Safepal wallet hardware unboxing e opinioni - page 5.

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: duesoldi on July 02, 2020, 08:39:09 AM

<...>

Lo scenario che descrivi mi è talmente familiare che mi viene il sopspetto che lavoriamo nella stessa azienda!

Pensate che quando mi hanno dato il cellulare aziendale mi hanno guardato storto quando ho creato al volo un indirizzo di google invece che usare il mio privato:
"Ecco, qui metti il tuo indirizzo gmail..."
"Ma io non ho indirizzo gmail"
"Come? Non hai un indirizzo gmail privato? Quello che usi per il tuo terminale android o per i bakup su gdrive"
"No, perchè? è obbligatorio? Guarda ne creo uno nuovo da zero"
"Sarebbe meglio che usassi il tuo...."

(notare che il mio indirizzo privato, che la mia azienda conosce, è gmail.com).

Riguardo alla password, anche a me la chiedono tutte le volte che devono mettere le mani sul PC, e tutte le volte faccio notare al poveretto di turno l'assurdità della richiesta, e loro: "potrei farlo ugualmente, ma ci metteremmo il triplo del tempo".

Sic.

babo

legendary

Activity: 3528

Merit: 4042

classico
nella teoria una roba (per pigliare le certificazioni) e nella pratica un altra
poi si fottono dati e soldi, e poi piangono perche gli fanno le multe milionarie

in italia poi non ci sta proprio la cultura della sicurezza informatica, zero.. si puo dire e' iniziato uno o due anni fa a essere un problema compreso

duesoldi

legendary

Activity: 2534

Merit: 2624

Quote from: fillippone on July 01, 2020, 05:10:36 PM

Riguardo al'osservazione di duesoldi: mi sono trovato alcune volte a non permettere ad altri di usare il trucco del "treno" (tenere aperta una porta dove è necessario un badge, o non aprirla quando qualcuno mi chiedeva di aprire). Sapete come è finita? é arrivato il capo del capo del capo del mio capo ed è andato dal capo del capo del mio capo ed ha detto di dire al capo del del mio capo di dire al mio capo che chi si sedeva di fianco alla porta (uno che conoscete) avrebbe dovuto aprire la fottuta porta quando qualcuno lo chiedeva.

Dove lavoro io ci sono procedure codificate per fare ogni cosa. Sono talmente pervasive che se uno dovesse leggerle tutte non avrebbe materialmente più tempo per lavorare.
Non scherzo…..
Va beh, la cosa poi paradossale è che ti cambiano il cellulare (aziendale), e per configurare quello nuovo ti dicono: portamelo all'ora X e scrivimi su un foglietto utenza di rete e password. Te lo scrivono nella mail che ti mandano per convocarti !! Grin

Oppure altro caso: 3 mesi fa mi si è rotta la scheda wifi del portatile, ho aperto un ticket in assistenza e poiché eravamo in lockdown mi hanno detto: portalo in sede (sigh!!) e lascialo nell'ufficio Y (bisognava evitare presenza contemporanea nell'ufficio essendoci il ricircolo forzato dell'aria) con la pwd su un post-it.
Insomma le classiche situazioni dove ufficialmente devi fare in un modo, poi nella pratica ti fanno fare le "peggio cose".

E naturalmente tutti danno la pwd perché se non lo fai resti senza telefono 2 giorni, e senza portatile…. non so per quanto, soprattutto visto il periodo di lockdown.

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: babo on July 01, 2020, 04:54:43 PM

bravo @duesoldi
hai letto un ottimo libro, mitnick (aka il condor) era particolarmente abile nei rapporti umani ed era anche abile col computer (cosa molto rara avere entrambi le capacita) quindi aveva la combo del perfetto killer di ingegneria sociale!

a me il libro e' piaciuto tutto

Giuro che mentre scrivevo volevo mettere il riferimento a quel libro, poi ho detto "Dai, non fare sempre il saputello Fillippone"... ed invece.... great minds think alike!

Davvero bel libro. Kevin Mitnick, il primo ad ad aver capito l'importanza dell'ingegneria sociale.

Riguardo al'osservazione di duesoldi: mi sono trovato alcune volte a non permettere ad altri di usare il trucco del "treno" (tenere aperta una porta dove è necessario un badge, o non aprirla quando qualcuno mi chiedeva di aprire). Sapete come è finita? é arrivato il capo del capo del capo del mio capo ed è andato dal capo del capo del mio capo ed ha detto di dire al capo del del mio capo di dire al mio capo che chi si sedeva di fianco alla porta (uno che conoscete) avrebbe dovuto aprire la fottuta porta quando qualcuno lo chiedeva.

babo

legendary

Activity: 3528

Merit: 4042

bravo @duesoldi
hai letto un ottimo libro, mitnick (aka il condor) era particolarmente abile nei rapporti umani ed era anche abile col computer (cosa molto rara avere entrambi le capacita) quindi aveva la combo del perfetto killer di ingegneria sociale!

a me il libro e' piaciuto tutto

duesoldi

legendary

Activity: 2534

Merit: 2624

Quote from: fillippone on July 01, 2020, 12:55:13 PM

Ma difatti, la parte debole del sistema di sicurezza è sempre l'utente.
Non solo per i rischi di Wrench attack. ma proprio per la "debolezza" dell'utente.
Mi ricordo in uno dei virtual meetup intitolato "21 milioni di perdere i propri bitcoin" si diceva proprio che il peggior nemico possibile dell'utente è proprio l'utente medesimo (un concetto ripetuto da Bertani anche nell'ultimo meetup).

"L'arte dell'inganno" di K. Mitnick. Senza leggerlo tutto (la parte finale è un pippone di nessun interesse) basta leggere le prime 40/50 pagine (sono molto leggere, volano in un attimo) e ci si rende conto di quanto facile sia far leva sulle debolezze umane per arrivare a informazioni che dovrebbero essere celate agli altri.
La cosa bella è che leggendolo ogni tanto mi fermavo e mi domandavo: ci sarei cascato anch'io nel raggiro di cui stavo leggendo? Nell'80% dei casi la risposta era positiva..... Cheesy

perché davvero l'uomo ha certe debolezze (e nel libro le spiega anche) sulle quali molti di noi inconsapevolmente cadono. L'unica "salvezza" sarebbe seguire rigidi protocolli, che però nella vita di tutti i giorni non sono praticabili.....

Certo che poi se becchi @Babo che con i suoi 11/10 luma le password invece delle gambe delle cassiere..... Wink

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: babo on July 01, 2020, 09:00:56 AM

Quote from: fillippone on June 30, 2020, 04:50:44 PM

Quote from: babo on June 30, 2020, 03:21:21 PM

<...>
ma volendo essere ancora piu paranoici, chi ti assicura che abbiano caricato su il firmware che loro dicono?
se non sceldi leggermente a compromessi diventa una spirale che non finisce piu

Nessuno.
Nessuno ha la certezza matematica di un bug o una backdor nel Ledger.
Neanche la Ledger stessa, se proprio vogliamo, visto che magari un singolo dipendente "rogue" potrebbe magari mettere qualche genere di "tweak" nel firmware.

é un rischio, ovviamente.

Diciamo che però ci sono rischi maggiori, superfici di attacco MOLTO più grosse prima di prendere in considerazione questa.

ESATTO!
quindi arriviamo al punto, quello che ho sempre predicato nel mio corso di sicurezza per trader bitcoin (ancora disponibile)
non puoi essere certo di essere al sicuro al 100%, puoi solo abbassare il tuo RoI (return of investment)

i criminali informatici non sono gente che zappa la terra, spesso e' gente con raffinata intelligenza (non sempre) cmq sa fare i conti matematici basilari

se io devo provare a rubarti dei "probabili" soldi, e le tue difese sono cazzute.. non ci provo nemmeno, perche potresti poi avere 1000 euro in tezos e mi ci pulisco il deretano

se INVECE so che tu hai 1000 bitcoin, cazzo si che ha senso provarci... il RoI e' alto
quindi, non dicendo a nessuno quanti soldi hai e tenendo le difese medio alte, hai n RoI molto basso.. semplicemente i criminali passano al pollo successivo.. gli costa meno tempo

e fidatevi rega, il livello nella media delle persone, E' SOTTO IL PAVIMENTO.. al supermercato vicino alle casse, nel cubotto del manager ci sono i postit con le passwrd.. a ME (11 decimi di vista) visibili.. fate un po' voi

Ma difatti, la parte debole del sistema di sicurezza è sempre l'utente.
Non solo per i rischi di Wrench attack. ma proprio per la "debolezza" dell'utente.
Mi ricordo in uno dei virtual meetup intitolato "21 milioni di perdere i propri bitcoin" si diceva proprio che il peggior nemico possibile dell'utente è proprio l'utente medesimo (un concetto ripetuto da Bertani anche nell'ultimo meetup).

babo

legendary

Activity: 3528

Merit: 4042

Quote from: fillippone on June 30, 2020, 04:50:44 PM

Quote from: babo on June 30, 2020, 03:21:21 PM

<...>
ma volendo essere ancora piu paranoici, chi ti assicura che abbiano caricato su il firmware che loro dicono?
se non sceldi leggermente a compromessi diventa una spirale che non finisce piu

Nessuno.
Nessuno ha la certezza matematica di un bug o una backdor nel Ledger.
Neanche la Ledger stessa, se proprio vogliamo, visto che magari un singolo dipendente "rogue" potrebbe magari mettere qualche genere di "tweak" nel firmware.

é un rischio, ovviamente.

Diciamo che però ci sono rischi maggiori, superfici di attacco MOLTO più grosse prima di prendere in considerazione questa.

ESATTO!
quindi arriviamo al punto, quello che ho sempre predicato nel mio corso di sicurezza per trader bitcoin (ancora disponibile)
non puoi essere certo di essere al sicuro al 100%, puoi solo abbassare il tuo RoI (return of investment)

i criminali informatici non sono gente che zappa la terra, spesso e' gente con raffinata intelligenza (non sempre) cmq sa fare i conti matematici basilari

se io devo provare a rubarti dei "probabili" soldi, e le tue difese sono cazzute.. non ci provo nemmeno, perche potresti poi avere 1000 euro in tezos e mi ci pulisco il deretano

se INVECE so che tu hai 1000 bitcoin, cazzo si che ha senso provarci... il RoI e' alto
quindi, non dicendo a nessuno quanti soldi hai e tenendo le difese medio alte, hai n RoI molto basso.. semplicemente i criminali passano al pollo successivo.. gli costa meno tempo

e fidatevi rega, il livello nella media delle persone, E' SOTTO IL PAVIMENTO.. al supermercato vicino alle casse, nel cubotto del manager ci sono i postit con le passwrd.. a ME (11 decimi di vista) visibili.. fate un po' voi

Lillominato89

hero member

Activity: 770

Merit: 835

diciamo che siamo obbligati a fidarci, così senza un vero perché dei sviluppatori e affidarci al loro "buonsenso". La sicurezza dei fondi non li hai a mio avviso neanche se il wallet te lo crei da solo

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: babo on June 30, 2020, 03:21:21 PM

<...>
ma volendo essere ancora piu paranoici, chi ti assicura che abbiano caricato su il firmware che loro dicono?
se non sceldi leggermente a compromessi diventa una spirale che non finisce piu

Nessuno.
Nessuno ha la certezza matematica di un bug o una backdor nel Ledger.
Neanche la Ledger stessa, se proprio vogliamo, visto che magari un singolo dipendente "rogue" potrebbe magari mettere qualche genere di "tweak" nel firmware.

é un rischio, ovviamente.

Diciamo che però ci sono rischi maggiori, superfici di attacco MOLTO più grosse prima di prendere in considerazione questa.

babo

legendary

Activity: 3528

Merit: 4042

Quote from: Speculatoross on June 30, 2020, 08:28:21 AM

Solo per confermare che il ledger non è open source (leggi anche) mentre il trezor si infatti su yt girano pure video di gente che se lo costruisce in casa
https://youtu.be/mZmv4wG6_PE

Ad ogni modo per quanto in linea generale sia d’accordo con duesoldi e chi dice di diffidare quando il codice non è open source, direi che con Ledger si può stare comunque tranquilli.
Ps su GitHub c’è anche una community piuttosto attiva
https://github.com/LedgerHQ

e' vero, non e' del tutto opensource, ha solo il chip, il "cervello" che non e' open
ma e' un compromesso a cui si e' giunti dopo una lunghissima scelta

ergo, avendo questo chip puoi farti il ledger da solo
il trezor chiaramente e' uno step oltre

ma volendo essere ancora piu paranoici, chi ti assicura che abbiano caricato su il firmware che loro dicono?
se non sceldi leggermente a compromessi diventa una spirale che non finisce piu

Lillominato89

hero member

Activity: 770

Merit: 835

Ma anche io sono d'accordo con le opinioni di @duesoldi ma c'è anche da dire che non è detto al 100% che un sistema chiuso equivalga a frode sicura. C'è da valutare la serietà del team Safepal e di binance, ovvio che se tra i sviluppatori non c'era nominato binance il mio discorso sarebbe stato molto diverso. Ad ogni modo vi farò sapere se mi scammano Tongue

Speculatoross

sr. member

Activity: 490

Merit: 353

this is not a bounty avatar

Quote from: fillippone on June 28, 2020, 06:21:41 PM

Quote from: babo on June 28, 2020, 01:21:39 PM

beh e' il minimo ormai per un cold wallet hardware come si deve
direi che pare apposto

non mi ricordo @Lillominato89 ma tutto l'hardware e il software e' opensource?
io credo (e spero) di si perche e' un elemento imprenscidibile per potersi fidare del progetto in se

Il ledger non mi pare abbia il codice open source.
Trezor credo il contrario.
Non vorrei riaprire vecchie diatribe, ma sono due approcci opposti alla questione, entrambi con punti di forza e di debolezza.

Solo per confermare che il ledger non è open source (leggi anche) mentre il trezor si infatti su yt girano pure video di gente che se lo costruisce in casa
https://youtu.be/mZmv4wG6_PE

Ad ogni modo per quanto in linea generale sia d’accordo con duesoldi e chi dice di diffidare quando il codice non è open source, direi che con Ledger si può stare comunque tranquilli.
Ps su GitHub c’è anche una community piuttosto attiva
https://github.com/LedgerHQ

duesoldi

legendary

Activity: 2534

Merit: 2624

Quote from: Lillominato89 on June 30, 2020, 04:09:57 AM

bene o male i codici delle app sono comunque in quel github, strano che non si trovi nulla invece del HW, ma dubito che binance faccia il furbetto di turno ci perde in credibilità in tutto il loro sistema

Eh beh proprio il fatto che dell'hw non si trovi nulla porta decisamente a pensare che sia closed source. Se avessero pubblicato il codice lo si troverebbe molto facilmente con una ricerca.
Binance non penso abbia interesse a fare "giochetti", ma non tanto per non far perdere credibilità al proprio sistema (visto che non credo faccia grossi margini su queste cose, il suo business è un altro), quanto perché non vedo che interessi possa avere a colpire i possessori degli hw wallet che potrà vendere: se volesse tirare tiri mancini avrebbe metodi più facili da seguire.

Io però per principio diffido di hw wallet per i quali non ci sia la possibilità di poter guardare il codice, non puoi avere nessuna certezza che qualcuno non abbia nascosto qualcosa di malevolo. Nel caso di SafePal non mi riferisco a Binance ovviamente (per quanto detto prima), ma magari qualche dipendente nella posizione giusta e che non avrebbe nulla da perderci nel farlo?

Lillominato89

hero member

Activity: 770

Merit: 835

bene o male i codici delle app sono comunque in quel github, strano che non si trovi nulla invece del HW, ma dubito che binance faccia il furbetto di turno ci perde in credibilità in tutto il loro sistema

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: babo on June 28, 2020, 01:21:39 PM

beh e' il minimo ormai per un cold wallet hardware come si deve
direi che pare apposto

non mi ricordo @Lillominato89 ma tutto l'hardware e il software e' opensource?
io credo (e spero) di si perche e' un elemento imprenscidibile per potersi fidare del progetto in se

Il ledger non mi pare abbia il codice open source.
Trezor credo il contrario.
Non vorrei riaprire vecchie diatribe, ma sono due approcci opposti alla questione, entrambi con punti di forza e di debolezza.

Lillominato89

hero member

Activity: 770

Merit: 835

Quote from: babo on June 28, 2020, 01:21:39 PM

beh e' il minimo ormai per un cold wallet hardware come si deve
direi che pare apposto

non mi ricordo @Lillominato89 ma tutto l'hardware e il software e' opensource?
io credo (e spero) di si perche e' un elemento imprenscidibile per potersi fidare del progetto in se

Esiste un github, ma trovo solo il codice delle applicazioni e non del wallet hardware, non so sinceramente se sia proprio Closed-source e in realtà ci capisco ben poco da questo github

https://github.com/safepal

duesoldi

legendary

Activity: 2534

Merit: 2624

Quote from: babo on June 28, 2020, 01:21:39 PM

beh e' il minimo ormai per un cold wallet hardware come si deve
direi che pare apposto

non mi ricordo @Lillominato89 ma tutto l'hardware e il software e' opensource?
io credo (e spero) di si perche e' un elemento imprenscidibile per potersi fidare del progetto in se

Qui dicono di no (cerca "closed-source" nella pagina) :

https://7labs.io/tips-tricks/safepal-hardware-wallet.html

babo

legendary

Activity: 3528

Merit: 4042

beh e' il minimo ormai per un cold wallet hardware come si deve
direi che pare apposto

non mi ricordo @Lillominato89 ma tutto l'hardware e il software e' opensource?
io credo (e spero) di si perche e' un elemento imprenscidibile per potersi fidare del progetto in se

duesoldi

legendary

Activity: 2534

Merit: 2624

Quote from: Lillominato89 on June 28, 2020, 09:39:15 AM

No in realtà mi sono un pò spiegato male, è vero si che ho operato con HW spento ma solo per TX in entrata, per inviare una TX in uscita c'è di bisogno di avere a portata di mano L'HW per la scansione dei codici QR più l'inserimento di un codice PIN settato in precedenza, senza HW e senza scansione dei codici non è possibile inviare fondi. Il seed è comunque salvato sul HW e non sullo smartphone perché se no sarebbe una situazione che mette in grave pericolo la sicurezza dei fondi

Ah ok, se hai ricevuto tx in entrata allora in effetti non ci sono pericoli.... Wink

Topic: Safepal wallet hardware unboxing e opinioni - page 5. (Read 1528 times)