Topic: как правильно хранить крипту на ноуте? - page 3. (Read 2000 times)

Ничего против Jade не имею, но у многих может пылиться в гараже без дела Raspberry Pi различной конфигурации (годится от Pi Zero до Pi 2/3/4/5) .

У меня лично три разных модели валяются.

Тогда потребуется только Waveshare 1.3" 240x240 pxl LCD (~15 баксов) и  Pi Camera Module (~ 9 баксов). Корпус не в счёт, так как его можно самому сделать, вплоть до того, что из дерева.

Итого в 25 - 30 баксов можно обойтись.

Ничего против seedsigner не имею. Но там что-то под 100 баксов получается, если не ошибаюсь - не такой уж и доступный. По крайней мере по сравнению с TTGO-дисплеем за 10 евро с алиэкспресса, прошив который получается Jade без камеры. И этот Jade будет полноценным аппаратным кошельком, а не только подписывающим устройством, как seedsigner. А если бюджет не так жмёт, то просто купить готовый Jade за $65+доставка - в нем есть и функция сидсайнера (для любителей), и собирать не надо, и дешевле, и железо с прошивкой также полностью открыты. Как бонус, он еще и ликвид поддерживает, который постепенно набирает популярность.

По-моему seedsigner может себе собрать любой гуманитарий. Для этого только и нужно что уметь читать и следовать инструкции как это сделать.

Кстати неплохой, надёжный и достаточно доступный вариант для любого новичка.



Ну это да, намного сложнее. Я только вот сейчас начал постепенно осваивать как  собрать себе Linux From Scratch.

Чтобы сделать простой блок питания много ума или умения не нужно. Тяжеловатый и громоздкий, правда, получится, хотя для стационарного устройства это не так важно.
Но этого делать и не нужно, достаточно убедиться, что в питающем ноутбук usb-c кабеле только два провода, либо спаять переходник мама-папа, в котором подключены только контакты питания. Это если допускать, что жучок в usb-зарядке может получить несанкционированный доступ к системе без предварительного внедрения в эту систему трояна (а откуда он там может взяться на холодной машине?), в чём я сильно сомневаюсь.
А в сказки, что по потребляемому току можно вычислить сид, я совсем не верю. Кто верит, пусть отключает зарядку от ноутбука во время работы с кошельком.

Я если честно не такой "рукастый", чтобы самому зарядку для ноутбука делать. Хотя если чел технически сильно подкован, то вероятно это для него совсем не сложно.
Видел также мнение, что и аппаратный кошелек самому тоже не сложно делать. Но это путь явно не для гуманитариев.
Так мы придем к тому, чтобы полностью ноутбук себе собирать из того, что лежит в гараже, а для надёжности и собственную операционную систему написать.
То есть путь - не для всех. Хотя конечно безопасность системы при таких подходах повышается в разы.

Я бы предпочёл  ничего не вставлять даже от именитых фирм  в  ввиду наличия в таких устройствах контролеров, в которые могут быть внедрены  закладки ещё не этапе производства.

Относительно зарядки её можно сделать и самому. Всего-то нужно понижающий трансформатор, четыре диода и конденсатор. Можно ещё и стабилитрон добавить для шика. В итоге никаких закладок.

То есть отпадают любые USB устройства, например аппаратные кошельки, флешки или зарядные устройства подобные этому https://www.amazon.com/USB-C-Laptop-Charger-Power-Adapter/dp/B003WRT7CA Что-то сложно стало обеспечивать "невозможность" взлома холодного хранилища. Но что-то в него вставлять нужно, ведь зарядка все еще необходима, может обычный DC Jack хакнуть не могут? Или все-таки это можно сделать при желании? Вот еще ссылка вдогонку https://www.pcmag.com/news/researcher-exploits-power-supply-to-transmit-steal-data-from-a-pc

^
У вас тут жаркие интересные споры, потом прочту на свежую голову.

А сейчас хочу поделиться своим опытом, похоже что именно этого эксплойта:


На "грязном" ПК, десктоп.
Столкнулся с постоянными бсода-ми на старой винде. Под нагрузкой (тяжелые игры) Код ошибки в логах ссылается на ввод-вывод. Подсунул старый хдд с такой же виндой - также. Переключаю на более новый хдд в более новой виндой (все лицензионные) - там также, но реже. Перехешировал большой торрент - ошибка, 0.2% докачивает. Все это без инета.

Ну думаю, мать или озу, навряд ли троян.

Полез в (хуефи ебанный)биос - а там где выбор с чего грузить появился какой-то убунту. Ставишь другой - грузится с того что нужно, но заходишь - один хрен там убунту. Думаю ладно, может я идиот, когда-то действительно лет 5 назад я ставил на этой матери тут убунту, прописалась.

Скачал загрузочную флешку для теста озу, (разумеется на вирустотал все чисто) - сыплет ошибки. Пошел покупать озу, охуел от цен   стал менять местами планки, по одной гонять. Сначала сыпало, а потом перестало. Но там же надо каждый раз в биос задавать флешку загрузочную - ну чтобы на этом грязном компе никто не всунул свою с трояном и случайно не прогрузиться с нее. Так вот,

Заметил что "убунта" в какой-то момент перестала ставиться по умолчанию в этом хуефи-биосе (по крайней мере стал сохраняться мой выбор)

И ошибка исчезла.

---

Сейчас вашу тему прочитал - стало интересно. Думаю где же я это дерьмо себе имплементировал? Сначала подумал на руфус. Потом думаю что руфусом я флешку делал для теста озу, это уже после ошибки. Нет. Значит стал спрашивать других кто юзает машину. Ну, пришли к тому моменту, что совпадо примерно с тем временем, когда я поставил туда еще один винт с виндой поновее.

Значит думаю опять на руфус, или с виндой пришло. Сейчас полез посмотреть - нет, винду с сайта масдая качал, и тем же временем установщик ихний лежит, еще вспомнил что за флешкой новой ездил, своих не нашел нужного диаметра)

В послевоенное время было. И судя по вашей статье - именно мелкомяхкие первые нашли эту дыру ну типа



Думаю что это оно, просто у меня не *nix там стоит, а в масдае этот эксплойт бсодит.

Около года прошло, а затрубили только сейчас... Вот и думай

Пс.
(нашел обновы биоса в загрузках, тех же дат, может обновлял может нет не помню)

Там все равно ловить нечего никогда было на этом пк, но все равно как бы неприятно...

Нет, я этого не знаю. Я знаю несколько пользователей (а сколько не знаю), которые сделали себе холодные кошельки по статьям с разных сайтов, форумов или роликов с ютьюба. А в этих гайдах очень редко упоминается про отключение авторана, можете сами посмотреть и убедиться. И пользователи эти далеко не продвинутые, в подобных нюансах особо не разбираются.
Сомневаюсь я, что в линуксе такое возможно, но спорить не берусь - не хватает знаний.
QR-коды лучше, но и флешкой нормально, если всё правильно устроено.

Ну я не думаю что нужно снова и снова повторяться ,что авторан должен быть деактивирован на любой системе. Пользователь, который вырос до холодного хранения делает это по умолчанию и вы это прекрасно знаете.

Вообще то любые флешки в холодный компьютер вставлять не рекомендуется не зависимо от того, активирован там авторан или деактивирован, и какая там система, так как зловред может быть запущен и другим процессом, например сканером антивируса, или ещё каким-нибудь системным  процессом.

Для передачи данных существуют QR  коды.

Для этого зловред должен как-то активироваться, то есть либо юзер должен запустить исполняемый файл, либо система. Юзер, если понимает, что он делает, вряд ли станет запускать файлы с флешки, это ему ни к чему. А вот винда по умолчанию запускает авторан, и тогда это действительно опасно. Цитирую ваше высказывание:
Правы ли вы тут, говоря, что операционка на холодном компе не имеет значения?

Сама флешка не может, но зловпед, попавший с неё с неё, может изменить подписываемую транзакцию, скажем поменять адрес назначения на адрес хакера. Это и есть в данном случае "взлом", происшедший по вине того, кто вставил эту флешку.


Вы хоть сами сначала разберитесь в чём там дело, прежде чем опять городить чепуху и кидать новые ссылки. Заражение произошло  через removable device.



Включая и вас.

---

Ну тут вы явно меня с кем-то путаете. Может в зеркало смотритесь?

Спасибо, что провели исследование за меня, достаточно было кинуть ссылку или простой хинт, но теперь новички (ну или люди из других перечисленных вами категорий, к которым вы наверное большинство относите в силу своей напыщенности и высокомерности) будут знать, что в холодный ноутбук нельзя вставлять флешки или вообще какие-либо устройства, потому что это приведет к взлому их хранилища. Но вы не довели исследование до конца по поводу удаленного взлома, ведь сама по себе зараженная флешка не сможет передать данные хакеру, так почему это должно что-то ломать? Наблюдается некое противоречие в ваших рассуждениях. Вот вам еще одна ссылка: https://www.reversinglabs.com/blog/the-week-in-security-hackers-use-malware-to-remotely-access-air-gapped-devices-cybercrime-targets-italy Прошу, продолжайте. 

Ущерб  от ваших сообщений состоит в том, что их читают новички и у них может создаться ложное представление  о том, что холодные хранилища могут быть взломаны удалённо.

Холодное означает, что у хранилищ нет, не было и не будет никакой связи с внешним миром.

Иранский реактор, к которому вы апеллируете, был заражён червем Stuxnet не удалённо, а изнутри, из-за небрежности одного из сотрудников, имеющего доступ к компютерам, обслуживающих этот реактор.

Человек, который вырос до того, чтобы хранить свою заначку на холодном компе, знает как с ним обращаться.

Понятно, что лоху ничто не поможет, в том числе и холодный компьютер, если он додумается подключить его к инету или вставить заражённую флешку.

Вы сами себя к какой больше категории относите (к лохам или фантазёрам)?


Согласен. Исправляйтесь и становитесь адекватным, никаких возвражений на этот счёт.

Мне нечего доказывать людям, которые живут в своем маленьком мирке и думают, что они всегда правы. А чтобы поддерживать это иллюзию они еще и создают копии этого мирка в своих самомодерируемых темах, где стирают все выходящее за пределы их узкого воображения. Но на самом деле я считаю, что каждый человек способен исправиться и стать адекватным форумчанином, который не воспринимает любое непонравившееся сообщение как вызов, а любой совет или поправку как критику в свою сторону.

Но чтобы совсем не офтопить, то можно почитать историю про Stuxnet и иранский реактор, который управлялся компьютером, не подключенным к внешней сети.

Фантазёр. А ну ка давай ка придумай очередную сказку, на этот раз о том,  как удалённо взломать холодное хранилище, или мотивируй меня (вопрос всего то на десяток миллионов евро для тебя  ), чтобы я сам взломал своё изнутри.


Ну да конешно, некоторые  находят после того, как они ппроживут с десяток и более лет. Через ещё десяток лет находятся следующие.

Таких уязвимостей находят пачку чуть ли не каждый месяц, но в большинстве случаев их фиксят еще до первого возможного эксплойта. Получается, что если ноут холодный, то возможности воспользоваться уязвимостью нет, а если горячий, то обновления ОС сразу же автоматически решают проблему. Понятно, что горячий ноут будет менее безопасным при прочих равных, но выбор ОС все еще играет роль, потому что в опенсорсных вариантах любая уязвимость выявляется и фиксится намного быстрее, чем в проприетарных помойках типа винды. И да, холодные хранилища тоже взламывают, вопрос только в мотивации и целесообразности это делать.

Вы даже не представляете как их легко получить у "обычного пользователя домашнего компа"   (который думает, что он в безопасности только потому, что у него Линукс) и без этой уязвимости.

И это хорошо, что не представляете.

Насколько я понял из статьи по вашей ссылке, чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь права администратора, либо компьютер жертвы должен загружаться по сети, и эту сеть злоумышленник уже контролирует.
В общем, уязвимость оказывается не такой уж страшной, как вы ее описали ("коню под хвост"), для нее нужны специфические условия, которые практически никогда не встречаются у обычного пользователя домашнего компа.

Прeимущество ушло коню под хвост после того как обнаружилось, что практически все Linux distros ( а к ним относятся и моя рабочая лошадка Ubuntu) c поддержкой Secure Boot содержат уязвимость, которая позволяет удалённое выполнение кода.

Поэтому я убеждён, что петь дифирамбы какой-либо операционке это гиблое дело. Как говорят "на любой болт найдётся своя гайка".

К горячему ноту с любой ОС нужен хороший аппаратный кошелёк, типа Passport 2.  

Ну а если вернуться к вопросу " как правильно хранить крипту на ноуте?", то ответ такой -  правильно хранить на "холодном" ноуте и в этом случае без разницы под какой  операционкой бегает холодный ноут.