Author

Topic: Hardware Cüzdanlar Ne Kadar Güvenilir ? (Trezor - Ledger Kapışması) (Read 371 times)

legendary
Activity: 1554
Merit: 1334
Herkese selam arkadaşlar, geçtiğimiz günlerde Kraken Security Labs tarafından Trezor One ve Trezor T modellerinde mikrodenetleyicinin voltaj ayarlarıyla oynayarak cüzdana sızılabildiği tespit edildi ve Trezor ekibi böyle bir güvenlik açığının olduğunu doğruladı. Bu güvenlik açığından faydalanmak için saldırgan kişinin cüzdanınıza fiziksel olarak erişebilmesi gerekiyor. Her ne kadar bir saldırganın cüzdanınıza fiziksel olarak ulaşması zor bir durum olsa da bir yatırımcının her türlü ihtimale karşı önlem alması ve bir hardware wallet üreticisinin de bu güvenlik açığını kapatması gerektiğini düşünüyorum. Trezor ekibi bu konuda -Physical access is a threat to 6-9% of people, according to our research- açıklamasını yaptı, fiziksel erişim kullanıcıların %6sı ile %9u için bir risk teşkil ediyormuş. Kraken'in iddiasına göre fiziksel bir saldırı sonucunda saldırgan kişinin cüzdanınızın seed mnemonic'ine erişmesi sadece 15 dakika sürüyormuş ve bu güvenlik açığı donanımsal olduğu için kapatılamıyormuş. Yine de -seed extension- yapılarak saldırıdan bir miktar korunmak mümkünmüş. Yani 12/24 kelime yerine 13/25 kelimeye sahip olacak şekilde cüzdanınızı kullanmanız gerekiyor. KeepKey de aynı güvenlik açığına sahip ama Ledger Nano S/X modellerinde açık bulunmuyor.

Trezor'un "passphrase kullananlar bu açıktan etkilenmiyor" açıklaması gerçekten gülünç olmuş burada aslında.
https://twitter.com/Trezor/status/1223258154751922176
Varsayılan olarak passphrase kullanmaya zorlamıyor ne Ledger ne de Trezor. Bu bir opsiyon. Eğer bunu kullanırsan daha güvenli olur diyor. Ben bunu kullanmadım, Trezor'u kaybettim, birisi de gitti bilgisayara bağladı, 15 dakikada çözdü ve her şeyi çekti.
Öyle basit bir şey değil aslında ama çok basitmiş gibi algı oluşturmaları hoş değil.
Trezor'da madem böyle bir açık var, hemen yazılım güncellemesi ile passphrase'i zorunlu tutmalı. Ya da bütün Trezor sahiplerine yeni açıksız model göndermeli. İkincisi olmayacağına göre ilki daha kolay ve basit bir çözüm.
legendary
Activity: 1316
Merit: 966
Herkese selam arkadaşlar, geçtiğimiz günlerde Kraken Security Labs tarafından Trezor One ve Trezor T modellerinde mikrodenetleyicinin voltaj ayarlarıyla oynayarak cüzdana sızılabildiği tespit edildi ve Trezor ekibi böyle bir güvenlik açığının olduğunu doğruladı. Bu güvenlik açığından faydalanmak için saldırgan kişinin cüzdanınıza fiziksel olarak erişebilmesi gerekiyor. Her ne kadar bir saldırganın cüzdanınıza fiziksel olarak ulaşması zor bir durum olsa da bir yatırımcının her türlü ihtimale karşı önlem alması ve bir hardware wallet üreticisinin de bu güvenlik açığını kapatması gerektiğini düşünüyorum. Trezor ekibi bu konuda -Physical access is a threat to 6-9% of people, according to our research- açıklamasını yaptı, fiziksel erişim kullanıcıların %6sı ile %9u için bir risk teşkil ediyormuş. Kraken'in iddiasına göre fiziksel bir saldırı sonucunda saldırgan kişinin cüzdanınızın seed mnemonic'ine erişmesi sadece 15 dakika sürüyormuş ve bu güvenlik açığı donanımsal olduğu için kapatılamıyormuş. Yine de -seed extension- yapılarak saldırıdan bir miktar korunmak mümkünmüş. Yani 12/24 kelime yerine 13/25 kelimeye sahip olacak şekilde cüzdanınızı kullanmanız gerekiyor. KeepKey de aynı güvenlik açığına sahip ama Ledger Nano S/X modellerinde açık bulunmuyor.
legendary
Activity: 1218
Merit: 1291
Bunun güvenli olmadığını söyleyen bir çok kullanıcı olsa da ben bugüne kadar daha güvenli tek bir alternatif göremedim çünkü paper-wallet sadece cold-wallet olarak kullanılabilir, desktop walletlerde ise DAT dosyasının şifresi keylogger ile öğrenildikten sonra bilgisayara sızıp dosyanız çalınabilir ya da bir phishing sitesine upload edip şifrenizi girebilirsiniz. Bu koşullarda satın alabilecek gücü olan birinin ilk olarak Ledger ya da Trezor gibi bir hardware-wallet satın alması gerekir.

[1] Ledger
[2] Trezor

Hardware-walletlarda bir virüsün girebileceğinden çok daha düşük bir bellek kapasitesi vardır dolayısıyla herhangi bir hacklenme söz konusu olamaz, şu an olan tek risk sizin bilgisayarınıza giren virüsün ekranda farklı BTC adresi gösterebiliyor oluşu bu nedenle deposit/withdraw yapmadan önce hardware-wallet ekranında adresin doğru olup olmadığını kontrol etmeniz gerekiyor. Alp Işık'ın bu virüs hakkında dikkat edilen noktaları ve bundan nasıl kurtulanabileceğini anlattığı bir video var.

[3] Alp Işık trojan.CoinBitClip

Yani bir alım/gönderim işlemi yapmadan önce cihazınızın ekranını kontrol ederseniz hardware-wallet'de hiçbir sorun yaşamazsınız.
hero member
Activity: 807
Merit: 522
Bir cihazdan elektrik geçiyorsa güvenilmez. Kağıt wallet!
legendary
Activity: 2352
Merit: 2592
Chancellor on Brink of Second Bailout for Banks

Eğer ledger yada trezor kullanmanın tek avantajı kontrolü kendi elimde tutmaksa bunu sıfır maliyetle hazırlayabileceğim kağıt cüzdan dahi yapar.
Kağıt cüzdanla sağlanabilecek bir özellik için insanlar niçin 500-1200 tl arasında bir ücret ödesin ki ?

Kağıt cüzdanda da kaybettiğimde yada çalındığında alan kişi bu piyasayı bilmiyorsa çalamaz.
E o zaman bu ledger ve trezor'un ne özelliği kaldı ki ?

teknik konusunda çok bilgili olmasamda şunu sormak istiyorum.

kağıt cüzdanınıza girmek için private keyi giriosunuz değilmi yada kullanıcı adı ve şifre herneyse.

bilgisayarına keylogger yada virüs bulaşdıysa bu cüzdanı kaybetme ihtimalin var yanlış bilmiosam.

lakin hardware walletlerde cüzdana giriş cihazdan oldugundan keylogger yada virüs yesende bişi olmaz.

çekim işlemlerindede hardware walletden onay gerektiğinden cihazını kaybetmezsen yine sıkıntı olmaz .

yanlışsam düzeltin lütfen

Ledgerle ilgili verdiğim örneğe bakarsanız hocam kahve ödemesi yaparken verdiğiniz bir onayla bütün cüzdanın boşaltıldığı örnek var bu açık şu an kapatıldı ama yenisi de mümkün demekki. Ben kağıt cüzdanın ledgerden güvenli olduğunu savunmuyorum vadettiklerini ne kadar gerçekleştirebildiklerinin yada kendimizi daha fazla nasıl güvende tutabileceğimizin peşindeyim.

Ev hırsızlıkların önemli bir yüzdesi ev sahibini tanıyan kişiler tarafından gerçekleştiriliyor eğer kripto para ve bu cüzdana sahip olduğunuz kişiler varsa ki görüldüğü gibi trezorların 24 kelimelik seed'ini kırmak çocuk oyuncağı olmuşsa güvende değilsiniz demektir.

Örneğin ledger daha önce şifre hanesini 8 tane 0 la açıyordu ve şifrenizi giriyordunuz. Hangi tuşa kaç kere basarak cüzdanı açtığınız belliydi muhtemelen bununla ilgili bir açık oluştu ve son yükseltmesinde giriş şifresini rastgele rakamlarla açıyor siz o rakamlardan kendi şifrenize gidiyorsunuz böylelikle onay tuşlarına tıklama sayınızdan şifrenizin çözülmesi imkansızlaşıyor, pozitif gelişme.
member
Activity: 380
Merit: 31
kırılamayan kod mu var ki ?  günümüz teknolojisinde imkanları sağla herşey kırılıyor. koskoca devletler kurumlar hackleniyor...

hardware walletların birincil amacı kontrolün sizde olmasıdır. kırılması değil.


Yani bir sabah uyandıgında borsanın kapandıgı yada borsa hesabına ulaşamadıgını yada borsadaki tüm paranın çekildiğini görme diedir.

ledger yada trezor kullanırsanız ne olur ? kullanım kontrol sana geçer.

amaç bu.

sen kaybedersen  cihazını şansına bulan adam kriptodan anlıosa cihazın tipinden ne oldugunu anlıosa şansına hackden anlıo sa

yani halanın da bıyıgı olsa mevzusu...

inşallah kimsenin basına gelmez....

asıl korkulacak olay ledger trezor gibi servislerden kaynaklı hack yada bakiye kaybetmeler maalesef

Eğer ledger yada trezor kullanmanın tek avantajı kontrolü kendi elimde tutmaksa bunu sıfır maliyetle hazırlayabileceğim kağıt cüzdan dahi yapar.
Kağıt cüzdanla sağlanabilecek bir özellik için insanlar niçin 500-1200 tl arasında bir ücret ödesin ki ?

Kağıt cüzdanda da kaybettiğimde yada çalındığında alan kişi bu piyasayı bilmiyorsa çalamaz.
E o zaman bu ledger ve trezor'un ne özelliği kaldı ki ?

teknik konusunda çok bilgili olmasamda şunu sormak istiyorum.

kağıt cüzdanınıza girmek için private keyi giriosunuz değilmi yada kullanıcı adı ve şifre herneyse.

bilgisayarına keylogger yada virüs bulaşdıysa bu cüzdanı kaybetme ihtimalin var yanlış bilmiosam.

lakin hardware walletlerde cüzdana giriş cihazdan oldugundan keylogger yada virüs yesende bişi olmaz.

çekim işlemlerindede hardware walletden onay gerektiğinden cihazını kaybetmezsen yine sıkıntı olmaz .

yanlışsam düzeltin lütfen
legendary
Activity: 2352
Merit: 2592
Chancellor on Brink of Second Bailout for Banks
kırılamayan kod mu var ki ?  günümüz teknolojisinde imkanları sağla herşey kırılıyor. koskoca devletler kurumlar hackleniyor...

hardware walletların birincil amacı kontrolün sizde olmasıdır. kırılması değil.


Yani bir sabah uyandıgında borsanın kapandıgı yada borsa hesabına ulaşamadıgını yada borsadaki tüm paranın çekildiğini görme diedir.

ledger yada trezor kullanırsanız ne olur ? kullanım kontrol sana geçer.

amaç bu.

sen kaybedersen  cihazını şansına bulan adam kriptodan anlıosa cihazın tipinden ne oldugunu anlıosa şansına hackden anlıo sa

yani halanın da bıyıgı olsa mevzusu...

inşallah kimsenin basına gelmez....

asıl korkulacak olay ledger trezor gibi servislerden kaynaklı hack yada bakiye kaybetmeler maalesef

Eğer ledger yada trezor kullanmanın tek avantajı kontrolü kendi elimde tutmaksa bunu sıfır maliyetle hazırlayabileceğim kağıt cüzdan dahi yapar.
Kağıt cüzdanla sağlanabilecek bir özellik için insanlar niçin 500-1200 tl arasında bir ücret ödesin ki ?

Kağıt cüzdanda da kaybettiğimde yada çalındığında alan kişi bu piyasayı bilmiyorsa çalamaz.
E o zaman bu ledger ve trezor'un ne özelliği kaldı ki ?
member
Activity: 138
Merit: 19
Sizin private keye nasıl ulaşıcak ? Private keye ulaşmaları için sizin bir hata yapmanız lazım öbür türlü çok zor hatta imkansız.
member
Activity: 380
Merit: 31
kırılamayan kod mu var ki ?  günümüz teknolojisinde imkanları sağla herşey kırılıyor. koskoca devletler kurumlar hackleniyor...

hardware walletların birincil amacı kontrolün sizde olmasıdır. kırılması değil.


Yani bir sabah uyandıgında borsanın kapandıgı yada borsa hesabına ulaşamadıgını yada borsadaki tüm paranın çekildiğini görme diedir.

ledger yada trezor kullanırsanız ne olur ? kullanım kontrol sana geçer.

amaç bu.

sen kaybedersen  cihazını şansına bulan adam kriptodan anlıosa cihazın tipinden ne oldugunu anlıosa şansına hackden anlıo sa

yani halanın da bıyıgı olsa mevzusu...

inşallah kimsenin basına gelmez....

asıl korkulacak olay ledger trezor gibi servislerden kaynaklı hack yada bakiye kaybetmeler maalesef
full member
Activity: 1050
Merit: 210
Crypto Trader
Şu mesajı 14 nisan 2019 yazmışız.Konu ile alakalı işi bilen 2 kişide merit yollamış.
Mesajı dikkatli okursanız olayın ne boyutlarda olduğu anlaşılacaktır.
Sonuçta bende hem trezor one hemde ledger nanos s var ama işte bir gün girip bakınca tüm coinler gidersede walletkarda şahsen ben şaşırmam  Huh sebebi altta mesajda yazılıdır.kolay gelsin.



1-Hardwallet firmaları zaten dünya para kazanıyorlar üstüne bu iş en az 20-30 sene sürse diyelim adamlar her sene 1 wallet çıkarıp çaksa olay bitti.Markaya zarar vermemek adına o çalma çırpma işine girmezler derim.En basiti samsung apple olayı bakarsanız samsung senede 15-20 model cep çıkarıyor dünya parayıda kaldırıyor.Her 2 si piyasaya son 10 senedir iyice hakim oldular.

2-Cüzdanlar güvenlimi sorusu işte yazılan çizilene göre güvenlide genede insanın aklına acaba olabilirmi diyede geliyor.

3-Son 2 senedir abudik gubidik bir sürü site açılıp kapanıyor işte bunlarda private keyler ifşa ediliyor.
Bugün gene birini inceledim.Alttaki adrese işlem geçen ay yapılmışta.

https://www.blockchain.com/btc/address/1MJacYtnYxnmNxmAhtp6QZDufva2CD7HqY

Hem adres hem private key mevcut.Yani hesap boşaltılmamış olsa private keyi bir yerden import edip parayı çekmek 10 saniye sürmez gibi.

4- Bir yerde 50 doge dağıtılıyor dendi zaten olay bittide bende önceden açılmış paper walletlar vardı.Bende oraya verdim sonuçta 50 şer doge geldi bir siteye private keyleri import ettik.Ve gelen dogeleri trezordakia asıl hesaba yolladık.

5-Şimdi bazısı şunu diyecek bunları niye anlatıyorsun.Şunu anlatmaya yada anlamaya çalışıyorum.Bende hem trezor hemde ledger var 2 sinide kullanıyorum zaten ordaki adresleri kimseye vermiyorum borsalardan direkt oraya atıp borsadan gene trezora ledgera atıyorum.

6-İşte üstte dediğim olay diyelim ki o sitelerde bir şekilde bizim btc private key ulaşsa ve örnek 3-5 kişinin btc private keyi import etse ve paraları çekebilirmi?Bence çekerler.

7-Burdaki mesele seed meselesi değil cüzdan içindeki btc-bch-ltc-xrp-eth gibi coinlerin asıl private keyleri zaten ifşa edildi denebilir.Olasılıklı olarak tarayan ekipler var hatta bu sitedede konusu var.

8-Tek araştırıp gördüğüm ve tespit ettiğim şimdilik ETH için diyeyim myetherwalletdan adam senin private keyi bulup girse ve trezor-ledger bağlı hesap ise işte ona girmesi yada işlem yapması çok zor bizzat denedim ve çeşit çeşit hatalar gördüm.Ama hesap normal hesapsa ondanda coin yada tokenı uçurması içinde gas varsa sadece 10 saniye.

9-Sonuç olarak Trezor-Ledger eğer asıl private keylere bir işlem yaptı ise sorun yok.Ama işlem eth deki gibi değilse yani cüzdandaki BTC-BCH-LTC- yada DOGE diyelim bunlara adreslerinin private keyleri işlemden geçmedi ise üstte anlatılan taramaları yapanlar kaza ile katrilyonda 1 ihtimal sizin btc hesabı patlatırsa büyük ihtimal import edip paraları çeker gibime geliyor.

10-Böyle bir olay olupta patlak verirsede artık twitter yada diğer sosyla medya haber olur.
Trezordan yada ledgerdan coinler uçuruldu diye.


legendary
Activity: 2352
Merit: 2592
Chancellor on Brink of Second Bailout for Banks
Merhabalar, uzun süredir ledger kullanırım ve herkese tavsiye eder(d)im. Aldığım günden beri beni hiç yatırımım çalınır mı düşüncesine sevk etmedi dünkü videoyu izleyene kadar. Bildiğiniz gibi kurulum aşamasında 24 kelimelik bir anahtar sahibi oluyorsunuz ve cihaz çalınsa bile o anahtarla yatırımınızı kurtarabiliyorsunuz. Ben o 24 kelimeyi güvenli bir yere attım nasılsa rahatlığıyla ledgeri evde masanın üstünde bırakırım sürekli nasılsa çalınsa bile içindekiler alınamaz! ve kurtarabilirim rahatlığı vardı. Artık onu da güvenli bir yerde muhafaza etmem gerektiğini öğrendim.

Ayın 1'inde ledger Trezor ile ilgili bir video paylaştı buyrun izleyelim.

video: https://youtu.be/q8jednQQFx4

Ekran görüntüsü:


Yani cihazı fiziksel olarak çaldırırsanız o 24 kelimeyi elde etmek 100 dolarlık ekipman sayesinde saniyeler sürüyor ve yatırımlarınızla vedalaşıyorsunuz. Videoyu izlerken fark edebileceğiniz gibi diğer versiyonlar içinde bunu yapmak mümkün. Ben izledikten sonra ledgerimi vücudumda sokacak yer aramaya başladım. Geçmişteki açıkları da araştırmaya karar verdim.

Açıklarla ilgili geçmişteki Trezor açıklaması yaklaşık olarak şöyle: Aşağıdaki grafiği paylaşarak kripto çalınmalarının sadece %6'sının fiziksel hırsızlık sonucu gerçekleştiği belirtilmiş. Cüzdanınızı bir yerde unutur yada kaybederseniz de bulan kişinin kripto paralardan anlama ihtimali çok düşük denmiş.



Aynı şekilde bu açıklama arasında ledgerle kahve parası ödenirken bütün yatırımların çalınabileceğini gösteren açığın videosunu paylaşmış.

Video: https://youtu.be/f9tBijhZz8I
kaynak: https://sergeylappo.github.io/ledger-hack/

Bu açık ledger için şu an kapatılmış durumda. Ancak kapatılması mümkün olmayan açıklarında olduğu paylaşılmış. Özellikle tedarik zincirindeki art niyetli kişilerin kurtarma kodu üzerinde yine saniyeler sürecek bir işlemle daha sonrasında satın alan yatırımcıların tüm yatırımını elde edebileceğine değinmiş hem trezor hem ledger için. Biz bütün tedarik sürecini takip ediyoruz diyerek güven verilmiş. Ancak satın aldığınız tedarikcinin paketi daha önceden açıp tekrar kaplamadığını, değiştirmediğini garanti altına alacak bir yöntem yok halen.

Video: https://saleemrashid.com/assets/ledger-exploit-882e1c5b667d8e8aee91371d5ff08cf79d8d25b54341dd3d6b5097a047695d3f.mp4
kaynak: https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/

Aslında hardware cüzdan üreticilerinin artması, birbirinin açığını kovalaması camia için yararlı bir durum. Gelişmelerine yardımcı oluyor ancak özellikle trezordaki açıktan sonra biraz soğudum desem yeridir. Kağıt cüzdan hazırlayıp onu güvenli bir yerde saklasam daha mı iyi olurdu sorusunu aklıma getirdi.

Trezor olayıyla ilgili kaynak: https://ledger-donjon.github.io/Unfixable-Key-Extraction-Attack-on-Trezor/
Trezor'un Ledgere geçmişte verdiği cevap kaynağı: https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4









Jump to: