Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 14. (Read 23158 times)

Es gibt eigentlich einen Tweet der alles sagt. Ledger hat uns bisher eine Lüge verkauft: Nämlich, dass es nicht möglich sei den Seed aus dem Secure Element zu bekommen.

Und doch es ist möglich, siehe den Tweet von gestern. Es war sogar immer möglich. Die angebliche Sicherheit, alles nur vorgegaukelt.



Quelle: Twitter, Ledger Support, 17.05.2023

Die ganze Ledger Security ist und war immer nur auf Vertrauen aufgebaut. Vertrauen, dass kein worst-case Hack Szenario oder ein Inside-Job eintritt, der dazu führt, dass fehlerhafte bzw. kompromittierte Software den Seed freigibt. Vertrauen, dass Ledger nicht ohne unser Wissen ein Firmware Update aufspielt, das unseren Seed an öffentliche Stellen oder Regierungen ausgibt.

Und jetzt sollen wir dieser verlogenen Firma, die in der Vergangenheit massiv Nutzerdaten durch Hacks im Darknet verloren hat, vertrauen wenn sie sagt "trust me bro, you're safe". Ohne mich.

Wir sollten uns zügig überlegen, welche Alternativen am Markt sind und welche Alternativen nicht ggf. auch das selbe Secure Element verwenden was ebenso verwundbar ist.

Und meine persönliche Meinung: Ich hoffe dieser Drecksladen geht Pleite und die scheiß Founder gehen in den Knast.

Diese zwei Sätze sind wie ein Roundhose-Kick mitten in die Fresse und ich dachte da gibt es noch eine Möglichkeit das ganze zu ignorieren/umgehen oder ähnliches. Das es Geheimnisse geben muss, bei einer Entwicklung des Security-Chips ist verständlich. Ein guter Koch verrät nicht sein bestes Rezept. Aber jetzt bestätigen, das die primäre Funktion "Sicherheit" nicht so sicher ist wie man es immer kommuniziert hat, oder es noch tut:

Quelle: https://shop.ledger.com/de/pages/ledger-nano-x
Klickt man auf "Erfahren Sie mehr über die Sicherheit, die Ledger bietet", gelangt man auf eine 404 Page not found.

---

Ledger-Fiasko: Bitcoin-Community in Aufruhr
Quelle: https://www.btc-echo.de/news/ledger-fiasko-bitcoin-community-in-aufruhr-164403/[/list]

Hier möchte ich gerne einhaken und kurz darlegen, was das jetzt eigentlich heißt.

Ledger hat ja immer beteuert, dass der Seed sicher ist und aus ihrem "Security-Chip" nicht extrahiert werden kann. Dem ist aber nicht so, Ledger hat hier offensichtlich gelogen.

Warum?

Der Prozess für das "Recovery" funktioniert so:



Quelle

Das bedeutet jetzt folgendes:

• Der Seed wird in einem Security-Chip verwahrt. Benötigt man ein Backup/Recovery, so wird dieser Seed in 3 verschlüsselte Teile aufgeteilt (die so genannten Shards)
• Diese Teile werden nun an 3 unabhängige (?) Firmen gesendet und dort entschlüsselt
• Erst wenn alle 3 Teile wieder zusammengesetzt werden kann man einen neuen Ledger wieder mit dem Seed initialisieren

Aus Hardware- und Softwaresicherheits-Sicht ist das eine einzige Katastrophe ... gelinde ausgedrückt. Das bedeutet nämlich im Umkehrschluss:

• Der Seed ist und war immer extrahierbar, wenn auch in verschlüsselter Form. Das hat Ledger mittlerweile auch bestätigt:
  
  Quelle
  
• Die externen Firmen mit denen Ledger hier zusammenarbeitet sind in der Lage, die Shards aufzubrechen und zu lesen.
• Ledger kann per Software-Update über Ledger Live ihre wichtigste Sicherheitsfunktionalität abändern. Was passiert, wenn hier ein Bug/Backdoor in einem Update versteckt ist, welcher die Seeds/Shards unverschlüsselt nach außen gibt?

Für mich als Ledger-User fast der ersten Stunde ist die Enttäuschung riesengroß. Ich verwalte fast mein ganzes Crypto-Portfolio über einen Ledger, werde die aber jetzt garantiert nicht mehr verwenden oder geschweige denn updaten. Ich möchte gar nicht wissen, in welchen Belangen Ledger hier noch unehrlich zu uns als Kunden war. Bin gerade auf der Suche nach einer Alternative, bin auch kurz davor den gesamten Seed zu verwerfen und mit einem Trezor (o.ä.) komplett neu zu starten.

da dies ja *nur* Software ist lässt sich das doch jederzeit ändern oder?
 

Beim Nano S soll das Feature anscheinend nicht möglich sein wie Julian Hosp in seinem Video dazu geurteilt hatte.
Dazu soweit mir bekannt kann Ledger bei diesem Feature nicht das 25te Wort speichern.
Also generell das 25te Wort zu verwenden stellt hier weiterhin eine sehr gute Option dar.

An das hab ich noch gar nicht gedacht. Interessant, da schießt sie ja noch mehr ins Aus.
noch ein Grund mehr, das Produkt zukünftig zu meiden und seinen Seed sicher zu verwalten.

Viele Grüße
Willi

Wie verhält es sich dann erst in der Zukunft wenn Strafverfolgungsbehörden auf Ledger zukommen und die Seeds haben wollen von einem Kunden damit sie die Funds beschlagnahmen können? So wie Ich das sehe ist das dann durchaus möglich.

Ich sehe es mittlerweile auch so wie willi9974 und es ist eine erweiterte Funktion für den Otto-Normal-Verbraucher, der sich nicht so intensiv mit der Verwahrung der Privatekeys/Seed auseinandersetzen möchte. Das ist auch völlig legitim, doch gar nicht im Sinne des Be your own Bank. Das Problem seitens Ledger ist aber nun, dass sie selber mit dieser Erweiterung in Verbindung gebracht werden. Hätten sie ein neues Unternehmen gegründet, welches unabhängig von Ledger agieren würde, wäre es sicherlich nicht zu so einem großen Aufschrei in der Community gekommen. Aber nun ist das Kind in den Brunnen gefallen und ob sie da wieder rauskommen...?

Ich hab soeben an die Paper-Wallets gedacht, die vor kurzem durch den "Ersteller" geleakt wurden. Im weitesten Sinne ist es doch nichts anders, weil ich damit den Zugang jemanden anderen ermögliche. Ich hoffe es ist nicht so heiß, wie es aktuell gekocht wird. Ledger nennt das Update "spannend"... ich finde es so wie ihr: nicht sinnvoll. Viele User kommen mit Sicherheit seit vielen Jahren gut damit klar, das sollte man auch so lassen."Never change a running System". Ich werde das nun auch etwas intensiver betrachten und mir dann überlegen wie ich zukünftig handele.

Der Hauptvorteil einer Wiederherstellungsfunktion besteht darin, dass man den Usern dabei helfen kann, den Zugang zum  Wallet wiederherzustellen, falls sie ihren Seed oder ihre Zugangsdaten verlieren. Dadurch könnten potenzielle Verluste von Kryptowährungen vermieden werden, wenn beispielsweise das Hardware-Wallet beschädigt oder gestohlen wird und man seinen Seed irgendwo verbummelt hat.

ABER: erhöht jede zusätzliche Funktion auch das potenzielle Risiko. Wenn eine Wiederherstellungsfunktion schlecht implementiert oder unsicher ist, besteht die Gefahr, dass Dritte Zugriff auf den Seed erhalten und somit auf die Kryptowährungsbestände zugreifen können. Es ist wichtig, dass entsprechende Sicherheitsvorkehrungen getroffen werden, um das Risiko eines unbefugten Zugriffs zu minimieren.

DAHER: Ganz klar, jeder ist für das Backup und die Aufbewahrung für seinen Seed selbst verantwortlich und würde es niemals an einen Dritten anvertrauen, niemals nie! Und schon garnicht dafür bezahlen. Wie oft kommt es vor das eine Firma gehackt wird, dass passiert immer öfter und wo sitzt der schlimmste Angreifer --> innen! Ledger wird die Seeds sicher verschlüsseln und sichern, aber irgendwer hat immer Zugriff darauf.

Daher ist Ledger für mich durch. Denn wenn die Funktion mal da ist. Wie schnell ist sie dann Standard bei der Installation und nur die ersten 3 Monate kostenlos. Sowas geht sehr schnell und viele unerfahrene user, kennen sich da nicht aus und meinen noch das ist super, brauch ich ja kein Backup...

Kopfschüttel, Ledger hat das bei meinem Infos die ich jetzt habe, wohl nicht verstanden...

Recht viel mehr gibt es dazu nicht zu sagen, und wenn sich da ncihts ändert wird die nächste geplante HW Wallet halt kein Ledger mehr, mutiert immer mehr zum Saftladen.

Möglicherweise kommt ja noch ein umdenken oder sie lassen den User selbst bei der Installation entscheiden ob und welche Feature man installieren will, jedenfalls haben es schon viele die Problematik aufgefasst.

Ledger-Fiasko: Bitcoin-Community in Aufruhr
WARNUNG: Ledger kann Private Keys auslesen – Neues Feature sorgt für Entsetzen

Lt des von bct_ail verlinkten Blocktainer Artikels, plant Ledger diesen neuen tollen Service gegen eine monatliche Gebühr von 9,98$ anzubieten. Wenn man bis zu dieser Zeile nicht geweint hat, muss man hier spätestens lachen!

Soll ich mich als Anwender jetzt darauf verlassen, dass ich wenn ich nicht dafür bezahlen möchte, vor diesem Irsinn geschützt bin? Oder werden hier doch hintenrum meine Daten abgeschöpft und schon mal in die Cloud geparkt?


Wie gut, dass der hier noch in der Schublade liegt
Ich sehe schon, wie die Preise für gebrauchte Nano S demnächst bei ebay anziehen (SCNR!)

Ich habe noch mal ein wenig Twitter durchforstet und viel zum Thema gelesen. Für mich persönlich betreibt Ledger hier den Ausverkauf des Unternehmens um möglichst viele neue Nutzer zu gewinnen. Der Fokus liegt dabei nicht mehr auf Nutzern wie uns, sondern vor allem "Normies", also Leute die ihre Bitcoin am liebsten wie auf einem Bankkonto verwahren möchten.

Diese neue Geschäftspolitik steht mMn den Gründen, die bisher für den Kauf eines Ledgers gesprochen haben diametral entgegen. Man sollte sich wirklich überlegen inwiefern man dieser Firma noch vertraut und ob die Ledger Geräte nun nicht doch eher als sehr gut geschütztes Hot-Wallet anzusehen sind. Wenn es eine Möglichkeit gibt, dass der Seed das Wallet verlässt (in welcher Form auch immer), ist es eben kein Cold-Storage mehr. Man muss jetzt einfach darauf vertrauen, dass in der Software nicht doch irgendwelche Gefahren lauern, die dazu führen, dass der Seed die Wallet dann doch unbeabsichtigt verlässt. Ich bin auf diesem Gebiet kein Experte, jedoch finde ich diese Entwicklung extrem bedenklich. Egal wie sehr die Ledger-Verantwortlichen nun beteuern, dass der Seed immer noch genauso sicher sei wie vorher.

Einen Lichtblick gibt es aber vielleicht. Bei meiner Suche habe ich gefunden, dass die alten Ledger Nano S nicht die technischen Voraussetzungen für das Update erfüllen und somit sicher sind. Also wären nur der Ledger Nano S+, Ledger Nano X, Stax und neuere Produkte betroffen.



Quelle: https://twitter.com/0xQuit/status/1658596830350036992

Das müssen sie wohl. Ansonsten wird es für Ledger immer schwieriger werden, Vertrauen aufzubauen. Viele Leute erhalten durch diese neue Aktion von Ledger dadurch eine Bestätigung, dass ihnen (seit dem Datenabfluss) die Sicherheit ihrer Kunden nicht 100%-ig wichtig sind. Ich denke, dass wird schwer für Ledger sein, aus der Nummer wieder rauszukommen.

Wie du schon sagst, absoluter Schmutz. Ich kann auch überhaupt nicht nachvollziehen, wie so eine Idee überhaupt umgesetzt werden kann, anschließend von mehreren wichtigen Entscheidungsträgern für gut empfunden wird und letztlich den Kunden als tollen Service verkauft wird

Wenn Ledger in der Vergangenehit einen durchweg positiven Auftritt gehabt hätte, könnte man so über einen einzigen so Fehltritt ja hinwegsehen aber mittlerweile sollte man doch wissen, dass den Kunden die Sicherheit am aller wichtigsten ist und das einfach nur der größte Müll ist.

Wie lange funktioniert mein Ledger+Ledger Live, wenn ich es einfach nicht mehr update? 

also ich bin auch komplett von der entwicklung, die Ledger jetzt nun seit dem Stax release eingenommen hat, komplett entäuscht...
und dieses meme zeigt es eindeutig, wie es dann aussehen könnte...



ich weiß ehrlich nicht, was sich Ledger dabei denkt - denken sie wirklich dass die damit weiter ihre kunden halten bzw. damit neue kunden gewinnen können!? ich glaub eher das gegenteil
letzte hoffnung ist, dass Ledger noch einen fix rausbringt, der dieses opt-in-service eigenhändig deaktivieren kann...

https://www.blocktrainer.de/ledger-recover-fail/

Am besten über Twitter oder Reddit schauen. Dann einfach die letzten Posts z.B. hier unter dem offiziellen Ledger Account anschauen. Oder sonst #Ledger.


100%. Und dafür stand Ledger in der Vergangenheit. Aber seit den letzten Updates, die wir ja auch in der Vergangenheit hier kritisiert haben, bin ich mir da nicht mehr so sicher. Leider.

Man könnte meinen, dass die Verkäufe an Harware Wallets mittlerweile stark rückläufig sind.
Was soll das jetzt? Ist Sicherheit für Ledger Kunden (aus ihrer Sicht) nicht das A und O?
- Ich will, dass meine Coins absolut sicher vor einem Diebstahl sind!

- Ich möchte, dass Ledger Hardware Wallets möglichst viele Coins/Token unterstützen, damit ich alles an einem sicheren Ort verwahren kann.
- Die Möglichkeit, Coins und Token direkt in der Ledger-Live App zu handeln ist nett, aber schon kein must-have für mich.

Alles Weitere brauche ich nicht und birgt nur Risiken mMn.

Solche "Features" geben mir langfristig das Gefühl, mit einer einfachen Hot-Wallet wie Electrum sicherer unterwegs zu sein.

@bro
Das Update ist ja noch nicht über die Live Software zu beziehen und ich würde mich hüten dieses anzustossen. Wo hast Du die Info her?

So etwas geht doch überhaupt nicht und sollte in vorhinein abgefragt werden ob man diesen Mist überhaupt mit installieren will (auch wenn der Mist anscheinend nicht automatisch aktiviert wird). Und wie gut sie mit Kundendaten umgehen sollten wir ja alle noch kennen, plötzlich sind seine ganzen Daten die man beim bestellen verwendet hat im Internet.

Quelle

Absolutes NOGO wenn das als Standard Installation weiterhin verwendet wird, ich dachte schon an einen neuen Ledger, aber so auf keinen Fall, einfach abwarten mmn. Wenn man es bei der Installation ausschließen kann geht es für mich in Ordnung, auch sollte alles was nicht mit den Coins/Tokens zu tun hat, Kryptos kaufen, usw. bei der Installation auswählbar sein.

Warnung: Ledger bringt einen neuen Services namens Ledger Recover auf den Markt. Ja richtig gehört. Ledger Recover. Wohl eine Möglichkeit, dass Ledger ein Backup für den Seed erstellt und diesen anderweitig speichert.



Quelle: Ledger

Es besteht nun der Verdacht, dass mit dem neuen Update die eigene Seed-Phrase kompromittiert werden könnte. Die sozialen Medien sind außer sich und viele prominente Crypto-Influencer rufen dazu auf Ledger fortan zu meiden. Ledger gibt an, dass sich wohl um einen Opt-In-Service handelt, der nicht automatisch aktiviert wird. Dennoch sprechen viele Nutzer von einem neuen möglichen Angriffs-Vektor, sobald man das Update installiert - auch wenn man den Opt-in Ledger Recover nicht aktiviert.

Anbei ein Post von Ledger, die Wogen zu glätten:







Quelle: https://twitter.com/Ledger/status/1658458714771169282

Absoluter Schmutz was aus Ledger geworden ist. Immer mehr Updates um den Kunden etwas zu verkaufen. Ich will meine Coins sicher verwahren und keinen Abo-Service von euch. Wie gehts weiter? Wie seht ihr das?