Topic: Nuova desktop app di Ledger: LIVE - page 2. (Read 16385 times)

ATTENZIONE!!! Ho ricevuto un SMS truffa con il mio nome e cognome che mi indicava un problema di vulnerabilità critica del firmware del Ledger, rimandandomi ad un sito palesemente taroccato per "aggiornare". Il pericolo arriva anche via SMS quindi, non solo via email.

Non mi fregano ovviamente, ma qualcuno potrebbe cascarci. Avvisate tutti quelli che conoscete che hanno acquistato dal sito ufficiale Ledger.

si, mi domandavo infatti se il mio indirizzo di casa fosse stato compromesso, non  avendo ricevuto nessuna mail del genere forse l'ho scampata 

Nella mia testa l'aggiornamento del firmware del Ledger Nano si fa solo attraverso il Manager all'interno del programma Ledger Live: immagino che per il furto dei BTC sia stata suggerita dai malfattori (e seguita dagli "ingenui") un'altra strada.

Ricordate il furto della lista degli utenti dal sito di Ledger?
Bene, ora stanno usando quella lista per mandare mail nelle quali dicono di aggiornare il firmware per motivi di sicurezza, e naturalmente qualcuno lo fa.
Sul canale Telegram "Bitcoin Italia" (alias priorato di Zucco….  )  ieri sera c'è stato uno che ha detto che ha perso i Btc che aveva su Ledger proprio cercando di fare le operazioni che venivano suggerite nella mail (anche se più tardi poi ha "ammesso" di aver rivelato il seed nel farlo).
Dopo qualche ora un altro utente ha detto che è successa la stessa cosa anche a lui…..
Invito chi usa Ledger ad andare a leggersi questi scambi perché è interessante capire in che modo avvengano; nella mia testa ho visto il classico furto da ingegneria sociale in stile Mitnick.

Questa mattina poi, sempre in coda alle considerazioni fatte sui due episodi ed a chi suggeriva di comperare Ledger SOLO sul sito dell'azienda, c'è poi stato un intervento imho molto interessante di Luca Venturini (che non è esattamente l'ultimo arrivato nel ondo cripto) il quale invece suggerisce di comperare su Amazon, con motivazioni alle quali non avevo pensato ma che ritengo assolutamente condivisibili.
Ripeto: lettura molto interessante anche per sentire pareri diversi dal solito.

perche fanno sempre dei ritocchini, e aggiungono nuove coin
ora esempio e' possibile - leggevo - fare stacking di algorand direttamente sul ledger
quindi tanta roba

esiste anche safepal carino https://bitcointalk.org/index.php?topic=5246198.60;topicseen
tuttavia io ho 2 ledger non so se comprero un terzo hw wallet

penso proprio di no a meno che si rompano tutti e due

Azz, sfornano aggiornamenti velocemente: siamo già arrivati alla 2.11.1

io me la devo reinstallare e a sto giro provero tutte le piattaforme
- windows
- mac
- linux

non che cambi molto perche secondo me a naso e' fatta con electrum, quindi javascript
in ogni caso e' il momento di re-installarla
il mio pc nuovo ne ha bisogno

Giusto per segnalare che è stata rilasciata una nuova versione di Ledger Live, ovvero la la 2.9.0, che non mi sembra avere grandi novità...

io tenevo i tron in stake da trust wallet e quindi erano comunque in mio possesso,ma visto che cè questa possibilita li spostero sull app di ledger che ovviamente e piu sicura grazie della news...

Grazie per la segnalazione. Ormai veramente bisognerebbe tenere sempre a mente la buona regola di non lasciare in giacenza le coin negli Exchange. Attendiamo che venga abilitata la stessa cosa anche per gli ADA ;-)

Segnalo che ora è possibile mettere in staking i vostri Tron (TRX) direttamente dall'app ledger live

Video ufficiale illustrativo: https://www.youtube.com/watch?v=GKEUB9bs-Tk

Annuncio ufficiale in inglese: https://www.ledger.com/more-staking-in-ledger-live-integration-of-tron?utm_source=Facebook&utm_medium=Social&utm_campaign=Tron%20Launch

Quindi consiglio a chi li stava lasciando in exchange tipo poloniex, per guadagnare qualcosina, di mettere tutto in sicurezza

In caso di:

e poi cliccando su restart ledger live si avvia ma non risce a sincronizzare...

https://github.com/LedgerHQ/ledger-live-desktop/issues/2670

Con linux sarete costretti a scaricare manualmente la nuova versione, attualmente 2.0.1 al posto della vecchia 2.0.0 e poi semplicemente eseguirla

Se vi fidate (controllate l'indirizzo), link al sito ufficiale ledger per il download: https://www.ledger.com/ledger-live/download/



P.S.: qui potete cercare info anche per win: https://github.com/LedgerHQ/ledger-live-desktop/issues/2680 (procedura non testata)

Di solito questi bug i costruttori non li rendono noti, quando lo fanno è perché qualcuno nella comunità ha scoperto la falla, allora a quel punto il costruttore ne parla soprattutto se ha un rimedio da proporre.
Ma non è questo il punto..... quel che bisogna ricordare è che qualsiasi micro ha dei bug perché ogni micro usa algoritmi più o meno sofisticati per compiere anche le operazioni di base, e questi algoritmi lavorano bene solo all'interno dei campi di esistenza (dominio dei valori) per i quali sono stati progettati. Ma purtroppo poi chi ci fa girare sopra il software (anche il fw stesso!) non tiene sempre conto di tutti questi aspetti perché sarebbe troppo oneroso farlo, ed a quel punto si aprono falle che un attaccante può sfruttare.
Questo discorso vale per qualsiasi micro (processore o controllore).
Però - dicevo - questo non è un problema perché avendo consapevolezza del fatto che sono prodotti con inevitabili bug, bisogna adottare comportamenti consapevoli, cioè tali da non renderci facile preda di chi voglia sfruttare questi bug.
Tradotto in soldoni e per riportare il concetto agli hw wallet: spesso chi li usa si sente TROPPO al sicuro pensando che il fatto che non "girino programmi" li renda immuni dall'attacco di virus.... ma non è così, anche questi aggeggini sono soggetti a possibili attacchi per cui bisogna utilizzarli con qualche precauzione.

Troppo facile per me ricordare il caso di Stuxnet di pochi anni fa:

https://it.wikipedia.org/wiki/Stuxnet

va beh che lì c'era dietro una superpotenza con tutte le risorse economiche del caso, ma il bersaglio sono stati dei PLC, ovvero dei microcontrollori.

Tra l'altro si tratta di un attacco "hardware".... Non è che possano risolverlo con un semplice aggiornamento del firmware mi sa. E se devono modificare l'hardware, cosa faranno per tutti i wallet già venduti? Questo potrebbe essere un problema catastrofico per Trezor....

Sui ledger come siamo messi? Ricordo di aver letto in passato di bug software poi corretti con aggiornamenti del firmware, ma a livello hardware? Ad esempio so che del nano s esistono diverse revisioni hardware, ma saranno revisioni fatte per ottimizzare la produzione o di sarà stato qualche bug hardware non rivelato?

Tutto ciò mi inquieta abbastanza.

Grazie x la segnalazione.
Voglio sperare che gli hw wallet in un futuro prossimo siano più inattaccabili... soprattutto dal momento che pago e non poco un Trezor. Certo lo si sa bene che la sicurezza al 100% non potrà mai esistere, ma il team di Kraken ci ha messo troppo poco x sbuzzarlo (x aprirlo), e con risorse neanche tanto esose... 😐

Non c'entra con Ledger ma linko qui questa notizia fresca fresca perché riguarda comunque un wallet hw.
Il motivo per cui la riporto - oltre che per avvisare chi abbia Trezor - è per sottolineare che un hw wallet non è quel dispositivo stra-sicuro che a volte si potrebbe credere sia, quindi va sempre usato anch'esso con le dovute attenzioni:

https://blog.kraken.com/post/3662/kraken-identifies-critical-flaw-in-trezor-hardware-wallets/

Non è detto che siano nello stesso posto
Una persona saggia li mette in posti diversi

In modo che lo sforzo che devi fare è doppio

Si ma se riesci a sostituire nel sito il binario non puoi sostituire anche il checksum? tanto questo è solo un checksum di solito - tipicamente uno sha256 -  non una firma .....

Con ledger non può succedere perché il programma controlla il checksum del file
In pratica crea un hash prima e quando ci entra controlla che corrisponda

Entrare ed hackerare la supply chain di distribuzione è molto complesso.. se riesci, hai fatto bingo

Puoi distribuire sw malizioso come fosse originale

Ma ripeto, x ledger spero abbiano check in ogni dove

In realtà @babo ci sarebbe un rischio, anche se probabilmente con probabilità di accadimento talmente piccola da poter essere trascurata. E il rischio è quello che hai spiegato benissimo proprio tu nel canale TG di HA al quale ho visto che ti sei unito pochi giorni fa (ci sono anch'io, avrei voluto "salutarti" ma ho preferito non rendere noto a tutti che ti avevo conosciuto nel mondo cripto  )

Il rischio che spiegavi là era questo:

- codice open e quindi liberamente ispezionabile da chiunque

- ma il ledger non scarica il codice (perché dovrebbe compilarlo e di sicuro non ha risorse HW per farlo), scarica quindi il blob binario (tipicamente un file elf o qualcosa di equivalente per il microcontrollore presente)

- quindi se un hacker riuscisse a sostituire nel sito del produttore il binario ufficiale con uno compilato dall'hacker, il cliente aggiornerebbe il ledger utilizzando un firmware che crede essere sicuro mentre non lo è.

L'hai spiegato benissimo nel canale TG (dicendo anche che ricordavi un caso accaduto nel mondo cripto tempo fa) e secondo me questo pericolo può esistere anche qui con Ledger e affini.
E' chiaro che i produttori oggi sono molto più attenti rispetto ad anni fa nel mettere in sicurezza il proprio sito, però è un rischio che non si può escludere, no ?