История - но с аппаратником(-ми?) она была или без - непонятно.. не хочет говорить (каким лохом оказался) - "угадывайте между строк.
(+ про антивирус-шпион .. но это для аппаратников видимо не страшно ? а вот фишинг .. что если аппаратник самообновляться будет с фиш-сайта ?)
А команда Runas для трезоро-леджер-водов - видимо может пригодиться ?
(add к кошельблокирующему dpi)
былое и думы
-->
-->
--> https://4pda.ru/ eSNI
хмм .. и чего ?
google.ru/ ESNI +DPI _site:ru-board.com
-->
(+ про антивирус-шпион .. но это для аппаратников видимо не страшно ? а вот фишинг .. что если аппаратник самообновляться будет с фиш-сайта ?)
Quote
https://bitcointalk.org/index.php?topic=5186827.msg53055397#msg53055397
История взлома и кражи криптовалют
https://bits.media/istoriya-vzloma-ot-sergey-simanovsky/
..
Сейчас той ОС-ки уже нет. Железо чистое. Так же, как и все флешки - они вообще были убиты физически (хоть куда-то ушла агрессия кстати, сломать современные флешки, я уже молчу про аппаратные кошельки, не просто, даже при помощи молотка).
...
Человег Друг-Человека24.09 00:31
При этом информации, которая смогла бы пролить свет на картину произошедших событий практически нет, мы только прочитали что ну вот да украли, было на кошельке и тут не стало, ну офигеть интрига дня... Зато как он там орал и метался - все остальное эфирное время, драматизм конечно в лучших шекспировских традициях.
..
It's LSV23.09 15:47
Сочувствую... Это конечно страшно, когда теряешь всё. Не унывай. Где-то потеряешь, где-то обязательно прибудет.
В статье вы писали про аппаратные кошельки. Если не сложно напишите каким образом с них у вас ушли средства
.. Итог: чувствуется недосказанность событий.
молотком крушил аппаратные кошели.. (?) -->История взлома и кражи криптовалют
https://bits.media/istoriya-vzloma-ot-sergey-simanovsky/
..
Сейчас той ОС-ки уже нет. Железо чистое. Так же, как и все флешки - они вообще были убиты физически (хоть куда-то ушла агрессия кстати, сломать современные флешки, я уже молчу про аппаратные кошельки, не просто, даже при помощи молотка).
...
Человег Друг-Человека24.09 00:31
При этом информации, которая смогла бы пролить свет на картину произошедших событий практически нет, мы только прочитали что ну вот да украли, было на кошельке и тут не стало, ну офигеть интрига дня... Зато как он там орал и метался - все остальное эфирное время, драматизм конечно в лучших шекспировских традициях.
..
It's LSV23.09 15:47
Сочувствую... Это конечно страшно, когда теряешь всё. Не унывай. Где-то потеряешь, где-то обязательно прибудет.
В статье вы писали про аппаратные кошельки. Если не сложно напишите каким образом с них у вас ушли средства
.. Итог: чувствуется недосказанность событий.
А команда Runas для трезоро-леджер-водов - видимо может пригодиться ?
Quote
https://bits.media/kak-predotvratit-vzlom-i-vorovstvo-kriptovalyuty/
Рекомендации по организации хранения криптовалют и токенов
Права пользователя. Давайте пользователю ровно столько прав, сколько требуется для выполнения задач. Не сидите под пользователем с административными полномочиями. Более того, можно с помощью ограниченных прав пользователя дополнительно обезопасить кошелек. Например, завести две учетные записи, первая имеет доступ к кошельку, но под ней нельзя залогиниться ни локально, ни по сети. Вторая учетная запись может быть использована для входа, но не имеет доступа к кошельку. Чтобы из под нее работать с кошельком, необходимо дополнительно запускать его с помощью команды Runas, как в этом примере https://bits.media/wallet-security/
...
Песочницы. Заведите отдельную виртуалку для просмотра присланных файлов. Всегда есть риск получить документ с 0-day эксплоитом, который еще не обнаруживается антивирусом. У виртуальных машин есть такой плюс, как довольно быстрая работа со снепшотами. То есть выделаете слепок системы, запускаете на ней сомнительные файлы, и после окончания работ возвращаете состояние виртуалки на момент, когда вы подозрительные файлы еще не открывали. Это нужно как минимум для последующей безопасной работы с другими данными.
...
Не оставляйте вещи без присмотра. Про флэшки или смартфон без пароля всем все понятно. Но в некоторых случаях даже ноутбук может быть взломан просто при вставлении в USB порт устройства, похожего на флэшку. А на самом деле это будет аппаратный HID эмулятор клавиатуры и набор эксплоитов. Так что в Windows среде после настройки всех своих устройств рекомендуется запретить автоматическую установку драйверов и устройств, активировав политику «Запретить установку устройств, не описанных другими параметрами политики».
...
Фишинг. Чаще всего атакуют сайты бирж, онлайн кошельков, популярных обменников.
В лидерах myetherwallet.com, blockchain.com и localbitcoins.com. Чаще всего мошенники регистрируют домен, похожий на атакуемый. Заливают туда безобидный сайт или форум. Покупают рекламу в поисковиках на него. Как только рекламные объявления проходят модерацию, сайт подменяется на клон атакуемого сайта. Настоящий при этом не редко начинают DDoSить. Пользователь не может попасть на сайт, вводит в поисковике его название, кликает по первой строчке в выдаче, не посмотрев, что это реклама, и оказывается на сайте мошенников, который выглядит, как настоящий. Далее он вводит свои логины и пароли, и деньги с его аккаунта утекают злоумышленникам. Зачастую не помогает даже двухфакторная аутентификация, пин коды и т.п. Пользователь сам это все введет. Скажем, при логине введет код, система скажет, что код не верный, введите еще раз. Он введет второй код. А на самом деле первый код использовался для входа, а второй для подтверждения вывода средств.
Другой пример отложенные атаки. Когда вы открываете присланный вам сайт, который выглядит как безопасный, и оставляете вкладку открытой. Через какое-то время при отсутствии действий на странице, ее содержимое подменяется на фишинговый сайт
п.2Рекомендации по организации хранения криптовалют и токенов
Права пользователя. Давайте пользователю ровно столько прав, сколько требуется для выполнения задач. Не сидите под пользователем с административными полномочиями. Более того, можно с помощью ограниченных прав пользователя дополнительно обезопасить кошелек. Например, завести две учетные записи, первая имеет доступ к кошельку, но под ней нельзя залогиниться ни локально, ни по сети. Вторая учетная запись может быть использована для входа, но не имеет доступа к кошельку. Чтобы из под нее работать с кошельком, необходимо дополнительно запускать его с помощью команды Runas, как в этом примере https://bits.media/wallet-security/
Quote
Заходим в виртуальную машину от имени пользователя banker. Щелкаем правой кнопкой по папке wallet, выбираем properties, и на вкладке General снизу нажимаем на кнопку Advanced, в открывшемся окне ставим галку напротив Encrypt contents to secure data, жмем ок, в окне подтверждения выбираем Apply changes to this folder, subfolder and files. Подтверждаем, дожидаемся окончания процесса шифрования.
Теперь только пользователь banker может пользоваться кошельком, для остальных он зашифрован, даже если украдут образ виртуальной машины или физический компьютер, без ключа пользователя banker до кошелька не добраться. После выполнения приведенных выше действий никто, кроме banker, не имеет доступа к папке кошелька по правам NTFS, плюс папка зашифрована EFS с ключом пользователя banker.
Но есть одно но, сидя под banker любая программа может вытащить данные, от этого защитимся следующим образом: мы не будем заходить под пользователем banker, а заходить будем под пользователем user, а запускать кошелек будем от имени banker. Для этого изменим файл run.cmd следующим образом: кликаем по нему правой кнопкой мыши, нажимаем edit и изменяем содержимое на Runas /user:my_bank\banker D:\bitcoin\bitcoin.exe datadir=D:\wallet
После этих действий запуск run.cmd будет сопровождаться запросом пароля пользователя banker, кто его не знает не сможет запустить кошелек.
Антивирус. Ставить или нет антивирус? Если компьютер подключен к сети, используется для еще каких-либо задач, кроме хранения криптовалюты, в него есть возможность подключать флэшки или иным способом подгрузить вредоносные программы мы рекомендуем использовать антивирус. Если же компьютер специально настроен только как кошелек, везде закручена безопасность на максимум, на компьютере нет никакого постороннего ПО и возможности его туда загрузить лучше обойтись без антивируса. Есть небольшая вероятность, что антивирус отошлет в компанию производителя кошелек как подозрительный файл, например, или в самом антивирусе найдут уязвимость. Хоть это и очень маловероятно, но случаи подобные уже были, совсем их исключать не стоит.Теперь только пользователь banker может пользоваться кошельком, для остальных он зашифрован, даже если украдут образ виртуальной машины или физический компьютер, без ключа пользователя banker до кошелька не добраться. После выполнения приведенных выше действий никто, кроме banker, не имеет доступа к папке кошелька по правам NTFS, плюс папка зашифрована EFS с ключом пользователя banker.
Но есть одно но, сидя под banker любая программа может вытащить данные, от этого защитимся следующим образом: мы не будем заходить под пользователем banker, а заходить будем под пользователем user, а запускать кошелек будем от имени banker. Для этого изменим файл run.cmd следующим образом: кликаем по нему правой кнопкой мыши, нажимаем edit и изменяем содержимое на Runas /user:my_bank\banker D:\bitcoin\bitcoin.exe datadir=D:\wallet
После этих действий запуск run.cmd будет сопровождаться запросом пароля пользователя banker, кто его не знает не сможет запустить кошелек.
...
Песочницы. Заведите отдельную виртуалку для просмотра присланных файлов. Всегда есть риск получить документ с 0-day эксплоитом, который еще не обнаруживается антивирусом. У виртуальных машин есть такой плюс, как довольно быстрая работа со снепшотами. То есть выделаете слепок системы, запускаете на ней сомнительные файлы, и после окончания работ возвращаете состояние виртуалки на момент, когда вы подозрительные файлы еще не открывали. Это нужно как минимум для последующей безопасной работы с другими данными.
...
Не оставляйте вещи без присмотра. Про флэшки или смартфон без пароля всем все понятно. Но в некоторых случаях даже ноутбук может быть взломан просто при вставлении в USB порт устройства, похожего на флэшку. А на самом деле это будет аппаратный HID эмулятор клавиатуры и набор эксплоитов. Так что в Windows среде после настройки всех своих устройств рекомендуется запретить автоматическую установку драйверов и устройств, активировав политику «Запретить установку устройств, не описанных другими параметрами политики».
...
Фишинг. Чаще всего атакуют сайты бирж, онлайн кошельков, популярных обменников.
В лидерах myetherwallet.com, blockchain.com и localbitcoins.com. Чаще всего мошенники регистрируют домен, похожий на атакуемый. Заливают туда безобидный сайт или форум. Покупают рекламу в поисковиках на него. Как только рекламные объявления проходят модерацию, сайт подменяется на клон атакуемого сайта. Настоящий при этом не редко начинают DDoSить. Пользователь не может попасть на сайт, вводит в поисковике его название, кликает по первой строчке в выдаче, не посмотрев, что это реклама, и оказывается на сайте мошенников, который выглядит, как настоящий. Далее он вводит свои логины и пароли, и деньги с его аккаунта утекают злоумышленникам. Зачастую не помогает даже двухфакторная аутентификация, пин коды и т.п. Пользователь сам это все введет. Скажем, при логине введет код, система скажет, что код не верный, введите еще раз. Он введет второй код. А на самом деле первый код использовался для входа, а второй для подтверждения вывода средств.
Другой пример отложенные атаки. Когда вы открываете присланный вам сайт, который выглядит как безопасный, и оставляете вкладку открытой. Через какое-то время при отсутствии действий на странице, ее содержимое подменяется на фишинговый сайт
(add к кошельблокирующему dpi)
былое и думы
Будет сложно, вон в Тюмени начали уже тестирование Чебурнета. Вводят DPI (Direct packet inspection),
https://yandex.ru/ DPI +NTCP2Quote
Новый транспортный протокол позволяет не только эффективно противостоять dpi, но и существенно снижает нагрузку на процессор
https://habr.com/ [dpi]:-->
Quote
https://habr.com/ru/post/415977/ - Туннели и VPN, устойчивые к DPI
Streisand целый набор различных сервисов: OpenConnect/AnyConnect, OpenVPN, stunnel, Shadowsocks, WireGuard.
.. Shadowsocks. Шифрованный SOCKS-прокси. Судя по всему, при желании может быть детектирован, однако существуют плагины, маскирующие его под «чистый HTTPS».
.. OpenVPN вполне себе детектируется со стороны, поэтому его обычно и пытаются завернуть в shadowsocks, obfs4 и аналогичные штуки.
, https://habr.com/ru/company/hidemy_name/blog/444230/Streisand целый набор различных сервисов: OpenConnect/AnyConnect, OpenVPN, stunnel, Shadowsocks, WireGuard.
.. Shadowsocks. Шифрованный SOCKS-прокси. Судя по всему, при желании может быть детектирован, однако существуют плагины, маскирующие его под «чистый HTTPS».
.. OpenVPN вполне себе детектируется со стороны, поэтому его обычно и пытаются завернуть в shadowsocks, obfs4 и аналогичные штуки.
-->
Quote
https://habr.com/ru/news/t/468743/
Один из авторов закона Андрей Луговой (2) ранее объяснял, что эти меры должны защитить российский сегмент Сети
--> Один из авторов закона Андрей Луговой (2) ранее объяснял, что эти меры должны защитить российский сегмент Сети
Quote
--> https://4pda.ru/ eSNI
Quote
https://4pda.ru/forum/index.php?showtopic=737235&st=10680#entry78302151
Пару страниц назад я спрашивал, зачем нужен пункт "Персональный DNS-сервер".
Оказывается, пункт настроек "Персональный DNS-сервер" Весьма важная и полезная вещь.
При использовании классической схемы DNS, провайдеры могут лезть в ваши DNS-пакеты, просматривать, какие домены вы запрашиваете, и подменять ответы как угодно. Этим же занимаются мошенники, подменяя резолверы на взломанных роутерах, чтобы направить пользователя на поддельный сервер.
Встроенными ресурсами только Android 9 позволяет нам использовать DNS over TLS. C DNS over TLS запросы посылаются внутри зашифрованного тоннеля так, что провайдер не может подменить или просмотреть запрос.
А с приходом шифрования имени домена в сертификатах X.509 (ESNI) станут невозможны блокировки через DPI по SNI (Server Name Indication, специальное поле, в котором передается имя домена в первом TLS-пакете), которые сейчас применяются у некоторых крупных провайдеров.
--> Пару страниц назад я спрашивал, зачем нужен пункт "Персональный DNS-сервер".
Оказывается, пункт настроек "Персональный DNS-сервер" Весьма важная и полезная вещь.
При использовании классической схемы DNS, провайдеры могут лезть в ваши DNS-пакеты, просматривать, какие домены вы запрашиваете, и подменять ответы как угодно. Этим же занимаются мошенники, подменяя резолверы на взломанных роутерах, чтобы направить пользователя на поддельный сервер.
Встроенными ресурсами только Android 9 позволяет нам использовать DNS over TLS. C DNS over TLS запросы посылаются внутри зашифрованного тоннеля так, что провайдер не может подменить или просмотреть запрос.
А с приходом шифрования имени домена в сертификатах X.509 (ESNI) станут невозможны блокировки через DPI по SNI (Server Name Indication, специальное поле, в котором передается имя домена в первом TLS-пакете), которые сейчас применяются у некоторых крупных провайдеров.
Quote
https://4pda.ru/forum/index.php?showtopic=837667&st=8040#entry78905263
но некоторые CDN (допустим, Cloudflare) уже внедряют eSNI, вскрыть которое не получится - останется только заблокировать в России все сайты, сидящие за CloudFlare
но некоторые CDN (допустим, Cloudflare) уже внедряют eSNI, вскрыть которое не получится - останется только заблокировать в России все сайты, сидящие за CloudFlare
Quote
https://4pda.ru/forum/index.php?showtopic=163303&st=8000#entry80174848
Я включил DoH и esni. Вот тут можно потестить
Мои настройки можно найти тут
Я включил DoH и esni. Вот тут можно потестить
Мои настройки можно найти тут
Quote
https://www.opennet.ru/opennews/art.shtml?num=49325
В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике
25.09.2018
https://bitcointalk.org/index.php?topic=1201197 - Использование CloudFlare ставит под угрозу Биткоин сервисыВ CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике
25.09.2018
хмм .. и чего ?
google.ru/ ESNI +DPI _site:ru-board.com
-->
Quote
http://forum.ru-board.com/topic.cgi?forum=5&topic=49599&start=200#6
сейчас многими провайдерами перехватываются/подменяются DNS-запросы.
То есть не поможет прописывание своих DNS ни в роутере, ни в системе.
Сейчас нужно всё шифровать, используя всевозможные технологии DNSSEC, DNSCrypt, DoH, DoT, eSNI.
google.ru/ DPI, DNSSEC, DNSCrypt, DoH, DoT, eSNIсейчас многими провайдерами перехватываются/подменяются DNS-запросы.
То есть не поможет прописывание своих DNS ни в роутере, ни в системе.
Сейчас нужно всё шифровать, используя всевозможные технологии DNSSEC, DNSCrypt, DoH, DoT, eSNI.
Quote
https://www.youtube.com/watch?v=59xhpI8poHMQuote
https://habr.com/ru/post/358126/
Shadowsocks пилят обычные программисты для себя, его главная цель пробивать китайский государственный файерволл. Косвеноо об эффективности говорит тот факт, что несколько лет назад одного из разработчиков навестила полиция и заставила удалить код из репозитория (надо ли говорить, что Git позволяет быстро отмотать любое изменение назад, поэтому никакого эффекта это удаление не возымело).
Shadowsocks пилят обычные программисты для себя, его главная цель пробивать китайский государственный файерволл. Косвеноо об эффективности говорит тот факт, что несколько лет назад одного из разработчиков навестила полиция и заставила удалить код из репозитория (надо ли говорить, что Git позволяет быстро отмотать любое изменение назад, поэтому никакого эффекта это удаление не возымело).
Quote
https://habr.com/ru/post/392741/
Разработчику Великого Китайского Файервола пришлось показать китайским студентам, как обойти защиту при помощи VPN
Фан Биньсин, разработчик системы фильтрации контента Китая (эту систему называют еще «Великий китайский файервол) на днях попал в неловкую ситуацию. Он выступал перед студентами Харбинского политехнического университета, рассказывая об интернет-цензуре в различных странах, включая Южную Корею.
Во время одной из интерактивных демонстраций ему необходимо было зайти на какой-то южнокорейский сайт. Ресурс оказался заблокированным внутри Китая (блокировался ресурс при помощи того самого Великого файервола), но в рамках выступления сайт показать было нужно. И Фан Биньсин решил вопрос по-простому. Он решил использовать VPN, чтобы обойти защиту собственной системы.
Разработчику Великого Китайского Файервола пришлось показать китайским студентам, как обойти защиту при помощи VPN
Фан Биньсин, разработчик системы фильтрации контента Китая (эту систему называют еще «Великий китайский файервол) на днях попал в неловкую ситуацию. Он выступал перед студентами Харбинского политехнического университета, рассказывая об интернет-цензуре в различных странах, включая Южную Корею.
Во время одной из интерактивных демонстраций ему необходимо было зайти на какой-то южнокорейский сайт. Ресурс оказался заблокированным внутри Китая (блокировался ресурс при помощи того самого Великого файервола), но в рамках выступления сайт показать было нужно. И Фан Биньсин решил вопрос по-простому. Он решил использовать VPN, чтобы обойти защиту собственной системы.