Topic: ci creiamo un programma specifico per la sicurezza dei nostri BTC - page 2. (Read 3217 times)

Senza andare lontano esistono da anni resine per le copie micrografiche in grado di copiare addirittura la struttura cristallina del materiale figuriamoci le impronte: infatti come dicevo il 100% di sicurezza non esiste. Ma ci si può avvicinare


Certamente prestare attenzione a dove e cosa si fa con il PC, usare un cold wallet con il grosso dei fondi (meglio se non collegato mai ad internet: è sufficiente trasferire tutti i fondi su un nuovo wallet creato offline subito dopo ogni uso) e un wallet per uso quotidiano cifrato possono essere più che sufficienti.

basta installare un antivirus decente e usare l'intelligenza per nn farsi fregare in questo modo

In un futuro remoto potrebbero reperire le tue impronte digitali. fare una copia in gomma e poi sottrarti l'hardware wallet  
S'impone un HW a scansione retinica (e se ti rubano l'occhio?   )

Ai giorni nostri cmq, senza per ora acquistare un hw, spero sia sufficiente cifratura del wallet "piccolo" e "cold wallet" collegato rarissimamente alla rete

Aumenti la sicurezza di moltissimo ma da solo non è al 100% (diciamo che non esiste il 100%): se te lo rubano sei punto e a capo.

La sicurezza più alta si ha di solito con un triplo sistema: una cosa che so, una che possiedo e una che sono: hardware wallet con lettore di impronta digitale e one time password.
Ma stiamo sforando nella fantascienza (nel senso che il costo di implementare un simile sistema potrebbe superare quello del valore dei bitcoin che potrebbero eventualmente sottrarmi).

Al momento comunque l'hardware wallet è uno dei sistemi più sicuri in assoluto per un uso pratico dei bitcoin, peccato per il costo un po' elevato a mio parere

 

grazie ercolinux

l'unico mezzo 100% safe potrebbe essere un hardware wallet?

si: dns poisoning ad esempio

ah no?

possono phisharti anche con l'url "giusto"?


io ritenevo abbastanza sicuro utilizzare la cifratura del wallet "per uso quotidiano" di piccoli importi quando utilizzo windows
e tenere il grosso su un pc con linux collegato solo in rari casi ad internet (nn ricordo se btc qt può cifrare anche su linux)


quasi aprirei un 3d specifico sulla sicurezza con gli ultimi ritrovati 

Penso che molte delle "problematiche di sicurezza" esposte sopra (vedi phishing, keylogger, "blocco tastiera") non abbiano una soluzione elementare come quella che proponi, di fatto le modalità esposte sopra non risolvono quei problemi.
Mi fermo un attimo su questi 3 punti:
* phishing - non è detto che basti controllare l'url per essere sicuri che non ci sia un tentativo di phishing in corso
* keylogger - non necessita di internet nel momento in cui scrivi... logga in locale e poi pusha ogni tanto su internet, ma non puoi sapere quando a priori (altrimenti sapresti già di avere un keylogger e quale e.. a questo punto l'avresti già rimosso  )
* "blocco tastiera" - inutile tentare di agire così ad alto livello.. solitamente i trojan seri agiscono a basso livello (aggirando di fatti questi "blocchi" che vorresti fornire come protezione)

Spero di esser stato di aiuto, dubito di aver scritto cavolate, ma.. mi son appena svegliato quindi può anche essere 

quando  mi viene un po di voglia scrivo 2 righe. Per il momento basterebbero idee.
Autohotkey e nato principalmente per andare sotto windows. Ci sono versioni che vanno anche su latri SO come wince e per linux bisogna vedere. Pero non è detto che abbia le stesse funzioni base abilitate. Su quella di Wince so di sicuro che non è cosi (l'ho usato per il mio navigatore). Credo lavori con le dll di windows per molte sue funzioni interessanti.


Visto che  consco autohotkey mi proponeco di farlo con questo. Il vantaaggio di questo linguaggio (se si puo definire tale)  è che è nato per risultare estremamente semplice e quindi intuibile da tutti. Per la compilazione del sorgente mi limito a fare pulsante destro sul txt e dirgli dal menu contestuale creami l'exe. Per far intendere la semplicita con cui si usa

Riguardo al pishing, verifico semplicemente tramite titolo dell'applicazione usata che sia il browser da me scelto e  indirizzo url digitato sia quello che voglio (3 righe di codice per questo). Cosi anche nel momento che ho bevuto troppo e non controllo che il sito sia sicuro il programma lo fa per me.

Database. (detto cosi ma intendevo un semplice txt criptato)
A parte che potrebbe essere criptato, ma comunque all'inizio per semplicità si potrebbe mettere user e parziale password semplicemente all'interno del txt che andra compilato. Poi dal txt bisogna cancelllare la password perche se si guardano i sorgenti si vede la password.

Riguardo i Keylogger le soluzioni sono limitate solo dalla nostra fantasia nel creare il porgramma. Chiedo, potrebbe essere utile (non conosco i programmi keylogger) disabilitare ad esempio la scheda di rete per il lasso di tempo in cui inserisco user e password, per poi riabilitarla.

Blocco tastiera
Non conosco le potenzialità dei programmi con controllo remoto del pc. L'idea di tale funzione era quella di blocare tali applicativi. Sempre poi che questi non abbiano l'accesso indipendentemente dal blocco che autohotkey esercita.

Ci sono librerie che controllano l'hash dei programmi per eventuale controllo che i file eseguiti siano quelli che voglio. Anche se forse bisognerebbe controllare il client che e residente in memoria per vedere se è quello giusto, ma ora non saprei come si fa.

Quanto scritto sopra è un alista delle cose che ora so gestire. Quindi la creazione di tali funzioni è immediata.

Comunque prima del pishing e del keylogger, potrebbe starci una funzione per essere sicuri che l'utente che è davanti al pc sia quello giusto.

 

Quello che proponi è una modifica del funzionamento dei principali siti legati ai bitcoin o in layer sopra di questi per proteggerne l'accesso?

E chi garantisce la sicurezza del database? Il phishing è forse uno dei problemi minori (usando siti sicuri quasi tutti sono accessibili via https quindi basta la verifica del certificato fatta dal browser)



Contro i keylogger l'ideale è usare un pin aggiuntivo alla password inserito da una tastiera a video con i tasti rimescolati. La tua idea non è male ma per chi naviga da cellulare/tablet spostarsi e cancellare dei caratteri a video è complesso. Se vuoi farlo per qualunque sito basta usare un programma di crittografia semplice e generare la tua password usando questo pin come chiave crittografica.


Qui non vedo l'utilità della cosa.

Come passatempo qualche volta  scrivo programmini elementari con autohotkey.
Leggendo e avendo vissuto in prima persona, i problemi di sicurezza che sorgono attorno alle criptomonete, pensavo che con poche righe di codice ovviamente a codice aperto e facilmente personlizzabili, si potrebbe scongiurare alcuni problemi.

Se la cosa ha un senso si potrebbe analizzare le varie problematiche di sicurezza che si incontrano e sviluppare le contromisure.

Ora per essere piu chiaro inizio io su come alcune problematiche si potrebbero risolvere in un attimo. Ma ovviamente servirebbero i commenti e informazione da parte dei piu esperti.

controllo applicazione e controllo sito (contro phishing)
nel momento del login con poche righe si verifica se l'indirizzo della pagina è uguale a quello di un mio database

contro keyloger
(prima cosa che mi viene inmente)
inserimento parziale di password con completamento da parte del programma che potrebbe inserire caratteri random per poi portarsi tramite spostamento di mouse sopra a quelli e cancellarli.

Riguardo i keylogger sarebbe utile se qualcuno conoscesse bene i piu sofisticati programmi keylogger

un altra cosa potrebbe essere blocco di tastiera e mouse dopo un certo tempo di inattività con possibile sblocco solo ad un determinato evento (ruoto la rotellina del mouse per 3 volte su e 1 giu ad esempio o cose piu complesse o combinazioni di piu eventi).