Nienaprawialny bug wszystkich portfeli TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfeli TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 11:30
Konieczne jest fizyczne posiadanie portfela przez złodzieja, więc scenariusz o którym mowa to kradzież portfela.
Twórcy TREZORa przyznają, że o tej możliwości wiedzieli od początku projektowania swojego portfela.
Jedyną możliwością ochronienia się przed atakiem jest zabezpieczenie portfelów TREZOR hasłem o długości co najmniej 37 losowych znaków.
Źródło:
https://ledger-donjon.github.io/Unfixab ... on-Trezor/
Dyskusja:
old.reddit.com/r/btc/comments/c8zdsk/unfixable_seed_extraction_on_trezor_a_practical/
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 3643
- Rejestracja: 8 listopada 2013
- Reputacja: 869
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: bl4ck » czwartek, 4 lipca 2019, 12:13
bl4ck
- Weteran
- Posty: 1540
- Rejestracja: 25 kwietnia 2016
- Reputacja: 667
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ikswodnal » czwartek, 4 lipca 2019, 12:40
To chyba kończy dyskusję o pozornej wyższości portfeli sprzętowych nad "papierowymi"ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 11:30Wszystkie produkowane obecnie i w przeszłości wersje portfela TREZOR oraz jego klonów mają nienaprawialnego buga
ikswodnal
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 12:59
Ja tam nigdy nie miałem portfelów sprzętowych. Jakoś coś mi nie pasowało do końca.
Myślę, że to co się teraz dzieje może to wyjaśniać.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 13128
- Rejestracja: 7 września 2015
- Reputacja: 11355
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: Wymazywanie » czwartek, 4 lipca 2019, 13:07
Nie, dlaczego? Przecież Trezor to nie jedyny portfel sprzętowy. Czy Nano Ledgera też można tak złamać? Nie widziałem nigdy takiej informacji.
O to jest chore.ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 11:30Twórcy TREZORa przyznają, że o tej możliwości wiedzieli od początku projektowania swojego portfela.
Dodano po 1 minucie 24 sekundach:
Ps. Link do reddita ma o jedno / za dużo na końcu.
Wymazywanie
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 13:08
Wymazywanie pisze: ↑ czwartek, 4 lipca 2019, 13:06 Nie, dlaczego? Przecież Trezor to nie jedyny portfel sprzętowy. Czy Nano Ledgera też można tak złamać? Nie widziałem nigdy takiej informacji.
Problemem jest nie to czy można w tym momencie złamać.
Problemem jest co innego: W momencie wykrycia krytycznego buga, jego naprawienie może być niemożliwe bez totalnego przeprojektowania sprzętu - dokładnie tak jak w tym wypadku.
Oprogramowanie jest bardziej elastyczne. Z użyciem nawet kilku, kilkunastu linii kodu jesteś w stanie totalnie zmienić funkcjonowanie całego portfela, i rozpropagować tą łatkę po świecie do wszystkich użytkowników w godziny, jeśli nie minuty.
Portfele sprzętowe są nieodporne na krytyczne błędy, bo są zwyczajnie zbyt mało elastyczne.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Bardzo Zły Moderator
- Posty: 14380
- Rejestracja: 16 kwietnia 2012
- Reputacja: 2659
- Lokalizacja: Polska/Wwa/GW
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: rav3n_pl » czwartek, 4 lipca 2019, 13:36
BIP39 Mnemonic z talii kart
Bitcoin Core 0.26.1
Linki do YT, TT, LI i reszty
rav3n_pl
- Weteran
- Posty: 5083
- Rejestracja: 14 marca 2011
- Reputacja: 1663
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: maky » czwartek, 4 lipca 2019, 14:09
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody
maky
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 14:52
Tak, wcześniej twórcy trezora twierdzili że trzeba sprzętu za $100.000 żeby dokonać ataku, więc zlekceważyli to.
Teraz ktoś ten sam atak wykonał na sprzęcie za $100.
Dodano po 1 minucie 17 sekundach:
E tam.
Najlepszy jest zaszyfrowany portfel papierowy (+QR code) zalany przeźroczystą żywicą. Wytrzyma tysiące lat.
Przypominam, że klucz prywatny może być zaszyfrowany hasłem. Hasło można schować w innym miejscu i później tylko spadkobiercom w testamencie zostawić to drugie miejsce (w razie "W").
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 5083
- Rejestracja: 14 marca 2011
- Reputacja: 1663
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: maky » czwartek, 4 lipca 2019, 15:08
IMHO nawet przy 100.000 to już była dyskwalifikacja tak więc poszedł do kosza.ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 14:52ak, wcześniej twórcy trezora twierdzili że trzeba sprzętu za $100.000 żeby dokonać ataku, więc zlekceważyli to.
Teraz ktoś ten sam atak wykonał na sprzęcie za $100.
Dodano po 5 minutach 47 sekundach:
"The seed extraction attack works on several open source hardware wallets: B Wallet, Keepkey, Trezor One, and Trezor T" - to i KeepKey?
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody
maky
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 15:11
Wszystko co jest klonem Trezora.
Najwyraźniej KeepKey jest, chociaż nie mam dokładnych informacji.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 5083
- Rejestracja: 14 marca 2011
- Reputacja: 1663
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: maky » czwartek, 4 lipca 2019, 15:14
ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 15:11Wszystko co jest klonem Trezora.
Najwyraźniej KeepKey jest, chociaż nie mam dokładnych informacji.
Na stronie ani słowa o testowaniu Ledgera...
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody
maky
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 15:16
Drąż temat sam.
Ja nie jestem aż tak zainteresowany sprawą, nie używam portfeli sprzętowych w ogóle.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 1602
- Rejestracja: 7 listopada 2013
- Reputacja: 775
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: redbog » czwartek, 4 lipca 2019, 15:19
Jeśli nosimy coś w kieszeni musimy zakładać że możemy być okradzeni lub możemy to zgubić. Takie sytuacje przeważnie są dość rzadkie choć oczywiście zależą od terytorium po którym się poruszamy i indywidualnej zdolności do gubienia rzeczy.
W przypadku gotówki praktycznie oznacza to automatyczną stratę. W przypadku trezora niekoniecznie bo dodatkowo musi to być ogarnięty technicznie złodziej lub znalazca-złodziej i do tego szybszy od nas bo przecież po fakcie powinniśmy jak najszybciej przenieść środki korzystając z kopii zapasowej.
redbog
- Weteran
- Posty: 5083
- Rejestracja: 14 marca 2011
- Reputacja: 1663
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: maky » czwartek, 4 lipca 2019, 15:25
Tylko po co jeśli za podobną cenę kupimy coś bez (znanej dzisiaj) dziury?
Dodano po 35 sekundach:
Jako portmonetka wystarczy komórka.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody
maky
- Weteran
- Posty: 1602
- Rejestracja: 7 listopada 2013
- Reputacja: 775
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: redbog » czwartek, 4 lipca 2019, 15:28
redbog
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ShadowOfHarbringer » czwartek, 4 lipca 2019, 15:31
Do dupy pomysł.
A jak go zgubisz to co? Złodziej się włamie i hajs stracony?
Co gdyby wszyscy zaczęli go używać? Złodzieje szybko by się dostosowali i nauczyli się to łamać.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 1602
- Rejestracja: 7 listopada 2013
- Reputacja: 775
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: redbog » czwartek, 4 lipca 2019, 16:11
Jeśli zdąży przed tobą to tak.ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 15:31 A jak go zgubisz to co? Złodziej się włamie i hajs stracony?
Częściowo tak, ale doliniarze to ogóle gatunek wymierający głównie ze względu na duże ryzyko, wszędzie kamery itp. w tych czasach to raczej desperaci tym się zajmują żyjący z dnia na dzień, bardzo rzadko bierze się za to ktoś podchodzący bardziej profesjonalnie. Dodanie kolejnego utrudnienia dla tej wymierającej branży będzie dla większości gwoździem do trumny. Ale ktoś zostanie wiec ryzyko biedzie zawsze.ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 15:31 Co gdyby wszyscy zaczęli go używać? Złodzieje szybko by się dostosowali i nauczyli się to łamać.
Podaj lepszy.ShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 15:31Do dupy pomysł.
Ledger chyba nie jest open ale też do małych sum może być ok, sami musimy decydować które ryzyko wolimy.
https://coldcardwallet.com/ wydaje się być spoko ale ciekawe czy też nie byłby podatny na to co trezor gdyby ktoś wziął go konkretnie na warsztat no i wygląd jest nazwijmy to za mocno geekowski do takiego użytkowania bardziej codziennego.
Bedzie jeszcze bitbox 2 z wyglądem bardziej cywilizowanym i z usb c w sam raz pod smartfona ale coś więcej ciężko powiedzieć bo na razie jest tylko beta. Wersja 1 była niby ok albo nikt porządnie jej nie przebadał, taką ewidentną wadą 1 był brak ekranu.
Dodano po 7 minutach 37 sekundach:
W sumie też fakt i to jeszcze najlepiej bez pinu. Nieziemsko denerwują mnie portfele które nie pozwalają na wyłączenie pinu przecież i tak ustawiam 12345 żeby nie zapomnieć co nie ma w ogolę sensu i zabiera tylko czas. Zamiast pinu wolałbym odcisk palca ale chyba takiego portfela jeszcze nie ma.
redbog
- Weteran
- Posty: 5083
- Rejestracja: 14 marca 2011
- Reputacja: 1663
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: maky » czwartek, 4 lipca 2019, 16:46
Zależy do czego. Do DASH-a jest.
Dodano po 2 minutach 4 sekundach:
Czytałem artykuł gdzie był opis. Podatności na ten atak co trezor było brak ale problemem była jednostka pseudolosowa. Zalecano samodzielne generowanie seedu.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody
maky
- Weteran
- Posty: 1540
- Rejestracja: 25 kwietnia 2016
- Reputacja: 667
Nienaprawialny bug wszystkich portfelów TREZOR, umożliwia kradzież monet w przypadku fizycznej kradzieży portfela
Postautor: ikswodnal » czwartek, 4 lipca 2019, 17:44
Można też inaczej. Zalakowana, opisana, podwójna koperta z portfelem "papierowym" złożona z testamentem u notariusza. Jeżeli środki znikną, po sprawdzeniu testamentu czy nie naruszone koperty, odpowiedzialność ponosi deponujący. Do takiego postępowania się przymierzam, bardziej chodzi o zrobienie wreszcie testamentu, deponować nie mam za bardzo coShadowOfHarbringer pisze: ↑ czwartek, 4 lipca 2019, 14:52Przypominam, że klucz prywatny może być zaszyfrowany hasłem. Hasło można schować w innym miejscu i później tylko spadkobiercom w testamencie zostawić to drugie miejsce
ikswodnal
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).