Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Zawsze mam rację
Awatar użytkownika
Posty: 6545
Rejestracja: 15 lutego 2011
Reputacja: 4151
Reputacja postu: 
20
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 11:30

Wszystkie produkowane obecnie i w przeszłości wersje portfela TREZOR oraz jego klonów mają nienaprawialnego buga, który umożliwia ekstrakcję kluczy prywatnych z użyciem sprzętu kosztującego poniżej 100 dolarów w czasie poniżej 5 minut.

Konieczne jest fizyczne posiadanie portfela przez złodzieja, więc scenariusz o którym mowa to kradzież portfela.

Twórcy TREZORa przyznają, że o tej możliwości wiedzieli od początku projektowania swojego portfela.

Jedyną możliwością ochronienia się przed atakiem jest zabezpieczenie portfelów TREZOR hasłem o długości co najmniej 37 losowych znaków.

Źródło:
https://ledger-donjon.github.io/Unfixab ... on-Trezor/

Dyskusja:
old.reddit.com/r/btc/comments/c8zdsk/unfixable_seed_extraction_on_trezor_a_practical/

Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Weteran
Posty: 3399
Rejestracja: 8 listopada 2013
Reputacja: 744
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: bl4ck » czwartek, 4 lipca 2019, 12:13

ja jebie....

Wygadany
Posty: 680
Rejestracja: 25 kwietnia 2016
Reputacja: 309
Reputacja postu: 
3
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ikswodnal » czwartek, 4 lipca 2019, 12:40

ShadowOfHarbringer pisze: czwartek, 4 lipca 2019, 11:30Wszystkie produkowane obecnie i w przeszłości wersje portfela TREZOR oraz jego klonów mają nienaprawialnego buga
To chyba kończy dyskusję o pozornej wyższości portfeli sprzętowych nad "papierowymi"

Zawsze mam rację
Awatar użytkownika
Posty: 6545
Rejestracja: 15 lutego 2011
Reputacja: 4151
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 12:59

ikswodnal pisze: czwartek, 4 lipca 2019, 12:40
To chyba kończy dyskusję o pozornej wyższości portfeli sprzętowych nad "papierowymi"
Ja tam nigdy nie miałem portfelów sprzętowych. Jakoś coś mi nie pasowało do końca.

Myślę, że to co się teraz dzieje może to wyjaśniać.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Weteran
Awatar użytkownika
Posty: 12366
Rejestracja: 7 września 2015
Reputacja: 10019
Reputacja postu: 
1
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: Wymazywanie » czwartek, 4 lipca 2019, 13:06

ikswodnal pisze: czwartek, 4 lipca 2019, 12:40To chyba kończy dyskusję o pozornej wyższości portfeli sprzętowych nad "papierowymi"
Nie, dlaczego? Przecież Trezor to nie jedyny portfel sprzętowy. Czy Nano Ledgera też można tak złamać? Nie widziałem nigdy takiej informacji.
ShadowOfHarbringer pisze: czwartek, 4 lipca 2019, 11:30Twórcy TREZORa przyznają, że o tej możliwości wiedzieli od początku projektowania swojego portfela.
O to jest chore.

Dodano po 1 minucie 24 sekundach:
Ps. Link do reddita ma o jedno / za dużo na końcu.
"It's not a problem if transactions have to wait one or a few extra cycles to get into a block" ;)
Satoshi Nakamoto

Zawsze mam rację
Awatar użytkownika
Posty: 6545
Rejestracja: 15 lutego 2011
Reputacja: 4151
Reputacja postu: 
1
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 13:08

Wymazywanie pisze: czwartek, 4 lipca 2019, 13:06 Nie, dlaczego? Przecież Trezor to nie jedyny portfel sprzętowy. Czy Nano Ledgera też można tak złamać? Nie widziałem nigdy takiej informacji.

Problemem jest nie to czy można w tym momencie złamać.

Problemem jest co innego: W momencie wykrycia krytycznego buga, jego naprawienie może być niemożliwe bez totalnego przeprojektowania sprzętu - dokładnie tak jak w tym wypadku.

Oprogramowanie jest bardziej elastyczne. Z użyciem nawet kilku, kilkunastu linii kodu jesteś w stanie totalnie zmienić funkcjonowanie całego portfela, i rozpropagować tą łatkę po świecie do wszystkich użytkowników w godziny, jeśli nie minuty.

Portfele sprzętowe są nieodporne na krytyczne błędy, bo są zwyczajnie zbyt mało elastyczne.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Bardzo Zły Moderator
Awatar użytkownika
Posty: 13106
Rejestracja: 16 kwietnia 2012
Reputacja: 1861
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: rav3n_pl » czwartek, 4 lipca 2019, 13:36

I dlatego tylko Tails + Electrum na penie xDDD
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Mój Skydrive; Trochę o P2pool; C#: RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.18.1

Weteran
Awatar użytkownika
Posty: 3126
Rejestracja: 14 marca 2011
Reputacja: 579
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: maky » czwartek, 4 lipca 2019, 14:09

O podatności Trezora czytałem od lat. Coś mnie ominęło?
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.
Be the chan­ge you want to see in the wor­ld.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Zawsze mam rację
Awatar użytkownika
Posty: 6545
Rejestracja: 15 lutego 2011
Reputacja: 4151
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 14:51

maky pisze: czwartek, 4 lipca 2019, 14:09O podatności Trezora czytałem od lat. Coś mnie ominęło?
Tak, wcześniej twórcy trezora twierdzili że trzeba sprzętu za $100.000 żeby dokonać ataku, więc zlekceważyli to.

Teraz ktoś ten sam atak wykonał na sprzęcie za $100.

Dodano po 1 minucie 17 sekundach:
rav3n_pl pisze: czwartek, 4 lipca 2019, 13:36I dlatego tylko Tails + Electrum na penie xDDD
E tam.

Najlepszy jest zaszyfrowany portfel papierowy (+QR code) zalany przeźroczystą żywicą. Wytrzyma tysiące lat.

Przypominam, że klucz prywatny może być zaszyfrowany hasłem. Hasło można schować w innym miejscu i później tylko spadkobiercom w testamencie zostawić to drugie miejsce (w razie "W").
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Weteran
Awatar użytkownika
Posty: 3126
Rejestracja: 14 marca 2011
Reputacja: 579
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: maky » czwartek, 4 lipca 2019, 15:02

ShadowOfHarbringer pisze: czwartek, 4 lipca 2019, 14:52ak, wcześniej twórcy trezora twierdzili że trzeba sprzętu za $100.000 żeby dokonać ataku, więc zlekceważyli to.

Teraz ktoś ten sam atak wykonał na sprzęcie za $100.
IMHO nawet przy 100.000 to już była dyskwalifikacja tak więc poszedł do kosza.

Dodano po 5 minutach 47 sekundach:
"The seed extraction attack works on several open source hardware wallets: B Wallet, Keepkey, Trezor One, and Trezor T" - to i KeepKey?
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.
Be the chan­ge you want to see in the wor­ld.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Zawsze mam rację
Awatar użytkownika
Posty: 6545
Rejestracja: 15 lutego 2011
Reputacja: 4151
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 15:11

maky pisze: czwartek, 4 lipca 2019, 15:08 "The seed extraction attack works on several open source hardware wallets: B Wallet, Keepkey, Trezor One, and Trezor T" - to i KeepKey?
Wszystko co jest klonem Trezora.

Najwyraźniej KeepKey jest, chociaż nie mam dokładnych informacji.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Weteran
Awatar użytkownika
Posty: 3126
Rejestracja: 14 marca 2011
Reputacja: 579
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: maky » czwartek, 4 lipca 2019, 15:14

ShadowOfHarbringer pisze: czwartek, 4 lipca 2019, 15:11Wszystko co jest klonem Trezora.

Najwyraźniej KeepKey jest, chociaż nie mam dokładnych informacji.


Na stronie ani słowa o testowaniu Ledgera...
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.
Be the chan­ge you want to see in the wor­ld.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Zawsze mam rację
Awatar użytkownika
Posty: 6545
Rejestracja: 15 lutego 2011
Reputacja: 4151
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 15:16

maky pisze: czwartek, 4 lipca 2019, 15:14 Na stronie ani słowa o testowaniu Ledgera...
Drąż temat sam.

Ja nie jestem aż tak zainteresowany sprawą, nie używam portfeli sprzętowych w ogóle.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Weteran
Posty: 1300
Rejestracja: 7 listopada 2013
Reputacja: 558
Reputacja postu: 
1
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: redbog » czwartek, 4 lipca 2019, 15:19

Trezor jest/powinien być bardziej odpowiednikiem gotówki noszonej w kieszeni czy portfelu, w żadnym wypadku nie do trzymania oszczędności życia i jeszcze do tego noszenia tego ze sobą.

Jeśli nosimy coś w kieszeni musimy zakładać że możemy być okradzeni lub możemy to zgubić. Takie sytuacje przeważnie są dość rzadkie choć oczywiście zależą od terytorium po którym się poruszamy i indywidualnej zdolności do gubienia rzeczy.

W przypadku gotówki praktycznie oznacza to automatyczną stratę. W przypadku trezora niekoniecznie bo dodatkowo musi to być ogarnięty technicznie złodziej lub znalazca-złodziej i do tego szybszy od nas bo przecież po fakcie powinniśmy jak najszybciej przenieść środki korzystając z kopii zapasowej.

Weteran
Awatar użytkownika
Posty: 3126
Rejestracja: 14 marca 2011
Reputacja: 579
Reputacja postu: 
2
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: maky » czwartek, 4 lipca 2019, 15:25

redbog pisze: czwartek, 4 lipca 2019, 15:19Trezor jest/powinien być bardziej odpowiednikiem gotówki noszonej w kieszeni czy portfelu
Tylko po co jeśli za podobną cenę kupimy coś bez (znanej dzisiaj) dziury?

Dodano po 35 sekundach:
Jako portmonetka wystarczy komórka.
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.
Be the chan­ge you want to see in the wor­ld.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Weteran
Posty: 1300
Rejestracja: 7 listopada 2013
Reputacja: 558
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: redbog » czwartek, 4 lipca 2019, 15:28

@maky Ledger chyba nie jest w pełni open ale jeśli tak samo założymy że do małych sum noszonych przy sobie to też jet ok.
Ostatnio zmieniony czwartek, 4 lipca 2019, 16:14 przez redbog, łącznie zmieniany 1 raz.

Zawsze mam rację
Awatar użytkownika
Posty: 6545
Rejestracja: 15 lutego 2011
Reputacja: 4151
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 15:31

redbog pisze: czwartek, 4 lipca 2019, 15:19Trezor jest/powinien być bardziej odpowiednikiem gotówki noszonej w kieszeni czy portfelu
Do dupy pomysł.

A jak go zgubisz to co? Złodziej się włamie i hajs stracony?

Co gdyby wszyscy zaczęli go używać? Złodzieje szybko by się dostosowali i nauczyli się to łamać.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Weteran
Posty: 1300
Rejestracja: 7 listopada 2013
Reputacja: 558
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: redbog » czwartek, 4 lipca 2019, 16:03

ShadowOfHarbringer pisze: czwartek, 4 lipca 2019, 15:31 A jak go zgubisz to co? Złodziej się włamie i hajs stracony?
Jeśli zdąży przed tobą to tak.
ShadowOfHarbringer pisze: czwartek, 4 lipca 2019, 15:31 Co gdyby wszyscy zaczęli go używać? Złodzieje szybko by się dostosowali i nauczyli się to łamać.
Częściowo tak, ale doliniarze to ogóle gatunek wymierający głównie ze względu na duże ryzyko, wszędzie kamery itp. w tych czasach to raczej desperaci tym się zajmują żyjący z dnia na dzień, bardzo rzadko bierze się za to ktoś podchodzący bardziej profesjonalnie. Dodanie kolejnego utrudnienia dla tej wymierającej branży będzie dla większości gwoździem do trumny. Ale ktoś zostanie wiec ryzyko biedzie zawsze.
ShadowOfHarbringer pisze: czwartek, 4 lipca 2019, 15:31Do dupy pomysł.
Podaj lepszy.

Ledger chyba nie jest open ale też do małych sum może być ok, sami musimy decydować które ryzyko wolimy.

https://coldcardwallet.com/ wydaje się być spoko ale ciekawe czy też nie byłby podatny na to co trezor gdyby ktoś wziął go konkretnie na warsztat no i wygląd jest nazwijmy to za mocno geekowski do takiego użytkowania bardziej codziennego.

Bedzie jeszcze bitbox 2 z wyglądem bardziej cywilizowanym i z usb c w sam raz pod smartfona ale coś więcej ciężko powiedzieć bo na razie jest tylko beta. Wersja 1 była niby ok albo nikt porządnie jej nie przebadał, taką ewidentną wadą 1 był brak ekranu.

Dodano po 7 minutach 37 sekundach:
maky pisze: czwartek, 4 lipca 2019, 15:25 Jako portmonetka wystarczy komórka.
W sumie też fakt i to jeszcze najlepiej bez pinu. Nieziemsko denerwują mnie portfele które nie pozwalają na wyłączenie pinu przecież i tak ustawiam 12345 żeby nie zapomnieć co nie ma w ogolę sensu i zabiera tylko czas. Zamiast pinu wolałbym odcisk palca ale chyba takiego portfela jeszcze nie ma.
Ostatnio zmieniony czwartek, 4 lipca 2019, 16:55 przez redbog, łącznie zmieniany 1 raz.

Weteran
Awatar użytkownika
Posty: 3126
Rejestracja: 14 marca 2011
Reputacja: 579
Reputacja postu: 
3
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: maky » czwartek, 4 lipca 2019, 16:44

redbog pisze: czwartek, 4 lipca 2019, 16:11ale chyba takiego portfela jeszcze nie ma.
Zależy do czego. Do DASH-a jest.

Dodano po 2 minutach 4 sekundach:
redbog pisze: czwartek, 4 lipca 2019, 16:11Ledger chyba nie jest open ale też do małych sum może być ok
Czytałem artykuł gdzie był opis. Podatności na ten atak co trezor było brak ale problemem była jednostka pseudolosowa. Zalecano samodzielne generowanie seedu.
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.
Be the chan­ge you want to see in the wor­ld.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Wygadany
Posty: 680
Rejestracja: 25 kwietnia 2016
Reputacja: 309
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ikswodnal » czwartek, 4 lipca 2019, 17:44

ShadowOfHarbringer pisze: czwartek, 4 lipca 2019, 14:52Przypominam, że klucz prywatny może być zaszyfrowany hasłem. Hasło można schować w innym miejscu i później tylko spadkobiercom w testamencie zostawić to drugie miejsce
Można też inaczej. Zalakowana, opisana, podwójna koperta z portfelem "papierowym" złożona z testamentem u notariusza. Jeżeli środki znikną, po sprawdzeniu testamentu czy nie naruszone koperty, odpowiedzialność ponosi deponujący. Do takiego postępowania się przymierzam, bardziej chodzi o zrobienie wreszcie testamentu, deponować nie mam za bardzo co :-)

Wróć do „Bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości