Topic: A importância de se proteger do ataque da chave de fenda de 5 reais! - page 3. (Read 525 times)

@lcharles123

gerar a seed em qualquer ambiente conectado a internet não será tão seguro quando gerar numa carteira física, a carteira física cria a seed antes de conectar então a seed em teoria nunca fica exposta

tem outras maneiras ainda mais seguras de gerar a seed completamente offline.

sobre memorizar a seed, é uma forma, mas e se inesperadamente você bate a cabeça e acaba se esquecendo de uma palavra ou da ordem delas?
Pode ser arriscado.

Existe um ditado português que diz: "Nunca coloque todos os ovos no mesmo cesto."

E acho que isso aplica-se bem a estas coisas, devemos tentar espalhar os nossos ativos por varias contas, assim se algo acontecer com uma, não afeta todo o nosso património.

Essa história está ficando bastante conhecida e estou começando a me preocupar com isso.

Descobri que a samsung tem uma especie de pasta segura. Vou fazer uns testes hoje nessa pasta.

Voce coloca seus apps financeiros ali, e o bandido não consegue ver que voce tem aplicativos ali.

https://www.samsungknox.com/pt-br/solutions/personal-apps/secure-folder

Seria interessante esse tipo de coisa para proteger o seu principal aplicativo financeiro, e deixar o bandido roubar os menores que são menos importantes.
Nesse caso, pode ser interessante ter uma conta bancária alternativa num banco menor e deixar o assaltante achar que é a sua principal.

Entao essa que era a "thread do nubank" que o pessoal estava falando no twitter  

Eu ja pensava nesse tipo de situação desde o primeiro dia que comecei a usar app de banco no celular. Então sempre usei o banco em um celular que fica sempre em casa, e caso precise de enviar dinheiro, eu faço pelo bot do Banco do Brasil pelo whatsapp, de la so sai 300 por dia. Também não uso nenhum tipo de cartão, só dinheiro físico, ate tambem por questões de privacidade.

O ideal seria pedir ao banco para impor limites de transação pelo app, fica mais difícil de mover grandes quantias mas evita roubos grandes como esse.

---

Eu acho que a melhor forma de guardar o BTC eh escrever a chave privada ou seed em um armazenamento confiavel e apagar fisicamente o arquivo do dispositivo no qual ele foi gerado.
Aqui tem uma lista desses armazenamentos confiaveis: https://bitcointalksearch.org/topic/--5278839
E para ara transportar a carteira, memorizar o seed.

E pensando nesse negocio de espalhar as chaves ou usar carteiras fake, pensei agora que seria uma boa usar uma tecnologia antiga, o One-Time Pad para cifrar uma chave privada. One time pad eh inquebrável, mesmo com poder de processamento e memoria infinitos, ele foi muito utilizado na Segunda Gerra e Guerra Fria, eh possivel utiliza-lo sem computador, fazendo as contas no papel.

Adaptando o algoritmo original do OTP: gera-se duas chaves privadas M e C, cada uma em computadores diferentes para aumentar a aleatoriedade, C eh a carteira falsa e M, a real, entao a partir delas obtem-se K usando a subtraçao modular entre C e M. K eh a chave do OTP que deve ser mantida em sigilo e M deve ser destruida. Se um assaltante obter C, ele tera os fundos da carteira falsa. Mas a chave M ficara protegida porque ela nao existe no mundo real e nem no digital, e so podera ser obtida de C usando K, por isso eh essencial gravar as duas chaves nos dispositivos de armazenamento confiaveis listados acima, e deixa-las separadas eh claro, tendo backup de C em mais de um lugar. Pode ate usar essa carteira como a hot wallet e mante-la no computador com copia no drive e tal, fingindo que possui apenas ela. E mantendo um saldo pequeno.
K + M = C
Parece besta mas fica mais interessante quando se usa multiplas chaves K, algumas podem ser carteiras validas com algum saldo pra confundir o autor da extorsao.

Pois! 
No Brasil os roubos tornam-se muito físicos, deixando a pessoa mal fisicamente.

Porque cá também existe muitos esquemas para roubar os mais "ingénuos". Mas normalmente são coisas a distancia, que não envolve tanto ameaça física direta. Também existe, mas numa escala bem menor.

hahahaha eu adoro também, uso sempre

desde "bora parar de panguar, tá na hora de sair" até "não fica panguando com o celular por aqui que essa rua é perigosa"

---

sinistro pensar nisso mesmo, só me liguei recentemente quando parei para comer num lugar e vi duas pessoas pagando com cartão por aproximação mas na hora de aproximar usavam o celular, achei muito high tech!


realmente Joker, mas a coisa ainda é pior no Brasil que em Portugal... bem diferente...

Você tinha isso bem configurado?
Eu nunca usei, mas tenho a ideia que dá para por limites de até quando não pede senha.

Infelizmente, por causa dos roubos, temos de ser contidos ao usar algumas tecnologias. É pena.

Cara, até pouco tempo eu tinha o Google Pay (Não é o Play, é Pay mesmo... de pagamento) instalado que permitia fazer pagamentos usando o NFC.
Até o momento em que fiz uma compra de mais de 2 mil reais e a maquininha sequer pediu a senha... absurdo!
Claro que o problema não é o APP, pois o mesmo poderia acontecer com o cartão físico, porém um celular é muito mais visado que um cartão hoje em dia, aí vai que roubam ele desbloqueado... ferrou.

  Adorei esse termo. Não conhecia.
Para outros que também não conhecem:

"Tá panguando"

Diz-se de uma pessoa que está viajando ou boiando em uma conversa ou em determinados momentos.
Quem pangua é panguão.

  Rindo muito.

*Fonte: Dicionário Informal.

Desesperador TryNinja
li o thread dele inteiro e doeu por aqui

conheço gente que já nem anda na rua com o celular principal com bancos e apps de valores, só com uber mesmo, e deixa o celular do banco em casa

tem suas desvantagens (caso vc precise fazer um pix na rua por exemplo pq seu cartão falhou sabe-se lá pq) mas pode ser uma solução.

Quanto ao app pra celular com passphrase Disruptivas, em geral o recomendado seria não deixar mais do que vc pode perder numa carteira de celular, de toda forma, e usar hardware wallets.

---

comentário polêmico se tirado fora de contexto:
Esses assaltos a celulares destravados são uma merda mesmo, o único lado bom que vejo nisso é que tendo essa possibilidade talvez vejamos menos assaltos violentos, sequestros, etc...
mais ou menos como o comentário que li recentemente que agora temos menos casos com virus e trojans pq todo mundo cai em phishing então é mais fácil e menos arriscado fazer phishing, além de ser bem mais difícil tipificar como crime (alguém transferir os ativos para você por ingenuidade VS vc invadir o computador de alguém, estilo o caso do Golpista do Tinder)

óbvio que seria melhor não ter assalto nenhum mas infelizmente não é o mundo que vivemos.

enfim, dá pra ficar bem paranoico com esse papo.

---

lembrete pra vida:
- não andar de taxi e uber com a janela aberta
- não ficar panguando na rua com celular na mão, leve um livro, melhor.

No mesmo post que eu pergunto isso, tem um link para o thread do twitter:

Realmente ey tenho visto bastante relatos assim.
Hoje em dia temos cada vez mais aplicativos com todas as permissoes de bancos e corretoras no  celular .

Fiquei ate  pensando em desinstalar alguns aplicativos,  mas não adianta. Hoje em dia no computador não dá pra fazer mais nada, sempre autentica pelo celular.

Tem umas soluções de umas pastas escondidas mas nunca pesquisei muito sobre

Não é nenhuma app, mas pode configurar contas convidado e isso pode ajudar nesses casos.
Eu nunca usei, nem sei bem como funciona, mas pode experimentar. Aqui esta um tutorial a explicar como funciona:
https://www.popsci.com/security-tips-borrowing-phone/

Tu postou aqui? Não entendi se tu ta citando um post antigo ou não.
Mas de qualquer forma, aqui na mãe eles assistem esses jornais sensacionalistas que só mostram bad trip e a semana INTEIRA mostrou casos de assalto com morte, só coisa péssima e desde o início da semana eu to meio full noiada.

E a pergunta foi mais no sentido de soluções pro celular em si, não pra wallets. Mas algo que tenha um mecanismo semelhando ao citado, mas mais generalista. Fuçando as configurações do meu celular, eu descobri que tem um mecanismo que tu aperta 5x a tecla de desligar e ele manda sua localização pra uma lista de contatos pre-selecionados. Mas o teste não funcionou, n sei se precisa ter a localização ja ativada ou ou que, tentei uma vez só também, mas n enviou nd kkkkk

Olha que loucura... acabei de ver essa história no twitter: https://twitter.com/MrVanDep/status/1522324368843493377

O cara tava de boa no taxi, com a janela aberta, passou um cidadão e tomou o celular da sua mão... até o fim do dia já tinham rapado todo o seu saldo do Nubank e Banco do Brasil, pedido R$ 2k em whisky pelo IFood e feito um empréstimo no seu nome. Mais de R$ 116k de prejuízo...

Isso que nem precisaram da chave de fenda.

---

Blue Wallet tem isso de uma senha secundária/falsa para outra wallet.

edit:

Esse que postei ali?

Gente e pra celulares, existe algum app que faça algo parecido com essa funcionalidade de usar um pin que desbloqueia uma conta secundária?

Talvez vocês tenham acompanhado um pouco esses assaltos a celulares que anda rolando em que os assaltantes obrigam os usuários a dar a senha. Hoje eu li um tweet horrível disso. E eu tenho uma tendência muito forte e ja provada de sempre reagir, o que é uma merda, mas eu fico muuuuuito puta.

Ai fiquei pensano que poderia ter isso, um pin falso que quando eu ativo, exibe apps falsos enquanto bloqueia os aplicativos conectados aos devices e chama a policia ._. Se não tem algo assim, vai precisar ter porque ta muito ruim. Eu vim ver minha mãe e ela vive em um bairro meio ruim e SP me deixou muito traumatizada, eu não consigo NUNCA sair de casa sem arma de choque.

Enfim, alguma solução pra celular para o ataque da chave de fenda?

Achei o tópico incrível Lucas!!!!!! Não te dou mil merits pois não tenho nenhum hahahaha

Além da hidden wallet, uma forma de proteção para casos de roubo seria ter uma segunda HW física...
Sim, quem tem muito BTc precisa deixar de ser pão duro e ter pelo menos duas HW.

Nesse segunda você guarda um saldo menor e entrega ela ao bandido for for atacado com a chave inglesa.

É a mesma "técnica" de quem anda com dois celulares no bolso... no momento em que o bandido estiver te rendendo, ele vai pegar o primeiro celular que você oferecer para ele, raramente vai pedir se você tem mais um.

Para quem tem quantias menores, divida seus valores em várias papper-wallets, o bandido nunca saberá quantas você possui.

boa Joker, um tempo atrás ouvi alguém falando que os virus para roubar criptomoedas estavam diminuindo pq agora fazia muito mais sentido usar engenharia social para enganar pessoas, o bom e velho phishing.

bitmover, ao falar "sacrificar conveniência e não ter suas chaves privadas" não me referia a deixar a custódia com terceiros (apesar de que para alguns talvez essa seja uma boa opção)

e sim não estar com as chaves em sua posse.
essa sugestão de espalhar as chaves pelos 4 cantos do mundo pode ser útil nesse sentido
o 6529 comenta que criou um sistema que inclui pessoas anonimas (em quem vc confia) mas que vc mesmo não conseguiria ser coagido a revelar quem são
mas o sistema dele deve ser pesadão por fazer a gestão de sei lá, 8, 9 ou 10 dígitos em cripto e nfts.

a ideia da passphrase secreta ou PIN + plausibly deniability é boa mesmo! esqueci de mencionar no tópico principal


a maioria das hardware wallets tem um dispositivo de apagar tudo da memória após o usuário errar o pin para abertura X vezes.
não é tão simples roubar uma hw e conseguir abrí-la.

O cenário que eu coloco, não é voltar a usar o equipamento. Mas sim caso o equipamento seja roubado ou perdido.
Quem ficar com ele, dificilmente conseguira obter a informação dele, certo?

Claro que se isto acontecer, a pessoa deve logo transferir todos os seus fundos para outros endereços.

Esse tipo de ataque é bastante raro, e as hardware wallets tem alguma segurança pra isso.

Contudo, se um hacker teve acesso físico a um dispositivo, por segurança é bom considera-lo permanentemente comprometido e não usa-lo mais.

A Trezor tem uma falha sem fix (até onde eu sei) que um dispositivo sem a passphrase é comprometido com um ataque físico.