igor72
Legendary
Offline
Activity: 1876
Merit: 2036
Crypto Swap Exchange
|
|
December 12, 2019, 09:49:04 PM |
|
А как насчет способов взлома аппаратника, что скажете, оказывается что это вполне можно сделать?
На чем основано ваше "оказывается"? Вы знаете хоть один случай взлома? Из трезоров можно извлечь 24 слова при физическом доступе (установка passphrase решает вопрос), из леджеров невозможно (в смысле способ пока не найден).
|
|
|
|
madnessteat
Legendary
Offline
Activity: 2296
Merit: 2057
|
|
December 13, 2019, 03:59:50 AM |
|
Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее. Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.
Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите. Свои флешки с криптой я открываю только под Linux. Поэтому за вирусы я не переживаю. Но Линукс же не панацея от вирусов. Да, по сравнению с виндой вероятность подхватить вирус конечно меньше, но не исключена полностью в сравнении с аппаратником.
|
| . .Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄ ███░░░░███░░░░███ ▀░░░▀░░▀░░░▀░░▀░░░▀ ▄░░░░░░░░░░░░ ▀██████████ ░░░░░███░░░░▀ ░░█░░░███▄█░░░█ ░░██▌░░███░▀░░██▌ ░█░██░░███░░░█░██ ░█▀▀▀█▌░███░░█▀▀▀█▌ ▄█▄░░░██▄███▄█▄░░▄██▄ ▄███▄ ░░░░▀██▄▀ | . REGIONAL SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██ ██░▀░██░█░███░▀██░███▄█ █▄███▄██▄████▄████▄▄▄██ ██▀ ▀███▀▀░▀██▀▀▀██████ ███▄███░▄▀██████▀█▀█▀▀█ ████▀▀██▄▀█████▄█▀███▄█ ███▄▄▄████████▄█▄▀█████ ███▀▀▀████████████▄▀███ ███▄░▄█▀▀▀██████▀▀▀▄███ ███████▄██▄▌████▀▀█████ ▀██▄███▀██▄█▄▄▄██▄████▀ ▀▀██████████▄▄███▀▀ ▀▀▀▀█▀▀▀▀ | . EUROPEAN BETTING PARTNER | |
|
|
|
marfich97
|
|
December 13, 2019, 10:45:48 AM |
|
Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее. Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.
Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите. Свои флешки с криптой я открываю только под Linux. Поэтому за вирусы я не переживаю. Но Линукс же не панацея от вирусов. Да, по сравнению с виндой вероятность подхватить вирус конечно меньше, но не исключена полностью в сравнении с аппаратником. Это вообще заблуждение, подхватить вирусню также реально если лазить где попало и бездумно кликать, и кейлоггеры есть и запись звука с микрофона, и все прочее. А защита лучше потому что очень много разных версий и злоумышленник может даже добиться загрузки вредоноса на систему но оно на ней не заработает, используется он сильно меньше среди пользователей и открытый код с быстрыми исправлениями, поэтому любые атаки сложны и малоэффективны и пользователи винды куда более интересны.
|
|
|
|
FontSeli
|
|
December 13, 2019, 01:05:03 PM |
|
А как насчет способов взлома аппаратника, что скажете, оказывается что это вполне можно сделать?
На чем основано ваше "оказывается"? Вы знаете хоть один случай взлома? Из трезоров можно извлечь 24 слова при физическом доступе (установка passphrase решает вопрос), из леджеров невозможно (в смысле способ пока не найден). Джонни выше кидал 2 ссылки на найденные уязвимости в аппаратных кошельках, которые позволяют получить к ним доступ. Или нужно привести конкретный пример взлома кошелька?
Но Линукс же не панацея от вирусов. Да, по сравнению с виндой вероятность подхватить вирус конечно меньше, но не исключена полностью в сравнении с аппаратником.
Если вы все будете устанавливать из проверенных репозиториев, то вирусы вам не грозят. Это не винда, где можно занести трояна открыв письмо или вставив флешку.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1845
Crypto for the Crypto Throne!
|
|
December 13, 2019, 06:50:10 PM |
|
Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее. Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.
Если флешка неправильно организована, то сомневаюсь. При этом, правильно написал: не известно что на той флешке. На любом аппаратнике всем понятно что хранится, а вот на флешке - пойди и угадай. Это называется метаданные. Был официальный ответ леджера на это, где было сказано, что это все ерунда. Можно им не верить, конечно, но никто с тех пор леджер так и не взломал, включая, кстати, и авторов доклада. Они там какой-то недостаток нашли, но до ключей добраться не смогли. Кроме того, с тех пор уже дважды обновлялась прошивка, - даже если и было там что-то, то уже наверняка залатали. Там было сказано что атаки мало осуществимы и так далее. Но это не значит "невозможно". Да, сложно вставить дроссель в аппаратник чтобы незаметно было, но когда введет человек пинкод, то здесь уж только внимательность его может спасти (как я понял из вектора атаки).
|
|
|
|
igor72
Legendary
Offline
Activity: 1876
Merit: 2036
Crypto Swap Exchange
|
|
December 13, 2019, 09:01:41 PM |
|
Джонни выше кидал 2 ссылки на найденные уязвимости в аппаратных кошельках, которые позволяют получить к ним доступ. Или нужно привести конкретный пример взлома кошелька?
Вы, видимо, не заметили выше моего ответа Джонни. По тем ссылкам - взлом леджера там был, мягко говоря, неубедительным (в отличие от трезора). Был официальный ответ леджера на это, где было сказано, что это все ерунда. Можно им не верить, конечно, но никто с тех пор леджер так и не взломал, включая, кстати, и авторов доклада. Они там какой-то недостаток нашли, но до ключей добраться не смогли. Кроме того, с тех пор уже дважды обновлялась прошивка, - даже если и было там что-то, то уже наверняка залатали. Там было сказано что атаки мало осуществимы и так далее. Но это не значит "невозможно". Да, сложно вставить дроссель в аппаратник чтобы незаметно было, но когда введет человек пинкод, то здесь уж только внимательность его может спасти (как я понял из вектора атаки). В случае с радиоуправляемой кнопкой - это крайне сложно осуществить. Нужно и леджер модифицировать, и ПО на компе жертвы, и за стенкой передатчик установить, который нажмет кнопку в нужный момент несколько раз. А в последней версии прошивки леджера нужно нажать 3-5 раз правую кнопку, а затем обе кнопки вместе (то есть уже два приемника с антеннами нужно внутри вместить и ими управлять). Фантастика, по-моему.
|
|
|
|
naska21
|
|
December 14, 2019, 07:49:19 AM |
|
В случае с радиоуправляемой кнопкой - это крайне сложно осуществить. Нужно и леджер модифицировать, и ПО на компе жертвы, и за стенкой передатчик установить, который нажмет кнопку в нужный момент несколько раз. А в последней версии прошивки леджера нужно нажать 3-5 раз правую кнопку, а затем обе кнопки вместе (то есть уже два приемника с антеннами нужно внутри вместить и ими управлять). Фантастика, по-моему.
Походу да, можно взять голый корпус леджера, напхать его своей начинкой и впихивать лошкам. Два года назад на алибаба леджеры по 5-10 баксов почем зря предлагали и раз предложение было стало быть кто-то брал.
|
|
|
|
igor72
Legendary
Offline
Activity: 1876
Merit: 2036
Crypto Swap Exchange
|
|
December 14, 2019, 08:27:45 AM |
|
Походу да, можно взять голый корпус леджера, напхать его своей начинкой и впихивать лошкам. Два года назад на алибаба леджеры по 5-10 баксов почем зря предлагали и раз предложение было стало быть кто-то брал.
Там вроде просто обычные флешки продаются в корпусе леджера. Не знаю точно, но там предлагались варианты по объему памяти, типа 128 гигабайт, 32 гигабайта. А флеш-памяти в настоящем леджере всего 360 килобайт )).
|
|
|
|
Kepasa
Legendary
Offline
Activity: 1848
Merit: 1014
|
|
December 14, 2019, 08:57:16 AM |
|
Походу да, можно взять голый корпус леджера, напхать его своей начинкой и впихивать лошкам. Два года назад на алибаба леджеры по 5-10 баксов почем зря предлагали и раз предложение было стало быть кто-то брал.
При загрузке и подключении к Ledger Live устройство проходит проверку на уникальность, как с этим быть? Не думаю что Леджер допустит это в принципе, если никто еще не смог взломать устройство, то об этом "Фишинговом" почти способе ну явно позаботились.
|
|
|
|
FontSeli
|
|
December 14, 2019, 01:10:23 PM |
|
Если флешка неправильно организована, то сомневаюсь.
При этом, правильно написал: не известно что на той флешке. На любом аппаратнике всем понятно что хранится, а вот на флешке - пойди и угадай. Это называется метаданные.
Ну вот и я о чем, что в случае физического доступа к вашим вещам наверное лучше будет чтобы ваши сиды или приватники от кошельков хранились на обычной флешке из числа многих. Так есть шанс что на нее внимания вообще не обратят, а вот аппаратник обязательно заберут и будут пытаться взломать. Вы, видимо, не заметили выше моего ответа Джонни. По тем ссылкам - взлом леджера там был, мягко говоря, неубедительным (в отличие от трезора).
Игорь, я видел. Трезор это ведь тоже аппаратный кошелек. Я не стану с пеной у рта доказывать что аппартники не стоит брать, тем более сам себе уже заказал один, который надеюсь приедет в этом году. Но вот наличие таких пусть и весьма экзотических способов взлома (которые хорошо что публикуются публично - заставят разработчиков внести доп защиту), делает и обычные флешки не таким уж и плохим способом хранения монет.
|
|
|
|
dwyane36
Legendary
Offline
Activity: 2912
Merit: 2070
|
|
December 14, 2019, 03:41:30 PM |
|
Ну вот и я о чем, что в случае физического доступа к вашим вещам наверное лучше будет чтобы ваши сиды или приватники от кошельков хранились на обычной флешке из числа многих. Так есть шанс что на нее внимания вообще не обратят, а вот аппаратник обязательно заберут и будут пытаться взломать.
Если уж на то пошло, то сид фразу можно вообще не хранить на флешке, а выучить эти 12 слов наизусть. Если забудешь, тогда вообще никто доступ к кошельку не получит.
|
| | . .Duelbits│SPORTS. | | | ▄▄▄███████▄▄▄ ▄▄█████████████████▄▄ ▄███████████████████████▄ ███████████████████████████ █████████████████████████████ ███████████████████████████████ ███████████████████████████████ ███████████████████████████████ █████████████████████████████ ███████████████████████████ ▀████████████████████████ ▀▀███████████████████ ██████████████████████████████ | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | ███▄██▄███▄█▄▄▄▄██▄▄▄██ ███▄██▀▄█▄▀███▄██████▄█ █▀███▀██▀████▀████▀▀▀██ ██▀ ▀██████████████████ ███▄███████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ▀█████████████████████▀ ▀▀███████████████▀▀ ▀▀▀▀█▀▀▀▀ | | OFFICIAL EUROPEAN BETTING PARTNER OF ASTON VILLA FC | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | 10% CASHBACK 100% MULTICHARGER | │ | | │ |
|
|
|
FontSeli
|
|
December 14, 2019, 04:17:30 PM |
|
Ну вот и я о чем, что в случае физического доступа к вашим вещам наверное лучше будет чтобы ваши сиды или приватники от кошельков хранились на обычной флешке из числа многих. Так есть шанс что на нее внимания вообще не обратят, а вот аппаратник обязательно заберут и будут пытаться взломать.
Если уж на то пошло, то сид фразу можно вообще не хранить на флешке, а выучить эти 12 слов наизусть. Если забудешь, тогда вообще никто доступ к кошельку не получит. Бывает такие ситуации, цитирую где-то услышанную мысль: "когда помнишь стишок, который учил в далеком детстве, но не помнишь куда положил ключи от машины". Я бы не стал полагаться только на одну память, какая бы она у вас не была. Случается всякое, можно ударится головой, можно пережить сильный стресс и т.д. мозг человека может дать сбой и очистить память о сиде. Поэтому лучше все же где-то записать. Ну или купить аппаратник как рекомендуют в этой теме, там в комплекте будет бумага для записи))
|
|
|
|
SaracenRomero213
|
|
December 14, 2019, 05:55:12 PM |
|
Но вот наличие таких пусть и весьма экзотических способов взлома (которые хорошо что публикуются публично - заставят разработчиков внести доп защиту), делает и обычные флешки не таким уж и плохим способом хранения монет.
Не храните все яйца в одной корзине, даже если что взломают или сами потеряете или где то не там введете, потеря будет лишь части депозита, а не всего вашего криптоимущества.
|
|
|
|
igor72
Legendary
Offline
Activity: 1876
Merit: 2036
Crypto Swap Exchange
|
|
December 15, 2019, 10:14:21 AM |
|
Вы, видимо, не заметили выше моего ответа Джонни. По тем ссылкам - взлом леджера там был, мягко говоря, неубедительным (в отличие от трезора).
Игорь, я видел. Трезор это ведь тоже аппаратный кошелек. Да, но я возражал только по поводу Леджера, у Трезора (и его клонов вроде KeepKey) действительно есть уязвимость - возможность считать 24 слова при физическом доступе. Но вот наличие таких пусть и весьма экзотических способов взлома (которые хорошо что публикуются публично - заставят разработчиков внести доп защиту), делает и обычные флешки не таким уж и плохим способом хранения монет. Если взять флешку, установить туда Tails и использовать встроенный Electrum как кошелек, то это не такой уж плохой способ хранения. Но все равно, это разные классы кошельков. А если флешка с кошельком втыкается в обычный "семейный" комп с виндой, то такое хранение вообще неприемлемо, по-моему. А тот способ взлома леджера действительно весьма экзотический. Нафантазировать много чего можно, воплотить сложно. Не храните все яйца в одной корзине, даже если что взломают или сами потеряете или где то не там введете, потеря будет лишь части депозита, а не всего вашего криптоимущества.
Согласен. Но при условии, что другие "корзины" не будут уступать по безопасноcти. Простейший способ диверсификации с аппаратным кошельком - это создать несколько кошельков с разными 25-ми словами (24 слова можно не менять). При желании, можно немного заморочиться и сделать мультиподписной кошелек аппаратного с Electrum.
|
|
|
|
FontSeli
|
|
December 15, 2019, 11:42:29 AM |
|
Да, но я возражал только по поводу Леджера, у Трезора (и его клонов вроде KeepKey) действительно есть уязвимость - возможность считать 24 слова при физическом доступе. Будем надеяться что Леджер намного надежнее. Но при этом лучше исходить из того, что нет надежных на 100% систем и устройств. Если взять флешку, установить туда Tails и использовать встроенный Electrum как кошелек, то это не такой уж плохой способ хранения. Но все равно, это разные классы кошельков. А если флешка с кошельком втыкается в обычный "семейный" комп с виндой, то такое хранение вообще неприемлемо, по-моему. А тот способ взлома леджера действительно весьма экзотический. Нафантазировать много чего можно, воплотить сложно.
Все очень сильно зависит от того сколько у вас монет. Я бы не стал заморачиваться из-за пары тысяч. До сих пор я храню свои сиды от холодных кошельков на флешках записанные в одном из тысячи мусорных файлов. И я уверен, что хрен кто найдет их там, если целенаправленно не будет искать. Но мы это уже обсуждали в теме про сид с тайкири.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1845
Crypto for the Crypto Throne!
|
|
December 15, 2019, 02:07:22 PM |
|
Будем надеяться что Леджер намного надежнее. Но при этом лучше исходить из того, что нет надежных на 100% систем и устройств. А Трезор думает по другому. не доверяют властям. У Леджера есть защищенный чип ST31, где собственно все и хранится. Так вот, Антонопулус писал, что учитывая уровень давления гос власти и спецслужб на производителей, в таких чипах где закрыт и код и железо, очень вероятно могут быть бэкдоры. Я уже писал о похожем ранее в этой же теме.
|
|
|
|
Andergriff
|
|
December 15, 2019, 03:55:05 PM |
|
Будем надеяться что Леджер намного надежнее. Но при этом лучше исходить из того, что нет надежных на 100% систем и устройств. А Трезор думает по другому. не доверяют властям. У Леджера есть защищенный чип ST31, где собственно все и хранится. Так вот, Антонопулус писал, что учитывая уровень давления гос власти и спецслужб на производителей, в таких чипах где закрыт и код и железо, очень вероятно могут быть бэкдоры. Я уже писал о похожем ранее в этой же теме. Почему гос власти и спецслужбы не надавили на Трезор установить такой же чип ST31?
|
|
|
|
SaracenRomero213
|
|
December 15, 2019, 05:30:56 PM |
|
Не храните все яйца в одной корзине, даже если что взломают или сами потеряете или где то не там введете, потеря будет лишь части депозита, а не всего вашего криптоимущества.
Согласен. Но при условии, что другие "корзины" не будут уступать по безопасноcти. Простейший способ диверсификации с аппаратным кошельком - это создать несколько кошельков с разными 25-ми словами (24 слова можно не менять). При желании, можно немного заморочиться и сделать мультиподписной кошелек аппаратного с Electrum. Да, все так, можно вообще без аппаратника обойтись если придумать алгоритм по которому записывать слова в неправильном порядке + пара мусорных слов . И можно эти слова хоть на заборе возле дома писать, никто не восстановит.
|
|
|
|
FontSeli
|
|
December 16, 2019, 10:51:29 AM |
|
Будем надеяться что Леджер намного надежнее. Но при этом лучше исходить из того, что нет надежных на 100% систем и устройств. А Трезор думает по другому. не доверяют властям. У Леджера есть защищенный чип ST31, где собственно все и хранится. Так вот, Антонопулус писал, что учитывая уровень давления гос власти и спецслужб на производителей, в таких чипах где закрыт и код и железо, очень вероятно могут быть бэкдоры. Я уже писал о похожем ранее в этой же теме. Ходят слухи, что бэкдоры по умолчанию есть на каждом компьютере на аппаратном уровне. Поэтому страха еще больше быть не может. Антонуполос авторитетный дядька и к его слова как минимум стоит иметь в виду.
|
|
|
|
dwyane36
Legendary
Offline
Activity: 2912
Merit: 2070
|
|
December 16, 2019, 05:45:27 PM |
|
Леджер запустили акцию в честь предстоящего рождества. Если покупаешь нано икс, то нано с дают бесплатно. https://shop.ledger.com/products/ledger-christmas-packНа черную пятницу скидки явно лучше были.
|
| | . .Duelbits│SPORTS. | | | ▄▄▄███████▄▄▄ ▄▄█████████████████▄▄ ▄███████████████████████▄ ███████████████████████████ █████████████████████████████ ███████████████████████████████ ███████████████████████████████ ███████████████████████████████ █████████████████████████████ ███████████████████████████ ▀████████████████████████ ▀▀███████████████████ ██████████████████████████████ | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | ███▄██▄███▄█▄▄▄▄██▄▄▄██ ███▄██▀▄█▄▀███▄██████▄█ █▀███▀██▀████▀████▀▀▀██ ██▀ ▀██████████████████ ███▄███████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ▀█████████████████████▀ ▀▀███████████████▀▀ ▀▀▀▀█▀▀▀▀ | | OFFICIAL EUROPEAN BETTING PARTNER OF ASTON VILLA FC | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | 10% CASHBACK 100% MULTICHARGER | │ | | │ |
|
|
|
|