igor72
Legendary
Offline
Activity: 1974
Merit: 2064
Crypto Swap Exchange
|
|
November 15, 2019, 09:20:23 PM |
|
Я про то что обмануть железку проще. Спорный вопрос. Значит и фиш для неё видимо проделать проще. Фишинг - это социальная инженерия, атака на пользователя (обман, провокация), а не на софт. допустим какой-то железке надо зайти на некий сайт чтоб автообновиться. Железки, о которых мы говорим, ни на какой сайт не пойдут без ведома пользователя, об этом позаботились. Никакой. Тут одинаковый домен везде (getmonero.org), префикс в данном случае значения не имеет, это всё - хозяйство владельца getmonero.org "их переехали", значит им надо как-то разослать железкам новую инструкцию куда ходить за прошивкой - и подменить её хацкерам будет видимо проще простого.. если они уже имеют "фейковый" сайт - то вот и фишинг + исходники у трезораТ открыты --> любой может его приучить опознавать левую подпись и заходить на левые сайты ? (он же это на автомате перешивается? а вручную на компе с антивирусом нельзя.. но в трезор антивирус не встроен..) Насколько я понимаю, как там устроено, то не получится приучить признавать левую подпись. Вы можете программатором перепрошить микроконтроллер чем угодно, но тогда вас в веб-интерфейс трезора не пустит. С леджелом не знаю как там .. но интересно на будущее, особенно с новым X
Примерно так же, но осложнено еще закрытой прошивкой.
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
November 15, 2019, 10:13:19 PM |
|
С леджелом не знаю как там .. но интересно на будущее, особенно с новым X
Примерно так же, но осложнено еще закрытой прошивкой. https://yandex.ru/ закрытой прошивкой леджераhttps://xakep.ru/2018/03/22/ledger-backdoor/профессор криптографии из Университета Джонса Хопкинса, Мэтт Грин (Matt Green), дал следующий комментарий изданию ArsTechnica: «[Разработчики] Ledger пытаются решить фундаментальную аппаратную проблему. Им нужно проверять прошивку, работающую на процессоре. Но их защищенный чип не способен увидеть код, запущенный на этом процессоре. Поэтому они вынуждены просить процессор предоставить собственный код! Но это замкнутый круг, так как данный процессор может работать с недобросовестным кодом, и следовательно, его ответам нельзя верить. Это все равно, что попросить человека, который может быть преступником, предоставить все данные о криминальном прошлом: система, построенная на доверии». вот жеж у них не только "закрытый чип" но и "закрытая прошивка" оказывается.. совсем избаловались баловни судьбы лягушатнички )) гоп-стоп от гопкинса они преодолели в новом Х интересно yandex.ru/ "Matt Green" ledger _site:bitcointalk.orgg
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2064
Crypto Swap Exchange
|
|
November 16, 2019, 04:24:34 AM |
|
гоп-стоп от гопкинса они преодолели в новом Х интересно
Какой гоп-стоп? В Nano X все устроено примерно так же, как и в Nano S. В архитектуре отличие в том, что кнопки с экраном подключены к секьюрному чипу, а не к обычному - это, по идее, дает большую взломоустойчивость. А так все похоже - два микроконтроллера ST, закрытая операционка BOLOS.
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
November 16, 2019, 06:23:28 AM Last edit: November 16, 2019, 06:48:19 AM by Dimenzino |
|
Какой гоп-стоп? закрытая операционка BOLOS пардон, не гопкинса а хопкинса . цитату же привёл https://yandex.ru/закрытая операционка BOLOSдаа... а теперь ещё и штеуд со своими вкладышами подключился.. так что концов не найти если денежки уплывут оне будут кивать друг на дружку..
|
|
|
|
tenant48
|
|
November 16, 2019, 06:25:10 AM |
|
С аппаратными кошельками нужно просто быть внимательным, всегда проверять адрес домена к которому подключен, а также на самом кошельке проверять адрес куда отправляются средства. Меня больше беспокоит, что может выйти очередное обновление прошивки с небольшим багом и сдача улетит на неправильно просчитаный адрес от которого не существует привратника. Такое в истории уже было. Поэтому никогда сразу не ставлю свежую прошивку.
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
November 16, 2019, 06:49:45 AM |
|
может выйти очередное обновление прошивки с небольшим багом и сдача улетит на неправильно просчитаный адрес от которого не существует привратника. Такое в истории уже было. Поэтому никогда сразу не ставлю свежую прошивку. точняк.. глюки новых версий любого софта иногда чудовищны.. а что было ?
|
|
|
|
naska21
|
|
November 16, 2019, 07:46:57 AM |
|
Кто-то уже смог обновить прошивку, если надпись не появлялась? Пробовал выключать кошелек, Ledger Live - ничего не помогло. На Ledger Live пароль установлен? Попробуйте поставить если его нет, закрыть окно и опять подключиться.
|
|
|
|
madnessteat
Legendary
Offline
Activity: 2380
Merit: 2178
|
|
November 16, 2019, 07:50:48 AM |
|
Кто-то уже смог обновить прошивку, если надпись не появлялась? Пробовал выключать кошелек, Ledger Live - ничего не помогло. На Ledger Live пароль установлен? Попробуйте поставить если его нет. Да, пароль установил изначально. Полагаю, что нужно пробовать обновлять раз в неделю и следить за Твиттером Ledger.
|
| Duelbits | ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ | | TRY OUR UNIQUE GAMES! ◥ DICE ◥ MINES ◥ PLINKO ◥ DUEL POKER ◥ DICE DUELS | | | | █▀▀ █ █ █ █ █ █ █ █ █ █ █ █▄▄ | ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ | ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ | ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ | ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ | ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ | | ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀ KENONEW ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ | ▀▀█ █ █ █ █ █ █ █ █ █ █ █ ▄▄█ | | 10,000x MULTIPLIER | | ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ | | ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ |
[/tabl
|
|
|
naska21
|
|
November 16, 2019, 07:56:54 AM |
|
Кто-то уже смог обновить прошивку, если надпись не появлялась? Пробовал выключать кошелек, Ledger Live - ничего не помогло. На Ledger Live пароль установлен? Попробуйте поставить если его нет. Да, пароль установил изначально. Полагаю, что нужно пробовать обновлять раз в неделю и следить за Твиттером Ledger. Тогда не знаю, я то всегда обновляться не спешу и жду пока все баги исправят если они есть. Если найдете решение, то отпишитесь здесь.
|
|
|
|
Kepasa
Legendary
Offline
Activity: 1848
Merit: 1014
|
|
November 16, 2019, 08:12:30 AM |
|
У меня тоже не предлагает на Леджере нано S нигде обновиться до 1.6, искал и на Ledger Live и в менюшке самого кошелька. Есть просмотр версии и там и там, а обновиться то как? Или не париться по этому поводу особо, работает и не торожь...
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2064
Crypto Swap Exchange
|
|
November 16, 2019, 08:25:25 AM |
|
На Ledger Live пароль установлен? Попробуйте поставить если его нет, закрыть окно и опять подключиться.
Каким образом это может помочь? Там же дело не в локальных проблемах. У меня тоже не предлагает на Леджере нано S нигде обновиться до 1.6, искал и на Ledger Live и в менюшке самого кошелька. Есть просмотр версии и там и там, а обновиться то как? Или не париться по этому поводу особо, работает и не торожь...
Парься-не парься - толку не будет, когда очередь дойдет, тогда и кнопка появится. IeSua выше все правильно объяснил. Там, скорее всего, очередь привязана к серийному номеру и/или версии установленной прошивки. С аппаратными кошельками нужно просто быть внимательным, всегда проверять адрес домена к которому подключен, а также на самом кошельке проверять адрес куда отправляются средства. Меня больше беспокоит, что может выйти очередное обновление прошивки с небольшим багом и сдача улетит на неправильно просчитаный адрес от которого не существует привратника. Такое в истории уже было. Поэтому никогда сразу не ставлю свежую прошивку.
А когда такое было? Насчет установки свежих прошивок можно согласиться. Но в данном случае было расширенное тестирование, так что можно считать, что пару неделек прошивку уже погоняли.
|
|
|
|
tenant48
|
|
November 16, 2019, 10:12:13 AM |
|
точняк.. глюки новых версий любого софта иногда чудовищны.. а что было ?
А когда такое было? Насчет установки свежих прошивок можно согласиться. Но в данном случае было расширенное тестирование, так что можно считать, что пару неделек прошивку уже погоняли.
Было гдето в новостях примерно год назад. Ledger плохо протестировал прошивку и сдача улетала на неправильно сгенерированый адрес, это касалось какой-то малоизвестной монеты. Но от этого никто не застрахован, это может произойти с любым кошельком, теоретически, даже само железо в кошельке может глюкануть.
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2064
Crypto Swap Exchange
|
|
November 16, 2019, 10:26:00 AM |
|
А когда такое было? Насчет установки свежих прошивок можно согласиться. Но в данном случае было расширенное тестирование, так что можно считать, что пару неделек прошивку уже погоняли.
Было гдето в новостях примерно год назад. Ledger плохо протестировал прошивку и сдача улетала на неправильно сгенерированый адрес, это касалось какой-то малоизвестной монеты. Единственное, что могу припомнить, это случай с "потерянными" 1680 XMR, не его имеете в виду? Но там дело, кажется, не в прошивке было. Но от этого никто не застрахован, это может произойти с любым кошельком, теоретически, даже само железо в кошельке может глюкануть. Можно сделать мультиподписной кошелек, там многие баги/глюки проявятся до отправки транзакции. И от уязвимостей/бэкдоров спасает.
|
|
|
|
tenant48
|
|
November 16, 2019, 10:38:37 AM |
|
А когда такое было? Насчет установки свежих прошивок можно согласиться. Но в данном случае было расширенное тестирование, так что можно считать, что пару неделек прошивку уже погоняли.
Было гдето в новостях примерно год назад. Ledger плохо протестировал прошивку и сдача улетала на неправильно сгенерированый адрес, это касалось какой-то малоизвестной монеты. Единственное, что могу припомнить, это случай с "потерянными" 1680 XMR, не его имеете в виду? Но там дело, кажется, не в прошивке было. Но от этого никто не застрахован, это может произойти с любым кошельком, теоретически, даже само железо в кошельке может глюкануть. Можно сделать мультиподписной кошелек, там многие баги/глюки проявятся до отправки транзакции. И от уязвимостей/бэкдоров спасает. Вполне возможно что имено этот случай, но у меня тогда еще небыло Ledger и я не сильно вникал в эту проблему, но приблизительный смысл запомнил.
|
|
|
|
madnessteat
Legendary
Offline
Activity: 2380
Merit: 2178
|
|
November 16, 2019, 04:50:51 PM |
|
~ Если найдете решение, то отпишитесь здесь.
Зашел проверить, кнопка появилась. Обновился успешно до 1.6.
|
| Duelbits | ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ | | TRY OUR UNIQUE GAMES! ◥ DICE ◥ MINES ◥ PLINKO ◥ DUEL POKER ◥ DICE DUELS | | | | █▀▀ █ █ █ █ █ █ █ █ █ █ █ █▄▄ | ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ | ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ | ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ | ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ | ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ ███ ▀▀▀ | | ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀ KENONEW ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ | ▀▀█ █ █ █ █ █ █ █ █ █ █ █ ▄▄█ | | 10,000x MULTIPLIER | | ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ | | ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ ██ |
[/tabl
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
|
|
November 16, 2019, 06:16:23 PM |
|
вот жеж у них не только "закрытый чип" но и "закрытая прошивка" оказывается.. совсем избаловались баловни судьбы лягушатнички ))
Я об этом уже не раз писал раньше. Леджер - это корпорация, и у него partly free код, тоесть частично открыт, а частично нет. А за чип не стоит переживать, там если и есть бэкдоры, то не Леджера, а АНБ. Так как производитель SMelectronics это амерская компания которая может сидеть на игле понятно у кого.
|
|
|
|
frozenJoker
Copper Member
Jr. Member
Offline
Activity: 231
Merit: 3
|
|
November 16, 2019, 06:23:49 PM |
|
в который раз я убедился что обновяты Леджер надо не сразу а через некоторое время. Там даже на сайте пишет не спешить обновятись, так как все сразу начинают обновятись и сервер начинает глючить
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
November 17, 2019, 12:54:19 AM |
|
производитель SMelectronics это амерская компания которая может сидеть на игле понятно у кого. да хоть какая компания.. они там как всегда накуролесят-нахапают столько что начинают рассыпаться на отдельных индивидуумов из-за зависти и особенно из-за битко-крипто-новинок типа аппаратников тут обсуждаемых https://kiwibyrd.org/2013/09/14/414/Любая большая организация и вообще всякая многочисленная общность людей – по некоторым прикидкам, начиная с количества примерно в 1 тысячу человек – обретает своего рода «коллективное сознание» и начинает вести себя как живое существо. Лучше всего это видно на бюрократических организациях, при таком числе сотрудников превращающихся в самодостаточную единицу, которой, в принципе, уже не требуются для существования ни входящие сверху команды, ни исходящие вовне результаты работы. Большая организация вполне способна существовать сама ради себя, бодаться с себе подобными за ограниченные ресурсы, охранять занятую территорию и пытаться урвать что-то у соседей. Короче – бороться за выживание в соответствии с суровыми законами биологического отбора. Самое неприятное, что у этого надбиологического существа все инстинкты – звериные, а разум – человеческий, хотя и коллективный. Но у всякого отдельно взятого индивидуума, как носителя человеческого сознания, есть то, что отличает его от всех остальных животных – совесть. А у всякой большой общности людей – будь то госадминистрация, спецслужба, церковь, корпорация или политическая партия – совести нет и сама по себе она никак не появляется. Так уж получилось. И, к величайшему сожалению, практически всегда человек, пытающийся занять видное место в иерархии всякой организации, начинает отождествлять себя, свое сознание, с коллективным разумом этой общности. Другими словами, вытеснять и подменять свою человеческую совесть животными интересами коллективного сознания, которые в данном случае носят всевозможные благородные названия типа: национальная безопасность, патриотизм, укрепление веры, партийная дисциплина или корпоративная этика. Еще более печально то, что с подменой совести на «общественные интересы» все наиболее мерзкие человеческие качества – алчность, жестокость, лживость, цинизм и т.д. – никуда не исчезают, а напротив, начинают цвести махровым цветом. И это понятно, ведь главными факторами, заставляющими человека держаться «в рамках», являются собственная совесть и страх наказания. И когда совесть заглушена, а служение «высоким общественным интересам» порождает иллюзию безнаказанности, люди начинают творить черт знает что. Совесть у них, конечно, не совсем исчезла, а придавлена (люди все же остаются людьми, хоть и больными), так что они продолжают осознавать, сколь мерзкие делают вещи, а потому начинают возводить вокруг творимого плотную завесу тайн и стены секретности. И от этого ощущение безнаказанности возрастает еще больше… кста новости https://kiwibyrd.org
|
|
|
|
naska21
|
|
November 17, 2019, 09:25:07 AM |
|
На Ledger Live пароль установлен? Попробуйте поставить если его нет, закрыть окно и опять подключиться.
Каким образом это может помочь? Там же дело не в локальных проблемах. Географическую привязку обновления посчитал маловероятной так как всегда можно ВПН использовать. По серийному номеру тоже кажется неразумным делать. Потом вспомнил что кто-то говорил, что если пароля нет то могут быть траблы. Выше уже сообщили, что все в порядке, наверное у Леджера были траблы может быть с очередью. Все почему то спешат сразу обновляться. Зачем спрашивается, если и так все работает.
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2064
Crypto Swap Exchange
|
|
November 17, 2019, 09:35:12 AM |
|
По серийному номеру тоже кажется неразумным делать. Почему? Потом вспомнил что кто-то говорил, что если пароля нет то могут быть траблы. Выше уже сообщили, что все в порядке, наверное у Леджера были траблы может быть с очередью. У меня кнопки до сих пор нет. Да, очередь. Но лучше так, чем как в прошлый раз. Все почему то спешат сразу обновляться. Зачем спрашивается, если и так все работает. Я, например, поймал однажды ресет, причем срочно нужно было отправить монеты, а тут пришлось время тратить на восстановление. Больше не хочется такого, поэтому обновлюсь сразу.
|
|
|
|
|