Nano Ledger S iskustva

[Pmalek]

Upgrejdaj se na Ledger X i neces imat takvih problema.
Mislim da mozes uz eth i btx jos cca 100 appova stavit na njega. Roka ko blesav

Stvar je u tome da mi ne treba. Nemam mnogo altcoina a da mi neko pištolj stavi na čelo nisam siguran da bi mogao nabrojati 100 različitih altcoina da sebi spasim život.

Nano X mi se ne sviđa zbog Bluetooth konekcije. Gledam na taj Bluetooth kao na jedan dodatni vektor napada koji bi se mogao nekad u budućnosti zloupotrijebiti za pristup uređaju. Svi tvrde da je siguran, da je to nemoguće, ali sve je nemoguće dok jedan dan ne postane moguće pa se svi pitaju kako. Chip u Nano X je nešto noviji i sigurniji od onog u Nano S, jel tako dkbit98? Sjećam se nekih starijih članaka u kojim je objašnjeno da bi Nano X u praksi bilo teže napasti. Malo veći i kvalitetniji ekran mi za sad nije razlog za upgrade.

[1714195679]

1714195679

[1714195679]

1714195679

[1714195679]

1714195679

[Trofo]

Nano X mi se ne sviđa zbog Bluetooth konekcije. Gledam na taj Bluetooth kao na jedan dodatni vektor napada koji bi se mogao nekad u budućnosti zloupotrijebiti za pristup uređaju. Svi tvrde da je siguran, da je to nemoguće, ali sve je nemoguće dok jedan dan ne postane moguće pa se svi pitaju kako.

Doslovno ovo sam napisao kada smo prvi put razgovarali negdje o Nano x. Ako ti ne treba dodatni način konekcije puno bolje ga je i ne imati. Plaćaš ga više a jednog dana netko ga može iskoristiti protiv tebe. Još je i bežično što znači da ti netko ne treba ni fizički pristup uređaju. Ne hvala šta se mene tiče.

[dkbit98]

Chip u Nano X je nešto noviji i sigurniji od onog u Nano S, jel tako dkbit98?

Ledger NanoS ima ST31H320 secure element chip, a Ledger NanoX ima noviji ST33J2M0 chip koji ima bolji procesor, veću RAM memoriju i neka druga poboljšanja, ali oba su closed source, imaju potpisan NDA ugovor sa Ledgerom i mogu imati neki skriveni backdoor.
Mislim da je Bluetooth konekcija za hardverski novčanik rizična glupost i ja to ne bi koristio, mnogo bolja je komunikacija uredjaja QR kodovima ali ni to nije savršeno.

[slackovic]

A to da je Ledger napravljen za čuvanje 2-3 kriptovalute se ne slažem. Istina, Nano S ima malo memorije ali nitko ti ne brani da obrišeš npr. Polkadot wallet nakon što na njega pošalješ DOT. Nakon što odlučiš prodati DOT s tog walleta, samo ga ponovo instaliraš na uređaj i nema problema. Wallet je uvijek isti bez obzira koliko puta ga instaliraš i obrišeš s uređaja.

Meni je zapravo jedini problem Nano S uređaja što BTC i ETH walleti moraju biti instalirani da bi mogao instalirati neke druge wallete, a neki od njih su onda preveliki da ih instaliraš uz BTC i ETH wallet.

Kako možeš reć da ledger nije napravljen kao uređaj za čuvanje 2-3 kriptovalute ako si svjestan svega ovoga drugog što si napisao? Priznajem, možda bi bilo ispravnije napisati zamišljen ili projektiran umjesto napravljen.

Pa što ti to ne izgleda kao užasno loša poslovna odluka da smšljaš proizvod na kojem će netko čuvati 50 kriptovaluta i daš mu memorije samo za dve tri? Meni je to ko da prozvedeš auto koji reklamiraš kao limuzinu za dugačka putovanja i daš mu rezervar za domet od 60 km. Ionako imaš benzisku svakih 50km pa nek ljudi toče a tako su potrošnja i vozne karakteristike bolji jer je auto lakši.

Ja na Ledger wallet gledam kao na podrum u kući. Napraviš ga da imaš gdje ostaviti par stvari, a onda u njega nakrcaš stvari koje ćeš možda nekad u budućnosti koristiti i nije ti bitno da su ti dostupne odmah. Tako i Ledger - stavim na njega kriptovalute koje ću držati duže vrijeme i ne trebaju mi biti na dohvat ruke. Za to imam mobilni wallet. Kad nakon X godina ili mjeseci želim koristiti kriptovalutu spremljenu na Ledgeru, nije mi problem obrisati neki postojeći wallet i instalirati wallet kriptovalute koju trebam.
Slažem se da to možda nije najbolja poslovna odluka ali sigurno postoji neko racionalno objašnjenje iza nje. Sumnjam da su razmišljali na način - ajmo zeznuti korisnike i ograničiti harverski wallet na samo 2-3 walleta istovremeno.

[btcltcdigger]

Nano X mi se ne sviđa zbog Bluetooth konekcije. Gledam na taj Bluetooth kao na jedan dodatni vektor napada koji bi se mogao nekad u budućnosti zloupotrijebiti za pristup uređaju. Svi tvrde da je siguran, da je to nemoguće, ali sve je nemoguće dok jedan dan ne postane moguće pa se svi pitaju kako.

Doslovno ovo sam napisao kada smo prvi put razgovarali negdje o Nano x. Ako ti ne treba dodatni način konekcije puno bolje ga je i ne imati. Plaćaš ga više a jednog dana netko ga može iskoristiti protiv tebe. Još je i bežično što znači da ti netko ne treba ni fizički pristup uređaju. Ne hvala šta se mene tiče.

Bluetooth treba prvo upaliti na samom device-u da bi postao vektor napada. Znaci po defaultu ko da ga ni nema.
Meni osobno je X cak i fizicki ljepsi od S, tako da sam vise nego zadovoljan

[Lucius]

Bluetooth treba prvo upaliti na samom device-u da bi postao vektor napada. Znaci po defaultu ko da ga ni nema.
Meni osobno je X cak i fizicki ljepsi od S, tako da sam vise nego zadovoljan

Ma taj BT se potpuno krivo posvuda navodi kao jedna od losih strana modela X, ali ako uredaj koristis za desktop konekciju gdje je jedino i moguca zicna veza, onda taj vektor napada uopce nema smisla. Osim toga domet BT bi trebao biti oko 10 metara (tako barem kazu sluzbeno), pa bi napadac trebao biti stvarno blizu uredjaju da bih uopce nesto pokusao.

Nano X je definitivno ljepsi sto se tice dizajna, ovdje sam napravio malu usporedbu sa Nano S kada sam ga kupio, a osim toga meni je osobno i puno ugodniji za rad zbog vecega ekrana sto znaci da u odnosu na Nano S vidite cijelu adresu odjednom umjesto razlomljenu u cak 3 dijela.

Najbolji primjer koliko to moze biti korisno vidljiv je ovdje, a netko neoprezan bi vrlo lako mogao ne primjetiti da jedan znak iz adrese nedostaje (naravno bio je to bug sa Doge i Nano S).


Za one koji koriste Ledger Live na Windows je bitna informacija da verzija Ledger Live 2.29.0 ne prolazi kroz automatski update, te ju treba skinuti izravno sa Ledger stranice - link i obavijest se nalazi u Ledger Live (kliknuti na News (zvono) gore desno). Vise informaicja mozete procitati ovdje.

[casperBGD]

~snip

Ma taj BT se potpuno krivo posvuda navodi kao jedna od losih strana modela X, ali ako uredaj koristis za desktop konekciju gdje je jedino i moguca zicna veza, onda taj vektor napada uopce nema smisla. Osim toga domet BT bi trebao biti oko 10 metara (tako barem kazu sluzbeno), pa bi napadac trebao biti stvarno blizu uredjaju da bih uopce nesto pokusao.

slazem se da BT ne bi trebao biti preveliki vektor napada, ali preciznosti radi, domet BT5.0 je oko 200 metara, a BT4.2 ima oko 60 metara (ne znam koju verziju podrzava model X)
sto dovodi do toga da napadac i ne mora biti bas tako blizu, odnosno ne mora biti u istom objektu gde je ledger da bi izvrsio napad, a to je bitna razlika u odnosu na 10 metara, gde prakticno morate biti u istoj prostoriji (pretpostavka je da neces izvaditi ledger X na livadi da bi napravio transakciju, nego u stanu/kuci)

[Trofo]

Daleko sam od stručnjaka za bluetooth tehnologiju ali prilično sam siguran da dometi i ograničenja koje ima naš mobitel ili ledger nisu zapisani u kamenu. Bluetooth je tehnologija remote pristupa i sada mi automatski računamo da nije uključena kada mi to ne želimo. Ja ne bi dao ruku u vatru kao ni za kameru na mobitelu ili laptopu. Nije poanta koliko je realan vektor napada, poanta je da on definitvno postoji. Meni osobno bluetooth nije potreban jer HW koristim rijetko tako da biram uređaj bez njega makar to značilo samo 0.0001% veću sigurnost.

Druga stvar, da li se sjećate push notifikacija preko bluetootha, ili kako se to već zove? Tada je aktualna bila neka starija verzija a svejdno ste mogli dobiti poruku s puno više od 10 metara udaljenosti. To je naprimjer koristio cinestar kod nas za nagradne igre za vrijeme projekcije dok sam vani čuo za primjere cijelih trgovačkih centara. Ne vjerujem da su imali odašiljače svakih 10 metara već mislim da su jednostavno imali neki puno jači odašiljač. Možda sam rekao glupost i tehnologija to jednostavno ne podržava ali meni je to puno logičnije objašnjenje.

Dosta off topic ali sam htio spomenuti. Jedan od napada na mobitele i ostale uređaje na koje pristupamo preko 3G/4G/5G je instaliranje dodatnog tornja npr. na aerodromu. Kada čovjek izađe iz aviona i uređaj počne tražiti signal automatski pokupi signal s tog tornja koji ga onda dalje preusmjerava na već neku mobilnu mrežu. To ne može napraviti običan haker ali obavještajne službe rade već odavno a korisnici nemaju pojma. Ja volim misliti da im nisam zanimljiv ali svejedno svi ti podaci ostanu negdje zapisani garant. Prostor je danas prokleto jeftin a informacije vrijede sve više. Doza zdrave paranoje ne može štetiti.

[sbogovac]

Daleko sam od stručnjaka za bluetooth tehnologiju ali prilično sam siguran da dometi i ograničenja koje ima naš mobitel ili ledger nisu zapisani u kamenu. [...] Možda sam rekao glupost i tehnologija to jednostavno ne podržava ali meni je to puno logičnije objašnjenje.

Cuj, treba se pridrzavati jednoj jednostavnoj formuli:

rizik == sansa (da se nesto desi) x efekat (kada se to desi)

Znaci koliko god mala sansa da se nesto desi, ako je efekat jako velik mozda bi trebali dobro da razmislimo dali cemo se pridrzavati nekim pristupom ili drugim. I obrnuto (ako je efekat jako mal onda nije toliko bitna kolika je sansa da se to desi).

[...] Dosta off topic ali sam htio spomenuti. Jedan od napada na mobitele i ostale uređaje na koje pristupamo preko 3G/4G/5G je instaliranje dodatnog tornja npr. na aerodromu. Kada čovjek izađe iz aviona i uređaj počne tražiti signal automatski pokupi signal s tog tornja koji ga onda dalje preusmjerava na već neku mobilnu mrežu. To ne može napraviti običan haker ali obavještajne službe rade već odavno a korisnici nemaju pojma. Ja volim misliti da im nisam zanimljiv ali svejedno svi ti podaci ostanu negdje zapisani garant. Prostor je danas prokleto jeftin a informacije vrijede sve više. Doza zdrave paranoje ne može štetiti.

Svi telecom tornjovi u EU jednostavno se moraju pridrzavati 'legal intercept' dogovorima; to znaci sahranjivanje svih podataka za jedno (minimalno) odredjeno vrijeme, predavati te podatke ako oficijalna sluzba ih zatrazi u nekom (maksimalnom) roku, i nakon odredjenog (maksimalnog) vrijemena ponistavanje tih istih podataka. To je sto smo se jednostavno dogovorili u EU.

[Trofo]

Cuj, treba se pridrzavati jednoj jednostavnoj formuli:

rizik == sansa (da se nesto desi) x efekat (kada se to desi)

Znaci koliko god mala sansa da se nesto desi, ako je efekat jako velik mozda bi trebali dobro da razmislimo dali cemo se pridrzavait nekim pristupom ili drugim. I obrnuto (ako je efekat jako mal onda nije toliko bitna kolika je sansa da se to desi).

Potpuno potpisujem, napisao si to puno jednostavnije nego što bi ja, ali to je baš poanta svega. Moj hot wallet na mobitelu čak nema ni password kao ni sam mobitel ali na njemu nikada nema više od 200-300$ i rijetko kada duže jednog dana. To je rizik koji sam bez problema spreman preuzeti dok rizik da mi netko pristupi cold storage walletu i to čak dok on stoji u ladici ili sefu ma kako nevjerojatan bio, ne želim preuzeti.

[Lucius]

Daleko sam od stručnjaka za bluetooth tehnologiju ali prilično sam siguran da dometi i ograničenja koje ima naš mobitel ili ledger nisu zapisani u kamenu. Bluetooth je tehnologija remote pristupa i sada mi automatski računamo da nije uključena kada mi to ne želimo. Ja ne bi dao ruku u vatru kao ni za kameru na mobitelu ili laptopu. Nije poanta koliko je realan vektor napada, poanta je da on definitvno postoji. Meni osobno bluetooth nije potreban jer HW koristim rijetko tako da biram uređaj bez njega makar to značilo samo 0.0001% veću sigurnost.

Ja ne vjerujem da je bilo koji uredjaj 100% otporan na hakiranje pa tako sigurno nije niti Ledger X. Ali kada se radi o hakiranju preko BT onda su sanse zaista minimalne cak i ako je BT ukljucen i radimo transakcije. Privatni kljucevi niti u tome slucaju ne putuju BT vezom kao niti bilo kakvi osjetljivi podaci koji bi hakeru mogli omoguciti da dodje u priliku da hakira samo srce uredjaja koje se zove Secure Element.

Cak i u slucaju da haker uspije hakirati BT i doci u situaciju da vam ubaci nekakav malware koji bi mogao utjecati na transakcije, svaki korak bi i dalje zahtjevao da ga odobrite pritiskom na fizicku tipku - sto je jedna od najvecih osiguranja koje vam pruza ovakav uredjaj.

Za one koje zanima kako cijela stvar zapravo funkcionira postoji vrlo detaljno objasnjenje oko sigurnosti BT koji je implementiran u X.

https://www.ledger.com/ledger-nano-x-bluetooth-security-model-of-a-wireless-hardware-wallet