Extensão maliciosa rouba R$ 70 mil em criptomoedas de usuário

Paredao

legendary

Activity: 3304

Merit: 1617

Quote from: tg88 on January 15, 2020, 09:59:56 AM

Quote from: Paredao on January 11, 2020, 10:27:14 PM

Só uso recipientes de titânio hermeticamente fechados. Abaixo vou postar a foto de um recipiente parecido com os que eu uso. São pequenos e de fácil manuseio. Para enterrar é uma beleza. Caso queira mais segurança dá para concretar por cima.

Já pensou se voce fosse cliente do BitcoinBanco e vazasse o seu endereço completo? Muita gente ia querer fazer uma jardinagem grátis por ai Grin

Brincadeira.

Esse é um dos motivos que não transaciono com exchanges que pedem comprovação de endereço. Nunca se sabe como são tratadas essas informações. Tem umas exchanges que quando você olha o pessoal de TI delas dá até medo.

tg88

legendary

Activity: 2492

Merit: 1429

Payment Gateway Allows Recurring Payments

Quote from: Paredao on January 11, 2020, 10:27:14 PM

Só uso recipientes de titânio hermeticamente fechados. Abaixo vou postar a foto de um recipiente parecido com os que eu uso. São pequenos e de fácil manuseio. Para enterrar é uma beleza. Caso queira mais segurança dá para concretar por cima.

Já pensou se voce fosse cliente do BitcoinBanco e vazasse o seu endereço completo? Muita gente ia querer fazer uma jardinagem grátis por ai Grin

Brincadeira.

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Quote from: Paredao on January 11, 2020, 10:27:14 PM

Só uso recipientes de titânio hermeticamente fechados. Abaixo vou postar a foto de um recipiente parecido com os que eu uso. São pequenos e de fácil manuseio. Para enterrar é uma beleza. Caso queira mais segurança dá para concretar por cima.
~snip img~

Poxa, quanto investimento.... agora imagina como deve ser o bunker do Paredao Roll Eyes

Quanto as VPN, nunca me senti confiável para usar elas, nem mesmos nas que são bem pagas. Uso eventualmente o TOR e em algumas situações uma lan house (sim, elas ainda existem) ou redes abertas de wifi para esconder o IP de certas "identidades".

cryptobaboon

hero member

Activity: 1498

Merit: 557

Quote from: Lucasgabd on January 13, 2020, 02:09:23 PM

sempre existe essa possibilidade mas não é diferente da possibilidade do governo ou ISPs estarem de olho né?
nesse sentido é so usar uma VPN estabelecida no mercado.

e tem aí alternativas descentralizadas em crypto surgindo, como o BitTUBE e o sentinel, mas aparentemente os serviços não estão super estabelecidos ainda

o melhor mesmo é guardar fundos offline e sempre auditar seu processo de segurança.
ou melhor ainda: ter pouco, aí vc não precisa se preocupar com ser roubado.

Taí, esse sim é o melhor conselho do tópico até o momento! Porra, valeu lucão!

Brincadeiras à parte, VPN eu só confio no tunnel que eu mesmo criar e olhe lá. Qualquer intermediário, por mais seguro e conhecido que seja, é um ponto de falha e, infelizmente, sempre será :/ não há coisa melhor quer uma bela de uma paper wallet bem guardada e, para uma segurança ainda mais apurada, a geração da tx em um dispositivo offline para só propagar em um online.

A verdade é que a segurança perfeita só depende de nós mesmos! Cool

Lucasgabd

legendary

Activity: 2506

Merit: 1113

There's no need to be upset

Quote from: PainKiller1986 on January 09, 2020, 09:53:29 PM

Quote from: Lucasgabd on January 08, 2020, 01:25:11 PM

relembrando as boas práticas de segurança:

1- nunca digitar seeds em devices que estejam conectados a internet
2 - nunca instalar extensões no chrome de procedência duvidosa
3 - evitar arquivos .exe de procedência duvidosa (ao menos em devices em que você movimenta crypto)
4 - sempre usar VPN
5- fazer backup das chaves privadas preferencialmente offline.

esqueci algo?

Cara, controla tuas paradas num host linux (virtual ou não), exclusivo para controle da carteira e já está bom demais.

VPN só se for para seu provedor não saber o que você está fazendo, mas vc nunca pensou no caso de a propria vpn estar monitorando e sniffando o que tu faz? Quebrar um SSL hoje não é tão difícil (pelo menos os de menor complexidade) com o firewall layer 7.

sempre existe essa possibilidade mas não é diferente da possibilidade do governo ou ISPs estarem de olho né?
nesse sentido é so usar uma VPN estabelecida no mercado.

e tem aí alternativas descentralizadas em crypto surgindo, como o BitTUBE e o sentinel, mas aparentemente os serviços não estão super estabelecidos ainda

o melhor mesmo é guardar fundos offline e sempre auditar seu processo de segurança.
ou melhor ainda: ter pouco, aí vc não precisa se preocupar com ser roubado.

sonico

member

Activity: 97

Merit: 20

Quote from: girino on January 11, 2020, 09:28:56 AM

(...)

A 25a palavra é para impedir que pessoas te obriguem dar a seed pra elas (tipo, um bandido ameaça te matar se vc não der a seed, ou um governo ameaça te prender se vc não der a seed, ai vc dá a seed com a 25a palavra incorreta, preferencialmente uma onde vc colocou um valor irrisório só para essas situações mesmo).

Contra a NSA o que se pode fazer é usar criptografia mais forte e ficar longe de eletronicos que vc não sabe a origem.

O contexto que tinha imaginado, mas não expliquei, seria em caso de arrombamento por parte das agências de 3 letras e achassem a seed com as 24 palavras.

Mas muito bem lembrado: colocar poucas doletas nas 24 palavras, outras poucas com a 25° "swordfish" Cheesy

e a reserva de valor com a 25° escolhida.

Quote from: Paredao on January 11, 2020, 10:27:14 PM

(...)

Só uso recipientes de titânio hermeticamente fechados. Abaixo vou postar a foto de um recipiente parecido com os que eu uso. São pequenos e de fácil manuseio. Para enterrar é uma beleza. Caso queira mais segurança dá para concretar por cima.

Isso sim é profissa!

Paredao

legendary

Activity: 3304

Merit: 1617

Quote from: Alveus on January 11, 2020, 07:03:42 PM

Quote from: Paredao on January 08, 2020, 02:13:04 PM

Esqueceu que tem que colocar as paperwallets dentro de um recipiente hermeticamente fechado e depois enterra-las. De preferência num local onde a terra não seja muito úmida. E também tem que ver se não tem nenhum vizinho bisbilhotando o que você está fazendo.

Se o recipiente rachar e entrar umidade já era - o ideal seria escrever a seed com BIP39 em placa de titânio. (inclusive é a prova de fogo)

Só uso recipientes de titânio hermeticamente fechados. Abaixo vou postar a foto de um recipiente parecido com os que eu uso. São pequenos e de fácil manuseio. Para enterrar é uma beleza. Caso queira mais segurança dá para concretar por cima.

PainKiller1986

member

Activity: 202

Merit: 11

Quote from: oz on January 10, 2020, 06:02:43 PM

Quote from: PainKiller1986 on January 10, 2020, 02:30:52 PM

Quote from: alexrossi on January 10, 2020, 05:11:34 AM

Quote from: PainKiller1986 on January 09, 2020, 09:53:29 PM

Quebrar um SSL hoje não é tão difícil (pelo menos os de menor complexidade) com o firewall layer 7.

Exclusivamente em empresas de grande porte. O usuario comun nao è afetado em nemhuma maneira, ao menos que utilize sempre um wifi publico e nem è assim tao comum a colocaçao de firewall bem caros que façam deep packet inspection.

Acho que no exterior o custo de um firewall layer 7 não deve ser tão grande a ponto de inviabilizar. Os caras levantam um serviço VPN legitimo, conseguem nome, vão roubando as informações dos clientes e num dia qualquer executam o crime e varrem geral.

Googlei um da fortnet e apareceu por menos de 1500 dolares, custo abaixo de 0,2 BTC (https://www.avfirewalls.com/FortiGate-100E.asp).

Firewall e VPN recomendo levantar em cima do Freebsd, igual BTC tenha sobre sua guarda Grin

Ah meu rei, já fui muito assim, mas é complicado fugir das "modernidades". Até curto um pfsense da vida (quem não curte), mas é brabo fazer tudo na unha em ambiente corporativo.

Abs

Alveus

full member

Activity: 896

Merit: 221

Quote from: Paredao on January 08, 2020, 02:13:04 PM

Esqueceu que tem que colocar as paperwallets dentro de um recipiente hermeticamente fechado e depois enterra-las. De preferência num local onde a terra não seja muito úmida. E também tem que ver se não tem nenhum vizinho bisbilhotando o que você está fazendo.

Se o recipiente rachar e entrar umidade já era - o ideal seria escrever a seed com BIP39 em placa de titânio. (inclusive é a prova de fogo)

girino

legendary

Activity: 2296

Merit: 1170

Advertise Here - PM for more info!

Quote from: sonico on January 11, 2020, 06:58:31 AM

(...)

Se a NSA descobrir minha seed qual será a facilidade em desvendar a última palavra (ou senha alfanumérica) secreta?

A possibilidade da NSA descobrir sua seed sem a 25a palavra é quase zero. ela ou tem computadores quanticos e quebra a criptografia direto, ou ela espionou você digitando/anotando a seed e consegue ela completa. A 25a palavra é para impedir que pessoas te obriguem dar a seed pra elas (tipo, um bandido ameaça te matar se vc não der a seed, ou um governo ameaça te prender se vc não der a seed, ai vc dá a seed com a 25a palavra incorreta, preferencialmente uma onde vc colocou um valor irrisório só para essas situações mesmo).

Contra a NSA o que se pode fazer é usar criptografia mais forte e ficar longe de eletronicos que vc não sabe a origem.

sonico

member

Activity: 97

Merit: 20

Quote from: TryNinja on January 09, 2020, 10:07:41 AM

Será que se pegar essa semente e enterrar igual o Paredao falou, nasce uma árvore de Bitcoins?

perdão pelo shitpost, não pude deixar essa oportunidade passar...

Rapaz: plantei minha seed aqui no Jardim e surgiram vários endereços. Inclusive eles estão à disposição para ~~receberem doação~~ regação de BTC... Cheesy

Já até imagino um futuro tópico possível: stand up crypto, mas com vários níveis de profundidade, pois há muita tecnicidade criptográfica nesse mundo.

Quanto ao assunto do tópico:

Imo as hardware wallets não são hot nem cold, mas hardware mesmo, uma categoria diferente exatamente no meio dessas.

De início tremi na base ao ler sobre esse ataque no Reddit, mas depois vi que foi falha humana.

Ainda não o fiz, mas pretendo deixar backups em mais de um local devido ao risco de incêndio e ter uma proteção extra com uma 25° palavra secreta da seed que também se diz senha né... Pois minha seed é de 24. E não que tenha algo contra o n°, mas proteção em nosso cofre nunca é demais Grin

Se a NSA descobrir minha seed qual será a facilidade em desvendar a última palavra (ou senha alfanumérica) secreta?

Loganota

hero member

Activity: 1778

Merit: 882

Quote from: tg88 on January 10, 2020, 03:51:09 PM

Sobre vulnerabilidade utilizando vpn vi essa noticia na livecoins essa semana, o foco dos ransomwares está nos servidores de vpn e muitos continuam vulneraveis mesmo apos a exposição da falha:

https://livecoins.com.br/voce-utiliza-vpn-cuidado-nova-ameaca-ransomware/

Vpn é bem complicado porque você tem que confiar muito que a empresa responsável é honesta e não está analisando tudo no seu tráfego, o potencial até de vendas de informações é grande

oz

member

Activity: 122

Merit: 12

Quote from: PainKiller1986 on January 10, 2020, 02:30:52 PM

Quote from: alexrossi on January 10, 2020, 05:11:34 AM

Quote from: PainKiller1986 on January 09, 2020, 09:53:29 PM

Quebrar um SSL hoje não é tão difícil (pelo menos os de menor complexidade) com o firewall layer 7.

Exclusivamente em empresas de grande porte. O usuario comun nao è afetado em nemhuma maneira, ao menos que utilize sempre um wifi publico e nem è assim tao comum a colocaçao de firewall bem caros que façam deep packet inspection.

Acho que no exterior o custo de um firewall layer 7 não deve ser tão grande a ponto de inviabilizar. Os caras levantam um serviço VPN legitimo, conseguem nome, vão roubando as informações dos clientes e num dia qualquer executam o crime e varrem geral.

Googlei um da fortnet e apareceu por menos de 1500 dolares, custo abaixo de 0,2 BTC (https://www.avfirewalls.com/FortiGate-100E.asp).

Firewall e VPN recomendo levantar em cima do Freebsd, igual BTC tenha sobre sua guarda Grin

tg88

legendary

Activity: 2492

Merit: 1429

Payment Gateway Allows Recurring Payments

Sobre vulnerabilidade utilizando vpn vi essa noticia na livecoins essa semana, o foco dos ransomwares está nos servidores de vpn e muitos continuam vulneraveis mesmo apos a exposição da falha:

https://livecoins.com.br/voce-utiliza-vpn-cuidado-nova-ameaca-ransomware/

PainKiller1986

member

Activity: 202

Merit: 11

Quote from: alexrossi on January 10, 2020, 05:11:34 AM

Quote from: PainKiller1986 on January 09, 2020, 09:53:29 PM

Quebrar um SSL hoje não é tão difícil (pelo menos os de menor complexidade) com o firewall layer 7.

Exclusivamente em empresas de grande porte. O usuario comun nao è afetado em nemhuma maneira, ao menos que utilize sempre um wifi publico e nem è assim tao comum a colocaçao de firewall bem caros que façam deep packet inspection.

Acho que no exterior o custo de um firewall layer 7 não deve ser tão grande a ponto de inviabilizar. Os caras levantam um serviço VPN legitimo, conseguem nome, vão roubando as informações dos clientes e num dia qualquer executam o crime e varrem geral.

Googlei um da fortnet e apareceu por menos de 1500 dolares, custo abaixo de 0,2 BTC (https://www.avfirewalls.com/FortiGate-100E.asp).

alexrossi

legendary

Activity: 3766

Merit: 1742

Join the world-leading crypto sportsbook NOW!

Quote from: PainKiller1986 on January 09, 2020, 09:53:29 PM

Quebrar um SSL hoje não é tão difícil (pelo menos os de menor complexidade) com o firewall layer 7.

Exclusivamente em empresas de grande porte. O usuario comun nao è afetado em nemhuma maneira, ao menos que utilize sempre um wifi publico e nem è assim tao comum a colocaçao de firewall bem caros que façam deep packet inspection.

PainKiller1986

member

Activity: 202

Merit: 11

Quote from: Lucasgabd on January 08, 2020, 01:25:11 PM

relembrando as boas práticas de segurança:

1- nunca digitar seeds em devices que estejam conectados a internet
2 - nunca instalar extensões no chrome de procedência duvidosa
3 - evitar arquivos .exe de procedência duvidosa (ao menos em devices em que você movimenta crypto)
4 - sempre usar VPN
5- fazer backup das chaves privadas preferencialmente offline.

esqueci algo?

Cara, controla tuas paradas num host linux (virtual ou não), exclusivo para controle da carteira e já está bom demais.

VPN só se for para seu provedor não saber o que você está fazendo, mas vc nunca pensou no caso de a propria vpn estar monitorando e sniffando o que tu faz? Quebrar um SSL hoje não é tão difícil (pelo menos os de menor complexidade) com o firewall layer 7.

Paredao

legendary

Activity: 3304

Merit: 1617

É por ai mesmo, por isso o nome de "semente". Sementes foram feitas para serem enterradas e depois esperar a muda crescer. Quem sabe nasce um "pé de Bitcoin" douradinho. Grin

Pessoal, tem que dar uma descontraída de vez em quando senão o povo fica maluco. Principalmente os traders que investem em shitcoins tipo a Nano. Cheesy

cryptobaboon

hero member

Activity: 1498

Merit: 557

Quote from: Lucasgabd on January 09, 2020, 11:57:19 AM

pra que todo esse trabalho gente.
muito mais simples: quebrar um pedaço da parede.
esconder o recipiente dentro de um tijolo, fechar a parede e pintar de novo.
simples.

Ah, eu já sou mais ressabiado e sigo na linha do ale, Lucas. E ainda teria o backup do backup Grin

digamos que um avião caia sobre o local, ou mesmo um incêndio de grandes proporções. Nessa caso, pecar por mais não é demais Grin

Quote from: TryNinja on January 09, 2020, 10:07:41 AM

Será que se pegar essa semente e enterrar igual o Paredao falou, nasce uma árvore de Bitcoins?

perdão pelo shitpost, não pude deixar essa oportunidade passar...

Se rolar por aí ninja, me dá umas sementes pra eu plantar aqui também Grin

Lucasgabd

legendary

Activity: 2506

Merit: 1113

There's no need to be upset

Quote from: alegotardo on January 09, 2020, 09:53:41 AM

Quote from: Paredao on January 08, 2020, 02:13:04 PM

Quote from: Lucasgabd on January 08, 2020, 01:25:11 PM

relembrando as boas práticas de segurança:

1- nunca digitar seeds em devices que estejam conectados a internet
2 - nunca instalar extensões no chrome de procedência duvidosa
3 - evitar arquivos .exe de procedência duvidosa (ao menos em devices em que você movimenta crypto)
4 - sempre usar VPN
5- fazer backup das chaves privadas preferencialmente offline.

esqueci algo?

Esqueceu que tem que colocar as paperwallets dentro de um recipiente hermeticamente fechado e depois enterra-las. De preferência num local onde a terra não seja muito úmida. E também tem que ver se não tem nenhum vizinho bisbilhotando o que você está fazendo.

Paredao, eu acho que tu viu muitos filmes do Jack Sparrow.
Hilário imaginar alguém enterrando um pedaço de papel e futuramente esquecer de onde eles foram colocados. No caso tu teria um mapa do tesouro deles? Se tiver... a ideia de enterrar os papéis já vai por ~~terra~~ água à baixo.

Já pensou na ideia de de ter apenas uma semente (disposta discretamente no meio de um texto, que só faça sentido para você), espalhada em dois ou três lugares de backup e encriptadas com uma senha da qual tenha certeza que nunca irá esquecer?

pra que todo esse trabalho gente.
muito mais simples: quebrar um pedaço da parede.
esconder o recipiente dentro de um tijolo, fechar a parede e pintar de novo.
simples.

Topic: Extensão maliciosa rouba R$ 70 mil em criptomoedas de usuário (Read 434 times)