TheFuzzStone
Legendary
 Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
 |
April 12, 2019, 11:27:48 AM |
|
я так понимаю там Вы не скачиваете все подряд А зачем мне "все подряд"? Все что мне нужно, то и устанавливаю. Чем я пользоуюсь, все здесь. Или что вы имеете ввиду? и не ходите по сомнительным сайтам Киньте мне список "сомнительных сайтов", и я засниму видос (или гифку) как я по ним спокойно хожу.  |
|
|
|
|
|
|
|
|
|
|
"There should not be any signed int. If you've found a signed int
somewhere, please tell me (within the next 25 years please) and I'll
change it to unsigned int." -- Satoshi
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
|
|
|
imhoneer
Legendary
Offline
Activity: 2548
Merit: 1510
|
|
April 13, 2019, 06:13:47 PM |
|
я так понимаю там Вы не скачиваете все подряд А зачем мне "все подряд"? Все что мне нужно, то и устанавливаю. Чем я пользоуюсь, все здесь. Или что вы имеете ввиду? и не ходите по сомнительным сайтам Киньте мне список "сомнительных сайтов", и я засниму видос (или гифку) как я по ним спокойно хожу. Вижу у Вас все хорошо, но тогда последний вопрос. Возьмем гипотетическую ситуация, что Вы скачали пиратскую игру или какой-либо софт, на надежных сайтах не было, было только это и Вам это очень нужно. Так как Вы эту программу проверите на вирусы хотя бы, ведь так без проверки запускать страшно? |
▄▀▀▀▀▀▀▀▀▀▀▀▀▀▄
█ █▀▀▀▀▀▀▀█ █
▄▀▀▀▀▄ ▄▀▀▀▀▄
▄▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▄
█ ▄▀▀▀▀▀▀▀▀▀ ▄▄▄▄▄ ▀▀▀▀▀▀▀▀▀▀ █
█ ▀ ▄▀ ▄ ▄ ▀▄ █
█▄▄▄ █ █▀█ █ ▄▄▄█
█ ▀▀▀▄▄▄█ █▀▀▄ █▄▄▄▀▀▀ █
█ █ █▄▄█ █ █
█ ▀▄ ▀ ▀ ▄▀ █
█ ▀▀▀▀▀ █ █
█ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀ █
▀▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀
▀▀ ▀▀
| Arbitrum Balance
| /
|
▄▄████▄▄
▄▄████████████▄▄
▄██████████ █████████▄
█▀█▄▄▄███████████ █▀█▀██████
▀▀▀ ▀████ ▀████
▀▀▀▀▀▀▀▀█▀▀▄ █ ████ ████
▄▄▄ ▀▄ ▀▀▀▀█ ███
█▄█ ▀▀▀▀▀█ █████ ███
▄▄▄▄▄▄▄▄█▄▄▄▄▄▄▄█ ▄██
▄▄▄ ▄█████ █▄█▄████
█▄█▀▀▀▀███████ ██████▀
▀████████▀▀
▀▀██▀▀
| imhoneer investment fund
| /
|
▄▄███████████████▄▄
▄█████████████████████▄
▄██████████████▀▀███████▄
████████████▀▀ ███████
█████████▀▀ ▄ ███████
██████▀▀ █ ███████
████▀ █ ███████
█████▄▄ ▄█ ███████
████████ ██▄ ███████
▀████████ ▀▄███▄▄███████▀
▀█████████████████████▀
▀▀███████████████▀▀
| Telegram-канал @imho_idea
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
Возьмем гипотетическую ситуация, что Вы скачали пиратскую игру или какой-либо софт, на надежных сайтах не было, было только это и Вам это очень нужно.
Так как Вы эту программу проверите на вирусы хотя бы, ведь так без проверки запускать страшно? Не совсем правильная гипотетическая ситуация по отношению к Линуксу. Например, вам на Винду нужен видео-плеер VLC, что вы сделаете? Пойдете в поисковик и будете искать "VLC скачать". Если вам повезет и сразу увидите https://www.videolan.org/vlc/download-windows.html, скачаете exe-файл и потом установите. Но, далеко не все пользователи пользуются полезными примочками, так что есть шанс, что загуглив, вы попадете на какой нибудь фишинговый сайт (привет Google Ads) и скачаете чем то зараженный VLC и начнется веселая жизнь... Если мне нужно установить тот же VLC, я этому могу сделать открыв Software Center, написать в поиске "VLC" и нажать кнопке установить:  Или обратиться к Synaptic, в поиске вбить "VLC" и установить. Или, через командную строку. У меня Debian-based дистрибутив -- Ubuntu (только я не фанат рабочего окружения GNOME, поэтому я установил себе свой любимый Cinnamon): sudo apt install vlcЕсли вы выберете например дистрибутив Manjaro, то чтобы установить VLC, тоже несколько вариантов: Software Center, Octopi или Pamac, или командная строка: sudo pacman -S vlc Таким образом, большинство софта в Линуксе ставится из репозитория. Если же нужно мне софта нет в репозиториях, тогда или компилировать из исходников, или подключать сторонний репозиторий (что не совсем безопасно). Если же софт, который вам нужен есть только под Винду, тогда или запилить себе Virtualbox с Виндой, или же dual boot. По поводу игр. У меня Steam на Линуксе, играю очень редко, и если играю, то только Insurgency.
Я не агитирую прям всех перейти на Линукс, прекрасно понимаю, что для некоторых это просто нереально ( норм видос, подобных много в сети можно найти). Но, для большинства криптанов (и даже для ваших родственников, которые юзают комп как браузер + Скайп), думаю что Линукс это отличное решение. Для начала можете поиграться в Virtualbox, или просто бутнуться с USB-live флешки и потыкать Линукс. Потом установить параллельно Винде, зашифровать SSD и держать крипту только там, а если понравиться и вам будет удобно -- снести Винду, и перейти только на Линукс. Я пару своих родственников и знакомых пересадил на Линукс. Почему? Потому что меня задрало переустанавливать им Винду, после того как они скачают себе 4-5 полезных оптимизатора системы, пару тулбаров... все, комп непригоден даже для соц сетей + Скайпа. Выход? Linux Mint с рабочим окружением MATE или XFCE для более старших людей (потому что Винду им напоминает), Ubuntu (с GNOME Shell) для молодой аудитории. Инфа к размышлению. На сегодняшний день около 15-ти знакомых/родственников/друзей пересадил полностью на Линукс, и никто из них не попросился опять на Винду. А, и да, все отлично работает годами, без оптимизаторов, антивирусов и тулбаров. P.S. И еще я здесь много наоффтопил. Сорри, больше не буду. Это не ветка для обсуждений Линукс. |
|
|
|
bakasabo
Legendary
Offline
Activity: 2296
Merit: 1177
|
|
April 15, 2019, 08:51:00 AM |
|
P.S. И еще я здесь много наоффтопил. Сорри, больше не буду. Это не ветка для обсуждений Линукс.
Не для обсуждения Линукса, но можно обсудить такой момент. Имеют ли трезор и леджер поддержку всех ОС ? Или при обновлении ПО кошелька, выходит ли оно одновременно на все платформы? Я предпочитаю МакОС. Участвуя к примеру в баунти, многие проекту лепят свои кошельки в основном для Виндовса. Мне в какой-то момент для работы с интернет банком пришлось на Мак ставить Виндоус, т.к. вход в банк осуществлялся через USB Token и он имел поддержку только винды (и сам мануал прилагался в виде картинок от винды 98  ) Пользуясь аппаратными кошельками, имею ли я шанс столкнулся с геморроем, написанным выше? |
| R |
▀▀▀▀▀▀▀██████▄▄
████████████████
▀▀▀▀█████▀▀▀█████
████████▌███▐████
▄▄▄▄█████▄▄▄█████
████████████████
▄▄▄▄▄▄▄██████▀▀ | LLBIT | │ | CRYPTO
FUTURES | | | | | | | │ | 1,000x
LEVERAGE | │ | COMPETITIVE
FEES | │ | INSTANT
EXECUTION | │ | .
TRADE NOW |
|
|
|
m2017
Legendary
Offline
Activity: 1792
Merit: 1299
keep walking, Johnnie
|
|
April 15, 2019, 05:15:01 PM |
|
P.S. И еще я здесь много наоффтопил. Сорри, больше не буду. Это не ветка для обсуждений Линукс.
Не для обсуждения Линукса, но можно обсудить такой момент. Имеют ли трезор и леджер поддержку всех ОС ? Или при обновлении ПО кошелька, выходит ли оно одновременно на все платформы? Я предпочитаю МакОС. Участвуя к примеру в баунти, многие проекту лепят свои кошельки в основном для Виндовса. Мне в какой-то момент для работы с интернет банком пришлось на Мак ставить Виндоус, т.к. вход в банк осуществлялся через USB Token и он имел поддержку только винды (и сам мануал прилагался в виде картинок от винды 98 ) Пользуясь аппаратными кошельками, имею ли я шанс столкнулся с геморроем, написанным выше? Trezor и Ledger имеют поддержку следующих ОС: Windows, MacOS, Linux. Ссылка на страницу скачивания Trezor Bridge (приложение для подключения кошелька к ПК \ через браузер) - Link Ссылка на страницу скачивания Ledger Live (тоже приложение для подключения кошелька к ПК \ но уже не через браузер, а как отдельная прога) - Link Т.е. на данных ОС Windows, MacOS, Linux можно спокойно пользоваться аппаратными кошельками Trezor и Ledger. На Linux не забудьте прописать (без кавычек): " wget -q -O - https://raw.githubusercontent.com/LedgerHQ/udev-rules/master/add_udev_rules.sh | sudo bash " , для доступa Ledger Live. |
|
|
|
|
|
UNBELIEVER
Member
Offline
Activity: 203
Merit: 19
|
|
June 13, 2019, 01:53:02 PM |
|
Почему? Покупаете отдельный ноут/нетбук, шифруете SSD и держите там только крипто-кошельки и больше ничего. Ок, единственный вариант, где может пригодиться аппаратный кошель -- комп кишит малварью. Но, тут у меня вопрос. Если это так, так неужели владельцу компа настолько насрать на свою безопасность, не только крипты, а в целом? Если да, тогда скорее всего он так же будет относится к хранению сид-фразы, а значит есть вероятность, что и аппаратный кошелек не спасет его. Аппаратный кошель - единственный вариант хранения Tether, как наиболее надежный. Сейчас анонимно Tether хранить на официальном аккаунте нельзя. Все сторонние кошельки типа Exodus доверия не вызывают. Хранить Tether на бирже - до случая. Потому Ledger к сожалению, единственный выход для стейблкоина. |
|
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1968
Crypto Swap Exchange
|
|
June 13, 2019, 02:00:34 PM |
|
Аппаратный кошель - единственный вариант хранения Tether, как наиболее надежный. Сейчас анонимно Tether хранить на официальном аккаунте нельзя. Все сторонние кошельки типа Exodus доверия не вызывают. Хранить Tether на бирже - до случая. Потому Ledger к сожалению, единственный выход для стейблкоина.
Так как эта тема о сравнении Ledger и Trezor кошельков, то в контексте хранения стейблкоинов между ними различия нет. Ну а если офтопить, то можно хранить на холодном MEW, например. [Для новичков, на всякий случай, напишу - MEW в основном режиме работы "горячий" кошелек, но есть вариант использования его на офлайн-компьютере.] |
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
June 13, 2019, 02:40:52 PM |
|
Аппаратный кошель - единственный вариант хранения Tether, как наиболее надежный. Может быть, не спорю. Тетером не пользуюсь, и не собираюсь. Все сторонние кошельки типа Exodus доверия не вызывают. Пару лет назад тестил Exodus, норм кошелек, переписывался с одним из девов (их тогда было двое). Проблем с кошельком у меня не было, но факт остается фактом -- код кошелька пока что закрыт. Хранить Tether на бирже - до случая. Да не, биржи не вариант, если норм сумма. Тетер, это же ведь Omni, значит... https://www.omniwallet.org/ должен работать. Но как там с безопасностью я не знаю. Ну и Coinomi еще есть. Хотя код вроде открыт не полностью. |
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1968
Crypto Swap Exchange
|
|
June 13, 2019, 02:56:56 PM |
|
Тетер, это же ведь Omni, значит...
Уже давно есть и ERC20-токен, некоторые биржи его депозитят/выводят наравне с омни. |
|
|
|
UNBELIEVER
Member
Offline
Activity: 203
Merit: 19
|
|
June 18, 2019, 02:08:30 PM
Last edit: June 18, 2019, 03:40:23 PM by UNBELIEVER |
|
Аппаратный кошель - единственный вариант хранения Tether, как наиболее надежный. Может быть, не спорю. Тетером не пользуюсь, и не собираюсь. Все сторонние кошельки типа Exodus доверия не вызывают. Пару лет назад тестил Exodus, норм кошелек, переписывался с одним из девов (их тогда было двое). Проблем с кошельком у меня не было, но факт остается фактом -- код кошелька пока что закрыт. Хранить Tether на бирже - до случая. Да не, биржи не вариант, если норм сумма. Тетер, это же ведь Omni, значит... https://www.omniwallet.org/ должен работать. Но как там с безопасностью я не знаю. Ну и Coinomi еще есть. Хотя код вроде открыт не полностью. Поизучал OMNI. OMNI Wallet это горячий онлайн кошелек. Отпадает. Еще у них есть проект OMNI CORE. Это уже холодный кошелек для Тезера, сделан на ядре Bitcoin CORE 14-ой версии. Так вот в чем трабла. У меня установлен Bitcoin Core 18-ой версии. После установки OMNI Core он сразу хватается за папку с выкаченным блокчейном битка, но из-за разных версий стартует синхронизацию заголовков, которая длится целый день! При том, что блокчейн находится на SSD диске. Далее всплывает вторая хрень. Если теперь запустить Bitcoin Core 18, то последний ругается на свою папку и также стартует синхронизацию заголовков, которая занимает еще один день. Почему команда OMNI не обновляет своего клиента до актуальной 18-ой версии, мне непонятно. Но в таком режиме пользоваться OMNI Core невозможно. Есть какие идеи как на одном ПК иметь оба Core? |
|
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1968
Crypto Swap Exchange
|
|
June 18, 2019, 02:22:28 PM
Last edit: June 18, 2019, 02:49:39 PM by igor72 |
|
Вероятно, разнести блокчейны по разным папкам и запускать с -datadir к соответствующей папке (или в конфиге путь прописать).
А зачем вам Omni Core, если не секрет? Чем ERC-20 не устраивает? Кстати, я думаю, можно омни тезер и на леджере/трезоре хранить через Electrum (но сам не проверял). Или просто в электруме. Немного сложноватая процедура создания транзакции, но возможно, если очень надо ).
зы. Наверное, имелось в виду локальный, а не офлайновый...
|
|
|
|
UNBELIEVER
Member
Offline
Activity: 203
Merit: 19
|
|
June 18, 2019, 03:39:50 PM |
|
Вероятно, разнести блокчейны по разным папкам и запускать с -datadir к соответствующей папке (или в конфиге путь прописать).
А зачем вам Omni Core, если не секрет? Чем ERC-20 не устраивает? Кстати, я думаю, можно омни тезер и на леджере/трезоре хранить через Electrum (но сам не проверял). Или просто в электруме. Немного сложноватая процедура создания транзакции, но возможно, если очень надо ).
зы. Наверное, имелось в виду локальный, а не офлайновый...
Да, задача хранить Тезер на локальном, холодном кошельке, у которого открытый код. Всякие Электрумы неподходят, т.к. в один прекрасный момент баланс может обнулиться. Неизвестно какие бэкдоры заложены разработчиками... Бинанс например не поддерживает вывод ERC-20 Тезер, только ввод. Это лишний геморрой для конвертации одного тезера в другой. Видимо буду с datadir экспериментировать. |
|
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1968
Crypto Swap Exchange
|
|
June 18, 2019, 04:04:06 PM |
|
Вероятно, разнести блокчейны по разным папкам и запускать с -datadir к соответствующей папке (или в конфиге путь прописать).
А зачем вам Omni Core, если не секрет? Чем ERC-20 не устраивает? Кстати, я думаю, можно омни тезер и на леджере/трезоре хранить через Electrum (но сам не проверял). Или просто в электруме. Немного сложноватая процедура создания транзакции, но возможно, если очень надо ).
зы. Наверное, имелось в виду локальный, а не офлайновый...
Да, задача хранить Тезер на локальном, холодном кошельке, у которого открытый код. Всякие Электрумы неподходят, т.к. в один прекрасный момент баланс может обнулиться. Неизвестно какие бэкдоры заложены разработчиками... Во-первых, локальный и холодный - разные понятия. Core - локальный и горячий. Потом, Электрум - отличный кошелек с открытым кодом, никаких бэкдоров там нет, если соблюдать меры безопасности, ничего там просто так не обнулится. Вы его с чем-то спутали, наверное. Но я не настаиваю, тем более это биткоин-кошелек, и чтобы отправлять с него тезер, нужно делать лишние телодвижения - не каждому подойдет. ERC-20 Тезер Бинанс например не поддерживает. Это лишний геморрой для конвертации одного тезера в другой.
Видимо буду с datadir экспериментировать.
Должно получиться, не вижу препятствий. Но такая громоздкая система... Дело вкуса, конечно. |
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
|
July 20, 2019, 11:16:21 AM
Last edit: July 20, 2019, 03:12:04 PM by johhnyUA Merited by chimk (4), imhoneer (1), igor72 (1) |
|
По поводу чипов, важным будет отметить вот эту статью: https://blog.trezor.io/is-banking-grade-security-good-enough-for-your-bitcoins-284065561e9bУ команды Трезора интересный взгляд на "секьюрные банковские чипы" и я с ними по первому пункту очень согласен. Все производители чипов, и оборудования для анализа этих самых чипов часто под сильным контролем властей. Был на конференции по поводу hardware хакинга, так всякие топовые тех станции для анализа, перепрошивки (и взлома конечно же) "железа", стоимостью по пол миллиона у.е. просто так не продаются. Там везде нужно разрешение от властей той страны в которой фирма, а иногда сразу и двух стран (продающей и принимающей). Это слова секьюрити специалиста по этому вопросу. А закрытый код (в ST31H320 он именно такой. Пруф) + контроль гос органов это далеко не лучший вариант для крипто анархистического сообщества К тому же, если чип с открытым кодом (та же линейка STM32) может перепрошить хоть Трезор, хоть Вася дома у себя, то чип линейки ST31 может перепрошивать только компания STMicroelectronics (которой эти две линейки чипов и принадлежат). Вот представьте ситуацию: находят у ST31 уязвимость которая относится только к Леджеру. Леджер сам не может выпустить новую прошивку (даже фактически не может, это вам не винда, что взял, декомпилировал и переписал. прошивка в таких чипах полностью закрыта), ей нужно обращаться к ST, ждать пока местные спецы что-то склепают, получать прошивку. А это будет и не бесплатно скорее всего, что в свою очередь может застопорить процесс. Нет скорости и гибкости. Добавлю важное: Опять таки, из-за этого всего реально защита от левых злоумышленников, хакеров - немного слабнет. Так как получил доступ к самому устройству, можешь сдампить память чипа (если успеешь, под воздействием теплового движения атомов которые теряют магнитные моменты чип "забывает" информацию спустя непродолжительное время. Именно из-за этого кстати всякие ФБР при штурме логовищ мамкиных хакеров опускают оперативку в жидкий азот). Но зато можно спать спокойно и не бояться что завтра Пыня нажмет кнопку на троне и все биткоины с Леджеров переведутся к нему, чтобы переродить его в трансцендентногосверхПутина. |
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1968
Crypto Swap Exchange
|
|
July 20, 2019, 04:14:43 PM |
|
Там к статье есть такой комментарий: This point is entirely invalid.
Trezor is running on a closed source microprocessor chip, so this makes it no different than a design with closed secure element chip.
In fact every wallet in existence is running on closed source hardware.
Even if you design your own processor and implement it using FPGA, who says that the FPGA isn’t flawed, this has happened before.
Even if you fabricate your own ASIC, who says that the factory doesn’t insert backdoor circuits, again this has happened before.
Why do you trust STMicroelectronics M3 more than anything else (secure elements)? Кто-нибудь может опровергнуть эти утверждения? Но зато можно спать спокойно и не бояться что завтра Пыня нажмет кнопку на троне и все биткоины с Леджеров переведутся к нему, чтобы переродить его в трансцендентногосверхПутина.
Чтобы пыня точно не добрался, крупные суммы лучше держать, например, в мультиподписном кошельке (из леджера с электрумом получается очень удобный мультисиг-кошелек), для электрума можно даже какой-то простейший сид использовать - этого будет достаточно. |
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
|
July 20, 2019, 08:19:05 PM |
|
This point is entirely invalid.
Trezor is running on a closed source microprocessor chip, so this makes it no different than a design with closed secure element chip.
In fact every wallet in existence is running on closed source hardware.
Even if you design your own processor and implement it using FPGA, who says that the FPGA isn’t flawed, this has happened before.
Even if you fabricate your own ASIC, who says that the factory doesn’t insert backdoor circuits, again this has happened before.
Why do you trust STMicroelectronics M3 more than anything else (secure elements)? Кто-нибудь может опровергнуть эти утверждения? Ну вот как я вижу. Открываем секьюрный чип линейки ST31 - https://www.st.com/en/secure-mcus/st31h320.html#overview . там у нас только такие возможности как "овервью", "ресурсы" (не в том смысле), а также же гарантии качества. Открываем например Даташит чипа от Trezor Model T, STM32F427/437 - https://www.st.com/en/microcontrollers-microprocessors/stm32f427-437.html Что мы там видим? Правильно - "tools & software". Чего нет в секьюрной линейке ST31 (и других секьюрных чипах, дам спойлер). Что видим в этом подразделе? Подразделы: Development Tools - то, что мы ищем EcosystemsEmbedded Software - и это тоже Evaluation Tools - да и это сойдет Solutions & Reference DesignsSupport and ApplicationsТобишь, если судить по моему поверхностному взгляду все то, что нужно собственно для разработки/модификации/улучшения (или ухудшения, хи) данного чипа. |
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1968
Crypto Swap Exchange
|
|
July 20, 2019, 08:36:06 PM
Last edit: July 20, 2019, 08:47:32 PM by igor72 |
|
Это понятно. Там чувак в комментарии выражает сомнение, мол, "а где гарантия, что этот STM32 не имеет бэкдор, зашитый в чип при производстве?". Кстати, я видел когда-то пост СТО леджера на реддите, где он тоже на это намекал. Интересно, насколько это реально?
Или даже не так. Если это реально возможно, на что такой бэкдор способен? Может ли он теоретически отправить сид/ключи через USB или получить информацию возможно будет только при непосредственном подключении к чипу?
По-моему, это все фантазии ).
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1834
Crypto for the Crypto Throne!
|
|
July 20, 2019, 10:44:26 PM Merited by chimk (4), igor72 (1) |
|
Это понятно. Там чувак в комментарии выражает сомнение, мол, "а где гарантия, что этот STM32 не имеет бэкдор, зашитый в чип при производстве?". Кстати, я видел когда-то пост СТО леджера на реддите, где он тоже на это намекал. Интересно, насколько это реально?
Или даже не так. Если это реально возможно, на что такой бэкдор способен? Может ли он теоретически отправить сид/ключи через USB или получить информацию возможно будет только при непосредственном подключении к чипу?
По-моему, это все фантазии ).
Да это фантазии, как по мне. Смотри, у каждого чипа есть условное "сердце". Их бывает несколько. На которое чаще всего и делают атаки когда хотят прочитать конкретный чип. Если там есть какие то блэкбоксы, то это детектится не особо сильным оборудованием очень просто. Так и был найден Майкрософт какой то там контроллер (которым всех пугают, ты понял). Опять таки, я не уверен что ребята из Сатоши Лабс проверяли чипы на блэкбоксы, но я сомневаюсь что они такое бы проигнорили. Во вторых, чип без прошивки это железка по сути. Поэтому при перепрошивке все "бэкдоры" исчезнут по сути сразу. А блэкбоксы со своей некоей прошивкой (если они есть в маленьком чипе) как я выше написал детектятся очень просто обычным замером ответа чипа по напряжению/времени. Притом, это уже не говоря о том, что как мне помнится с определенного геометрического размера монокристаллической кремниевой пластины можно снять определенную емкость (в плане мегабайт) поэтому все становится даже проще - высчитываешь сколько должно быть мегабайт, проверяешь сколько есть. И все, все становится очевидным. |
|
|
|
Doka
Newbie
Offline
Activity: 11
Merit: 3
|
Во вторых, чип без прошивки это железка по сути. Поэтому при перепрошивке все "бэкдоры" исчезнут по сути сразу. если вы думаете что в микроконтроллерах выполнение программы начинается с процедуры main() у меня для вас плохие новости. в зависимости от модели Handler'ы содержащие адреса ячеек прописываются в исходниках (а в случае старта нас интересует один - Reset_Handler), так вот "обещать не значит жениться" - нет гарантированного способа проверить не выполняется ли (например из области начального загрузчика) какой-либо код, который по окончанию затем просто загружает в РС значение адреса, записанного пользователем в ячейке вектора Reset_Handler. FYI, MaskROM как и e-Fuse не стирается никакими программаторами и перепрошивками. А блэкбоксы со своей некоей прошивкой (если они есть в маленьком чипе) как я выше написал детектятся очень просто обычным замером ответа чипа по напряжению/времени.  Не могли бы более подробно описать данный эксперимент - боюсь приведенных вами деталей недостаточно для воспроизведения желающими уличить производителей мк для аппаратных кошельков в наличии закладок. кроме шуток. Притом, это уже не говоря о том, что как мне помнится с определенного геометрического размера монокристаллической кремниевой пластины можно снять определенную емкость (в плане мегабайт) поэтому все становится даже проще - высчитываешь сколько должно быть мегабайт, проверяешь сколько есть. И все, все становится очевидным. о каких мегабайтах идёт речь?... для бэкдора достаточно пары сотен байт, это не говоря о том, что это не память не FLASH, a MaskROM - неперезаписываемая и более плотная, ну еще один факт вдогонку: у большинства STM32 есть bootROM с начальным загрузчиком, так что даже при классическом реверс-инжиниринге кристалла травлением и последующим изучением топологии не выявит ничего подозрительного |
|
|
|
|
|
