Pages:
Author

Topic: Ошибка в процах Intel украдет вашу крипту! - page 13. (Read 2720 times)

member
Activity: 294
Merit: 10
Может это просто вброс AMD с целью укрепить свои позиции, а?) Подумайте, кому еще может быть выгодна такая информация... Вот, кстати, браузерные кошельки - большой вопрос, оставляют ли чего из информации, аль нет. + то, что мы печатаем вручную - это же тоже наверняка проходит через процессор....
Нехилый такой вброс если Мелкомягкие и Линукс обновления критические уже выпустила, оставьте свои теории заговоров, проблема реальная и никем не выдуманная.
full member
Activity: 448
Merit: 102
APOLLOX Protocol
Может это просто вброс AMD с целью укрепить свои позиции, а?) Подумайте, кому еще может быть выгодна такая информация... Вот, кстати, браузерные кошельки - большой вопрос, оставляют ли чего из информации, аль нет. + то, что мы печатаем вручную - это же тоже наверняка проходит через процессор....
legendary
Activity: 3514
Merit: 1280
English ⬄ Russian Translation Services
Ну раз читали, чего тогда постите ерунду про открытый код?

Вернемся к разговору через определенное время, когда весь их код будет открыт, они планируют это сделать. А сейчас код частично открыт, кошельки разбирали и проверяли  не одна сотня людей, поэтому параноидальную ерунду пишите вы, а я лишь привел ссылки, спасибо, что их почитали

Я уже отвечал на эту часть

Но могу повториться для слоупоков, что открытый код в данном вопросе ничего сам по себе не решает. Если в нём, например, предусмотрена возможность обновления, то разницы между открытым и закрытым кодом на практике не будет, поскольку ничто не мешает этому коду взять и обновиться соответствующим образом. И это только самое простое, что мне моментально пришло в голову. Какие бывают члены винтом - смотреть первый пост этой темы

Баламут, я считаю деньги, потраченные на аппаратный кошелёк, выкинутыми на ветер.

А я уважаю свое время, выкинутое на танцы с бубном, у меня его мало, у вас, видимо, много Smiley В этом вся разница

Почему вы проигнорировали остальной мой пост и вырвали из него только ту часть, которая вас видимо больше всего устраивает? Как насчёт танцев с десятком аппаратных кошельков, из которых две трети даже не существует в природе? Монеты с которыми я когда-либо имел дело:

1. Bitcoin
2. Bitcoin Cash
3. Litecoin
4. Ethereum
5. Dogecoin
6. Dash
7. DarkNote
8. Monero

Писал по памяти и список далеко неполный
member
Activity: 350
Merit: 11
Ну раз читали, чего тогда постите ерунду про открытый код?

Вернемся к разговору через определенное время, когда весь их код будет открыт, они планируют это сделать. А сейчас код частично открыт, кошельки разбирали и проверяли  не одна сотня людей, поэтому параноидальную ерунду пишите вы, а я лишь привел ссылки, спасибо, что их почитали

Баламут, я считаю деньги, потраченные на аппаратный кошелёк, выкинутыми на ветер.

А я уважаю свое время, выкинутое на танцы с бубном, у меня его мало, у вас, видимо, много Smiley В этом вся разница
legendary
Activity: 3514
Merit: 1280
English ⬄ Russian Translation Services
Советую самому сходить по указанной ссылке (я таки сходил), а именно, прочитать следующее:

Благодарю вас, я там был и читал еще задолго до этого диалога, равно как и разборы-обзоры тех. спецов по этому кошельку

Используйте флешку + древний комп и живите счастливо со своей паранойей, но что-то мне подсказывает, что в течении пары лет вы достанете аппаратный кошелек и приобретете заодно пару часов лишнего времени

Ну раз читали, чего тогда постите ерунду про открытый код?

Баламут, я считаю деньги, потраченные на аппаратный кошелёк, выкинутыми на ветер. Ну поднял человек хорошо на битке, чего бы ему не поделиться баблишком с производителем флешек? У меня есть mp3 плеер от Transcend, который может использоваться как диктофон, радиоприёмник и даже просто как флешка на 8 гигабайт, и в 2015 году он стоил 1300 рублей вместе с наушниками (сейчас специально все цифры проверил). У меня в настоящий момент времени четыре валюты, не считая рублей и долларов, и что мне теперь на каждую отдельный кошелёк покупать?

Только было хотел порадоваться, что у меня АМД стоит, а тут такой облом. Но все же с ними ситуация получше. А как с Квалкомм? На смартах и части планшетов процы ихние стоят.
А еще  - я так мыслю, Интел не случайно такую дыру сделало, а намеренно. По просьбе всем известных пиндосских контор глубокого бурения. Посему Интел фтопку! Следует объявить им всемирный бойкот!

Я вас умоляю, что АМД, что Интел, это одного поля ягодки
member
Activity: 135
Merit: 13
Кошелки в браузере свои данные как то не оставляют. Так что бояться нечего.
Кошельки в браузере могут куки писать. У интела в каждом новом процессоре постоянно новые баги вылазят. Что может для криптовалют специальный ноут на процессоре AMD покупать?
Если бы Вы перешли по ссылке из первого поста, то обнаружили бы, что проблемы в том числе и у AMD и у ARM архитектуре, а от сюда подвержены опасности даже "Байкалы" отечественного производства, а вот "Эвересты" такой проблемы не имеют. Пока лучший вариант, поставить патчи и ждать выхода новых процессоров. Кстати, патчи снижают производительность процессоров, в некоторых задачах, до 30%. Короче ситуация очень неприятная.

Только было хотел порадоваться, что у меня АМД стоит, а тут такой облом. Но все же с ними ситуация получше. А как с Квалкомм? На смартах и части планшетов процы ихние стоят.
А еще  - я так мыслю, Интел не случайно такую дыру сделало, а намеренно. По просьбе всем известных пиндосских контор глубокого бурения. Посему Интел фтопку! Следует объявить им всемирный бойкот!
full member
Activity: 263
Merit: 105
При том, что вопрос стоит о существовании backdoor'ов

И речь идёт не о том, что из сида можно сформировать публичный или приватный ключ. Ничто не мешает производителю кошелька запилить туда backdoor, который в нужный момент отправит ваши ключи (точнее seed), куда нужно. Другими словами, не надо перекладывать с больной головы на здоровую, ибо не об этом речь. Да и насчёт удобства, тоже есть сомнения. Это надо ставить дополнительное программное обеспечение (даже если это всего лишь плагин к браузеру), которое само по себе может нести риски, без привязки к крипте как таковой. А флешку придётся теребонькать в обоих случаях

Я вас обрадую

Ну или огорчу, в зависимости от того, на чьей вы стороне. Для кражи денег с аппаратного кошелька вам даже не надо иметь физический доступ к нему. И не надо знать ни о каких уязвимостях, поскольку аппаратные кошельки предполагают восстановление приватных ключей через сайт производителя. Это можно назвать официальным backdoor'ом, который существует на тот случай, если с кошельком что-то случится. Сломается, например. Или вы реально думали, что его выход из строя приведёт к безвозвратной потере монет?

Лол.
member
Activity: 294
Merit: 10
я читал на харбаре подробно про это, единственное что пугает то, что это затрагивает очень много девайсов, чуть ли не 70% всех устройств на земле!!! все что старше 10 лет не уязвимо! НО, использовать эту уязвимость не так легко как кажется, должно срастись вместе много условий
Да, действительно, но  безопасность все таки прежде всего. Как раз идет обновление системы, лучше уж пожертвовать производительностью чем деньгами.
member
Activity: 322
Merit: 12
а как же двухфакторная защита? по идее без неё сейчас даже контактик не стоит у меня))
А у нас что например на Myetherwallet появилась двухфакторная аутентификация? или на Etherdelta? Что то такого нигде не наблюдал, поделитесь если знаете где это?
member
Activity: 215
Merit: 21
а как же двухфакторная защита? по идее без неё сейчас даже контактик не стоит у меня))
member
Activity: 350
Merit: 11
Советую самому сходить по указанной ссылке (я таки сходил), а именно, прочитать следующее:

Благодарю вас, я там был и читал еще задолго до этого диалога, равно как и разборы-обзоры тех. спецов по этому кошельку

Используйте флешку + древний комп и живите счастливо со своей паранойей, но что-то мне подсказывает, что в течении пары лет вы достанете аппаратный кошелек и приобретете заодно пару часов лишнего времени
legendary
Activity: 3514
Merit: 1280
English ⬄ Russian Translation Services
Вы видели код, который управляет этим устройством?

https://github.com/LedgerHQ

Ничто не мешает производителю кошелька запилить туда blackjack'а (зачёркнуто) backdoor'а, который в нужный момент отправит ваши ключи (точнее seed), куда нужно.

https://ledger.zendesk.com/hc/en-us/articles/115005214709-Is-Ledger-an-open-source-project-

Советую самому сходить по указанной ссылке (я таки сходил) и прочитать следующее:

Quote
The firmware is not open source - as vendor NDAs prevent us from releasing a source code that would be of any use to our users. However, the specifications are fully open and detailed, and all cryptographic operations are deterministic, which allow any user to verify that the card is answering what it should and that there is no side channel

Добавил выделение, чтобы было понятнее. По факту мы имеем утверждение производителя, что он туда ничего лишнего не прикрутил, но при отсутствующем исходном коде, всё в конечном счёте сводится к доверию пользователя по отношению к производителю сего девайса, поскольку проверить его утверждения невозможно. Но даже наличие исходного кода ничего на самом деле не гарантирует. Например, если там существует возможность обновления, то всё опять возвращается к вопросу доверия. А это в корне отлично от понятия "нормальности" в крипте. В крипте нормально не доверять
member
Activity: 350
Merit: 11
Вы видели код, который управляет этим устройством?

https://github.com/LedgerHQ

Ничто не мешает производителю кошелька запилить туда blackjack'а (зачёркнуто) backdoor'а, который в нужный момент отправит ваши ключи (точнее seed), куда нужно.

https://ledger.zendesk.com/hc/en-us/articles/115005214709-Is-Ledger-an-open-source-project-


и при взломе базы данных производителя обчистят все кошельки.

ЛОЛ!  Grin
hero member
Activity: 714
Merit: 512
Intel спецом выпустила данную новость, чтобы ее акции упали. Сейчас перезакупится и все исправят. Скажут - обычный глюк.

Вот как вариант, тоже о таком ходе компании подумал
Ведь нужно же тоже как-то курс расшатывать и акции отжимать
в общем решили как в крипте в плохие-хорошие новости сыграть, хотя конечно может и есть реально уязвимость.
hero member
Activity: 1016
Merit: 502
я читал на харбаре подробно про это, единственное что пугает то, что это затрагивает очень много девайсов, чуть ли не 70% всех устройств на земле!!! все что старше 10 лет не уязвимо! НО, использовать эту уязвимость не так легко как кажется, должно срастись вместе много условий
member
Activity: 322
Merit: 10

Я вас обрадую

Ну или огорчу, в зависимости от того, на чьей вы стороне. Для кражи денег с аппаратного кошелька вам даже не надо иметь физический доступ к нему. И не надо знать ни о каких уязвимостях, поскольку аппаратные кошельки предполагают восстановление приватных ключей через сайт производителя. Это можно назвать официальным backdoor'ом, который существует на тот случай, если с кошельком что-то случится. Сломается, например. Или вы реально думали, что его выход из строя приведёт к безвозвратной потере монет?

Лол.

Зря смеетесь, человек дело говорит, и при взломе базы данных производителя обчистят все кошельки. Зачем ломать одну сейфовую дверь, когда можно отжать связку ключей у консьержа и спокойно открыть все двери?!
legendary
Activity: 3514
Merit: 1280
English ⬄ Russian Translation Services
Вопрос на засыпку, как много пароль добавляет к безопасности устройства, если злоумышленник может утянуть непосредственно seed, записанный где-нибудь в блокноте на рабочем столе пользователя, и спокойно получить доступ к монетам без всякого пароля и физического доступа к устройству? Как по мне, это самый что ни на есть настоящий backdoor

Я правильно понимаю, что бэкдором названа возможность получить средства по сиду?
Если да, то это норма для крипты

Это, конечно же, не так

Причём не так в концептуальном плане, поэтому можно сказать, что всё в точности до наоборот. Вся идея крипты именно и состоит в децентрализованной модели, существующей в бестрастовом окружение (trustless environment), где никто никому по умолчанию не доверяет. А когда вы пользуетесь аппаратным кошельком вы уже по сути доверяете производителю. Откуда вы знаете, что он в один прекрасный момент не украдёт ваши битки? Ну и какая же это норма для крипты?

Насколько вижу, отсутствует понимание. Речь идёт о стандарте формирования приватных и публичных ключей из сида:
https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki

Причём здесь доверие производителю?

При том, что вопрос стоит о существовании backdoor'ов

И речь идёт не о том, что из сида можно сформировать публичный или приватный ключ. Ничто не мешает производителю кошелька запилить туда blackjack'а (зачёркнуто) backdoor'а, который в нужный момент отправит ваши ключи (точнее seed), куда нужно. Другими словами, не надо перекладывать с больной головы на здоровую, ибо не об этом речь. Да и насчёт удобства, тоже есть сомнения. Это надо ставить дополнительное программное обеспечение (даже если это всего лишь плагин к браузеру), которое само по себе может нести риски, без привязки к крипте как таковой. А флешку придётся теребонькать в обоих случаях
full member
Activity: 263
Merit: 105
Вопрос на засыпку, как много пароль добавляет к безопасности устройства, если злоумышленник может утянуть непосредственно seed, записанный где-нибудь в блокноте на рабочем столе пользователя, и спокойно получить доступ к монетам без всякого пароля и физического доступа к устройству? Как по мне, это самый что ни на есть настоящий backdoor

Я правильно понимаю, что бэкдором названа возможность получить средства по сиду?
Если да, то это норма для крипты

Это, конечно же, не так

Причём не так в концептуальном плане, поэтому можно сказать, что всё в точности до наоборот. Вся идея крипты именно и состоит в децентрализованной модели, существующей в бестрастовом окружение (trustless environment), где никто никому по умолчанию не доверяет. А когда вы пользуетесь аппаратным кошельком вы уже по сути доверяете производителю. Откуда вы знаете, что он в один прекрасный момент не украдёт ваши битки? Ну и какая же это норма для крипты?

Насколько вижу, отсутствует понимание. Речь идёт о стандарте формирования приватных и публичных ключей из сида:
https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki

Причём здесь доверие производителю?

У производителя трезора нет возможности вернуть ваши средства, если вы забыли сид. Нету никакого бэкдора.
Есть стандартная процедура формирования ключей. Есть сид - есть ключи. И не важно трезор это, электрум или другой кошелёк.

Вопросы оффлайн-подписи и доверия кошелькам лежат в другой плоскости.
Да и с помощью трезора, насколько знаю, можно подписать транзакцию оффлайн.
Но ещё раз - это совсем другая тема и никак не касается формирования криптографических ключей.


legendary
Activity: 3514
Merit: 1280
English ⬄ Russian Translation Services
Вопрос на засыпку, как много пароль добавляет к безопасности устройства, если злоумышленник может утянуть непосредственно seed, записанный где-нибудь в блокноте на рабочем столе пользователя, и спокойно получить доступ к монетам без всякого пароля и физического доступа к устройству? Как по мне, это самый что ни на есть настоящий backdoor

Я правильно понимаю, что бэкдором названа возможность получить средства по сиду?
Если да, то это норма для крипты

Это, конечно же, не так

Причём не так в глобальном, концептуальном смысле, поэтому можно сказать, что всё в точности до наоборот. Вся идея крипты именно и состоит в децентрализованной модели, существующей в бестрастовом окружении (trustless environment), где никто никому по умолчанию не доверяет. А когда вы пользуетесь аппаратным кошельком, вы уже по сути безусловно доверяете свои сальдо производителю кошелька. Откуда вы знаете, что в один прекрасный момент он их не украдёт? Вы видели код, который управляет этим устройством? Ну и какая же это норма для крипты? Норма - это бумажный кошелёк и подписывание транзакций вручную, остальное от лукавого (и производителей кошельков, ахахах)
member
Activity: 266
Merit: 10
По хорошему то косяк производителей благодаря которому заявленной производительности теперь не будет, соответственно товар бракованный и производитель должен понести ответственность перед покупателями, интересно кто то добьется скидки на новые процы взамен старых?
Не знаю насчет скидок на новые процы, но то что крупные компании использующие процессоры Intel могут подать судебные иски на огромные суммы это точно. Долго придется им все это разгребать.
Подать в суд могут, но процесс будет не простой. Архитектура была известна, так что производители процов ничего не скрывали, просто не знали об этом, как бы в этом их обвинить будет сложно, а то что после патчей на Интеле упадет производительность, ну так патчи не от Интела, не хотите не ставьте... но репутацию это пошатнет, тем более на фоне неплохих Райзенов.
Pages:
Jump to: