Внутри хакерской лаборатории Ledger

Внутри хакерской лаборатории Ledger
фото показано с : coinspot.io

2019-3-12 13:56

Перевод статьи Кейла Гатри Вайсмана для Breaker Magazine.

Сама комната довольно невзрачная — несколько столов возле стен и ещё один посередине. На столах дорогое оборудование — материнские платы, несколько мониторов (один со стикером Sega), провода, датчики, ноутбуки. Небольшая группа компьютерных гиков в свитерах возиться с устройством, пытаясь его взломать (или сломать). Я в “лаборатории атаки”, которая находится в парижском офисе Ledger. Это место компания не афиширует; на самом деле, я первый журналист, которому тут удалось побывать.

В Ledger, которая занимающейся производством аппаратных кошельков, работает команда из восьми человек, чья задача — взламывать как собственные продукты, так и устройства конкурентов. Лаборатория под названием «Донжон» (Donjon) несколько раз добивалась в этом успехов. Недавно Ledger выявил три серьёзные проблемы в популярных аппаратных кошельках Trezor, о которых компания проинформировала производителя — чешскую компанию SatoshiLabs (подробнее об этом ниже).

Донжон — удачное название, которое означает внутреннюю башню в средневековом замке. Офис Ledger представляет собой сеть запутанных коридоров, спрятанных за двумя большими дверями во 2-м округе Парижа. Само пространство можно охарактеризовать как WeWork в конюшне Наполеона. Большие каменные стены, окруженные деревянными балками, соседствуют с современным рабочим пространством. Гладкая черная металлическая решетка перекрывает старые колонны, образуя каркас офиса. Столов и конференц-залов тут много — сотрудники работают в большом и удобном оупенспейсе.

В отделе по кибербезопасности, которое находится в дальнем углу офиса, один инженер в пуловере (кажется, это неофициальная форма команды) показывает мне красную печатную плату. Это устройство, по его словам, было разработано в Донжоне для выполнения различных атак по сторонним каналам. Они ставят чип на красную поверхность, подключают его к нескольким проводам, калибруют и… пытаются взломать. Они спросили, хочу ли я предоставить чип своей дебетовой карты для эксперимента — я вежливо отказался.

Само пространство предназначено не только для взлома устройств, но и для создания более сильной безопасности в системах на блокчейне. «Наша цель — оценить безопасность всего, что мы делаем, а не только убедиться в том, что мы можем найти все уязвимости в наших продуктах, или в продуктах конкурентов», — говорит мне соучредитель и генеральный директор Ledger Эрик Ларшевек. «Ledger хочет показать, какие аспекты нужно оценить, чтобы доказать общую безопасность продукта. Если у вас есть эти аспекты оценки и вы можете провести оценку — значит, вы создаёте стандарты», — говорит он.

Одна попытка атаки, которую они пытались реализовать, фокусируется на потоке электричества. Идея состоит в том, чтобы отключить встроенное программное обеспечение, отключив электричество на долю секунды. При запуске команда Донжона смогла использовать этой сбой, в результате чего прошивка пропустила важный шаг — ввод PIN-кода на устройствах Trezor и Keepkey.

Ещё одна симуляция атаки ориентировалась на энергопотреблении устройства. Команда использовала осциллограф для отслеживания энергопотребления при вводе PIN-кода в устройство. Затем команда Донжона внимательно проанализировала сигнал, чтобы понять, есть ли какие-либо характерные признаки при вводе неправильного PIN-кода. И, оказывается, есть. Подобная атака по стороннему каналу позволяла угадывать правильный PIN-код на устройстве в среднем за пять попыток (кошелёк Trezor допускает 15 попыток ввода PIN-кода).

Я был посторонним в лаборатории, человеком, который лишь смутно понимал то, что они делают. Но я увидел, насколько утомительна работа этой команды. Например, чтобы откалибровать осциллограф для обнаружения электронного сигнала для атаки по стороннему каналу, они должны откалибровать датчики, чтобы убедиться, что они точно направлены в нужное место. Если он сдвинется на нанометр в сторону, показания будут неточными. Инженеры говорят мне, что на то, чтобы найти место на чипе для атаки, им нужны дни (если не недели). А потом, когда они это сделают, кто знает, будет ли атака успешной. Это как найти иглу шириной в микрометр в стоге сена размером с футбольное поле.

Тем не менее, Донжон работает около года и команда уже обнаружила несколько серьёзных уязвимостей. Они сосредоточили большую часть своего внимания на аппаратном кошельке Trezor (который приобрёл себе Джек Дорси), и нашли в нём три больших уязвимости. Одной из них была атака с помощью подбора PIN-кода по стороннему каналу (описана выше; в последнем обновлении Trezor эта уязвимость устранена).

Донжон также доказал, что можно имитировать подлинность упаковки Trezor и предварительно создавать сид в устройстве (команда Ledger хотела применить протокол безопасности Trezor для своей упаковки). По сути, это означало, что кто-то мог купить Trezor, вставить вредоносное ПО в устройство, которое могло бы, например, отправить активы на другой адрес, а затем сделать так, чтобы оно выглядело абсолютно новым, и перепродать его. Конечно, эта уязвимость может касаться других устройств — мир тонет в контрафакте. Команда также выполнила ещё одну атаку по стороннему каналу, которая извлекала закрытые ключи из Trezor (хотя единственный способ выполнить этот взлом требовал знания ПИН-код от устройства).

Все три атаки — это предостерегающие истории. Недостаточно поместить свои активы в аппаратный кошелёк и назвать это абсолютной безопасностью. Ларшевек говорит, что цель лаборатории не просто в поиске уязвимостей в устройствах конкурентов, а в том, чтобы сделать их более ответственными в блокчейн-индустрии. Чарльз Гийем, руководитель отдела безопасности, говорит, что Донжон оценивает безопасность Ledger (а также конкурентов) пытаясь поднять планку качества. «Я считаю, что нам нужно больше схем сертификации безопасности в этой индустрии», — говорит Гийем.

Ledger, безусловно, имеет все возможности для решения проблем безопасности. Год назад компания привлекла $75 млн, чего, по словам Ларшевека, достаточно для того, чтобы расширить компанию и подготовиться к любым препятствиям в индустрии. Во время биткоин-бума компания была прибыльной, теперь — нет. Но Ларшевек говорит, что у Ledger есть ресурссы на три года, и к этому моменту рынок должен вернуться и ещё раз продвинуть бизнес вперед.

Аналог Notcoin - Blum - Играй и зарабатывай Монеты

источник »

Quantum Resistant Ledger (QRL) на Currencies.ru

$ 0 (+0.00%)
Объем 24H $0
Изменеия 24h: 0.00 %, 7d: 0.00 %
Cегодня L: $0 - H: $0.307
Капитализация $0 Rank 99999
Цена в час новости $ 0.1666 (-100%)

несколько лаборатории небольшая датчики ноутбуки провода sega

несколько лаборатории → Результатов: 4


Разбогатевший на биткоинах программист планирует создавать генномодифицированных детей

Программист Брайан Бишоп, который стал одним из первых инвесторов в биткоин, заявил о работе над генномодифицированными людьми. Об этом сообщает портал Futurism. Бишоп известен как первопроходец в инвестициях в криптовалюту.

2019-2-8 19:13


Российские учёные разработали проект передачи данных между блокчейн-сетями

Российские IT-специалисты предложили создать ряд DApp-проектов на базе блокчейна Ethereum, которые позволят объединить блокчейн-сети друг с другом, а также связать их с социальными сетями. Участники образовательного курса по подготовке специалистов для цифровой экономики «Остров 10-21» представили несколько проектов для эффективного обмена данными из социальных сетей внутри различных блокчейнов.

2018-7-17 15:08


В России разрабатывается проект для передачи данных между блокчейн-сетями

Участники образовательного интенсива по подготовке кадров для цифровой экономики «Остров 10-21», в рамках лабораторной работы X-Labs «Децентрализованные системы обработки и хранения информации (блокчейн)» разрабатывают приложение, с помощью которого можно будет связать несколько блокчейн-сетей и передавать между ними данные.

2018-7-16 17:35


Обзор событий на рынках криптовалют за 19.01.2018

Bitcoin разработка американских спецслужб Директор InfoWatch и соучредитель «Лаборатории Касперского» Наталья Касперская заявила, что Bitcoin разработан для финансирования разведывательных служб США.

2018-6-22 15:10