Делюсь своей грустной историей...

[PGalitsyn]

Доброго времени суток! 

Впервые пишу здесь и к сожалению, начинаю со своей грустной истории, но вдруг кому поможет, а может кто что подскажет...

Неделю назад зашел на аккаунт на бирже Yobit, где были мои "ивестиции". С неприятным удивлением обнаружил, что средства успешно выведены. Двухфакторка была включена. Погнал на биржу. Порадовался, что со второго аккаунта, где было денег порядком больше, чуть ранее вывел на установленный в iPhone кошелек Beard.

Сегодня, придя с работы с не меньшим удивлением заметил, что с аккаунта satoshi.fund, куда я еще в прошлом году завел 10000 рублей тоже ушли деньги... Тут я понял, что yobit не причем и "побежал" проверять кошель в телефоне и... потерял веру в безопасность... Может для насмешки, может в виду каких-то ограничений в приложении, мне оставили чуть больше 0,003 BTC. Я задумался... с satoshi.fund и yobit понятно, там все в интернете, где-то че то перехватили, но как увели деньги из приложения в телефоне?! Ключи я бережно записывал в iCloud записках. Там также двухфакторная авторизация вшитая в iOS. При попытке входа в аккаунт на экране телефона высвечивается примерное месторасположение попытки входа (с очень большой погрешностью), кнопка разрешения и после высвечиваются цифры, которые надо ввести, плюс пароль больше похожий на биткоин адрес. Чтобы, что-то подхватить на незнакомые сайты не захожу (от слова вообще). Как я вижу, единственный вариант, который возможен, это кто-то взломал teamviewer, (который я использую, чтобы мониторить фермы), зашел на рабочий комп, запустил браузер, зашел в iCloud, который запомнил мой вход, полез в заметки, оттуда скопировал все, проанализировал, что и откуда, успешно все слил. 

В общем вот такая грустная история. Буду рад, если кому-то поможет в лишний раз перестраховаться. Ругать за небрежность не надо, так как я сделал это за вас) (улыбка хоть и натянутая, но искренняя). Пароль на teamviewer

Это адрес, на который увели мои кровные: 15WZBkQHduZFWLKWaXxMdVfH5xzo3eYh4a. Лежат себе до сих пор, нервируют. Битки выводили, кстати, на разные адреса.

Всем добра

[Lexis77]

Сотни историй подобных и во всех присутствует мобила! Лично я юзаю мобилу только как телефон и фотик. Никогда не юзал геморрой в виде мнимой 2FA и не имел проблем. А про icloud - это вообще, как выйти голым на главную площадь города.

[Eqvant]

Hard wallets создали не вчера, потратил 100$ и спишь спокойно. Нет панацеи, но максимизировать свою финансовую безопасность дело первоочередное. 

Мониторинг ферм... что мешало использовать SSH, работать через CLI? Вопрос риторический, отвечать не нужно, но teamviewer для мониторинга ферм где деньги лежать..., жесть.

[moneymaker]

@Eqvant тимка удобный инструмент и для изолированных ферм вообще не проблема. 

iCloud конечно сильно.

Вообще всем пора обзавестись аппаратными кошельками и никаких проблем.

[ama]

А почему BRD а не blockchain wallet? У BRD половина звезд в App Store, видимо сыроват. Как мне кажется, телефон с ios более надежен, чем компьютер с вирусами, браузерами, сохраняющими coockies. Но, конечно, если не ставить сомнительных приложений, бесплатных игр, сохранялок паролей. 

[HolodGLD]

30.08.2018 в 22:38, PGalitsyn сказал:

Ключи я бережно записывал в iCloud записках.

Ключи надо распечатывать и на бумажке хранить... Ну на флешке в крайнем случае (если не пихать её куда попало)... Но доверять облаку?

[Meisner]

30.08.2018 в 22:38, PGalitsyn сказал:

Ключи я бережно записывал в iCloud записках.

это не лечится

[prorok]

во, @Lexis77  молодец,правильно говорит про телефон, а то все на эту мобилу надеются как на бога-архангела хранителя.

Ругать не буду, уже поздно. 
Можно хранить где угодно, мест полно, но надо всегда помнить что единственная значимая разница между этими местами - это степень надежности(или невзламываемости таксказать),если вы незнаете как определить этот параметр для того места куда вы запихаете битки - то нужно зайти на форум и почитать людей со стажем, с умными мыслями. Если ненашли такой темы - ну создайте сами,...
Вот так для себя я расставил по степени надежности места(вначале макс.надежные):
- герметичный бункер глубоко в земле (водопламяантивандальный), непосещаемый ,никому неизвестный
 (труднореализуем)
- 10-ки надежных людей(не родственников) по всему миру, у каждого из которых на бумажке записана частичка вашего приватного ключа
 (труднореализуем)
- новая флэшка , hdd,ssd на которые однократно записан приватник(возможно с доп шифрованием).
  Эта флэшка исключительно станционарная, не покидает своего места на тумбочке, не втыкается в компы и тд и естественно
  никому про нее неизвестно.
- hardware wallet - ledger и тд - покупать только у производителя а не посредника
- стационарный комп с ограниченным использованием интернета(или лучше без него) с приватниками
  (аналогичен предыдущему варианту)
- Запись на бумажке приватника желательно аккуратно написанная руками, естественно копии
  в идеале в болшом потайном сейфе
Далее идут сомнительные варианты - для мелких оперативных сумм:
- второй(не основной) рабочий комп  
- хитрые схемы шифрования , деления ключа на части, мультиподписи - для очень хитрожопых и уверенных в себе
  и своих знаниях компютера
- рабочий комп с неким базовым соблюдением гигиены
- мобильные вещи - телефоны,ноутбуки, (icloud, почта,онлайнсервис - с шифрованием)
- биржи(лучше раскидать по разным биржам)

 

[Halavshk]

@prorok Почему запись на бумажке менее надежна, чем флешка, железный кошель и комп?

Кстати, бумажку можно проапгрейдить до нержавейки.

[QIWIm]

Тут скорее всего, что на телефоне где стояла 2FA , юзали все подряд и месенджеры и игры и интернет гоняли. И в голове была старая история, о том, что айфоню не взламывают

Edited 7 Sep 2018, 15:49 by QIWI

[prorok]

1 час назад, Halavshk сказал:

@prorok Почему запись на бумажке менее надежна, чем флешка, железный кошель и комп?

Кстати, бумажку можно проапгрейдить до нержавейки.

если сделать полностью, так как написано с примечаниями, то будет даже немного более надежна.

Если же просто бумажка - то при неаккуратном обращении можно потерять. Если с флэшкой более менее понятно, что с  ней делать можно, а что нельзя - то с бумажкой все менее очевидно, начиная от того что чернила со временем высыхают и заканчивая , что стоя и мечтая у окна у вас ее отожмет Ветер и унесет в закат....как-то так (и еще много-много тонкостей...) )

1 час назад, Halavshk сказал:

 бумажку можно проапгрейдить до нержавейки.

вот как проапгрейдите, тогда и приходите....)

[QIWIm]

21 минуту назад, prorok сказал:

то с бумажкой все менее очевидно, начиная от того что чернила со временем высыхают и заканчивая , что стоя и мечтая у окна у вас ее отожмет Ветер и унесет в закат....как-то так (и еще много-много тонкостей...) )

 

как Ленин молоком писать... флешку замуровать... чип вжить под кожу с модулем NFC...и тд/ Так и до паранои не далеко ?

[prorok]

9 минут назад, QIWI сказал:

 

как Ленин молоком писать... флешку замуровать... чип вжить под кожу с модулем NFC...и тд/ Так и до паранои не далеко ?

зря смеетесь - это реально, у меня много было записных листочков , все в пакете лежало - и один раз просто пролилась вода(много), заметил не сразу, естественно посушил - но в итоге >30% текста  было потеряно и нечитаемо. С чеками из магазинов такая же фигня - годик полежали и все, некоторые не читаются совсем(гарантия под ноль)

[jam72]

1 час назад, prorok сказал:

Если же просто бумажка - то при неаккуратном обращении можно потерять. Если с флэшкой более менее понятно, что с  ней делать можно, а что нельзя - то с бумажкой все менее очевидно, начиная от того что чернила со временем высыхают и заканчивая , что стоя и мечтая у окна у вас ее отожмет Ветер и унесет в закат....как-то так (и еще много-много тонкостей...) )

Ну если эта бумажка - обрывок газеты, в которую рыбу заворачивали, то может быть... А если обращаться с ней, как с ценным документом, то считаю бумагу более надежным носителем, чем флешка. К тому же, раз вы допускаете неаккуратное обращение с ценной бумажкой, почему это не применяете к флешке?

[KlopS5]

30.08.2018 в 23:35, moneymaker сказал:

 

Вообще всем пора обзавестись аппаратными кошельками и никаких проблем.

И чем он лучше компа? Всегда не понимал к нему привязанности - это ж по сути тоже комп, с своей ос - но в случае дырки в ней - будет жопа куда быстрее, тк на эту дырку пойдут узконаправленные парни. Параною можно долго разводить, но рецепт предельно прост - линукс+шифрование диска от физического угона - 99% безопасности, 100% - это точно параноя - тк зашифровану бумажку в жопе соседа сам потеряешь быстрее ?

[jam72]

6 минут назад, KlopS5 сказал:

И чем он лучше компа? Всегда не понимал к нему привязанности - это ж по сути тоже комп, с своей ос

Да, но этот комп без сетевых интерфейсов.

 

9 минут назад, KlopS5 сказал:

рецепт предельно прост - линукс+шифрование диска

...и физическое отсутствие сетевых интерфейсов ). Тогда можно и винду без шифрования (файл кошелька в электруме, например, достаточно надежно зашифрован).

[KlopS5]

@jam72 Ну а в момент транзакции он по вакууму подключается к другим нодам? Еще раз - он не безопаснее той же офлайн бубунты используемой только для отправки транзакции

[moneymaker]

17 минут назад, KlopS5 сказал:

И чем он лучше компа? Всегда не понимал к нему привязанности - это ж по сути тоже комп, с своей ос - но в случае дырки в ней - будет жопа куда быстрее, тк на эту дырку пойдут узконаправленные парни. Параною можно долго разводить, но рецепт предельно прост - линукс+шифрование диска от физического угона - 99% безопасности, 100% - это точно параноя - тк зашифровану бумажку в жопе соседа сам потеряешь быстрее ?

Как минимум мобильностью он точно лучше))

[KlopS5]

Только что, moneymaker сказал:

Как минимум мобильностью он точно лучше))

Ну можно и на загрузочную флешку (токо дофига гигабайтную) реализовать той же кошелек - еще мобильнее ?

[jam72]

@KlopS5 он не подключается к нодам, там только подписываются транзакции.

 

4 минуты назад, KlopS5 сказал:

Еще раз - он не безопаснее той же офлайн бубунты используемой только для отправки транзакции

Офлайн-комп не может отправлять транзакцию.

[KlopS5]

2 минуты назад, jam72 сказал:

@KlopS5 он не подключается к нодам, там только подписываются транзакции.

 

Офлайн-комп не может отправлять транзакцию.

Перефразирую - транзакции он через вакуум подписывает? То есть как я ранее и написал - отправляет транзакцию нодам!

Оффлайн в моем понимании - выкл, до момента отправки транзакции, ну прям точь в точь как этот чудо девайс

[jam72]

2 минуты назад, KlopS5 сказал:

Перефразирую - транзакции он через вакуум подписывает? То есть как я ранее и написал - отправляет транзакцию нодам!

Ну да, транзакции на подпись он получает через воздух ("air gap") посредством флешки или QR-кода. Таким же образом подписанная транзакция передается обратно на онлайн-машину.

[moneymaker]

15 минут назад, KlopS5 сказал:

Ну можно и на загрузочную флешку (токо дофига гигабайтную) реализовать той же кошелек - еще мобильнее ?

Головняки лишние при необходимости переводов или трат. В аппаратным кошельком нужен любой комп с USB, а так дополнительные заморочки.

[KlopS5]

Я это к чему, что аппаратный кошелек не панацея - это маркетинговый ход и все. А так его можно реализовать на флешке/бумажке/какашке, да можно образ системы с кошельком зашифрованным вообще на гугл драйв положить и в любой точке мира развернуть его на любом даже виртуальном хостинге за минуту - вариантов миллион. И эти  чудо истории и страшилки туфта полная, тк люди в открытом доступе на бумажке записывают пароли. У меня есть и тимвьевер и внц и парнуху смотрю и на мобиле доступ есть, но он разделен - все и с 2014 года цел и все тащусь с этих пугалок, а на страхе люди бабло косят и верят, с таким подходом и этот девайс не спасет - даже у него больше риска - тк на его уязвимости нацелен узконаправленный контингент

[jam72]

@KlopS5 

Ну понятно, одни ("параноики") предпочитают хранить крипту на холодных кошельках, а другие, как вы - на горячих. Если риск понимаете и принимаете, то почему бы нет?