Author

Topic: [UPGRADE] v 1.4.2 firmware ledger nano s (Read 9213 times)

legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
June 11, 2019, 03:02:31 PM
#69
Beh se hai il seed non c'è d'avere paura
Quindi, direi che è solo un altro modo

Io non ho avuto paura, solo scocciato x il tempo perso
hero member
Activity: 2268
Merit: 709
Ma con reset intendete riportarlo alme impostazioni di fabbrica e reinserire il seed ogni volta? Se fosse così, a me sembra una follia, che voglia avete di scrivere con i pulsantini?!  Grin

Perché follia? almeno una volta nella vita quella procedura dovrebbe essere provata per non dover morire d'infarto quella volta che sei costretto a farlo di corsa per necessità: avresti il doppio dell'ansia se non avessi già provato un restore in precedenza. Wink
Ma difatti l'ho provato la primissima volta a reinserire tutto e assicurarmi che fosse a posto, ma non lo farei mai all'uscita di ogni singolo update, troppo sbatti inutile secondo me. Poi ovviamente ognuno è libero di fare come vuole, ma continuo a non capirne l'utilità.

Perché ogni volta che esce un update? Io approfitterei di farlo questa ed una volta, quando si hanno problemi proprio di questo tipo, quasi sicuramente di spazio. Wink

L'utilità? Sono 2:

1) reinizializzi il Ledger Nano S ottimizzandone lo spazio (dopo svariati update);
2) dimezzi l'ansia (avendo già fatto esperienza) e non perderesti tempo nelle ricerche e nelle domande nel caso in cui ti capitasse in un momento tragico.
legendary
Activity: 2576
Merit: 2880
Catalog Websites
Ma con reset intendete riportarlo alme impostazioni di fabbrica e reinserire il seed ogni volta? Se fosse così, a me sembra una follia, che voglia avete di scrivere con i pulsantini?!  Grin

Perché follia? almeno una volta nella vita quella procedura dovrebbe essere provata per non dover morire d'infarto quella volta che sei costretto a farlo di corsa per necessità: avresti il doppio dell'ansia se non avessi già provato un restore in precedenza. Wink
Ma difatti l'ho provato la primissima volta a reinserire tutto e assicurarmi che fosse a posto, ma non lo farei mai all'uscita di ogni singolo update, troppo sbatti inutile secondo me. Poi ovviamente ognuno è libero di fare come vuole, ma continuo a non capirne l'utilità.
hero member
Activity: 2268
Merit: 709
Ma con reset intendete riportarlo alme impostazioni di fabbrica e reinserire il seed ogni volta? Se fosse così, a me sembra una follia, che voglia avete di scrivere con i pulsantini?!  Grin

Perché follia? almeno una volta nella vita quella procedura dovrebbe essere provata per non dover morire d'infarto quella volta che sei costretto a farlo di corsa per necessità: avresti il doppio dell'ansia se non avessi già provato un restore in precedenza. Wink
legendary
Activity: 2576
Merit: 2880
Catalog Websites
Ma con reset intendete riportarlo alme impostazioni di fabbrica e reinserire il seed ogni volta? Se fosse così, a me sembra una follia, che voglia avete di scrivere con i pulsantini?!  Grin
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
cancellare le app (e non resettare) e' la procedura che ho seguito io e che ha funzionato
poi beh, liberi di testare col reset

postate qui se tutto e' andato a buon fine, cosi lo sappiamo (e puo sempre tornare utile)

grazie
hero member
Activity: 784
Merit: 1416
ora che ci penso forse era capitato anche a me lo stesso problema, almeno, ho qualche vado ricordo di aver armeggiato con il ledger dopo che lamentava della mancanza di spazio, non sono sicuro se fosse durante un firmware upgrade o durante l'aggiunta in un app per un nuovo wallet. Comunque niente di catastrofico.
member
Activity: 320
Merit: 17
free space pm if interessed
si questa e la strada migliore cancellare tutte le app(forse anche resettare) per liberare spazio e poi aggiornare e riinstallare tutto
legendary
Activity: 2576
Merit: 2880
Catalog Websites
Ciao, ho un problema molto grave, vi prego aiutatemi.

Ho cercato di aggiornare il mio ledger nano s (1.4.2 firmware ledger nano s).

Ho aperto ledger live, però, ad un certo punto mi compare la scritta sul ledger update e ho aspettato piu' di 1 ora ma non succede niente.

Ho provato a disinstallare ledger live, cambiare presa usb ma niente...



Cosa devo fare???

Secondo voi ho perso le mie cripto?


grazie mille

Calma
Se hai il seed non hai perso nulla
Disinstalla tutte le app.. tutte


Esegui il firmware upgrade, ci mette un po.. ma non un ora
Reinstalla tutto


È essenziale che tu cancelli TUTTE le app, xche serve spazio

Avevo sentito che la disinstallazione delle app non ottimizzava bene la liberazione dello spazio: per questo ho suggerito una ripartenza "pulita". Wink
Io ho sempre installato gli aggiornamenti semplicemente cancellando le app.
hero member
Activity: 2268
Merit: 709
Ciao, ho un problema molto grave, vi prego aiutatemi.

Ho cercato di aggiornare il mio ledger nano s (1.4.2 firmware ledger nano s).

Ho aperto ledger live, però, ad un certo punto mi compare la scritta sul ledger update e ho aspettato piu' di 1 ora ma non succede niente.

Ho provato a disinstallare ledger live, cambiare presa usb ma niente...



Cosa devo fare???

Secondo voi ho perso le mie cripto?


grazie mille

Calma
Se hai il seed non hai perso nulla
Disinstalla tutte le app.. tutte


Esegui il firmware upgrade, ci mette un po.. ma non un ora
Reinstalla tutto


È essenziale che tu cancelli TUTTE le app, xche serve spazio

Avevo sentito che la disinstallazione delle app non ottimizzava bene la liberazione dello spazio: per questo ho suggerito una ripartenza "pulita". Wink
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Ciao, ho un problema molto grave, vi prego aiutatemi.

Ho cercato di aggiornare il mio ledger nano s (1.4.2 firmware ledger nano s).

Ho aperto ledger live, però, ad un certo punto mi compare la scritta sul ledger update e ho aspettato piu' di 1 ora ma non succede niente.

Ho provato a disinstallare ledger live, cambiare presa usb ma niente...



Cosa devo fare???

Secondo voi ho perso le mie cripto?


grazie mille

Calma
Se hai il seed non hai perso nulla
Disinstalla tutte le app.. tutte


Esegui il firmware upgrade, ci mette un po.. ma non un ora
Reinstalla tutto


È essenziale che tu cancelli TUTTE le app, xche serve spazio
hero member
Activity: 2268
Merit: 709
Secondo voi ho perso le mie cripto?

Sul Ledger fisicamente non c'è nessuna moneta, stanno tutte nelle rispettive blockchain. Sul Ledger ci sono le chiavi private (dei relativi indirizzi) che attestano il possesso di quelle monete.
Come ti hanno suggerito, puoi fare un factory reset del Ledger e poi, al primo avvio, fare un recovery del tuo/tuoi wallet inserendo esattamente il SEED che ti eri messo bene (spero!) da parte.
Potrebbe essere un problema di spazio libero che non hai sul Ledger e che ti impedisce di portare a termine correttamente l'update.

PS: il SEED è l'elenco delle 24 parole come vedi nella foto poco più su. Dovresti averlo anche tu quel foglietto con le tue parole che costituiscono il tuo SEED.  No SEED, no coin.
hero member
Activity: 784
Merit: 1416
Puoi sempre fare un factory reset, ricordati che anche se la chiavetta si rompe ma hai il seed puoi generare le chiavi private ed indirizzi relativi anche senza.
newbie
Activity: 3
Merit: 0
Ciao, ho un problema molto grave, vi prego aiutatemi.

Ho cercato di aggiornare il mio ledger nano s (1.4.2 firmware ledger nano s).

Ho aperto ledger live, però, ad un certo punto mi compare la scritta sul ledger update e ho aspettato piu' di 1 ora ma non succede niente.

Ho provato a disinstallare ledger live, cambiare presa usb ma niente...



Cosa devo fare???

Secondo voi ho perso le mie cripto?


grazie mille
member
Activity: 336
Merit: 52
Si sarò ispirato a quei super furbi che pubblicano la foto (fronte e retro) della propria carta di credito

Tempo fa @NeedADebitCard aveva raccolto un bel pò di foto https://twitter.com/NeedADebitCard
No ma la pagina Twitter con tutte le foto delle varie carte di credito e debito è fake, vero? La gente non può essere cosi stupida, mi rifiuto di crederlo  Shocked
sr. member
Activity: 1554
Merit: 297

Hahaha ho riso mezz'ora, genio chi ha fatto sto tweet tra il serio e il faceto

Purtroppo chi sta gente che lo fa sul serio, ad esempio con i biglietti dell'aereo, che nel barcode indicano tante informazioni

OT
Si sarò ispirato a quei super furbi che pubblicano la foto (fronte e retro) della propria carta di credito

Tempo fa @NeedADebitCard aveva raccolto un bel pò di foto https://twitter.com/NeedADebitCard
member
Activity: 434
Merit: 38
vi raccomando nuovamente di acquistare solo dallo store ufficiale.
proprio ieri parlavo con un mio conoscente che è una capra come conoscenza informatica e stava per acquistare un ledger da un venditore che aveva postato un annuncio su subito.
in pratica vendeva ledger nuovi sottocosto "già configurati e pronti all'utilizzo", te lo portavi a casa con circa 30€
si, il problema è che appunto essendo già configurati, lui era in possesso della chiave impostata e tra qualche mese/anno avrebbe ripulito il tutto.
ho chiesto il link dell'annuncio a questo mio conoscente, ma sembrerebbe non esserci più al momento.

Si, tutto vero. E' sempre meglio comprare dai store ufficiali. Ma come avevo scritto sopra non è possibile finora fregarti i soldi dal ledger lato hardware e software ovunque lo compri, anche se lo comprassi dal marocchino per strada. Questo perchè (loro spiegano) ha una protezione hardware almeno finora inattaccabile, per cui se imposti TU il seed che ti chiede fin dall'inizio non fa nessuna differenza.

Il rischio è se un newbie cade in uno scam di social engineering, come qualcuno ha riportato vari esempi sopra. Il più diabolico era quello del seed già impostato e con il foglietto da grattare le parole dalla patina con la monetina come nei gratta e vinci!
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell

Hahaha ho riso mezz'ora, genio chi ha fatto sto tweet tra il serio e il faceto

Purtroppo chi sta gente che lo fa sul serio, ad esempio con i biglietti dell'aereo, che nel barcode indicano tante informazioni
legendary
Activity: 2576
Merit: 2880
Catalog Websites
proprio ieri parlavo con un mio conoscente che è una capra come conoscenza informatica e stava per acquistare un ledger da un venditore che aveva postato un annuncio su subito.
Io francamente comunque rimango sempre basito a leggere cose del genere. Spero che il tuo conoscente abbia soldi da buttare per permettersi tanta superficialità su un argomento cosi delicato, qui pare che per molta gente questo sia solo un gioco, mah...
legendary
Activity: 1778
Merit: 1043
#Free market
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
vi raccomando nuovamente di acquistare solo dallo store ufficiale.
proprio ieri parlavo con un mio conoscente che è una capra come conoscenza informatica e stava per acquistare un ledger da un venditore che aveva postato un annuncio su subito.
in pratica vendeva ledger nuovi sottocosto "già configurati e pronti all'utilizzo", te lo portavi a casa con circa 30€
si, il problema è che appunto essendo già configurati, lui era in possesso della chiave impostata e tra qualche mese/anno avrebbe ripulito il tutto.
ho chiesto il link dell'annuncio a questo mio conoscente, ma sembrerebbe non esservi più al momento.

Esatto questo è il modus operandi dei truffatori da due soldi
Un truffatore più advanced potrebbe fare anche altro

In ogni caso è facile, basta comprare dai rivenditori ufficiali
full member
Activity: 378
Merit: 104
vi raccomando nuovamente di acquistare solo dallo store ufficiale.
proprio ieri parlavo con un mio conoscente che è una capra come conoscenza informatica e stava per acquistare un ledger da un venditore che aveva postato un annuncio su subito.
in pratica vendeva ledger nuovi sottocosto "già configurati e pronti all'utilizzo", te lo portavi a casa con circa 30€
si, il problema è che appunto essendo già configurati, lui era in possesso della chiave impostata e tra qualche mese/anno avrebbe ripulito il tutto.
ho chiesto il link dell'annuncio a questo mio conoscente, ma sembrerebbe non esserci più al momento.
member
Activity: 336
Merit: 52

Anch'io ho preso sia il ledger che il trezor dal sito del produttore. Pur tuttavia, come è stato sopra ricordato, è la stessa ledger a ricordare che non è possibile manipolarti il device prima che tu ne vieni in possesso, per cui non protegge neanche con sigilli particolari la confezione stessa.

era capitato che un truffatore vendesse i ledger già settati con un finto foglietto ufficiale col seed scritto sopra, un attacco di pura social engineering che punta sulla poca esperienza dell'utente, in quel caso per aprire la scatola avrebbero dovuto rompere il sigillo, proprio inutile non sarebbe stato.
Sono d'accordo, capisco che da un lato possano giocare sulla mancanza del sigillo per far vedere quanto credano nel loro prodotto, però penso anche che visto quello che c'è in gioco dovrebbe davvero essere tutto a prova di noob, non bisogna dare nulla per scontato.
newbie
Activity: 26
Merit: 0
Ok grazie, sono in attesa della convalida del mio pagamento. Concordo per gli acquisti ufficiali sui siti ufficiali ;-)
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Sì, il tizio ha acquistato il ledger su Amazon...da evitare.
A proposito, poco fa ho acquistato un ledger nano s dal sito ufficiale, quanto tempo ci mette ad arrivare?
Grazie in anticipo

te lo dice quando lo compri
qualsiasi sia il tempo, meglio evitare di comprare da rivenditori NON ufficiali, troppo rischioso
newbie
Activity: 26
Merit: 0
Sì, il tizio ha acquistato il ledger su Amazon...da evitare.
A proposito, poco fa ho acquistato un ledger nano s dal sito ufficiale, quanto tempo ci mette ad arrivare?
Grazie in anticipo
legendary
Activity: 1981
Merit: 1039

Anch'io ho preso sia il ledger che il trezor dal sito del produttore. Pur tuttavia, come è stato sopra ricordato, è la stessa ledger a ricordare che non è possibile manipolarti il device prima che tu ne vieni in possesso, per cui non protegge neanche con sigilli particolari la confezione stessa.



era capitato che un truffatore vendesse i ledger già settati con un finto foglietto ufficiale col seed scritto sopra, un attacco di pura social engineering che punta sulla poca esperienza dell'utente, in quel caso per aprire la scatola avrebbero dovuto rompere il sigillo, proprio inutile non sarebbe stato.

legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Ragazzi, sereni... scialli, tranquilli
Fino ad oggi nessun trezor o legder sono stati violati
È più facile minacciare il possessore e farsi dare le chiavi private.. Come è già successo
member
Activity: 434
Merit: 38
Io l'ho comprato da Amazon, perchè mi arrivava subito e mi è arrivato in scatola cellofanata (ok questo non vuol dire niente...).

Dici che ho fatto una sciocchezza? Al momento l'ho uso da un pò senza problemi. Ho però letto attentamente le istruzioni e non puoi essere fregato, infatti è la Ledger stessa (non io) che dice che non mette un sigillo di garanzia per l'apertura della scatola perchè non serve. Cioè una volta che fai la procedura da zero, mettendo il tuo PIN e in particolare creando il tuo seed di 24 parole (procedura da fare all'inizio obbligatoriamente), questo è resettato ex-novo a livello hardware nel chip. Se qualcuno lo avesse manomesso non ti farebbe fare la procedura di generazione seed.

Io preso direttamente dal sito del produttore. Ho letto la stessa cosa. Tuttavia, non ci sono mai certezze.

Ho trovato un articolo in rete a riguardo (in inglese, se volete posso tradurlo io stesso):

Quote
“The vulnerability arose due to Ledger’s use of a custom architecture to work around many of the limitations of their Secure Element,” Rashid explains in a blog post. “An attacker can exploit this vulnerability to compromise the device before the user receives it, or to steal private keys from the device physically or, in some scenarios, remotely.”

La cosa che mi preoccupa e' il riferimento all'attacco remoto.

Il link all'articolo qui
Code:
https://thenextweb.com/hardfork/2018/03/20/ledger-nano-s-hack-cryptocurrency


Quote
Tuttavia, non ci sono mai certezze

Anch'io ho preso sia il ledger che il trezor dal sito del produttore. Pur tuttavia, come è stato sopra ricordato, è la stessa ledger a ricordare che non è possibile manipolarti il device prima che tu ne vieni in possesso, per cui non protegge neanche con sigilli particolari la confezione stessa.

Poi niente è sicuro a sto mondo, però è pur vero che non sono a conoscenza che la sicurezza di un Ledger sia mai stata violata, almeno finora.

L'articolo che tu fai riferimento sono vulnerabilità scoperte mesi fa da Saleem Raschid, uno sviluppatore (anzi un ragazzino mi pare, ma un genio dell'informatica), che le ha svelate pubblicamente a marzo. Tra l'altro in questo modo rinunciando (se non dico una sciocchezza), anche al premio messo in palio dalle Ledger stessa per chi trova vulnerabilità ai loro prodotti (c'è un anti-disclosure).

Si tratta di attacchi estramamente complessi e di difficile implementazione, ma possibili (vabbè io non sono un esperto informatico, riporto solo le info). Qua l'articolo originale di Saleem:

https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/

Grazie alle sue scoperte, è stato rilasciato dalle Ledger l'aggiornamento 1.4 (quello di cui stiamo parlando qua) che dovrebbe avere risolto queste potenziali vulnerabilità...
newbie
Activity: 81
Merit: 0
Io l'ho comprato da Amazon, perchè mi arrivava subito e mi è arrivato in scatola cellofanata (ok questo non vuol dire niente...).

Dici che ho fatto una sciocchezza? Al momento l'ho uso da un pò senza problemi. Ho però letto attentamente le istruzioni e non puoi essere fregato, infatti è la Ledger stessa (non io) che dice che non mette un sigillo di garanzia per l'apertura della scatola perchè non serve. Cioè una volta che fai la procedura da zero, mettendo il tuo PIN e in particolare creando il tuo seed di 24 parole (procedura da fare all'inizio obbligatoriamente), questo è resettato ex-novo a livello hardware nel chip. Se qualcuno lo avesse manomesso non ti farebbe fare la procedura di generazione seed.

Io preso direttamente dal sito del produttore. Ho letto la stessa cosa. Tuttavia, non ci sono mai certezze.

Ho trovato un articolo in rete a riguardo (in inglese, se volete posso tradurlo io stesso):

Quote
“The vulnerability arose due to Ledger’s use of a custom architecture to work around many of the limitations of their Secure Element,” Rashid explains in a blog post. “An attacker can exploit this vulnerability to compromise the device before the user receives it, or to steal private keys from the device physically or, in some scenarios, remotely.”

La cosa che mi preoccupa e' il riferimento all'attacco remoto.

Il link all'articolo qui
Code:
https://thenextweb.com/hardfork/2018/03/20/ledger-nano-s-hack-cryptocurrency
member
Activity: 378
Merit: 13
Spulciando in internet, infatti ho visto che sono stati fregati gli utenti solo in questo modo: comprando da ebay, arrivava la scatola pronta e chiusa, da persone che l'avevano già presa in precedenza, con un foglio sul modello gratta e vinci da grattare le parole con il seed già preimpostato (da genio del crimine, non c'è che dire questa strategia!!!), quindi i ladri avendo anche loro il seed, hanno potuto rubare quando volevano indisturbati tutto il malloppo!
si esatto, avevo letto anch'io che usavano questo stratagemma per fregare le crypomonete con ledger nano s gia' predisposto. Come sempre bisogna dubitare di tutto.
Geni del male ! Per evitare fregature è sempre meglio controllare che arrivi tutto ben sigillato e ordinare il prodotto direttamente dal sito. Qualcuno ha avuto modo di aggiornarlo usando OSX?
full member
Activity: 658
Merit: 105
Spulciando in internet, infatti ho visto che sono stati fregati gli utenti solo in questo modo: comprando da ebay, arrivava la scatola pronta e chiusa, da persone che l'avevano già presa in precedenza, con un foglio sul modello gratta e vinci da grattare le parole con il seed già preimpostato (da genio del crimine, non c'è che dire questa strategia!!!), quindi i ladri avendo anche loro il seed, hanno potuto rubare quando volevano indisturbati tutto il malloppo!
si esatto, avevo letto anch'io che usavano questo stratagemma per fregare le crypomonete con ledger nano s gia' predisposto. Come sempre bisogna dubitare di tutto.
jr. member
Activity: 85
Merit: 2
Join The Blockchain Revolution In Logistics
prima o dopo dovro' decidermi a comperarlo anche io anche se o poco da metterci su'. Ma se lo ordinassi adesso dal sito ledger me lo invierebbero gia' con l'ultima versione?

ovviamente si
e compralo solo ed esclusivamente dal sito originale, occhio.. se non lo compri dal sito originale o dai rivenditori autorizzati.. rischi che sia manomesso

e per cosa, risparmiare 10 euri? no, te lo sconsiglio

se vuoi comprarlo poi inviami un PM


Io l'ho comprato da Amazon, perchè mi arrivava subito e mi è arrivato in scatola cellofanata (ok questo non vuol dire niente...).

Dici che ho fatto una sciocchezza? Al momento l'ho uso da un pò senza problemi. Ho però letto attentamente le istruzioni e non puoi essere fregato, infatti è la Ledger stessa (non io) che dice che non mette un sigillo di garanzia per l'apertura della scatola perchè non serve. Cioè una volta che fai la procedura da zero, mettendo il tuo PIN e in particolare creando il tuo seed di 24 parole (procedura da fare all'inizio obbligatoriamente), questo è resettato ex-novo a livello hardware nel chip. Se qualcuno lo avesse manomesso non ti farebbe fare la procedura di generazione seed.

Spulciando in internet, infatti ho visto che sono stati fregati gli utenti solo in questo modo: comprando da ebay, arrivava la scatola pronta e chiusa, da persone che l'avevano già presa in precedenza, con un foglio sul modello gratta e vinci da grattare le parole con il seed già preimpostato (da genio del crimine, non c'è che dire questa strategia!!!), quindi i ladri avendo anche loro il seed, hanno potuto rubare quando volevano indisturbati tutto il malloppo!
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
prima o dopo dovro' decidermi a comperarlo anche io anche se o poco da metterci su'. Ma se lo ordinassi adesso dal sito ledger me lo invierebbero gia' con l'ultima versione?

ovviamente si
e compralo solo ed esclusivamente dal sito originale, occhio.. se non lo compri dal sito originale o dai rivenditori autorizzati.. rischi che sia manomesso

e per cosa, risparmiare 10 euri? no, te lo sconsiglio

se vuoi comprarlo poi inviami un PM
full member
Activity: 658
Merit: 105
update di sicurezza alla 1.4.2 (6h fa)

sono state aggiunte piccole features che danno piu sicurezza (leggere primo post)

ovviamente l'aggiornamento é CALDAMENTE consigliato
prima o dopo dovro' decidermi a comperarlo anche io anche se o poco da metterci su'. Ma se lo ordinassi adesso dal sito ledger me lo invierebbero gia' con l'ultima versione?
jr. member
Activity: 168
Merit: 3
Web developer / Crypto Trader
importante la feutures che a ogni reset la prima parola del menmonic cambia
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
update di sicurezza alla 1.4.2 (6h fa)

sono state aggiunte piccole features che danno piu sicurezza (leggere primo post)

ovviamente l'aggiornamento é CALDAMENTE consigliato
legendary
Activity: 1981
Merit: 1039
Non sembra essere a rischio, fortunatamente non era un problema riguardante la fase di generazione.
sr. member
Activity: 599
Merit: 273
---
Oggi tra l'inutile fiorire di thread a vari livelli uno dei pochi dove ottenere le info migliori è il Wall Observer thread da cui ho preso questa info.
https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/
un ragazzo di 15 anni che ha messo sotto scacco la sicurezza del ledger......


Non ho ancora capito se il vecchio seed è a rischio, ma a guardare a occhio direi di no.
legendary
Activity: 1981
Merit: 1039
non so nel caso specifico se quelli di ledger lo abbiano premiato, quelli di trezor lo fanno c'è una piccola lederboard coi punteggi nella loro pagina https://trezor.io/security/ e Rashid è a pari merito col primo subito dietro lui c'è Bacca che è il dev di Ledger  Grin

legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Il fix coregge già quei problemi la disclosure che include anche i tool per sfruttare la vulnerabilità è stata fatta settimane dopo apposta per dare tempo atutti di aggiornare.

Quando s fa una disclosure d sicurezza fatta in modo serio si fa così
In genere andrebbe un premio in denaro al ricercatore di sicurezza
O un posto se sei una ditta molto quotata
legendary
Activity: 1981
Merit: 1039
Il fix coregge già quei problemi la disclosure che include anche i tool per sfruttare la vulnerabilità è stata fatta settimane dopo apposta per dare tempo atutti di aggiornare.
newbie
Activity: 10
Merit: 0
Il rilascio del nuovo firmware va a correggere i problemi nello specifico trovati dal ragazzo nel ledger o devono ancora essere fissati?
legendary
Activity: 1981
Merit: 1039
vedo che è stato di parola rilasciando i dettagli, fortunatamente non era roba da tutti ed avrebbe richiesto anche una certa oraganizzazione nel preparare vari device e poi venderli cosa che avrebbe potuto fare solo un distributore non ufficiale.
legendary
Activity: 1316
Merit: 1481
Sì ma serve a far capire che gli hardware wallet non so così invulnerabili come si ritiene normalmente; soprattutto non banalizzerei dicendo che sono attacchi complessi e difficili da realizzare. Ti ricordo che stiamo parlando di un ragazzo di 15 anni  Smiley
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Oggi tra l'inutile fiorire di thread a vari livelli uno dei pochi dove ottenere le info migliori è il Wall Observer thread da cui ho preso questa info.
https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/
un ragazzo di 15 anni che ha messo sotto scacco la sicurezza del ledger......


sotto scacco mi pare un po' esagerato
sono cmq attacchi molto complessi e difficili da realizzare
ha fatto bene a segnalare e questo gli fara sicuramente CV (e non poco) ma in ogni caso ricordiamoci che sono si metodi per attaccare ledger, ma che necessitano di preparazione e di skills molto elevate

ergo, non ci perdi tempo se devi fotterti 0.2 btc
legendary
Activity: 1316
Merit: 1481
Oggi tra l'inutile fiorire di thread a vari livelli uno dei pochi dove ottenere le info migliori è il Wall Observer thread da cui ho preso questa info.
https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/
un ragazzo di 15 anni che ha messo sotto scacco la sicurezza del ledger......
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Sto cercando di aggiornare il firmware del ledger nano s, ma mi da questo errore: “UNABLE TO INSTALL OS UPDATER” Qualcuno di voi sa come aiutarmi? grazie
Ho seguito la guida ufficiale:

https://support.ledgerwallet.com/…/en…/articles/360001340473


ti consiglio di dare una occhiata al subreddit

https://www.reddit.com/r/ledgerwallet/

se non trovi risposta apri un thread agli sviluppatori, é la soluzione migliore

a me upgrade di 3 ledger non ho avuto problemi

eccolo
https://www.reddit.com/r/ledgerwallet/comments/85mk04/stuck_on_unable_to_install_os_updater_trying_to/
newbie
Activity: 5
Merit: 0
Sto cercando di aggiornare il firmware del ledger nano s, ma mi da questo errore: “UNABLE TO INSTALL OS UPDATER” Qualcuno di voi sa come aiutarmi? grazie
Ho seguito la guida ufficiale:

https://support.ledgerwallet.com/…/en…/articles/360001340473
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
è un problema molto più comune di quanto pensassi e in genere l'unica vera soluzione per procedere verso i passi ulteriori è, udite udite, riavviare la macchina Cheesy
https://www.reddit.com/r/ledgerwallet/comments/82f1sk/firmware_upgrade_stuck_at_mcu_firmware_is_outdated/

oddio, riavviare la macchina..
cmq non é scevro da problemi il backup
e poi ti BRASA tutte le app e le devi reinstallare.. ma é piú una noia che un problema (in realta potevano creare una procedura che si creava la lista di app installate, brasava tutto, e le reinstallava.. ma vabbé)
jr. member
Activity: 34
Merit: 1
Ho fatto l aggiornamento 
Ora non riesco piu aprire electrum con un indirizzo segwit
qualcun altro ha riscontrato lo stesso problema?
Usando l'estensione di Chrome comunque non hai problemi, vero?

no con l'app di Chrome tutto a posto anche con indirizzo segwit ma mi piacerebbe tornare ad usare electrum
legendary
Activity: 1316
Merit: 1481
è un problema molto più comune di quanto pensassi e in genere l'unica vera soluzione per procedere verso i passi ulteriori è, udite udite, riavviare la macchina Cheesy
https://www.reddit.com/r/ledgerwallet/comments/82f1sk/firmware_upgrade_stuck_at_mcu_firmware_is_outdated/
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Update su problema aggiornamento: sembra che il blocco su Restoring MCU sia comune su Windows 7. Ho aggiornato il mio ledger e quello di altri due amici sui loro pc ed è successo nuovamente.
Ma per caso e' il problema che ti blocca il Ledger quando lo connetti di nuovo per installare l'aggiornamento? Se e' quello basta tenere premuto il tasto dal lato della USB prima di collegarlo, e tenerlo ancora premuto mentre lo si collega e si accende, mi e' successo giusto l'altro giorno su Mac.

confermo, bisogna tenerlo premuto per 5 secondi
ma fa parte della procedura e ti viene spiegato come fare.. appunto la procedura dei 5 secondi é spiegata quando fai l'upgrade
legendary
Activity: 2576
Merit: 2880
Catalog Websites
Update su problema aggiornamento: sembra che il blocco su Restoring MCU sia comune su Windows 7. Ho aggiornato il mio ledger e quello di altri due amici sui loro pc ed è successo nuovamente.
Ma per caso e' il problema che ti blocca il Ledger quando lo connetti di nuovo per installare l'aggiornamento? Se e' quello basta tenere premuto il tasto dal lato della USB prima di collegarlo, e tenerlo ancora premuto mentre lo si collega e si accende, mi e' successo giusto l'altro giorno su Mac.
legendary
Activity: 1316
Merit: 1481
L'importante di aggiornare in questi casi sta nel fatto che quando le vulnerabilità sono di dominio pubblico il fronte degli attacker è subito pronto a colpire. Questa regola vale su tutti i sistemi che conosciamo.

Update su problema aggiornamento: sembra che il blocco su Restoring MCU sia comune su Windows 7. Ho aggiornato il mio ledger e quello di altri due amici sui loro pc ed è successo nuovamente.
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Ma se non si fa l'aggiornamento entro il 21 marzo, poi si può sempre dopo? Lo chiedo perchè sono via per lavoro da casa mia e non ho con me il ledger...

Si dopo sarai obbligato a farlo, mentre adesso puoi posticiparlo e usarlo senza aggiornarlo
Questo vuol dire aggiornamento obbligatorio
legendary
Activity: 2576
Merit: 2880
Catalog Websites
Ho fatto l aggiornamento 
Ora non riesco piu aprire electrum con un indirizzo segwit
qualcun altro ha riscontrato lo stesso problema?
Usando l'estensione di Chrome comunque non hai problemi, vero?

Ma se non si fa l'aggiornamento entro il 21 marzo, poi si può sempre dopo? Lo chiedo perchè sono via per lavoro da casa mia e non ho con me il ledger...
Dopo il 20 marzo in pratica o aggiorni o non usi più il Ledger, quindi non preoccuparti, l'aggiornamento ti aspetta al rientro  Grin
jr. member
Activity: 85
Merit: 2
Join The Blockchain Revolution In Logistics
Ma se non si fa l'aggiornamento entro il 21 marzo, poi si può sempre dopo? Lo chiedo perchè sono via per lavoro da casa mia e non ho con me il ledger...
jr. member
Activity: 34
Merit: 1
Ho fatto l aggiornamento 
Ora non riesco piu aprire electrum con un indirizzo segwit
qualcun altro ha riscontrato lo stesso problema?
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Per chi (tipo il sottoscritto Grin) avesse intenzione di comprarlo nuovo oggi (es. Amazon) l'upgrade va fatto oppure è già aggiornato? Perchè secondo me nel dubbio tanto vale optare per un modello differente che faccia lo stesso, che dite?

ovviamente lo trovi aggiornato
non lo comprare da amazon ne da ebay ne da altrove, compralo direttamente dal sito del produttore e solo da li
i motivi sono che avrai un device che funziona ed é affidabile senza che rischi che sia manomesso
newbie
Activity: 3
Merit: 0
March 15, 2018, 08:11:25 AM
#9
Per chi (tipo il sottoscritto Grin) avesse intenzione di comprarlo nuovo oggi (es. Amazon) l'upgrade va fatto oppure è già aggiornato? Perchè secondo me nel dubbio tanto vale optare per un modello differente che faccia lo stesso, che dite?
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
March 14, 2018, 02:19:29 AM
#8
il fatto che sia un update obbligatorio riguarderebbe un grave bug del device che è stato fixato, il tipo del tweet sarebbe un hacker e sostiene che anche i seed siano potenzialmente compromessi e andrebbero rigenerati, il 20 marzo rilascerà un write-up riguardo a quest'argomento.

Chiarissimo, ma considera anche la difficoltà del hack. Devi pensare sempre al roi. Se costa troppo, deve valere la pena.

Non so se mi spiego. Cmq vedremo dopo cosa dirà il ricercatore d sicurezza



fatto upgrade proprio adesso
consiglio: togliete un po di app che vuole spazio
bisogna seguire la procedura col ledger manager.. all'avvio avrete il ledger NUDO senza app, dovrete reinstallarle a mano tutte (anche fido)

é andato a buon fine senza problemi
legendary
Activity: 1981
Merit: 1039
March 13, 2018, 09:16:55 AM
#7
il fatto che sia un update obbligatorio riguarderebbe un grave bug del device che è stato fixato, il tipo del tweet sarebbe un hacker e sostiene che anche i seed siano potenzialmente compromessi e andrebbero rigenerati, il 20 marzo rilascerà un write-up riguardo a quest'argomento.
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
March 13, 2018, 02:59:02 AM
#6
Da 21 marzo upgrade e obligatorio. Perché non aggiungere possibilità di importare le mie private key? Per me sarebbe utile.
Una risposta officiale sul reddito
https://www.reddit.com/r/ledgerwallet/comments/82frwu/critical_flaw_in_the_nano_s_is_causing_this/?utm_source=amp&utm_medium=comment_list

grazie per l'aggiunta, scrivo sopra nel primo topic
io dovro farlo per tutti i miei tre ledger Sad


mi raccomando FATELO per tempo e non aspettate gli ultimi giorni
legendary
Activity: 1316
Merit: 1481
March 12, 2018, 01:59:54 PM
#5
procedura https://support.ledgerwallet.com/hc/en-us/articles/360001340473

articolo https://www.ledger.fr/2018/03/06/new-firmware-update-1-4-1-available-for-the-nano-s/

The cryptographic support has been widely extended. A lot of new Elliptic Curves are now supported:

  •    SEC curves (SECP384R1, SECP521R1),
  •    Brainpool Curves (P256R1, P320T1, P320R1, P384T1, P384R1, P512T1, P512R1)
  •    ANSSI Curve (FRP256V1),
  •    Edwards Curves (Ed448), and
  •    Goldilocks’s curve (Curve448).

Nel caso in cui durante l'upgrade vi si bloccasse a "Restoring MCU" non vi preoccupate. Probabilmente Windows installerà nuovi driver e sarà necessario riavviare e ricominciare la procedura. A me è successo così, ma dopo il riavvio ho eseguito l'update senza problemi
member
Activity: 98
Merit: 10
March 12, 2018, 01:48:06 PM
#4
Da 21 marzo upgrade e obligatorio. Perché non aggiungere possibilità di importare le mie private key? Per me sarebbe utile.
Una risposta officiale sul reddito
https://www.reddit.com/r/ledgerwallet/comments/82frwu/critical_flaw_in_the_nano_s_is_causing_this/?utm_source=amp&utm_medium=comment_list
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
March 12, 2018, 10:52:42 AM
#3
ma riguardo a questo allarme si sa qualcosa ? i dev hanno fatto qualche dichiarazione ufficiale ?

https://twitter.com/spudowiar/status/970977060134023168



in realtá non ho visto niente nel changelog
di consguenza penso non ci sia

da un occhio al changelog per essere giusto piu sicuro

col nuovo firmware si puo arrivare a supportare anche 18 coins contemporaneamente Cheesy
legendary
Activity: 1981
Merit: 1039
March 12, 2018, 09:56:16 AM
#2
ma riguardo a questo allarme si sa qualcosa ? i dev hanno fatto qualche dichiarazione ufficiale ?

https://twitter.com/spudowiar/status/970977060134023168

legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
March 12, 2018, 09:15:10 AM
#1
AGGIORNAMENTI
Nel caso in cui durante l'upgrade vi si bloccasse a "Restoring MCU" non vi preoccupate. Probabilmente Windows installerà nuovi driver e sarà necessario riavviare e ricominciare la procedura. A me è successo così, ma dopo il riavvio ho eseguito l'update senza problemi



https://support.ledgerwallet.com/hc/en-us/articles/115005214529-Advanced-Passphrase-options



https://www.reddit.com/r/ledgerwallet/comments/8cvf5q/firmware_update_142_now_available_for_the_ledger/

altro giro altro upgrade carino

Quote
Today we are making available firmware 1.4.2 for the Nano S. This is the latest update in our continuous work to improve the security of Ledger devices.

The release includes a series of minor but meaningful updates. As such, this update is strongly recommended for all Nano S users.

This update makes the following improvements:

    User PIN code's start number is now always randomized
    Each recovery word's first letter is now always randomized
    Improvement of the interaction between microcontroller (MCU) and secure element to remove confusing error message
    Verification & checks of installed applications
    Improved dashboard responsiveness

Details of the software update are included in our blog post, and all instructions are available in our step by step tutorial.

Note: updating from 1.4.1 doesn't require to update the MCU, so it's a much easier and smoother process.

carina la roba del pin code random e della parola random, piu sicuro
Jump to: