Недавно вот наткнулся на интересное устройство, Opendime.
Что оно из себя представляет?
А представляет оно из себя задел в лучших традициях киберпанка, так как это одноразовое аппаратное хранилище биткоина.
К примеру, вам нужно купить что-то за биткоин в личной встрече (например машину). Согласитесь, переводить с кошелька на кошелек, ждать как минимум 10 минут (1 подтверждение сети), платить комиссию - так себе идея. Может передать флеш карту с биткоин кошельком, или аппаратник Трезор с необходимой суммой? Уже теплее (я знаю много таких случаев) но это тоже займет время, ведь очевидно что нужно проверить есть ли там какой то баланс, продавец захочет перевести средства на свой кошелек сразу (скорее всего при вас) чтобы быть уверенным что вы не украдете средства (потенциально у вас может быть копия приватника или сида). Как то тоже не очень.
А что насчет того, если мы улучшим второй вариант, откинув необходимость продавцу сразу же опустошать кошелек? Вы передаете маленькую флешку, продавец подключает ее хоть к телефону (с обычным Trezor One или Леджер Nano S так нельзя) в три клика проверяет баланс а далее вы расходитесь как в море корабли? Как по мне, звучит отлично, прямо как в Гибсоновском "Нейроманте". Не хватает только глазных имплантов каждому из вас :)
Вот собственно Opendime и позволяет это сделать по следующей схеме:
1. При первоначальном подключении Opendime собирает энтропию (256 бит) и генерирует связку приватный-публичный ключ, чтобы вы могли отправить на него необходимую сумму (через QR код или же собственно адрес на экране). При этом, доступа к тому что внутри у вас нет.
2. Продавец может проверить баланс не открытого Opendime просто подключив его через USB к своему телефону/компьютеру.
3. Как только продавец захочет потратить биткоины, он иголочкой пробьет в устройстве защитный предохранитель и при следующем подключении через USB получит уже приватный ключ. Тоесть, после деактивации предохранителя содержимое Opendime меняется безвозвратно (второй раз использовать не получится). И выводит сумму уже себе на кошелек.
Просто и удобно. При этом, проверить целостность устройства очень просто (предохранитель не должен быть пробит). В старых версиях кстати надо было ломать среднюю клемму, но от этого отказались.
Чтобы быть уверенным что вам дают оригинальный Opendime, при подключении к не активированному устройству вы можете найти на нем ссылку на index.html, где будет подписанное разработчиками сообщение (да да, в киберпанковом мире без PGP никак) что и подтвердит истинность устройства.
По сути, сама концепция может рассматриваться как offchain транзакция, так как факт сделки был, передача из одних рук в другие прозошла, но записи в блокчейне нет (пока продавец не переведет на свой кошелек)
И следуя алгоритму работы, ни разработчики, ни покупатели не знают приватный ключ, так как он генерируется из энтропии предоставленной покупателем (первым владельцем Opendime) и если не был снят предохранитель, то ключ хранится в устройстве без возможности его считать.
Радует что биткоин развивается не только как спекулятивный инструмент но и средство расчета. Ну а использовать такой способ расчета решать уже вам (можно не платить налоги, шутка)
Как по мне, довольно удобно и футуристично :)
Ссылка на FAQ
Что оно из себя представляет?
А представляет оно из себя задел в лучших традициях киберпанка, так как это одноразовое аппаратное хранилище биткоина.
К примеру, вам нужно купить что-то за биткоин в личной встрече (например машину). Согласитесь, переводить с кошелька на кошелек, ждать как минимум 10 минут (1 подтверждение сети), платить комиссию - так себе идея. Может передать флеш карту с биткоин кошельком, или аппаратник Трезор с необходимой суммой? Уже теплее (я знаю много таких случаев) но это тоже займет время, ведь очевидно что нужно проверить есть ли там какой то баланс, продавец захочет перевести средства на свой кошелек сразу (скорее всего при вас) чтобы быть уверенным что вы не украдете средства (потенциально у вас может быть копия приватника или сида). Как то тоже не очень.
А что насчет того, если мы улучшим второй вариант, откинув необходимость продавцу сразу же опустошать кошелек? Вы передаете маленькую флешку, продавец подключает ее хоть к телефону (с обычным Trezor One или Леджер Nano S так нельзя) в три клика проверяет баланс а далее вы расходитесь как в море корабли? Как по мне, звучит отлично, прямо как в Гибсоновском "Нейроманте". Не хватает только глазных имплантов каждому из вас :)
Вот собственно Opendime и позволяет это сделать по следующей схеме:
1. При первоначальном подключении Opendime собирает энтропию (256 бит) и генерирует связку приватный-публичный ключ, чтобы вы могли отправить на него необходимую сумму (через QR код или же собственно адрес на экране). При этом, доступа к тому что внутри у вас нет.
2. Продавец может проверить баланс не открытого Opendime просто подключив его через USB к своему телефону/компьютеру.
3. Как только продавец захочет потратить биткоины, он иголочкой пробьет в устройстве защитный предохранитель и при следующем подключении через USB получит уже приватный ключ. Тоесть, после деактивации предохранителя содержимое Opendime меняется безвозвратно (второй раз использовать не получится). И выводит сумму уже себе на кошелек.
Просто и удобно. При этом, проверить целостность устройства очень просто (предохранитель не должен быть пробит). В старых версиях кстати надо было ломать среднюю клемму, но от этого отказались.
Чтобы быть уверенным что вам дают оригинальный Opendime, при подключении к не активированному устройству вы можете найти на нем ссылку на index.html, где будет подписанное разработчиками сообщение (да да, в киберпанковом мире без PGP никак) что и подтвердит истинность устройства.
По сути, сама концепция может рассматриваться как offchain транзакция, так как факт сделки был, передача из одних рук в другие прозошла, но записи в блокчейне нет (пока продавец не переведет на свой кошелек)
И следуя алгоритму работы, ни разработчики, ни покупатели не знают приватный ключ, так как он генерируется из энтропии предоставленной покупателем (первым владельцем Opendime) и если не был снят предохранитель, то ключ хранится в устройстве без возможности его считать.
Радует что биткоин развивается не только как спекулятивный инструмент но и средство расчета. Ну а использовать такой способ расчета решать уже вам (можно не платить налоги, шутка)
Как по мне, довольно удобно и футуристично :)
Ссылка на FAQ
OPENDIME™ – World's First Bitcoin Credit Stick Wallet
The Bitcoin Credit Stick
#защита_инвестиций
В китайских роутерах (конкретно в Jetstream(Ematic) и Wavlink) обнаружили встроенные бэкдоры, с помощью которых можно получать доступ к устройству удаленно. Ну и собственно делать на нем все что хочешь. Китайцы конкретно использовали это для создания огромных сетей из роутеров-"зомби" (ботнеты) и последующих атак на сайты типа Reddit.
Но поверьте мне, недалек тот день (особенно учитывая какой активный рост битка) когда китайцы решат что использовать бэкдоры для того чтобы ложить сайты с Винни Пухом не так актуально как воровать крипту у наивных пользователей.
Какой будет примерный вектор атаки (если за основу брать бэкдор описаный в статье):
1. С помощью бэкдора (удаленный доступ в обход админа и последующее получения пароля) роутер берется под контроль.
2. Роутер фильтрует траффик, и если проходят какие то подключения к криптосайтам (например к нодам Електрума) то происходит следующий пункт
3. Роутер предоставляет "обнову" которая выскакивает у незадачливого пользователя на экране, предлагая обновить прошивку. Если брать за основу недавние взломы кошелька Электрум, когда люди с удовольствием "обновлялись", буду иметь смелость утверждать что и в случае с роутером "обновится" 3 из 4-х пользователей.
5. Обнова являет собой по сути малварь, которую сам, своими руками ставит пользователь, и она может делать уже что угодно. Конкретно что, не особо важно. Китайцы своего добились, коммунизм восторжествовал.
Какой способ защиты от этого вот всего? Ну для начала, не покупать китайское говно. Да да, я знаю что и Айфоны сейчас делаются в Китае. Но есть разница между иностранным заводом на территории КНР, которому софт предоставляют те же европейцы/американцы и собственно поделками сицзинпиней.
Второй важный момент (и практически невозможный, здесь в основном помогает только удача и случай на вашей стороне) это обращать внимание и читать все то, что выскакивает, предлагает обновиться и тд. Вирус сам не поставится в любом случае. Но у него всегда есть верный мясной помощник, который подстрахует и кликнет когда надо на нужную кнопку!
Тема так то серъезная, потому что в дальнейшем, учитывая рост цены биткоина и развитие концепции "интернета вещей", попытаться своровать ваши битки может даже какой то чайник или фен.
Напомню пару полезных постов по теме роутеров:
Азы защиты роутера
Почему не стоит покупать БУ роутер с рук
В китайских роутерах (конкретно в Jetstream(Ematic) и Wavlink) обнаружили встроенные бэкдоры, с помощью которых можно получать доступ к устройству удаленно. Ну и собственно делать на нем все что хочешь. Китайцы конкретно использовали это для создания огромных сетей из роутеров-"зомби" (ботнеты) и последующих атак на сайты типа Reddit.
Но поверьте мне, недалек тот день (особенно учитывая какой активный рост битка) когда китайцы решат что использовать бэкдоры для того чтобы ложить сайты с Винни Пухом не так актуально как воровать крипту у наивных пользователей.
Какой будет примерный вектор атаки (если за основу брать бэкдор описаный в статье):
1. С помощью бэкдора (удаленный доступ в обход админа и последующее получения пароля) роутер берется под контроль.
2. Роутер фильтрует траффик, и если проходят какие то подключения к криптосайтам (например к нодам Електрума) то происходит следующий пункт
3. Роутер предоставляет "обнову" которая выскакивает у незадачливого пользователя на экране, предлагая обновить прошивку. Если брать за основу недавние взломы кошелька Электрум, когда люди с удовольствием "обновлялись", буду иметь смелость утверждать что и в случае с роутером "обновится" 3 из 4-х пользователей.
5. Обнова являет собой по сути малварь, которую сам, своими руками ставит пользователь, и она может делать уже что угодно. Конкретно что, не особо важно. Китайцы своего добились, коммунизм восторжествовал.
Какой способ защиты от этого вот всего? Ну для начала, не покупать китайское говно. Да да, я знаю что и Айфоны сейчас делаются в Китае. Но есть разница между иностранным заводом на территории КНР, которому софт предоставляют те же европейцы/американцы и собственно поделками сицзинпиней.
Второй важный момент (и практически невозможный, здесь в основном помогает только удача и случай на вашей стороне) это обращать внимание и читать все то, что выскакивает, предлагает обновиться и тд. Вирус сам не поставится в любом случае. Но у него всегда есть верный мясной помощник, который подстрахует и кликнет когда надо на нужную кнопку!
Тема так то серъезная, потому что в дальнейшем, учитывая рост цены биткоина и развитие концепции "интернета вещей", попытаться своровать ваши битки может даже какой то чайник или фен.
Напомню пару полезных постов по теме роутеров:
Азы защиты роутера
Почему не стоит покупать БУ роутер с рук
Cybernews
Walmart-exclusive router and others sold on Amazon & eBay contain hidden backdoors to control devices
Walmart-exclusive Jetstream routers and Wavlink routers contain hidden backdoors. The routers are actively being exploited by Mirai malware
Немного юмора.
Все мы представляем хакеров и злоумышленников как хитрых гениев, по типу Мориарти, которые через наши слабости (часто вполне реальные, по типу лени) отнимают наши деньги, биткоины и личную информацию. Но как показывает жизнь, далеко не всегда оно так.
Вот например история о лоховоде из Нигерии (он блин попал в нигерийский Форбс как стартапер. Найс стартапс бро, эс зей сэд) который занимался разводом американских айти контор на бабки. Взламывал почты (привет gmail), потом создавал фишинговые аккаунты всяких подрядчиков через которые у всяких неибать-каких-продвинутых СЕО и технологических компаний выдуривал огромные суммы бабла. С одной конторы он снял 16 лямов. Тоесть, он написал мол отправьте нам деньги на расходы и закупки по расчестной документации (фальшивой ясное дело) с фишингового акка, и получил 16 лямов. Нехило так. Самое главное, что ни СЕО, ни его банк не удивились тому факту что 16 мультов уезжают в Африку. Ну а что, айфоны же клепают из сырья которое добывают африканские дети в шахтах (не шутка, гуглите). Может наш подрядчик на 26 миллионов тоже хотел рабов накупить, а?
Но юмор не в тупости пендосов, ведь мы все знаем что это аксиома (шутка), а в том, что негр оказался так то сам не особо умен :D
Он к аккаунту с которого разводил народ, резервной почтой подвязал свою основную к которой были подвязаны все контакты, включая Инстаграмм
Ну а че, забудет пароль, надо же как то восстановить, правда?)
Ну и тут понятно, ФБР обратилось к Гуглу, Гугл выдал всю инфу, негра взяли за жопу. Теперь самое время думать над новым рэп альбомом, так как мы знаем что американская тюрьма лучшее место вдохновения для таких вещей!
А если серьезно (вру, здесь серъезным быть нельзя), то я всегда представлял мошенничество как поединок умов, кто окажется умнее и хитрее. На деле же, идет поединок в том, кто окажется менее тупым. Меня вот особенно в статье жта фраза развеселила:
"BEC involves a high degree of sophistication and collaboration between masterminds and co-conspirators"
Ох уж эти мастермайнды нигерийские)
Еще вот история (как ни странно, здесь тоже главный герой - негр!): Кто то сжег машину свидетелю в деле о рэппере R.Kelly. Если коротко, то это оказался друг рэппера, который сначала искал адрес свидетеля со своего IP даже не удосужившись поставить себе VPN, а потом, пошел с телефоном на который и был записан этот IP (если попонятному, он искал с мобильного интернета адрес) собственно на преступление. Ну а че, мазафака, блэк мамми будет звонить своему хоуми, а он не отвечает, так как телефон дома оставил. Мама будет волноваться, а это плохо. Поэтому возьму ка я телефон с собой, если что отвечу, потом еще сразу можно будет ближайший KFC загуглить и отметить успешное дельце. Других причин почему мастермайнд не оставил телефон дома (несмотря на то, что из каждого утюга орут о том, что перемещения пробиваются по номеру) я не придумал.
Ну я думаю вы уже ясное дело догадались что сделали копы. Пробили биллинг телефона и установили что владелец этого IP был в той же локации что и машина в момент совершения поджога. Теперь хоуми будет вместо курочки кфс кушать баланду пару лет (а в худшем случае сам будет "заместо Авроры кукарекать").
Вот так вот, в реальном мире, а не в этих ваших Шерлоках Холмсах. Побеждает тот, кто менее тупой
Все мы представляем хакеров и злоумышленников как хитрых гениев, по типу Мориарти, которые через наши слабости (часто вполне реальные, по типу лени) отнимают наши деньги, биткоины и личную информацию. Но как показывает жизнь, далеко не всегда оно так.
Вот например история о лоховоде из Нигерии (он блин попал в нигерийский Форбс как стартапер. Найс стартапс бро, эс зей сэд) который занимался разводом американских айти контор на бабки. Взламывал почты (привет gmail), потом создавал фишинговые аккаунты всяких подрядчиков через которые у всяких неибать-каких-продвинутых СЕО и технологических компаний выдуривал огромные суммы бабла. С одной конторы он снял 16 лямов. Тоесть, он написал мол отправьте нам деньги на расходы и закупки по расчестной документации (фальшивой ясное дело) с фишингового акка, и получил 16 лямов. Нехило так. Самое главное, что ни СЕО, ни его банк не удивились тому факту что 16 мультов уезжают в Африку. Ну а что, айфоны же клепают из сырья которое добывают африканские дети в шахтах (не шутка, гуглите). Может наш подрядчик на 26 миллионов тоже хотел рабов накупить, а?
Но юмор не в тупости пендосов, ведь мы все знаем что это аксиома (шутка), а в том, что негр оказался так то сам не особо умен :D
Он к аккаунту с которого разводил народ, резервной почтой подвязал свою основную к которой были подвязаны все контакты, включая Инстаграмм
Ну а че, забудет пароль, надо же как то восстановить, правда?)
Ну и тут понятно, ФБР обратилось к Гуглу, Гугл выдал всю инфу, негра взяли за жопу. Теперь самое время думать над новым рэп альбомом, так как мы знаем что американская тюрьма лучшее место вдохновения для таких вещей!
А если серьезно (вру, здесь серъезным быть нельзя), то я всегда представлял мошенничество как поединок умов, кто окажется умнее и хитрее. На деле же, идет поединок в том, кто окажется менее тупым. Меня вот особенно в статье жта фраза развеселила:
"BEC involves a high degree of sophistication and collaboration between masterminds and co-conspirators"
Ох уж эти мастермайнды нигерийские)
Еще вот история (как ни странно, здесь тоже главный герой - негр!): Кто то сжег машину свидетелю в деле о рэппере R.Kelly. Если коротко, то это оказался друг рэппера, который сначала искал адрес свидетеля со своего IP даже не удосужившись поставить себе VPN, а потом, пошел с телефоном на который и был записан этот IP (если попонятному, он искал с мобильного интернета адрес) собственно на преступление. Ну а че, мазафака, блэк мамми будет звонить своему хоуми, а он не отвечает, так как телефон дома оставил. Мама будет волноваться, а это плохо. Поэтому возьму ка я телефон с собой, если что отвечу, потом еще сразу можно будет ближайший KFC загуглить и отметить успешное дельце. Других причин почему мастермайнд не оставил телефон дома (несмотря на то, что из каждого утюга орут о том, что перемещения пробиваются по номеру) я не придумал.
Ну я думаю вы уже ясное дело догадались что сделали копы. Пробили биллинг телефона и установили что владелец этого IP был в той же локации что и машина в момент совершения поджога. Теперь хоуми будет вместо курочки кфс кушать баланду пару лет (а в худшем случае сам будет "заместо Авроры кукарекать").
Вот так вот, в реальном мире, а не в этих ваших Шерлоках Холмсах. Побеждает тот, кто менее тупой
Rest of World
Gone phishing
Obinwanne Okeke was supposed to be a rags-to-riches Nigerian success story. Then the feds followed the money.
#Важно
Ребята, побили мы АТН декабря 2017 (который был 19676)!
На биржах: Кракен, Битстамп (лично следил), Gemini , Bitfinex, Binance, Huobi.
Тоесть по сути везде*
С чем я вас всех и поздравляю. И да, вот вам известный "экономист" Нуриэль Рубини, который на каждом откате битка (как и многие другие ЭкспЭртЫ) визжит о пирамиде и пузыре (верещал и на откате на 16500, наивный). Такие вот дела, не верьте говноедам и прочим нехорошим людям :)
Еще раз поздравляю всех нас ! 😄
P.S: по BitMEX меня поправили. Там было 19800, а АТН по нему 20093. Тоесть по Битмексу еще не побили
Ребята, побили мы АТН декабря 2017 (который был 19676)!
На биржах: Кракен, Битстамп (лично следил), Gemini , Bitfinex, Binance, Huobi.
Тоесть по сути везде*
С чем я вас всех и поздравляю. И да, вот вам известный "экономист" Нуриэль Рубини, который на каждом откате битка (как и многие другие ЭкспЭртЫ) визжит о пирамиде и пузыре (верещал и на откате на 16500, наивный). Такие вот дела, не верьте говноедам и прочим нехорошим людям :)
Еще раз поздравляю всех нас ! 😄
P.S: по BitMEX меня поправили. Там было 19800, а АТН по нему 20093. Тоесть по Битмексу еще не побили
Telegram
Капитал
Эго - один из главных врагов успеха на рынке
Отличный пример- неоднократно мною упомянутый проф. Нуриэль Рубини, один из наиболее упертых хейтеров биткойна и прочей крипты. Недавно я писал о том, что как только биткойн начал рост к историческому максимуму…
Отличный пример- неоднократно мною упомянутый проф. Нуриэль Рубини, один из наиболее упертых хейтеров биткойна и прочей крипты. Недавно я писал о том, что как только биткойн начал рост к историческому максимуму…
Crypto Lemon pinned «#Важно Ребята, побили мы АТН декабря 2017 (который был 19676)! На биржах: Кракен, Битстамп (лично следил), Gemini , Bitfinex, Binance, Huobi. Тоесть по сути везде* С чем я вас всех и поздравляю. И да, вот вам известный "экономист" Нуриэль Рубини, который…»
Не соглашусь с этим постом сразу по нескольким пунктам:
1. Если свап сервис блочит ваши транзакции, это не значит что он "не автоматический". Роботы к счастью или несчастью научились создавать черные списки адресов. Благо адрес Гидры довольно известен.
2. Я не помню в идеологии Монеро пункта о покрывательстве разношерстных преступников. Там об анонимности и приватности если что. Почему то у многих людей это обязательно ассоциируется с торговлей наркотой и распространением ЦП.
3. Сервис может отходить от любой идеологии, особенно когда ему пытаются впарить абсолютно грязные битки которые никуда не денешь (а еще могут крайним сделать, и товарищ майор накажет) и получить Монеро. Если по-народному: наебать
Надо понимать одну архиважную вещь в этом мире: НИКТО ЗА ВАС ЖОПУ ПОДСТАВЛЯТЬ НЕ БУДЕТ!
Никто не будет рисковать финансами и свободой чтобы удовлетворить условных торчков с Гидры, педофилов дрочащих на ЦП, торговцев оружием, сутенеров и прочий скам.
Особенно, если сами торчки настолько тупые, что не могут напрямую не выводить с биржи сразу на миксер.
Если что, как делать по уму, даже я вот писал в посте о миксерах. И везде пишут (везде блять) что перед заброской в миксер надо сначала прокинуть через парочку обычных адресов.
Но нет, мы с Гидры напрямую отправим в миксер, а потом будем ныть, что миксер бабки вернуть не может, так как отправить их может только на адрес Гидры (у нее система как у централизованной биткоин биржи, один адрес на весь сервис)
Совсем мозги себе продолбили, наркоты.
Если вы занимаетесь такими вещами, то хотя бы делайте это правильно! (Обращение еврейской девочки нацистам из одного произведения)
Если не умеете/хотите думать, то пожалуйста, добывайте крек как в старые добрые: раздвинув булки в коленно-локтевой перед диллером.
Ну и да, хорошо попадает под тематику моего недавнего поста о тупых преступниках.
А тупые - должны страдать. Аминь!
1. Если свап сервис блочит ваши транзакции, это не значит что он "не автоматический". Роботы к счастью или несчастью научились создавать черные списки адресов. Благо адрес Гидры довольно известен.
2. Я не помню в идеологии Монеро пункта о покрывательстве разношерстных преступников. Там об анонимности и приватности если что. Почему то у многих людей это обязательно ассоциируется с торговлей наркотой и распространением ЦП.
3. Сервис может отходить от любой идеологии, особенно когда ему пытаются впарить абсолютно грязные битки которые никуда не денешь (а еще могут крайним сделать, и товарищ майор накажет) и получить Монеро. Если по-народному: наебать
Надо понимать одну архиважную вещь в этом мире: НИКТО ЗА ВАС ЖОПУ ПОДСТАВЛЯТЬ НЕ БУДЕТ!
Никто не будет рисковать финансами и свободой чтобы удовлетворить условных торчков с Гидры, педофилов дрочащих на ЦП, торговцев оружием, сутенеров и прочий скам.
Особенно, если сами торчки настолько тупые, что не могут напрямую не выводить с биржи сразу на миксер.
Если что, как делать по уму, даже я вот писал в посте о миксерах. И везде пишут (везде блять) что перед заброской в миксер надо сначала прокинуть через парочку обычных адресов.
Но нет, мы с Гидры напрямую отправим в миксер, а потом будем ныть, что миксер бабки вернуть не может, так как отправить их может только на адрес Гидры (у нее система как у централизованной биткоин биржи, один адрес на весь сервис)
Совсем мозги себе продолбили, наркоты.
Если вы занимаетесь такими вещами, то хотя бы делайте это правильно! (Обращение еврейской девочки нацистам из одного произведения)
Если не умеете/хотите думать, то пожалуйста, добывайте крек как в старые добрые: раздвинув булки в коленно-локтевой перед диллером.
Ну и да, хорошо попадает под тематику моего недавнего поста о тупых преступниках.
А тупые - должны страдать. Аминь!
Telegram
Goldfoundinshit ТМ
К сожалению, есть свапы которые совсем не свапы и один из них Morphtoken свап на монеро. Да биткоины с гидры, да мы осуждаем эту деятельность, но если они остановили биткоин с гидры значит они не автоматический свап и есть контроль. Кстати это в корне противоречит…
#защита_инвестиций
Меня попросили дать пару советов по секьюрности. Так как кому то из вас может пригодиться, выложу сюда.
- "Есть ли какой-то гайд по правильной настройке винды? Да, я читал статью, что лучше линукс, но от удобства винды отказаться не могу(("
Сразу скажу что я не большой спец Винды, и конкретных гайдов не дам, так как у меня немного другой подход.
Дело в том, что учитывая дырявость и проприетарность Винды, настраивать что то самому не имеет особого смысла, так как там уже все настроили за вас и вам остается только установить и пользоваться (в этом суть любой проприетарщины). Тоесть стойкость системы зависит от своевременных обнов разработчиков и всяких там антивирусов (которые работают очень плохенько против реальной малвари, зато наотлично удаляют всякие кейгены для игр) а не от вас.
Поэтому в обращении с Виндой лично я ограничиваюсь не конкретной настройкой системы (на нижний, тоесть исполняемый уровень вы повлиять не в состоянии) а некими правилами хорошего поведения:
1. Старайтесь не сидеть с Админа. Всякая малварь очень просто устанавливается в фоновом режиме если вы сидите с админской учетной записи. Создайте себе пользователя который будет иметь ограниченные права. Да, вам придется запариться, так как чтобы что то установить, придется свапать с админ профиля на обычный и назад, но зато вы менее вероятно что получите сниффер или прочую малварь.
2. Если уже сидите с Админа, поиграйтесь с пермишенами чтобы у вас перед установкой чего то всегда спрашивало разрешение.
3. Запускайте все мутные приложения только с помощью песочницы, у меня уже был пост о ней на канале. Вы вполне можете настроить например запуск браузера только через песочницу, что обезопасит вашу систему невероятно.
4. Не суйте что попало себе в комп (вообще, совет не засовывать себе все куда то очень хорош сам по себе) так как это самый вероятный способ схватить довольно мощную малварь, так как Винда при подключении флешки сразу выполнит автозапуск если найдет файл autorun.inf . В гугле полно гайдов как это обойти, например этот.
К чему может привести неосмотрительность в этом вопросе? Например к утечке всей финансовой документации а также личной информации сотрудников. Вы же не хотите повторить их судьбу, правда?
Вот в принципе и все что в ваших силах. А вообще, конечно же, для работы с криптой стоит пользоваться Линукс 😎
Меня попросили дать пару советов по секьюрности. Так как кому то из вас может пригодиться, выложу сюда.
- "Есть ли какой-то гайд по правильной настройке винды? Да, я читал статью, что лучше линукс, но от удобства винды отказаться не могу(("
Сразу скажу что я не большой спец Винды, и конкретных гайдов не дам, так как у меня немного другой подход.
Дело в том, что учитывая дырявость и проприетарность Винды, настраивать что то самому не имеет особого смысла, так как там уже все настроили за вас и вам остается только установить и пользоваться (в этом суть любой проприетарщины). Тоесть стойкость системы зависит от своевременных обнов разработчиков и всяких там антивирусов (которые работают очень плохенько против реальной малвари, зато наотлично удаляют всякие кейгены для игр) а не от вас.
Поэтому в обращении с Виндой лично я ограничиваюсь не конкретной настройкой системы (на нижний, тоесть исполняемый уровень вы повлиять не в состоянии) а некими правилами хорошего поведения:
1. Старайтесь не сидеть с Админа. Всякая малварь очень просто устанавливается в фоновом режиме если вы сидите с админской учетной записи. Создайте себе пользователя который будет иметь ограниченные права. Да, вам придется запариться, так как чтобы что то установить, придется свапать с админ профиля на обычный и назад, но зато вы менее вероятно что получите сниффер или прочую малварь.
2. Если уже сидите с Админа, поиграйтесь с пермишенами чтобы у вас перед установкой чего то всегда спрашивало разрешение.
3. Запускайте все мутные приложения только с помощью песочницы, у меня уже был пост о ней на канале. Вы вполне можете настроить например запуск браузера только через песочницу, что обезопасит вашу систему невероятно.
4. Не суйте что попало себе в комп (вообще, совет не засовывать себе все куда то очень хорош сам по себе) так как это самый вероятный способ схватить довольно мощную малварь, так как Винда при подключении флешки сразу выполнит автозапуск если найдет файл autorun.inf . В гугле полно гайдов как это обойти, например этот.
К чему может привести неосмотрительность в этом вопросе? Например к утечке всей финансовой документации а также личной информации сотрудников. Вы же не хотите повторить их судьбу, правда?
Вот в принципе и все что в ваших силах. А вообще, конечно же, для работы с криптой стоит пользоваться Линукс 😎
Telegram
Crypto Lemon
#защитаинвестиций
Только сейчас решил написать о такой полезной вещи для файловой системы криптоэнтузиаста как песочница (sandbox)
Думаю многие уже знакомы с этим названием, но как и с VPN, все слышали но мало кто пользуется.
Если у вас нет второго оффлайнового…
Только сейчас решил написать о такой полезной вещи для файловой системы криптоэнтузиаста как песочница (sandbox)
Думаю многие уже знакомы с этим названием, но как и с VPN, все слышали но мало кто пользуется.
Если у вас нет второго оффлайнового…
Так ребятки, помните мой пост об аирдропе UNI который стал притчей во языце по своей щедрости? Сейчас у вас есть возможность частично повторить ту жирноту. Происходит Mirror Protocol Airdrop . У кого на 23.11.2020 на кошельке было хотя бы 100 UNI токенов могут перейти сюда и заклаймить токены MIR .
Довольно жирный дроп, 0.6 Эфира по нынешней цене (на момент вашего прочтения цена может быть уже не актуальна)
Всегда ваш, Лемон
Довольно жирный дроп, 0.6 Эфира по нынешней цене (на момент вашего прочтения цена может быть уже не актуальна)
Всегда ваш, Лемон
Telegram
Crypto Lemon
#Важно
Так, интересная новость, но полагаю уже все слышали: Uniswap раздает 400 свои токенов (uni tokens) любому кто хотя бы раз торговал на их бирже. Если у вас есть адрес (а хорошо если несколько) с которого производился любой обмен на этом DEXе, то вам…
Так, интересная новость, но полагаю уже все слышали: Uniswap раздает 400 свои токенов (uni tokens) любому кто хотя бы раз торговал на их бирже. Если у вас есть адрес (а хорошо если несколько) с которого производился любой обмен на этом DEXе, то вам…
#защита_инвестиций
Часто слышу идею мол "лень иметь большие адреса в биткоине, давайте введем фичу чтобы можно было отправлять деньги на более короткие словосочетания, например как в логины в Телеграмм"
Результат можно увидеть в этом посте . Как можно понять из поста, были украдены деньги с Coinbase кошелька. Как именно: Компьютер по всей видимости был заражен так называемым clipping malware, у меня был пост о нем (и даже не один!). Каждый такой вирус имеет небольшую БД с огромного количества адресов, и когда вы копируете нужный вам адрес в буфер обмена, подменяет его похожим. Похожими в основном являются первые 4-5 символов (на которые в основном только и смотрят люди). А так как Coinbase не отображает полный адрес, а только его начальную часть, то это просто бинго для хакеров! По сути вероятность успеха многократно растет (я уже советовал не пользоваться Coinbase кошельком, они помимо идиотской реализации отправки еще любят рассылать письма счастья своим клиентам)
По итогу, имплементация идеи "коротких" адресов, более похожих на ники, стала бы лучшим новогодним подарком для разработчиков clipping малвари. Так что в мусорку такие "упрощения"!
Часто слышу идею мол "лень иметь большие адреса в биткоине, давайте введем фичу чтобы можно было отправлять деньги на более короткие словосочетания, например как в логины в Телеграмм"
Результат можно увидеть в этом посте . Как можно понять из поста, были украдены деньги с Coinbase кошелька. Как именно: Компьютер по всей видимости был заражен так называемым clipping malware, у меня был пост о нем (и даже не один!). Каждый такой вирус имеет небольшую БД с огромного количества адресов, и когда вы копируете нужный вам адрес в буфер обмена, подменяет его похожим. Похожими в основном являются первые 4-5 символов (на которые в основном только и смотрят люди). А так как Coinbase не отображает полный адрес, а только его начальную часть, то это просто бинго для хакеров! По сути вероятность успеха многократно растет (я уже советовал не пользоваться Coinbase кошельком, они помимо идиотской реализации отправки еще любят рассылать письма счастья своим клиентам)
По итогу, имплементация идеи "коротких" адресов, более похожих на ники, стала бы лучшим новогодним подарком для разработчиков clipping малвари. Так что в мусорку такие "упрощения"!
#защита_инвестиций #Ledger_hack
Небольшая заметка о истории со взломом Ledger Live и дальнейшими фишинговыми атаками.
Немного несвоевременно, но не могу не отметить угрозу социальной инженерии в нынешнем мире и ее собственно эффективность (фишинг это как раз таки самый яркий ее пример)
https://telegra.ph/Idealnyj-fishing-ot-Ledger-Live-12-12
Небольшая заметка о истории со взломом Ledger Live и дальнейшими фишинговыми атаками.
Немного несвоевременно, но не могу не отметить угрозу социальной инженерии в нынешнем мире и ее собственно эффективность (фишинг это как раз таки самый яркий ее пример)
https://telegra.ph/Idealnyj-fishing-ot-Ledger-Live-12-12
#защита_инвестиций
Раз мы уж заговорили о соц инженерии, также в связи с ростом биткоина и расследованием Навального, предлагаю вернуться к теме мобильных номеров и возможных уязвимостей с ними связанных.
Для начала предлагаю прочитать пару предыдущих моих постов на эту тему (чтобы заново не разжовывать основы):
- Как взломали аккаунт создателя Twitter через мобильный номер
- Как у создателя Augoror своровали миллион баксов подменив симку
- Как полицейские находят настоящего владельца подставного телефона (считаю пост одним из лучших на канале)
Если вы помните, недавно было расследование Навального, которое показало как легко и просто любому желающему получить "пробив" нужного номера телефона через специализированые форумы или даже ТГ ботов. (Комментарии эксперта: Как можно заметить на таких сервисах в основном "вспышку", тоесть показывают нынешнюю геолокацию) Нужен просто номер телефона и деньги. Вы бы могли задаться вопросом, мол какая связь с биткоином и соц инженерией? Ну с последним оно связано железным фактом, что в любой системе безопасности слабое звено это всегда человек. И именно черещ нее идет воздействие на сотрудников обладающиз необходимой информацией. Наказывай, не наказывай, пока мясные мешки будут иметь доступ к вашей персональной информации, они будут толковать ее налево. Это надо осознать и просто смириться с этим. Особенно тем кто живет в СНГ, где это часто единственный способ заработать немного денег и не подохнуть от гастрита вызванного безперебойным потреблением дошираков (а вы думали работник МТС икру ложками ест?).
А с биткоином оно связано тем, что нет более весомой причины выложить условных 100-300 баксов чем последующая экспроприация криптоактивов и перераспределение в нужные карманы (ну может кроме гулящей жены).
Что можно узнать о вас через пробив номера?
- геолокации за определенные период времени когда на телефоне происходила переадресация или любой звонок (поэтому ваш дом или любимые места найти не проблема)
- живая геолокация на данный момент с точностью до пяти метров (спасибо триангуляции)
- история звонков и СМС
При доступе к коммутаторному оборудованию и вышкам можно вообще ваши включение выключение телефона отслеживать. При включении телефон подает сигнал на ближайшие вышки, проверяя доступность сети. Таким образом идет "засвет" самого факта активности телефона, а также его местонахождение. (Комментарий эксперта: Чтобы собирать такую информацию необходимо напрямую следить за вышками, так как ни вышки ни коммутаторное оборудование истории не сохраняют, и по сути это довольно тонкая работа ведется всегда под конкретного человека. ТГ боты и форумные пробившики такого сделать не смогут. )
Может еще что то упустил, скорее всего, так как список немаленький. Для России с ее законами это может быть все вплоть до записи разговоров.
Как от этого защититься? Ну для начала, самый верный способ - иметь несколько номеров, и не светить те, на которые зарегистрировано что то важное. Этот ход уже защитит вас в достаточной мере. Лучше, если важный номер хранится не в телефоне, а отдельно на симке. Только смотрите чтобы номер не "сгорел", иногда симку надо будет вставлять в телефон (но к несчастью в таком случае свяжете номера между собой через IMEI телефона) и делать звонки. Лучше конечно же не из дома. Прочие схемы (более сложные но более интересные) вы можете осмыслить сами прочитав третий мой пост про работу полиции.
И да, не верьте клоунам которые после расследования оживились, убеждая вас что ваши данные в надежном хранении, что доступ имеют только избранные, а полиция и спецслужбы могут получить данные только через суд. Лучше перечитайте пост о том, как обычный оператор в колл центре восстановил номер разраба Augoror злоумышленнику в один клик. И про МВД (и тем более спецслужбы) тоже не верьте, пишущий это лично видел ордер от суда на обыск, полученный на липовое заявление (которое сами менты и написали, хех) и последующие маски шоу.
P.S: Особая благодарность эксперту в мобильных технологиях за познавательные комментарии
Раз мы уж заговорили о соц инженерии, также в связи с ростом биткоина и расследованием Навального, предлагаю вернуться к теме мобильных номеров и возможных уязвимостей с ними связанных.
Для начала предлагаю прочитать пару предыдущих моих постов на эту тему (чтобы заново не разжовывать основы):
- Как взломали аккаунт создателя Twitter через мобильный номер
- Как у создателя Augoror своровали миллион баксов подменив симку
- Как полицейские находят настоящего владельца подставного телефона (считаю пост одним из лучших на канале)
Если вы помните, недавно было расследование Навального, которое показало как легко и просто любому желающему получить "пробив" нужного номера телефона через специализированые форумы или даже ТГ ботов. (Комментарии эксперта: Как можно заметить на таких сервисах в основном "вспышку", тоесть показывают нынешнюю геолокацию) Нужен просто номер телефона и деньги. Вы бы могли задаться вопросом, мол какая связь с биткоином и соц инженерией? Ну с последним оно связано железным фактом, что в любой системе безопасности слабое звено это всегда человек. И именно черещ нее идет воздействие на сотрудников обладающиз необходимой информацией. Наказывай, не наказывай, пока мясные мешки будут иметь доступ к вашей персональной информации, они будут толковать ее налево. Это надо осознать и просто смириться с этим. Особенно тем кто живет в СНГ, где это часто единственный способ заработать немного денег и не подохнуть от гастрита вызванного безперебойным потреблением дошираков (а вы думали работник МТС икру ложками ест?).
А с биткоином оно связано тем, что нет более весомой причины выложить условных 100-300 баксов чем последующая экспроприация криптоактивов и перераспределение в нужные карманы (ну может кроме гулящей жены).
Что можно узнать о вас через пробив номера?
- геолокации за определенные период времени когда на телефоне происходила переадресация или любой звонок (поэтому ваш дом или любимые места найти не проблема)
- живая геолокация на данный момент с точностью до пяти метров (спасибо триангуляции)
- история звонков и СМС
При доступе к коммутаторному оборудованию и вышкам можно вообще ваши включение выключение телефона отслеживать. При включении телефон подает сигнал на ближайшие вышки, проверяя доступность сети. Таким образом идет "засвет" самого факта активности телефона, а также его местонахождение. (Комментарий эксперта: Чтобы собирать такую информацию необходимо напрямую следить за вышками, так как ни вышки ни коммутаторное оборудование истории не сохраняют, и по сути это довольно тонкая работа ведется всегда под конкретного человека. ТГ боты и форумные пробившики такого сделать не смогут. )
Может еще что то упустил, скорее всего, так как список немаленький. Для России с ее законами это может быть все вплоть до записи разговоров.
Как от этого защититься? Ну для начала, самый верный способ - иметь несколько номеров, и не светить те, на которые зарегистрировано что то важное. Этот ход уже защитит вас в достаточной мере. Лучше, если важный номер хранится не в телефоне, а отдельно на симке. Только смотрите чтобы номер не "сгорел", иногда симку надо будет вставлять в телефон (но к несчастью в таком случае свяжете номера между собой через IMEI телефона) и делать звонки. Лучше конечно же не из дома. Прочие схемы (более сложные но более интересные) вы можете осмыслить сами прочитав третий мой пост про работу полиции.
И да, не верьте клоунам которые после расследования оживились, убеждая вас что ваши данные в надежном хранении, что доступ имеют только избранные, а полиция и спецслужбы могут получить данные только через суд. Лучше перечитайте пост о том, как обычный оператор в колл центре восстановил номер разраба Augoror злоумышленнику в один клик. И про МВД (и тем более спецслужбы) тоже не верьте, пишущий это лично видел ордер от суда на обыск, полученный на липовое заявление (которое сами менты и написали, хех) и последующие маски шоу.
P.S: Особая благодарность эксперту в мобильных технологиях за познавательные комментарии
Telegram
Crypto Lemon
"Как взломали аккаунт создателя Twitter?
В эти выходные в официальном аккаунте Джека Дорси появились расистские и антисемитские публикации. Оказалось, что это был взлом аккаунта и твиты были удалены в течение 15 минут.
В компании заявили, что вина на…
В эти выходные в официальном аккаунте Джека Дорси появились расистские и антисемитские публикации. Оказалось, что это был взлом аккаунта и твиты были удалены в течение 15 минут.
В компании заявили, что вина на…
Crypto Lemon
#защита_инвестиций #Ledger_hack Небольшая заметка о истории со взломом Ledger Live и дальнейшими фишинговыми атаками. Немного несвоевременно, но не могу не отметить угрозу социальной инженерии в нынешнем мире и ее собственно эффективность (фишинг это как…
#Важно #Ledger_hack
Только что наткнулся, как говорится breaking news:
Взломанную осенью базу Леджера с номерами телефонов, имейлами и даже адресами хакер вывалил в публичный доступ - https://twitter.com/JimmyMcShill/status/1340733120610447365
Готовьтесь к нереальному потоку фишинга на ваши имейлы, если вы владелец Леджера. А если вы по жизни невезучий (но при этом биткоин миллионер) то еще стоит подготовиться к визитам гостей на дом 😀
Только что наткнулся, как говорится breaking news:
Взломанную осенью базу Леджера с номерами телефонов, имейлами и даже адресами хакер вывалил в публичный доступ - https://twitter.com/JimmyMcShill/status/1340733120610447365
Готовьтесь к нереальному потоку фишинга на ваши имейлы, если вы владелец Леджера. А если вы по жизни невезучий (но при этом биткоин миллионер) то еще стоит подготовиться к визитам гостей на дом 😀
Twitter
Jimmy McShill
⚠️⚠️ Uhh shiit! A hacker is dumping the full @Ledger database dump for free on raidforums! Emails, phone numbers and addresses! Get ready for a huge spam and phishing wave! #bitcoin #cryptcurrencies #phishing #security
Хе хе
Вот список сдеаноненых пользователей Ledger по странам - https://twitter.com/omgbtc/status/1340786716207149056
Россия - 4865
Украина - 836
По Казахстану и Беларуси инфы нет, но не думаю что много.
Вот список сдеаноненых пользователей Ledger по странам - https://twitter.com/omgbtc/status/1340786716207149056
Россия - 4865
Украина - 836
По Казахстану и Беларуси инфы нет, но не думаю что много.
#защита_инвестиций #Важно
Полностью согласен . Но здесь стоит объяснить два момента. Сначала сам моральный и философский аспект:
"Я честный человек, мне нечего скрывать"
Самая известная отмазка для любого действия, будь то нежелание пользоваться более сложными и менее удобными опенсор продуктами, прохождение КУС или приседание на бутылку по просьбе товарища старлея. Ну а что, честный человек, мне сложно что ли? Происходит это из человеческой лени и надежды на классическое "авось". Это то, чего добивается любая власть и вообще любой имеющий власть (в случае КУС - биржи). И скажем так, у них это довольно успешно получается. Сам такой вопрос переводит народ в разряд "подозреваемых" или же как любят шутить в СНГ - "временно невиновных". Вам вот приятно себя таким ощущать? Полагаю что нет. Поэтому надо ставить атрибуцию иначе:
"Я честный человек, поэтому я сохраняю свою приватность. Вы меня в чем то обвиняете, что мне необходимо вам что то доказывать?"
В подтверждение этих слов есть несколько важных аргументов:
1. Кегебилы, чекисты, спецура, менты должны отрабатывать свой хлеб. Надо вычислить наркобаронов, торговцев ЦП, наркотой, обнальщиков? Пусквй устраивают мозговой штурм как это делать без превращения населения в терпильное стадо. Подставные покупатели, фишинговые даркнет площадки (honeypot) и так далее. Конечно на много проще и приятнее работать методом исключения: нагнуть всех и подходить к тем, кто не гнется мол "А ты чего не раком как все, а? Самый умный что ли? Может ты педофил там, или Эскобар, а ну ка сейчас проверочку пройдем..." Но вопрос почему люди должны им в этом подыгрывать?
2. Владельцы бирж/обменников, да и сами биржи довольно анонимны. Как может с вас что то требовать контора зарегистрированная в оффшоре с неизвестными владельцами? Ты это, сначала обелись в ЕС, законы о защите информации соблюдай, а потом поговорим о КУС и прочем.
Да и не только то биржи анонимны: это среди богатых явный тренд. К примеру, толком не понятно кто владеет порно холдингом MindGeeks (владелец Pornhub, Brazzers и тд). Как и со многими другими крупными сервисами в Сети. Почему то миллиардеры и миллионеры не спешат предоставлять свои данные, наоборот скрываются как могут. Почему обычные люди должны себя вести иначе?
3. Уязвимость баз данных. Данные утекают петабайтами, а тем криворуким идиотам которые это допускают (как на гос службе так и вне) практически всегда это сходит с рук. Может прежде чем всех верифицировать стоит свои руки выпрямить и не подвергать чужие жизни опасности, а?
Я понимаю, звучит идеалистически. Но суть то в том, что чем больше людей будет мыслить правильно, то и выше вероятность каких то изменений. Как рассказывал один математик и мультимиллионер (да да), автор книги о "Черном Лебеде" Нассим Талеб "Мир меняет не серое большинство, а непримиримое меньшинство" . Те, кто больше орут о своих правах, чаще всего и добиваются результата (например, многие продукты в Англии кошерны, так как непримиримые евреи не будут кушать не кошерную еду, а серому большинству все равно). Потому если наберется некая критическая масса недовольных, то как минимум биржам придется корректировать политику.
И да, если вы попали в какую то неприятную ситуацию с биржей или обменником, не бойтесь поднимать хайп: визжите, обзываете их скамом, создавайте миллионы тем на форумах, стучитесь в блоги. Вам может это показаться конфликтностью? Ну такие сервисы иначе не понимают. Поверьте мне, всякие хакеры постоянно так себя ведут, даже если правда не на их стороне, и довольно часто добиваются возврата своих средств (в основном от обменников и небольших бирж). Это несмотря на то, что они часто виноваты. А если, за вами будет правда, то вероятность успеха еще выше. Помните что говорил Данила Багров? "Сила в правде. У кого правда, тот и сильней"
Вот и вам советую быть сильными.
P.S: в следующем посте коснусь предметной стороны приватности
Полностью согласен . Но здесь стоит объяснить два момента. Сначала сам моральный и философский аспект:
"Я честный человек, мне нечего скрывать"
Самая известная отмазка для любого действия, будь то нежелание пользоваться более сложными и менее удобными опенсор продуктами, прохождение КУС или приседание на бутылку по просьбе товарища старлея. Ну а что, честный человек, мне сложно что ли? Происходит это из человеческой лени и надежды на классическое "авось". Это то, чего добивается любая власть и вообще любой имеющий власть (в случае КУС - биржи). И скажем так, у них это довольно успешно получается. Сам такой вопрос переводит народ в разряд "подозреваемых" или же как любят шутить в СНГ - "временно невиновных". Вам вот приятно себя таким ощущать? Полагаю что нет. Поэтому надо ставить атрибуцию иначе:
"Я честный человек, поэтому я сохраняю свою приватность. Вы меня в чем то обвиняете, что мне необходимо вам что то доказывать?"
В подтверждение этих слов есть несколько важных аргументов:
1. Кегебилы, чекисты, спецура, менты должны отрабатывать свой хлеб. Надо вычислить наркобаронов, торговцев ЦП, наркотой, обнальщиков? Пусквй устраивают мозговой штурм как это делать без превращения населения в терпильное стадо. Подставные покупатели, фишинговые даркнет площадки (honeypot) и так далее. Конечно на много проще и приятнее работать методом исключения: нагнуть всех и подходить к тем, кто не гнется мол "А ты чего не раком как все, а? Самый умный что ли? Может ты педофил там, или Эскобар, а ну ка сейчас проверочку пройдем..." Но вопрос почему люди должны им в этом подыгрывать?
2. Владельцы бирж/обменников, да и сами биржи довольно анонимны. Как может с вас что то требовать контора зарегистрированная в оффшоре с неизвестными владельцами? Ты это, сначала обелись в ЕС, законы о защите информации соблюдай, а потом поговорим о КУС и прочем.
Да и не только то биржи анонимны: это среди богатых явный тренд. К примеру, толком не понятно кто владеет порно холдингом MindGeeks (владелец Pornhub, Brazzers и тд). Как и со многими другими крупными сервисами в Сети. Почему то миллиардеры и миллионеры не спешат предоставлять свои данные, наоборот скрываются как могут. Почему обычные люди должны себя вести иначе?
3. Уязвимость баз данных. Данные утекают петабайтами, а тем криворуким идиотам которые это допускают (как на гос службе так и вне) практически всегда это сходит с рук. Может прежде чем всех верифицировать стоит свои руки выпрямить и не подвергать чужие жизни опасности, а?
Я понимаю, звучит идеалистически. Но суть то в том, что чем больше людей будет мыслить правильно, то и выше вероятность каких то изменений. Как рассказывал один математик и мультимиллионер (да да), автор книги о "Черном Лебеде" Нассим Талеб "Мир меняет не серое большинство, а непримиримое меньшинство" . Те, кто больше орут о своих правах, чаще всего и добиваются результата (например, многие продукты в Англии кошерны, так как непримиримые евреи не будут кушать не кошерную еду, а серому большинству все равно). Потому если наберется некая критическая масса недовольных, то как минимум биржам придется корректировать политику.
И да, если вы попали в какую то неприятную ситуацию с биржей или обменником, не бойтесь поднимать хайп: визжите, обзываете их скамом, создавайте миллионы тем на форумах, стучитесь в блоги. Вам может это показаться конфликтностью? Ну такие сервисы иначе не понимают. Поверьте мне, всякие хакеры постоянно так себя ведут, даже если правда не на их стороне, и довольно часто добиваются возврата своих средств (в основном от обменников и небольших бирж). Это несмотря на то, что они часто виноваты. А если, за вами будет правда, то вероятность успеха еще выше. Помните что говорил Данила Багров? "Сила в правде. У кого правда, тот и сильней"
Вот и вам советую быть сильными.
P.S: в следующем посте коснусь предметной стороны приватности
Telegram
CryptoВорчун™
Это будет звучать очевидным, но если вы прошли KYC на бирже, а потом выводите на один "холодный адрес" в блокчейне биткоина, имейте ввиду, что по сути вы косвенно обозначаете связь вашей личности с адресом, куда вы переводите.
В наше непростое время, накапливание…
В наше непростое время, накапливание…
#защита_инвестиций
Думаю вы уже давно в курсе насчет canvas fingerprinting, материалами кишит весь интернет. И также в курсе, что есть расширения которые их блокируют. Или отправляют в ответ фейковые "отпечатки"
Сейчас довольно часто вижу посты, даже вот от довольно толковых каналов, мол всякие браузерные расширения это фигня, сайты при выполнении скриптов flash, java и прочих могут видеть что у тебя установлено на браузере, и мол если у тебя много всего, то это тоже в своем роде фингерпринтинг. Соглашусь, так как если у вас стоит миллион расширений, то вас также можно легко вычислить из толпы. Но предположим что их у вас 1-2 (самых необходимых).
У критиков всяких canvas blocker-ов часто слышу аргумент про "не выделяться из толпы", мол если вы на себя оденете условный бронижилет, то в толпе вы будете привлекать больше внимания чем обычный белый воротничок. И на первый взгляд оно ведь так.
Но по сути это ведь подмена понятий!
В чем суть "не выделяться из толпы" если вы идете по улице? Ну как бы предполагается, что взгляд некоего Большого Брата (будь то человек за камерой или нейросеть) не сможет в силу ограничения на когнитивные процессы выщелкнуть вас из толпы, так как толпа по сути сливается в единое целое для него. Это в большей мере правда. Но ведь в Сети все совершенно не так. Нет никакого "слияния" с некоей "толпой". Нет толпы просто, в Сети каждый это IP + набор отпечатков (fingerprints) и куки. Переходя на сайт, хоть даже вместе с сотней пользователей, система знает , что вы это вы, а Вася это Вася. Считайте, что вы проходите под камерой через рамку металлоискателя, а у охраны лежит полное досье на вас. Вот корректная аналогия в данном случае.
Если же вы ставите себе условный CanvasBlocker (16 тысяч пользователей) и например некий VPN сервис, (предположим 10 тысяч пользователей) и допустим людей, которые тоже имеют два именно этих (не больше ни меньше) расширения вместе с вами, около трех сотен. То ситуация получается следующая: Большой Брат видит что зашел пользователь с такими то расширениями, но не видит кто конкретно из этих 300 человек.
В случае же отсутствия расширений, Большой Брат знает что вы это именно вы! Видит совпадение IP, видит совпадение fingerprints, cookies и так далее. В таком случае некорректно говорить ни о каком слиянии с толпой, ведь толпы то нет, есть вы, как на ладони.
Лично я, как можно догадаттся, положительно отношусь к расширениям (учитывая что некоторые из них блокируют те же запросы на просмотр расширений) и считаю что чем больше людей используют их тем лучше.
По поводу fingerprints: с версии Firefox 67 у вас есть настройки в самом браузере для блокировки фингер принтов. Браузер отсылает пустой "холст" сайту в ответ. Поиграйтесь с настройками, посмотрите.
Думаю вы уже давно в курсе насчет canvas fingerprinting, материалами кишит весь интернет. И также в курсе, что есть расширения которые их блокируют. Или отправляют в ответ фейковые "отпечатки"
Сейчас довольно часто вижу посты, даже вот от довольно толковых каналов, мол всякие браузерные расширения это фигня, сайты при выполнении скриптов flash, java и прочих могут видеть что у тебя установлено на браузере, и мол если у тебя много всего, то это тоже в своем роде фингерпринтинг. Соглашусь, так как если у вас стоит миллион расширений, то вас также можно легко вычислить из толпы. Но предположим что их у вас 1-2 (самых необходимых).
У критиков всяких canvas blocker-ов часто слышу аргумент про "не выделяться из толпы", мол если вы на себя оденете условный бронижилет, то в толпе вы будете привлекать больше внимания чем обычный белый воротничок. И на первый взгляд оно ведь так.
Но по сути это ведь подмена понятий!
В чем суть "не выделяться из толпы" если вы идете по улице? Ну как бы предполагается, что взгляд некоего Большого Брата (будь то человек за камерой или нейросеть) не сможет в силу ограничения на когнитивные процессы выщелкнуть вас из толпы, так как толпа по сути сливается в единое целое для него. Это в большей мере правда. Но ведь в Сети все совершенно не так. Нет никакого "слияния" с некоей "толпой". Нет толпы просто, в Сети каждый это IP + набор отпечатков (fingerprints) и куки. Переходя на сайт, хоть даже вместе с сотней пользователей, система знает , что вы это вы, а Вася это Вася. Считайте, что вы проходите под камерой через рамку металлоискателя, а у охраны лежит полное досье на вас. Вот корректная аналогия в данном случае.
Если же вы ставите себе условный CanvasBlocker (16 тысяч пользователей) и например некий VPN сервис, (предположим 10 тысяч пользователей) и допустим людей, которые тоже имеют два именно этих (не больше ни меньше) расширения вместе с вами, около трех сотен. То ситуация получается следующая: Большой Брат видит что зашел пользователь с такими то расширениями, но не видит кто конкретно из этих 300 человек.
В случае же отсутствия расширений, Большой Брат знает что вы это именно вы! Видит совпадение IP, видит совпадение fingerprints, cookies и так далее. В таком случае некорректно говорить ни о каком слиянии с толпой, ведь толпы то нет, есть вы, как на ладони.
Лично я, как можно догадаттся, положительно отношусь к расширениям (учитывая что некоторые из них блокируют те же запросы на просмотр расширений) и считаю что чем больше людей используют их тем лучше.
По поводу fingerprints: с версии Firefox 67 у вас есть настройки в самом браузере для блокировки фингер принтов. Браузер отсылает пустой "холст" сайту в ответ. Поиграйтесь с настройками, посмотрите.
Mozilla
Firefox blocks fingerprinting
Fingerprinting is a type of online tracking that’s more invasive than ordinary cookie-based tracking — that’s why Firefox Browser blocks it.
Crypto Lemon
Хе хе Вот список сдеаноненых пользователей Ledger по странам - https://twitter.com/omgbtc/status/1340786716207149056 Россия - 4865 Украина - 836 По Казахстану и Беларуси инфы нет, но не думаю что много.
#Ledger_hack
Ну вот по ходу и началось - https://cryptocurrency.tech/u-polzovatelya-ledger-ukrali-aktivy-na-summu-2-000/
Теперь помимо тупого фишинга действуют уже более опытные в соц инженерии люди и работают по классике: через восстановление SIM карты.
Работают они чаще всего по праздникам (когда не только жертвы отвлечены, но и персонал колл центров операторов расслаблен) и/или с 3-5 часов ночи (когда человек менее всего активен по биоритмам). Вот, уже ставший классикой у нас на канале пост о подмене симки у разраба Augoror.
Что делать в этой ситуации? Купить новую симку и переподвязать на нее все важные сервисы, плюс ясное дело не светить ее вообще (главное не забудьте о ней, а то оператор может ее аннулировать через полгода-год если она будет неактивной). Других способов защиты настолько же эфыективных нет (как по мне).
И да, отличная очередная реклама Coinbase (вы не забыли о том, что она еще помогает своим дебильным интерфейсом хакерам с их клипперами воровать ваши битки) с которой, хакер авторизовавшись с нового устройства в бирже (это же видно ясное дело) украл все бабки жертвы. Никакого "санитарного" таймаута для вывода с новых устройств или же просьбы подтвердить на старом устройстве. "Кастодиальная" биржа какую мы заслужили. В очередной раз убеждаю не пользоваться ее услугами
Ну вот по ходу и началось - https://cryptocurrency.tech/u-polzovatelya-ledger-ukrali-aktivy-na-summu-2-000/
Теперь помимо тупого фишинга действуют уже более опытные в соц инженерии люди и работают по классике: через восстановление SIM карты.
Работают они чаще всего по праздникам (когда не только жертвы отвлечены, но и персонал колл центров операторов расслаблен) и/или с 3-5 часов ночи (когда человек менее всего активен по биоритмам). Вот, уже ставший классикой у нас на канале пост о подмене симки у разраба Augoror.
Что делать в этой ситуации? Купить новую симку и переподвязать на нее все важные сервисы, плюс ясное дело не светить ее вообще (главное не забудьте о ней, а то оператор может ее аннулировать через полгода-год если она будет неактивной). Других способов защиты настолько же эфыективных нет (как по мне).
И да, отличная очередная реклама Coinbase (вы не забыли о том, что она еще помогает своим дебильным интерфейсом хакерам с их клипперами воровать ваши битки) с которой, хакер авторизовавшись с нового устройства в бирже (это же видно ясное дело) украл все бабки жертвы. Никакого "санитарного" таймаута для вывода с новых устройств или же просьбы подтвердить на старом устройстве. "Кастодиальная" биржа какую мы заслужили. В очередной раз убеждаю не пользоваться ее услугами
Криптовалюта.Tech
У пользователя Ledger украли активы на сумму $2 000 | Криптовалюта.Tech
По словам пользователя JCD, узнав, что его персональные данные находятся в открытом доступе, он попытался сменить пароли. Однако сделать это ему не удалось.
#защита_инвестиций #Ledger_hack
Думаю некоторое время теперь о Леджере я буду много писать.
Конкретно по данной ситуации: Мне кажется очередной пример социальной инженерии, а если проще и более прямо, то обычный блеф.
Звонящий предупреждает что он как бы наркоман. Из-за того, что наркоманы у большинства людей ассоциируются с неадекватными, безумными людьми которые пойдут на все и которым нечего терять (недоговороспособны и по сути не воспринимаются как люди). Здесь это важный момент, так как если бы звонящий сказал что он бандит, эффект бы был совсем не такой. Так как обычным бандитам мы не отказываем в рациональности. Ведь всегда кажется (даже если это не так) что с преступником можно договориться, и ведь он просто так убивать не будет и тп и тд.
Реальный наркоман скорее бы просто залез в окно ночью, чем вот так вот звонил.
Во вторых, просит в Монеро. Большинство обывал о нем не слышали, будь это обычный далекий от крипты человек, то просил бы Биткойн. А здесь видно что расчет на заметание следов
Думаю некоторое время теперь о Леджере я буду много писать.
Конкретно по данной ситуации: Мне кажется очередной пример социальной инженерии, а если проще и более прямо, то обычный блеф.
Звонящий предупреждает что он как бы наркоман. Из-за того, что наркоманы у большинства людей ассоциируются с неадекватными, безумными людьми которые пойдут на все и которым нечего терять (недоговороспособны и по сути не воспринимаются как люди). Здесь это важный момент, так как если бы звонящий сказал что он бандит, эффект бы был совсем не такой. Так как обычным бандитам мы не отказываем в рациональности. Ведь всегда кажется (даже если это не так) что с преступником можно договориться, и ведь он просто так убивать не будет и тп и тд.
Реальный наркоман скорее бы просто залез в окно ночью, чем вот так вот звонил.
Во вторых, просит в Монеро. Большинство обывал о нем не слышали, будь это обычный далекий от крипты человек, то просил бы Биткойн. А здесь видно что расчет на заметание следов
Ребята, хочу вас порадовать новым проектом, в котором я непосредственно с командой единомышленников принимаю участие - smart money трейдинг. Этот новый концепт торговли преследует цель нахождения в потоке крупных ордеров институциональных участников рынка и на 95% эффективнее классического технического анализа.
Всех, кому интересна тема smart money трейдинга на криптовалютном рынке и форексе, приглашаю присоединиться к комьюнити: @btatrading
С уважением, Ванга.
Всех, кому интересна тема smart money трейдинга на криптовалютном рынке и форексе, приглашаю присоединиться к комьюнити: @btatrading
С уважением, Ванга.
Telegram
BTA Trading | FX & Crypto
https://t.me/+imvF6uqk30lkODQy
Crypto Lemon pinned «Ребята, хочу вас порадовать новым проектом, в котором я непосредственно с командой единомышленников принимаю участие - smart money трейдинг. Этот новый концепт торговли преследует цель нахождения в потоке крупных ордеров институциональных участников рынка…»
#защита_инвестиций #Ledger_hack
Как я и предполагал, все эти смс на телефон от "наркоманов и бандитов" являются фишингом. Довольно необычным, который ближе к угрозам и сталкингу, но все же не особо опасным (иначе не просили бы по 200-300 евро)
Угрозы поляку
Угрозы чеху
Еще угрозы
В таких ситуациях стоит и вправду обратиться в полицию, но и самому подготовиться (особенно учитывая качество полиции в СНГ. Здесь вам машину под дом для охраны как в Европе или Америке никто не пришлет)
Но масштабы конечно поражают, люди в комментах пишут что им фишинговый спам идет и на почту и на номер телефона, некоторым по 5-6 раз в день. Жопы ясное дело у людей горят нереально
Но реальная угроза (если конечно вы не криптомиллионер и вас уже не пробивают серъезные люди) это подмена симки. Вот очередная история. Человеку в данном случае просто повезло. И заметьте, история не от жителя из СНГ, там то симку подменить вообще как два пальца. Поэтому в первую очередь озаботьтесь сменой номера телефона. Такие дела
Как я и предполагал, все эти смс на телефон от "наркоманов и бандитов" являются фишингом. Довольно необычным, который ближе к угрозам и сталкингу, но все же не особо опасным (иначе не просили бы по 200-300 евро)
Угрозы поляку
Угрозы чеху
Еще угрозы
В таких ситуациях стоит и вправду обратиться в полицию, но и самому подготовиться (особенно учитывая качество полиции в СНГ. Здесь вам машину под дом для охраны как в Европе или Америке никто не пришлет)
Но масштабы конечно поражают, люди в комментах пишут что им фишинговый спам идет и на почту и на номер телефона, некоторым по 5-6 раз в день. Жопы ясное дело у людей горят нереально
Но реальная угроза (если конечно вы не криптомиллионер и вас уже не пробивают серъезные люди) это подмена симки. Вот очередная история. Человеку в данном случае просто повезло. И заметьте, история не от жителя из СНГ, там то симку подменить вообще как два пальца. Поэтому в первую очередь озаботьтесь сменой номера телефона. Такие дела