Jump to content
Sign in to follow this  
Hlorofos

Аппаратный кошелек Ledger Nano

Recommended Posts

1 hour ago, e46btc said:

 

Сразу 5 (пять) уязвимостей в Трезоре 🙂

Очень некрасивая со стороны ledger статья :(  Смешали реальную уязвимость (№2 в их списке) с каким-то бредом  - №1,  №3-4.

Про №5 не понял толком - они обнаружили, что при наличии физ доступа к устройству (с осциллографом), которое в это время подписывает транзакции - можно увести приватные ключи? Вообще не представляю себе применение этого в реальности.

 

Что за Геннадий, кстати? Уже не первый раз вижу ссылку на него.

Share this post


Link to post
Share on other sites

@sankopolo 

Геннадий это человек с Ютуба, который всем рассказывает какой дырявый Леджер (а на самом деле вводит в заблуждение) и какой классный Трезор, заодно везде вставлет свои реферальные ссылки на Трезор.  Кстати у Леджера тоже есть рефералка, но наверное Трезор ему больше нравится.

 

Что красиво, а что нет - сложно оценивать. В области  информационной безопасности свои правила. Кто нашел уязвимость, то имеет полное право ее опубликовать, чтобы все знали что она есть и пользователи знали чего нужно опасаться.  К тому же они уведомили Трезор 2 месяца  назад обо всех найденных уязвимостях, а огласили всем только сейчас.

 

Это история уже не про конкуренцию.  У Леджера несколько офисов в разных странах и более 1 млн проданных устройств, да и решение с технической точки зрения превосходит Трезор.  Мне все что в статье понятно. По части данных они пояснили, что они их не разглашают, так как эту уязвимость устранить невозможно, можно только уменьшить вероятность  ее применения.

 

Ну и собственно там есть еще и видеозапись доклада с некоторыми подробностями

https://youtu.be/c0iEg42aAhk

 

Share this post


Link to post
Share on other sites
14 minutes ago, e46btc said:

Мне все что в статье понятно.

Ок, тогда интересно ваше мнение по №1,3,4,5. Что из этого списка вообще можно считать уязвимостью? Что можно считать практически применимой уязвимостью (хотя бы при каки-то ситуациях)? Что в статье вижу я:

  1. Про то, что трезор может быть подделан (при покупке в левом месте/на почте/и т п), а голограмма - переклеена. Ну да, всё верно. Неужели леджер защищен от такой атаки?
  2. Про то, что если стырить трезор и иметь нужное ПО/оборудование, то можно восстановить PIN. Реальная уязвимость (была).
  3. Говорится про то, что можно стырить трезор, расковырять его, прочитать память напрямую и, если не было очень хорошего пароля, ключи восстановлены. Ну да, только вроде это и так известно.
  4. Это тупо повтор №3 для другой модели.
  5. Про то, что если подключиться осциллографом к трезору, когда кто-то подписывает им (вероятно, десяток) транзакции, то можно будет восстановить приватные ключи. Ну ок. Только не вижу вообще ситуации, когда и как это может быть применено.

Share this post


Link to post
Share on other sites

@sankopolo 

1. Леджер можно подделать только внешне и визуально, но только он работать с Ledger Live не будет, не будет обновлять прошивку, не будет писать что он Genuine. Почему?  Несколько сообщений назад я выкладывал ссылку на статью.  Это аналог PKI.

Более того, Леджер сами скопировали трезор и показали как его можно подменить.  Никаких проверок и Root of Trust для Трезора нет (так заявлено в статье, у меня нет Трезора).

 

2,3,4,5 - мне понятно как и по какому принципу работают эти атаки.  Но я лично сломать Трезор не могу, у меня нет оборудования и самостоятельных знаний, также как и у большинства пользователей. Но от этого уязвимости не перестают быть уязвимостями и специалисты по реверс инжинерингу разберут девайс, поймут к каким линиям можно подключится, какие сигналы считать, где и какую память можно скопировать, так как там флешка, а не секурити чип с неизвлекаемыми (в принципе) приватными ключами.

 

Ну и сам про себя Леджер не говорит про полную неуязвимость (не здесь, а в документации).  Более того, они не исключают что кто-то типа NSA может получить доступ к чипу, но все кто пытались взломать кошелек за баунти и их специалисты по безопасности - этого сделать не смогли и извлечь приватные ключи не смогли.

 

Собственно для профессионалов в этой сфере не секрет, что в большинстве чипов есть бэкдоры, это все обусловлено на каком-то определенном никому не видимом законодательном уровне (США), большинство современных чипов родом оттуда, Intel, NXP, STM.  Их даже купить затруднительно за пределами США, нужно оформлять экспортные бумаги, их продают адресно конкретным компаниям и т.п.  Это коммерческие разработки и в китае их не печатают, а только на своих мощностях, никто никому подложки не покажет. По этой причине Intel до сих пор с трудом 10нм техпроцесс освоить не может,  зато TSMC во всю уже 7нм печатает чипы.

 

Все эти уязвимости понятны для профессионалов (я себя ни в коем случае к ним не причисляю). Даже если обычный человек ими воспользоваться не может, то от этого они уязвимостями быть не перестают.

Share this post


Link to post
Share on other sites

Еще раз ссылка на статью Леджера

https://www.ledger.fr/2019/02/25/a-closer-look-into-ledger-security-the-root-of-trust/

 

Вот так это работает в картинках

https://blog.nxp.com/security/getting-to-the-root-of-trust

 

Вот отсюда можно узнать что-то на русском

https://habr.com/ru/company/globalsign/blog/352626/

Share this post


Link to post
Share on other sites
9 hours ago, e46btc said:

Леджер можно подделать только внешне и визуально, но только он работать с Ledger Live не будет, не будет обновлять прошивку, не будет писать что он Genuine. Почему?  Несколько сообщений назад я выкладывал ссылку на статью.  Это аналог PKI.

С Ledger Live так просто не заработает - ок. А с электрумом? 🙂 Я только что открыл уязвимость Ledger, ура! Пойду напишу в блог статью про 5 уязвимостей Ledger (остальные 4 высосу из ... пальца).

 

"Некрасиво" - именно про это. Когда всякую ерунду выдают за обнаруженные уязвимости конкурента и публикают в своём официальном блоге. Для тех, кто не понимает, что значит слово "уязвимость" - это прокатит. Для остальных - нет.

 

Share this post


Link to post
Share on other sites
12 минут назад, sankopolo сказал:

С Ledger Live так просто не заработает - ок. А с электрумом? 🙂 Я только что открыл уязвимость Ledger, ура! Пойду напишу в блог статью про 5 уязвимостей Ledger (остальные 4 высосу из ... пальца). 

Вы придумываете глупые варианты, также как и использование на завирусованных компах. Если сунуть пальцы в электощит, то током обязательно ударит.

В коробке с Леджером  есть карточка, на которой сказано с чего начать, куда пройти, как проверить оригинальность устройства.  Если человек не читает инструкции и очень умный или очень самонадеянный, то это правильно, если таким образом он будет наказан. За тупость. Он не захотел проверить свое устройство и начал пользоваться электрумом.

14 минут назад, sankopolo сказал:

"Некрасиво" - именно про это. Когда всякую ерунду выдают за обнаруженные уязвимости конкурента и публикают в своём официальном блоге. Для тех, кто не понимает, что значит слово "уязвимость" - это прокатит. Для остальных - нет.

Вы специалист по информационной безопасности?   Наверное очень авторитетный?  Пока что судя по сообщениям я вижу что это не так.

Share this post


Link to post
Share on other sites
10 часов назад, sankopolo сказал:

Ок, тогда интересно ваше мнение по №1,3,4,5. Что из этого списка вообще можно считать уязвимостью? Что можно считать практически применимой уязвимостью (хотя бы при каки-то ситуациях)? Что в статье вижу я:

  1. Про то, что трезор может быть подделан (при покупке в левом месте/на почте/и т п), а голограмма - переклеена. Ну да, всё верно. Неужели леджер защищен от такой атаки?
  2. Про то, что если стырить трезор и иметь нужное ПО/оборудование, то можно восстановить PIN. Реальная уязвимость (была).
  3. Говорится про то, что можно стырить трезор, расковырять его, прочитать память напрямую и, если не было очень хорошего пароля, ключи восстановлены. Ну да, только вроде это и так известно.
  4. Это тупо повтор №3 для другой модели.
  5. Про то, что если подключиться осциллографом к трезору, когда кто-то подписывает им (вероятно, десяток) транзакции, то можно будет восстановить приватные ключи. Ну ок. Только не вижу вообще ситуации, когда и как это может быть применено.

https://anycoin.news/2019/03/11/ledger-5-trezor/ вот статья про уязвимости трезор

Edited by Qwerty555

Share this post


Link to post
Share on other sites
1 minute ago, Qwerty555 said:

Зачем здесь это? Выше есть ссылка на блог леджера + вот тут есть подробнее.

13 minutes ago, e46btc said:

Вы специалист по информационной безопасности?   Наверное очень авторитетный?  Пока что судя по сообщениям я вижу что это не так.

Я? Нет, я не специалист. Кое-что понимаю, но не более того.

19 minutes ago, e46btc said:

Вы придумываете глупые варианты, также как и использование на завирусованных компах.

Вирусы на компе - глупый вариант, а осциллограф, подключенный к трезору, когда пользователь подписывает им транзакции - не глупый? Пожалуй, пора заканчивать дискуссию.

Share this post


Link to post
Share on other sites
3 минуты назад, sankopolo сказал:

когда пользователь подписывает им транзакции - не глупый?

Не глупый.

Устройство можно потерять или забрать или украсть у пользователя.   

Если потерять физический доступ к Трезору - есть все шансы, что владелец крипты останется без всего. 

 

Физическая атака это такая же атака.

Именно по этой причине серьезные устройства безопасности (я не про Леджер) оснащаются Tamper-proof защитой, причем от вскрытия не только каким-то контактными датчиками, а в том числе и объемными и индукционными, максимально исключаются возможность подключения к каким либо точкам на плате.

Share this post


Link to post
Share on other sites
7 минут назад, jam72 сказал:

Вполне профессионально.  Ничего не называли бредом и не кидались какахами.   

Пункт 1 проигнорили, но действительно в этом смысле у Леджера схема продумана и реально работает. 

С п.4 съехали за счет патча п.3.  

Там же на слайде и ответ на тему якобы некрасивости поступка Леджера.

image.thumb.png.04b1826c32abe0f985107c0844ce363b.png

 

Share this post


Link to post
Share on other sites
18 часов назад, osloseo сказал:

ну все же для хранения какой кошелек проще

 

Для хранения нужен не проще, а надежней... Поэтому приватные ключи на бумаге или флешке и в сейф...

Share this post


Link to post
Share on other sites
15 minutes ago, e46btc said:

Вполне профессионально.  Ничего не называли бредом и не кидались какахами.   

Ага. Не написали прямо "леджер - хуже", а чуток завуалировали:

Quote

The primary purpose of a hardware wallet has always been to protect users and funds against malware attacks, computer viruses, and various other remote dangers (like stealing all funds from Ledger via the Stealth Change Address).

Мой перевод:

Quote

Главная цель аппаратного кошелька всегда была - защищать пользователей и из средства от троянов, вирусов и других удалённых (в смысле без физ доступа - прим sankopolo) опасностей ( как в случае с кражей всех средств с Леджера при помощи невидимой сдачи).

(это прямо по нашему разговору о завирусованных компах и о том, для чего вообще нужны аппаратные кошельки)

По сути уязвимостей ответили примерно как я писал выше (только порядок другой):

Quote
  • Supply Chain Attack: Out-of-scope, affects all hardware in transport, no 100% solution, all companies have different methods to mitigate this
  • Software Crappy Attack: Non-exploitable, patched
  • Side Channel PIN Attack: Patched
  • Side Channel Attack Scalar Multiplication: Non-exploitable, PIN required
  • Surprise Concluding Attack: Not disclosed fully, implications for all hardware devices based on ST microchips, mitigated by passphrase

Примерный перевод:

Quote
  • Supply Chain Attack: Не в тему, подвержены все аппаратные кошельки, нет 100% решения, все производители по-разному борются с этим
  • Software Crappy Attack: Не реализуемо, но мы исправили
  • Side Channel PIN Attack: Исправлено
  • Side Channel Attack Scalar Multiplication: Не реализуемо
  • Surprise Concluding Attack: Подробности неизвестны, подвержено любое оборудование на  ST microchips, решается установкой passphrase

Ещё там была ссылочка  на статью про (надеюсь, уже закрытую) уязвимость genuine проверки Леджера (опять прямо к нашему разговору выше) .

Ну и это особенно доставило:

Quote

We would like to use this space to thank Ledger for confirming, once again, that Trezor source code is written with a high degree of quality.

 

Share this post


Link to post
Share on other sites
4 часа назад, sankopolo сказал:

Пожалуй, пора заканчивать дискуссию.

Вы же кажется уже закончили дискуссию?  Мне уже не интересны истории про осциллографы и вирусы.  

У Трезора нет вообще ничего, никакой защиты от Supply Chain Attack, это неоспоримый факт.

Share this post


Link to post
Share on other sites

Возникла проблема при обновлении Леджера. Суть такова: не пользовался одим из Леджеров примерно год и решил что пора обновить его до версии 1.5.5 с версии 1.4.1. , при этом забыл выгрузить из него, как того требует производитель, установленные в него кошели монет. До версии 1.4.2 его обновить удалось и тут-же попытался обновить его до последней версии.Однако в процессе обновления Леджер повис и никакими способами привести его в чувство не удается.На экране самого кошеля при подключении возникает надпись “Booting 1%” и далее процесс загрузки до 100 % занимает  10-12 часов после чего экран начинает мигать. Есть ли у кого дельные мысли как привести кошель в нормальное состояние?

Share this post


Link to post
Share on other sites
13 минут назад, FOREST2000 сказал:

я тоже бывает в ledger редко захожу  и обновлял  его вроде всегда без удаления кошельков , и всё было норм . попробуйте к ним в поддержку написать может что подскажут , а Ledger Live ставили ?

Да,Ledger Live установлен. Пробовал на разных компах везде одно и тоже. Сам Леджер не новый года 1.5-2 ему.

Share this post


Link to post
Share on other sites

Добрый день! 

Произошел глюк во время обновления...мне с нитого с ничего резетнуло аппарат....я постепенно создал новый аккаунт ...записал все фразы...захожу на кошелек а там 0 ...причем на всех монетах...почитав....понял что дело херня....

Скажите пожалуйста я могу как то получить доступ к своему старому кошельке? Или уже все?

Share this post


Link to post
Share on other sites
5 минут назад, gorovitsanton сказал:

Скажите пожалуйста я могу как то получить доступ к своему старому кошельке? Или уже все? 

Используя старые фразы, которые записывали прошлый раз до сбоя.

Share this post


Link to post
Share on other sites

@Моржовый В реддите нашел нечто подобное у людей, но решения вроде там нет, надо писать в саппорт. Вот ссылки, может что-то увидите полезное:

https://www.reddit.com/r/ledgerwallet/comments/apkuk7/ledger_nano_s_booting_1/

https://www.reddit.com/r/ledgerwallet/comments/ajzvmn/nano_s_booting_xx_extremely_slowly_16hrs/

https://www.reddit.com/r/ledgerwallet/comments/ak9h9x/nano_s_ledger_logo_flashes_then_device_selfresets/

 

 

Share this post


Link to post
Share on other sites

То есть нужно сделать новый резет.....после выбрать есть аккаунт...и ввести все старое?

Share this post


Link to post
Share on other sites

@jam72 Ясно, посмотрю что можно сделать.

Share this post


Link to post
Share on other sites
5 минут назад, gorovitsanton сказал:

То есть нужно сделать новый резет.....после выбрать есть аккаунт...и ввести все старое?

Верно.  Но и новые слова пока не выкидывайте.  Когда получите доступ к средствам, там разберетесь что к чему относится.

Share this post


Link to post
Share on other sites

@jam72 Благодарю за ссылки. Удалось реанимировать Леджер на Виндоус 10, судя по всему в основном эта проблема возникает на 8-ке.

Share this post


Link to post
Share on other sites

Всем привет. Подскажите как двигать токены ERC 20 при помощи mycrypto ledger nano s. Нормально подключается выбирается кошелек. разблокируется. с эфиром все ок вроде но когда нажимаю сканировать токены сайт зависает. И так на всех браузерах. На адрем забросил токены на пробу. При выборе адреса их видно. Как отправлять токены.? Что я забыл сделать?)) За ранее спасибо.

Edited by YoshCat
3.11

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Topics

    • OWNR Wallet - мультивалютный некастодиальный кошелек

      OWNR Wallet разработан как криптоэкосистема, которая охватывает большинство транзакций с криптовалютой и подходит для новичков, профессиональных трейдеров, разработчиков и бизнеса.   Криптоэкосистема OWNR включает: ·        Мультифункциональный HD кошелек, доступный для iOS, Android, Windows, Mac OS, Linux; некоторые функции доступны в веб-версии ·        Криптовалютный платежный шлюз ·        Предоплаченные карты Visa для физических и юридических лиц ·      

      in Кошельки для криптовалют

    • Fluocrypt.com - крипто-кошелёк раздаёт деньги!

      Всем привет, я нашел этот крипто-кошелёк / биржу на англ. форуме по криптовалюте, он открылся вообще не давно! Для заманухи новых клиентов сделали просто БОМБЕЗНУЮ реферальную систему и бонус к депозиту аж целых 200%!    Подробности:   1) Переходим на сайт - https://fluocrypt.com/r/831411060 и не реф.: https://fluocrypt.com/r/ 2) Регистрируемся через почту 3) Подтверждаем 2FA через телеграмм бота (https://ibb.co/GP628C0) 4) Заходим в "Settings" и вводим: Ф

      in Раздачи монет

    • Quppy.com - мультивалютный кошелек, обменник, банкинг

      Что такое Quppy? Децентрализованное кредитование, платежный сервис, кошелек. Лицензионная мультивалютная платежная система Quppy была разработана в 2017 году признанными специалистами по банковской, финансовой и информационной безопасности, ранее работавшими в ведущих мировых компаниях.   Quppy — платежное решение для всех видов банковских операций с Bitcoin, Bitcoin Cash, Litecoin, Ethereum и фиатными валютами в евро.   • Функциональность: Quppy позволяет держать

      in Кошельки для криптовалют

    • Выбираем кошелек для криптовалют

      Выбор кошелька для криптовалют: https://www.cryptocompare.com/wallets/#/overview https://1bitcoin.wiki/wallets/ https://forum.bits.media/index.php?/topic/52991-сколько-сейчас-весят-кошельки-криптовалют/ Выбор кошелька для Bitcoin [BTC] - https://forklog.com/bitkoin-koshelki-sravnili-po-48-kriteriyam-najdite-svoj/ Советы: https://bits.media/bitcoin-wallets/ https://bitcoin.org/ru/choose-your-wallet топик форума -  https://forum.bits.media/index.php?/top

      in Кошельки для криптовалют

    • Онлайн кошелек blockchain.com

      Официальный сайт | Twitter | Facebook | Linkedin   Для тех, кто переходит из blockchain.com в Электрум: Внимание! Скачивайте только последнюю версию с официального сайта Электрум. Версии ниже 3.3.4 - уязвимы - потеряете все биткоины из кошелька ! Ни в коем случае не обновляйте старую версию Электрума по всплывающему баннеру из самого Электрума - это фишинг. В теме действуют все Правила форума! Перед тем как задать вопрос, посмотрите НОВИЧКИ Bits.M

      in Кошельки для криптовалют

×
×
  • Create New...