Topic: Despre securitatea portofelelor hardware (Read 470 times)

Wow, a fost chiar greu. Impresionant si din partea ta, si din partea castigatorului.
Eu acum cred ca ma bucur ca nu am investit mai mult timp sa sap, nu cred ca reuseam toti acei pasi, sau cel putin nu inaintea castigatorului, nici macar daca incepeam din secunda 1.
Intr-adevar, un utilizator peste medie de computer putea rezolva.. daca ii veneau ideile potrivite pentru ceea ce sa incerce. Se pare ca ai si prins pe cineva expert in astfel de puzzle-uri, deci concursul s-a terminat cam repede.

Din pacate / fericire concursul a fost rezolvat de un utilizator - Luca.
In comentarii a inceput sa scrie rezolvarea (inca nu a enumerat toti pasii).



Multumesc. Au fost rezolvate.
Tema este https://affiliatetheme.io/ si mai are pasaje care nu sunt ntroduse in traducere.

Oare o avea legatura cu ce scrisesem anterior...? Adica asta:


Oare de atunci au demarat aceste atacuri...?

In orice caz... mi se pare incredibil faptul ca abia ai lansat site-ul si deja primesti atacuri. Cine le-o face frrrate... si de ce?! Sa obtina ce? Dupa ce ca si asa sunt putine site-uri romanesti, si alea sunt atacate. Si sunt aproape sigur ca atacul e unul romanesc... Am o presimtire. De ce ar face cineva asa ceva?! In loc sa sprijine... Mi se pare strigator la cer. Sunt milioane de site-uri pe care un "hackeras" ar putea sa-si testeze "abilitatile"... nu ca ar fi indicat sa atace alte site-uri. Dar macar pe astea romanesti, macar pentru ca sunt asa putine... sa le lase in pace...


Sorryyyy!


Foarte tare si aceasta idee! Felicitari si la cat mai multi participanti

Nu sunt sigur ca asta ar fi de bine sau nu 
Am incercat un pic azi. Ma uit ca bou' la poarta noua la imaginea aia. Asa ca ma opresc pt o vreme.

In schimb ti-am gasit 2 buguri in site:
1. La rezultatele de cautare ai un tab "produkte" (ai tradus vreun site nemtesc?)
2. In partea de jos la pagini ai un buton mare si verde, care pe langa ca e in engleza "view all hardware wallets" are linkul "ne-tradus" si deci nu merge.

Sa imi spui cand te apuci si ce IP ai ca sa iti sterg niste pasi )

Mda, pacat ca tu esti generos si altii decid sa fie marlani.
Ma bucur ca aveai deja backup plan.

Eu ma tin de ce am promis: cel mai devreme duminica. (Deci nu am fost eu "ala").

In urma unor atacuri de tip bruteforce pe mai multe pagini, inclusiv search-ul site-ul a ajuns la maximul de resurse. In acest moment s-a inceput migrarea fisierelor pe un alt server.
Ma asteptam la asa ceva, dar nu si la ore intregi de 503 - Service unavailable...

Partea buna e ca site-ul se va incarca si mai rapid pentru cele 10-15 vizite zilnice )

Scuze pentru acest downtime.

Sper ca vei putea sa ne ierti vreodata 



Ei... atunci nu ma apuc de vanatoare mai devreme de duminica, OK? Ca deja am un Nano S. Mi-ar fi placut si un Trezor, sa compar/testez, dar pot si sa inteleg logica cu lasat si pe altii.  Bafta! (Si da, mult mai interesanta abordarea concursului, bravo!)

Mi-ați stricat Threadul )
Anyway...

Al doilea concurs organizat pe https://portofele-hardware.ro începe din clipa asta
Link către articol: https://portofele-hardware.ro/concurs-castiga-un-portofel-hardware-lendger-nano-s-safepal-s1-keepkey-sau-trezor-one/
După cum spuneam, participarea nu mai constă în simpla înscriere cu adresa de email - a fost 0% interes pentru majoritatea participanților.

Pentru al doilea concurs este necesară interacțiunea cu site-ul și pe lângă asta, participanții trebuie să dovedească că dețin anumite abilități tehnice și "informatice".
Nu aș vrea să ofer un portofel hardware cuiva care ar face poză la seed 

Dacă ajungeți la rezolvare în mai puțin de o oră și aveți totuși un portofel hardware în casă, vă rog să lăsați și pe alții mai "necăjiți" să câștige unul 

Mult succes!

In caz ca ajuta pe cineva, eu folosesc pe windoze FastStone Image Viewer. Si acela are Tools->Remove JPEG metadata, cu care poti scapa de EXIF si toate cele. (eu nu am pus pe imgbb/imgur direct de pe tel).
In plus, nu stiu, mie mi se pare nenecesar ca telefonul sa puna inclusiv coodronatele GPS in poza, asa ca eu nu pun si deci cel putin la mine EXIF nu contine chiar tot.
Dar na, intr-adevar, e mult mai bine sa scoti tot cand pui poza online.

Folosesc foarte des sistemul de operare Tails, iar daca dai click-dreapta pe orice fisier foto gasesti optiunea sa stergi metadata/EXIF. Asa am aflat si eu de treaba asta ce inainte parea un pic penibila, dar acum ma innebuneste. Am fost nepasator pana am urcat o poza pe imgbb cum spuneam si mai sus, iar cand am vazut ce detalii raman totusi impregnate in poze..  am zis OK, poate ca ar trebui sa imi pese

Intre timp, am cautat si eu pe reddit si pare-se ca am avut dreptate: mi se confirma ideea ca screenshot-urile nu au impregnate EXIT/metadata.

Iac-asa am mai invatat ceva astazi. Merci, kevin Chiar nu stiam treaba asta.


Acum, ca ai mentionat asta, cred ca ar fi foarte tare daca omul chiar din acest motiv a procedat asa. Si, daca e asa, jos palaria! In prima faza mi s-a parut o aberatie care m-a amuzat teribil, sincer sa fiu. Dar o sa fiu mai cu luare aminte pe viitor, la lucruri de genul.


Acum, ca tot ai zis asta, mi-am amintit si eu de al nostru bekli23. Il mai tinei minte, nu? Baiatul "cu proectu" (sic). Adica asta:


(Si da, m-am chinuit un pic sa dau quote din acel locked topic, lol, dar a meritat.)

Lucra de zor la a decripta niste portofele ale lu Satoshi. La un moment dat mutase si vreo 50 BTC din blocul geneza (highlight-urile imi apartin; erorile de gramatica ii apartin lui bekli; ignorati prima propozitie, nu veti intelege nimic cu nimic din ea):


Asa, acum ca l-am pomenit pe ilustrul nostru criptograf cruptanalist¹⁾, cum era ca si el sa fi facut ce a facut, in cunostinta de cauza. Similar exemplului cu screenshot-ul facut din meniul camerei, care s-a dovedit pana la urma a fi o miscare inteligenta, cum ar fi fost ca si bekli sa fi stiut el ce face acolo? Asta ca tot zisese kevin ca nu prea e viata pe aici Ne trezim la viata cu bekli23 ftw!

¹⁾ Ca sa spun si ceva mai serios de final, termenul corect pentru ce a incercat bekli sa faca este cel de criptanaliza, nu criptografie. Criptografia este stiinta de a codifica informatii, iar opusul acesteia este criptanaliza -- stiinta de a decodifica informatii criptate. Luate impreuna, ele formeaza criptologia.

Posibil sa fie o alta abordare pentru a scapa de informatiile EXIF care se imprima in poza odata ce folosesti butonul de declansare a camerei. De exemplu, daca urci o poza proaspat facuta de pe telefon pe imgbb, o sa vedeti ca sub poza se vede modelul telefonului si o gramada de informatii care poate nu vreti sa fie facute publice.

Exista totusi o alternativa mai simpla, zic eu.. si anume Scrambled EXIF, care sterge informatiile respective din poze inainte sa fie urcate. Posibil sa fiu un pic off topic, dar mi se pare interesanta ideea. Si la naiba, ca si-asa nu prea e viata pe partea Ro deci momentan who cares

Si mai interesant este ca butonul de facut poza este de obicei "la botul calului", pe cand screenshot sunt sanse mult mai mari sa nu stii sa faci.
Intr-adevar, ciudata "abordare" pentru "facut poza"...

Nu e problema, stai linistit. Forumul tot aici ramane.


Great job


Cum frrrrrrate asa ceva?!?!?! Cum e posibil...?!

Intr-adevar, foarte ciudata poza Cred ca e screenshot, dar nu m-as fi gandit vreodata ca ar putea cineva sa faca un screenshot din meniul camerei, in loc sa apese pe butonul de a face poza. Sincer, nici nu stiam ca se poate, dar am verificat acum si merge, cel putin pe Android. Si, din ce vad in acea poza, pare un telefon cu Android. Deci da, daca apesi Volume Down si Power, se pot face screenshots si in meniul camerei.

Amuzant, in orice caz Ma gandesc la un meme intitulat "Taking pictures -- you're doing it wrong" =)))


Hehe, suna tare asta E ca si cum ai cauta easter eggs. Dar si util intrucat, totodata, utilizatorii se vor familiariza si mai bine cu site-ul. Asteptam vesti despre noul concurs. Mult succes in continuare!

Scuze de intarziere. Am avut o saptamana plina. Din fericire nu traiesc doar din veniturile de pe internet )

Premiul a fost primit prin DHL pe 12 sau 13 august... a durat foarte putin livrarea Ledgerului.
Castigatorul a adaugat si un comentariu la articolul dedicat: https://portofele-hardware.ro/felicitari-primului-nostru-castigator-al-unui-portofel-hardware-gratuit/

De atunci ma tot gandesc noaptea la poza care a uploadat-o   Cum e facuta poza cu meniul din Camera? e screenshot  

Urmatorul concurs va fi cu aceleasi premii la dispozitie, dar ma gandesc la ceva mai interactiv, un fel de "vânătoare" cu indicii ascunse prin site...

Hehe, felicitari pentru incheierea cu succes a primei tombole si felicitari fericitului castigator

Ai reusit sa trimiti premiul? Toate bune?

De asemenea, voiam sa iti spun ca atunci cand am incercat sa accesez link-ul de mai sus a durat destul de mult pana l-a deschis. Nu stiu daca ajuta cu ceva informatia aceasta, dar m-am gandit ca e bine sa o mentionez... Ulterior nu s-a mai reprodus problema.

Doar cateva ore ramase până la selectarea primului caștigător al unui portofel hardware gratuit
https://portofele-hardware.ro/giveaway/castiga-un-portofel-hardware/

Ei, nu trebuia sa detaliezi atat de mult 
Dar da, suna rezonabil. Sunt sanse sa nu ai prea multi "jmekeri" inscrisi.


Multumesc de raspunsuri!

Moon =))))))

Scuze teykio, nu m-am putut abtine de la gluma asta

---

Cred ca ai putea adresa niste intrebari tehnice si aici, pe forum, in sectiunea de Discutii tehnice. Acolo sunt destul de multi oameni priceputi la cod, poate vin cu vreo idee buna.


Respect!


Crearea de conturi pe social media este una buna, insa este si mare consumatoare de timp. Cand am lasant proiectul Gazeta Bitcoin creasem si conturi pe Facebook, Instagram, Twitter si Google+ si... lua foarte mult timp sa le mentin pe toate actualizate. Postarea automata te va scuti de eforturi insa... vor aparea si utilizatorii cu intrebari si va trebui sa le aloci timp...