Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Dyskutant
Awatar użytkownika
Posty: 256
Rejestracja: 4 sierpnia 2017
Reputacja: 198
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: KamilZ » niedziela, 21 lipca 2019, 17:12

@ShadowOfHarbringer
Tak, pin też jest, ale jak pisałeś nawet 9 cyfr można łatwo złamać.
Tu chodzi o dodatkowe hasło, czy raczej dodatkowe słowo które służy do generowania seeda (24 + 1).
Czy ono nie może być uważanie jako coś tożsamego z hasłem do szyfrowania minta?

Część dziur w intelu można załatać programowo. Część można załatać tylko obcinając funkcjonalność.
Tutaj procesor w trezorze przegrywa, bo jest pewnie zbyt prosty w porównaniu do intelowskich i może nie mieć możliwości aktualizacji mikrokodu.
Nie mniej jednak, można sobie, bez dużej trudności, wyobrazić "niełatalną" dziurę w intelu, na zasadzie, że albo wyłączasz go całkowicie, albo jesteś podatny na atak, bo np. procesor wycieka nieszyfrowaną transmisję z pamięcią.
(Podobny przypadek był w kwestii dysków twardych, gdzie ich wewnętrzny system zarządzania pracą był już tak skomplikowany, że umożliwił instalacje złośliwego kodu. Całe szyfrowanie tych dysków przestało mieć sens, bo ich bios przechwytywał wszystko)

Z tego co mi wiadomo Ledger miał się rozmówić z producentem tego procesora, bo atak na trezora korzysta właśnie ze słabości ujawnionej w chipie, co ma o wiele szersze konsekwencje niż tylko portfele sprzętowe. Wygląda to tak, jakby znaleźli backdoora w tym konkretnym procku.

W tym kontekście słowa producentów trezora, że żaden sprzęt nie jest 100% bezpieczny nabierają większego sensu, a przewidzieli to rzekomo już na początku produkcji.

Osobiście uważam, że jako metoda radzenia sobie ze zdalnymi atakami to portfele sprzętowe są nadal bardzo bezpieczne.

Zastanawia mnie jeszcze czy łatwiej znaleźć 0-day (do wykorzystania zdalnego online) w przeogromnym linuxie czy w dosyć krótkim oprogramowaniu Trezora? Ma to jakieś znaczenie?

@Bit-els To co mówisz też należy brać pod uwagę, ale ja wolę nie liczyć, że szczęście nam dopisze.

Początkujący
Posty: 2
Rejestracja: 21 lipca 2019
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: normal » niedziela, 21 lipca 2019, 18:56

Jeżeli nie portfel sprzętowy, to co? Nowy PC? Czy zakup nowego komputera będzie rozwiązaniem?

Poszperałem trochę. Wygląda na to, że obecnie jedynym bezpiecznym sposobem na korzystanie z portfeli kryptowalut na PC jest zakup drogiego procesora AMD RYZEN z serii 3000 opartego na architekturze ZEN2 (bo tylko najnowsze procesory oparte na architekturze ZEN2 mają sprzętowe zabezpieczenie przez wszystkimi znanymi obecnie atakami hackerskimi, natomiast wszystkie pozostałe, jak np. AMD RYZEN serii 3000, ale oparte na poprzedniej architekturze ZEN+, a także wszystkie pozostałe procesory AMD RYZEN z serii 2000, 1000, wszystkie Athlony, wszystkie procesory z serii A, a także wszystkie wyprodukowane do tej pory procesory Intela, nawet te najdroższe: Intel Core i9, i7, jak i te nieco tańsze: Intel Core i5, i3, a także wszystkie Pentiumy i Celerony są podatne na ataki hackerów.

A tutaj filmik pokazujący, jak wygląda jeden z przykładowych ataków:


Albo tutaj drugi filmik:


Wygląda na to, że atakujący, nie tylko widzi wszystkie dane, które wpisujemy na klawiaturze (wszystkie nasze loginy, hasła), widzi dosłownie wszystko, co na tym komputerze robimy (wszystkie strony, wszystkie dokumenty, wszystkie zdjęcia, które oglądamy).

Zastanawiam się na wyrzuceniem swojego starego komputera i kupieniem nowego – z nowym procesorem AMD RYZEN z serii 3000 opartym na architekturze ZEN2 (czyli np. AMD RYZEN 7 3700X, a nie np. AMD RYZEN 3 3200G, który, mimo tego, że jest procesorem z najnowszej serii 3000, to jednak w dalszym ciągu jest on podatny na ataki, ponieważ opiera się na architekturze ZEN+, a nie ZEN2). Ale zastanawiam się, czy warto ładować kupę kasę w zakup najnowszego komputera czy może dalej używać komputera z procesorem podatnym na ataki, ale z zainstalowanymi – w systemie Windows 10 – programowymi łatkami bezpieczeństwa? Czy takie programowe łatki bezpieczeństwa są w stanie zapewnić jakiekolwiek bezpieczeństwo? Procesory RYZEN z serii 3000 oparte na architekturze ZEN2 mają zabezpieczenia sprzętowe. Używanie takiego procesora jest chyba bardziej bezpieczne niż poleganie na programowych łatkach bezpieczeństwa. Jak myślicie?

Zakup nowego komputera to dla mnie duży wydatek. Ale z drugiej strony nie chcę stracić oszczędności swojego życia, gdyby, w razie jakiejś wpłaty albo wypłaty, mogło dojść do ataku. Może jest jakieś inne, tańsze – ale równie bezpiecznie – rozwiązanie?
Ostatnio zmieniony niedziela, 21 lipca 2019, 19:27 przez normal, łącznie zmieniany 1 raz.

Weteran
Awatar użytkownika
Posty: 3373
Rejestracja: 14 kwietnia 2016
Reputacja: 1858
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: mecenas » niedziela, 21 lipca 2019, 19:11

normal pisze: niedziela, 21 lipca 2019, 18:56Może jest jakieś inne, tańsze – ale równie bezpiecznie – rozwiązanie?
Nie wiem czy się nie mylę, ale można robić to tak, że jeden komputer (tani zwyklas) zawsze offline (wydłubane WiFi) i tam podpisywać tx kluczem prywatnym po to, aby na komputerze online tylko rozgłaszać wcześniej podpisane tx. Czy na to jest jakiś hack to nie wiem, trzeba by debaty.
• Trading profesjonalny bez rejestracji (lewar 0-100) → www.BitMEX.com
☝ UWAGA! Inwestowanie lub spekulacja wiąże się z ryzykiem utraty kapitału.

Dyskutant
Awatar użytkownika
Posty: 256
Rejestracja: 4 sierpnia 2017
Reputacja: 198
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: KamilZ » niedziela, 21 lipca 2019, 19:16

@normal Te podatności nie zostały ograniczone w intelu przez odłączenie niektórych usług?

Jeśli boisz się tylko zdalnego ataku, to nadal portfel sprzętowy (nawet Trezor) jest bardzo bezpiecznym i łatwym w zastosowaniu rozwiązaniem. Tylko teraz musisz dodać obowiązkowo hasło do seeda trezora (np. mokrusie384komentusie w zupełności wystarczy na wiele lat)

Dodano po 1 minucie 23 sekundach:
@mecenas na to nie ma hacku. Ale podobnie jak trezora może ktoś ci dziabnąć ten komputer offline. (trezor to właśnie taki komputer, który tylko podpisuje transakcje)

Weteran
Awatar użytkownika
Posty: 3373
Rejestracja: 14 kwietnia 2016
Reputacja: 1858
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: mecenas » niedziela, 21 lipca 2019, 19:20

ikswodnal pisze: czwartek, 4 lipca 2019, 17:44Zalakowana, opisana, podwójna koperta z portfelem "papierowym" złożona z testamentem u notariusza.
Zaufana trzecia strona pomiędzy dwiema stronami zainteresowanymi.
Dyskwalifikacja już i podstaw koncepcji. :|

Dodano po 7 minutach 16 sekundach:
KamilZ pisze: niedziela, 21 lipca 2019, 19:18na to nie ma hacku. Ale podobnie jak trezora może ktoś ci dziabnąć ten komputer offline.
No i co z tego, jak tam nie ma w ogóle dysku twardego?
Komp odpalany albo z LIVE, albo z szyfrowanego_USB_linux. Nie ma dysku, nie ma danych... nie ma nawet baterii do podtrzymania RAMu.

Dodano po 1 minucie 50 sekundach:
KamilZ pisze: niedziela, 21 lipca 2019, 19:18trezor to właśnie taki komputer, który tylko podpisuje transakcje
Taki niby sam, ale ma dysk twardy z zawartością.

Acha i mój komp off_line kosztował mnie 40zł. A trezor chyba droższy jest.
• Trading profesjonalny bez rejestracji (lewar 0-100) → www.BitMEX.com
☝ UWAGA! Inwestowanie lub spekulacja wiąże się z ryzykiem utraty kapitału.

Wygadany
Posty: 675
Rejestracja: 25 kwietnia 2016
Reputacja: 308
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ikswodnal » niedziela, 21 lipca 2019, 19:56

mecenas pisze: niedziela, 21 lipca 2019, 19:29Zaufana trzecia strona pomiędzy dwiema stronami zainteresowanymi.
Dyskwalifikacja już i podstaw koncepcji.
Pisałem wcześniej - notariusz nie jest pośrednikiem. Jest raczej depozytariuszem czy rozjemcą. Z podobną funkcją mamy do czynienia w https://local.bitcoin.com/offers - I dalej będę się przy tym upierał do czasu aż zostanę przekonany czy pokonany :-)

Weteran
Awatar użytkownika
Posty: 3373
Rejestracja: 14 kwietnia 2016
Reputacja: 1858
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: mecenas » niedziela, 21 lipca 2019, 19:59

ikswodnal pisze: niedziela, 21 lipca 2019, 19:56dalej będę się przy tym upierał do czasu aż zostanę przekonany czy pokonany

Ani przekonywanie ani walka nie ma tutaj zastosowania.
Jeśli nie masz oporów przed przekazaniem nieznajomej osobie kluczy prywatnych do być może owoców pracy Twojego całego życia, to cóż ja tutaj mogę?
Chyba współczuć jedynie... ;) :mrgreen:
• Trading profesjonalny bez rejestracji (lewar 0-100) → www.BitMEX.com
☝ UWAGA! Inwestowanie lub spekulacja wiąże się z ryzykiem utraty kapitału.

Wygadany
Posty: 675
Rejestracja: 25 kwietnia 2016
Reputacja: 308
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ikswodnal » niedziela, 21 lipca 2019, 20:28

Przecież nie przekazuję kluczy prywatnych, tylko zalakowaną kopertę stanowiącą załącznik do testamentu. Kopertę zalakowaną i opisaną że otworzyć w trakcie otwierania testamentu. Nawet nie trzeba opisywać co w kopercie jest. Tak myślę, (choć jeszcze nie zrobiłem). Otwarcie koperty przez notariusza - niemożliwe - każdy sąd przyzna odszkodowanie w wysokości adresu. Klucz zostanie użyty przy nienaruszonej kopercie to sporządzający testament, właściciel adresu i klucza odpowiada

Weteran
Awatar użytkownika
Posty: 3373
Rejestracja: 14 kwietnia 2016
Reputacja: 1858
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: mecenas » niedziela, 21 lipca 2019, 20:42

ikswodnal pisze: niedziela, 21 lipca 2019, 20:28każdy sąd przyzna odszkodowanie w wysokości adresu

A to odszkodowanie to z jakiegoś funduszu dla okradzionych z klucza sąd wypłaci, czy z własnej kieszeni sędzia wyłoży?
Zresztą, teoretycznie piękna koncepcja, ale przecież tak samo i na tej samej zasadzie można ufać bankom, rezerwie federalnej, rządowi, księdzu a nawet żonie. Dlaczego miałby Cię okraść bank np. ze skrytki bankowej, albo rząd, skoro wyżej niż notariusz nawet siedzi?

Ja nie ufam nawet trezorowi, bo koncepcja krypto to relacja TY <---> PRIVKEY i nic poza tym.
Dlatego nawet czysty paperwallet powinien być liczony z ołówka a nie ze skryptu. ;)
• Trading profesjonalny bez rejestracji (lewar 0-100) → www.BitMEX.com
☝ UWAGA! Inwestowanie lub spekulacja wiąże się z ryzykiem utraty kapitału.

Wygadany
Posty: 675
Rejestracja: 25 kwietnia 2016
Reputacja: 308
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ikswodnal » niedziela, 21 lipca 2019, 20:53

mecenas pisze: niedziela, 21 lipca 2019, 20:42A to odszkodowanie to z jakiegoś funduszu dla okradzionych z klucza sąd wypłaci, czy z własnej kieszeni sędzia wyłoży?
Sąd nic nikomu nigdy nie wypłaci. Zapłaci notariusz, lub jego "kasta", na końcu jeżeli im zabraknie pieniędzy (Bitcoinów) to zapłaci skarb państwa. Oczywiście, jak już wspomniałem, nie ufam nawet sobie (z gołą dziewczyną, na bezludnej wyspie itp)

Dyskutant
Awatar użytkownika
Posty: 256
Rejestracja: 4 sierpnia 2017
Reputacja: 198
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: KamilZ » niedziela, 21 lipca 2019, 22:28

mecenas pisze: niedziela, 21 lipca 2019, 19:29Komp odpalany albo z LIVE, albo z szyfrowanego_USB_linux. Nie ma dysku, nie ma danych...
Hej, rzeczywiście!
Nie pomyślałem o takim użyciu.

W tym przypadku bug trezora jest również pomijalny. Wystarczy go za każdym razem inicjować od nowa seedem, a po użyciu czyścić lub nadpisywać innymi danymi!

Z ciekawości pytam: masz swój seed gdzieś jednak zapisany czy tylko zapamiętałeś? Ile słów 12, 24?

Weteran
Awatar użytkownika
Posty: 3373
Rejestracja: 14 kwietnia 2016
Reputacja: 1858
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: mecenas » niedziela, 21 lipca 2019, 22:39

KamilZ pisze: niedziela, 21 lipca 2019, 22:28Z ciekawości pytam: masz swój seed gdzieś jednak zapisany czy tylko zapamiętałeś? Ile słów 12, 24?

Nie używam portfeli HD (wyjątek, przy pomijalnych kwotach), więc seed mnie nie dotyczy.
Stosuję surowe klucze + BIP38 lub inne rozwiązania szyfrowane. Wszystko off_line, bez dysków i innych nośników trwałych. Żadnych trwałych softów, żadnych zabawek, gadżetów itp. - czysty RAM bez baterii.
• Trading profesjonalny bez rejestracji (lewar 0-100) → www.BitMEX.com
☝ UWAGA! Inwestowanie lub spekulacja wiąże się z ryzykiem utraty kapitału.

Dyskutant
Awatar użytkownika
Posty: 256
Rejestracja: 4 sierpnia 2017
Reputacja: 198
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: KamilZ » niedziela, 21 lipca 2019, 22:47

Jak zapisujesz adresy? Jak masz więcej niż kilka, to robi się sporo karteczek.

Weteran
Awatar użytkownika
Posty: 3373
Rejestracja: 14 kwietnia 2016
Reputacja: 1858
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: mecenas » niedziela, 21 lipca 2019, 22:50

KamilZ pisze: niedziela, 21 lipca 2019, 22:47Jak zapisujesz adresy? Jak masz więcej niż kilka, to robi się sporo karteczek.

A4 wystarczy.
Oczywiście kopia elektroniczna off_line na poziomie BIP38 (nie dla czystych kluczy broń Boże!) wskazana dla wygody.
• Trading profesjonalny bez rejestracji (lewar 0-100) → www.BitMEX.com
☝ UWAGA! Inwestowanie lub spekulacja wiąże się z ryzykiem utraty kapitału.

Dyskutant
Awatar użytkownika
Posty: 256
Rejestracja: 4 sierpnia 2017
Reputacja: 198
Reputacja postu: 
0
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: KamilZ » niedziela, 21 lipca 2019, 22:52

Ok. Szanuję.
Trochę spartańskie jak dla mnie, ale rozumiem ideę jaka może ci przyświecać.
Jeszcze mam tylko pytanie o generowanie nowych adresów? Korzystasz ze swojego algorytmu, czy jakiś gotowy skrypt offline, ale ze zrewidowanym przez ciebie kodem?

(Czyli dobrze rozumiem, że to A4 to jest najcenniejsza kartka (banknot) w twoim posiadaniu? Rozdzielasz ją fizycznie w kilka miejsc, czy w sejfie po prostu? Jestem szczerze zdziwiony, ale dosyć pozytywnie)
Opisywałeś gdzieś wcześniej tą metodę, bo morze niepotrzebnie ciągnę cię za język?

Weteran
Awatar użytkownika
Posty: 3373
Rejestracja: 14 kwietnia 2016
Reputacja: 1858
Reputacja postu: 
1
Napiwki za post: 0 BTC

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: mecenas » niedziela, 21 lipca 2019, 23:00

KamilZ pisze: niedziela, 21 lipca 2019, 22:52Jeszcze mam tylko pytanie o generowanie nowych adresów? Korzystasz ze swojego algorytmu, czy jakiś gotowy skrypt offline, ale ze zrewidowanym przez ciebie kodem?

Na rewidowanie kodu jestem za cienki w uszach.
Korzystam z gotowych rozwiązań off_line takich jak https://github.com/pointbiz/bitaddress.org
Oczywiście to musi być źródło i rozwiązanie sprawdzone i polecane przez społeczność.
Niestety proces generowania kluczy jest tu chyba najsłabszym ogniwem i mam na to najmniejszy wpływ.

Skupiam się bardziej na zachowaniu zasad BHP podczas ich przechowywania i podczas pracy z nimi.
To jest obszar za który odpowiadam ja i wolę tego nie spieprzyć.

Dodano po 7 minutach 12 sekundach:
KamilZ pisze: niedziela, 21 lipca 2019, 22:52(Czyli dobrze rozumiem, że to A4 to jest najcenniejsza kartka (banknot) w twoim posiadaniu? Rozdzielasz ją fizycznie w kilka miejsc, czy w sejfie po prostu? Jestem szczerze zdziwiony, ale dosyć pozytywnie)
Opisywałeś gdzieś wcześniej tą metodę, bo morze niepotrzebnie ciągnę cię za język?

Tak jak seed jest najcenniejszy dla Ciebie, tak ta kartka jest cenna dla mnie. Ale jak zginie, to są jeszcze kopie i kopie elektroniczne. Seed jak zginie to też ma pewnie różne kopie. ;)

Nie ma czego opisywać, to staroświecka metoda konserwatywna z dawnych czasów pochodząca jeszcze... teraz są metody nowoczesne (seed + gadżet) dla młodych, szybkich i wygodnych.
Dla każdego coś miłego. ;)
• Trading profesjonalny bez rejestracji (lewar 0-100) → www.BitMEX.com
☝ UWAGA! Inwestowanie lub spekulacja wiąże się z ryzykiem utraty kapitału.

Zawsze mam rację
Awatar użytkownika
Posty: 6524
Rejestracja: 15 lutego 2011
Reputacja: 4134
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela

Postautor: ShadowOfHarbringer » niedziela, 21 lipca 2019, 23:14

Bit-els pisze: niedziela, 21 lipca 2019, 17:02Tak naprawdę ten bug i problem jest czysto teoretyczny.
Od pół roku w 2 knajpach w widocznych miejscach wiszą paper wallety btc z 0.001 bita i nikt tego nie zauważa, nie zdejmuje. (Taki mały marketing zrobiłem)

Szansa, że zgubiony trezor wpadnie w ręce fachowca jest tak mała, że bardziej prawdopodobne jest zapętlenie się z hasłami, pinami i utrata samemu dostępu do portfela.

Do tego mając seed po zgubieniu można odtworzyć w innych portfelach czy narzędziach w necie swoje środki i przesłać je w bezpieczne miejsce
Na dzień dzisiejszy tak jest jak mówisz.

W przyszłości, w której z jakiegoś powodu ludzie używają kryptowalut na codzień i jest to powszechne, złodzieje zaczną to ogarniać.

Myślę, że taka przyszłość nadchodzi, nikt tylko nie wie kiedy.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Wróć do „Bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość