Topic: Ledger Nano S - 50% di sconto - page 2. (Read 1801 times)

La targa è una poesia !   

Così è abbastanza livello manto stradale?



Tra l'altro non è male come plausible deniability! "Ehhh ho venduto tutto a 10,000 per comprarmi la Lambo!"

Scusate, era per sdrammattizzare l'atmosfera, che tra avvitatori ed immagini macabre,  si stava facendo piuttosto pesante.

certo ma tu pensa quadrimensionalmente
quanti di questi magari non hanno nulla? vale la pena rischiare la galera per non avere niente
anche se non ci pensate, i criminali hanno ben chiaro il concetto di RoI (anche se grezzo)

se il roi e' basso (o probabile basso) non rischiano



sempre!!! PAROLE SANTE
nel dubbio meglio essere invisibili

 
Si scherza ma è così.
Poi…. qualcuno qui era presente con due mail diverse, vuol dire che ha comperato due volte.
Se il ladro riesce a collegare le due mail sa che prima di arrivare all'album fotografico deve farti (il "ti" è impersonale) sputare anche il secondo Ledger.
Un po' troppi pin da ricordare….. soprattutto con un avvitatore attaccato all'orifizio   




Sempre basso profilo. Bassissimo.
Diciamo a livello del mano stradale…..

Non c'è molto da scherzare ma è così.
Ricordate, niente magliette, niente cappellini, niente tazze, né portachiavi.
Siete tutti dei nocoiners e il fondatore di bitconnio si chiama Alvaro Vitali.

Evabbè, è ovvio che la cosa deve essere studiata per bene.
Tipo: entrano in casa, ti legano e mettono in moto l'avvitatore: Non ho Bitcoin.
Inseriscono l'avvitatore in un orifizio casuale: "Ok, ho Bitcoin, prendete il ledger"=>PIN1=>0.1 Bitcoin
Non se la Bevono.
Spingono l'avvitatore neb dentro il sopra citato orifizio "Ok,ok, prendete il ledger"=>PIN2=>10 Bitcoin

Almeno hai salvato gli altri orifizi ed il paper wallet da 100 BTC che hai cifrato nelle pagine dell'album fotografico di famiglia...

Troppi punti deboli, viene anche detto nel passo che hai quotato:


Si sta ragionando sul fatto che chi ti è entrato in casa conosca il tuo nome tramite la famosa lista ledger. Se non è pir@a prima di venire da te si sarà almeno un po' documentato sul suo funzionamento e quindi saprà di sicuro che ledger prevede questo doppio pin.
Morale: ti obbligo a entrare in entrambi i modi, se no l'avvitatore te lo faccio annusare da sotto la lingua….   

La risposta è la plausible deniability:
Ledger 101 — Part 4: Advanced Security Principles



Si tratta quindi di convincere l'aggressore che il saldo che gli avete mostrato su una derivazione secondaria del vostro wallet è la vostra intera dotazione di Bitcoin, e che siete dei fanfaroni, visto che i 0.1 BTC in questione è tutto quello che avete.

Eh ma il problema è a monte. Se un malvivente venisse da te partendo dalla lista hackerata e ti facesse qualche domanda spiacevole usando un avvitatore mentre tu fossi legato ad una sedia, come potresti dimostrargli che non hai più nulla e hai venduto tutto? gli fai vedere le tx in uscita ?
E' per questo che liste di quel tipo una volta uscite sono comunque un rischio!  tu puoi non avere più nulla, ma come glielo dici? come li convinci ?

la lista fa paura
e spero che faccia paura anche a voi, in modo da farvi diventare il piu possibile "secure" compliant

al momento dire al mondo di avere tanti bitcoin non e' una cosa intelligente, affatto

io sono al sicuro, perche essendo stronzo, quello che ho comprato lho sempre rivenduto per farci un guadagno instant
non ho creduto al progetto (essendo profilo investitore iper cauto)

Non mi riferisco a quello che conosciamo tutti e che ha smesso di fare conferenze     mi riferisco ad altri due, noti contributori della sez italiana e che quindi non cito.
Questi due, tolti noi del forum che li conosciamo in versione virtuale, non sono conosciuti nel mondo esterno come possessori di Btc salvo l'averne parlato (immagino) con qualche amico. Ma di sicuro non hanno mai fatto conferenze o propagandato in pubblico questo loro interesse.
Perciò in teoria sarebbero al sicuro, ma il leak di Ledger ha reso nota la loro mail (almeno) e questo li espone al pericolo che qualcuno li possa prima o poi identificare.



Azz.... non sapevo che qualcuno si fosse preso la briga di tenere traccia di tutti questi casi.
Quello che in questa lista compare come "Tjeerd H." è il tizio che citavo nel mio precedente post:

https://archive.fo/UONTD

Effettivamente, penso tu abbia ragione.  Si spera che questa lista rimanga sempre il più contenuta possibile: https://github.com/jlopp/physical-bitcoin-attacks/blob/master/README.md

E che le forze dell'ordine siano aggiornate su come agire in queste situazioni.

Si si, su quello siamo d'accordo, ci avevo pensato.

Beh ma cos'hai scoperto? "Solo" un indirizzo potenzialmente non più in uso. Si sapeva già prima dal leak della Ledger chi ha parecchi bitcoin e sta sul forum, c'è perfino gente che ha rilasciato interviste etc quindi se qualcuno voleva davvero colpirli mica aveva bisogno di aspettare un leak con l'indirizzo di casa. Si fa una semplice ricerca su Google per esempio di Theymos, che sappiamo tutti che è stracarico di BTC, e i dati li trovi lo stesso.

Dal delinquere a sequestrare e torturare beh, io direi che c'è una certa differenza eh! Ci vuole anche un certo pelo sullo stomaco e veramente nulla da perdere, oltre al fatto che ora chi eventualmente potrebbe davvero sentirsi minacciato prenderà le dovute precauzioni tipo nuovi wallet, non tenere il Ledger in casa, avvisare i familiari di stare più all'allerta e cose del genere.

Il problema è anche coronavirus, disoccupazione, ecc... Gente skillata che si ritrova senza lavoro e vuole delinquere. Non è una bella situazione

Assolutamente, ed è per questo che uno può avere il setup più sicuro al mondo, ma se poi vs a fare il fenomeno in giro, allora basta un attacco con una chiave inglese da 5 dollari:




Alla fine l’anello debole siamo sempre noi. Come anche dimostra il caso del supernerd che ha dimenticato la password del wallet con 7,000 BTC.

Questo ottimo post spiega il motivo per cui non si dovrebbe mai fare i fenomeni sui social rispetto alle proprie competenze/skills sul tema. Come si diceva, sarebbe effettivamente troppo facile un attacco di social engineering su target sensibili attraverso la mole di dati che si possono estrapolare dal Ledger Leak.
Meglio sempre rimanere un acquafredda o un duesoldi qualunque.

Ho tagliato il resto della risposta perché siamo d'accordo, ma su questa parte voglio invece aggiungere una riflessione.
Dobbiamo sempre ricordarci che c'è una grossa differenza tra un furto con le cripto e un furto verso persone che (cito le tue parole) sono "messe bene sul lato economico".
Salvo casi di persone stra-stra ricche per le quali tenere in casa gioielli o oro per qualche centinaia di k sia la normalità (ma sono davvero casi eccezionali e di sicuro sono persone con protezioni adeguate), per tutti gli altri casi non è normale tenere valori in casa. Certo, ci potrà essere la catenina d'oro dei famigliari o gli orecchini della moglie, ma in totale che valore potranno avere? 10 k? 20k? di sicuro non di più.
Quindi se uno ti entrasse in casa sarebbe quello al più il valore delle cose che potrebbe rubarti, e comunque non potrebbe essere sicuro che tu le abbia davvero (io per esempio in casa ho lo zero meno di oro e non ho nessun gioiello) quindi il malvivente difficilmente potrebbe andare a colpo sicuro.
Invece se andasse da uno che sa aver comperato Ledger.... certo non potrebbe sapere quanto questi abbia oggi, ma per esempio uno che abbia preso ledger nel 2016 o giù di lì è plausibile che abbia comperato qualche Btc/Eth (non frazioni). Vero: non si potrebbe sapere se li abbia  ancora, ma sarebbe di sicuro un detentore molto più plausibile di un qualsiasi sconosciuto incontrato per strada.
Quindi questa lista trafugata identifica molto bene un preciso target potenziale.

Aggiungo: se uno entra in casa e ti ruba oro, magari tu hai un'assicurazione casa/contenuto (e magari con massimale non da 1k) e quindi potresti avere un rimborso.
Con le cripto.... ti saluto.

Altro elemento sempre sul primo scenario (tizio che ti entra in casa). Se uno vuole il tuo oro o la mazzetta di contanti che ti ha visto prelevare in banca, ti lega ad una sedia e ti fa il servizietto fintanto che non glieli dai. Poi però se ne va ed a quel punto tu plausibilmente andrai a denunciare ok? le FdO un minimo di indagine la faranno (anche in relazione alla gravità di quel che potrebbe averti fisicamente fatto per farti cedere il malloppo) e potrebbero avere tracce da seguire.
Se invece lo stesso tizio fosse alla ricerca di cripto, dopo averti legato alla sedia e averti fatto il servizietto (ricordo di un tizio in Olanda al quale hanno fatto divertenti giochetti con un avvitatore, hai presente?) e aver ottenuto ciò che voleva (perché penso sia inumano poter resistere a certi trattamenti senza spifferare tutto), cosa avrebbero in mano le FdO per indagare? un indirizzo Btc sul quale il tizio può aver fatto la tx per rubare i Btc ? sappiamo bene che oggi ci sono metodi per far svanire nel nulla i Btc rubati. A quel punto.... auguri a chi dovrà indagare.

Detto questo: sono d'accordo con te che le probabilità di essere oggetto di attenzione siano basse, però sappiamo anche che c'è gente che ha parecchi Btc.....  io stesso ho dato un'occhiata alla lista dei nomi trafugata e un paio di assidui frequentatori del forum li ho trovati  (anche se uno dice che non ha Btc  ).
E se li ho riconosciuti io lo possono fare tutti visto che ci ho dedicato proprio 2 minuti e non sono certo un investigatore.....

Ragazzi, nessuno nega le responsabilità, enormi, della Ledger. Però veramente a questo punto se uno punta a ottenere qualcosa con minacce alla famiglia etc lo può fare con qualsiasi persona messa bene sul lato economico. Il malvivente rischia poco? Su che base? E soprattutto quanta gente c'è in posti "normali" con crimine nella media che correrebbe il rischio di sequestrare e/o attaccare un perfetto sconosciuto sulla base che potenzialmente potrebbe avere dei bitcoin? Il Ledger ce l'ha pure un amico mio che ha 5 ETH, null'altro, stiamo parlando di $5-6k. Ripeto, per me è un gioco che non vale la candela a meno che si prenda di mira qualche soggetto abbastanza conosciuto nella comunità cripto. Chi manda quei messaggi è gente che spara nel mucchio e spera che qualcuno ci caschi. Soprattutto poi per quanto riguarda gli utenti americani: quella è gente che cambia casa spessissimo, avere ora i dati del 2017 serve poco nella maggior parte dei casi. Io stesso da quando sto negli USA ho cambiato 3 indirizzi (e 3 città) in 3 anni...

E ripeto, tutto questo non è assolutamente una giustificazione per l'operato della Ledger, quello che hanno fatto è senza scusanti e spero veramente che qualcuno proceda per via legali.

Anche senza fare incroci di dati.
Se hai il nome di uno che ha comperato un ledger vuol dire che quello è una persona che ha avuto delle cripto. Magari ora non le ha più, poco importa dal punto di vista del malvivente: sei un ottimo obiettivo perché lui colpisce quasi a colpo sicuro.
Su 10 che hanno preso un wallet hw quanti sono quelli che non hanno più nulla e quanti quelli che hanno holdato? facciamo 1 non ha più nulla e 9 holdano?  non è un numero buttato a caso imho perché se uno spende per un ledger secondo me lo fa perché ha intenzione di holdare.
Quindi a quel punto il malvivente rischia poco: su 10 tentativi solo uno fallirà..... un'ottima % di successo.

Ledger ha ENORMI responsabilità imho.