Pages:
Author

Topic: Аппаратные кошельки - page 38. (Read 154352 times)

legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
December 15, 2019, 09:07:22 AM
Будем надеяться что Леджер намного надежнее. Но при этом лучше исходить из того, что нет надежных на 100% систем и устройств.

А Трезор думает по другому. не доверяют властям. У Леджера есть защищенный чип ST31, где собственно все и хранится. Так вот, Антонопулус писал, что учитывая уровень давления гос власти и спецслужб на производителей, в таких чипах где закрыт и код и железо, очень вероятно могут быть бэкдоры. Я уже писал о похожем ранее в этой же теме.
hero member
Activity: 1232
Merit: 858
December 15, 2019, 06:42:29 AM
Да, но я возражал только по поводу Леджера, у Трезора (и его клонов вроде KeepKey) действительно есть уязвимость - возможность считать 24 слова при физическом доступе.

Будем надеяться что Леджер намного надежнее. Но при этом лучше исходить из того, что нет надежных на 100% систем и устройств.

Если взять флешку, установить туда Tails и использовать встроенный Electrum как кошелек, то это не такой уж плохой способ хранения. Но все равно, это разные классы кошельков. А если флешка с кошельком втыкается в обычный "семейный" комп с виндой, то такое хранение вообще неприемлемо, по-моему.
А тот способ взлома леджера действительно весьма экзотический. Нафантазировать много чего можно, воплотить сложно.

Все очень сильно зависит от того сколько у вас монет. Я бы не стал заморачиваться из-за пары тысяч. До сих пор я храню свои сиды от холодных кошельков на флешках записанные в одном из тысячи мусорных файлов. И я уверен, что хрен кто найдет их там, если целенаправленно не будет искать. Но мы это уже обсуждали в теме про сид с тайкири.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 15, 2019, 05:14:21 AM

Вы, видимо, не заметили выше моего ответа Джонни. По тем ссылкам - взлом леджера там был, мягко говоря, неубедительным (в отличие от трезора).

Игорь, я видел. Трезор это ведь тоже аппаратный кошелек.
Да, но я возражал только по поводу Леджера, у Трезора (и его клонов вроде KeepKey) действительно есть уязвимость - возможность считать 24 слова при физическом доступе.
Не храните все яйца в одной корзине, даже если что взломают или сами потеряете или где то не там введете, потеря будет лишь части депозита, а не всего вашего криптоимущества.
Согласен. Но при условии, что другие "корзины" не будут уступать по безопасноcти. Простейший способ диверсификации с аппаратным кошельком - это создать несколько кошельков с разными 25-ми словами (24 слова можно не менять). При желании, можно немного заморочиться и сделать мультиподписной кошелек аппаратного с Electrum.
hero member
Activity: 1204
Merit: 518
December 14, 2019, 12:55:12 PM
Но вот наличие таких пусть и весьма экзотических способов взлома (которые хорошо что публикуются публично - заставят разработчиков внести доп защиту), делает и обычные флешки не таким уж и плохим способом хранения монет.

Не храните все яйца в одной корзине, даже если что взломают или сами потеряете или где то не там введете, потеря будет лишь части депозита, а не всего вашего криптоимущества.
hero member
Activity: 1232
Merit: 858
December 14, 2019, 11:17:30 AM
Ну вот и я о чем, что в случае физического доступа к вашим вещам наверное лучше будет чтобы ваши сиды или приватники от кошельков хранились на обычной флешке из числа многих. Так есть шанс что на нее внимания вообще не обратят, а вот аппаратник обязательно заберут и будут пытаться взломать.
Если уж на то пошло, то сид фразу можно вообще не хранить на флешке, а выучить эти 12 слов наизусть.
Если забудешь, тогда вообще никто доступ к кошельку не получит. Grin

Бывает такие ситуации, цитирую где-то услышанную мысль: "когда помнишь стишок, который учил в далеком детстве, но не помнишь куда положил ключи от машины".

Я бы не стал полагаться только на одну память, какая бы она у вас не была. Случается всякое, можно ударится головой, можно пережить сильный стресс и т.д. мозг человека может дать сбой и очистить память о сиде. Поэтому лучше все же где-то записать. Ну или купить аппаратник как рекомендуют в этой теме, там в комплекте будет бумага для записи))
legendary
Activity: 3080
Merit: 2330
December 14, 2019, 10:41:30 AM
Ну вот и я о чем, что в случае физического доступа к вашим вещам наверное лучше будет чтобы ваши сиды или приватники от кошельков хранились на обычной флешке из числа многих. Так есть шанс что на нее внимания вообще не обратят, а вот аппаратник обязательно заберут и будут пытаться взломать.
Если уж на то пошло, то сид фразу можно вообще не хранить на флешке, а выучить эти 12 слов наизусть.
Если забудешь, тогда вообще никто доступ к кошельку не получит. Grin
hero member
Activity: 1232
Merit: 858
December 14, 2019, 08:10:23 AM
Если флешка неправильно организована, то сомневаюсь.

При этом, правильно написал: не известно что на той флешке. На любом аппаратнике всем понятно что хранится, а вот на флешке - пойди и угадай. Это называется метаданные.

Ну вот и я о чем, что в случае физического доступа к вашим вещам наверное лучше будет чтобы ваши сиды или приватники от кошельков хранились на обычной флешке из числа многих. Так есть шанс что на нее внимания вообще не обратят, а вот аппаратник обязательно заберут и будут пытаться взломать.

Вы, видимо, не заметили выше моего ответа Джонни. По тем ссылкам - взлом леджера там был, мягко говоря, неубедительным (в отличие от трезора).

Игорь, я видел. Трезор это ведь тоже аппаратный кошелек. Я не стану с пеной у рта доказывать что аппартники не стоит брать, тем более сам себе уже заказал один, который надеюсь приедет в этом году.
Но вот наличие таких пусть и весьма экзотических способов взлома (которые хорошо что публикуются публично - заставят разработчиков внести доп защиту), делает и обычные флешки не таким уж и плохим способом хранения монет.
legendary
Activity: 1848
Merit: 1014
December 14, 2019, 03:57:16 AM
Походу да, можно взять голый корпус леджера, напхать его своей начинкой и впихивать лошкам. Два года назад  на алибаба леджеры по 5-10 баксов почем зря предлагали и раз предложение было стало быть  кто-то брал.

При загрузке и подключении к Ledger Live устройство проходит проверку на уникальность, как с этим быть? Не думаю что Леджер допустит это в принципе, если никто еще не смог взломать устройство, то об этом "Фишинговом" почти способе ну явно позаботились.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 14, 2019, 03:27:45 AM
Походу да, можно взять голый корпус леджера, напхать его своей начинкой и впихивать лошкам. Два года назад  на алибаба леджеры по 5-10 баксов почем зря предлагали и раз предложение было стало быть  кто-то брал.
Там вроде просто обычные флешки продаются в корпусе леджера. Не знаю точно, но там предлагались варианты по объему памяти, типа 128 гигабайт, 32 гигабайта. А флеш-памяти в настоящем леджере всего 360 килобайт )).
hero member
Activity: 1358
Merit: 635
December 14, 2019, 02:49:19 AM
В случае с радиоуправляемой кнопкой - это крайне сложно осуществить. Нужно и леджер модифицировать, и ПО на компе жертвы, и за стенкой передатчик установить, который нажмет кнопку в нужный момент несколько раз. А в последней версии прошивки леджера нужно нажать 3-5 раз правую кнопку, а затем обе кнопки вместе (то есть уже два приемника с антеннами нужно внутри вместить и ими управлять). Фантастика, по-моему.
 


Походу да, можно взять голый корпус леджера, напхать его своей начинкой и впихивать лошкам. Два года назад  на алибаба леджеры по 5-10 баксов почем зря предлагали и раз предложение было стало быть  кто-то брал.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 13, 2019, 04:01:41 PM
Джонни выше кидал 2 ссылки на найденные уязвимости в аппаратных кошельках, которые позволяют получить к ним доступ. Или нужно привести конкретный пример взлома кошелька?
Вы, видимо, не заметили выше моего ответа Джонни. По тем ссылкам - взлом леджера там был, мягко говоря, неубедительным (в отличие от трезора).

Был официальный ответ леджера на это, где было сказано, что это все ерунда. Можно им не верить, конечно, но никто с тех пор леджер так и не взломал, включая, кстати, и авторов доклада. Они там какой-то недостаток нашли, но до ключей добраться не смогли. Кроме того, с тех пор уже дважды обновлялась прошивка, - даже если и было там что-то, то уже наверняка залатали.

Там было сказано что атаки мало осуществимы и так далее. Но это не значит "невозможно". Да, сложно вставить дроссель в аппаратник чтобы незаметно было, но когда введет человек пинкод, то здесь уж только внимательность его может спасти (как я понял из вектора атаки).
В случае с радиоуправляемой кнопкой - это крайне сложно осуществить. Нужно и леджер модифицировать, и ПО на компе жертвы, и за стенкой передатчик установить, который нажмет кнопку в нужный момент несколько раз. А в последней версии прошивки леджера нужно нажать 3-5 раз правую кнопку, а затем обе кнопки вместе (то есть уже два приемника с антеннами нужно внутри вместить и ими управлять). Фантастика, по-моему.
 
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
December 13, 2019, 01:50:10 PM
Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.

Если флешка неправильно организована, то сомневаюсь.

При этом, правильно написал: не известно что на той флешке. На любом аппаратнике всем понятно что хранится, а вот на флешке - пойди и угадай. Это называется метаданные.

Был официальный ответ леджера на это, где было сказано, что это все ерунда. Можно им не верить, конечно, но никто с тех пор леджер так и не взломал, включая, кстати, и авторов доклада. Они там какой-то недостаток нашли, но до ключей добраться не смогли. Кроме того, с тех пор уже дважды обновлялась прошивка, - даже если и было там что-то, то уже наверняка залатали.

Там было сказано что атаки мало осуществимы и так далее. Но это не значит "невозможно". Да, сложно вставить дроссель в аппаратник чтобы незаметно было, но когда введет человек пинкод, то здесь уж только внимательность его может спасти (как я понял из вектора атаки).
hero member
Activity: 1232
Merit: 858
December 13, 2019, 08:05:03 AM
А как насчет способов взлома аппаратника, что скажете, оказывается что это вполне можно сделать?
На чем основано ваше "оказывается"? Вы знаете хоть один случай взлома? Из трезоров можно извлечь 24 слова при физическом доступе (установка passphrase решает вопрос), из леджеров невозможно (в смысле способ пока не найден).

Джонни выше кидал 2 ссылки на найденные уязвимости в аппаратных кошельках, которые позволяют получить к ним доступ. Или нужно привести конкретный пример взлома кошелька?



Но Линукс же не панацея от вирусов. Да, по сравнению с виндой вероятность подхватить вирус конечно меньше, но не исключена полностью в сравнении с аппаратником.

Если вы все будете устанавливать из проверенных репозиториев, то вирусы вам не грозят. Это не винда, где можно занести трояна открыв письмо или вставив флешку.
sr. member
Activity: 1162
Merit: 312
December 13, 2019, 05:45:48 AM


Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.
Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите.

Свои флешки с криптой я открываю только под Linux. Поэтому за вирусы я не переживаю.

Но Линукс же не панацея от вирусов. Да, по сравнению с виндой вероятность подхватить вирус конечно меньше, но не исключена полностью в сравнении с аппаратником.
Это вообще заблуждение, подхватить вирусню также реально если лазить где попало и бездумно кликать, и кейлоггеры есть и запись звука с микрофона, и все прочее. А защита лучше потому что очень много разных версий и злоумышленник может даже добиться загрузки вредоноса на систему но оно на ней не заработает, используется он сильно меньше среди пользователей и открытый код с быстрыми исправлениями, поэтому любые атаки сложны и малоэффективны и пользователи винды куда более интересны.
legendary
Activity: 2464
Merit: 2377
December 12, 2019, 10:59:50 PM


Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.
Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите.

Свои флешки с криптой я открываю только под Linux. Поэтому за вирусы я не переживаю.

Но Линукс же не панацея от вирусов. Да, по сравнению с виндой вероятность подхватить вирус конечно меньше, но не исключена полностью в сравнении с аппаратником.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 12, 2019, 04:49:04 PM
А как насчет способов взлома аппаратника, что скажете, оказывается что это вполне можно сделать?
На чем основано ваше "оказывается"? Вы знаете хоть один случай взлома? Из трезоров можно извлечь 24 слова при физическом доступе (установка passphrase решает вопрос), из леджеров невозможно (в смысле способ пока не найден).
hero member
Activity: 1232
Merit: 858
December 12, 2019, 04:43:36 PM


Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.
Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите.

Свои флешки с криптой я открываю только под Linux. Поэтому за вирусы я не переживаю.



Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Нет, не то что не равноценно, а и близко не стояло ).

А как насчет способов взлома аппаратника, что скажете, оказывается что это вполне можно сделать?
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
December 12, 2019, 04:05:54 PM

Вот статья:
https://xakep.ru/2018/12/29/trezor-ledger-flaws/
[....]
А можно почитать еще оригинальный доклад, там побольше интересностей - https://media.ccc.de/v/35c3-9563-wallet_fail
Был официальный ответ леджера на это, где было сказано, что это все ерунда. Можно им не верить, конечно, но никто с тех пор леджер так и не взломал, включая, кстати, и авторов доклада. Они там какой-то недостаток нашли, но до ключей добраться не смогли. Кроме того, с тех пор уже дважды обновлялась прошивка, - даже если и было там что-то, то уже наверняка залатали.
Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Нет, не то что не равноценно, а и близко не стояло ).
sr. member
Activity: 687
Merit: 259
December 12, 2019, 01:42:27 PM
~snip~

Спасибо. Буду иметь ввиду что сам аппаратник нужно беречь не меньше, чем сид фразу. Наивно полагал, что даже если Леджер и попадёт в чужие руки, то сбросит все настройки на заводские при вводе трёх раз неправильного пин кода.

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.
Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите.
hero member
Activity: 1232
Merit: 858
December 12, 2019, 10:41:49 AM
~snip~

Спасибо. Буду иметь ввиду что сам аппаратник нужно беречь не меньше, чем сид фразу. Наивно полагал, что даже если Леджер и попадёт в чужие руки, то сбросит все настройки на заводские при вводе трёх раз неправильного пин кода.

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.
Pages:
Jump to: