Bitcoin Forum

AGGIORNAMENTI

PROCEDURA
https://support.ledgerwallet.com/hc/en-us/articles/360001340473

ARTICOLO
https://www.ledger.fr/2018/03/06/new-firmware-update-1-4-1-available-for-the-nano-s/

DETTAGLI
The cryptographic support has been widely extended. A lot of new Elliptic Curves are now supported:

•    SEC curves (SECP384R1, SECP521R1),
•    Brainpool Curves (P256R1, P320T1, P320R1, P384T1, P384R1, P512T1, P512R1)
•    ANSSI Curve (FRP256V1),
•    Edwards Curves (Ed448), and
•    Goldilocks’s curve (Curve448).

PROBLEMI NOTI

---

https://support.ledgerwallet.com/hc/en-us/articles/115005214529-Advanced-Passphrase-options

---

https://www.reddit.com/r/ledgerwallet/comments/8cvf5q/firmware_update_142_now_available_for_the_ledger/

altro giro altro upgrade carino


carina la roba del pin code random e della parola random, piu sicuro

ma riguardo a questo allarme si sa qualcosa ? i dev hanno fatto qualche dichiarazione ufficiale ?

https://twitter.com/spudowiar/status/970977060134023168

in realtá non ho visto niente nel changelog
di consguenza penso non ci sia

da un occhio al changelog per essere giusto piu sicuro

col nuovo firmware si puo arrivare a supportare anche 18 coins contemporaneamente :D

Da 21 marzo upgrade e obligatorio. Perché non aggiungere possibilità di importare le mie private key? Per me sarebbe utile.
Una risposta officiale sul reddito
https://www.reddit.com/r/ledgerwallet/comments/82frwu/critical_flaw_in_the_nano_s_is_causing_this/?utm_source=amp&utm_medium=comment_list

Nel caso in cui durante l'upgrade vi si bloccasse a "Restoring MCU" non vi preoccupate. Probabilmente Windows installerà nuovi driver e sarà necessario riavviare e ricominciare la procedura. A me è successo così, ma dopo il riavvio ho eseguito l'update senza problemi

grazie per l'aggiunta, scrivo sopra nel primo topic
io dovro farlo per tutti i miei tre ledger :(


mi raccomando FATELO per tempo e non aspettate gli ultimi giorni

il fatto che sia un update obbligatorio riguarderebbe un grave bug del device che è stato fixato, il tipo del tweet sarebbe un hacker e sostiene che anche i seed siano potenzialmente compromessi e andrebbero rigenerati, il 20 marzo rilascerà un write-up riguardo a quest'argomento.

Chiarissimo, ma considera anche la difficoltà del hack. Devi pensare sempre al roi. Se costa troppo, deve valere la pena.

Non so se mi spiego. Cmq vedremo dopo cosa dirà il ricercatore d sicurezza

---

fatto upgrade proprio adesso
consiglio: togliete un po di app che vuole spazio
bisogna seguire la procedura col ledger manager.. all'avvio avrete il ledger NUDO senza app, dovrete reinstallarle a mano tutte (anche fido)

é andato a buon fine senza problemi

Per chi (tipo il sottoscritto ;D) avesse intenzione di comprarlo nuovo oggi (es. Amazon) l'upgrade va fatto oppure è già aggiornato? Perchè secondo me nel dubbio tanto vale optare per un modello differente che faccia lo stesso, che dite?

ovviamente lo trovi aggiornato
non lo comprare da amazon ne da ebay ne da altrove, compralo direttamente dal sito del produttore e solo da li
i motivi sono che avrai un device che funziona ed é affidabile senza che rischi che sia manomesso

Ho fatto l aggiornamento 
Ora non riesco piu aprire electrum con un indirizzo segwit
qualcun altro ha riscontrato lo stesso problema?

Ma se non si fa l'aggiornamento entro il 21 marzo, poi si può sempre dopo? Lo chiedo perchè sono via per lavoro da casa mia e non ho con me il ledger...

Usando l'estensione di Chrome comunque non hai problemi, vero?

Dopo il 20 marzo in pratica o aggiorni o non usi più il Ledger, quindi non preoccuparti, l'aggiornamento ti aspetta al rientro  ;D

Si dopo sarai obbligato a farlo, mentre adesso puoi posticiparlo e usarlo senza aggiornarlo
Questo vuol dire aggiornamento obbligatorio

L'importante di aggiornare in questi casi sta nel fatto che quando le vulnerabilità sono di dominio pubblico il fronte degli attacker è subito pronto a colpire. Questa regola vale su tutti i sistemi che conosciamo.

Update su problema aggiornamento: sembra che il blocco su Restoring MCU sia comune su Windows 7. Ho aggiornato il mio ledger e quello di altri due amici sui loro pc ed è successo nuovamente.

Ma per caso e' il problema che ti blocca il Ledger quando lo connetti di nuovo per installare l'aggiornamento? Se e' quello basta tenere premuto il tasto dal lato della USB prima di collegarlo, e tenerlo ancora premuto mentre lo si collega e si accende, mi e' successo giusto l'altro giorno su Mac.

confermo, bisogna tenerlo premuto per 5 secondi
ma fa parte della procedura e ti viene spiegato come fare.. appunto la procedura dei 5 secondi é spiegata quando fai l'upgrade

è un problema molto più comune di quanto pensassi e in genere l'unica vera soluzione per procedere verso i passi ulteriori è, udite udite, riavviare la macchina :D
https://www.reddit.com/r/ledgerwallet/comments/82f1sk/firmware_upgrade_stuck_at_mcu_firmware_is_outdated/

oddio, riavviare la macchina..
cmq non é scevro da problemi il backup
e poi ti BRASA tutte le app e le devi reinstallare.. ma é piú una noia che un problema (in realta potevano creare una procedura che si creava la lista di app installate, brasava tutto, e le reinstallava.. ma vabbé)

Sto cercando di aggiornare il firmware del ledger nano s, ma mi da questo errore: “UNABLE TO INSTALL OS UPDATER” Qualcuno di voi sa come aiutarmi? grazie
Ho seguito la guida ufficiale:

https://support.ledgerwallet.com/…/en…/articles/360001340473

ti consiglio di dare una occhiata al subreddit

https://www.reddit.com/r/ledgerwallet/

se non trovi risposta apri un thread agli sviluppatori, é la soluzione migliore

a me upgrade di 3 ledger non ho avuto problemi

---

eccolo
https://www.reddit.com/r/ledgerwallet/comments/85mk04/stuck_on_unable_to_install_os_updater_trying_to/

Oggi tra l'inutile fiorire di thread a vari livelli uno dei pochi dove ottenere le info migliori è il Wall Observer thread da cui ho preso questa info.
https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/
un ragazzo di 15 anni che ha messo sotto scacco la sicurezza del ledger......

sotto scacco mi pare un po' esagerato
sono cmq attacchi molto complessi e difficili da realizzare
ha fatto bene a segnalare e questo gli fara sicuramente CV (e non poco) ma in ogni caso ricordiamoci che sono si metodi per attaccare ledger, ma che necessitano di preparazione e di skills molto elevate

ergo, non ci perdi tempo se devi fotterti 0.2 btc

Sì ma serve a far capire che gli hardware wallet non so così invulnerabili come si ritiene normalmente; soprattutto non banalizzerei dicendo che sono attacchi complessi e difficili da realizzare. Ti ricordo che stiamo parlando di un ragazzo di 15 anni  :)

vedo che è stato di parola rilasciando i dettagli, fortunatamente non era roba da tutti ed avrebbe richiesto anche una certa oraganizzazione nel preparare vari device e poi venderli cosa che avrebbe potuto fare solo un distributore non ufficiale.

Il rilascio del nuovo firmware va a correggere i problemi nello specifico trovati dal ragazzo nel ledger o devono ancora essere fissati?

Il fix coregge già quei problemi la disclosure che include anche i tool per sfruttare la vulnerabilità è stata fatta settimane dopo apposta per dare tempo atutti di aggiornare.

Quando s fa una disclosure d sicurezza fatta in modo serio si fa così
In genere andrebbe un premio in denaro al ricercatore di sicurezza
O un posto se sei una ditta molto quotata

non so nel caso specifico se quelli di ledger lo abbiano premiato, quelli di trezor lo fanno c'è una piccola lederboard coi punteggi nella loro pagina https://trezor.io/security/ e Rashid è a pari merito col primo subito dietro lui c'è Bacca che è il dev di Ledger  ;D

Non ho ancora capito se il vecchio seed è a rischio, ma a guardare a occhio direi di no.

Non sembra essere a rischio, fortunatamente non era un problema riguardante la fase di generazione.

update di sicurezza alla 1.4.2 (6h fa)

sono state aggiunte piccole features che danno piu sicurezza (leggere primo post)

ovviamente l'aggiornamento é CALDAMENTE consigliato

importante la feutures che a ogni reset la prima parola del menmonic cambia

prima o dopo dovro' decidermi a comperarlo anche io anche se o poco da metterci su'. Ma se lo ordinassi adesso dal sito ledger me lo invierebbero gia' con l'ultima versione?

ovviamente si
e compralo solo ed esclusivamente dal sito originale, occhio.. se non lo compri dal sito originale o dai rivenditori autorizzati.. rischi che sia manomesso

e per cosa, risparmiare 10 euri? no, te lo sconsiglio

se vuoi comprarlo poi inviami un PM

Io l'ho comprato da Amazon, perchè mi arrivava subito e mi è arrivato in scatola cellofanata (ok questo non vuol dire niente...).

Dici che ho fatto una sciocchezza? Al momento l'ho uso da un pò senza problemi. Ho però letto attentamente le istruzioni e non puoi essere fregato, infatti è la Ledger stessa (non io) che dice che non mette un sigillo di garanzia per l'apertura della scatola perchè non serve. Cioè una volta che fai la procedura da zero, mettendo il tuo PIN e in particolare creando il tuo seed di 24 parole (procedura da fare all'inizio obbligatoriamente), questo è resettato ex-novo a livello hardware nel chip. Se qualcuno lo avesse manomesso non ti farebbe fare la procedura di generazione seed.

Spulciando in internet, infatti ho visto che sono stati fregati gli utenti solo in questo modo: comprando da ebay, arrivava la scatola pronta e chiusa, da persone che l'avevano già presa in precedenza, con un foglio sul modello gratta e vinci da grattare le parole con il seed già preimpostato (da genio del crimine, non c'è che dire questa strategia!!!), quindi i ladri avendo anche loro il seed, hanno potuto rubare quando volevano indisturbati tutto il malloppo!

si esatto, avevo letto anch'io che usavano questo stratagemma per fregare le crypomonete con ledger nano s gia' predisposto. Come sempre bisogna dubitare di tutto.

Geni del male ! Per evitare fregature è sempre meglio controllare che arrivi tutto ben sigillato e ordinare il prodotto direttamente dal sito. Qualcuno ha avuto modo di aggiornarlo usando OSX?

Io preso direttamente dal sito del produttore. Ho letto la stessa cosa. Tuttavia, non ci sono mai certezze.

Ho trovato un articolo in rete a riguardo (in inglese, se volete posso tradurlo io stesso):


La cosa che mi preoccupa e' il riferimento all'attacco remoto.

Il link all'articolo qui

Anch'io ho preso sia il ledger che il trezor dal sito del produttore. Pur tuttavia, come è stato sopra ricordato, è la stessa ledger a ricordare che non è possibile manipolarti il device prima che tu ne vieni in possesso, per cui non protegge neanche con sigilli particolari la confezione stessa.

Poi niente è sicuro a sto mondo, però è pur vero che non sono a conoscenza che la sicurezza di un Ledger sia mai stata violata, almeno finora.

L'articolo che tu fai riferimento sono vulnerabilità scoperte mesi fa da Saleem Raschid, uno sviluppatore (anzi un ragazzino mi pare, ma un genio dell'informatica), che le ha svelate pubblicamente a marzo. Tra l'altro in questo modo rinunciando (se non dico una sciocchezza), anche al premio messo in palio dalle Ledger stessa per chi trova vulnerabilità ai loro prodotti (c'è un anti-disclosure).

Si tratta di attacchi estramamente complessi e di difficile implementazione, ma possibili (vabbè io non sono un esperto informatico, riporto solo le info). Qua l'articolo originale di Saleem:

https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/ (https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/)

Grazie alle sue scoperte, è stato rilasciato dalle Ledger l'aggiornamento 1.4 (quello di cui stiamo parlando qua) che dovrebbe avere risolto queste potenziali vulnerabilità...

Ragazzi, sereni... scialli, tranquilli
Fino ad oggi nessun trezor o legder sono stati violati
È più facile minacciare il possessore e farsi dare le chiavi private.. Come è già successo

era capitato che un truffatore vendesse i ledger già settati con un finto foglietto ufficiale col seed scritto sopra, un attacco di pura social engineering che punta sulla poca esperienza dell'utente, in quel caso per aprire la scatola avrebbero dovuto rompere il sigillo, proprio inutile non sarebbe stato.

Sì, il tizio ha acquistato il ledger su Amazon...da evitare.
A proposito, poco fa ho acquistato un ledger nano s dal sito ufficiale, quanto tempo ci mette ad arrivare?
Grazie in anticipo

te lo dice quando lo compri
qualsiasi sia il tempo, meglio evitare di comprare da rivenditori NON ufficiali, troppo rischioso

Ok grazie, sono in attesa della convalida del mio pagamento. Concordo per gli acquisti ufficiali sui siti ufficiali ;-)

Sono d'accordo, capisco che da un lato possano giocare sulla mancanza del sigillo per far vedere quanto credano nel loro prodotto, però penso anche che visto quello che c'è in gioco dovrebbe davvero essere tutto a prova di noob, non bisogna dare nulla per scontato.

vi raccomando nuovamente di acquistare solo dallo store ufficiale.
proprio ieri parlavo con un mio conoscente che è una capra come conoscenza informatica e stava per acquistare un ledger da un venditore che aveva postato un annuncio su subito.
in pratica vendeva ledger nuovi sottocosto "già configurati e pronti all'utilizzo", te lo portavi a casa con circa 30€
si, il problema è che appunto essendo già configurati, lui era in possesso della chiave impostata e tra qualche mese/anno avrebbe ripulito il tutto.
ho chiesto il link dell'annuncio a questo mio conoscente, ma sembrerebbe non esserci più al momento.

Esatto questo è il modus operandi dei truffatori da due soldi
Un truffatore più advanced potrebbe fare anche altro

In ogni caso è facile, basta comprare dai rivenditori ufficiali

Potrebbe fare una cosa del genere:


https://pbs.twimg.com/media/DdJ-6YaX4AML5Ck.jpg

https://twitter.com/FlyGuyInTheSky/status/995998044565975040

Io francamente comunque rimango sempre basito a leggere cose del genere. Spero che il tuo conoscente abbia soldi da buttare per permettersi tanta superficialità su un argomento cosi delicato, qui pare che per molta gente questo sia solo un gioco, mah...

Hahaha ho riso mezz'ora, genio chi ha fatto sto tweet tra il serio e il faceto

Purtroppo chi sta gente che lo fa sul serio, ad esempio con i biglietti dell'aereo, che nel barcode indicano tante informazioni

Si, tutto vero. E' sempre meglio comprare dai store ufficiali. Ma come avevo scritto sopra non è possibile finora fregarti i soldi dal ledger lato hardware e software ovunque lo compri, anche se lo comprassi dal marocchino per strada. Questo perchè (loro spiegano) ha una protezione hardware almeno finora inattaccabile, per cui se imposti TU il seed che ti chiede fin dall'inizio non fa nessuna differenza.

Il rischio è se un newbie cade in uno scam di social engineering, come qualcuno ha riportato vari esempi sopra. Il più diabolico era quello del seed già impostato e con il foglietto da grattare le parole dalla patina con la monetina come nei gratta e vinci!

OT
Si sarò ispirato a quei super furbi che pubblicano la foto (fronte e retro) della propria carta di credito

Tempo fa @NeedADebitCard aveva raccolto un bel pò di foto https://twitter.com/NeedADebitCard

No ma la pagina Twitter con tutte le foto delle varie carte di credito e debito è fake, vero? La gente non può essere cosi stupida, mi rifiuto di crederlo  :o

Ciao, ho un problema molto grave, vi prego aiutatemi.

Ho cercato di aggiornare il mio ledger nano s (1.4.2 firmware ledger nano s).

Ho aperto ledger live, però, ad un certo punto mi compare la scritta sul ledger update e ho aspettato piu' di 1 ora ma non succede niente.

Ho provato a disinstallare ledger live, cambiare presa usb ma niente...



Cosa devo fare???

Secondo voi ho perso le mie cripto?


grazie mille

Puoi sempre fare un factory reset, ricordati che anche se la chiavetta si rompe ma hai il seed puoi generare le chiavi private ed indirizzi relativi anche senza.

Sul Ledger fisicamente non c'è nessuna moneta, stanno tutte nelle rispettive blockchain. Sul Ledger ci sono le chiavi private (dei relativi indirizzi) che attestano il possesso di quelle monete.
Come ti hanno suggerito, puoi fare un factory reset del Ledger e poi, al primo avvio, fare un recovery del tuo/tuoi wallet inserendo esattamente il SEED che ti eri messo bene (spero!) da parte.
Potrebbe essere un problema di spazio libero che non hai sul Ledger e che ti impedisce di portare a termine correttamente l'update.

PS: il SEED è l'elenco delle 24 parole come vedi nella foto poco più su. Dovresti averlo anche tu quel foglietto con le tue parole che costituiscono il tuo SEED.  No SEED, no coin.

Calma
Se hai il seed non hai perso nulla
Disinstalla tutte le app.. tutte


Esegui il firmware upgrade, ci mette un po.. ma non un ora
Reinstalla tutto


È essenziale che tu cancelli TUTTE le app, xche serve spazio

Avevo sentito che la disinstallazione delle app non ottimizzava bene la liberazione dello spazio: per questo ho suggerito una ripartenza "pulita". ;)

Io ho sempre installato gli aggiornamenti semplicemente cancellando le app.

si questa e la strada migliore cancellare tutte le app(forse anche resettare) per liberare spazio e poi aggiornare e riinstallare tutto

ora che ci penso forse era capitato anche a me lo stesso problema, almeno, ho qualche vado ricordo di aver armeggiato con il ledger dopo che lamentava della mancanza di spazio, non sono sicuro se fosse durante un firmware upgrade o durante l'aggiunta in un app per un nuovo wallet. Comunque niente di catastrofico.

cancellare le app (e non resettare) e' la procedura che ho seguito io e che ha funzionato
poi beh, liberi di testare col reset

postate qui se tutto e' andato a buon fine, cosi lo sappiamo (e puo sempre tornare utile)

grazie

Ma con reset intendete riportarlo alme impostazioni di fabbrica e reinserire il seed ogni volta? Se fosse così, a me sembra una follia, che voglia avete di scrivere con i pulsantini?!  ;D

Perché follia? almeno una volta nella vita quella procedura dovrebbe essere provata per non dover morire d'infarto quella volta che sei costretto a farlo di corsa per necessità: avresti il doppio dell'ansia se non avessi già provato un restore in precedenza. ;)

Ma difatti l'ho provato la primissima volta a reinserire tutto e assicurarmi che fosse a posto, ma non lo farei mai all'uscita di ogni singolo update, troppo sbatti inutile secondo me. Poi ovviamente ognuno è libero di fare come vuole, ma continuo a non capirne l'utilità.

Perché ogni volta che esce un update? Io approfitterei di farlo questa ed una volta, quando si hanno problemi proprio di questo tipo, quasi sicuramente di spazio. ;)

L'utilità? Sono 2:

1) reinizializzi il Ledger Nano S ottimizzandone lo spazio (dopo svariati update);
2) dimezzi l'ansia (avendo già fatto esperienza) e non perderesti tempo nelle ricerche e nelle domande nel caso in cui ti capitasse in un momento tragico.

Beh se hai il seed non c'è d'avere paura
Quindi, direi che è solo un altro modo

Io non ho avuto paura, solo scocciato x il tempo perso