что им интересны средства своих же пользователей. Думаю им куда больше важна репутация, соответственно и полное обеспечение защиты кошельков своих же клиентов.  
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Кошельки создаются уже пользователями, конечно леджер лайв может им отправлять стату с такими данными
Я точно не знаю, но подозреваю (и надеюсь), что LL такие данные никуда не отправляет. К тому же, я, например, битками на леджере управляю исключительно через электрум, как в таком случае статистка соберется? Никак.
sr. member
Activity: 1162
Merit: 312
Всем привет! Подскажите, пожалуйста, возможно ли узнать объемы переводов с бирж на аппаратные кошельки и наоборот. И если да, то как это сделать? Заранее благодарю!

Не думаю что вы найдете ответ на этот вопрос. Транзакции не будут отличаться, хоть на аппаратный кошелек отправляй, хоть на десктопный. Может быть такую статистику и ведут сами разработчики аппаратных кошельков, но навряд ли они поделятся ею с вами.
А как вообще разработчики могут вести такую статистику? Кошельки создаются уже пользователями, конечно леджер лайв может им отправлять стату с такими данными, и если еще с какими-то данными то это может быть небезопасно для владельцев аппаратников.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Почему именно Tails, который специально заточен для анонимной работы онлайн, в то время как холодный кошелек подразумевает исключительно работу в офлайн? Мне кажется любая операционка сгодится лишь бы она ставилась в офлайне и там находилась всегда пока использовался холодный кошелек.
Я не настаиваю. Просто с Tails у меня не было никаких проблем, и сама система имеет хорошую репутацию. Можно использовать и другую систему.

интересно там можно придумать возможность ввода "ложных паролей" или нет как думаете ?
Если так необходимо, сделайте два кошелька: один с небольшой суммой для грабителей, а второй с основными средствами. Файл этого второго кошелька каждый раз удаляйте после использования и восстанавливайте из 12 слов, когда понадобится.
Оформите и запилите отдельный (в идеале подробный) гайд, я думаю многим он придётся по душе  Wink
Вряд ли я буду этим заниматься. Запилите сами, если хотите, я не обижусь (можете на меня не ссылаться).
legendary
Activity: 2464
Merit: 2377
Всем привет! Подскажите, пожалуйста, возможно ли узнать объемы переводов с бирж на аппаратные кошельки и наоборот. И если да, то как это сделать? Заранее благодарю!

Не думаю что вы найдете ответ на этот вопрос. Транзакции не будут отличаться, хоть на аппаратный кошелек отправляй, хоть на десктопный. Может быть такую статистику и ведут сами разработчики аппаратных кошельков, но навряд ли они поделятся ею с вами.
newbie
Activity: 196
Merit: 0
Всем привет! Подскажите, пожалуйста, возможно ли узнать объемы переводов с бирж на аппаратные кошельки и наоборот. И если да, то как это сделать? Заранее благодарю!
member
Activity: 826
Merit: 56
Сам не пробовал, но как мне кажется весьма занятная информация, у нас в локале вроде бы ничего подобного не нашёл (возможно снова был не в ладах с поиском).
Оформите и запилите отдельный (в идеале подробный) гайд, я думаю многим он придётся по душе  Wink
для такого дела даже копилка есть
https://bitcointalksearch.org/topic/ye-cpy-o-pe-a-opye-4710373 - Лучшие инструкции по крипте на форуме=✅
sr. member
Activity: 1162
Merit: 312
Почему именно Tails, который специально заточен для анонимной работы онлайн, в то время как холодный кошелек подразумевает исключительно работу в офлайн? Мне кажется любая операционка сгодится лишь бы она ставилась в офлайне и там находилась всегда пока использовался холодный кошелек.
Потому что операционка как раз для анонимной и безопасной работы с шифрованием, она точно без всяких вирусов-троянов и стучалок куда бы то ни было, имхо. А так можно и виндоус поставить, даже с пачкой троянов при правильной работе (физическом отключении инета от компьютера) ничего страшного не будет, страшны только вирусы которые удаляют данные и поэтому нужно не забыть записать сид на бумажку, да и флешка сама по себе может сдохнуть.
full member
Activity: 490
Merit: 211
А как правильно делают хол.флешку с электрум ?
Для холодного кошелька нужно использовать отдельную загрузочную операционку на флешке. Я пробовал разные, рекомендую Tails.
1. Установить Tails на флешку, создать на ней persistent-раздел.
2. Установить последний электрум appimage в persistent-раздел этой флешки (кратко тут, подробнее нашел тут, но там есть необязательные шаги, которые слишком усложняют процесс, имхо).
3. Важно!!! Отключить сеть, и с этого момента эту флешку загружать только при отключенной сети (можно при входе в систему отключать сеть программно, там есть такая опция, но лучше физически отключать роутер, а еще лучше - и то, и другое)).
4. Создать холодный кошелек на этой флешке и горячий на основной системе либо андроид-устройстве.

Всё. Пользоваться, передавая информацию через QR-коды. Если комп один и нет андроид-телефона для горячего электрума, тогда QR-код передавать через фото.
Сам не пробовал, но как мне кажется весьма занятная информация, у нас в локале вроде бы ничего подобного не нашёл (возможно снова был не в ладах с поиском).
Оформите и запилите отдельный (в идеале подробный) гайд, я думаю многим он придётся по душе  Wink
member
Activity: 826
Merit: 56
А как правильно делают хол.флешку с электрум ?
Для холодного кошелька нужно использовать отдельную загрузочную операционку на флешке. Я пробовал разные, рекомендую Tails.
1. Установить Tails на флешку, создать на ней persistent-раздел.
2. Установить последний электрум appimage в persistent-раздел этой флешки (кратко тут, подробнее нашел тут, но там есть необязательные шаги, которые слишком усложняют процесс, имхо).
3. Важно!!! Отключить сеть, и с этого момента эту флешку загружать только при отключенной сети (можно при входе в систему отключать сеть программно, там есть такая опция, но лучше физически отключать роутер, а еще лучше - и то, и другое)).
4. Создать холодный кошелек на этой флешке и горячий на основной системе либо андроид-устройстве.
Всё. Пользоваться, передавая информацию через QR-коды. Если комп один и нет андроид-телефона для горячего электрума, тогда QR-код передавать через фото.
спасибо, приятно иметь дело с экспертом. думается при медианной з/п по россии 15т.р этот способ станет популярней чем трезор-леджер
интересно там можно придумать возможность ввода "ложных паролей" или нет как думаете ?
+ насчёт бэкапления инфа бы пригодилась ибо флешки иногда дохнут
(и про "необязательность" шагов надеюсь вы поделитесь соображениями)

Почему именно Tails, который специально заточен для анонимной работы онлайн, в то время как холодный кошелек подразумевает исключительно работу в офлайн? Мне кажется любая операционка сгодится лишь бы она ставилась в офлайне и там находилась всегда пока использовался холодный кошелек.
думается тут оно "на всякий пожарный", из первой "краткой" ссылки https://yandex.ru/ using-the-most-current-electrum-on-tails
Quote
https://ruslantrader.ru/gde-xranit-kriptovalyutu.html
поддерживает шифрование, имеет возможность постоянного хранения данных и имеет в своей сборке кошелек Electrum.
Quote
https://miningclub.info/threads/bezopasnost-btc-koshelka.17234/
Что позволяет TAILS:
Все исходящие соединения заворачиваются в анонимную сеть Tor, а все неанонимные блокируются.
Позволяет работать с зашифрованным постоянным хранилищем шифруется (Luks AES-CBC-ESSIV с хешированием SHA-256) где и установлен кошелек BTC.
Шикарная экранная клавиатура.
Встроенный Electrum.
Ничего не хранится в tmp и подобных файлах (все в оперативной памяти) - выдернул флешку и нет ничего.
C чем столкнулся:
Мало что есть на Ytube а то что есть - мало инфы (зато в гугле все подробно расписано)
С разворачиванием системы потребуется 2 флешки (одна под дистибутив и первоначальную установку а вторая уже под установку рабочей системы)
Придется отказатся от авторизации по IP на биржах (ТОР как никак)
Сайт ADVCash в этой системе не будет работать (защита от TOP) Жаль конечно но не для этого собственно все затевалось, EXMO, Bittrex - через ТОР открываются без проблем.
Протестил перевод BTC с Биттрикса на Electrum в TAILS - без проблем.
Quote
https://privatfinance.com/bitkoin-koshelki-anonimn/
Electrum был создан в 2011 году и является одним из самых надёжных программных кошельков в крипто-мире.
Некоторые члены сообщества рекомендуют использовать его в операционной системе Tails (ОС), чтобы вы оставались абсолютно анонимными. Запуск программы на Tails маршрутизирует весь ваш трафик через Tor – анонимайзер, делающий практически невозможным отслеживание вашей активности.
Вам не нужно вводить личную информацию для настройки Electrum
Единственный способ, с помощью которого кто-то мог бы связать вас с вашими транзакциями и балансами кошельков – это передача общедоступных адресов, используемых вами. Electrum генерирует новые адреса для каждой транзакции, пока вы не достигли лимита – по умолчанию установлено значение 20.
что ещё находит
https://bitcointalksearch.org/topic/btcs-not-foundelectrumtails-issue-5124595 - BTCs not found/Electrum/Tails issue
newbie
Activity: 51
Merit: 0
Мне кажется что аппаратные кошельки намного безопасные чем любые другие. Я считаю что на них стоит потратиться но быть в безопасности.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
April 30, 2019, 09:41:49 AM
А как правильно делают хол.флешку с электрум ?
Для холодного кошелька нужно использовать отдельную загрузочную операционку на флешке. Я пробовал разные, рекомендую Tails.
1. Установить Tails на флешку, создать на ней persistent-раздел.
2. Установить последний электрум appimage в persistent-раздел этой флешки (кратко тут, подробнее нашел тут, но там есть необязательные шаги, которые слишком усложняют процесс, имхо).
3. Важно!!! Отключить сеть, и с этого момента эту флешку загружать только при отключенной сети (можно при входе в систему отключать сеть программно, там есть такая опция, но лучше физически отключать роутер, а еще лучше - и то, и другое)).
4. Создать холодный кошелек на этой флешке и горячий на основной системе либо андроид-устройстве.

Всё. Пользоваться, передавая информацию через QR-коды. Если комп один и нет андроид-телефона для горячего электрума, тогда QR-код передавать через фото.
member
Activity: 826
Merit: 56
April 30, 2019, 08:49:23 AM
кто может прокомментировать видосик ?
https://www.youtube.com/watch?v=OXetgKgXZvw - Криптовалютный кошелек Electrum на USB флешке | Electrum Wallet
Посмотрел. Там говорится, что это холодный кошелек. Но речь идет про обычный горячий кошелек, а все эти действия с флешкой не имеют никакого смысла. Холодный кошелек на электруме делается иначе (тоже можно сделать на флешке).
Ага, вот у меня тоже подозрения возникли что не то.. и подумал что народ посоветует то
А как правильно делают хол.флешку с электрум ? ссылок-то много а вот найти надёжное..
https://yandex.ru/ Electrum на USB флешке
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
April 29, 2019, 02:56:33 PM
кто может прокомментировать видосик ?
https://www.youtube.com/watch?v=OXetgKgXZvw - Криптовалютный кошелек Electrum на USB флешке | Electrum Wallet
Посмотрел. Там говорится, что это холодный кошелек. Но речь идет про обычный горячий кошелек, а все эти действия с флешкой не имеют никакого смысла. Холодный кошелек на электруме делается иначе (тоже можно сделать на флешке).
А утверждение на 3:40 вообще вредное - любой горячий кошелек на винде в принципе небезопасен, не говоря уже про большие суммы.

p.s. При чем тут аппаратные кошельки? )
member
Activity: 826
Merit: 56
April 29, 2019, 01:52:59 PM
кто может прокомментировать видосик ?
https://www.youtube.com/watch?v=OXetgKgXZvw - Криптовалютный кошелек Electrum на USB флешке | Electrum Wallet
Pages:
Jump to: