Так ли надежны аппаратные крипто-кошельки? Как защитить свои накопления?

Как надежно хранить крипто-средства? Этот вопрос волнует держателей криптовалют более всего. На сегодняшний день пользователям доступно несколько решений. Наиболее безопасным способом хранения является использование аппаратных кошельков. Однако, время показало, что даже холодное хранение не может обеспечить надежную защиту. Какие проблемы присущи современным аппаратным кошелькам и как обезопасить себя от действий злоумышленников?

Накануне специалисты Kraken Security Labs проинформировали об обнаружении «дыры» в безопасности инструментов для холодного хранения от KeepKey. Выявленный баг позволил бы злоумышленнику при условии физического доступа к кошельку совершить взлом где-то за 15 минут, потратив около $75. Уже известно, что устранить данную уязвимость достаточно непросто, так как производителю следует внести изменения на аппаратном уровне. Наличие проблем наблюдается не только у KeepKey, но и у других популярных крипто-кошельков. О чем следует знать держателям таких устройств?

Содержание

  • 1 Баг KeepKey
  • 2 Реакция KeepKey
  • 3 Баги Trezor
  • 4 Уязвимости Ledger
  • 5 Правила безопасности при взаимодействии с аппаратными кошельками для криптовалют
  • 6 Надежность аппаратных устройств

Баг KeepKey

Для взлома KeepKey злоумышленнику понадобилось бы реализовать атаку под названием «сбой напряжения» (с англ. voltage glitching). Это позволило бы получить доступ к seed-фразе, после чего завладеть и средствами на кошельке. Данная атака предусматривает наличие у злоумышленника специализированного оборудования, а также определенных знаний. Для тех, кто хорошо осведомлен о функционировании системы защиты, это не составит проблем.Получив физический доступ к аппарату жертвы, хакер использует относительно дешевое приспособление, с помощью которого можно вызвать сбой в работе микроконтроллера из-за скачков напряжения. Интересно, что на рынке такие инструменты не представлены, однако их можно самостоятельно собрать, потратив около $75. После данного действия хакер получает доступ к той самой seed-фразе, а требуемый 9-значный пароль без проблем подбирается брутфорсом. После этого открывается доступ к средствам. Эксперты обращают внимание на то, что обнаруженная уязвимость имеется во всех продуктам KeepKey.

Реакция KeepKey

Стоит отметить, что баг был обнаружен и использован еще в апреле настоящего года. У белого хакера Сергея Волокитина получилось взломать кошелек и загрузить собственное ПО, воспользовавшись сбоем напряжения.  В настоящее время реализацией кошельков занимается компания ShapeShift, которая приобрела KeepKey в 2017 году. Интересно, что ShapeShift знает о проблемах, однако придерживается мнения о том, что основная цель достигнута – от удаленных атак ключи пользователей надежно защищены. В июле компания заявила о том, что любой желающий, имея нужное оборудование и знания, при получении физического доступа к разработке от любой компании, сможет предпринять действия, которые в результате справятся с любой цифровой защитой.

Производитель дал обещание представить прошивку, которая не столь подвержена атакам сбоя напряжения. Однако, пока что полностью решить проблему не получилось.

Баги Trezor

Проблемы безопасности продуктов Trezor начали обсуждаться еще в 2017 году, в частности о багах сообщал этичный хакер Салим Рашид, которому также удалось обнаружить недоработки и в устройствах Ledger.

Стоит отметить, что компания Trezor использует только один универсальный чип на базе архитектуры ARM (он ответственный за криптографию, а также за принципы подключения кошелька). В удаленном режиме такой продукт было бы непросто взломать, однако при наличии непосредственного доступа к кошельку атаку можно успешно реализовать. Например, у экспертов Wallet.fail получилось взломать кошелек с помощью все той же атаки «сбой напряжения». Низкий уровень напряжения спровоцировал сбой, привел к перезагрузке. Тем временем в рамках обновления устройство перенесло seed-фразу в ОЗУ. Если владелец не позаботился об установке пароля, то данные можно обнаружить. Представители Trezor признали наличие проблем, однако также обратили внимание на то, сценарий вряд ли будет исполнен в реальности.

Примечательно, что весной 2019 года на наличие багов в продуктах Model T и Model One от Trezor обратили внимание исследователи Ledger (эта компания является конкурентом Trezor). Известно, что Trezor удалось ликвидировать лишь одну уязвимость.

Среди багов, обнаруженных представителями Attack Lab:

  • Голографическая наклейка может быть стерта с помощью обычного фена (угроза в том, что злоумышленники могут купить оригинальный продукт, взломать его, а потом вернуть обратно – в том случае, если у компании вновь кто-то приобретет кошелек, то новый владелец рискует потерять средства).
  • В крипто-библиотеке Trezor One отсутствуют необходимые инструменты для противодействия аппаратным атакам.
  • Наличие способа похитить личную информацию с кошелька (при получение прямого доступа к устройству открывается доступ и к личным данным, которые хранятся во флеш-памяти).

    • Уязвимости Ledger

    Среди основных производителей аппаратных устройств для хранения криптовалюты: Ledger, а также Trezor и KeepKey. Также известны такие компании, как Digital BitBox, CryoBit и CoolWallet. Создатели обещают обеспечить пользователей высшим уровнем безопасности, однако белые хакеры продолжают находить в каждом из продуктов этих компаний те или иные уязвимости.

    Французский производитель не стал исключением. Стоит отметить, что продукты Ledger и Trezor пользуются наибольшей популярностью среди крипто-держателей. В декабре прошлого года специалисты Wallet.fail выявили проблемы у двух проектов, результаты наработок исследователи продемонстрировали на практике в рамках мероприятия Chaos Communication Congress. Специалисты обратили внимание на то, что в кошельках имеются похожие проблемы. Ликвидировать многие уязвимости можно посредством замены микроконтроллеров или обновления прошивки.

    Тем временем продукты от Ledger и Trezor функционируют не одинаково. В кошельках от французской компании разработчики используют 2 микроконтроллера: криптографический, а также универсальный (он ответственный за управление внешним подключением и одобрение переводов). Как оказалось, осуществить взлом первого микроконтроллера (Secure Element) сложно, а вот второго нет.

    В рамках конференции исследователи продемонстрировали следующее:

  • В французскую разработку специалисты внедрили дешевый аппаратный имплантат (стоит порядка $3), посредством которого в удаленном формате удалось подтвердить транзакцию. В Wallet.fail тогда заявили, что таким образом можно взломать любое устройство, однако Ledger заявила о том, что опасность преувеличивается, так как продемонстрированный способ не практичен.
  • В Ledger Nano S получилось реализовать взлом загрузчика и сделать перепрошивку. Примечательно, что в кошельке имеется защита от подобных действий, прошивка подвергается проверке при помощи приемов криптографии. И все же специалисты обманули систему, проблема уже решена.
  • Кошелек Ledger Blue получилось взломать путем перехвата ввода PIN-кода посредством использования радиоволн. Для того, что воспользоваться багом, злоумышленнику нужно находиться едва ли не в нескольких метрах от устройства в то время, когда на нем будет вводится PIN-код. На практике исполнение данного сценария также маловероятно, но все же производитель дал обещание исправить проблему.

    • Несмотря на обеспечение пользователей защитой от удаленных атак, вполне возможны и случаи, при которых злоумышленнику удалось бы получить физический доступ к кошельку. Особенно актуальными данные проблемы будут по мере распространения криптовалют и потребности в их хранении.

    Правила безопасности при взаимодействии с аппаратными кошельками для криптовалют

    Как выяснилось, держатель криптовалюты рискует потерять средства главным образом в том случае, если аппаратный кошелек окажется непосредственно в руках злоумышленника. У «квалифицированных» преступников имеется целый ряд инструментов и техник с помощью которых можно достаточно быстро взломать устройство, в частности речь идет об атаках посредника, перепрошивках, реализации неоригинальных кошельков, взломе компьютера, с которым у кошелька установлено подключение, а также внедрении специальных аппаратных имплантатов, краже seed-фраз.

    Следующие рекомендации позволят обезопасить себя от атаки злоумышленников:

  • Аппаратный кошелек следует хранить в безопасном месте, к которому нет доступа у посторонних людей, не нужно передавать устройство другим людям.
  • Покупать аппараты для холодного хранения нужно лишь в официальных торговых точках или интернет-магазинах проверенных производителей.
  • При покупке следует осмотреть упаковку (нет ли подозрительных повреждений, признаков вскрытия).
  • Рекомендуется использовать максимально возможное количество паролей, вариантов предоставления согласия на осуществление транзакции (не стоит облегчать себе процесс взаимодействия с кошельком при желании сохранить средства, ведь чем сложнее процесс совершения транзакции, тем труднее злоумышленнику будет совершить атаку).
  • Следует выбирать кошелек, который поддерживает мультиподпись (они более сложны в использовании, но и более надежны).
  • Следует убедиться в том, что никто не имеет возможности наблюдать за вводом паролей (например, могут быть случаи, когда злоумышленники устанавливают слежку, используя веб-камеры и т.п.).
  • Рекомендуется также перепроверить адрес получателя при совершении транзакции.

    • Надежность аппаратных устройств

    Несмотря на то, что в представленных на сегодняшний день продуктах имеются проблемы, они все же обеспечивают пользователей защитой от удаленных атак. Однако, при физических атаках все же есть вероятность потери средств (при игнорировании правил безопасности). Не стоит разочаровываться в существующих на рынке кошельках, ведь производители работают над совершенствованием своих разработок, внедряют новые решения для повышения безопасности. При выборе кошелька стоит обратить внимание на готовность компании, которая занимается созданием кошельков, устранять уязвимости. При использовании устройства достаточно соблюдать правила безопасности для того, чтобы избежать неприятных инцидентов.

    Источник

    No votes yet.
    Please wait...

    Похожие записи

    Ответить

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.