Safepal wallet hardware unboxing e opinioni

[babo]

beh e' il minimo ormai per un cold wallet hardware come si deve
direi che pare apposto

non mi ricordo @Lillominato89 ma tutto l'hardware e il software e' opensource?
io credo (e spero) di si perche e' un elemento imprenscidibile per potersi fidare del progetto in se

[1713298675]

1713298675

[duesoldi]

beh e' il minimo ormai per un cold wallet hardware come si deve
direi che pare apposto

non mi ricordo @Lillominato89 ma tutto l'hardware e il software e' opensource?
io credo (e spero) di si perche e' un elemento imprenscidibile per potersi fidare del progetto in se

Qui dicono di no (cerca "closed-source" nella pagina) :

https://7labs.io/tips-tricks/safepal-hardware-wallet.html

[Lillominato89]

beh e' il minimo ormai per un cold wallet hardware come si deve
direi che pare apposto

non mi ricordo @Lillominato89 ma tutto l'hardware e il software e' opensource?
io credo (e spero) di si perche e' un elemento imprenscidibile per potersi fidare del progetto in se

Esiste un github, ma trovo solo il codice delle applicazioni e non del wallet hardware, non so sinceramente se sia proprio Closed-source e in realtà ci capisco ben poco da questo github

https://github.com/safepal

[fillippone]

beh e' il minimo ormai per un cold wallet hardware come si deve
direi che pare apposto

non mi ricordo @Lillominato89 ma tutto l'hardware e il software e' opensource?
io credo (e spero) di si perche e' un elemento imprenscidibile per potersi fidare del progetto in se

Il ledger non mi pare abbia il codice open source.
Trezor credo il contrario.
Non vorrei riaprire vecchie diatribe, ma sono due approcci opposti alla questione, entrambi con punti di forza e di debolezza.

[Lillominato89]

bene o male i codici delle app sono comunque in quel github, strano che non si trovi nulla invece del HW, ma dubito che binance faccia il furbetto di turno ci perde in credibilità in tutto il loro sistema

[duesoldi]

bene o male i codici delle app sono comunque in quel github, strano che non si trovi nulla invece del HW, ma dubito che binance faccia il furbetto di turno ci perde in credibilità in tutto il loro sistema

Eh beh proprio il fatto che dell'hw non si trovi nulla porta decisamente a pensare che sia closed source. Se avessero pubblicato il codice lo si troverebbe molto facilmente con una ricerca.
Binance non penso abbia interesse a fare "giochetti", ma non tanto per non far perdere credibilità al proprio sistema (visto che non credo faccia grossi margini su queste cose, il suo business è un altro), quanto perché non vedo che interessi possa avere a colpire i possessori degli hw wallet che potrà vendere: se volesse tirare tiri mancini avrebbe metodi più facili da seguire.

Io però per principio diffido di hw wallet per i quali non ci sia la possibilità di poter guardare il codice, non puoi avere nessuna certezza che qualcuno non abbia nascosto qualcosa di malevolo.  Nel caso di SafePal non mi riferisco a Binance ovviamente (per quanto detto prima), ma magari qualche dipendente nella posizione giusta e che non avrebbe nulla da perderci nel farlo?

[Speculatoross]

beh e' il minimo ormai per un cold wallet hardware come si deve
direi che pare apposto

non mi ricordo @Lillominato89 ma tutto l'hardware e il software e' opensource?
io credo (e spero) di si perche e' un elemento imprenscidibile per potersi fidare del progetto in se

Il ledger non mi pare abbia il codice open source.
Trezor credo il contrario.
Non vorrei riaprire vecchie diatribe, ma sono due approcci opposti alla questione, entrambi con punti di forza e di debolezza.

Solo per confermare che il ledger non è open source (leggi anche) mentre il trezor si infatti su yt girano pure video di gente che se lo costruisce in casa
https://youtu.be/mZmv4wG6_PE

Ad ogni modo per quanto in linea generale sia d’accordo con duesoldi e chi dice di diffidare quando il codice non è open source, direi che con Ledger si può stare comunque tranquilli.
Ps su GitHub c’è anche una community piuttosto attiva
https://github.com/LedgerHQ

[Lillominato89]

Ma anche io sono d'accordo con le opinioni di @duesoldi ma c'è anche da dire che non è detto al 100% che un sistema chiuso equivalga a frode sicura. C'è da valutare la serietà del team Safepal e di binance, ovvio che se tra i sviluppatori non c'era nominato binance il mio discorso sarebbe stato molto diverso. Ad ogni modo vi farò sapere se mi scammano 

[babo]

Solo per confermare che il ledger non è open source (leggi anche) mentre il trezor si infatti su yt girano pure video di gente che se lo costruisce in casa
https://youtu.be/mZmv4wG6_PE

Ad ogni modo per quanto in linea generale sia d’accordo con duesoldi e chi dice di diffidare quando il codice non è open source, direi che con Ledger si può stare comunque tranquilli.
Ps su GitHub c’è anche una community piuttosto attiva
https://github.com/LedgerHQ

e' vero, non e' del tutto opensource, ha solo il chip, il "cervello" che non e' open
ma e' un compromesso a cui si e' giunti dopo una lunghissima scelta

ergo, avendo questo chip puoi farti il ledger da solo
il trezor chiaramente e' uno step oltre


ma volendo essere ancora piu paranoici, chi ti assicura che abbiano caricato su il firmware che loro dicono?
se non sceldi leggermente a compromessi diventa una spirale che non finisce piu

[fillippone]

<...>
ma volendo essere ancora piu paranoici, chi ti assicura che abbiano caricato su il firmware che loro dicono?
se non sceldi leggermente a compromessi diventa una spirale che non finisce piu

Nessuno.
Nessuno ha la certezza matematica di un bug o una backdor nel Ledger.
Neanche la Ledger stessa, se proprio vogliamo, visto che magari un singolo dipendente "rogue" potrebbe magari mettere  qualche genere di "tweak" nel firmware.

é un rischio, ovviamente.

Diciamo che però ci sono rischi maggiori, superfici di attacco MOLTO più grosse prima di prendere in considerazione questa.
 

[Lillominato89]

diciamo che siamo obbligati a fidarci, così senza un vero perché dei sviluppatori e affidarci al loro "buonsenso". La sicurezza dei fondi non li hai a mio avviso neanche se il wallet te lo crei da solo

[babo]

<...>
ma volendo essere ancora piu paranoici, chi ti assicura che abbiano caricato su il firmware che loro dicono?
se non sceldi leggermente a compromessi diventa una spirale che non finisce piu

Nessuno.
Nessuno ha la certezza matematica di un bug o una backdor nel Ledger.
Neanche la Ledger stessa, se proprio vogliamo, visto che magari un singolo dipendente "rogue" potrebbe magari mettere  qualche genere di "tweak" nel firmware.

é un rischio, ovviamente.

Diciamo che però ci sono rischi maggiori, superfici di attacco MOLTO più grosse prima di prendere in considerazione questa.
 

ESATTO!
quindi arriviamo al punto, quello che ho sempre predicato nel mio corso di sicurezza per trader bitcoin (ancora disponibile)
non puoi essere certo di essere al sicuro al 100%, puoi solo abbassare il tuo RoI (return of investment)

i criminali informatici non sono gente che zappa la terra, spesso e' gente con raffinata intelligenza (non sempre) cmq sa fare i conti matematici basilari

se io devo provare a rubarti dei "probabili" soldi, e le tue difese sono cazzute.. non ci provo nemmeno, perche potresti poi avere 1000 euro in tezos e mi ci pulisco il deretano

se INVECE so che tu hai 1000 bitcoin, cazzo si che ha senso provarci... il RoI e' alto
quindi, non dicendo a nessuno quanti soldi hai e tenendo le difese medio alte, hai n RoI molto basso.. semplicemente i criminali passano al pollo successivo.. gli costa meno tempo

e fidatevi rega, il livello nella media delle persone, E' SOTTO IL PAVIMENTO.. al supermercato vicino alle casse, nel cubotto del manager ci sono i postit con le passwrd.. a ME (11 decimi di vista) visibili.. fate un po' voi

[fillippone]

<...>
ma volendo essere ancora piu paranoici, chi ti assicura che abbiano caricato su il firmware che loro dicono?
se non sceldi leggermente a compromessi diventa una spirale che non finisce piu

Nessuno.
Nessuno ha la certezza matematica di un bug o una backdor nel Ledger.
Neanche la Ledger stessa, se proprio vogliamo, visto che magari un singolo dipendente "rogue" potrebbe magari mettere  qualche genere di "tweak" nel firmware.

é un rischio, ovviamente.

Diciamo che però ci sono rischi maggiori, superfici di attacco MOLTO più grosse prima di prendere in considerazione questa.
 

ESATTO!
quindi arriviamo al punto, quello che ho sempre predicato nel mio corso di sicurezza per trader bitcoin (ancora disponibile)
non puoi essere certo di essere al sicuro al 100%, puoi solo abbassare il tuo RoI (return of investment)

i criminali informatici non sono gente che zappa la terra, spesso e' gente con raffinata intelligenza (non sempre) cmq sa fare i conti matematici basilari

se io devo provare a rubarti dei "probabili" soldi, e le tue difese sono cazzute.. non ci provo nemmeno, perche potresti poi avere 1000 euro in tezos e mi ci pulisco il deretano

se INVECE so che tu hai 1000 bitcoin, cazzo si che ha senso provarci... il RoI e' alto
quindi, non dicendo a nessuno quanti soldi hai e tenendo le difese medio alte, hai n RoI molto basso.. semplicemente i criminali passano al pollo successivo.. gli costa meno tempo

e fidatevi rega, il livello nella media delle persone, E' SOTTO IL PAVIMENTO.. al supermercato vicino alle casse, nel cubotto del manager ci sono i postit con le passwrd.. a ME (11 decimi di vista) visibili.. fate un po' voi

Ma difatti, la parte debole del sistema di sicurezza è sempre l'utente.
Non solo per i rischi di Wrench attack. ma proprio per la "debolezza" dell'utente.
Mi ricordo in uno dei virtual meetup intitolato "21 milioni di perdere i propri bitcoin" si diceva proprio che il peggior nemico possibile dell'utente è proprio l'utente medesimo (un concetto ripetuto da Bertani anche nell'ultimo meetup).

[duesoldi]

Ma difatti, la parte debole del sistema di sicurezza è sempre l'utente.
Non solo per i rischi di Wrench attack. ma proprio per la "debolezza" dell'utente.
Mi ricordo in uno dei virtual meetup intitolato "21 milioni di perdere i propri bitcoin" si diceva proprio che il peggior nemico possibile dell'utente è proprio l'utente medesimo (un concetto ripetuto da Bertani anche nell'ultimo meetup).

"L'arte dell'inganno" di K. Mitnick. Senza leggerlo tutto (la parte finale è un pippone di nessun interesse) basta leggere le prime 40/50 pagine (sono molto leggere, volano in un attimo) e ci si rende conto di quanto facile sia far leva sulle debolezze umane per arrivare a informazioni che dovrebbero essere celate agli altri.
La cosa bella è che leggendolo ogni tanto mi fermavo e mi domandavo: ci sarei cascato anch'io nel raggiro di cui stavo leggendo?  Nell'80% dei casi la risposta era positiva.....    perché davvero l'uomo ha certe debolezze (e nel libro le spiega anche) sulle quali molti di noi inconsapevolmente cadono. L'unica "salvezza" sarebbe seguire rigidi protocolli, che però nella vita di tutti i giorni non sono praticabili.....

Certo che poi se becchi @Babo che con i suoi 11/10 luma le password invece delle gambe delle cassiere.....   

[babo]

bravo @duesoldi
hai letto un ottimo libro, mitnick (aka il condor) era particolarmente abile nei rapporti umani ed era anche abile col computer (cosa molto rara avere entrambi le capacita) quindi aveva la combo del perfetto killer di ingegneria sociale!

a me il libro e' piaciuto tutto

[fillippone]

bravo @duesoldi
hai letto un ottimo libro, mitnick (aka il condor) era particolarmente abile nei rapporti umani ed era anche abile col computer (cosa molto rara avere entrambi le capacita) quindi aveva la combo del perfetto killer di ingegneria sociale!

a me il libro e' piaciuto tutto

Giuro che mentre scrivevo volevo mettere il riferimento a quel libro, poi ho detto "Dai, non fare sempre il saputello Fillippone"... ed invece.... great minds think alike!

Davvero bel libro. Kevin Mitnick, il primo ad ad aver capito l'importanza dell'ingegneria sociale.

Riguardo al'osservazione di duesoldi: mi sono trovato alcune volte a non permettere ad altri di usare il trucco del "treno" (tenere aperta una porta dove è necessario un badge, o non aprirla quando qualcuno mi chiedeva di aprire). Sapete come è finita? é arrivato il capo del capo del capo del mio capo ed  è andato dal capo del capo del mio capo ed ha detto di dire al capo del del mio capo di dire al mio capo che chi si sedeva di fianco alla porta (uno che conoscete) avrebbe dovuto aprire la fottuta porta quando qualcuno lo chiedeva.

[duesoldi]

Riguardo al'osservazione di duesoldi: mi sono trovato alcune volte a non permettere ad altri di usare il trucco del "treno" (tenere aperta una porta dove è necessario un badge, o non aprirla quando qualcuno mi chiedeva di aprire). Sapete come è finita? é arrivato il capo del capo del capo del mio capo ed  è andato dal capo del capo del mio capo ed ha detto di dire al capo del del mio capo di dire al mio capo che chi si sedeva di fianco alla porta (uno che conoscete) avrebbe dovuto aprire la fottuta porta quando qualcuno lo chiedeva.

Dove lavoro io ci sono procedure codificate per fare ogni cosa. Sono talmente pervasive che se uno dovesse leggerle tutte non avrebbe materialmente più tempo per lavorare.
Non scherzo…..
Va beh, la cosa poi paradossale è che ti cambiano il cellulare (aziendale), e per configurare quello nuovo ti dicono: portamelo all'ora X e scrivimi su un foglietto utenza di rete e password. Te lo scrivono nella mail che ti mandano per convocarti !! 

Oppure altro caso: 3 mesi fa mi si è rotta la scheda wifi del portatile, ho aperto un ticket in assistenza e poiché eravamo in lockdown mi hanno detto: portalo in sede (sigh!!) e lascialo nell'ufficio Y (bisognava evitare presenza contemporanea nell'ufficio essendoci il ricircolo forzato dell'aria) con la pwd su un post-it.
Insomma le classiche situazioni dove ufficialmente devi fare in un modo, poi nella pratica ti fanno fare  le "peggio cose".

E naturalmente tutti danno la pwd perché se non lo fai resti senza telefono 2 giorni, e senza portatile…. non so per quanto, soprattutto visto il periodo di lockdown.

[babo]

classico
nella teoria una roba (per pigliare le certificazioni) e nella pratica un altra
poi si fottono dati e soldi, e poi piangono perche gli fanno le multe milionarie

in italia poi non ci sta proprio la cultura della sicurezza informatica, zero.. si puo dire e' iniziato uno o due anni fa a essere un problema compreso

[fillippone]

<...>

Lo scenario che descrivi mi è talmente familiare che mi viene il sopspetto che lavoriamo nella stessa azienda!

Pensate che quando mi hanno dato il cellulare aziendale mi hanno guardato storto quando ho creato al volo un indirizzo di google invece che usare il mio privato:
"Ecco, qui metti il tuo indirizzo gmail..."
"Ma io non ho indirizzo gmail"
"Come? Non hai un indirizzo gmail privato? Quello che usi per il tuo terminale android o per i bakup su gdrive"
"No, perchè? è obbligatorio? Guarda ne creo uno nuovo da zero"
"Sarebbe meglio che usassi il tuo...."

(notare che il mio indirizzo privato, che la mia azienda conosce, è gmail.com).

Riguardo alla password, anche a me la chiedono tutte le volte che devono mettere le mani sul PC, e tutte le volte faccio notare al poveretto di turno l'assurdità della richiesta, e loro: "potrei farlo ugualmente, ma ci metteremmo il triplo del tempo".

Sic.

[babo]

io il problema lho risolto in altro modo
sono io che detto (dettavo) le regole e quindi si faceva come dico io

eh ma ci metto il triplo del tempo

stocazzo, non ci danno la cert. PCI ergo andiamo a casa tutti quanti - e quindi chi faceva sti lavori li faceva COME si deve e non a cazzo di cane

devo dire che cmq mai nessun collega di helpdesk ha mai contestato, tutti super professionisti quelli con cui ho lavorato quindi e' stato semplice

ste cose oltre a farmi venire i brividi mettono a repentaglio la sicurezza, poi fanno i breach e poi la gente piange per le multe