#важно
Как то забыл упомянуть, что на аппаратники Трезора тоже была огромная скидка в черную пятницу. Но радует одно, возможность получить скидку действует до завтра, до 12 часов утра по Москве.
Тоесть входите на сайт Трезора(Trezor.io), выбираете "Get Trezor" в правом окошке оформления заказа кликаете "i have promocode" и вводите туда TRZR30. Все, скидка 30 % ваша. Тоесть, возможность взять с экономией 20 евро, что довольно неплохо.
Еще раз извиняюсь за свою не сообразительность.
Как то забыл упомянуть, что на аппаратники Трезора тоже была огромная скидка в черную пятницу. Но радует одно, возможность получить скидку действует до завтра, до 12 часов утра по Москве.
Тоесть входите на сайт Трезора(Trezor.io), выбираете "Get Trezor" в правом окошке оформления заказа кликаете "i have promocode" и вводите туда TRZR30. Все, скидка 30 % ваша. Тоесть, возможность взять с экономией 20 евро, что довольно неплохо.
Еще раз извиняюсь за свою не сообразительность.
#основы #важно
Столкнулся недавно с интересным чудаком: он предлагал за 100 биткоинов показать способ как можно вычислить ключи самого Сатоши Накамото, и забрать оттуда все его сотни/тысячи или даже десятки тысяч биткоинов. Сам он не хотел этого делать, потому что это было "незаконно". Прежде чем давиться чаем от смеха, предлагаю вам послушать его предложение как эти ключи взломать:
1. При генерации приватного ключа (читайте - числа), задействуются ресурсы вашего компьютера и встроенный ПГСЧ, который используя некоторые изначальные данные, выводит "случайное число". И как бы, если мы будем знать эти использованные данные, мы сможем высчитать этот приватный ключ. Идея гениально проста! Но истина ли она, и насколько такое вообще в принципе осуществимо на практическом уровне?
Как многим вам известно, не существует реальных истинных генераторов случайных чисел. Любой ГСЧ работает по заранее заданному алгоритму с использованием неких первоначальных данных. Такие генераторы делятся на криптостойкие, и фуфлыжные. К примеру, если функция определяет "случайное число" n как формулу n = n-1 (предыдущее сгенерированное число) + (n-1)*8 то генератор очевидно фуфлыжный. Любое ваше "случайное число" можно перегенерировать просто зная номер этой операции и начальное число. Хороший же ПГСЧ использует сильную изначальную энтропию, или чаще всего для каждой генерации использует высоко энтропийные данные.
Для понимания, чтобы вы не путались в дальнейшем. Энтропия в информатике - мера хаотичности данных. Чем выше энтропия - тем выше хаос, выше неопределенность и вариации информации. Простыми словами это можно представить так: Чтобы сгенерировать первое случайное число, ГСЧ считает количество пролетающих мимо воробьев, потом подбрасывает шести значный кубик, далее записывает номер с первой бумажки которую найдет в третьем ящике вашей полки, в конце смотрит на цвет одежди самой красивой девушки прошедшей у вас под окном и переводит его в число (да, все цвета имеют числовые представление). Все эти полученные числа он засыпает в мешочек, встряхивает его несколько раз, достает числа и записывает их как одно число. Результат использует в какой нибудь сложной функции для нахождения "случайного" числа.
Согласитесь, любое найденное таким образом число будет намного более "случайным" чем с фуфлыжного генератора. Суть в том, что изначальный сид никак не удастся установить и повторить.
Так вот, с тем чудаком вышло по похожему, как в той пословице "Было гладко на бумаге, да забыли про овраги". Да, чудак написал, что ПГСЧ использует всякие там данные на компьютере, но если их восстановить, то можно перегенерировать приватный ключ!!1
Ну да, главное вот только их восстановить :)
Windows использует криптостойкий ПГСЧ CryptGenRandom, который аудировался десятки раз. Линукс же использует два встроенных в ядро генератор - random и urandom. Оба также подтвердили свое качество. А почему они качественны? Думаю вы и сами догадались, если поняли мой пример выше. Эти генераторы используют такие данные для сида и дальнейшей генерации, которые никак восстановить не удастся:
ID процесса, величину свободной/занятой оперативной памяти, величину дискового пространства такой то ячейки, высокоточные внутренние счетчики, время загрузки операционной системы, нынешнее время компьютера, хэш любой из этих величин. И все эти данные собирает вместе! И имеют несколько вариантов выборки данных и комбинации между собой!
Поэтому к примеру в Линуксе, при использовании random компьютер может немного подвисать, так как формируется сильная энтропия.
Так что можете спать спокойно, так как используя сильные ПГСЧ, вы всегда будете уверенны в том, что ваш приватный ключ или сид никто не перегенерирует. И не верьте чудакам и психам! Их будет только больше)
Столкнулся недавно с интересным чудаком: он предлагал за 100 биткоинов показать способ как можно вычислить ключи самого Сатоши Накамото, и забрать оттуда все его сотни/тысячи или даже десятки тысяч биткоинов. Сам он не хотел этого делать, потому что это было "незаконно". Прежде чем давиться чаем от смеха, предлагаю вам послушать его предложение как эти ключи взломать:
1. При генерации приватного ключа (читайте - числа), задействуются ресурсы вашего компьютера и встроенный ПГСЧ, который используя некоторые изначальные данные, выводит "случайное число". И как бы, если мы будем знать эти использованные данные, мы сможем высчитать этот приватный ключ. Идея гениально проста! Но истина ли она, и насколько такое вообще в принципе осуществимо на практическом уровне?
Как многим вам известно, не существует реальных истинных генераторов случайных чисел. Любой ГСЧ работает по заранее заданному алгоритму с использованием неких первоначальных данных. Такие генераторы делятся на криптостойкие, и фуфлыжные. К примеру, если функция определяет "случайное число" n как формулу n = n-1 (предыдущее сгенерированное число) + (n-1)*8 то генератор очевидно фуфлыжный. Любое ваше "случайное число" можно перегенерировать просто зная номер этой операции и начальное число. Хороший же ПГСЧ использует сильную изначальную энтропию, или чаще всего для каждой генерации использует высоко энтропийные данные.
Для понимания, чтобы вы не путались в дальнейшем. Энтропия в информатике - мера хаотичности данных. Чем выше энтропия - тем выше хаос, выше неопределенность и вариации информации. Простыми словами это можно представить так: Чтобы сгенерировать первое случайное число, ГСЧ считает количество пролетающих мимо воробьев, потом подбрасывает шести значный кубик, далее записывает номер с первой бумажки которую найдет в третьем ящике вашей полки, в конце смотрит на цвет одежди самой красивой девушки прошедшей у вас под окном и переводит его в число (да, все цвета имеют числовые представление). Все эти полученные числа он засыпает в мешочек, встряхивает его несколько раз, достает числа и записывает их как одно число. Результат использует в какой нибудь сложной функции для нахождения "случайного" числа.
Согласитесь, любое найденное таким образом число будет намного более "случайным" чем с фуфлыжного генератора. Суть в том, что изначальный сид никак не удастся установить и повторить.
Так вот, с тем чудаком вышло по похожему, как в той пословице "Было гладко на бумаге, да забыли про овраги". Да, чудак написал, что ПГСЧ использует всякие там данные на компьютере, но если их восстановить, то можно перегенерировать приватный ключ!!1
Ну да, главное вот только их восстановить :)
Windows использует криптостойкий ПГСЧ CryptGenRandom, который аудировался десятки раз. Линукс же использует два встроенных в ядро генератор - random и urandom. Оба также подтвердили свое качество. А почему они качественны? Думаю вы и сами догадались, если поняли мой пример выше. Эти генераторы используют такие данные для сида и дальнейшей генерации, которые никак восстановить не удастся:
ID процесса, величину свободной/занятой оперативной памяти, величину дискового пространства такой то ячейки, высокоточные внутренние счетчики, время загрузки операционной системы, нынешнее время компьютера, хэш любой из этих величин. И все эти данные собирает вместе! И имеют несколько вариантов выборки данных и комбинации между собой!
Поэтому к примеру в Линуксе, при использовании random компьютер может немного подвисать, так как формируется сильная энтропия.
Так что можете спать спокойно, так как используя сильные ПГСЧ, вы всегда будете уверенны в том, что ваш приватный ключ или сид никто не перегенерирует. И не верьте чудакам и психам! Их будет только больше)
#защита_инвестиций #важно
Нашел ссылку, показывающую все известные (а сколько то случаев прошло мимо этой статьи) нападения на криптоинвесторов начиная с самого начала и заканчивая сегодняшним днем. Как можно заметить, грабят везде по миру, и в США, и даже в "мирной" (привет Брейвик) Норвегии! Разница правда в том, что в США биткоин трейдер может застрелить нападающего, а в Норвегии надо прыгать из окна чтобы убежать от бандита штурмующего двери. Но это уже другой разговор.
Здесь более интересен момент, о котором я постоянно говорю: если вы криптоинвестор, вы должны сохранять приватность. По крайней мере если верите в миллион за биткоин. В этом плане показательный первый случай, когда спецназ SWAT вломился в квартиру к одному из первых пользователей биткоина, и разработчика PGP - Хэлу Финни
А показательный он в связке с вот этой вот исторической вырезкой, о которой многие из вас могли не знать:
"Private individual ownership of gold coins and bars was illegal in the United States for four decades. “Hoarding” individual wealth in gold was banned from 1 May 1933 until 31 December 1974. Vast amounts of gold bullion were confiscated from people, who were forced to accept instead the Monopoly Money known as “United States Dollars”. Numerous individuals were criminally prosecuted for attempting to keep their gold—a crime according to Executive Orders 6102, 6111, 6260, and 6261, and the Gold Reserve Act passed by the U.S. Congress and signed into law by U.S. President Franklin Delano Roosevelt."
Тоесть, еще раз: в США, как бы самой свободной стране, власти в какой то момент решили, что хранить золото обычным людям негоже, и надо его доверить государству. Тех, кто отказывался - садили в тюрьму.
А теперь замените слово "золото" на слово "биткоин", или "криптовалюты" и скажите мне, что прямо вот такого не случится никогда :)
Но вот один важный момент: нельзя украсть то, о чем не знаешь. Если вы везде светите, что у вас есть битки, то за ними могут прийти. Начиная от грабителей обычных, заканчивая бандитами в погонах. Если же никто не знает что у вас и сколько его, то и забрать ничего не может ;)
Ниже картинка федерального указа США от 1933 года, обязывающего граждан сдавать золото:
Нашел ссылку, показывающую все известные (а сколько то случаев прошло мимо этой статьи) нападения на криптоинвесторов начиная с самого начала и заканчивая сегодняшним днем. Как можно заметить, грабят везде по миру, и в США, и даже в "мирной" (привет Брейвик) Норвегии! Разница правда в том, что в США биткоин трейдер может застрелить нападающего, а в Норвегии надо прыгать из окна чтобы убежать от бандита штурмующего двери. Но это уже другой разговор.
Здесь более интересен момент, о котором я постоянно говорю: если вы криптоинвестор, вы должны сохранять приватность. По крайней мере если верите в миллион за биткоин. В этом плане показательный первый случай, когда спецназ SWAT вломился в квартиру к одному из первых пользователей биткоина, и разработчика PGP - Хэлу Финни
А показательный он в связке с вот этой вот исторической вырезкой, о которой многие из вас могли не знать:
"Private individual ownership of gold coins and bars was illegal in the United States for four decades. “Hoarding” individual wealth in gold was banned from 1 May 1933 until 31 December 1974. Vast amounts of gold bullion were confiscated from people, who were forced to accept instead the Monopoly Money known as “United States Dollars”. Numerous individuals were criminally prosecuted for attempting to keep their gold—a crime according to Executive Orders 6102, 6111, 6260, and 6261, and the Gold Reserve Act passed by the U.S. Congress and signed into law by U.S. President Franklin Delano Roosevelt."
Тоесть, еще раз: в США, как бы самой свободной стране, власти в какой то момент решили, что хранить золото обычным людям негоже, и надо его доверить государству. Тех, кто отказывался - садили в тюрьму.
А теперь замените слово "золото" на слово "биткоин", или "криптовалюты" и скажите мне, что прямо вот такого не случится никогда :)
Но вот один важный момент: нельзя украсть то, о чем не знаешь. Если вы везде светите, что у вас есть битки, то за ними могут прийти. Начиная от грабителей обычных, заканчивая бандитами в погонах. Если же никто не знает что у вас и сколько его, то и забрать ничего не может ;)
Ниже картинка федерального указа США от 1933 года, обязывающего граждан сдавать золото:
GitHub
GitHub - jlopp/physical-bitcoin-attacks: A list of known attacks against Bitcoin / crypto asset owning entities that occurred in…
A list of known attacks against Bitcoin / crypto asset owning entities that occurred in meatspace. - jlopp/physical-bitcoin-attacks
Часто слышу, что вместо биткоина лучше инвестировать в золото, мол золото востребовано уже более трех тысяч лет, признанно государствами, имеет подкрепленную ценность промышленностью (на самом деле фигня) и так далее, по списку.
Ну с государствами понятно, как признают, так могут и отобрать в случае чего а недовольных бросить за решетку.
Но почему то никто не говорит, что инвестиции в золото намного более сложны и опасны в смысле практической реализации.
Например, если вы будете брать золото с рук, то очень велика вероятность пасть жертвой какого нибудь развода, например когда в золото умельцы заваривают вставки из тунгстена (выходит эдакий слиток "кукла", как с пачками долларов внутри которых бумага) или многие другие разводы.
Вывод как бы напрашивается очевидным - покупать в банке. Проблема лишь в том, что банковские слитки, если не дай бог на них окажется малейшая царапина при сдаче, сразу выкупаются на 20 % дешевле. Золотые сертификаты я не считаю надежными, так как это обычная бумага, на которую всегда можно смачно плюнуть, особенно если за вашей спиной сила.
С блокчейном все намного проще, ведь чтобы узнать "истинность" биткоина, достаточно заглянуть в публичный блокчейн. Это представьте, как если бы при покупке слитка с рук, независимая организация делала бы вам молекулярный анализ продукта. Или что-то похожее.
Ах да, конечно же не стоит забывать, что в случае чего, золото в отличии от биткоина будет крайне тяжело перевезти из одной страны в другую через границу.
К инвестированию всегда нужно подходить с умом, не существует на самом деле идеального варианта. Но как я показал, золото помимо своих плюсов имеет и довольно большое количество минусов в сравнении с тем же битком. Инвестируйте вдумчиво!
Ну с государствами понятно, как признают, так могут и отобрать в случае чего а недовольных бросить за решетку.
Но почему то никто не говорит, что инвестиции в золото намного более сложны и опасны в смысле практической реализации.
Например, если вы будете брать золото с рук, то очень велика вероятность пасть жертвой какого нибудь развода, например когда в золото умельцы заваривают вставки из тунгстена (выходит эдакий слиток "кукла", как с пачками долларов внутри которых бумага) или многие другие разводы.
Вывод как бы напрашивается очевидным - покупать в банке. Проблема лишь в том, что банковские слитки, если не дай бог на них окажется малейшая царапина при сдаче, сразу выкупаются на 20 % дешевле. Золотые сертификаты я не считаю надежными, так как это обычная бумага, на которую всегда можно смачно плюнуть, особенно если за вашей спиной сила.
С блокчейном все намного проще, ведь чтобы узнать "истинность" биткоина, достаточно заглянуть в публичный блокчейн. Это представьте, как если бы при покупке слитка с рук, независимая организация делала бы вам молекулярный анализ продукта. Или что-то похожее.
Ах да, конечно же не стоит забывать, что в случае чего, золото в отличии от биткоина будет крайне тяжело перевезти из одной страны в другую через границу.
К инвестированию всегда нужно подходить с умом, не существует на самом деле идеального варианта. Но как я показал, золото помимо своих плюсов имеет и довольно большое количество минусов в сравнении с тем же битком. Инвестируйте вдумчиво!
Telegram
Crypto Lemon
#защита_инвестиций #важно
Нашел ссылку, показывающую все известные (а сколько то случаев прошло мимо этой статьи) нападения на криптоинвесторов начиная с самого начала и заканчивая сегодняшним днем. Как можно заметить, грабят везде по миру, и в США, и даже…
Нашел ссылку, показывающую все известные (а сколько то случаев прошло мимо этой статьи) нападения на криптоинвесторов начиная с самого начала и заканчивая сегодняшним днем. Как можно заметить, грабят везде по миру, и в США, и даже…
#важно
Уже сколько дней наблюдаю за всепланетной шизой насчет коронавируса. Казалось бы, сезонная вспышка (такое уже было в 1957 и 1968 годах с гриппом) острой ОРВИ с довольно низкой смертностью (1.5 - 3 %). Да, опаснее обычного гриппа (у него смертность 0.1 %), но группы риска только очень старые и больные люди.
Я не говорю что сам вирус фейк, но вы посмотрите что творится вокруг, прямо картина Карла Брюллова "Последний день Помпеи": люди дерутся за туалетную бумагу, прячутся как крысы в норах, а хозяева людей вводят невообразимые ограничения прав и свобод, как будто у нас ремейк новой Черной Смерти наметился. В некоторых странах запрещено выходить (!!!) из дома просто так, без причины.
И самое страшное, что против идиотской политики (спойлер: карантин не даст вам иммунитет от болезни) нет никаких активных возмущений! Людям сказали "Лэээ, блэ, в стойло" и они покорно послушались! Притом система сама себя воспроизводит: людей обработали СМИ, теперь они в случае чего сами набрасываются на любого критика официальной версии, мол заразить нас всех хочет. Просто сумасшествие!
Но как всегда, ничто не ново под Луной. Такой вариант событий в свое время описал институт Рокфеллера, еще в 2012 году: http://www.nommeraadio.ee/meedia/pdf/RRS/Rockefeller%20Foundation.pdf
Вот какие варианты развития человечества приводил институт в 2012 году:
«Тотальная блокировка» («Lock Step») — мир жесткого государственного контроля и авторитарного руководства, которому противопоставлено растущий социально-политический протест;
«Умное сообщество» («Clever Together») — мир глобализации, зашифрованный под координацию успешных стратегий решения неотложных и укорененных проблем человечества;
«Цифровой беспредел» («Hack Attack») — мир ослабления государств и правительств, на фоне которых расширяются масштабы преступности и появляются опасные технологические инновации, особенно в киберсфере;
«Локализация технологий» («Smart Scramble») — раздробленный и экономически депрессивный мир — лоскутное одеяло, в котором сообщества и отдельные лица выживают локально, опираясь на ситуативные решения растущего комплекса проблем.
Как мы можем увидеть, мы идем именно по "Lock step" пути. Как теперь можно быть уверенным что завтра людям не внушат допустим что крипта это зло, а ее владельцев надо убивать, а? Внушили ведь что зубастое ОРВИ это прямо угроза вселенского масштаба, значит и здесь справятся. Или что людям не начнут под разными предлогами вводить время от времени такие "само изоляции", а?
Короче, как то не особо радостно лично мне. Дополнительный повод ратовать за анонимизацию биткоина (собирались вводить обязательный CoinJoin в битке это личинка Монеровских подписей) и развивать себя в техническом плане. Благо на "самоизоляции" времени хватит. И картинка в догонку:
Уже сколько дней наблюдаю за всепланетной шизой насчет коронавируса. Казалось бы, сезонная вспышка (такое уже было в 1957 и 1968 годах с гриппом) острой ОРВИ с довольно низкой смертностью (1.5 - 3 %). Да, опаснее обычного гриппа (у него смертность 0.1 %), но группы риска только очень старые и больные люди.
Я не говорю что сам вирус фейк, но вы посмотрите что творится вокруг, прямо картина Карла Брюллова "Последний день Помпеи": люди дерутся за туалетную бумагу, прячутся как крысы в норах, а хозяева людей вводят невообразимые ограничения прав и свобод, как будто у нас ремейк новой Черной Смерти наметился. В некоторых странах запрещено выходить (!!!) из дома просто так, без причины.
И самое страшное, что против идиотской политики (спойлер: карантин не даст вам иммунитет от болезни) нет никаких активных возмущений! Людям сказали "Лэээ, блэ, в стойло" и они покорно послушались! Притом система сама себя воспроизводит: людей обработали СМИ, теперь они в случае чего сами набрасываются на любого критика официальной версии, мол заразить нас всех хочет. Просто сумасшествие!
Но как всегда, ничто не ново под Луной. Такой вариант событий в свое время описал институт Рокфеллера, еще в 2012 году: http://www.nommeraadio.ee/meedia/pdf/RRS/Rockefeller%20Foundation.pdf
Вот какие варианты развития человечества приводил институт в 2012 году:
«Тотальная блокировка» («Lock Step») — мир жесткого государственного контроля и авторитарного руководства, которому противопоставлено растущий социально-политический протест;
«Умное сообщество» («Clever Together») — мир глобализации, зашифрованный под координацию успешных стратегий решения неотложных и укорененных проблем человечества;
«Цифровой беспредел» («Hack Attack») — мир ослабления государств и правительств, на фоне которых расширяются масштабы преступности и появляются опасные технологические инновации, особенно в киберсфере;
«Локализация технологий» («Smart Scramble») — раздробленный и экономически депрессивный мир — лоскутное одеяло, в котором сообщества и отдельные лица выживают локально, опираясь на ситуативные решения растущего комплекса проблем.
Как мы можем увидеть, мы идем именно по "Lock step" пути. Как теперь можно быть уверенным что завтра людям не внушат допустим что крипта это зло, а ее владельцев надо убивать, а? Внушили ведь что зубастое ОРВИ это прямо угроза вселенского масштаба, значит и здесь справятся. Или что людям не начнут под разными предлогами вводить время от времени такие "само изоляции", а?
Короче, как то не особо радостно лично мне. Дополнительный повод ратовать за анонимизацию биткоина (собирались вводить обязательный CoinJoin в битке это личинка Монеровских подписей) и развивать себя в техническом плане. Благо на "самоизоляции" времени хватит. И картинка в догонку:
#защита_инвестиций #важно
Возможно вы были ознакомлены с этой новостью ранее, но я бы хотел немного подробнее ее разобрать. Коротко суть статьи: все внутреннее программное обеспечение Xiaomi отслеживает любую вашу активность (вплоть до того, какие папки вы открывали) в особенности встроенные браузеры Mi Browser и Mint Browser и отправляют на удаленные серверы в Китай, Сингапур и Россию.
Чем это грозит вам, как пользователю Сяоми в случае если вы на телефон устанавливаете какие то программы для крипты (та даже обычный Google authenticator):
К примеру, вы устанавливаете на свой телефон Electrum portable версию, чтобы делать "безопасные" переводы. Сяоми очевидно не может подсмотреть (на уровне прошивки. так то китайцы могут что то впихнуть и на уровень hardware, а оно уже все сможет :D ) что происходит в Electrum (но она знает о его наличии на телефоне). Но вы, ничего не подозревающий товарищ, вводите пароль со стандартной клавиатуры телефона. И вот эту информацию прошивка вполне может отправить куда нужно (честно говоря, этот вектор атаки свойственный для всех смартфонов).
Как от этого защититься: Не использовать стандартную клавиатуру, в Google Play хватает виртуальных клавиатур.
Также стоит упомянуть об отправке практически всей информации с телефона на удаленные сервера:
Здесь все немного сложнее. В ответ на статью, Сяоми заявили что данные передаются, но для их передачи и защиты используется "самое современное шифрование". Никогда не устаю угорать с вранья китаез. Объясню: если вы когда то столкнетесь с людьми или сервисами которые будут загонять похожую телегу, смело шлите их КЕМ. Хорошие конторы указывают конкретные алгоритмы шифрования, например, известные AES или Salsa20.
Как вы можете догадаться, в случае с Сяоми ничего хорошего не оказалось. Для передачи используется такой супер алгоритм как base64. Вы стыкаетесь с его братом, base58 каждый раз когда смотрите на любой биткоин адрес или приватный ключ в формате WIF. Так вот, base64 (как и base58) это не алгоритм шифрования, а алгоритм представления информации в удобной для чтения и передаче форме. Он двусторонний, "дешифровка" происходит за пару секунд. Вот вам пример - онлайн конвертер для base64
Тоесть, любая информация отправленная вашим телефоном Сяоми, попадает не только на сервера Китая, но и вообще любому желающему, которому будет не лень посмотреть траффик вашего телефона (например, ваш провайдер).
Как от этого защититься: Ну самый простой способ, это не пользоваться Сяоми :D А если без шуток, то вы должны трезво осознавать, что все ваши данные (ваша активность, поисковые запросы, настройки телефона, какие программы установлены) могут быть перехвачены хакерами, здесь даже не злобных китайских коммунистов стоит бояться. Поможет использование программ а-ля VPN и работа только из под них (они шифруют исходящий траффик).
Я конечно понимаю что "топ за свои деньги" и "Гугл тоже следит за нами", но советую все же обратить на это внимание :) Притом, что я уже писал пост почему лучше не хранить крипту на смартфоне. Тоже советую ознакомиться.
Возможно вы были ознакомлены с этой новостью ранее, но я бы хотел немного подробнее ее разобрать. Коротко суть статьи: все внутреннее программное обеспечение Xiaomi отслеживает любую вашу активность (вплоть до того, какие папки вы открывали) в особенности встроенные браузеры Mi Browser и Mint Browser и отправляют на удаленные серверы в Китай, Сингапур и Россию.
Чем это грозит вам, как пользователю Сяоми в случае если вы на телефон устанавливаете какие то программы для крипты (та даже обычный Google authenticator):
К примеру, вы устанавливаете на свой телефон Electrum portable версию, чтобы делать "безопасные" переводы. Сяоми очевидно не может подсмотреть (на уровне прошивки. так то китайцы могут что то впихнуть и на уровень hardware, а оно уже все сможет :D ) что происходит в Electrum (но она знает о его наличии на телефоне). Но вы, ничего не подозревающий товарищ, вводите пароль со стандартной клавиатуры телефона. И вот эту информацию прошивка вполне может отправить куда нужно (честно говоря, этот вектор атаки свойственный для всех смартфонов).
Как от этого защититься: Не использовать стандартную клавиатуру, в Google Play хватает виртуальных клавиатур.
Также стоит упомянуть об отправке практически всей информации с телефона на удаленные сервера:
Здесь все немного сложнее. В ответ на статью, Сяоми заявили что данные передаются, но для их передачи и защиты используется "самое современное шифрование". Никогда не устаю угорать с вранья китаез. Объясню: если вы когда то столкнетесь с людьми или сервисами которые будут загонять похожую телегу, смело шлите их КЕМ. Хорошие конторы указывают конкретные алгоритмы шифрования, например, известные AES или Salsa20.
Как вы можете догадаться, в случае с Сяоми ничего хорошего не оказалось. Для передачи используется такой супер алгоритм как base64. Вы стыкаетесь с его братом, base58 каждый раз когда смотрите на любой биткоин адрес или приватный ключ в формате WIF. Так вот, base64 (как и base58) это не алгоритм шифрования, а алгоритм представления информации в удобной для чтения и передаче форме. Он двусторонний, "дешифровка" происходит за пару секунд. Вот вам пример - онлайн конвертер для base64
Тоесть, любая информация отправленная вашим телефоном Сяоми, попадает не только на сервера Китая, но и вообще любому желающему, которому будет не лень посмотреть траффик вашего телефона (например, ваш провайдер).
Как от этого защититься: Ну самый простой способ, это не пользоваться Сяоми :D А если без шуток, то вы должны трезво осознавать, что все ваши данные (ваша активность, поисковые запросы, настройки телефона, какие программы установлены) могут быть перехвачены хакерами, здесь даже не злобных китайских коммунистов стоит бояться. Поможет использование программ а-ля VPN и работа только из под них (они шифруют исходящий траффик).
Я конечно понимаю что "топ за свои деньги" и "Гугл тоже следит за нами", но советую все же обратить на это внимание :) Притом, что я уже писал пост почему лучше не хранить крипту на смартфоне. Тоже советую ознакомиться.
3DNews - Daily Digital Digest
Специалист по безопасности — о смартфонах Xiaomi: «Это бэкдор с функциями телефона» [Обновлено]
Издание Reuters выпустило статью-предупреждение относительно того, что китайский гигант Xiaomi записывает личные данные миллионов людей об их активностях в Сети, а также об использовании устройства.
#важно
Никогда такого не было, и вот опять!
По информации одного интересного канала, база данных Телеграмм опять утекла в сеть. Ник + uid + номер телефона.
Не буду долго обсасывать саму новость, просто коротенько распишу что можно /(было) сделать:
1. Иметь второй номер телефона, если у вас аккаунт для мутных дел. Или же временный номер, тоже бы подошел.
Ииииииии... Собственно все :D
Смешно и страшно, как говорится. Если у вас был всего один номер, то вас на изи можно деанонить, особенно если на этот номер зарегистрирован Вайбер или Ватсапп (если кто не знал, то достаточно ввести нужный номер телефона в Ватсапп и он тебе покажет профиль товарища, его фото)
Вот такие дела.
Никогда такого не было, и вот опять!
По информации одного интересного канала, база данных Телеграмм опять утекла в сеть. Ник + uid + номер телефона.
Не буду долго обсасывать саму новость, просто коротенько распишу что можно /(было) сделать:
1. Иметь второй номер телефона, если у вас аккаунт для мутных дел. Или же временный номер, тоже бы подошел.
Ииииииии... Собственно все :D
Смешно и страшно, как говорится. Если у вас был всего один номер, то вас на изи можно деанонить, особенно если на этот номер зарегистрирован Вайбер или Ватсапп (если кто не знал, то достаточно ввести нужный номер телефона в Ватсапп и он тебе покажет профиль товарища, его фото)
Вот такие дела.
Telegram
быдло.jazz
"Сенсация!!! Сенсация!!!!!!"
Как-то так наверное стоит озаглавить текст. Хотя это не сенсация, конечно. Такие утечки уже были.
В общем так, господа. Утекли данные 40 млн (!) пользователей Telegram (nickname+id+номер телефона, на который зарегистрирован…
Как-то так наверное стоит озаглавить текст. Хотя это не сенсация, конечно. Такие утечки уже были.
В общем так, господа. Утекли данные 40 млн (!) пользователей Telegram (nickname+id+номер телефона, на который зарегистрирован…
#важно #защита_инвестиций
Произошло то, чего никто не ждал (сарказм) - взломали базы данных e-commerce компании Ledger. Думаю многие в курсе что это такое, а для тех кто не в курсе коротко объясню: тот же отдел продаж, только в сети. Что собственно увели:
"Были скомпрометированы сведения о контактах и заказах. Это в основном адрес электронной почты наших клиентов, около 1000000 адресов. В дальнейшем для изучения ситуации мы также смогли установить, что у 9500 клиентов стали также доступны данные, такие как имя и фамилия, почтовый адрес, номер телефона"
При этом Леджер убеждает что конкретные данные заказов и реквизитов оплаты потеряны не были. Тоесть, тем кто угнал базу условно известно все о вас, но что именно вы покупали, они не знают (большое утешение, да)
Особенно мне понравилось, что взломали БД 25 июня, а с общественностью компания Леджер решила поделиться спустя месяц, тоесть сегодня.
Но нет худа без добра, теперь обещают не хранить таких данных в отдельной базе и для всех предложений использовать Ledger Live (который не хранит ваших персональных данных ни в каком виде)
Возможно кто-то поинтересуется что с этой ситуацией делать, ведь это вам не взлома ВК, даже не взлом VPNов о котором я писал в прошлом посте, здесь как бы в руки к хакерам попала база с людьми, которые купили средства для хранения криптовалюты. Честно вам дам ответ: я не знаю. Если у вас нет большой суммы биткоинов или вы живете как Гобсек, зажимая каждую копейку (читай не выдаете своего богатства) то скорее всего ничего не случится точно. Ну а если вы богатенький буратина, или просто все же не повезет, то здесь тоже есть свои плюсы: если вас словят и будут резать бритвой лицо с требованием отдать битки, вы хотя бы будете знать кто виновник этого всего. Мелочь, а приятно :)))
Так что расслабляемся и продолжаем получать удовольствие от роста битка 😎
P.S: Да, если вы покупали Леджер на основную почту (у многих людей она одна для всего) на которую зареганы например биржи, и при этом вы не уверены в ее секьюрности (например там пароль 123456й) , то сейчас самое время принять какие то меры :)
Произошло то, чего никто не ждал (сарказм) - взломали базы данных e-commerce компании Ledger. Думаю многие в курсе что это такое, а для тех кто не в курсе коротко объясню: тот же отдел продаж, только в сети. Что собственно увели:
"Были скомпрометированы сведения о контактах и заказах. Это в основном адрес электронной почты наших клиентов, около 1000000 адресов. В дальнейшем для изучения ситуации мы также смогли установить, что у 9500 клиентов стали также доступны данные, такие как имя и фамилия, почтовый адрес, номер телефона"
При этом Леджер убеждает что конкретные данные заказов и реквизитов оплаты потеряны не были. Тоесть, тем кто угнал базу условно известно все о вас, но что именно вы покупали, они не знают (большое утешение, да)
Особенно мне понравилось, что взломали БД 25 июня, а с общественностью компания Леджер решила поделиться спустя месяц, тоесть сегодня.
Но нет худа без добра, теперь обещают не хранить таких данных в отдельной базе и для всех предложений использовать Ledger Live (который не хранит ваших персональных данных ни в каком виде)
Возможно кто-то поинтересуется что с этой ситуацией делать, ведь это вам не взлома ВК, даже не взлом VPNов о котором я писал в прошлом посте, здесь как бы в руки к хакерам попала база с людьми, которые купили средства для хранения криптовалюты. Честно вам дам ответ: я не знаю. Если у вас нет большой суммы биткоинов или вы живете как Гобсек, зажимая каждую копейку (читай не выдаете своего богатства) то скорее всего ничего не случится точно. Ну а если вы богатенький буратина, или просто все же не повезет, то здесь тоже есть свои плюсы: если вас словят и будут резать бритвой лицо с требованием отдать битки, вы хотя бы будете знать кто виновник этого всего. Мелочь, а приятно :)))
Так что расслабляемся и продолжаем получать удовольствие от роста битка 😎
P.S: Да, если вы покупали Леджер на основную почту (у многих людей она одна для всего) на которую зареганы например биржи, и при этом вы не уверены в ее секьюрности (например там пароль 123456й) , то сейчас самое время принять какие то меры :)
Ledger
Addressing the July 2020 e-commerce and marketing data breach -- A Message From Ledger’s Leadership | Ledger
What happened On the 14th of July 2020, a researcher participating in our bounty program made us aware of a potential data breach on the Ledger website. We immediately fixed this breach after receiving the researcher’s report and underwent an internal investigation.…
#Важно #PGP
Гайд по установке PGP (с картиночками)
Недавно обратился человек насчет того, что не может пройти по пути установки PGP из вот этого моего поста
Сел, проверил, и вправду не получается. Проблем сразу несколько:
1. Сайт отстает в техническом исполнении, тоесть я в нем получал ошибку "unknown PGP public key algorithm encountered" по хрен пойми какой причине (потому что java фреймворк bouncy castle для работы с pgp очень кривой)
2. Более весомая причина, это то, что онлацн проверялки умеют работать только с подписями файлов в виде текста. А GnuPG предоставляет их в виде файлов с расширением .sig , а не .asc (clearsign сигнатура) из которых текст получить нельзя (в отличии тех же .asc файлов). Следовательно, онлайн верификаторы не подходят. Остается два варианта:
1. Проверка контрольной суммы (которая нихуя от фишинга не защищает)
2. Третье лицо, которое УЖЕ имеет pgp и проверило все за вас.
Как вы догадались, будет второй вариант, и этим третьим лицом выступаю я :)
И да, для всех кому непонятно что это и зачем: PGP это та стена, от которую разбивается любой фишинг, любые просьбы "обновить клиент электрума", любые попытки читать ваши переписки (если вы шифруете их с его помощью). Наличие и умение пользоваться PGP - это блин слово "Мама" в сфере инфобезопастности и вообще в том киберпанке в котором мы вот живем. Это то, что отличает белого человека смеющегося над жалкими потугами мамкиных хакеров, и рыдающего терпилы у которого школьники увели 1400 битков . Будьте белыми людьми, как говорится
Гайд по установке PGP (с картиночками)
Недавно обратился человек насчет того, что не может пройти по пути установки PGP из вот этого моего поста
Сел, проверил, и вправду не получается. Проблем сразу несколько:
1. Сайт отстает в техническом исполнении, тоесть я в нем получал ошибку "unknown PGP public key algorithm encountered" по хрен пойми какой причине (потому что java фреймворк bouncy castle для работы с pgp очень кривой)
2. Более весомая причина, это то, что онлацн проверялки умеют работать только с подписями файлов в виде текста. А GnuPG предоставляет их в виде файлов с расширением .sig , а не .asc (clearsign сигнатура) из которых текст получить нельзя (в отличии тех же .asc файлов). Следовательно, онлайн верификаторы не подходят. Остается два варианта:
1. Проверка контрольной суммы (которая нихуя от фишинга не защищает)
2. Третье лицо, которое УЖЕ имеет pgp и проверило все за вас.
Как вы догадались, будет второй вариант, и этим третьим лицом выступаю я :)
И да, для всех кому непонятно что это и зачем: PGP это та стена, от которую разбивается любой фишинг, любые просьбы "обновить клиент электрума", любые попытки читать ваши переписки (если вы шифруете их с его помощью). Наличие и умение пользоваться PGP - это блин слово "Мама" в сфере инфобезопастности и вообще в том киберпанке в котором мы вот живем. Это то, что отличает белого человека смеющегося над жалкими потугами мамкиных хакеров, и рыдающего терпилы у которого школьники увели 1400 битков . Будьте белыми людьми, как говорится
Telegraph
Изначальная установка PGP
Здесь будет небольшая подборка данных для безопасной установки продуктов с сайта https://gnupg.org/ для тех, кто столкнулся с необходимостью делать это в первый раз. Что нам говорит сам сайт GnuPG насчет безопасной установки? "If you already have a trusted…
#Важно
Так, интересная новость, но полагаю уже все слышали: Uniswap раздает 400 свои токенов (uni tokens) любому кто хотя бы раз торговал на их бирже. Если у вас есть адрес (а хорошо если несколько) с которого производился любой обмен на этом DEXе, то вам упали монетки общей ценой на 1000-1500 баксов. И нужно их забрать.
1. Заходите на Uniswap (такие вещи у вас должны быть в закладках браузера чтобы не попасть на фишинг)
2. Забираете 400 токенов.
Важный момент: комиссии просто конские, чтобы забрать эти токены надо оплатить комиссию в 18 баксов (на момент написания поста). Если вы хотите их сразу же продать на этой бирже (так можно), то придется заплатить еще 9-11 долларов за aprove транзакцию и потом 23-29 долларов за собственно обмен. Обратите на это внимание.
Хотя когда вам падает на голову 3.5-4 эфира просто так, то может и грех жаловаться, а? :)
P.S: все любители "институциональных" бирж типа coinbase плачьте кровавыми слезами пока мы гребем кэш лопатой :)
P.PS: да, а еще говорят что Эфир убийца деда. С такими комиссиями, а также с веселым фактом что при отклонении транзакции ты все равно оплачиваешь некоторый лимит газа (платишь ни за что считай) это слушать довольно смешно.
Так, интересная новость, но полагаю уже все слышали: Uniswap раздает 400 свои токенов (uni tokens) любому кто хотя бы раз торговал на их бирже. Если у вас есть адрес (а хорошо если несколько) с которого производился любой обмен на этом DEXе, то вам упали монетки общей ценой на 1000-1500 баксов. И нужно их забрать.
1. Заходите на Uniswap (такие вещи у вас должны быть в закладках браузера чтобы не попасть на фишинг)
2. Забираете 400 токенов.
Важный момент: комиссии просто конские, чтобы забрать эти токены надо оплатить комиссию в 18 баксов (на момент написания поста). Если вы хотите их сразу же продать на этой бирже (так можно), то придется заплатить еще 9-11 долларов за aprove транзакцию и потом 23-29 долларов за собственно обмен. Обратите на это внимание.
Хотя когда вам падает на голову 3.5-4 эфира просто так, то может и грех жаловаться, а? :)
P.S: все любители "институциональных" бирж типа coinbase плачьте кровавыми слезами пока мы гребем кэш лопатой :)
P.PS: да, а еще говорят что Эфир убийца деда. С такими комиссиями, а также с веселым фактом что при отклонении транзакции ты все равно оплачиваешь некоторый лимит газа (платишь ни за что считай) это слушать довольно смешно.