Pages:
Author

Topic: Nuova desktop app di Ledger: LIVE - page 2. (Read 16385 times)

hero member
Activity: 1442
Merit: 578
October 31, 2020, 12:53:09 PM
#97
Ricordate il furto della lista degli utenti dal sito di Ledger?
Bene, ora stanno usando quella lista per mandare mail nelle quali dicono di aggiornare il firmware per motivi di sicurezza, e naturalmente qualcuno lo fa.
Sul canale Telegram "Bitcoin Italia" (alias priorato di Zucco….  Wink )  ieri sera c'è stato uno che ha detto che ha perso i Btc che aveva su Ledger proprio cercando di fare le operazioni che venivano suggerite nella mail (anche se più tardi poi ha "ammesso" di aver rivelato il seed nel farlo).
Dopo qualche ora un altro utente ha detto che è successa la stessa cosa anche a lui…..
Invito chi usa Ledger ad andare a leggersi questi scambi perché è interessante capire in che modo avvengano; nella mia testa ho visto il classico furto da ingegneria sociale in stile Mitnick.

Questa mattina poi, sempre in coda alle considerazioni fatte sui due episodi ed a chi suggeriva di comperare Ledger SOLO sul sito dell'azienda, c'è poi stato un intervento imho molto interessante di Luca Venturini (che non è esattamente l'ultimo arrivato nel ondo cripto) il quale invece suggerisce di comperare su Amazon, con motivazioni alle quali non avevo pensato ma che ritengo assolutamente condivisibili.
Ripeto: lettura molto interessante anche per sentire pareri diversi dal solito.



ATTENZIONE!!! Ho ricevuto un SMS truffa con il mio nome e cognome che mi indicava un problema di vulnerabilità critica del firmware del Ledger, rimandandomi ad un sito palesemente taroccato per "aggiornare". Il pericolo arriva anche via SMS quindi, non solo via email.

Non mi fregano ovviamente, ma qualcuno potrebbe cascarci. Avvisate tutti quelli che conoscete che hanno acquistato dal sito ufficiale Ledger.
full member
Activity: 1064
Merit: 166
October 29, 2020, 01:41:03 PM
#96
Ricordate il furto della lista degli utenti dal sito di Ledger?

si, mi domandavo infatti se il mio indirizzo di casa fosse stato compromesso, non  avendo ricevuto nessuna mail del genere forse l'ho scampata  Roll Eyes
hero member
Activity: 2268
Merit: 709
October 29, 2020, 04:31:36 AM
#95
Ricordate il furto della lista degli utenti dal sito di Ledger?
Bene, ora stanno usando quella lista per mandare mail nelle quali dicono di aggiornare il firmware per motivi di sicurezza, e naturalmente qualcuno lo fa.
Sul canale Telegram "Bitcoin Italia" (alias priorato di Zucco….  Wink )  ieri sera c'è stato uno che ha detto che ha perso i Btc che aveva su Ledger proprio cercando di fare le operazioni che venivano suggerite nella mail (anche se più tardi poi ha "ammesso" di aver rivelato il seed nel farlo).
Dopo qualche ora un altro utente ha detto che è successa la stessa cosa anche a lui…..
Invito chi usa Ledger ad andare a leggersi questi scambi perché è interessante capire in che modo avvengano; nella mia testa ho visto il classico furto da ingegneria sociale in stile Mitnick.

Questa mattina poi, sempre in coda alle considerazioni fatte sui due episodi ed a chi suggeriva di comperare Ledger SOLO sul sito dell'azienda, c'è poi stato un intervento imho molto interessante di Luca Venturini (che non è esattamente l'ultimo arrivato nel ondo cripto) il quale invece suggerisce di comperare su Amazon, con motivazioni alle quali non avevo pensato ma che ritengo assolutamente condivisibili.
Ripeto: lettura molto interessante anche per sentire pareri diversi dal solito.



Nella mia testa l'aggiornamento del firmware del Ledger Nano si fa solo attraverso il Manager all'interno del programma Ledger Live: immagino che per il furto dei BTC sia stata suggerita dai malfattori (e seguita dagli "ingenui") un'altra strada.
legendary
Activity: 2562
Merit: 2640
October 29, 2020, 03:16:21 AM
#94
Ricordate il furto della lista degli utenti dal sito di Ledger?
Bene, ora stanno usando quella lista per mandare mail nelle quali dicono di aggiornare il firmware per motivi di sicurezza, e naturalmente qualcuno lo fa.
Sul canale Telegram "Bitcoin Italia" (alias priorato di Zucco….  Wink )  ieri sera c'è stato uno che ha detto che ha perso i Btc che aveva su Ledger proprio cercando di fare le operazioni che venivano suggerite nella mail (anche se più tardi poi ha "ammesso" di aver rivelato il seed nel farlo).
Dopo qualche ora un altro utente ha detto che è successa la stessa cosa anche a lui…..
Invito chi usa Ledger ad andare a leggersi questi scambi perché è interessante capire in che modo avvengano; nella mia testa ho visto il classico furto da ingegneria sociale in stile Mitnick.

Questa mattina poi, sempre in coda alle considerazioni fatte sui due episodi ed a chi suggeriva di comperare Ledger SOLO sul sito dell'azienda, c'è poi stato un intervento imho molto interessante di Luca Venturini (che non è esattamente l'ultimo arrivato nel ondo cripto) il quale invece suggerisce di comperare su Amazon, con motivazioni alle quali non avevo pensato ma che ritengo assolutamente condivisibili.
Ripeto: lettura molto interessante anche per sentire pareri diversi dal solito.

legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
September 18, 2020, 01:30:05 AM
#93
perche fanno sempre dei ritocchini, e aggiungono nuove coin
ora esempio e' possibile - leggevo - fare stacking di algorand direttamente sul ledger
quindi tanta roba

esiste anche safepal carino https://bitcointalk.org/index.php?topic=5246198.60;topicseen
tuttavia io ho 2 ledger non so se comprero un terzo hw wallet

penso proprio di no a meno che si rompano tutti e due
hero member
Activity: 2268
Merit: 709
September 17, 2020, 02:29:43 PM
#92
Azz, sfornano aggiornamenti velocemente: siamo già arrivati alla 2.11.1 Roll Eyes
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
August 14, 2020, 10:46:07 AM
#91
io me la devo reinstallare e a sto giro provero tutte le piattaforme
- windows
- mac
- linux

non che cambi molto perche secondo me a naso e' fatta con electrum, quindi javascript
in ogni caso e' il momento di re-installarla
il mio pc nuovo ne ha bisogno Cheesy
hero member
Activity: 2268
Merit: 709
July 31, 2020, 10:18:52 AM
#90
Giusto per segnalare che è stata rilasciata una nuova versione di Ledger Live, ovvero la la 2.9.0, che non mi sembra avere grandi novità...
hero member
Activity: 2968
Merit: 605
April 16, 2020, 09:22:16 AM
#89
io tenevo i tron in stake da trust wallet e quindi erano comunque in mio possesso,ma visto che cè questa possibilita li spostero sull app di ledger che ovviamente e piu sicura grazie della news...
hero member
Activity: 2268
Merit: 709
April 16, 2020, 12:45:27 AM
#88
Segnalo che ora è possibile mettere in staking i vostri Tron (TRX) direttamente dall'app ledger live

Video ufficiale illustrativo: https://www.youtube.com/watch?v=GKEUB9bs-Tk

Annuncio ufficiale in inglese: https://www.ledger.com/more-staking-in-ledger-live-integration-of-tron?utm_source=Facebook&utm_medium=Social&utm_campaign=Tron%20Launch

Quindi consiglio a chi li stava lasciando in exchange tipo poloniex, per guadagnare qualcosina, di mettere tutto in sicurezza

Grazie per la segnalazione. Ormai veramente bisognerebbe tenere sempre a mente la buona regola di non lasciare in giacenza le coin negli Exchange. Attendiamo che venga abilitata la stessa cosa anche per gli ADA ;-)
sr. member
Activity: 1554
Merit: 297
April 15, 2020, 04:12:55 PM
#87
Segnalo che ora è possibile mettere in staking i vostri Tron (TRX) direttamente dall'app ledger live

Video ufficiale illustrativo: https://www.youtube.com/watch?v=GKEUB9bs-Tk

Annuncio ufficiale in inglese: https://www.ledger.com/more-staking-in-ledger-live-integration-of-tron?utm_source=Facebook&utm_medium=Social&utm_campaign=Tron%20Launch

Quindi consiglio a chi li stava lasciando in exchange tipo poloniex, per guadagnare qualcosina, di mettere tutto in sicurezza
sr. member
Activity: 1554
Merit: 297
March 27, 2020, 04:38:15 PM
#86
In caso di:
Quote
Oops, something went wrong
You may try again by restarting Ledger Live. Please export your logs and contact Ledger Support if the problem persists.

e poi cliccando su restart ledger live si avvia ma non risce a sincronizzare...

https://github.com/LedgerHQ/ledger-live-desktop/issues/2670

Con linux sarete costretti a scaricare manualmente la nuova versione, attualmente 2.0.1 al posto della vecchia 2.0.0 e poi semplicemente eseguirla

Se vi fidate (controllate l'indirizzo), link al sito ufficiale ledger per il download: https://www.ledger.com/ledger-live/download/



P.S.: qui potete cercare info anche per win: https://github.com/LedgerHQ/ledger-live-desktop/issues/2680 (procedura non testata)
legendary
Activity: 2562
Merit: 2640
January 31, 2020, 04:16:01 PM
#85
Tra l'altro si tratta di un attacco "hardware".... Non è che possano risolverlo con un semplice aggiornamento del firmware mi sa. E se devono modificare l'hardware, cosa faranno per tutti i wallet già venduti? Questo potrebbe essere un problema catastrofico per Trezor....

Sui ledger come siamo messi? Ricordo di aver letto in passato di bug software poi corretti con aggiornamenti del firmware, ma a livello hardware? Ad esempio so che del nano s esistono diverse revisioni hardware, ma saranno revisioni fatte per ottimizzare la produzione o di sarà stato qualche bug hardware non rivelato?

Tutto ciò mi inquieta abbastanza.

Di solito questi bug i costruttori non li rendono noti, quando lo fanno è perché qualcuno nella comunità ha scoperto la falla, allora a quel punto il costruttore ne parla soprattutto se ha un rimedio da proporre.
Ma non è questo il punto..... quel che bisogna ricordare è che qualsiasi micro ha dei bug perché ogni micro usa algoritmi più o meno sofisticati per compiere anche le operazioni di base, e questi algoritmi lavorano bene solo all'interno dei campi di esistenza (dominio dei valori) per i quali sono stati progettati. Ma purtroppo poi chi ci fa girare sopra il software (anche il fw stesso!) non tiene sempre conto di tutti questi aspetti perché sarebbe troppo oneroso farlo, ed a quel punto si aprono falle che un attaccante può sfruttare.
Questo discorso vale per qualsiasi micro (processore o controllore).
Però - dicevo - questo non è un problema perché avendo consapevolezza del fatto che sono prodotti con inevitabili bug, bisogna adottare comportamenti consapevoli, cioè tali da non renderci facile preda di chi voglia sfruttare questi bug.
Tradotto in soldoni e per riportare il concetto agli hw wallet: spesso chi li usa si sente TROPPO al sicuro pensando che il fatto che non "girino programmi" li renda immuni dall'attacco di virus.... ma non è così, anche questi aggeggini sono soggetti a possibili attacchi per cui bisogna utilizzarli con qualche precauzione.

Troppo facile per me ricordare il caso di Stuxnet di pochi anni fa:

https://it.wikipedia.org/wiki/Stuxnet

va beh che lì c'era dietro una superpotenza con tutte le risorse economiche del caso, ma il bersaglio sono stati dei PLC, ovvero dei microcontrollori.


hero member
Activity: 1442
Merit: 578
January 31, 2020, 03:52:13 PM
#84
Non c'entra con Ledger ma linko qui questa notizia fresca fresca perché riguarda comunque un wallet hw.
Il motivo per cui la riporto - oltre che per avvisare chi abbia Trezor - è per sottolineare che un hw wallet non è quel dispositivo stra-sicuro che a volte si potrebbe credere sia, quindi va sempre usato anch'esso con le dovute attenzioni:

https://blog.kraken.com/post/3662/kraken-identifies-critical-flaw-in-trezor-hardware-wallets/



Tra l'altro si tratta di un attacco "hardware".... Non è che possano risolverlo con un semplice aggiornamento del firmware mi sa. E se devono modificare l'hardware, cosa faranno per tutti i wallet già venduti? Questo potrebbe essere un problema catastrofico per Trezor....

Sui ledger come siamo messi? Ricordo di aver letto in passato di bug software poi corretti con aggiornamenti del firmware, ma a livello hardware? Ad esempio so che del nano s esistono diverse revisioni hardware, ma saranno revisioni fatte per ottimizzare la produzione o di sarà stato qualche bug hardware non rivelato?

Tutto ciò mi inquieta abbastanza.
hero member
Activity: 903
Merit: 966
January 31, 2020, 02:09:12 PM
#83
Grazie x la segnalazione.
Voglio sperare che gli hw wallet in un futuro prossimo siano più inattaccabili... soprattutto dal momento che pago e non poco un Trezor. Certo lo si sa bene che la sicurezza al 100% non potrà mai esistere, ma il team di Kraken ci ha messo troppo poco x sbuzzarlo (x aprirlo), e con risorse neanche tanto esose... 😐
legendary
Activity: 2562
Merit: 2640
January 31, 2020, 12:29:17 PM
#82
Non c'entra con Ledger ma linko qui questa notizia fresca fresca perché riguarda comunque un wallet hw.
Il motivo per cui la riporto - oltre che per avvisare chi abbia Trezor - è per sottolineare che un hw wallet non è quel dispositivo stra-sicuro che a volte si potrebbe credere sia, quindi va sempre usato anch'esso con le dovute attenzioni:

https://blog.kraken.com/post/3662/kraken-identifies-critical-flaw-in-trezor-hardware-wallets/

legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
January 21, 2020, 03:50:30 PM
#81
Non è detto che siano nello stesso posto
Una persona saggia li mette in posti diversi

In modo che lo sforzo che devi fare è doppio
legendary
Activity: 2562
Merit: 2640
January 21, 2020, 03:47:56 PM
#80
Con ledger non può succedere perché il programma controlla il checksum del file
In pratica crea un hash prima e quando ci entra controlla che corrisponda

Si ma se riesci a sostituire nel sito il binario non puoi sostituire anche il checksum? tanto questo è solo un checksum di solito - tipicamente uno sha256 -  non una firma .....

legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
January 21, 2020, 03:36:49 PM
#79
Con ledger non può succedere perché il programma controlla il checksum del file
In pratica crea un hash prima e quando ci entra controlla che corrisponda

Entrare ed hackerare la supply chain di distribuzione è molto complesso.. se riesci, hai fatto bingo

Puoi distribuire sw malizioso come fosse originale

Ma ripeto, x ledger spero abbiano check in ogni dove
legendary
Activity: 2562
Merit: 2640
January 21, 2020, 03:25:27 PM
#78
tutti i vendor (e non solo la casa francese produttrice di ledger) rilasciano open sia gli schemi hardware che il software
il motivo?


trasparenza totale, per far in modo che i customer si fidino


pare un secolo da quanto facevo casino con gli altri membri dei LUG(linux user group) per imporre il software open al posto di quello closed

In realtà @babo ci sarebbe un rischio, anche se probabilmente con probabilità di accadimento talmente piccola da poter essere trascurata. E il rischio è quello che hai spiegato benissimo proprio tu nel canale TG di HA al quale ho visto che ti sei unito pochi giorni fa (ci sono anch'io, avrei voluto "salutarti" ma ho preferito non rendere noto a tutti che ti avevo conosciuto nel mondo cripto  Cheesy )

Il rischio che spiegavi là era questo:

- codice open e quindi liberamente ispezionabile da chiunque

- ma il ledger non scarica il codice (perché dovrebbe compilarlo e di sicuro non ha risorse HW per farlo), scarica quindi il blob binario (tipicamente un file elf o qualcosa di equivalente per il microcontrollore presente)

- quindi se un hacker riuscisse a sostituire nel sito del produttore il binario ufficiale con uno compilato dall'hacker, il cliente aggiornerebbe il ledger utilizzando un firmware che crede essere sicuro mentre non lo è.

L'hai spiegato benissimo nel canale TG (dicendo anche che ricordavi un caso accaduto nel mondo cripto tempo fa) e secondo me questo pericolo può esistere anche qui con Ledger e affini.
E' chiaro che i produttori oggi sono molto più attenti rispetto ad anni fa nel mettere in sicurezza il proprio sito, però è un rischio che non si può escludere, no ?


Pages:
Jump to: