Uwaga na Trezora!
1. Wszystkie wykryte krytyczne błędy i luki w oprogramowaniu serwisu zgłaszamy do danego serwisu. Nie publikujemy szczegółów na forum !!! Dopuszczalne jest publikowanie błędów o niskim stopniu zagrożenia oraz możliwych słabych punktów które naruszają podstawowe zasady bezpieczeństwa. np brak SSL
2. Na tym forum zgłaszamy jedynie fakt wykrycia luki z podaniem stopnia zagrożenia - małe/umiarkowane/krytyczne
3. Nie prowadzimy tu luźnych dyskusji i pogaduszek - te będą surowo karane!
4. Wszelkie pomówienia są zakazane !
- Weteran
- Posty: 1540
- Rejestracja: 25 kwietnia 2016
- Reputacja: 667
Uwaga na Trezora!
Postautor: ikswodnal » wtorek, 20 listopada 2018, 10:20
Okazuje się że najpoważniejszy portfel sprzętowy też ma podróbki
https://cointelegraph.com/news/trezor-u ... es-on-sale
ikswodnal
- Gaduła
- Posty: 359
- Rejestracja: 26 grudnia 2015
- Reputacja: 54
Uwaga na Trezora!
Postautor: jacek-g » wtorek, 20 listopada 2018, 10:24
wystarczy kupić od producenta bezpośrednio ze źródla...ikswodnal pisze: Zawsze uważałem że portfel "papierowy" jest najpewniejszy.
Okazuje się że najpoważniejszy portfel sprzętowy też ma podróbki
https://cointelegraph.com/news/trezor-u ... es-on-sale
jacek-g
- Oficjalny przedstawiciel projektu
- Posty: 1470
- Rejestracja: 29 października 2015
- Reputacja: 1135
- Lokalizacja: Warszawa
Uwaga na Trezora!
Postautor: FlyingAtom » wtorek, 20 listopada 2018, 10:32
Albo od pewnej firmy takiej jak nasza ; )jacek-g pisze:wystarczy kupić od producenta bezpośrednio ze źródla...ikswodnal pisze: Zawsze uważałem że portfel "papierowy" jest najpewniejszy.
Okazuje się że najpoważniejszy portfel sprzętowy też ma podróbki
https://cointelegraph.com/news/trezor-u ... es-on-sale
Kryptowaluty informacje BitHub.pl Bitcoin, poradnik, wiadomości, blockchain, kryptowaluty
Portfele sprzętowe Trezora, Ledger Nano
FlyingAtom-Facebook
FlyingAtom
- Gaduła
- Posty: 359
- Rejestracja: 26 grudnia 2015
- Reputacja: 54
Uwaga na Trezora!
Postautor: jacek-g » wtorek, 20 listopada 2018, 10:37
jacek-g
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Uwaga na Trezora!
Postautor: Bit-els » wtorek, 20 listopada 2018, 11:56
Bit-els
ikswodnal
- Początkujący
- Posty: 214
- Rejestracja: 30 listopada 2017
- Reputacja: 177
Uwaga na Trezora!
Postautor: Yogi77 » wtorek, 20 listopada 2018, 16:42
To tak jak z dyskami twardymi szyfrowanymi sprzętowo. Dlaczego zawsze prędzej czy później wychodzi na
jaw, że każdy ma jakąś dziure ? Rozwiązań sprzętowych nie da się tak łatwo kontrolować, bo po pierwsze
inżynieria wsteczna jest trudna, po drugie zbadanie jednego egzemplarza urządzenia nie jest reprezentatywne dla całej wyprodukowanej serii.
Yogi77
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Uwaga na Trezora!
Postautor: Bit-els » wtorek, 20 listopada 2018, 16:48
Tak jak oryginalny tresor.
Ale tresor od pośredników i fejkowa strona np bitadres org (nie wiem czy akurat taki adres istnieje- w tym stylu, o to mi chodzi) spowoduje utratę środków
Bit-els
- Weteran
- Posty: 1602
- Rejestracja: 7 listopada 2013
- Reputacja: 775
Uwaga na Trezora!
Postautor: redbog » środa, 21 listopada 2018, 03:13
redbog
- Moderator
- Posty: 4286
- Rejestracja: 4 marca 2017
- Reputacja: 4288
- Lokalizacja: pomorskie
Uwaga na Trezora!
Postautor: kozaki_wiesi » środa, 21 listopada 2018, 08:57
kozaki_wiesi
- Początkujący
- Posty: 285
- Rejestracja: 15 lipca 2017
- Reputacja: 205
Uwaga na Trezora!
Postautor: multan » środa, 21 listopada 2018, 20:42
Słabe porównanie, ale kiedyś miałem podróbkę Pegasusa i w sumie było ok;] więc nie każda podróbka straszna o ile to tylko podróbka naśladująca oryginał.
Sam używam Ledgera i aplikacja przez którą się łącze z portfelem weryfikuje autentyczność urządzenia, z fałszywką nie dałoby się ani założyć ani dostać do portfela. Jak podrabiacze Trezora to obeszli? Czy w ogóle Trezor nie ma takiej funkcji sprawadzania autentyczności?
multan
- Gaduła
- Posty: 417
- Rejestracja: 4 sierpnia 2017
- Reputacja: 310
Uwaga na Trezora!
Postautor: KamilZ » czwartek, 22 listopada 2018, 09:59
Jeśli masz otwartą platformę sprzętową i otwarty kod źródłowy programu oraz bootloadera, to możesz zrobić sobie dokładnie identyczne urządzenie i wgrać oryginalny soft i będzie działało identycznie z oryginałem (Chyba mało kto wie, ale ledgery i kepkeye itp, to po prostu kopie z oryginalnego projektu Trezora udostępnionego przez Satoshi Lab). Nie ma sposobu, aby to sprawdzić i odróżnić.
Ale złośliwie możesz też spróbować dodać jakieś dodatkowe bramki logiczne lub malutki procesor -> Man in the Middle. Podsłuchać transmisje i w odpowiednim momencie wysłać (ukraść) seedy wprowadzone przez użytkownika.
Otwarta platforma ma swoje wady i zalety. Zaletą jest to, że można otworzyć urządzenie i porównać z oryginalną specyfikacją lub dla maniaków bezpieczeństwa po prostu zlutować swoje własne.
Dodano po 13 minutach 4 sekundach:
Najpewniej (ale najmniej wygodnie), to samodzielnie wyliczyć sobie adresy prywatne na kartce, bo jak już wspomniał wcześniej @Bit-els, strona do generowania też może być zarażona i oprócz wykradania kluczy online, dawać np. słabą entropie (losowość).
Podobnie jak w otwartej platformie Trezora, tutaj też możesz ściągnąć kod strony offline i zrewidować/zmienić oraz skompilować go u siebie.
KamilZ
- Początkujący
- Posty: 307
- Rejestracja: 18 lutego 2017
- Reputacja: 29
Uwaga na Trezora!
Postautor: hazi » czwartek, 22 listopada 2018, 18:33
Pełny link: https://www.aliexpress.com/item/TREZOR- ... 72698.html
pm7
Powód: dodanie pełnego linku
hazi
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Uwaga na Trezora!
Postautor: pm7 » czwartek, 22 listopada 2018, 18:59
Ledger nie jest kopią Trezora. Owszem, firmware Keepkey jest forkiem Trezora, ale Ledger mają jakiś własny (zamknięto źródłowy!).
Szczęśliwie, to nie jest prawdaKamilZ pisze: Jeśli masz otwartą platformę sprzętową i otwarty kod źródłowy programu oraz bootloadera, to możesz zrobić sobie dokładnie identyczne urządzenie i wgrać oryginalny soft i będzie działało identycznie z oryginałem (Chyba mało kto wie, ale ledgery i kepkeye itp, to po prostu kopie z oryginalnego projektu Trezora udostępnionego przez Satoshi Lab). Nie ma sposobu, aby to sprawdzić i odróżnić.
Nawet jeżeli projekt jest otwarto źródłowy, jeżeli kontrolujesz proces produkcji, możesz zaprogramować klucze prywatne w taki sposób, że się nie da (będzie to bardzo, bardzo drogie) ich wyciągnąć. Wtedy Trezor/Ledger mogą udowadniać, że są prawdziwe podpisując wiadomość testową.
Nie jeżeli transmisja jest szyfrowana
Nie mówię, że jest (nie wiem), ale teoretycznie się da. Pytanie po co. W portfelach sprzętowych raczej ciężko zmieścić nadajnik z zasięgiem na cały świat, więc raczej chciałbyś wpłynąć na proces produkcji seed niż ukraść istniejący (bo jak go potem przesłać?).
Dodano po 10 minutach 54 sekundach:
@hazi, na jakiej podstawie stwierdzasz, że to podróbka? W tej cenie opłaca im się kupować bezpośrednio od Trezora (sklep Trezora: 400zł, Aliexpress: 850zł), podróbki zwykle są tańsze niż oryginały, a nie droższe
Apeluję o nie używanie skracaczy linków bez powodu:
-ukrywają stronę docelową (i co gorsza, przyzwyczajają ludzi do klikania w linka, które mogą prowadzić gdziekolwiek)
-mogą przestać działać za kilka miesięcy
pm7
- Gaduła
- Posty: 417
- Rejestracja: 4 sierpnia 2017
- Reputacja: 310
Uwaga na Trezora!
Postautor: KamilZ » czwartek, 22 listopada 2018, 20:25
@pm7, Dzięki za sprostowania!
Co do kopi otwartej platformy, to miałem na myśli również sprzęt, a nie tylko oprogramowanie. Ledger bazuje na projekcie trezora, ale popraw mnie jeśli się mylę.
Oni nie kontrolują procesu produkcji. Procesory i reszta sprzętu są ogólnie dostępne. To o czym piszesz dotyczy raczej kart SIM itp.
Na początku udostępnili kod programu i specyfikację sprzętową i tylko z bootloaderem trochę się ociągali (pewnie chcieli zachować przewagę rynkową zanim reszta zacznie ich kopiować). Według ich słów produkcja trezora (samego sprzętu) kosztuje około 15$. Reszta to ciągłe ulepszenia softu itp.
Jak dostajesz trezora, to jest on "pusty" i musisz wgrać do niego soft łącząc się ze stroną internetową trezor.io.
To trochę jak algorytm AES, który jest otwarty ale działa, bo nikt nie zna kluczy szyfrujących (seed).
Klucze są zamknięte (po wcześniejszym podaniu) gdzieś w pamięci ?procesora? - to byś musiał sprawdzić, bo nie pamiętam.
Trezor chyba nie ma w pełni szyfrowanej transmisji, ale nawet jakby miał, to nie ma to znaczenia ; Jeśli zrobisz sprzęt, który wygląda jak trezor i wgrasz do niego soft to przy pierwszym użyciu podajesz przecież seed, który jak mniemam jest źródłem entropii do ewentualnego szyfrowania transmisji. (można by jeszcze użyć do tego numeru seryjnego procesora, ale to trochę słaba entropia, bo można to dość szybko sprawdzić.)
Co do nadajnika, to nie jest potrzebny, bo przecież sam podłączasz trezora do sieci, aby rozgłosić transakcje. (Chyba, że używasz go offline tylko do podpisywania transakcji i kopiujesz tekst na komputer podłączony online, ale to trochę mało wygodne.)
Wpływanie na proces produkcji procesora arm, to kosztowna sprawa i bardzo duży "fuckup" dla producenta tych procesorów, któremu raczej powinno zależeć na renomie swoich produktów, a nie instalowaniu w nich backdorów. (Nawet sprzęt Cisco musiał być przechwytywany przez NSA z przesyłek pocztowych w celu dodawania backdorów do routerów i switchy, bo na mieszanie w produkcji mało kto może sobie pozwolić. Łącznie z USA.)
Jak coś jeszcze nieścisłego znajdziesz to dawaj.
KamilZ
redbog
- Bardzo Zły Moderator
- Posty: 14383
- Rejestracja: 16 kwietnia 2012
- Reputacja: 2659
- Lokalizacja: Polska/Wwa/GW
Uwaga na Trezora!
Postautor: rav3n_pl » piątek, 23 listopada 2018, 11:28
BIP39 Mnemonic z talii kart
Bitcoin Core 0.26.1
Linki do YT, TT, LI i reszty
rav3n_pl
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Uwaga na Trezora!
Postautor: pm7 » sobota, 24 listopada 2018, 00:04
"citation needed"
Ledger używa "secure element" - zupełnie inna filozofia niż Trezor.
Ponadto, trezor-mcu jest licencjonowany na GPL: jakby Ledger był na tym oparty, też musiałby być otwarty, a o ile pamiętam, nie jest.
Nie produkują mikrokontrolera, ale produkują PCB z mikrokontolerem i programują go. Mają kontrolę nad tym co zawiera.
Trezor nie ma wgranego kodu portfela, ale ma wgrany bootloader, który kontroluje proces wgrywania oprogramowania.
Dlatego zwykle update firmware Trezor nie wymaga ponownego wpisania seed, chyba, że wgrywasz firmware niepodpisany przez producenta.
Podobnie bootloader wymusza wyświetlanie ostrzeżenia przy każdym uruchomieniu jeżeli firmware nie jest podpisany przez producenta.
Pamięć mikrokontrolera, tak.
Prawidłowe użycie portfela sprzętowego to wygenerowanie seed przy jego użyciu, a nie podanie gotowego. Używasz wtedy wbudowanego sprzętowego generatora liczb losowych/pseudolosowych.KamilZ pisze: Trezor chyba nie ma w pełni szyfrowanej transmisji, ale nawet jakby miał, to nie ma to znaczenia ; Jeśli zrobisz sprzęt, który wygląda jak trezor i wgrasz do niego soft to przy pierwszym użyciu podajesz przecież seed, który jak mniemam jest źródłem entropii do ewentualnego szyfrowania transmisji. (można by jeszcze użyć do tego numeru seryjnego procesora, ale to trochę słaba entropia, bo można to dość szybko sprawdzić.)
Owszem, ale wciąż musisz jakoś wysłać dane na konkretny serwer pod swoją kontrolą.
Myślisz, że https://wallet.trezor.io/ wyśle wiadomość na jakiś nieznany serwer bo Trezor o to poprosi?
pm7
- Gaduła
- Posty: 417
- Rejestracja: 4 sierpnia 2017
- Reputacja: 310
Uwaga na Trezora!
Postautor: KamilZ » sobota, 24 listopada 2018, 02:02
Tak, masz racje.
...W sensie bootloader. Co nie zmienia możliwości kupienia sobie niezaprogramowanego procesora i wgraniu swojego bootloadera (może być identyczny z oryginałem i wtedy też będzie działał identycznie, albo zmieniony i będzie np. autoryzował inne podpisy cyfrowe programu głównego).
Co ciekawe do niedawna istniała luka, która umożliwiała podmianę już nawet wgranego przez nich bootloadera. Nie wiem czy teraz też się tak da.
Ale wracając do sedna:
...Według mnie (będę się upierał ) nie ma w trezorze zaszytych żadnych kluczy prywatnych.
(Przeczytaj akapit "Why is the device memory not encrypted?" w https://blog.trezor.io/fixing-physical- ... 9b46bb4522 )
Możesz wygenerować seed lub możesz podać samemu (w bezpieczny sposób), ale to prawie jedno i to samo, bo albo trezor wyświetla ci seed, albo wyświetla ci bezpieczne fragmenty do jego wprowadzenia. Tak czy inaczej jakiś element (man in the middle) w urządzeniu może przejąć i zapamiętać tą transmisję.
(To nie są karty SIM, czy procesory kart płatniczych, gdzie masz zaszyty sekret na etapie produkcji.)
Dlatego tak ważne jest, aby urządzenie pochodziło ze sprawdzonej dystrybucji, a opakowanie było nienaruszone!, a jak już Trezora masz, to dobrze jest go spersonalizować i zabezpieczyć obudowę przed niezauważalnym otwarciem (np. lakierem do paznokci z brokatem, gdzie wzór jest unikatowy).
Podsumowując: musisz albo złożyć sobie trezora z samemu na podstawie planów satoshi -labs, z ogólnie dostępnych części i wgrać ich bootloader oraz program (rozwiązanie dla zdolnych paranoików, ale bardzo bezpieczne), albo zaufać, że to co przyszło w paczce zgadza się z tym co podają w schematach budowy urządzenia i jego oprogramowania.
...Trezor to urządzenie usb, więc ma pewne prawa w systemie. Fałszywy-Trezor może się przedstawić jako zwykły trezor, a za drugim podłączeniem (jak już spisze i zapamięta seedy) jako np. klawiatura i wpisać co mu się żywnie podoba w ułamku sekundy przed przestawieniem się znów na "Trezora" (to tylko jeden z możliwych wektorów ataku)pm7 pisze:... musisz jakoś wysłać dane na konkretny serwer pod swoją kontrolą. Myślisz, że https://wallet.trezor.io/ wyśle wiadomość na jakiś nieznany serwer bo Trezor o to poprosi?
tldr: Nie musisz wcale prosić wallet.trezor.io o zgodę bo urządzenia usb mogą działać aktywnie.
(Jeszcze raz dzięki za wszystkie uwagi i kulturalną wymianę zdań.)
Dodano po 12 minutach 28 sekundach:
Swoją drogą nie byłem do końca świadomy, ze Ledger poszedł drogą zaszywania entropii w układach. Jest to potencjalnie bardzo niebezpieczne rozwiązanie, bo firma produkująca Ledger ma kontrolę nad kluczami zaszytymi w krzemie, więc również nad kluczami wygenerowanymi za ich pomocą! W dodatku z tego co mówisz mają zamknięty soft!? Trochę kicha moim zdaniem, albo czegoś nie rozumiem...
KamilZ
- Weteran
- Posty: 1540
- Rejestracja: 25 kwietnia 2016
- Reputacja: 667
Uwaga na Trezora!
Postautor: ikswodnal » sobota, 24 listopada 2018, 09:02
W tym stanie rzeczy utwierdziłem się w przekonaniu, że różne sprzętowe wynalazki nie dla zwykłych, nowych "adopterów" kryptowalut. Pozostaje portfel papierowy!
Drugi wniosek. Coraz bardziej specjalistyczna dyskusja, bez uproszczeń, nie sprzyja upowszechnianiu kryptowalut w takim tempie jak by się chciało. Dodać do tego spekulujących i mamy przyczyny tak wielkich wahań wartości.
ikswodnal
Wróć do „Giełdy i serwisy - zagrożenia”
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 37 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).