FontSeli
|
|
December 20, 2019, 07:06:02 AM |
|
Могу предположить что ваши пару Биткоинов не сильно нужны АНБ.
Ну по такой логике "мне нечего скрывать, я "маленький человек" (как Акакий Акакиевич)" можно вообще никаких действий не предпринимать. Конкретно мои может и нет. Но сам факт возможности обхода всей этой защиты через бэкдоры в St31 заставляет задуматься, как ни крути. Нажмет Трамп кнопку, и все биткоины из Леджеров отправятся на хранение в Форт Нокс. А давайте представим, что будет потом со всеми кошельками леджер, да и трезор. Поэтому такой возможностью по пустякам пользоваться не будут. А если и воспользуются, то со всех кошельков не украдут, иначе это будет грандиозный скандал с уголовным преследованием.
Ну так-то держать 2 кошелька имеет смысл на случай, если один выйдет из строя, ну и второй можно подарить кому-нибудь в крайнем случае.
Не вижу смысла держать второй кошелек "на всякий случай". Как подарок такой кошелек тоже так себе. Это как маркер: "я занимаюсь криптой". Не все афишируют свои занятия.
|
Celebrate Julian's freedom!
|
|
|
tenant48
|
|
December 20, 2019, 07:28:25 AM |
|
А давайте представим, что будет потом со всеми кошельками леджер, да и трезор. Поэтому такой возможностью по пустякам пользоваться не будут. А если и воспользуются, то со всех кошельков не украдут, иначе это будет грандиозный скандал с уголовным преследованием.
Я про это уже писал, что красть мелкие суммы смысла нет, так как красть прийдется у большого количества людей, а это гарантированый скандал на форумах. Хотя почву к таким скандалам они готовят, периодически вбрасывая статьи про мнимую угрозу квантовых компьютеров. Гораздо проще присваивать средства одиноких пристарелых милионеров, которые периодически умирают и доступа к их средствам уже ни укого нет.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
|
|
December 20, 2019, 12:44:18 PM |
|
Я ручаться не могу, но производитель утверждает, что закрыто только firmware (операционка BOLOS), а приложения и Ledger Live полностью открыты. У вас другие сведения?
Ну тоесть операционка самого чипа Леджера закрыта, также закрыта операционка STMicroelectronics, тоесть твой Леджер - это и закрытое железо и закрытый код. Просто чудесно. А то, что Леджер Лайв открыт это такое себе. Как мне кажется, в память чипа вполне можно вшить адрес куда будет отправляться к примеру некий ключ генерации псевдосида (чтобы можно было перегенерировать у себя) если на чип подается некий сигнал. Я попозже более расширено отпишу, читал о похожем варианте для обхода DPI на системе "опережающий запрос" в Китае
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2063
Crypto Swap Exchange
|
|
December 20, 2019, 12:56:09 PM Last edit: December 20, 2019, 04:19:40 PM by igor72 |
|
тоесть твой Леджер - это и закрытое железо и закрытый код. Просто чудесно. Это никто и не скрывал никогда. Чудесно, не спорю ). А то, что Леджер Лайв открыт это такое себе. Как мне кажется, в память чипа вполне можно вшить адрес куда будет отправляться к примеру некий ключ генерации псевдосида (чтобы можно было перегенерировать у себя) если на чип подается некий сигнал. Я попозже более расширено отпишу, читал о похожем варианте для обхода DPI на системе "опережающий запрос" в Китае Да, расширьте, непонятно. Только зачем что-то мудрить, если можно просто сделать псевдогенерацию сида - генерировать сид по определенному алгоритму, ограничив число вариантов, скажем, до триллиона? Думаю, как минимум 90% пользователей не заморачиваются использованием 25 слова, а тем более генерацией 24-х слов вне устройства.
|
|
|
|
marfich97
|
|
December 20, 2019, 04:16:03 PM |
|
А давайте представим, что будет потом со всеми кошельками леджер, да и трезор. Поэтому такой возможностью по пустякам пользоваться не будут. А если и воспользуются, то со всех кошельков не украдут, иначе это будет грандиозный скандал с уголовным преследованием.
Я про это уже писал, что красть мелкие суммы смысла нет, так как красть прийдется у большого количества людей, а это гарантированый скандал на форумах. Хотя почву к таким скандалам они готовят, периодически вбрасывая статьи про мнимую угрозу квантовых компьютеров. Гораздо проще присваивать средства одиноких пристарелых милионеров, которые периодически умирают и доступа к их средствам уже ни укого нет. Много одиноких миллионеров вы знаете, у кого не нашлось ни одного кровного пусть и дальнего родственника и чьи состояния ушли правительствам? Это какая-то небылица, есть огромная очередь на наследства и пусть детей нет, но у родителей могут быть братья или сестры. И миллионеры не дураки и работают с нотариусами по завещаниям еще задолго до того как умрут - у них есть завещания и пароль к заветному леджеру тоже будет где-то записан и после передан в руки наследника, если там конечно большая доля состояния человека.
|
|
|
|
tenant48
|
|
December 20, 2019, 04:59:10 PM |
|
А давайте представим, что будет потом со всеми кошельками леджер, да и трезор. Поэтому такой возможностью по пустякам пользоваться не будут. А если и воспользуются, то со всех кошельков не украдут, иначе это будет грандиозный скандал с уголовным преследованием.
Я про это уже писал, что красть мелкие суммы смысла нет, так как красть прийдется у большого количества людей, а это гарантированый скандал на форумах. Хотя почву к таким скандалам они готовят, периодически вбрасывая статьи про мнимую угрозу квантовых компьютеров. Гораздо проще присваивать средства одиноких пристарелых милионеров, которые периодически умирают и доступа к их средствам уже ни укого нет. Много одиноких миллионеров вы знаете, у кого не нашлось ни одного кровного пусть и дальнего родственника и чьи состояния ушли правительствам? Это какая-то небылица, есть огромная очередь на наследства и пусть детей нет, но у родителей могут быть братья или сестры. И миллионеры не дураки и работают с нотариусами по завещаниям еще задолго до того как умрут - у них есть завещания и пароль к заветному леджеру тоже будет где-то записан и после передан в руки наследника, если там конечно большая доля состояния человека. Милионеров сейчас развелось больше чем бродячих собак, выгляньте в окно и посмотрите сколько машин стоимостью 50 - 100 тыс $, купленых явно не на последние деньги. Многие уходят из жизни совершенно неожидано и просто не успевают передать пароли своим близким, а заранее не передают по причине недоверия. Масса корупционнров скрывают свои доходы даже от своих близких. По этим же причинам пенсионерам в банках дают повышеные проценты по депозитам, так как с достаточно высокой вероятностью деньги останутся там не востребоваными.
|
|
|
|
Jes861ter
Jr. Member
Offline
Activity: 224
Merit: 2
|
|
December 21, 2019, 06:37:56 AM Last edit: December 21, 2019, 08:41:48 AM by xandry |
|
Решил себе заказать леджер и интересует вопрос,бывали ли случаи когда взламывали аппаратные кошельки?Такое вообще возможно?
Я по крайней мере о таких не слышал, а если и были по неосторожности Ну так-то держать 2 кошелька имеет смысл на случай, если один выйдет из строя Много вы слышали о случаях выхода из строя? Если даже предположить, что один из 1000 бракованный (а я думаю, что брак встречается гораздо реже), то страховкой от такого случая не стоит заморачиваться. ну и второй можно подарить кому-нибудь в крайнем случае. Обычно кому он нужен, тот его уже купил. Я слышал об одном 1-2 двух случаях, не более. Выходов из строя кошельков. Если не подарить, то можно по продавать, почему бы и нет
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2063
Crypto Swap Exchange
|
|
December 21, 2019, 07:12:36 AM |
|
Если не подарить, то можно по продавать, почему бы и нет Потому что продать трудно, большинство с рук не купит, как бы дешево не стоил.
|
|
|
|
FontSeli
|
|
December 21, 2019, 03:36:07 PM |
|
А давайте представим, что будет потом со всеми кошельками леджер, да и трезор. Поэтому такой возможностью по пустякам пользоваться не будут. А если и воспользуются, то со всех кошельков не украдут, иначе это будет грандиозный скандал с уголовным преследованием.
Я про это уже писал, что красть мелкие суммы смысла нет, так как красть прийдется у большого количества людей, а это гарантированый скандал на форумах. Хотя почву к таким скандалам они готовят, периодически вбрасывая статьи про мнимую угрозу квантовых компьютеров. Гораздо проще присваивать средства одиноких пристарелых милионеров, которые периодически умирают и доступа к их средствам уже ни укого нет. Очень сложно определить кошелек миллионера который умер или который как ленин "всегда молодой". Да и на наследство таких миллионеров очень много ртов, которые своего не упустят и будут разбираться.
Если не подарить, то можно по продавать, почему бы и нет Потому что продать трудно, большинство с рук не купит, как бы дешево не стоил. Я вот очкую пользовать леджер который мне купит родственник и в любом случае буду его проверять. А кто-то готов покупать с рук) Нафига тогда таким людям леджер если им наплевать на безопасность.
|
Celebrate Julian's freedom!
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
|
Да, расширьте, непонятно. Ну обход DPI по опережающему запросу происходит таким вот методом: при обращении к скрытому сайту, он выдает один результат, а при обращении к примеру с отправкой пакета "1111" он редиректит тебя совсем в другое место, запрещенное. Это если очень и очень грубо. Также может быть и в Леджер Лайве: код открыт, все чисто, но при обращении Ledger Live на указанный домен (проверка времени по Токио) и при получении определенного ответа, чип генерирует транзакцию и подтверждает ее, а леджер лайв просто считай наблюдает, для него это как будто пользователь работает. Как то так, грубо, интересно было бы в этом покопаться. Микроконтроллеры в принципе могут делать такие вот штуки, и очень даже просто.
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2063
Crypto Swap Exchange
|
|
December 21, 2019, 05:09:44 PM Last edit: December 21, 2019, 05:21:32 PM by igor72 |
|
Я вот очкую пользовать леджер который мне купит родственник и в любом случае буду его проверять. А кто-то готов покупать с рук) Нафига тогда таким людям леджер если им наплевать на безопасность.
На самом деле пока это только страшилки, о случаях каких-то подделок/модификаций леджера я не слышал. А если прошить перед использованием и внутрь заглянуть, то можно и не волноваться. Но в общем вы правы, конечно - глупо экономить 20 баксов, чтобы рисковать потом потерять в сотни/тысячи раз больше. Кстати, скорее всего, вам леджер придет еще со старой прошивкой. Я бы на вашем месте сначала инициализировал девайс, потом перепрошил, затем полностью сбросил до заводского состояния и инициализировал заново (с генерацией нового набора 24 слов, который уже записать и надежно спрятать). И только после этого начинать загружать монеты. Генерацию сида можно сделать контролируемой и точно случайной (монеткой, кубиками), но для этого требуется "холодный" комп, иначе лучше не надо. Также может быть и в Леджер Лайве Не знаю, может и может, не могу спорить. В любом случае, я согласен, что допускать возможность наличия бэкдора не помешает. Хоть у меня крипты немного, но большую часть держу на мультисиг-кошельке (ledger + electrum), никаким бэкдором не достанут )).
|
|
|
|
FontSeli
|
|
December 22, 2019, 02:40:06 PM |
|
Я вот очкую пользовать леджер который мне купит родственник и в любом случае буду его проверять. А кто-то готов покупать с рук) Нафига тогда таким людям леджер если им наплевать на безопасность.
На самом деле пока это только страшилки, о случаях каких-то подделок/модификаций леджера я не слышал. А если прошить перед использованием и внутрь заглянуть, то можно и не волноваться. Но в общем вы правы, конечно - глупо экономить 20 баксов, чтобы рисковать потом потерять в сотни/тысячи раз больше. Кстати, скорее всего, вам леджер придет еще со старой прошивкой. Я бы на вашем месте сначала инициализировал девайс, потом перепрошил, затем полностью сбросил до заводского состояния и инициализировал заново (с генерацией нового набора 24 слов, который уже записать и надежно спрятать). И только после этого начинать загружать монеты. Генерацию сида можно сделать контролируемой и точно случайной (монеткой, кубиками), но для этого требуется "холодный" комп, иначе лучше не надо. Я не страдаю паранойей, но уж если брать защищенное устройство, то очень хотел бы быть в нем полностью уверенным. Спасибо за совет, я тут уже обчитался как проверить и как перепрошить. Компов холодных хватает, только вчера пришла очередная партия расберри для экспериментов) Также может быть и в Леджер Лайве Не знаю, может и может, не могу спорить. В любом случае, я согласен, что допускать возможность наличия бэкдора не помешает. Хоть у меня крипты немного, но большую часть держу на мультисиг-кошельке (ledger + electrum), никаким бэкдором не достанут )). Джонни хорошую мысль высказал. О бэкдорах стоит помнить, и не доверять Леджеру все свои монеты. Однако пока монет нет более чем на миллион долларов я не стал бы беспокоиться что бекдор будет использован.
|
Celebrate Julian's freedom!
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
|
|
December 22, 2019, 06:20:50 PM |
|
Здесь на самом деле сложная штука, нельзя сразу получить все что хочешь.
Или берешь Трезор и остаешься уверен что Трамп не сворует твои битки, но при этом, при потере Трезора будь готов что битки уйдут к тем,кому хватит ума сдампить память.
Или берешь Леджер, тогда все наоборот.
В жизни нет вещей которые охватывают сразу все. Всегда нужно выбирать.
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2063
Crypto Swap Exchange
|
|
December 22, 2019, 07:25:38 PM |
|
Здесь на самом деле сложная штука, нельзя сразу получить все что хочешь. Да ну, это не тот случай Или берешь Трезор и остаешься уверен что Трамп не сворует твои битки, но при этом, при потере Трезора будь готов что битки уйдут к тем,кому хватит ума сдампить память.
Passphrase убирает эту уязвимость. Главное, чтобы в STM32 "трамп" не сидел.
Или берешь Леджер, тогда все наоборот. Это домыслы, но кто знает? В жизни нет вещей которые охватывают сразу все. Всегда нужно выбирать.
Что мешает взять оба и сделать из них мультиподписной кошелек?
|
|
|
|
FontSeli
|
|
December 23, 2019, 09:26:12 AM |
|
Здесь на самом деле сложная штука, нельзя сразу получить все что хочешь.
Или берешь Трезор и остаешься уверен что Трамп не сворует твои битки, но при этом, при потере Трезора будь готов что битки уйдут к тем,кому хватит ума сдампить память.
Или берешь Леджер, тогда все наоборот.
В жизни нет вещей которые охватывают сразу все. Всегда нужно выбирать.
Напомнило анекдот: "-Мама, что одеть на первую брачную ночь? -А что не одень, доченька, все равно вые..т!" Так если все равно, так может и не нужен тогда этот аппаратник?
|
Celebrate Julian's freedom!
|
|
|
Jes861ter
Jr. Member
Offline
Activity: 224
Merit: 2
|
|
December 26, 2019, 06:33:41 AM |
|
Решил себе заказать леджер и интересует вопрос,бывали ли случаи когда взламывали аппаратные кошельки?Такое вообще возможно?
Его в принципе невозможно сломать, он не подключается к сети, как мне объяснили. Ты его используешь, как ключ для доступа к крипте, а все операции происходят на сервере
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
December 26, 2019, 11:02:27 AM Last edit: December 26, 2019, 11:18:26 AM by Dimenzino Merited by johhnyUA (1), Symmetrick (1) |
|
обход DPI по опережающему запросу мдя https://yandex.ru/ обход DPI по опережающему запросу в Китаеээ? https://internetua.com/velikii-rossiiskii-faervol--kak-budut-blokirovat-polzovatelei-i-kak-oboiti-blokirovkuОпережающее подключение — это способ который очень популярен в Китае работает следующим образом: Когда вы делаете запрос GET предположим к yandex.ru, DPI его перехватывает и делает такой же запрос (ваш висит в ожидании, либо IP назначения меняется на адрес DPI) далее анализируется ответ, и используются политики черных/белых списков, в зависимости от диктатора настроек оборудования. Как обойти? Практически никак, только очень серьёзная стеганография. ( если используются черные списки) а если белые то совсем никак ? но не понял про связь "с чипом с "неким сигналом.. в память чипа вполне можно вшить адрес куда будет отправляться к примеру некий ключ генерации псевдосида (чтобы можно было перегенерировать у себя) если на чип подается некий сигнал. Я попозже более расширено отпишу, читал о похожем варианте для обхода DPI на системе "опережающий запрос" в Китае
ps -https://yandex.ru/IPFS +DPI
|
|
|
|
Jes861ter
Jr. Member
Offline
Activity: 224
Merit: 2
|
|
December 27, 2019, 08:06:31 AM |
|
Здесь на самом деле сложная штука, нельзя сразу получить все что хочешь.
Или берешь Трезор и остаешься уверен что Трамп не сворует твои битки, но при этом, при потере Трезора будь готов что битки уйдут к тем,кому хватит ума сдампить память.
Или берешь Леджер, тогда все наоборот.
В жизни нет вещей которые охватывают сразу все. Всегда нужно выбирать.
Напомнило анекдот: "-Мама, что одеть на первую брачную ночь? -А что не одень, доченька, все равно вые..т!" Так если все равно, так может и не нужен тогда этот аппаратник? НУ как же, надежность то все равно выше, чем у обычных кошельков
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2063
Crypto Swap Exchange
|
|
December 27, 2019, 08:23:48 AM |
|
НУ как же, надежность то все равно выше, чем у обычных кошельков
Там же он, вроде бы, иронизирует, конечно надежность аппаратников значительно выше, чем "горячих" кошельков. Хотя johhnyUA, кажется, с этим не хочет соглашаться .
|
|
|
|
FontSeli
|
|
December 27, 2019, 09:50:41 AM |
|
Здесь на самом деле сложная штука, нельзя сразу получить все что хочешь.
Или берешь Трезор и остаешься уверен что Трамп не сворует твои битки, но при этом, при потере Трезора будь готов что битки уйдут к тем,кому хватит ума сдампить память.
Или берешь Леджер, тогда все наоборот.
В жизни нет вещей которые охватывают сразу все. Всегда нужно выбирать.
Напомнило анекдот: "-Мама, что одеть на первую брачную ночь? -А что не одень, доченька, все равно вые..т!" Так если все равно, так может и не нужен тогда этот аппаратник? НУ как же, надежность то все равно выше, чем у обычных кошельков Конечно выше, причем в разы. Вот только нужно всегда помнить, слова johhnyUA, где он рассказывал о теоретических уязвимостях аппаратников.
|
Celebrate Julian's freedom!
|
|
|
|