Аппаратные кошельки - page 38.

FontSeli

hero member

Activity: 1232

Merit: 858

Quote from: igor72 on December 15, 2019, 05:14:21 AM

Да, но я возражал только по поводу Леджера, у Трезора (и его клонов вроде KeepKey) действительно есть уязвимость - возможность считать 24 слова при физическом доступе.

Будем надеяться что Леджер намного надежнее. Но при этом лучше исходить из того, что нет надежных на 100% систем и устройств.

Quote from: igor72 on December 15, 2019, 05:14:21 AM

Если взять флешку, установить туда Tails и использовать встроенный Electrum как кошелек, то это не такой уж плохой способ хранения. Но все равно, это разные классы кошельков. А если флешка с кошельком втыкается в обычный "семейный" комп с виндой, то такое хранение вообще неприемлемо, по-моему.
А тот способ взлома леджера действительно весьма экзотический. Нафантазировать много чего можно, воплотить сложно.

Все очень сильно зависит от того сколько у вас монет. Я бы не стал заморачиваться из-за пары тысяч. До сих пор я храню свои сиды от холодных кошельков на флешках записанные в одном из тысячи мусорных файлов. И я уверен, что хрен кто найдет их там, если целенаправленно не будет искать. Но мы это уже обсуждали в теме про сид с тайкири.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: FontSeli on December 14, 2019, 08:10:23 AM

Quote from: igor72 on December 13, 2019, 04:01:41 PM

Вы, видимо, не заметили выше моего ответа Джонни. По тем ссылкам - взлом леджера там был, мягко говоря, неубедительным (в отличие от трезора).

Игорь, я видел. Трезор это ведь тоже аппаратный кошелек.

Да, но я возражал только по поводу Леджера, у Трезора (и его клонов вроде KeepKey) действительно есть уязвимость - возможность считать 24 слова при физическом доступе.

Quote from: SaracenRomero213 on December 14, 2019, 12:55:12 PM

Не храните все яйца в одной корзине, даже если что взломают или сами потеряете или где то не там введете, потеря будет лишь части депозита, а не всего вашего криптоимущества.

Согласен. Но при условии, что другие "корзины" не будут уступать по безопасноcти. Простейший способ диверсификации с аппаратным кошельком - это создать несколько кошельков с разными 25-ми словами (24 слова можно не менять). При желании, можно немного заморочиться и сделать мультиподписной кошелек аппаратного с Electrum.

SaracenRomero213

hero member

Activity: 1204

Merit: 518

Quote from: FontSeli on December 14, 2019, 08:10:23 AM

Но вот наличие таких пусть и весьма экзотических способов взлома (которые хорошо что публикуются публично - заставят разработчиков внести доп защиту), делает и обычные флешки не таким уж и плохим способом хранения монет.

Не храните все яйца в одной корзине, даже если что взломают или сами потеряете или где то не там введете, потеря будет лишь части депозита, а не всего вашего криптоимущества.

FontSeli

hero member

Activity: 1232

Merit: 858

Quote from: dwyane36 on December 14, 2019, 10:41:30 AM

Quote from: FontSeli on December 14, 2019, 08:10:23 AM

Ну вот и я о чем, что в случае физического доступа к вашим вещам наверное лучше будет чтобы ваши сиды или приватники от кошельков хранились на обычной флешке из числа многих. Так есть шанс что на нее внимания вообще не обратят, а вот аппаратник обязательно заберут и будут пытаться взломать.

Если уж на то пошло, то сид фразу можно вообще не хранить на флешке, а выучить эти 12 слов наизусть.
Если забудешь, тогда вообще никто доступ к кошельку не получит. Grin

Бывает такие ситуации, цитирую где-то услышанную мысль: "когда помнишь стишок, который учил в далеком детстве, но не помнишь куда положил ключи от машины".

Я бы не стал полагаться только на одну память, какая бы она у вас не была. Случается всякое, можно ударится головой, можно пережить сильный стресс и т.д. мозг человека может дать сбой и очистить память о сиде. Поэтому лучше все же где-то записать. Ну или купить аппаратник как рекомендуют в этой теме, там в комплекте будет бумага для записи))

dwyane36

legendary

Activity: 2996

Merit: 2229

Quote from: FontSeli on December 14, 2019, 08:10:23 AM

Ну вот и я о чем, что в случае физического доступа к вашим вещам наверное лучше будет чтобы ваши сиды или приватники от кошельков хранились на обычной флешке из числа многих. Так есть шанс что на нее внимания вообще не обратят, а вот аппаратник обязательно заберут и будут пытаться взломать.

Если уж на то пошло, то сид фразу можно вообще не хранить на флешке, а выучить эти 12 слов наизусть.
Если забудешь, тогда вообще никто доступ к кошельку не получит. Grin

FontSeli

hero member

Activity: 1232

Merit: 858

Quote from: johhnyUA on December 13, 2019, 01:50:10 PM

Если флешка неправильно организована, то сомневаюсь.

При этом, правильно написал: не известно что на той флешке. На любом аппаратнике всем понятно что хранится, а вот на флешке - пойди и угадай. Это называется метаданные.

Ну вот и я о чем, что в случае физического доступа к вашим вещам наверное лучше будет чтобы ваши сиды или приватники от кошельков хранились на обычной флешке из числа многих. Так есть шанс что на нее внимания вообще не обратят, а вот аппаратник обязательно заберут и будут пытаться взломать.

Quote from: igor72 on December 13, 2019, 04:01:41 PM

Вы, видимо, не заметили выше моего ответа Джонни. По тем ссылкам - взлом леджера там был, мягко говоря, неубедительным (в отличие от трезора).

Игорь, я видел. Трезор это ведь тоже аппаратный кошелек. Я не стану с пеной у рта доказывать что аппартники не стоит брать, тем более сам себе уже заказал один, который надеюсь приедет в этом году.
Но вот наличие таких пусть и весьма экзотических способов взлома (которые хорошо что публикуются публично - заставят разработчиков внести доп защиту), делает и обычные флешки не таким уж и плохим способом хранения монет.

Kepasa

legendary

Activity: 1848

Merit: 1014

Quote from: naska21 on December 14, 2019, 02:49:19 AM

Походу да, можно взять голый корпус леджера, напхать его своей начинкой и впихивать лошкам. Два года назад на алибаба леджеры по 5-10 баксов почем зря предлагали и раз предложение было стало быть кто-то брал.

При загрузке и подключении к Ledger Live устройство проходит проверку на уникальность, как с этим быть? Не думаю что Леджер допустит это в принципе, если никто еще не смог взломать устройство, то об этом "Фишинговом" почти способе ну явно позаботились.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: naska21 on December 14, 2019, 02:49:19 AM

Походу да, можно взять голый корпус леджера, напхать его своей начинкой и впихивать лошкам. Два года назад на алибаба леджеры по 5-10 баксов почем зря предлагали и раз предложение было стало быть кто-то брал.

Там вроде просто обычные флешки продаются в корпусе леджера. Не знаю точно, но там предлагались варианты по объему памяти, типа 128 гигабайт, 32 гигабайта. А флеш-памяти в настоящем леджере всего 360 килобайт )).

naska21

hero member

Activity: 1358

Merit: 635

Quote from: igor72 on December 13, 2019, 04:01:41 PM

В случае с радиоуправляемой кнопкой - это крайне сложно осуществить. Нужно и леджер модифицировать, и ПО на компе жертвы, и за стенкой передатчик установить, который нажмет кнопку в нужный момент несколько раз. А в последней версии прошивки леджера нужно нажать 3-5 раз правую кнопку, а затем обе кнопки вместе (то есть уже два приемника с антеннами нужно внутри вместить и ими управлять). Фантастика, по-моему.

Походу да, можно взять голый корпус леджера, напхать его своей начинкой и впихивать лошкам. Два года назад на алибаба леджеры по 5-10 баксов почем зря предлагали и раз предложение было стало быть кто-то брал.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: FontSeli on December 13, 2019, 08:05:03 AM

Джонни выше кидал 2 ссылки на найденные уязвимости в аппаратных кошельках, которые позволяют получить к ним доступ. Или нужно привести конкретный пример взлома кошелька?

Вы, видимо, не заметили выше моего ответа Джонни. По тем ссылкам - взлом леджера там был, мягко говоря, неубедительным (в отличие от трезора).

Quote from: johhnyUA on December 13, 2019, 01:50:10 PM

Quote from: igor72 on December 12, 2019, 04:05:54 PM

Был официальный ответ леджера на это, где было сказано, что это все ерунда. Можно им не верить, конечно, но никто с тех пор леджер так и не взломал, включая, кстати, и авторов доклада. Они там какой-то недостаток нашли, но до ключей добраться не смогли. Кроме того, с тех пор уже дважды обновлялась прошивка, - даже если и было там что-то, то уже наверняка залатали.

Там было сказано что атаки мало осуществимы и так далее. Но это не значит "невозможно". Да, сложно вставить дроссель в аппаратник чтобы незаметно было, но когда введет человек пинкод, то здесь уж только внимательность его может спасти (как я понял из вектора атаки).

В случае с радиоуправляемой кнопкой - это крайне сложно осуществить. Нужно и леджер модифицировать, и ПО на компе жертвы, и за стенкой передатчик установить, который нажмет кнопку в нужный момент несколько раз. А в последней версии прошивки леджера нужно нажать 3-5 раз правую кнопку, а затем обе кнопки вместе (то есть уже два приемника с антеннами нужно внутри вместить и ими управлять). Фантастика, по-моему.

johhnyUA

legendary

Activity: 2436

Merit: 1849

Crypto for the Crypto Throne!

Quote from: FontSeli on December 12, 2019, 10:41:49 AM

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.

Если флешка неправильно организована, то сомневаюсь.

При этом, правильно написал: не известно что на той флешке. На любом аппаратнике всем понятно что хранится, а вот на флешке - пойди и угадай. Это называется метаданные.

Quote from: igor72 on December 12, 2019, 04:05:54 PM

Был официальный ответ леджера на это, где было сказано, что это все ерунда. Можно им не верить, конечно, но никто с тех пор леджер так и не взломал, включая, кстати, и авторов доклада. Они там какой-то недостаток нашли, но до ключей добраться не смогли. Кроме того, с тех пор уже дважды обновлялась прошивка, - даже если и было там что-то, то уже наверняка залатали.

Там было сказано что атаки мало осуществимы и так далее. Но это не значит "невозможно". Да, сложно вставить дроссель в аппаратник чтобы незаметно было, но когда введет человек пинкод, то здесь уж только внимательность его может спасти (как я понял из вектора атаки).

FontSeli

hero member

Activity: 1232

Merit: 858

Quote from: igor72 on December 12, 2019, 04:49:04 PM

Quote from: FontSeli on December 12, 2019, 04:43:36 PM

А как насчет способов взлома аппаратника, что скажете, оказывается что это вполне можно сделать?

На чем основано ваше "оказывается"? Вы знаете хоть один случай взлома? Из трезоров можно извлечь 24 слова при физическом доступе (установка passphrase решает вопрос), из леджеров невозможно (в смысле способ пока не найден).

Джонни выше кидал 2 ссылки на найденные уязвимости в аппаратных кошельках, которые позволяют получить к ним доступ. Или нужно привести конкретный пример взлома кошелька?

Quote from: madnessteat on December 12, 2019, 10:59:50 PM

Но Линукс же не панацея от вирусов. Да, по сравнению с виндой вероятность подхватить вирус конечно меньше, но не исключена полностью в сравнении с аппаратником.

Если вы все будете устанавливать из проверенных репозиториев, то вирусы вам не грозят. Это не винда, где можно занести трояна открыв письмо или вставив флешку.

marfich97

sr. member

Activity: 1162

Merit: 312

Quote from: madnessteat on December 12, 2019, 10:59:50 PM

Quote from: FontSeli on December 12, 2019, 04:43:36 PM

Quote from: Andergriff on December 12, 2019, 01:42:27 PM

Quote from: FontSeli on December 12, 2019, 10:41:49 AM

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.

Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите.

Свои флешки с криптой я открываю только под Linux. Поэтому за вирусы я не переживаю.

Но Линукс же не панацея от вирусов. Да, по сравнению с виндой вероятность подхватить вирус конечно меньше, но не исключена полностью в сравнении с аппаратником.

Это вообще заблуждение, подхватить вирусню также реально если лазить где попало и бездумно кликать, и кейлоггеры есть и запись звука с микрофона, и все прочее. А защита лучше потому что очень много разных версий и злоумышленник может даже добиться загрузки вредоноса на систему но оно на ней не заработает, используется он сильно меньше среди пользователей и открытый код с быстрыми исправлениями, поэтому любые атаки сложны и малоэффективны и пользователи винды куда более интересны.

madnessteat

legendary

Activity: 2310

Merit: 2073

Quote from: FontSeli on December 12, 2019, 04:43:36 PM

Quote from: Andergriff on December 12, 2019, 01:42:27 PM

Quote from: FontSeli on December 12, 2019, 10:41:49 AM

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.

Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите.

Свои флешки с криптой я открываю только под Linux. Поэтому за вирусы я не переживаю.

Но Линукс же не панацея от вирусов. Да, по сравнению с виндой вероятность подхватить вирус конечно меньше, но не исключена полностью в сравнении с аппаратником.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: FontSeli on December 12, 2019, 04:43:36 PM

А как насчет способов взлома аппаратника, что скажете, оказывается что это вполне можно сделать?

На чем основано ваше "оказывается"? Вы знаете хоть один случай взлома? Из трезоров можно извлечь 24 слова при физическом доступе (установка passphrase решает вопрос), из леджеров невозможно (в смысле способ пока не найден).

FontSeli

hero member

Activity: 1232

Merit: 858

Quote from: Andergriff on December 12, 2019, 01:42:27 PM

Quote from: FontSeli on December 12, 2019, 10:41:49 AM

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.

Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите.

Свои флешки с криптой я открываю только под Linux. Поэтому за вирусы я не переживаю.

Quote from: igor72 on December 12, 2019, 04:05:54 PM

Quote from: FontSeli on December 12, 2019, 10:41:49 AM

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.

Нет, не то что не равноценно, а и близко не стояло ).

А как насчет способов взлома аппаратника, что скажете, оказывается что это вполне можно сделать?

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: johhnyUA on December 12, 2019, 07:14:58 AM

Вот статья:
https://xakep.ru/2018/12/29/trezor-ledger-flaws/
[....]
А можно почитать еще оригинальный доклад, там побольше интересностей - https://media.ccc.de/v/35c3-9563-wallet_fail

Был официальный ответ леджера на это, где было сказано, что это все ерунда. Можно им не верить, конечно, но никто с тех пор леджер так и не взломал, включая, кстати, и авторов доклада. Они там какой-то недостаток нашли, но до ключей добраться не смогли. Кроме того, с тех пор уже дважды обновлялась прошивка, - даже если и было там что-то, то уже наверняка залатали.

Quote from: FontSeli on December 12, 2019, 10:41:49 AM

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.

Нет, не то что не равноценно, а и близко не стояло ).

Andergriff

sr. member

Activity: 687

Merit: 259

Quote from: FontSeli on December 12, 2019, 10:41:49 AM

Quote from: madnessteat on December 11, 2019, 03:15:43 PM

Quote from: johhnyUA on December 11, 2019, 01:45:16 PM

~snip~

Спасибо. Буду иметь ввиду что сам аппаратник нужно беречь не меньше, чем сид фразу. Наивно полагал, что даже если Леджер и попадёт в чужие руки, то сбросит все настройки на заводские при вводе трёх раз неправильного пин кода.

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.

Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите.

FontSeli

hero member

Activity: 1232

Merit: 858

Quote from: madnessteat on December 11, 2019, 03:15:43 PM

Quote from: johhnyUA on December 11, 2019, 01:45:16 PM

~snip~

Спасибо. Буду иметь ввиду что сам аппаратник нужно беречь не меньше, чем сид фразу. Наивно полагал, что даже если Леджер и попадёт в чужие руки, то сбросит все настройки на заводские при вводе трёх раз неправильного пин кода.

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.

johhnyUA

legendary

Activity: 2436

Merit: 1849

Crypto for the Crypto Throne!

Quote from: igor72 on December 11, 2019, 04:06:38 PM

Quote from: johhnyUA on December 11, 2019, 01:45:16 PM

Но как было показано в одной статье, даже если достать сид нельзя, то при физическом доступе к устройству можно подтверждать транзакции на любые адреса (мозги то все равно от незащищенного STM32, кек)

Ссылку на статью дайте, если можно. Есть сомнения как минимум в актуальности этой информации.

Вот статья:
https://xakep.ru/2018/12/29/trezor-ledger-flaws/

Quote

Кошелек Ledger, в свою очередь, оснастили простейшим аппаратным имплантатом, который позволяет одобрять транзакции без участия пользователя. На это эксперты потратили всего $3,16: установили на устройство RF-переключатель, который можно контролировать удаленно, с помощью радиочастот (как минимум с расстояния в 11 метров, имея передатчик 50W)

А можно почитать еще оригинальный доклад, там побольше интересностей - https://media.ccc.de/v/35c3-9563-wallet_fail
Так что лучше если ваш аппаратник не попадет ни в чьи руки.

Topic: Аппаратные кошельки - page 38. (Read 154216 times)