Перейти к содержанию

Ledger Nano - аппаратный кошелек


Hlorofos

Рекомендуемые сообщения

1 hour ago, e46btc said:

 

Сразу 5 (пять) уязвимостей в Трезоре ?

Очень некрасивая со стороны ledger статья :(  Смешали реальную уязвимость (№2 в их списке) с каким-то бредом  - №1,  №3-4.

Про №5 не понял толком - они обнаружили, что при наличии физ доступа к устройству (с осциллографом), которое в это время подписывает транзакции - можно увести приватные ключи? Вообще не представляю себе применение этого в реальности.

 

Что за Геннадий, кстати? Уже не первый раз вижу ссылку на него.

Ссылка на комментарий
Поделиться на другие сайты

@sankopolo 

Геннадий это человек с Ютуба, который всем рассказывает какой дырявый Леджер (а на самом деле вводит в заблуждение) и какой классный Трезор, заодно везде вставлет свои реферальные ссылки на Трезор.  Кстати у Леджера тоже есть рефералка, но наверное Трезор ему больше нравится.

 

Что красиво, а что нет - сложно оценивать. В области  информационной безопасности свои правила. Кто нашел уязвимость, то имеет полное право ее опубликовать, чтобы все знали что она есть и пользователи знали чего нужно опасаться.  К тому же они уведомили Трезор 2 месяца  назад обо всех найденных уязвимостях, а огласили всем только сейчас.

 

Это история уже не про конкуренцию.  У Леджера несколько офисов в разных странах и более 1 млн проданных устройств, да и решение с технической точки зрения превосходит Трезор.  Мне все что в статье понятно. По части данных они пояснили, что они их не разглашают, так как эту уязвимость устранить невозможно, можно только уменьшить вероятность  ее применения.

 

Ну и собственно там есть еще и видеозапись доклада с некоторыми подробностями

https://youtu.be/c0iEg42aAhk

 

Ссылка на комментарий
Поделиться на другие сайты

14 minutes ago, e46btc said:

Мне все что в статье понятно.

Ок, тогда интересно ваше мнение по №1,3,4,5. Что из этого списка вообще можно считать уязвимостью? Что можно считать практически применимой уязвимостью (хотя бы при каки-то ситуациях)? Что в статье вижу я:

  1. Про то, что трезор может быть подделан (при покупке в левом месте/на почте/и т п), а голограмма - переклеена. Ну да, всё верно. Неужели леджер защищен от такой атаки?
  2. Про то, что если стырить трезор и иметь нужное ПО/оборудование, то можно восстановить PIN. Реальная уязвимость (была).
  3. Говорится про то, что можно стырить трезор, расковырять его, прочитать память напрямую и, если не было очень хорошего пароля, ключи восстановлены. Ну да, только вроде это и так известно.
  4. Это тупо повтор №3 для другой модели.
  5. Про то, что если подключиться осциллографом к трезору, когда кто-то подписывает им (вероятно, десяток) транзакции, то можно будет восстановить приватные ключи. Ну ок. Только не вижу вообще ситуации, когда и как это может быть применено.
Ссылка на комментарий
Поделиться на другие сайты

@sankopolo 

1. Леджер можно подделать только внешне и визуально, но только он работать с Ledger Live не будет, не будет обновлять прошивку, не будет писать что он Genuine. Почему?  Несколько сообщений назад я выкладывал ссылку на статью.  Это аналог PKI.

Более того, Леджер сами скопировали трезор и показали как его можно подменить.  Никаких проверок и Root of Trust для Трезора нет (так заявлено в статье, у меня нет Трезора).

 

2,3,4,5 - мне понятно как и по какому принципу работают эти атаки.  Но я лично сломать Трезор не могу, у меня нет оборудования и самостоятельных знаний, также как и у большинства пользователей. Но от этого уязвимости не перестают быть уязвимостями и специалисты по реверс инжинерингу разберут девайс, поймут к каким линиям можно подключится, какие сигналы считать, где и какую память можно скопировать, так как там флешка, а не секурити чип с неизвлекаемыми (в принципе) приватными ключами.

 

Ну и сам про себя Леджер не говорит про полную неуязвимость (не здесь, а в документации).  Более того, они не исключают что кто-то типа NSA может получить доступ к чипу, но все кто пытались взломать кошелек за баунти и их специалисты по безопасности - этого сделать не смогли и извлечь приватные ключи не смогли.

 

Собственно для профессионалов в этой сфере не секрет, что в большинстве чипов есть бэкдоры, это все обусловлено на каком-то определенном никому не видимом законодательном уровне (США), большинство современных чипов родом оттуда, Intel, NXP, STM.  Их даже купить затруднительно за пределами США, нужно оформлять экспортные бумаги, их продают адресно конкретным компаниям и т.п.  Это коммерческие разработки и в китае их не печатают, а только на своих мощностях, никто никому подложки не покажет. По этой причине Intel до сих пор с трудом 10нм техпроцесс освоить не может,  зато TSMC во всю уже 7нм печатает чипы.

 

Все эти уязвимости понятны для профессионалов (я себя ни в коем случае к ним не причисляю). Даже если обычный человек ими воспользоваться не может, то от этого они уязвимостями быть не перестают.

Ссылка на комментарий
Поделиться на другие сайты

Еще раз ссылка на статью Леджера

https://www.ledger.fr/2019/02/25/a-closer-look-into-ledger-security-the-root-of-trust/

 

Вот так это работает в картинках

https://blog.nxp.com/security/getting-to-the-root-of-trust

 

Вот отсюда можно узнать что-то на русском

https://habr.com/ru/company/globalsign/blog/352626/

Ссылка на комментарий
Поделиться на другие сайты

9 hours ago, e46btc said:

Леджер можно подделать только внешне и визуально, но только он работать с Ledger Live не будет, не будет обновлять прошивку, не будет писать что он Genuine. Почему?  Несколько сообщений назад я выкладывал ссылку на статью.  Это аналог PKI.

С Ledger Live так просто не заработает - ок. А с электрумом? ? Я только что открыл уязвимость Ledger, ура! Пойду напишу в блог статью про 5 уязвимостей Ledger (остальные 4 высосу из ... пальца).

 

"Некрасиво" - именно про это. Когда всякую ерунду выдают за обнаруженные уязвимости конкурента и публикают в своём официальном блоге. Для тех, кто не понимает, что значит слово "уязвимость" - это прокатит. Для остальных - нет.

 

Ссылка на комментарий
Поделиться на другие сайты

12 минут назад, sankopolo сказал:

С Ledger Live так просто не заработает - ок. А с электрумом? ? Я только что открыл уязвимость Ledger, ура! Пойду напишу в блог статью про 5 уязвимостей Ledger (остальные 4 высосу из ... пальца). 

Вы придумываете глупые варианты, также как и использование на завирусованных компах. Если сунуть пальцы в электощит, то током обязательно ударит.

В коробке с Леджером  есть карточка, на которой сказано с чего начать, куда пройти, как проверить оригинальность устройства.  Если человек не читает инструкции и очень умный или очень самонадеянный, то это правильно, если таким образом он будет наказан. За тупость. Он не захотел проверить свое устройство и начал пользоваться электрумом.

14 минут назад, sankopolo сказал:

"Некрасиво" - именно про это. Когда всякую ерунду выдают за обнаруженные уязвимости конкурента и публикают в своём официальном блоге. Для тех, кто не понимает, что значит слово "уязвимость" - это прокатит. Для остальных - нет.

Вы специалист по информационной безопасности?   Наверное очень авторитетный?  Пока что судя по сообщениям я вижу что это не так.

Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, sankopolo сказал:

Ок, тогда интересно ваше мнение по №1,3,4,5. Что из этого списка вообще можно считать уязвимостью? Что можно считать практически применимой уязвимостью (хотя бы при каки-то ситуациях)? Что в статье вижу я:

  1. Про то, что трезор может быть подделан (при покупке в левом месте/на почте/и т п), а голограмма - переклеена. Ну да, всё верно. Неужели леджер защищен от такой атаки?
  2. Про то, что если стырить трезор и иметь нужное ПО/оборудование, то можно восстановить PIN. Реальная уязвимость (была).
  3. Говорится про то, что можно стырить трезор, расковырять его, прочитать память напрямую и, если не было очень хорошего пароля, ключи восстановлены. Ну да, только вроде это и так известно.
  4. Это тупо повтор №3 для другой модели.
  5. Про то, что если подключиться осциллографом к трезору, когда кто-то подписывает им (вероятно, десяток) транзакции, то можно будет восстановить приватные ключи. Ну ок. Только не вижу вообще ситуации, когда и как это может быть применено.

https://anycoin.news/2019/03/11/ledger-5-trezor/ вот статья про уязвимости трезор

Изменено пользователем Qwerty555
Ссылка на комментарий
Поделиться на другие сайты

1 minute ago, Qwerty555 said:

Зачем здесь это? Выше есть ссылка на блог леджера + вот тут есть подробнее.

13 minutes ago, e46btc said:

Вы специалист по информационной безопасности?   Наверное очень авторитетный?  Пока что судя по сообщениям я вижу что это не так.

Я? Нет, я не специалист. Кое-что понимаю, но не более того.

19 minutes ago, e46btc said:

Вы придумываете глупые варианты, также как и использование на завирусованных компах.

Вирусы на компе - глупый вариант, а осциллограф, подключенный к трезору, когда пользователь подписывает им транзакции - не глупый? Пожалуй, пора заканчивать дискуссию.

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, sankopolo сказал:

когда пользователь подписывает им транзакции - не глупый?

Не глупый.

Устройство можно потерять или забрать или украсть у пользователя.   

Если потерять физический доступ к Трезору - есть все шансы, что владелец крипты останется без всего. 

 

Физическая атака это такая же атака.

Именно по этой причине серьезные устройства безопасности (я не про Леджер) оснащаются Tamper-proof защитой, причем от вскрытия не только каким-то контактными датчиками, а в том числе и объемными и индукционными, максимально исключаются возможность подключения к каким либо точкам на плате.

Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, jam72 сказал:

Вполне профессионально.  Ничего не называли бредом и не кидались какахами.   

Пункт 1 проигнорили, но действительно в этом смысле у Леджера схема продумана и реально работает. 

С п.4 съехали за счет патча п.3.  

Там же на слайде и ответ на тему якобы некрасивости поступка Леджера.

image.thumb.png.04b1826c32abe0f985107c0844ce363b.png

 

Ссылка на комментарий
Поделиться на другие сайты

18 часов назад, osloseo сказал:

ну все же для хранения какой кошелек проще

 

Для хранения нужен не проще, а надежней... Поэтому приватные ключи на бумаге или флешке и в сейф...

Ссылка на комментарий
Поделиться на другие сайты

15 minutes ago, e46btc said:

Вполне профессионально.  Ничего не называли бредом и не кидались какахами.   

Ага. Не написали прямо "леджер - хуже", а чуток завуалировали:

Quote

The primary purpose of a hardware wallet has always been to protect users and funds against malware attacks, computer viruses, and various other remote dangers (like stealing all funds from Ledger via the Stealth Change Address).

Мой перевод:

Quote

Главная цель аппаратного кошелька всегда была - защищать пользователей и из средства от троянов, вирусов и других удалённых (в смысле без физ доступа - прим sankopolo) опасностей ( как в случае с кражей всех средств с Леджера при помощи невидимой сдачи).

(это прямо по нашему разговору о завирусованных компах и о том, для чего вообще нужны аппаратные кошельки)

По сути уязвимостей ответили примерно как я писал выше (только порядок другой):

Quote
  • Supply Chain Attack: Out-of-scope, affects all hardware in transport, no 100% solution, all companies have different methods to mitigate this
  • Software Crappy Attack: Non-exploitable, patched
  • Side Channel PIN Attack: Patched
  • Side Channel Attack Scalar Multiplication: Non-exploitable, PIN required
  • Surprise Concluding Attack: Not disclosed fully, implications for all hardware devices based on ST microchips, mitigated by passphrase

Примерный перевод:

Quote
  • Supply Chain Attack: Не в тему, подвержены все аппаратные кошельки, нет 100% решения, все производители по-разному борются с этим
  • Software Crappy Attack: Не реализуемо, но мы исправили
  • Side Channel PIN Attack: Исправлено
  • Side Channel Attack Scalar Multiplication: Не реализуемо
  • Surprise Concluding Attack: Подробности неизвестны, подвержено любое оборудование на  ST microchips, решается установкой passphrase

Ещё там была ссылочка  на статью про (надеюсь, уже закрытую) уязвимость genuine проверки Леджера (опять прямо к нашему разговору выше) .

Ну и это особенно доставило:

Quote

We would like to use this space to thank Ledger for confirming, once again, that Trezor source code is written with a high degree of quality.

 

Ссылка на комментарий
Поделиться на другие сайты

4 часа назад, sankopolo сказал:

Пожалуй, пора заканчивать дискуссию.

Вы же кажется уже закончили дискуссию?  Мне уже не интересны истории про осциллографы и вирусы.  

У Трезора нет вообще ничего, никакой защиты от Supply Chain Attack, это неоспоримый факт.

Ссылка на комментарий
Поделиться на другие сайты

Возникла проблема при обновлении Леджера. Суть такова: не пользовался одим из Леджеров примерно год и решил что пора обновить его до версии 1.5.5 с версии 1.4.1. , при этом забыл выгрузить из него, как того требует производитель, установленные в него кошели монет. До версии 1.4.2 его обновить удалось и тут-же попытался обновить его до последней версии.Однако в процессе обновления Леджер повис и никакими способами привести его в чувство не удается.На экране самого кошеля при подключении возникает надпись “Booting 1%” и далее процесс загрузки до 100 % занимает  10-12 часов после чего экран начинает мигать. Есть ли у кого дельные мысли как привести кошель в нормальное состояние?

Ссылка на комментарий
Поделиться на другие сайты

13 минут назад, FOREST2000 сказал:

я тоже бывает в ledger редко захожу  и обновлял  его вроде всегда без удаления кошельков , и всё было норм . попробуйте к ним в поддержку написать может что подскажут , а Ledger Live ставили ?

Да,Ledger Live установлен. Пробовал на разных компах везде одно и тоже. Сам Леджер не новый года 1.5-2 ему.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день! 

Произошел глюк во время обновления...мне с нитого с ничего резетнуло аппарат....я постепенно создал новый аккаунт ...записал все фразы...захожу на кошелек а там 0 ...причем на всех монетах...почитав....понял что дело херня....

Скажите пожалуйста я могу как то получить доступ к своему старому кошельке? Или уже все?

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, gorovitsanton сказал:

Скажите пожалуйста я могу как то получить доступ к своему старому кошельке? Или уже все? 

Используя старые фразы, которые записывали прошлый раз до сбоя.

Ссылка на комментарий
Поделиться на другие сайты

@Моржовый В реддите нашел нечто подобное у людей, но решения вроде там нет, надо писать в саппорт. Вот ссылки, может что-то увидите полезное:

https://www.reddit.com/r/ledgerwallet/comments/apkuk7/ledger_nano_s_booting_1/

https://www.reddit.com/r/ledgerwallet/comments/ajzvmn/nano_s_booting_xx_extremely_slowly_16hrs/

https://www.reddit.com/r/ledgerwallet/comments/ak9h9x/nano_s_ledger_logo_flashes_then_device_selfresets/

 

 

Ссылка на комментарий
Поделиться на другие сайты

То есть нужно сделать новый резет.....после выбрать есть аккаунт...и ввести все старое?

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, gorovitsanton сказал:

То есть нужно сделать новый резет.....после выбрать есть аккаунт...и ввести все старое?

Верно.  Но и новые слова пока не выкидывайте.  Когда получите доступ к средствам, там разберетесь что к чему относится.

Ссылка на комментарий
Поделиться на другие сайты

@jam72 Благодарю за ссылки. Удалось реанимировать Леджер на Виндоус 10, судя по всему в основном эта проблема возникает на 8-ке.

Ссылка на комментарий
Поделиться на другие сайты

Всем привет. Подскажите как двигать токены ERC 20 при помощи mycrypto ledger nano s. Нормально подключается выбирается кошелек. разблокируется. с эфиром все ок вроде но когда нажимаю сканировать токены сайт зависает. И так на всех браузерах. На адрем забросил токены на пробу. При выборе адреса их видно. Как отправлять токены.? Что я забыл сделать?)) За ранее спасибо.

Изменено пользователем YoshCat
3.11
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

    • Ledger проблема с выводом ARB OP

      Вывел ARB\OP на леджер а обратно отправить не могу. Выкидывает такую фигню, и что бы я не делал не получается отправить даже половину.  С бинанса выводил OP - OPTIMISM ARB - ARBITRUM ONE. На баланс упали а вот отправиться не могу. Кто то сталкивался с таким? Помогите знатоки

      в Общий

    • Разработчик обнаружил слежку за пользователями аппаратного кошелька Ledger

      Разработчик ПО, использующий псевдоним REKTBuilder, выяснил, что программное обеспечение аппаратного кошелька для хранения биткоинов Ledger Live отслеживает своих пользователей и собирает их данные. REKTBuilder исследовал код Python программного обеспечения устройства и предположил, что оно выполняет «проверку подлинности устройства» каждый раз, когда пользователь подключает кошелек Ledger к компьютеру или телефону. По словам REKTBuilder, эту проверку проходят все приложения, установленные

      в Новости криптовалют

    • Компания Ledger обещает возместить жертвам взлома криптокошельков $ 600 000

      Производитель криптовалютных кошельков Ledger заявил о готовности покрыть убытки пользователей, понесенные в ходе резонансной хакерской атаки на аппаратные устройства компании. В Ledger пообещали, что, помимо финансовых компенсаций пострадавшим владельцам аппаратных криптокошельков, компания обновит программное обеспечение на устройствах. К июню 2024 года пользователи смогут перестать подписывать криптовалютные транзакции вслепую.   При слепой подписи пользователи Ledger не видят всех

      в Новости криптовалют

    • Хакерская атака на кошелек Ledger / Майнинг в России / Тестирование цифрового тенге

      Аппаратный кошелек Ledger подвергся хакерской атаке – как это отразилось на децентрализованных сервисах? Как крупные российские майнеры будут экспортировать добытую криптовалюту в промышленных масштабах? Как прошло тестирование цифрового тенге в Казахстане? Об этом и многом другом расскажем в новом выпуске Bits.media.  

      в Новости криптовалют

    • Команда Ledger объявила о появлении вредоносной версии Ledger Connect Kit

      Представители компании Ledger выпустили заявление о том, что им удалось выявить и удалить поддельный Ledger Connect Kit. Однако взлом кода кошелька поставил под удар крупные криптосервисы. Код сервиса авторизации через криптокошелек Ledger, широко применяющегося в децентрализованных приложениях (dApp), подвергся хакерской атаке. Через некоторое время команда разработчиков кошелька заявила, что ей удалось устранить вредоносный код,    «Мы обнаружили и удалили вредоносную версию Ledge

      в Новости криптовалют

×
×
  • Создать...