Nienaprawialny bug wszystkich portfeli TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Początkujący
Posty: 279
Rejestracja: 30 stycznia 2020
Reputacja: 113
Reputacja postu: 
2
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfeli TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ttbit » piątek, 14 lutego 2020, 10:37

@koparki Niestety problem bezpieczeństwa jak hacker ma physical access był z nami od zawsze. Nie tylko Trezor ma tu problem, tylko każdy system operacyjny i każde praktycznie urządzenie. Jak attacker ma dostęp do twojego PC, to wgra Ci na dysk cokolwiek mu przyjdzie do głowy i nic z tym nie zrobisz. Tak samo z twoim telefonem, laptopem, tabletem, Trezorem, Ledgerem czy cokolwiek hacker znajdzie.
Tu masz odpowiedź Satoshi Labs na tą lukę: https://blog.trezor.io/our-response-to- ... d23f8949c6
Aby ta luka zadziałała, to musisz nie mieć założonego hasła. Kto nie ma hasła? Jeśli ktoś nie używa hasła, to po co w ogóle używać Trezora?
A więc temat tego posta "Nienaprawialny bug wszystkich portfeli TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela" jest nieaktualny, bo istnieje 100% skuteczne mitigation, trzeba tylko założyć hasło. Nie zdziwię się, gdyby w kolejnej wersji firmware Trezor zmuszał do założenia długie hasła, wtedy nie da się mieć podatnego na atak fizyczny Trezora.

Przy wyborze walleta do trzymania naszego crypto trzeba wziąć pod uwagę dwa aspekty: jak bardzo chcemy być chronieni przed remote attack (jeśli nam nie zależy, używamy zwykłego walletu typu Coinomi), jeśli nam zależy, to używamy Trezor i tym podobne.
Jeśli boimy się physical attack, to używamy paperwalletów, brain walletów czy offline walletów z kartą SD, gdzie prawdziwy wallet nigdy nie jest online. Przykład to ColdCard: https://coldcardwallet.com/ (tego akurat nie sprawdzałem, ale wygląda obiecująco).

Każdy ma swój poziom paranoi, pamiętaj, że te HW wallety są obsługiwane na dziurawych systemach, Windows, Linux, 0-day exploity są znajdowane codziennie, nigdy nie masz 100% bezpieczeństwa.
Ostatnio zmieniony piątek, 14 lutego 2020, 10:49 przez ttbit, łącznie zmieniany 1 raz.

Moderator
Awatar użytkownika
Posty: 6493
Rejestracja: 17 listopada 2011
Reputacja: 4194
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfeli TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: koparki » piątek, 14 lutego 2020, 10:49

ttbit pisze: piątek, 14 lutego 2020, 10:37Nie tylko Trezor ma tu problem, tylko każdy system operacyjny
Zaszyfrowany dysk(z linuxem+portfelami) to cegła z którą nic nie zrobisz (veracrypt lub linuksowy luks).

Początkujący
Posty: 279
Rejestracja: 30 stycznia 2020
Reputacja: 113
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfeli TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ttbit » piątek, 14 lutego 2020, 10:53

koparki pisze: piątek, 14 lutego 2020, 10:49Zaszyfrowany dysk to cegła z którą nic nie zrobisz (veracrypt lub linuksowy luks).

To samo: Zaszyfrowany hasłem Trezor to breloczek, z którym nic nie zrobisz.

Ten "bug" zgłoszony przez Kraken Security Labs to jest jakby ogłosić, że Windows i Linux ma fatalny security flaw, bo jak nie jest zaszyfrowany Veracryptem to jest podatny na fizyczny atak wyciągnięcia danych z dysku.
To użytkownicy wybierają convenience vs security. Nie można mieć jednego i drugiego naraz. Albo kupujesz HW wallety i szyfrujesz je odpowiednio i przestrzegasz wszelkich zasad bezpieczeństwa, czytasz i interpretujesz newsy odnośnie zabezpieczeń urządzenia (tak jak tutaj, każdy użytkownik Trezora ma do sprawdzenia teraz czy na pewno ma założone hasło, aby nie być podatnym na ten atak) albo masz Coinomi na telefonie i się nie przejmujesz.

Moderator
Awatar użytkownika
Posty: 6493
Rejestracja: 17 listopada 2011
Reputacja: 4194
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfeli TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: koparki » piątek, 14 lutego 2020, 10:58

@ttbit od portfela który kosztuje tyle co niezły laptop spodziewam sie zabezpieczenia przed dostępem fizycznym , zamiast tego mamy możliwość hacka który kosztuje 2x mniej niz portfel :D . O to chodzi z zarzutem wobec Trezor.

Początkujący
Posty: 279
Rejestracja: 30 stycznia 2020
Reputacja: 113
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfeli TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ttbit » piątek, 14 lutego 2020, 11:00

No niestety :) Konkurencja nie śpi i zawsze można wybrać inny portfel. Problem w tym, że każdy inny fizyczny portfel też ma podobne luki, tylko trzeba trochę poczekać, aż zostaną znalezione. Wtedy trzeba albo zainstalować poprawkę albo zastosować podane zalecenia - w tym przypadku upewnić się, że hasło jest założone, nawet nie trzeba aktualizować firmware. Security to ruchomy cel, ciągle coś nowego nas atakuje i trzeba mieć rękę na pulsie.
Mnie akurat cieszy, że powstaje coraz więcej portfeli, każdy może znaleźć cos dla siebie. :)

Dodano po 1 godzinie 41 minutach 32 sekundach:
Bitwa tytanów HW wallets trwa w najlepsze :)
https://cointelegraph.com/news/ledger-r ... t-hardware

Wróć do „Bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości