Pages:
Author

Topic: Аппаратные кошельки - page 45. (Read 154352 times)

legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
November 16, 2019, 01:16:23 PM
вот жеж у них не только "закрытый чип" но и "закрытая прошивка" оказывается.. совсем избаловались баловни судьбы лягушатнички ))

Я об этом уже не раз писал раньше. Леджер - это корпорация, и у него partly free код, тоесть частично открыт, а частично нет.
А за чип не стоит переживать, там если и есть бэкдоры, то не Леджера, а АНБ. Так как производитель SMelectronics это амерская компания которая может сидеть на игле понятно у кого.
legendary
Activity: 2464
Merit: 2377
November 16, 2019, 11:50:51 AM
~ Если найдете решение, то отпишитесь здесь.

Зашел проверить, кнопка появилась. Обновился успешно до 1.6.

full member
Activity: 343
Merit: 167
November 16, 2019, 05:38:37 AM
А когда такое было? Насчет установки свежих прошивок можно согласиться. Но в данном случае было расширенное тестирование, так что можно считать, что пару неделек прошивку уже погоняли.
Было гдето в новостях примерно год назад. Ledger плохо протестировал прошивку и сдача улетала на неправильно сгенерированый адрес, это касалось какой-то малоизвестной монеты.
Единственное, что могу припомнить, это случай с "потерянными" 1680 XMR, не его имеете в виду? Но там дело, кажется, не в прошивке было.
Quote
Но от этого никто не застрахован, это может произойти с любым кошельком, теоретически, даже само железо в кошельке может глюкануть.
Можно сделать мультиподписной кошелек, там многие баги/глюки проявятся до отправки транзакции. И от уязвимостей/бэкдоров спасает.
Вполне возможно что имено этот случай, но у меня тогда еще небыло Ledger и я не сильно вникал в эту проблему, но приблизительный смысл запомнил.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
November 16, 2019, 05:26:00 AM
А когда такое было? Насчет установки свежих прошивок можно согласиться. Но в данном случае было расширенное тестирование, так что можно считать, что пару неделек прошивку уже погоняли.
Было гдето в новостях примерно год назад. Ledger плохо протестировал прошивку и сдача улетала на неправильно сгенерированый адрес, это касалось какой-то малоизвестной монеты.
Единственное, что могу припомнить, это случай с "потерянными" 1680 XMR, не его имеете в виду? Но там дело, кажется, не в прошивке было.
Quote
Но от этого никто не застрахован, это может произойти с любым кошельком, теоретически, даже само железо в кошельке может глюкануть.
Можно сделать мультиподписной кошелек, там многие баги/глюки проявятся до отправки транзакции. И от уязвимостей/бэкдоров спасает.
full member
Activity: 343
Merit: 167
November 16, 2019, 05:12:13 AM
точняк.. глюки новых версий любого софта иногда чудовищны..
а что было ?
А когда такое было? Насчет установки свежих прошивок можно согласиться. Но в данном случае было расширенное тестирование, так что можно считать, что пару неделек прошивку уже погоняли.
Было гдето в новостях примерно год назад. Ledger плохо протестировал прошивку и сдача улетала на неправильно сгенерированый адрес, это касалось какой-то малоизвестной монеты. Но от этого никто не застрахован, это может произойти с любым кошельком, теоретически, даже само железо в кошельке может глюкануть.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
November 16, 2019, 03:25:25 AM
На  Ledger Live  пароль установлен? Попробуйте  поставить если его нет, закрыть окно  и опять подключиться.
Каким образом это может помочь? Там же дело не в локальных проблемах.

У меня тоже не предлагает на Леджере нано S нигде обновиться до 1.6, искал и на Ledger Live и в менюшке самого кошелька. Есть просмотр версии и там и там, а обновиться то как? Или не париться по этому поводу особо, работает и не торожь...
Парься-не парься - толку не будет, когда очередь дойдет, тогда и кнопка появится. IeSua выше все правильно объяснил. Там, скорее всего, очередь привязана к серийному номеру и/или версии установленной прошивки.

С аппаратными кошельками нужно просто быть внимательным, всегда проверять адрес домена к которому подключен, а также на самом кошельке проверять адрес куда отправляются средства. Меня больше беспокоит, что может выйти очередное обновление прошивки с небольшим багом и сдача улетит на неправильно просчитаный адрес от которого не существует привратника. Такое в истории уже было. Поэтому никогда сразу не ставлю свежую прошивку.
А когда такое было? Насчет установки свежих прошивок можно согласиться. Но в данном случае было расширенное тестирование, так что можно считать, что пару неделек прошивку уже погоняли.
legendary
Activity: 1848
Merit: 1014
November 16, 2019, 03:12:30 AM
У меня тоже не предлагает на Леджере нано S нигде обновиться до 1.6, искал и на Ledger Live и в менюшке самого кошелька. Есть просмотр версии и там и там, а обновиться то как? Или не париться по этому поводу особо, работает и не торожь...
hero member
Activity: 1358
Merit: 635
November 16, 2019, 02:56:54 AM


Кто-то уже смог обновить прошивку, если надпись не появлялась? Пробовал выключать кошелек, Ledger Live - ничего не помогло.

На  Ledger Live  пароль установлен? Попробуйте  поставить если его нет.


Да, пароль установил изначально. Полагаю, что нужно пробовать обновлять раз в неделю и следить за Твиттером Ledger.

Тогда не знаю, я то всегда обновляться не спешу и жду пока все баги исправят если они есть. Если найдете решение, то отпишитесь здесь.
legendary
Activity: 2464
Merit: 2377
November 16, 2019, 02:50:48 AM


Кто-то уже смог обновить прошивку, если надпись не появлялась? Пробовал выключать кошелек, Ledger Live - ничего не помогло.

На  Ledger Live  пароль установлен? Попробуйте  поставить если его нет.


Да, пароль установил изначально. Полагаю, что нужно пробовать обновлять раз в неделю и следить за Твиттером Ledger.
hero member
Activity: 1358
Merit: 635
November 16, 2019, 02:46:57 AM


Кто-то уже смог обновить прошивку, если надпись не появлялась? Пробовал выключать кошелек, Ledger Live - ничего не помогло.

На  Ledger Live  пароль установлен? Попробуйте  поставить если его нет, закрыть окно  и опять подключиться.
member
Activity: 826
Merit: 56
November 16, 2019, 01:49:45 AM
может выйти очередное обновление прошивки с небольшим багом и сдача улетит на неправильно просчитаный адрес от которого не существует привратника.
Такое в истории уже было. Поэтому никогда сразу не ставлю свежую прошивку.
точняк.. глюки новых версий любого софта иногда чудовищны..
а что было ?
full member
Activity: 343
Merit: 167
November 16, 2019, 01:25:10 AM
С аппаратными кошельками нужно просто быть внимательным, всегда проверять адрес домена к которому подключен, а также на самом кошельке проверять адрес куда отправляются средства. Меня больше беспокоит, что может выйти очередное обновление прошивки с небольшим багом и сдача улетит на неправильно просчитаный адрес от которого не существует привратника. Такое в истории уже было. Поэтому никогда сразу не ставлю свежую прошивку.
member
Activity: 826
Merit: 56
November 16, 2019, 01:23:28 AM
Какой гоп-стоп?
закрытая операционка BOLOS
пардон, не гопкинса а хопкинса . цитату же привёл

https://yandex.ru/закрытая операционка BOLOS

даа... а теперь ещё и штеуд со своими вкладышами подключился.. так что концов не найти если денежки уплывут оне будут кивать друг на дружку..

Quote
Ledger интегрирует свою операционную блокчейн-систему BOLOS в Software Guard Extensions (SGX), который Intel представляет в линейке
https://novator.io/novosti/ledger-itnegriruet-operatsionnuyu-sistemu-bolos-v-intel-sgx
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
November 15, 2019, 11:24:34 PM
гоп-стоп от гопкинса они преодолели в новом Х интересно
Какой гоп-стоп? В Nano X все устроено примерно так же, как и в Nano S. В архитектуре отличие в том, что кнопки с экраном подключены к секьюрному чипу, а не к обычному - это, по идее, дает большую взломоустойчивость. А так все похоже - два микроконтроллера ST, закрытая операционка BOLOS.
member
Activity: 826
Merit: 56
November 15, 2019, 05:13:19 PM
Quote
С леджелом не знаю как там .. но интересно на будущее, особенно с новым X
Примерно так же, но осложнено еще закрытой прошивкой.

https://yandex.ru/ закрытой прошивкой леджера

Quote
https://xakep.ru/2018/03/22/ledger-backdoor/

профессор криптографии из Университета Джонса Хопкинса, Мэтт Грин (Matt Green), дал следующий комментарий изданию ArsTechnica:

«[Разработчики] Ledger пытаются решить фундаментальную аппаратную проблему. Им нужно проверять прошивку, работающую на процессоре. Но их защищенный чип не способен увидеть код, запущенный на этом процессоре. Поэтому они вынуждены просить процессор предоставить собственный код! Но это замкнутый круг, так как данный процессор может работать с недобросовестным кодом, и следовательно, его ответам нельзя верить. Это все равно, что попросить человека, который может быть преступником, предоставить все данные о криминальном прошлом: система, построенная на доверии».

вот жеж у них не только "закрытый чип" но и "закрытая прошивка" оказывается.. совсем избаловались баловни судьбы лягушатнички ))
гоп-стоп от гопкинса они преодолели в новом Х интересно

yandex.ru/ "Matt Green" ledger _site:bitcointalk.orgg
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
November 15, 2019, 04:20:23 PM
Я про то что обмануть железку проще.
Спорный вопрос.
Quote
Значит и фиш для неё видимо проделать проще.
Фишинг - это социальная инженерия, атака на пользователя (обман, провокация), а не на софт.
Quote
допустим какой-то железке надо зайти на некий сайт чтоб автообновиться.
Железки, о которых мы говорим, ни на какой сайт не пойдут без ведома пользователя, об этом позаботились.
Quote
Как пример - приведу монерный (за которым заметил странность)
Quote
жмакаю на getmonero.org - а попадаю то на https://web.getmonero.org , а то на https://www.getmonero.org но никак не на https://getmonero.org
И вот как определить какой из них "фейковый" ?
Никакой. Тут одинаковый домен везде (getmonero.org), префикс в данном случае значения не имеет, это всё - хозяйство владельца getmonero.org
Quote
"их переехали", значит им надо как-то разослать железкам новую инструкцию куда ходить за прошивкой - и подменить её хацкерам будет видимо проще простого.. если они уже имеют "фейковый" сайт - то вот и фишинг
+ исходники у трезораТ открыты --> любой может его приучить опознавать левую подпись и заходить на левые сайты ? (он же это на автомате перешивается? а вручную на компе с антивирусом нельзя.. но в трезор антивирус не встроен..)
Насколько я понимаю, как там устроено, то не получится приучить признавать левую подпись. Вы можете программатором перепрошить микроконтроллер чем угодно, но тогда вас в веб-интерфейс трезора не пустит.
Quote
С леджелом не знаю как там .. но интересно на будущее, особенно с новым X
Примерно так же, но осложнено еще закрытой прошивкой.
hero member
Activity: 1330
Merit: 869
November 15, 2019, 03:34:51 PM
Ребята, 13 ноября вышла новая прошивка на Ledger Nano S - 1.6.0

~

Обновление прошивки - https://support.ledger.com/hc/en-us/articles/360002731113



У меня в настоящий момент стоит 1.5.5, обновил Ledger Live до версии 1.18.2 как описано в инструкции, но кнопка Firmware update не появляется.

~

Как я понимаю, такая проблема у многих, т.к. этот вопрос идет первым в списке вопросов - https://support.ledger.com/hc/en-us/articles/360003117594

Quote
What if I don't see the update button?
The update is released progressively, please try again later if the update is not visible in the Manager.

Кто-то уже смог обновить прошивку, если надпись не появлялась? Пробовал выключать кошелек, Ledger Live - ничего не помогло.

Проверял несколько раз после сообщения igor72, пока ничего не прилетело. Они же пишут в своем твитте: "The release will be progressive, so you may see it available later." - судя по всему, надо просто подождать.
Это как обновления для Андроид, один регион уже несколько недель как обновился, а другой все ждет.
member
Activity: 826
Merit: 56
November 15, 2019, 02:15:41 PM
Фишинг - это про другое. Вы, наверное, имеете в виду фейковый сайт с обновлением прошивки.
На сайте трезора написано:
Quote
Reflashing the Trezor with malicious firmware
Official Trezor firmware is signed by the SatoshiLabs master key. Installing unofficial firmware on the Trezor is possible, but doing so will wipe the device storage, and Trezor will show a warning every time it starts.
То есть, если такое и возможно, то трудно будет это не заметить.
С леджером все еще сложнее.
Я про то что обмануть железку проще. Значит и фиш для неё видимо проделать проще.
допустим какой-то железке надо зайти на некий сайт чтоб автообновиться.
Как пример - приведу монерный (за которым заметил странность)
Quote
жмакаю на getmonero.org - а попадаю то на https://web.getmonero.org , а то на https://www.getmonero.org но никак не на https://getmonero.org
И вот как определить какой из них "фейковый" ?
"их переехали", значит им надо как-то разослать железкам новую инструкцию куда ходить за прошивкой - и подменить её хацкерам будет видимо проще простого.. если они уже имеют "фейковый" сайт - то вот и фишинг
+ исходники у трезораТ открыты --> любой может его приучить опознавать левую подпись и заходить на левые сайты ? (он же это на автомате перешивается? а вручную на компе с антивирусом нельзя.. но в трезор антивирус не встроен..)
С леджелом не знаю как там .. но интересно на будущее, особенно с новым X
legendary
Activity: 2464
Merit: 2377
November 15, 2019, 02:08:13 PM
Ребята, 13 ноября вышла новая прошивка на Ledger Nano S - 1.6.0



Обновление прошивки - https://support.ledger.com/hc/en-us/articles/360002731113



У меня в настоящий момент стоит 1.5.5, обновил Ledger Live до версии 1.18.2 как описано в инструкции, но кнопка Firmware update не появляется.


Как я понимаю, такая проблема у многих, т.к. этот вопрос идет первым в списке вопросов - https://support.ledger.com/hc/en-us/articles/360003117594

Quote
What if I don't see the update button?
The update is released progressively, please try again later if the update is not visible in the Manager.

Кто-то уже смог обновить прошивку, если надпись не появлялась? Пробовал выключать кошелек, Ledger Live - ничего не помогло.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
November 15, 2019, 06:20:07 AM
про антивирус-шпион .. но это для аппаратников видимо не страшно ?
не страшно
Quote
а вот фишинг .. что если аппаратник самообновляться будет с фиш-сайта ?
Фишинг - это про другое. Вы, наверное, имеете в виду фейковый сайт с обновлением прошивки.
На сайте трезора написано:
Quote
Reflashing the Trezor with malicious firmware

Official Trezor firmware is signed by the SatoshiLabs master key. Installing unofficial firmware on the Trezor is possible, but doing so will wipe the device storage, and Trezor will show a warning every time it starts.

То есть, если такое и возможно, то трудно будет это не заметить.

С леджером все еще сложнее.
Pages:
Jump to: