Topic: BlockChain......., tanta seguridad para que???? - page 2. (Read 10960 times)

Esta es la pura y simple realidad. Y cuando usas un fichero, por muy encriptado que estés, lo desencriptas. Y en ese momento, si estás online, puede ser reenviado a un atacante.

Además, da igual lo bueno que sea el servicio de dropbox, cada vez que lo usas online tu pc podría estar comprometido robando la información y punto. Dropbox o cualquier otro servicio, como Blockchain.info.

Sé que parece paranoico, pero hay que aceptar la premisa de que un ordenador conectado a internet pudo haber sido comprometido. A partir de ahí, hablamos.

Si tito Sam dice, show the data, Dropbox la enseña. Es una cuestión "regulatoria".

https://forums.dropbox.com/topic.php?id=36814

A tí te dicen que tus datos son seguros, al sistema legal que tienen acceso a tus datos. ¿No son compatibles verdad?

¿De dónde sacas esa afirmación? He leído en más de una ocasión todo lo contrario.

Exacto, es un problema estructural por cómo está diseñado el sistema

No sólo es reciente esa supuesta encriptación, sino que es más de palo que pinocho.

Sobre ese tema: http://paranoia.dubfire.net/2011/04/how-dropbox-sacrifices-user-privacy-for.html y http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/

Sí, pero Dropbox almacena una copia de tu contraseña. Los empleados de dropbox pueden desencriptar tus datos.

Según la web de Dropbox:

- Dropbox uses modern encryption methods to both transfer and store your data.
- Secure Sockets Layer (SSL) and AES-256 bit encryption.

¿No es cierto?

https://www.dropbox.com/help/27/

La única forma de estar totalmente seguro de que un "hacker" no te robará tus bitcoins es consiguiendo que tus claves privadas no vean jamás la red.

Guardar tu wallet encriptado en dropbox, igual dentro de un video que esconde otro volumen de Truecrypt, en teoría es segurísimo. Pero no nos olvidemos que el factor humano es el más débil: igual has utilizado como contraseña de encriptación del wallet la misma contraseña (o parte) que utilizas para Ebay, o Lastpass, o Dropbox, o GPG.... Un atacante sofisticado puede utilizar ese info y acabar desencriptando tu wallet, por culpa de un error humano.

Si tus claves privadas (wallet.dat, wallet de armory, etc.) jamás ven la red, un atacante remoto jamás podrá robarte tus btc. Vivir sin dropbox parece difícil, pero tampoco lo es tanto si guardas la copia de seguridad de tu wallet en varios CDs (usando imágenes+estenografía, si gustas) que luego dejas también en el coche y en un cajón de la oficina...

Y por cierto: con Armory puedes generar un backup en papel que te permite recuperar las claves de TODAS tus direcciones, incluso las que has generado después de imprimir el papel... Para siempre. Basta con guardar ese papel en una caja fuerte/caja de seguridad de un banco... Y sabes que por mucho que se te inunde la casa o te roben el ordenador, ahí estará.

Que no te parezca inseguro no quiere decir que no lo sea. Yo no estaría tranquilo usando tu procedimiento. Me parece que estás sintiendo la poco deseable falsa sensación de seguridad.

Estoy de acuerdo que blockchain.info es una buena wallet para introducir a la gente y que metan sus primeros btcs, pero deben ser advertidos de las implicaciones de seguridad. Una de las posibles fallas de bitcoin es que los temores relativos a robos online frenen su adopción. La única manera "buena" que tenemos para evitar esos robos es con métodos offline.

También estoy de acuerdo en que la gente común no tiene porque saber generar claves seguras offline, pero mediante hardware podemos solucionar esto, como carteras físicas. Es uno de los desafíos a vencer también.

EDIT: En concreto, blockchain.info, por su difusión, es probable que sea objetivo de todo tipo de ataques, phishing, keyloggers targeteados, y 0days de flash y java también targeteados. Exactamente igual que le pasa a paypal,

Cuidado. Dropbox NO CIFRA NI ENCRIPTA los datos. Allinvain (al que le robaron los 25K, solo 1.500.000€ al cambio) cree que su wallet se lo mangaron de su dropbox, de hecho se han filtrado hace no más de año y medio cientos de miles de usuarios+passwords de la base de datos de dropbox.

Ahora dropbox acaba de empezar con 2FA (https://www.dropbox.com/help/363/es) lo que lo hace más seguro, pero aún así NI CIFRA NI ENCRIPTA.

Lo dicho: para transacciones del día a día blockchain con 2FA* es suficientemente seguro. Para los ahorros de una vida, yo no me la jugaría con ellos ni de coña.

*SIEMPRE CON 2FA. A TODOS LOS QUE LES HAN ROBADO DE BLOCKCHAIN.INFO, NO TENIAN 2FA. LO MISMO VALE PARA MTGOX, ETC.

La verdad es que yo tengo configuradas las copias automáticas desde Blockchain.info a mi Dropbox, sin esteganografía ni nada, y no me parece inseguro. Mi backup está cifrado con mi contraseña de Blockchain.info, y a su vez al estar en Dropbox está cifrado con mi contraseña de Dropbox.

Pensando en la extensión de Bitcoin hacia el mundo mundial (es decir, hacia el común de los mortales que no saben nada de seguridad informática), creo que les recomendaría Blockchain.info sin más, guardando el backup regularmente. Creo que es más probable que se les rompa el ordenador o machaquen el wallet sin querer a que un hacker les robe nada...

No podemos pretender que para usar Bitcoin uno tenga que tomar tantas medidas de seguridad... Si esto es realmente necesario, Bitcoin jamás triunfará ni se extenderá como sistema de pago. Al usuario final que no ha hecho un backup de nada en su vida hay que ponérselo mucho más fácil.

Todo depende del "vector de ataque" del que te quieras proteger. En mi opinión con los bitcoins el peligro más grande está, por el momento, en un ataque remoto a través de internet. Aún es poco probable con un ladrón se ponga a rebuscar entre tus cds o tus pendrives para encontrar ese volumen encriptado que contiene tu "wallet", o a hojear tus libros a ver si encuentra una hoja llena de letras con la que recuperar tu "maletín virtual"... Porque gracias a Armory también puedes guardar en papel tus wallet y el acceso a las llaves de todas tus direcciones, presentes y futuras.... ¿Lo sabías?

Si buceas en el foro, verás que ha habido muchos robos en MtGox, blockchain, e incluso de clientes locales online. A allinvain, ilustre minero y coforero nuestro, le mangaron 25.000BTC (si, 25K) de su hot wallet. Y ya hay mucho malware que busca precisamente robarte tu wallet (incluso las claves en RAM), además de convertirte en "esclavo" de botnets para minar. Y por cierto, uno de los más famosos ataca exclusivamente a los mac: http://www.f-secure.com/v-descs/backdoor_osx_devilrobber_a.shtml.

Yo también lleva décadas usando sólo linux o mac, pero por mucho que sean sistemas estructuralmente más seguros y que existan herramientas maravillosas como Little Snitch, no podemos considerarnos libres de malware. Es, simplemente, una falacia.

Por otro lado, verás que no hay una sola historia de alguien a quien le hayan robado el ordenador, y que a partir de ahí le hayan robado también los bitcoins. En un sistema online (que puede ser un disco duro interno, externo o simplemente un pendrive) puedes utilizar encriptación en todo el disco, añadiendo capas de seguridad a tu sistema (encriptación de disco + encriptación del wallet, password fuertes, etc.). Si te roban ese pendrive o ese disco duro externo, tu info será completamente inaccesible. También puedes meter ese disco/usb/ordenador en una caja fuerte, y ahí tienes una capa más de seguridad. Cuando estás online, esas capas de seguridad te protegen menos porque en algún momento la información valiosa estará desencriptada en RAM (mientras la usas), y un malware decente esperará a ese momento para reenviársela al atacante.

Por último, claro que alguien puede saber que tienes bitcoins y pegarte una paliza hasta que se los des todos. Pero repito: todo depende del vector de ataque del que te quieras proteger, y el peligro mayor actualmente está online.

Si te refieres a que no las tecleas porque usas copiar y pegar, algunos keyloggers detectan la acción de pegar y echan un ojo en el portapapeles.



El ladrón se habrá llevado una copia cifrada del wallet.dat, que de nada le sirve si desconoce la contraseña. Y tú tendrás otras copias por ahí, algunas de ellas offline y algunas online. Por ejemplo, y como ya he mencionado alguna vez, yo guardo una copia oculta en varias imágenes usando esteganografía, y están ahí a la vista en el dropbox.

Ok, lo probaré... Muchas gracias.

Tu mismo. Es cierto que la seguridad completa no existe, pero la red bitcoin ofrece la oportunidad de realizar ciertas tareas de forma offline lo que aumenta muy *MUY* significativamente la seguridad.

El hecho de crear las claves offline no quiere decir que estén guardadas en un solo medio, lo cual sería muy mala idea. Una vez que has creado tus claves offline y en un pc seguro, y las has encriptado offline y en un pc seguro, puedes guardarlas en dropbox, gmail, dárselas a tus padres/hijos, abogado, o que un cantero te las grabe en la fachada de tu casa.

Usar Mac, Unix, SunOS, FreeBSD o cualquier otro SO no anula el axioma de que cualquier ordenador conectado a internet pudo haber sido comprometido.

Repito, es cuestión de buscar el equilibro. Afortunadamente ponerse en modo ultraseguro con bitcoin es fácil, no veo motivo por que el no coger esa oportunidad (a parte de la vagancia). Te recomiendo probar Armory.

Jeje, en mi caso tengo un Mac, soy ingeniero en informática y además ni siquiera tecleo mis passwords, porque uso LastPass... (vaya, que estoy confiando también todas mis passwords a un servicio externo, pero me fío).

La seguridad completa no existe... Si tengo mi backup en local, en un servidor dedicado sin conexión a internet, y un día se me inunda la casa o entra un ladrón y se lleva el equipo, a lo mejor me quedo sin mis bitcoins. Quizás en ese caso habría sido mejor tenerlos también en un servidor on-line.... no?

Además de lo que dice Rampion


No, no es razonable. Especialmente usando windows. Incluso aunque hoy estuvieses limpio al 100%, la probabilidad de que mañana aparezca una nueva vulnerabilidad ante lo que no puedas protegerte es real. Esto no es una cuestión de opinión, es una premisa de la seguridad informática que se ha comprobado cierta bastantes veces.

Si Blockchain.info cierra no pasa nada, el backup encriptado lo importas desde Multibit y a seguir operando... Vaya, que mi maleta también la tengo yo, es mi backup.

Lo que te ha explicado Ogig es la realidad: si quieres un alto nivel de seguridad para tus ahorros, las claves privadas nunca deben ver la red.

La compración con la banca online es pésima: tu banco GARANTIZA tus ahorros. Viajo bastante, y mi tarjeta ha sido clonada un par de veces. Siempre me han devuelto el dinero. Si te "hackean" la cuenta del banco, tranquilo: el banco GARANTIZA tu saldo. Con el bitcoin, es todo lo contrario. Imáginate tu cartera, online u offline, como una maleta llena de efectivo. Si te lo roban, jamás volverás a ver esa malet. Por eso mismo tienes que proteger más tus bitcoins de lo que proteges tu cuenta de banca online.

Además: qué pasa si Blockchain.info quiebra? Si un banco quiebra, al menos el estado garantiza hasta una cantidad X. Qué pasa si un día se cae y nunca vuelve a estar online? Lo dicho: tu cartera de bitcoins es como una maleta llena de billetes. Cuando usas blockchain.info, tu maleta la tiene SIEMPRE Y SOLO blockchain.info, POR MUCHO QUE LA LLAVE SOLO LA TENGAS TÚ.

No quiero decir que blockchain.info sea inseguro: si usas 2FA, es de lo mejorcito que hay en cuanto a "hot wallets". Pero el grueso de tus ahorros no lo llevas en una cartera que sacas a la calle, ¿verdad? No, lo tienes en una caja fuerte. En el mundo bitcoin, caja fuerte = sistema offline.