Topic: Giocherellare con il ledger nano S - page 3. (Read 441 times)

Reputo ottimi gli hardware wallet per la comodità di effettuare facilmente le transazioni mantenendo le chiavi private offline, ma non per l' HOLD.
Personalmente penso che andrebbero usati solo per avere una gestione semplice e rapida dei btc che si ipotizza si vogliano usare nel breve futuro, da portarsi in viaggio ecc. Insomma per utilizzarli rapidamente senza dover perdere tempo a firmare le tx sul pc offline.
Per l'hold assolutamente più sicuro generare il wallet offline su un pc, possibilmente con linux e con tutti gli accorgimenti per rimanere offline.


Un ulteriore svantaggio di una segmentazione simile è la gestione della password per decriptare le chiavette, se ne potrebbe usare una unica per tutte, ma con una riduzione della sicurezza.


Altra possibilità è quella di conservare solamente il seed e non il file .dat, segmentandolo e mescolandolo con altri seed secondo un criterio a scelta.


Vorrei inoltre portavi a conoscenza di questi stress test https://blog.lopp.net/metal-bitcoin-seed-storage-stress-test/, qualcuno potrebbe trovarli interessanti.

@duesoldi, potresti spiegare meglio il punto 5? Grazie.

Quando sento parlare di paper wallet e rischi connessi con l'utilizzo di una stampante mi domando sempre: perché complicarsi la vita?
Qual è il vantaggio di un paper w rispetto ad un banalissimo e più facile da gestire cold wallet? solo il fatto di averlo su carta in modo che "sperabilmente" si conservi ?
Ma allora non si fa prima a salvare il seed su 4 chiavette Usb di marca diversa, criptarle, e darle a 3 parenti (la quarta ovviamente la si tiene per sé) ?

Vantaggi:
1) si ha una copia in locazioni geografiche diverse: enorme vantaggio rispetto al paper wallet
2) non c'è il rischio che qualche parente troppo curioso possa vedere il contenuto se lo si cripta in modo opportuno (vera/truecrypt e simili)
3) costo di una chiavetta: meno di 10 € tanto deve contenere un file di pochi kB, quindi con 40 € me ne prendo 4
4) se di costruttori diversi è pressoché impossibile che si rovinino tutte
5) ci si può anche cautelare contro lo slow degradation dei file, basta usare un file system come zfs o simili

Svantaggi:
1) boh? sinceramente non ne vedo, forse solo il fatto che bisogna sapere come eseguire i vari step, ma insomma google is your friend!

Sbaglio ? semplifico troppo?

il cold wallet è innegabilmente più sicuro se fatto bene

il non plus ultra per me è generazione manuale della chiave privata (dado) + generazione su hw dedicato della chiave pubblica.

Eh, bravo! Io invece da gran C****** ho acquistato il mio primo X dal loro sito usando la promo del Cashback con Crypro.com : in un colpo mi hanno fregato 2 volte

Tecnicamente la sicurezza del sito della ledger e quella della chiavetta non sono legate.

Pero' effettivamente non fa bello vedere un'azienda che e' (o dovrebbe essere)
esperta di crittografia e sicurezza farsi sbucazzare il sito, senza considerare
che questo apre la strada a questo genere di attacchi

Proprio per evitare di lasciare i miei dati sul sito della ledger, ho fatto l'acquisto su amazon.
Non sono certo che mi garantisca di piu'... ma del loro sito non mi fidavo proprio.

Nahh, gli hacker sono diventati troppo pigri per fare questo....

Oggi va di moda mandarti una bella mail , con tatnto di tuo nome e cognome, indirizzo e numero di telefono (corretti) , impersonando Ledger e dicendo che devi accedere per cambiare la recovery phrase...

Insomma , Ledger dopo l'attacco subito qualche mese fa si è sputtanata alla grande!

PS: l'ultima mail in tal senso l'ho ricevuta giusto 3 giorni fa! Occhio!

il tuo collega che lo usa senza sapere della feature del reset dopo 3 tentativi errati e' uno sconsiderato
inoltre, e' possibile settare una venticinquesima parola per avere un wallet civetta (molto utile)

giusta l'idea di avere un doppio device (in caso di rottura)

la tua considerazione su paper wallet rispetto a ledger

devi stamparlo, ti fidi come lo stampi?
gia il fatto che lo hai su un computer (magari connesso) lo rende insicuro
e se hai un RAT sul tuo pc, sei fottuto.. se la tua stampante non e' adeguata (wifi) sei potenzialmente fottuto
insomma stampare un paper wallet non e' cosi immediato

secondo
la carta si deteriora, come ben sai.. non e' cosi sicura come si pensa
potresti usare il robo in titanio (allora si)

poi cold wallet, se lo vuoi fare tu.. ti serve un pc non connesso.. con wifi e bluetooth bruciati
insomma l'effort e' troppo grande e ci sono sicuramente piu rischi

Per impratichirmi mi sono comprato due ledger nano S,
e mi sono venute alcune idee su come gicherellarci in modi "non convenzionali"

Ho fatto una rapida ricerca su internet e, come al solito, ho scoperto che non sono stato l'unico a pensarci.

https://thenextweb.com/news/ledger-nano-s-hack-cryptocurrency
https://securityboulevard.com/2018/03/15-year-old-finds-flaw-in-ledger-crypto-wallet/

Questo mette in evidenza come ci potrebbe essere la possibilita' che qualcuno nella catena distributiva
sostituisca il firmware PRIMA che la chiavetta venga consegnata,  ed esponga il device alla possibilita' di attacchi esterni.

https://github.com/hosseinpro/LedgerNanoSHack

Questo invece e' un progettino che fa esattamente quel che volevo fare io, ossia
mettere uno "sniffer" tra il software del wallet e la porta usb di comunicazione, e
vedere come si parlano il wallet e la chiavetta.

Si tratta comunque di un HW proprietario, con firmware prorpietario, che tutti dobbiamo sperare
non abbia qualche bug o peggio errore di progetto non ancora scoperto (o pubblicamento annunciato)

In pratica il ledger aggiunge uno strato del quale ci "dobbiamo fidare" ma non vi e' certezza
assoluta che funzioni correttamente, o che non possa venire hackerato anche in futuro,
anche perche' questo strato non ha nulla a che vedere con i meccanismi ben noti della blockchain.

Dopo soli due giorni di "spataccamento" per divertimento mi sento di dare due consigli:

1) per sicurezza ricaricate sulla chiavetta un firmware che sia sicuramente originale ledger.

2) NON FIDATEVI CIECAMENTE della chiavetta.

Altre note:

- Ho chiesto ad un collega che lo usa se sapeva che dopo 3 tentativi di pin sbagliati, ll
device si resetta, e bisogna riattivarlo con le 24 parole.... e non lo sapeva!

- Come ogni oggetto si puo' rompere, e puo' darsi che per la legge di murpy, lo faccia
quando servira' urgentemente, quindi per sicurezza ne ho presi 2.

- per un uso quotidiano e' innegabilmente comodo,
ma per fare hodl visto che bisogna fidarsi di uno strato "ignoto", e che in ogni caso bisogna salvarsi
le parole  di ripristino + il pin... non e' piu' sicuro salvarsi un semplice cold-wallet?