[UPGRADE] v 1.4.2 firmware ledger nano s

[trader34]

Io l'ho comprato da Amazon, perchè mi arrivava subito e mi è arrivato in scatola cellofanata (ok questo non vuol dire niente...).

Dici che ho fatto una sciocchezza? Al momento l'ho uso da un pò senza problemi. Ho però letto attentamente le istruzioni e non puoi essere fregato, infatti è la Ledger stessa (non io) che dice che non mette un sigillo di garanzia per l'apertura della scatola perchè non serve. Cioè una volta che fai la procedura da zero, mettendo il tuo PIN e in particolare creando il tuo seed di 24 parole (procedura da fare all'inizio obbligatoriamente), questo è resettato ex-novo a livello hardware nel chip. Se qualcuno lo avesse manomesso non ti farebbe fare la procedura di generazione seed.

Io preso direttamente dal sito del produttore. Ho letto la stessa cosa. Tuttavia, non ci sono mai certezze.

Ho trovato un articolo in rete a riguardo (in inglese, se volete posso tradurlo io stesso):

“The vulnerability arose due to Ledger’s use of a custom architecture to work around many of the limitations of their Secure Element,” Rashid explains in a blog post. “An attacker can exploit this vulnerability to compromise the device before the user receives it, or to steal private keys from the device physically or, in some scenarios, remotely.”

La cosa che mi preoccupa e' il riferimento all'attacco remoto.

Il link all'articolo qui

Code:

https://thenextweb.com/hardfork/2018/03/20/ledger-nano-s-hack-cryptocurrency

Tuttavia, non ci sono mai certezze

Anch'io ho preso sia il ledger che il trezor dal sito del produttore. Pur tuttavia, come è stato sopra ricordato, è la stessa ledger a ricordare che non è possibile manipolarti il device prima che tu ne vieni in possesso, per cui non protegge neanche con sigilli particolari la confezione stessa.

Poi niente è sicuro a sto mondo, però è pur vero che non sono a conoscenza che la sicurezza di un Ledger sia mai stata violata, almeno finora.

L'articolo che tu fai riferimento sono vulnerabilità scoperte mesi fa da Saleem Raschid, uno sviluppatore (anzi un ragazzino mi pare, ma un genio dell'informatica), che le ha svelate pubblicamente a marzo. Tra l'altro in questo modo rinunciando (se non dico una sciocchezza), anche al premio messo in palio dalle Ledger stessa per chi trova vulnerabilità ai loro prodotti (c'è un anti-disclosure).

Si tratta di attacchi estramamente complessi e di difficile implementazione, ma possibili (vabbè io non sono un esperto informatico, riporto solo le info). Qua l'articolo originale di Saleem:

https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/

Grazie alle sue scoperte, è stato rilasciato dalle Ledger l'aggiornamento 1.4 (quello di cui stiamo parlando qua) che dovrebbe avere risolto queste potenziali vulnerabilità...

[1715222179]

1715222179

[1715222179]

1715222179

[babo]

Ragazzi, sereni... scialli, tranquilli
Fino ad oggi nessun trezor o legder sono stati violati
È più facile minacciare il possessore e farsi dare le chiavi private.. Come è già successo

[Jack Liver]

Anch'io ho preso sia il ledger che il trezor dal sito del produttore. Pur tuttavia, come è stato sopra ricordato, è la stessa ledger a ricordare che non è possibile manipolarti il device prima che tu ne vieni in possesso, per cui non protegge neanche con sigilli particolari la confezione stessa.

era capitato che un truffatore vendesse i ledger già settati con un finto foglietto ufficiale col seed scritto sopra, un attacco di pura social engineering che punta sulla poca esperienza dell'utente, in quel caso per aprire la scatola avrebbero dovuto rompere il sigillo, proprio inutile non sarebbe stato.

[marcellogombia]

Sì, il tizio ha acquistato il ledger su Amazon...da evitare.
A proposito, poco fa ho acquistato un ledger nano s dal sito ufficiale, quanto tempo ci mette ad arrivare?
Grazie in anticipo

[babo]

Sì, il tizio ha acquistato il ledger su Amazon...da evitare.
A proposito, poco fa ho acquistato un ledger nano s dal sito ufficiale, quanto tempo ci mette ad arrivare?
Grazie in anticipo

te lo dice quando lo compri
qualsiasi sia il tempo, meglio evitare di comprare da rivenditori NON ufficiali, troppo rischioso

[marcellogombia]

Ok grazie, sono in attesa della convalida del mio pagamento. Concordo per gli acquisti ufficiali sui siti ufficiali ;-)

[Verde_Mantis]

Anch'io ho preso sia il ledger che il trezor dal sito del produttore. Pur tuttavia, come è stato sopra ricordato, è la stessa ledger a ricordare che non è possibile manipolarti il device prima che tu ne vieni in possesso, per cui non protegge neanche con sigilli particolari la confezione stessa.

era capitato che un truffatore vendesse i ledger già settati con un finto foglietto ufficiale col seed scritto sopra, un attacco di pura social engineering che punta sulla poca esperienza dell'utente, in quel caso per aprire la scatola avrebbero dovuto rompere il sigillo, proprio inutile non sarebbe stato.

Sono d'accordo, capisco che da un lato possano giocare sulla mancanza del sigillo per far vedere quanto credano nel loro prodotto, però penso anche che visto quello che c'è in gioco dovrebbe davvero essere tutto a prova di noob, non bisogna dare nulla per scontato.

[Pablito89]

vi raccomando nuovamente di acquistare solo dallo store ufficiale.
proprio ieri parlavo con un mio conoscente che è una capra come conoscenza informatica e stava per acquistare un ledger da un venditore che aveva postato un annuncio su subito.
in pratica vendeva ledger nuovi sottocosto "già configurati e pronti all'utilizzo", te lo portavi a casa con circa 30€
si, il problema è che appunto essendo già configurati, lui era in possesso della chiave impostata e tra qualche mese/anno avrebbe ripulito il tutto.
ho chiesto il link dell'annuncio a questo mio conoscente, ma sembrerebbe non esserci più al momento.

[babo]

vi raccomando nuovamente di acquistare solo dallo store ufficiale.
proprio ieri parlavo con un mio conoscente che è una capra come conoscenza informatica e stava per acquistare un ledger da un venditore che aveva postato un annuncio su subito.
in pratica vendeva ledger nuovi sottocosto "già configurati e pronti all'utilizzo", te lo portavi a casa con circa 30€
si, il problema è che appunto essendo già configurati, lui era in possesso della chiave impostata e tra qualche mese/anno avrebbe ripulito il tutto.
ho chiesto il link dell'annuncio a questo mio conoscente, ma sembrerebbe non esservi più al momento.

Esatto questo è il modus operandi dei truffatori da due soldi
Un truffatore più advanced potrebbe fare anche altro

In ogni caso è facile, basta comprare dai rivenditori ufficiali

[redsn0w]

Potrebbe fare una cosa del genere:




https://twitter.com/FlyGuyInTheSky/status/995998044565975040

[Ale88]

proprio ieri parlavo con un mio conoscente che è una capra come conoscenza informatica e stava per acquistare un ledger da un venditore che aveva postato un annuncio su subito.

Io francamente comunque rimango sempre basito a leggere cose del genere. Spero che il tuo conoscente abbia soldi da buttare per permettersi tanta superficialità su un argomento cosi delicato, qui pare che per molta gente questo sia solo un gioco, mah...

[babo]

Potrebbe fare una cosa del genere:




https://twitter.com/FlyGuyInTheSky/status/995998044565975040

Hahaha ho riso mezz'ora, genio chi ha fatto sto tweet tra il serio e il faceto

Purtroppo chi sta gente che lo fa sul serio, ad esempio con i biglietti dell'aereo, che nel barcode indicano tante informazioni

[trader34]

vi raccomando nuovamente di acquistare solo dallo store ufficiale.
proprio ieri parlavo con un mio conoscente che è una capra come conoscenza informatica e stava per acquistare un ledger da un venditore che aveva postato un annuncio su subito.
in pratica vendeva ledger nuovi sottocosto "già configurati e pronti all'utilizzo", te lo portavi a casa con circa 30€
si, il problema è che appunto essendo già configurati, lui era in possesso della chiave impostata e tra qualche mese/anno avrebbe ripulito il tutto.
ho chiesto il link dell'annuncio a questo mio conoscente, ma sembrerebbe non esserci più al momento.

Si, tutto vero. E' sempre meglio comprare dai store ufficiali. Ma come avevo scritto sopra non è possibile finora fregarti i soldi dal ledger lato hardware e software ovunque lo compri, anche se lo comprassi dal marocchino per strada. Questo perchè (loro spiegano) ha una protezione hardware almeno finora inattaccabile, per cui se imposti TU il seed che ti chiede fin dall'inizio non fa nessuna differenza.

Il rischio è se un newbie cade in uno scam di social engineering, come qualcuno ha riportato vari esempi sopra. Il più diabolico era quello del seed già impostato e con il foglietto da grattare le parole dalla patina con la monetina come nei gratta e vinci!

[lukax8]

Potrebbe fare una cosa del genere:




https://twitter.com/FlyGuyInTheSky/status/995998044565975040

Hahaha ho riso mezz'ora, genio chi ha fatto sto tweet tra il serio e il faceto

Purtroppo chi sta gente che lo fa sul serio, ad esempio con i biglietti dell'aereo, che nel barcode indicano tante informazioni

OT
Si sarò ispirato a quei super furbi che pubblicano la foto (fronte e retro) della propria carta di credito

Tempo fa @NeedADebitCard aveva raccolto un bel pò di foto https://twitter.com/NeedADebitCard

[Verde_Mantis]

Si sarò ispirato a quei super furbi che pubblicano la foto (fronte e retro) della propria carta di credito

Tempo fa @NeedADebitCard aveva raccolto un bel pò di foto https://twitter.com/NeedADebitCard

No ma la pagina Twitter con tutte le foto delle varie carte di credito e debito è fake, vero? La gente non può essere cosi stupida, mi rifiuto di crederlo 

[massi87]

Ciao, ho un problema molto grave, vi prego aiutatemi.

Ho cercato di aggiornare il mio ledger nano s (1.4.2 firmware ledger nano s).

Ho aperto ledger live, però, ad un certo punto mi compare la scritta sul ledger update e ho aspettato piu' di 1 ora ma non succede niente.

Ho provato a disinstallare ledger live, cambiare presa usb ma niente...



Cosa devo fare???

Secondo voi ho perso le mie cripto?


grazie mille

[Piggy]

Puoi sempre fare un factory reset, ricordati che anche se la chiavetta si rompe ma hai il seed puoi generare le chiavi private ed indirizzi relativi anche senza.

[MarioV]

Secondo voi ho perso le mie cripto?

Sul Ledger fisicamente non c'è nessuna moneta, stanno tutte nelle rispettive blockchain. Sul Ledger ci sono le chiavi private (dei relativi indirizzi) che attestano il possesso di quelle monete.
Come ti hanno suggerito, puoi fare un factory reset del Ledger e poi, al primo avvio, fare un recovery del tuo/tuoi wallet inserendo esattamente il SEED che ti eri messo bene (spero!) da parte.
Potrebbe essere un problema di spazio libero che non hai sul Ledger e che ti impedisce di portare a termine correttamente l'update.

PS: il SEED è l'elenco delle 24 parole come vedi nella foto poco più su. Dovresti averlo anche tu quel foglietto con le tue parole che costituiscono il tuo SEED.  No SEED, no coin.

[babo]

Ciao, ho un problema molto grave, vi prego aiutatemi.

Ho cercato di aggiornare il mio ledger nano s (1.4.2 firmware ledger nano s).

Ho aperto ledger live, però, ad un certo punto mi compare la scritta sul ledger update e ho aspettato piu' di 1 ora ma non succede niente.

Ho provato a disinstallare ledger live, cambiare presa usb ma niente...



Cosa devo fare???

Secondo voi ho perso le mie cripto?


grazie mille

Calma
Se hai il seed non hai perso nulla
Disinstalla tutte le app.. tutte


Esegui il firmware upgrade, ci mette un po.. ma non un ora
Reinstalla tutto


È essenziale che tu cancelli TUTTE le app, xche serve spazio

[MarioV]

Ciao, ho un problema molto grave, vi prego aiutatemi.

Ho cercato di aggiornare il mio ledger nano s (1.4.2 firmware ledger nano s).

Ho aperto ledger live, però, ad un certo punto mi compare la scritta sul ledger update e ho aspettato piu' di 1 ora ma non succede niente.

Ho provato a disinstallare ledger live, cambiare presa usb ma niente...



Cosa devo fare???

Secondo voi ho perso le mie cripto?


grazie mille

Calma
Se hai il seed non hai perso nulla
Disinstalla tutte le app.. tutte


Esegui il firmware upgrade, ci mette un po.. ma non un ora
Reinstalla tutto


È essenziale che tu cancelli TUTTE le app, xche serve spazio

Avevo sentito che la disinstallazione delle app non ottimizzava bene la liberazione dello spazio: per questo ho suggerito una ripartenza "pulita".