Polskie Forum Bitcoin

Witam, poproszono mnie o stworzenie tego tematu, aby rozgraniczyć sprawy bardziej techniczne od głównego tematu. Oczywiście, nie wiem czy wybrałem odpowiedni dział, także szanowną moderację proszę o przeniesie w dział właściwszy jeśli się pomyliłem. Na samym początku chciałbym także popełnić małego disclaimera. Jak wiecie projekt HODLER.TECH jest jeszcze we wczesnej fazie rozwoju, także możliwe, że w przyszłości pewne sprawy mogą się mieć inaczej i część rzeczy się może zmienić.

Tak więc na samym początku chciałbym poruszyć kwestie (@pm7 głównie chodzi o ciebie) exploitów na procki basebandowe produkcji kolosów jak Qualcomm itp.

Jak się zabezpieczycie przed atakami na modem pasma podstawowego i przed dziurami (backdoorami) chipów i sterowników?

Nasz wallet będzie produkowany pod naszą kontrolą w Polsce. Zakładam, że uda nam się znaleźć inwestorów, więc możliwe będzie zatrudnienie specjalistów różnego rodzaju. Warto mieć na uwadze, że nie będziemy klepać na masową skale 50 różnych modeli i przy tym minimalizować kosztów (czytaj brać komponenty jakie popadną). Wszystko będzie musiało przejść odpowiednie testy. Nasz produkt musi być bezpieczny. Odnośnie exploitów na basebandy, zgłębiłem trochę temat i zauważyłem, że podatności wykorzystują Stack Overflow któremu przecież można zapobiec na poziomie pisania kodu firmware'a. Poza tym nawet jeśli komuś udałoby się stworzyć takiego exploita, to potem miałby za zadanie przejąć seed albo nadpisać adres do przelania coinów, co może być zadaniem utrudnionym przy zastosowaniu różnych mechanizmów obronnych, np. dodatkowy VM (mowie tu o emulacji procesora) do wykonywania krytycznego kodu.

Wycieki danych z Adnroida są głównie przez usługi Google Play i inne aplikacje. Jeżeli blokujecie instalację innych aplikacji, to nie widzę dlaczego chcecie użyć własnego Linuksa zamiast AOSP.

AOSP też jest brany pod uwagę, jednak narazie tworzymy własną dystrybucję, po dokładnej analizie obu rozwiązań wybierzemy bezpieczniejsze

Jak chcecie uniemożliwić wypłatę z seed?

Jeśli chodzi o funkcję HODL, to nie miałoby to być jakieś zabezpieczenie, lecz utrudnienie wydania tych coinów pod wpływem emocji. Mówię tu o inwestorach, którzy chcieli by potrzymać coiny dłużej.
Wiele coinów wspiera odziedziczony po kodzie bitcoina ficzer wzwany locktime. To mogła by być podstawa pod blokadę. Jeśli finalnie użytkownik chciałby jednak wydać środki, to mógłby sobie wyeksportować klucz prywatny "podportfela" HoDL i nadać transakcje raz jeszcze z innego urządzenia, już bez opoznionego potwierdzenia. Można także ( to już moja wizja ) przelać środki na podportfel zabezpieczony np. 4 cyfrowym pinem (nie mylić z seedem, po prostu dostep do wydania jest zabezpieczony), który aplikacja walleta zna i wyda go dopiero po czasie blokady.
Jednak nie możemy ostatecznie zabronić userowi wydania jego coinów, gdyż tak jak pm7 napisał, user ma seeda

"Built-in mail client" - jak wygląda izolacja maili, aby uniemożliwić uruchomienie wirusa? Zwróćcie uwagę na to, ile było ataków przez exploitowanie systemów renderowania grafiki przez MMS na Androidy.

7bit plaintext w ascii, ta funkcja ma sluzyc do odbierania adresów lub wysłania komuś naszego walleta. Brak unicodu i obsługi innych formatów e-maili pozwoli jedynie na przesłanie EICARa


To by było na tyle tytułem wstępu. Temat jest rozwojowy, jak macie pytania z chęcią na nie odpowiem. Mam nadzieję, że w temacie będą udzielać się programiści, do czego ich gorąco zachęcam

PS Tak nawiasem to witam was, to jeden z moich pierwszych postów

Ze swojej strony chciałbym dodać, że osoby aktywne w tym temacie, z ciekawymi pomysłami, dużą wiedzą i umiejętnościami, będą mogły liczyć na ofertę dołączenia do naszego projektu HODLER, lub do pracy przy naszych już istniejących projektach (Trading View AUTO-TRADER, CryptoAnalyzer, FL4RE). HODLER będzie przez nas rozwijany niezależnie od ilości zebranych funduszy, decyzja już zapadła, prace zostały rozpoczęte.

BTW, Chcemy przeprowadzić stresstest serwera Ubuntu na Amazonie. Potrzebujemy człowieka do instalacji node, jak największą ilość, aż skończy się miejsce na dysku lub serwer się zatka. Jeśli ktoś jest zainteresowany, proszę o kontakt ze mną na email: contact@hodler.tech, lub telegram: @WWW_HODLER_TECH Wymagana tylko umiejętność instalacji pełnych portfeli pod Linuksem i trochę wolnego czasu. Nagradzamy tokenami lub krypto.

UPDATE: Mamy już BCH, BTC, LTC, ETH, ETC, Monero, Dogecoin, DASH. Zapraszamy kolejnych chętnych na uruchomienie jak największej ilości nodów! Rezerwacji można dokonywać na PM. Lista coinów z których można wybierać: https://coinmarketcap.com/coins/
Rozdajemy 2000 HDL za zainstalowanego noda dowolnej kryptowaluty! Chcesz spróbować sił, nie wiesz czy dasz radę? Pisz śmiało, nauczysz się, to tylko testy. Mamy już 2 dedykowane serwery, jeden na Debianie drugi na Ubuntu, trzeci na Windowsie jest już w drodze. Chcemy sprawdzić ile serwerów będziemy musieli zakupić do obsługi HODLER'a.

Testy zakończone. Dziękujemy za udział. Do każdego kto próbował swoich sił będziemy mieli kolejne zadanie niebawem.

Odnośnie pierwszego głównego serwera pod portfel HODLER, posiadamy już skonfigurowane node pod następujące kryptowaluty:
Bitcoin, Bitcoin Cash, Litecoin, DASH, Monero, ZCash, Dogecoin, Ethereum, Ethereum Classic, Nano
Wymagają one około 600 GB na bloki, około 15GB RAM w serwerze. W przyszłym miesiącu zaczniemy kompletować własną serwerownię na 1 pełny klaster składający się z 10 serwerów z kilkoma niezależnymi od siebie łączami i naszym administratorem na miejscu. Będzie on później kopiowany do zewnętrznych dostawców takich jak Amazon, oraz kilku mniejszych. Chcielibyśmy maksymalnie zdywersyfikować ich położenie i samych dostawców. Transakcje będą podpisywane na urządzeniu więc na serwerach nie będzie generowane duże obciążenie. Wraz ze wzrostem liczby użytkowników HODLER'a będziemy mogli łatwo przeskalować infrastrukturę do odpowiednich rozmiarów.

Jeśli posiadasz kilka z poniższych umiejętności:
OS i Appka (wspólne)
- Znajomość technologii Blockchain (może być pobieżna, oferujemy pełne wsparcie w nabywaniu wiedzy)
- Umiejętność pracy z assemblerem (intel lub arm)
- Java
- C/C++
- BASH
- Object Pascal
- Bitcoin Script
- Znajomość kryptografii
OS
- AOSP i sprawy pokrewne
- Znajomość Device Tree
- Znajomość z kernelem
- Umiejętność debugowania jądra
Appka
- Znajomość FMX lub VCL
- Android Studio (niekonieczne ale mile widziane)
- Multiplatform

Zapraszamy do kontaktu z nami poprzez email: contact@hodler.tech.

Podstawowe wynagrodzenie w naszej firmie za pełen etat to 400USD + 30.000 tokenów HDL tygodniowo netto + premie zadaniowe. Chciałbym zaznaczyć że premie są u nas praktykowane po ukończeniu każdego większego zadania oraz wykonania go zgodnie z terminem. Podstawowe wynagrodzenie nie dotyczy specjalistów, jeśli jesteś nim, zaproponujemy Ci warunki finansowe odpowiednie do Twoich umiejętności.

Praca zdalna, możemy zapewnić sprzęt i oprogramowanie odpowiednie do wykonywanych zadań. Forma zatrudnienia do uzgodnienia.

FL4RE pisze: @pm7 głównie chodzi o ciebie

Dzięki za utworzenie tematu, niestety miałem dłuższą przerwę od pisania na forum.

FL4RE pisze: Odnośnie exploitów na basebandy, zgłębiłem trochę temat i zauważyłem, że podatności wykorzystują Stack Overflow któremu przecież można zapobiec na poziomie pisania kodu firmware'a.

Teoretycznie tak, ale jaka firma da Wam dostęp do firmware baseband? To zamknięty kod, zawierający tajemnice producentów.

FL4RE pisze: Poza tym nawet jeśli komuś udałoby się stworzyć takiego exploita, to potem miałby za zadanie przejąć seed albo nadpisać adres do przelania coinów, co może być zadaniem utrudnionym przy zastosowaniu różnych mechanizmów obronnych, np. dodatkowy VM (mowie tu o emulacji procesora) do wykonywania krytycznego kodu.

Typowo, baseband ma dostęp do głównego CPU i pamięci przez DMA. Nie widzę możliwości ochrony przed atakującym, który ma kontrolę nad CPU (może chociażby kontrolować co jest wyświetlane na ekranie).

FL4RE pisze: 7bit plaintext w ascii, ta funkcja ma sluzyc do odbierania adresów lub wysłania komuś naszego walleta. Brak unicodu i obsługi innych formatów e-maili pozwoli jedynie na przesłanie EICARa

Brzmi dużo lepiej niż "wbudowana obsługa maila"

Chodzi o to o co się przeglądarka pluje, zakreślone na czerwono.
Nie możecie lekceważyć nawet najdrobniejszych detali odnośnie szeroko pojętego 'security', zwłaszcza na etapie zbierania funduszy na ICO.
To, plus niewybredny komentarz, zostało mi wytknięte gdy podzieliłem się z kolegami z branży security IT swoim referalem.

voyo pisze:

Wymaga logowania.

voyo pisze:

Chodzi o to o co się przeglądarka pluje, zakreślone na czerwono.
Nie możecie lekceważyć nawet najdrobniejszych detali odnośnie szeroko pojętego 'security', zwłaszcza na etapie zbierania funduszy na ICO.
To, plus niewybredny komentarz, zostało mi wytknięte gdy podzieliłem się z kolegami z branży security IT swoim referalem.

Witaj. Mógłbyś przesłać obrazek który udostępniłeś? O jaki czerwony komunikat chodzi?

Edit: Już wyjaśnione, to faktycznie niedopatrzenie, zamiast https był użyty http do czcionki Google. Dzięki za uwagę.