Venerdì, 28 Dicembre 2018 12:00

criptomonete: scoperte nuove vulnerabilità ai wallet hardware

Durante una conferenza in Germania, alcuni ricercatori hanno mostrato importanti vulnerabilità ai più diffusi wallet hardware. Scopriamo di che si tratta e come difenderci.

Torniamo a parlare, dopo questo articolo, di sicurezza informatica per le criptovalute.

Durante la conferenza 35C3 Refreshing Memories, tenutasi a Lipsia a partire dallo scorso 27 dicembre, alcuni ricercatori hanno presentato importanti vulnerabilità ai portafogli hardware più celebri e diffusi tra i possessori di criptovalute: Trezor One, Ledger Nano S e Ledger Blue.

Prima di proseguire: l'articolo, necessariamente, è un po' tecnico. Pertanto, è rivolto a chi possiede hardware wallet e vuole capire bene quanto possa fidarsi del proprio dispositivo per la custodia delle proprie monete.

Il gruppo di ricercatori, dopo mesi di ricerca coordinata con colleghi di ogni parte dell'universo delle criptomonete, ha divulgato come è riuscito ad hackerare (insomma, a penetrare le protezioni) i portafogli hardware Trezor One, Ledger Nano S e Ledger Blue.

Nel seguito dell'articolo riassumeremo gli elementi di maggior interesse, ma come ovvio è bene prendere visione completa delle informazioni diffuse durante la presentazioni, visibili nel video ufficiale a questo link. Tanto per citare i nomi dei maggiori protagonisti dell'iniziativa di hacking, chiamata guarda caso 'Wallet.fail', parliamo del progettista di hardware Dmitry Nedospasov, lo sviluppatore di software Thomas Roth e l'esperto di sicurezza Josh Datko.

Costoro, per esempio, sono riusciti ad estrarre le chiavi private contenute in un portafoglio Trezor One, attraverso all'installazione di un firmware customizzato per lo scopo. Tale metodo, diciamolo subito, funziona soltanto se chi utilizza il wallet hardware non ha impostato una passphrase (evento tutto sommato non proprio probabile).

Di risposta, Pavol Rusnak, CTO di SatoshiLabs (l'azienda che produce i dispositivi Trezor), ha subito commentato su Twitter di non essere stato messo a conoscenza di questa falla nella sicurezza prima della dimostrazione pubblica (cosa che, evidentemente, ha poco gradito) ed ha immediatamente confermato che è in corso di sviluppo una nuova versione di firmware, pronta per fine gennaio, che risolve tale problematica.

Analoga debolezza è stata identificata nell'altrettanto famoso dispositivo prodotto dall'azienda Ledger. I ricercatori hanno infatti avuto successo nell'installare un firmware modificato per Ledger Nano S. Sul palco, gli hacker hanno sfruttato l'opportunità di installare proprio firmware sul Nano S semplicemente per giocare a Snake sul dispositivo Ledger, ma - beninteso - una volta installato un firmware diverso da quello originale avrebbero potuto fare qualunque cosa, come accedere alle chiavi private: "Possiamo inviare transazioni malevole all'ST31 (il chip di sicurezza) e persino confermarle noi stessi tramite software. Possiamo anche mostrare sullo schermo una transazione diversa (rispetto a quella inviata realmente)", ha dichiarato il team di ricercatori.

Ed arriviamo a Ledger Blue, il prodotto meno diffuso ma più costoso tra i tre sul banco dei ricercatori. E' un dispositivo, per chi non lo conosce, equipaggiato con un touch screen a colori e ingombrante quanto un piccolo tablet. Secondo quanto spiegato dai ricercatori, i dati vengono inviati allo schermo tramite una traccia insolitamente lunga sulla scheda madre. Talmente lunga che emana segnali sotto forma di onde radio sufficientemente forti ed intercettabili: quando colleghiamo un cavo USB al dispositivo, il segnale diventa abbastanza forte da poter essere ricevuto anche da svariati metri di distanza, un po' come un segnale wifi. Allora, con l'utilizzo di uno speciale software, è possibile analizzare tali onde radio per ottenere il PIN del dispositivo durante la sua digitazione. E poterlo utilizzare per ottenere controllo completo su dispositivo e annesse chiavi private.

Niente panico per chi possiede tali dispositivi e, fino ad ora, li ha considerati una fortezza inviolabile. Non esiste una fortezza inviolabile, specialmente nel campo delle criptomonete, ma esistono utenti accorti che mettono in atto alcune 'best practise' per evitare o quantomeno limitare il pericolo di perdere le proprie monete. Ad esempio: acquistiamo il dispositivo SOLO dal sito internet ufficiale, ed evitiamo acquisti da store non ufficiali. Poi, teniamo sempre aggiornato il firmware di aggiornamento SOLO dal sito internet ufficiale, e tramite un PC relativamente sicuro (PC con antivirus aggiornato e non utilizzato per scaricare giochi piratati o visitare siti poco sicuri). Infine, custodiamo bene la passphrase (idealmente, a mente) ed il dispositivo wallet hardware.

 

FONTE: https://it.cointelegraph.com

Letto 63 volte