Jump to content
PGalitsyn

Делюсь своей грустной историей...

Recommended Posts

Доброго времени суток! 

Впервые пишу здесь и к сожалению, начинаю со своей грустной истории, но вдруг кому поможет, а может кто что подскажет...

Неделю назад зашел на аккаунт на бирже Yobit, где были мои "ивестиции". С неприятным удивлением обнаружил, что средства успешно выведены. Двухфакторка была включена. Погнал на биржу. Порадовался, что со второго аккаунта, где было денег порядком больше, чуть ранее вывел на установленный в iPhone кошелек Beard.

Сегодня, придя с работы с не меньшим удивлением заметил, что с аккаунта satoshi.fund, куда я еще в прошлом году завел 10000 рублей тоже ушли деньги... Тут я понял, что yobit не причем и "побежал" проверять кошель в телефоне и... потерял веру в безопасность... Может для насмешки, может в виду каких-то ограничений в приложении, мне оставили чуть больше 0,003 BTC. Я задумался... с satoshi.fund и yobit понятно, там все в интернете, где-то че то перехватили, но как увели деньги из приложения в телефоне?! Ключи я бережно записывал в iCloud записках. Там также двухфакторная авторизация вшитая в iOS. При попытке входа в аккаунт на экране телефона высвечивается примерное месторасположение попытки входа (с очень большой погрешностью), кнопка разрешения и после высвечиваются цифры, которые надо ввести, плюс пароль больше похожий на биткоин адрес. Чтобы, что-то подхватить на незнакомые сайты не захожу (от слова вообще). Как я вижу, единственный вариант, который возможен, это кто-то взломал teamviewer, (который я использую, чтобы мониторить фермы), зашел на рабочий комп, запустил браузер, зашел в iCloud, который запомнил мой вход, полез в заметки, оттуда скопировал все, проанализировал, что и откуда, успешно все слил. 

В общем вот такая грустная история. Буду рад, если кому-то поможет в лишний раз перестраховаться. Ругать за небрежность не надо, так как я сделал это за вас) (улыбка хоть и натянутая, но искренняя). Пароль на teamviewer

Это адрес, на который увели мои кровные: 15WZBkQHduZFWLKWaXxMdVfH5xzo3eYh4a. Лежат себе до сих пор, нервируют. Битки выводили, кстати, на разные адреса.

Всем добра

Share this post


Link to post
Share on other sites

Сотни историй подобных и во всех присутствует мобила! Лично я юзаю мобилу только как телефон и фотик. Никогда не юзал геморрой в виде мнимой 2FA и не имел проблем. А про icloud - это вообще, как выйти голым на главную площадь города.

Share this post


Link to post
Share on other sites

Hard wallets создали не вчера, потратил 100$ и спишь спокойно. Нет панацеи, но максимизировать свою финансовую безопасность дело первоочередное. 

Мониторинг ферм... что мешало использовать SSH, работать через CLI? Вопрос риторический, отвечать не нужно, но teamviewer для мониторинга ферм где деньги лежать..., жесть.

Share this post


Link to post
Share on other sites

@Eqvant тимка удобный инструмент и для изолированных ферм вообще не проблема. 

iCloud конечно сильно.

Вообще всем пора обзавестись аппаратными кошельками и никаких проблем.

Share this post


Link to post
Share on other sites

А почему BRD а не blockchain wallet? У BRD половина звезд в App Store, видимо сыроват. Как мне кажется, телефон с ios более надежен, чем компьютер с вирусами, браузерами, сохраняющими coockies. Но, конечно, если не ставить сомнительных приложений, бесплатных игр, сохранялок паролей. 

Share this post


Link to post
Share on other sites
30.08.2018 в 22:38, PGalitsyn сказал:

Ключи я бережно записывал в iCloud записках.

Ключи надо распечатывать и на бумажке хранить... Ну на флешке в крайнем случае (если не пихать её куда попало)... Но доверять облаку?

Share this post


Link to post
Share on other sites
30.08.2018 в 22:38, PGalitsyn сказал:

Ключи я бережно записывал в iCloud записках.

это не лечится

Share this post


Link to post
Share on other sites

во, @Lexis77  молодец,правильно говорит про телефон, а то все на эту мобилу надеются как на бога-архангела хранителя.

Ругать не буду, уже поздно. 
Можно хранить где угодно, мест полно, но надо всегда помнить что единственная значимая разница между этими местами - это степень надежности(или невзламываемости таксказать),если вы незнаете как определить этот параметр для того места куда вы запихаете битки - то нужно зайти на форум и почитать людей со стажем, с умными мыслями. Если ненашли такой темы - ну создайте сами,...
Вот так для себя я расставил по степени надежности места(вначале макс.надежные):
- герметичный бункер глубоко в земле (водопламяантивандальный), непосещаемый ,никому неизвестный
 (труднореализуем)
- 10-ки надежных людей(не родственников) по всему миру, у каждого из которых на бумажке записана частичка вашего приватного ключа
 (труднореализуем)
- новая флэшка , hdd,ssd на которые однократно записан приватник(возможно с доп шифрованием).
  Эта флэшка исключительно станционарная, не покидает своего места на тумбочке, не втыкается в компы и тд и естественно
  никому про нее неизвестно.
- hardware wallet - ledger и тд - покупать только у производителя а не посредника
- стационарный комп с ограниченным использованием интернета(или лучше без него) с приватниками
  (аналогичен предыдущему варианту)
- Запись на бумажке приватника желательно аккуратно написанная руками, естественно копии
  в идеале в болшом потайном сейфе
Далее идут сомнительные варианты - для мелких оперативных сумм:
- второй(не основной) рабочий комп  
- хитрые схемы шифрования , деления ключа на части, мультиподписи - для очень хитрожопых и уверенных в себе
  и своих знаниях компютера
- рабочий комп с неким базовым соблюдением гигиены
- мобильные вещи - телефоны,ноутбуки, (icloud, почта,онлайнсервис - с шифрованием)
- биржи(лучше раскидать по разным биржам)


 

Share this post


Link to post
Share on other sites

@prorok Почему запись на бумажке менее надежна, чем флешка, железный кошель и комп?

Кстати, бумажку можно проапгрейдить до нержавейки.

Share this post


Link to post
Share on other sites

Тут скорее всего, что на телефоне где стояла 2FA , юзали все подряд и месенджеры и игры и интернет гоняли. И в голове была старая история, о том, что айфоню не взламывают

Edited by QIWI

Share this post


Link to post
Share on other sites
1 час назад, Halavshk сказал:

@prorok Почему запись на бумажке менее надежна, чем флешка, железный кошель и комп?

Кстати, бумажку можно проапгрейдить до нержавейки.

если сделать полностью, так как написано с примечаниями, то будет даже немного более надежна.

Если же просто бумажка - то при неаккуратном обращении можно потерять. Если с флэшкой более менее понятно, что с  ней делать можно, а что нельзя - то с бумажкой все менее очевидно, начиная от того что чернила со временем высыхают и заканчивая , что стоя и мечтая у окна у вас ее отожмет Ветер и унесет в закат....как-то так (и еще много-много тонкостей...) )

1 час назад, Halavshk сказал:

 бумажку можно проапгрейдить до нержавейки.

вот как проапгрейдите, тогда и приходите....)

Share this post


Link to post
Share on other sites
21 минуту назад, prorok сказал:

то с бумажкой все менее очевидно, начиная от того что чернила со временем высыхают и заканчивая , что стоя и мечтая у окна у вас ее отожмет Ветер и унесет в закат....как-то так (и еще много-много тонкостей...) )

 

как Ленин молоком писать... флешку замуровать... чип вжить под кожу с модулем NFC...и тд/ Так и до паранои не далеко 😀

Share this post


Link to post
Share on other sites
9 минут назад, QIWI сказал:

 

как Ленин молоком писать... флешку замуровать... чип вжить под кожу с модулем NFC...и тд/ Так и до паранои не далеко 😀

зря смеетесь - это реально, у меня много было записных листочков , все в пакете лежало - и один раз просто пролилась вода(много), заметил не сразу, естественно посушил - но в итоге >30% текста  было потеряно и нечитаемо. С чеками из магазинов такая же фигня - годик полежали и все, некоторые не читаются совсем(гарантия под ноль)

Share this post


Link to post
Share on other sites
1 час назад, prorok сказал:

Если же просто бумажка - то при неаккуратном обращении можно потерять. Если с флэшкой более менее понятно, что с  ней делать можно, а что нельзя - то с бумажкой все менее очевидно, начиная от того что чернила со временем высыхают и заканчивая , что стоя и мечтая у окна у вас ее отожмет Ветер и унесет в закат....как-то так (и еще много-много тонкостей...) )

Ну если эта бумажка - обрывок газеты, в которую рыбу заворачивали, то может быть... А если обращаться с ней, как с ценным документом, то считаю бумагу более надежным носителем, чем флешка. К тому же, раз вы допускаете неаккуратное обращение с ценной бумажкой, почему это не применяете к флешке?

Share this post


Link to post
Share on other sites
30.08.2018 в 23:35, moneymaker сказал:

 

Вообще всем пора обзавестись аппаратными кошельками и никаких проблем.

И чем он лучше компа? Всегда не понимал к нему привязанности - это ж по сути тоже комп, с своей ос - но в случае дырки в ней - будет жопа куда быстрее, тк на эту дырку пойдут узконаправленные парни. Параною можно долго разводить, но рецепт предельно прост - линукс+шифрование диска от физического угона - 99% безопасности, 100% - это точно параноя - тк зашифровану бумажку в жопе соседа сам потеряешь быстрее 🙂

Share this post


Link to post
Share on other sites
6 минут назад, KlopS5 сказал:

И чем он лучше компа? Всегда не понимал к нему привязанности - это ж по сути тоже комп, с своей ос

Да, но этот комп без сетевых интерфейсов.

 

9 минут назад, KlopS5 сказал:

рецепт предельно прост - линукс+шифрование диска

...и физическое отсутствие сетевых интерфейсов ). Тогда можно и винду без шифрования (файл кошелька в электруме, например, достаточно надежно зашифрован).

Share this post


Link to post
Share on other sites

@jam72 Ну а в момент транзакции он по вакууму подключается к другим нодам? Еще раз - он не безопаснее той же офлайн бубунты используемой только для отправки транзакции

Share this post


Link to post
Share on other sites
17 минут назад, KlopS5 сказал:

И чем он лучше компа? Всегда не понимал к нему привязанности - это ж по сути тоже комп, с своей ос - но в случае дырки в ней - будет жопа куда быстрее, тк на эту дырку пойдут узконаправленные парни. Параною можно долго разводить, но рецепт предельно прост - линукс+шифрование диска от физического угона - 99% безопасности, 100% - это точно параноя - тк зашифровану бумажку в жопе соседа сам потеряешь быстрее 🙂

Как минимум мобильностью он точно лучше))

Share this post


Link to post
Share on other sites
Только что, moneymaker сказал:

Как минимум мобильностью он точно лучше))

Ну можно и на загрузочную флешку (токо дофига гигабайтную) реализовать той же кошелек - еще мобильнее 🙂

Share this post


Link to post
Share on other sites

@KlopS5 он не подключается к нодам, там только подписываются транзакции.

 

4 минуты назад, KlopS5 сказал:

Еще раз - он не безопаснее той же офлайн бубунты используемой только для отправки транзакции

Офлайн-комп не может отправлять транзакцию.

Share this post


Link to post
Share on other sites
2 минуты назад, jam72 сказал:

@KlopS5 он не подключается к нодам, там только подписываются транзакции.

 

Офлайн-комп не может отправлять транзакцию.

Перефразирую - транзакции он через вакуум подписывает? То есть как я ранее и написал - отправляет транзакцию нодам!

Оффлайн в моем понимании - выкл, до момента отправки транзакции, ну прям точь в точь как этот чудо девайс

Share this post


Link to post
Share on other sites
2 минуты назад, KlopS5 сказал:

Перефразирую - транзакции он через вакуум подписывает? То есть как я ранее и написал - отправляет транзакцию нодам!

Ну да, транзакции на подпись он получает через воздух ("air gap") посредством флешки или QR-кода. Таким же образом подписанная транзакция передается обратно на онлайн-машину.

Share this post


Link to post
Share on other sites
15 минут назад, KlopS5 сказал:

Ну можно и на загрузочную флешку (токо дофига гигабайтную) реализовать той же кошелек - еще мобильнее 🙂

Головняки лишние при необходимости переводов или трат. В аппаратным кошельком нужен любой комп с USB, а так дополнительные заморочки.

Share this post


Link to post
Share on other sites

Я это к чему, что аппаратный кошелек не панацея - это маркетинговый ход и все. А так его можно реализовать на флешке/бумажке/какашке, да можно образ системы с кошельком зашифрованным вообще на гугл драйв положить и в любой точке мира развернуть его на любом даже виртуальном хостинге за минуту - вариантов миллион. И эти  чудо истории и страшилки туфта полная, тк люди в открытом доступе на бумажке записывают пароли. У меня есть и тимвьевер и внц и парнуху смотрю и на мобиле доступ есть, но он разделен - все и с 2014 года цел и все тащусь с этих пугалок, а на страхе люди бабло косят и верят, с таким подходом и этот девайс не спасет - даже у него больше риска - тк на его уязвимости нацелен узконаправленный контингент

Share this post


Link to post
Share on other sites

@KlopS5 

Ну понятно, одни ("параноики") предпочитают хранить крипту на холодных кошельках, а другие, как вы - на горячих. Если риск понимаете и принимаете, то почему бы нет?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...