А против "белых списков" только меш сети и работают (будете по ним в КС 1.6 играть, так как выхода вне они тоже иметь не будут. Только если подкоп через границу с Финляндией)
а как насчёт
эээ ?
непонятно.. может просто там всё остальное место занял код контроля целостности-оригинальности ? и место осталось только под одну монетку
а md5 для скачанной прошивки тут тоже не поможет ? и почему интересно ..
...
Я установил на кошелек Trezor собственный загрузчик и соответствующее ПО с бэкдорами. Внешне устройство осталось таким же, как и было. Жертва посетила бы сайт Trezor, а затем запустила ПО, будучи уверенной в том, что оно официальное, но это не так. Кроме того, простому пользователю вообще невозможно обнаружить подвох.
Эта атака хорошо масштабируется из-за сложностей контроля над цепями поставок. Вы не можете быть уверенным в том, что это ПО, установленное изначально.
В рамках третьей атаки мы извлекли сид-фразу из кошелька всего за несколько минут. Если точнее, то нам понадобилось менее пяти минут. Необходимый инвентарь обошелся всего в $100.
ForkLog: Команда Trezor уже устранила эту уязвимость?
Шарль Гийоме: Нет, это невозможно. Именно поэтому мы и не опубликовали технику атаки. Могу сказать только, что необходим физический доступ и карта, которую мы называем экстрактор.
У Trezor есть большая проблема они не используют Secure Element, поскольку придерживаются философии открытого исходного кода. Я уважаю эту позицию, но физические атаки на их чип провести довольно легко.
Trezor посоветовал установить очень длинный пароль, чтобы усложнить жизнь вору, даже если он извлек сид-фразу. Но лично я считаю бессмысленным схему безопасности, которая основывается на фразе у вас в голове. Вы можете ее забыть, а если где-то записали потерять. Кроме того, пароли ужасно раздражают людей, большая часть их, вероятно, вообще не использует.
"очень длинный" это сколько