Příspěvky

6001

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 13:06:08 »

Víte co, vykašlete se na veškerou ochranu, nemá smysl. U nás je jakékoliv prolamování ochran trestné

To mne pripomnelo vybornej vtip.

Bavi se Cech a Polak o tom, co delali za komunismu. Polak rika: no my jsme delali sabotaze, organizovali jsme demonstrace, posilali motaky do vezeni... A Cech na to: no jo, to my jsme nemohli, u nas to bylo zakazany.

6002

Hardware / Re:Čím těžit bitcoin?

« kdy: 29. 11. 2013, 12:50:40 »

Bude a preto je logicke predpokladat, ze finalna stabilna cena bude vyssie ako su sucasna ceny.

Kdyz ja porad nerozumim tomu, na zaklade ceho bych to mel predpokladat (fakt se ptam, nejde mi o hadku). Jestlize se BTC casem ustavi jako mena, ktera se pouziva vyhradne na placeni lizatek, tak me asi bude zajimat objem trhu lizatek. Protoze ted o tom hypotetickem budoucim trhu nevim vubec nic, nevim, na zaklade ceho bych mel konstatovat, ze je vetsi nez soucasna trzni kapitalizace BTC.

Je nezmysel na zaklade, toho, ze nieco rastie hovorit, ze to MUSI padnut.

To jsem ani neudelal. Moje tvrzeni je jine: na zaklade toho, ze neco, co jsme si mysleli, ze zarucene poroste, padlo, meli bysme si byt vedomi, ze stejne riziko existuje i u jinych veci, o kterych si ted myslime, ze zarucene porostou. Nic vic, nic min.

Ze BTC padne, to mi prijde velmi pravdpodobne, je to moje hypoteza, ale neni zalozena na tom vyse napsanem.

Nehovoriac o fakte, ze "hypotekarna kriza" na Slovensku (a v CR to nebolo velmi ine) sposobila pomerne malu korekciu.

Jenom tak na okraj: v CR za SPADu jeden developer uplne vypadl a druhy se potaci na nicotne cene (pokles pres 90%, bez realne sance na navrat ve strednedobem horizontu).

ak BTC dospeje a prezije povedzme desatrocie, tak nie je dovod sucasny stav prehlasit za porodne bolesti.

Souhlas. Je to totiz do znacne miry tautologie: jestlize vime, ze dnes neco nefunguje, potom za predpokladu, ze to zitra fungovat bude, muzeme v budoucnosti konstatovat, ze to driv nefungovalo a dnes to funguje

nie je ekonomicky dovod preco by sa nemala nejaka takato mena presadit.

Ekonomickych duvodu je spousta a jsou i dohledatelne na webu.

6003

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 12:26:05 »

V celku je mi jasné, že firewall v produkci musí být. Firewall mám i na svém domácím počítači, takže to jsem to považoval za samozřejmost

No jasne, ale tady nejde o koncovy firewall. Hlavne to chce zamerit se na forward pravidla. To je u serveru nejdulezitejsi. A prave proto jsou lepsi iptables, protoze tam je forward samostatny chain. Urcite nezapomente zahazovat invalid packety! To je z hlediska bezpecnosti serveru zasadni a hodne lidi na to zapomina.

Uplne vyborna vychytavka je taky zavest dvojfaktorovou autentizaci a jeden z faktoru (idealne heslo) zverejnit a pak sledovat, kdo se tam prihlasi a toho zabanovat podle IP.

To jsem chtěl, a vysmáli jste se mi
[/quote]
O zverejneni jednoho faktoru zatim nepadlo slovo. To urcite udelejte! Ale nesmite nastavit heslo na 1234, to by bylo moc napadny.

Určitě jeden honeypot tam už je. Myslel jsem si, že ho třeba někdo objeví. Je tam něco jako možnost přidat si peníze na virtuální účet po čemž dotyčný dostane pěkného banánka

Jo, to je fajn, ale chce to fakt na urovni SQL. Banan je naprd, chce to trigger, kterej mu pak predhodi nejakou falesnou view. Ale se stejnym pristupovym heslem, jinak by mu vypadla session.

Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.

Jasne. To se resi tak, ze se tam nekde skryte do toho chasis da neviditelne generator bileho sumu. Pak ty signaly nezanalyzuje i kdyby se na hlavu postavil. Pohledej tyhle vecicky na Deal Extream, neni to zas tak drahy.

Replikace je dobrá na zálohu,ale útoku nezabrání, nicméně souhlas.

No to se prave pak kombinuje s tim honeypotem - puvodni stroj nechas bezet, nechas utocnika rejdit nad puvodni databazi a on vubec netusi, ze site uz davno jede nekde uplne jinde z repliky. Akorat je tam teda ten problem s DMZ, no. Ale tak kdyz o tom vite, tak neco vymyslite. Mne se nejvic libi reseni takovy, ze se to cely postavi nad GFS2, cimzpadem vlastne ty dva stroje bezi nad jednim blokovym zarizenim, takze pak je daleko jednodussi udelat to odstrihnuti repliky od honeypotu, protoze je tam vlastne sdilenej filesystem.

Útočník může zjistit, kde má VPNka server a provést útok na něj, a když bude úspěšný, memusí to být na tom původním serveru ani znát.

To nee! Na to se prave pouzije to GFS - kdyz je vlastne jakoby virtualni spolecnej filesystem, tak se na nem da otevrit normalni unixovej socket a VPNka pak bezi pres nej. Takze zadnej otevrenej port tam pak neni.

6004

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 11:59:41 »

Tyhle typy ochran bývají nejhorší.

Tak ja ted nevim. Prisel jste poprosit o radu, nebo nas presvedcovat o tom, ze tomu rozumite lip nez my?

Co dál mi poradíte?.

Mate tam poradnej firewall? Urcite tam dejte iptables, ty jsou daleko bezpecnejsi nez PF. Taky by to urcite chtelo fail2ban. Potom taky urcite zverejnete zdrojak, abyste predesli security by obscurity. Uplne vyborna vychytavka je taky zavest dvojfaktorovou autentizaci a jeden z faktoru (idealne heslo) zverejnit a pak sledovat, kdo se tam prihlasi a toho zabanovat podle IP.

Jo a planujete honeypot? Ted nemyslim jako infrastrukturu, o te se samozrejme nebudeme bavit, to je jenom tresnicka. Ale dal bych tam honeypot aplikacni. Idealne integrovanej primo do te SQL databaze.

No a pak uz jenom ty infrastrukturni zalezitosti - server dat do DMZ, sifrovat disky, protoze to bude v racku, do kteryho muze kdokoli. no a taky urcite nezapomenout na disaster recovery - takze databazi replikovat nekam offsite. Coz bude problem, protoze server je v DMZ, ale da se to obejit VPNkou. S hardwarovymi tokeny samozrejme, bezpecnost je priorita.

6005

Hardware / Re:Čím těžit bitcoin?

« kdy: 29. 11. 2013, 11:46:23 »

No takze hodnota je ciste subjektivni vec, asi jako krasa.

Ano, presne tak. A smysl te citovane hlasky je v tom, ze vsichni kupovali jak blazni, protoze cena rostla - a vsechno to krasne fungovalo - dokud se ovsem jeden blbec nezeptal "a k cemu mi to doprcic vlastne je?!"

6006

Hardware / Re:Čím těžit bitcoin?

« kdy: 29. 11. 2013, 11:19:45 »

Zadna takova meritelna "hodnota" neni.

O meritelnosti jsem nic nerikal.

Jak ji zjistie?

Treba tak, ze si polozim jednoduchou otazku: ma pro me vetsi hodnotu jeden bitcoin nebo novej paradne rychlej a nabusenej smartphone?!

6007

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 11:15:34 »

Informace o brzkém spuštění již z jejich webu zmizela, takže nějaký výsledek tato diskuze asi přecejen měla

A doprcic! Vsichni black hat hackeri, kteri se uz tetelili na snadny ulovek nas ted budou nenavidet a pujdou po nas!

No stalo nam to za to?!

6008

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 10:33:06 »

Začíná to tady být dost vtipný absurdní divadlo

"umíme to lépe zabezpečit".

Měl tam prý i nějaký iptables pravidla proti ddosům.

- chybí třešnička

přeceňuješ nastavení produkčního prostředí. Carlos to dělal taky.

Kdo se hádá o komáří řešeto, nemůže tančit s kozou u Podmokel!

6009

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 10:18:33 »

- chybí třešnička

OMG!

Komu není rady, tomu není pomoci.

6010

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 10:00:31 »

Ondřeji, upřímně: čím míň budeš psát, tím míň tenhle projekt znevěrohodníš.

Svoje osobní úvahy o iptables si raději nech pro toho odborníka, kterého si na tu bezpečnost najmete. Nezapomeň, že co tady jednou napíšeš, to tu bude na věky a jednou by to mohlo být terčem velkého posměchu.

6011

Hardware / Re:Čím těžit bitcoin?

« kdy: 29. 11. 2013, 09:54:28 »

"A jakou to vlastně má cenu?"

Respektive hodnotu.

6012

Hardware / Re:Čím těžit bitcoin?

« kdy: 29. 11. 2013, 09:54:00 »

Ak Bitcoin prezije, tak vzhladom k jeho pocetnosti a potencialnemu pouzitiu je sucasna cena fakt nizka.

Jakože celková cena všech BTC nebude odpovídat objemu trhu, na kterém se bude BTC používat jako platidlo, nebo jak tomu mám rozumět?

Pořád by mě ale zajímalo, proč ausgerechnet 2500. I za toho předpokladu výš neznám objem toho trhu ani nevím, jestli část z něj nepokryje nějaký substitut, třeba LTC.

Zeby to, ze to je iny pripad?

Stejný případ je to minimálně v tom, že pro ceny nemovitostí existovalo taky jediné pravidlo: vždy, pořád a navěky jenom porostou...

...a taky v tom, jak pěkně říkají ti dva Britští komici: bylo to úplně v pořádku a krásně to fungovalo do té doby, než se někdo zeptal: "A jakou to vlastně má cenu?"

6013

Hardware / Re:Čím těžit bitcoin?

« kdy: 29. 11. 2013, 09:13:49 »

A osobně si myslím, že bitcoin stoupne v 1Q přístího roku někam k 2500 USD. Tak se necháme překvapit.

To si myslíš na základě čeho? Proč zrovna 2500? Proč ne třeba 6000?

A poroste proč? Protože rostl doteď? Před pár lety se spustila hypoteční krize, co sis z ní vzal za poučení?

6014

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 09:00:12 »

Kdybych jsem sem přišel s klasickou prosbou o pomoci, tak budu zaignorovaný.

Nesmysl. Když někdo přijde s normální prosbou o radu, chová se přiměřeně své situaci a slušně všem poděkuje, dostane většinou ochotně spoustu rad.

Podle mě by takový příspěvek mohl vypadat třeba takhle:

Ahoj kluci,
po hacku Carlosovy směnárny a po tom, co na něj bylo podáno trestní oznámení, jsme si řekli, že bitcoinové směnárenství je supr oblast podnikání a je to díra na trhu a že do toho půjdeme. Stavíme na tom, že bezpečnost musí být v této branži absolutní priorita a tak jsme se pokusili navrhnout takové schéma, které by principielně nebylo možné napadnout stejným způsobem jako tomu bylo u Carlose.

Jsme programátoři, kteří za sebou nějaké webové projekty mají, ale s něčím takhle citlivým jsme nikdy nedělali. Pokusili jsme se ze sebe v tomhle ohledu vymáčknout maximum, ale nějakou odbornou supervizi od někoho, kdo má v téhle oblasti pořádné zkušenosti, nutně potřebujeme.

Takže hledáme pro externí konzultaci a ideálně i dlouhodobější spolupráci někoho, kdo:
1. má s bezpečností prokazatelně zkušenosti (práce v bezpečnosti v bankovnictví, PaySecu apod.)
2. má praxi v penetračním testování (požadujeme znalost metodik, certifikování kvality apod.)
3. případně by nám mohl pomoct i s analýzou rizik a nastavení bezpečnostních politik
4. chápe a akceptuje, že jsme startup a nejsme schopní mu platit miliony.

Odměna formou podílu na firmě je možná. V současnosti jsme ve fázi jednání se dvěma investory, kteří o náš projekt mají vážný zájem, takže podle nás je to dobrá příležitost.

Pro představu, o co jde a v jaké fázi se projekt nachází, demo zde: bflmps.cz

Předem díky všem, kteří nám pomůžou našeho člověka najít. Už jsme pracně zjistili, že tohle hledání není jednoduché a každá rada, kde správného člověka najít, má pro nás cenu zlata. Teda vlastně cenu bitcoinů Takže za tip vedoucí k podpisu smlouvy nabízíme jako malé poděkování účet na našem systému, přednabitý 0.1BTC hned po ostrém spuštění

Je to fakt tak těžký dělat věci úplně normálně, standardně, poctivě? Proč musíme pořád hledat způsob, jak něco ošulit a za korunu si koupit Lamborghini?

6015

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 08:15:29 »

Dobrý den, teší mě, že to někdo zkouší. Chtěl bych se zeptat, z jakého programu je to výstup?

http://w3af.org/