Hm... To byłoby bez sensukryptosklep_pl pisze: Koledzy forumowicze poruszali tutaj jednak inne kwestie - czy aby czasem nie kupujemy po to, aby wgrać swój własny firmware, który pozwoli nam w przyszłości przechwycić środki naszych klientów.
Tutaj wg. mnie faktycznie Ledger powinien wyjść z inicjatywą dla swoich oficjalnych sprzedawców. Każdy kto kiedykolwiek kupił nowego Ledgera wie jak to wygląda. Po czym poznać czy to nie podróbka??? Dostajemy pudełko a w nim proste urządzenie, kabelek i akcesoria. Gdyby na urządzeniu była naklejana plomba z unikatowym numerem i klient kupujący od oficjalnego sprzedawcy mógłby zarejestrować swój nowy portfel na stronie producenta weryfikując przy okazji urządzenie podając właśnie ten numer, który mógłby być przypisany tylko raz i to do jednego urządzenia... to by było coś...
Ale na chwilę obecną, nam skromnym sprzedawcą - pozostaje dziękować za obdarzenie nas podwójnym zaufaniem przez naszym klientów.
Z drugiej strony taka forma też nie do końca by dawała nam gwarancję - lepszą opcją mogła by się okazać zmiana formy opakowania na taki, który wyraźnie wskazywał by na to iż portfel nigdy nie był z niego wyjmowany - a plomby były umieszczane na opakowaniu
Ledger już dawno zwrócił uwagę na fakt, że jak ktoś chciałby fałszować hardware i software to żadnym problemem nie byłoby stworzenie stickera. Nawet z hologramem https://www.ledger.fr/2015/03/27/how-to ... tampering/
Tak więc brak takich zabezpieczeń jest świadomą polityką...
Powiązanie numeru seryjnego z nabywcą kłóci się zaś z prywatnością i... Nadal nie daje pewności, że urządzenie nie zawiera modyfikacji...
Uwierz, też, z całą sympatią, że nnie mam najmniejszego powdu by ufać JAKIEMUKOLWIEK sprzedawcy...
Na szczęście, że ten cały misterny plan na niewiele się zda...kryptosklep_pl pisze: Jak już wiemy sam portfel nie posiada żadnego zabezpieczenia opakowania np w postaci plomb...
Gdybym posiadał wiedzę jak zmienić oprogramowanie - to nie zajmował bym się dystrybucją - tylko dogadał się z kurierem UPS który odbiera przesyłki od Ledgera (po dobroci, albo groźbą skoro jestem fachową grupą przestępczą )
Otwieram małą firemkę (na trasie tego samego kuriera) produkującą zabawki, albo biżuterię która pakowała by przedmioty do pudełek identycznych wymiarów - co za tym idzie mamy uzasadnienie do czego jest nam potrzebna zgrzewarka folii...
Ten sam kurier który odebrał portfele od Ledgera przynosi mi je do firmy słup bo zleciłem odbiór i wysyłkę np zabawek więc UPS go do mnie kieruje, gdzie otwieramy, hakujemy, pakujemy z powrotem do pudełka, zgrzewamy folię, przedrukowujemy list przewozowy i jedzie dalej... w kilka osób wystarczy 30 min i mamy tak przerobionych kilkanaście portfeli dziennie bez wzbudzania podejrzeń na kuriera (nie bądźmy pazerni poza tym i tak wyszło by więcej jak przy samodzielnej sprzedaży więc gdzie tu logika bycia Retailerem jak się ma takie zdolności)
1- nie mam fizycznie żadnego "fałszywego" Ledgera na stanie
2- kto by wpadł na to że to sprawka kuriera, który jest zabiegany
3- oprogramowanie do "hakowania" mam w postaci portable zapisane na pendrive kingston DataTraveler - ta metalowa wersja Locker+ - po kilkukrotnym wpisaniu źle hasła sam się sformatuje - w razie wpadki ja twierdzę że jakiś klient zostawił i nie znam hasła więc nawet gdy podejrzenie padnie jak to udowodnisz?
4- Każdy wini Ledgera - bo przecież zamawiał u producenta a oni podejrzewają się nawzajem wewnątrz firmy.
Tylko szkoda że nie znam sposobu teraz to i tak po ptakach bo mój szatański plan doskonały opublikowałem na forum - ale jak widzicie dopóki sam Ledger nie pomyśli nad zabezpieczeniem dla opakowań portfeli - równie dobrze możesz zamówić u niego i paść ofiarą przekrętu jeżeli takowy istnieje - ale jak już było wcześniej wspomniane nikt o nim nie słyszał
Zacznijmy od tego, że Ledger i współpracujące z nim aplikacje są tak skonstruowane, że natychmiast dadzą sygnał, że coś jest nie tak... A to, że firmware nie ten. A to, że natywna aplikacja podejrzana. Wystarczy podłączyć do kktórejkolwiek z oficjalnych aplikacji a Szydło wyjdzie z worka... Znaczy się szydło...
Istnieje jeszcze pewne ryzyko dokonania pewnych zmian, które umożliwoią shcakowanie Ledgera. Ale to też da się zwryfikować. Zarówno organoleptycznie jak i programowo.
Szkoda tylko, że oficjalni dystrybutorzy nie wiedzą, że Bezpieczny Element - klucz do bezpieczeństwa naszych środków na ledgerze - ma zabezpieczenie oparte na kryptografii.
Po szczegóły odsyłam na oficjalną stronę ledgera...
https://ledger.groovehq.com/knowledge_b ... -my-nano-s
Sęk w tym, że Validator to Ledger Nano S z firmware 1.3.1-das MTU 1.1 do którego to firmwara z oficjalnego sklepu Ledgera można pobrać aplikacje wyłącznie do: Bitcoin, Bitcoin Cash, Ethereum, Ripple i oczywiście Dascoin. Niektóre w starszej wesji niż na Ledgera z firmware 1.3.1.KryptoBanita pisze: Ważne aby ludzie odróżniali Ledgera od Validupka.
Ledger z wgranym lewym oprogramowaniem przestaje być Ledgerem.
The Validator TO NIE LEDGER
Dziś już nie mam wątpliwości, że Validator jest produkowany przez Ledgera.
Bowiem oprócz braku sygnalizacji modyfikacji przez aplikacje Ledgera przeszedł test na "oryginalność" bezpiecznego elementu z powyższego oficjalnego linku.
To oznacza, że KORZYSTANIE Z VALIDATORA JEST NAJPRAWDOPODBNIEJ BEZPIECZNE!
Co ciekawe można z niego zrobić "normalnego" Ledgera wgrywając firmware 1.3.1. Nie można jednak powrócić do wersji 1.3.1-das
Więcej pod tym linkiem http://www.hyipforum.pl/topic/16598-sca ... ent=536484